访问控制
访问控制:原理及实践
访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。
Ravi S. Sandhu and Pierangela Samarati
摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。
访问控制和其它安全服务
在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。
图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。
对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。
读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。
要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。
在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。
总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
就不合适了。访问控制策略的选择要看被保护的环境的特殊特性。
访问矩阵
为了进行访问控制,信息安全从业人员已发展出一大批抽象概念。也许最基本的实现就是所有被计算机系统控制的资源都能被数据存储对象(比如文件)所表示。于是对这些对象进行保护是必要的要求,这也相应地保护了计算机系统控制的其他资源。(当然,为了防止绕过计算机系统的访问控制,这些资源也应该物理上保护起来。)
系统中的活动是有所谓的主体发起的。主体典型地可理解为用户或代表用户的执行程序。用户可在不同的场合作为不同的主体登录进入系统。例如,同时做两个工程的用户可从一个工程切换到另外一个工程。这个时候我们有两个个符合用户的主体,它们依靠用户的工程。
一个经常被忽视的问题是,主体本身经常可以是对象。为了完成任务一个主体可以产生派生主体。子主体在各种网络计算机上也可执行。在适当的时候父主体也可以暂停或终止它的子主体。一个操作的发起者可以作为另外一个操作的目标时,主体就可以成为对象。(在网络用语中,主体有时也称作发起者,对象也称作目标。)
主对象区别是基于访问控制的。主体对对象发起动作或操作。这些动作通过建立在系统上的用户认证被通过或拒绝。用户认证表达为访问权限和访问模式。访问权限的方式依靠考虑中的对象。比如文件最典型的访问权限就是读、写、执行和属于。前三个是顾名思义的。属于关系涉及的是谁可以改变文件的访问权限。一个对象,比方说银行账户,有查询、存款、借款的访问权限。这些操作可通过应用程序执行,而操作系统可对文件进行典型的操作。
访问矩阵是一个概念上的模型,它描述每个对象过程对各个对象的权限。这个矩阵中每个对象为一行,每一个对象为一列。矩阵中每个节点描述了行中的主体到列中的对象的被授权访问。访问控制的任务是为了确保只有那些被访问矩阵授权的操作得到执行。这是通过请求监听器达到的,它对监听所有主体到对象的访问操作有监听作用。访问矩阵模型明确地把审计和身份认证的问题区分开来了,这是值得注意的。
访问矩阵的例子如图2所示。R和W分别代表读(read)和写(write)的权限。其它权限同理如上所述。这里主体是John,Alice和Bob。有四个文件和两个账户。这个矩阵描述了例如John是文件3的拥有者,并且能读和写这个文件。但是John没有文件2和文件4的访问权限。隶属关系的准确意义根据系统不同各有区别。通常一个文件的拥有者可以授权其他用户访问这个文件。同样也可以撤销访问。因为John拥有文件1,如图2 所示他可以赋予Alice R权限和Bob R和W权限。John 以后还可以随意撤销一个或多个这样的权限。
账户访问权限的例子阐述了访问是如何被应用程序的抽象操作所控制的。查询操作与读操作类似,它们检索信息但是不改变它。存款和取款操作则涉及到读出过去的账户余额,合理调整它的状态并最终写回。执行这些操作的程序要求对这个账户数据进行读写控制。然而,用户是不允许直接对这个账户对象进行读和写。他们只能通过执行存款和取款操作的应用程序间接地操控账户对象。
同样要注意没有拥有账户这一权限。例如银行账户对象没有真正有一个主人,能决定其他对象对这个账户是否有访问权。明显在银行建立账户的用户不能决定谁可以使用这个账户。在组织中只有银行里不同部门能基于工作职责访问账户。
执行方法
在一个大的系统中,访问矩阵也是巨大的,而大部分的节点都可能是空的。所以访问矩阵很少作为矩阵执行。我们讨论关于在实际系统中执行访问矩阵的一些普遍方法。
访问控制列表
执行访问矩阵的通常方法是通过访问控制列表(ACLs)。每一个对象都与一张标示出系统中每一个主体的ACL相互关联,主体在对象上访问是被授权的。这种方法相当于将矩阵
按列存储。ACLs相当于访问矩阵中的文件,如图2在图3中展示。文件1的访问矩阵列就是按文件1存储的,等等。
通过看一个对象的ACL很容易判断主体对对象授权的现行访问模式。换句话说,ACLs 对对象提供了一个方便的访问描述。通过把一个现存的ACL用空表代替就能简单地撤销对一个对象的所有访问。从另一面来看,要在一个基于ACL的系统中找到主体具有的所有访问。回顾主体的访问描述来检查系统中每个对象的ACL是必要的。同样地,如果主体的所有访问需要被撤销,需要逐个访问所有的ACLs。(在实际撤销所有主体的访问时,经常是通过删除用户账户。如果用户要离开这个组织这是可以理解的。然而,如果一个用户重新登录这个组织,为了反映用户改变了的工作,保留其账户和改变其特权将让这变得更加方便。)许多系统允许ACLs中存在一组名字。例如,一个名为ISSE.R的进入者可以授权ISSE 所有成员读一个文件。许多流行操作系统,例如UNIX和VMS,执行的是ACLs的简略形式,这种形势下ACL中只允许有少数、大部分只有一两个的组名字出现。稀有名字是不允许的。通过这种方法,ACL只需要一个很小的几个比特就能存储于文件中。在另外一些情况下,有许多访问控制包在ACLs中使用复杂的规定限制访问撤销的时间和方式。
作用功能
ACLs的作用是双重的。每一个主体都牵涉到一张列表(称为作用列表),它指出系统中的每一个对象和主体被授权对对象进行的访问。这种方法在矩阵中按行存储。图4是显示的是图2中的文件的作用列表。通过简单查询作用列表,浏览主体被授权的所有访问是很容易的。然而,查找能访问某个特定对象的所有主体需要查找每个主体作用列表的每一项。在70年代,大量基于作用列表的计算机系统被开发出来,但商业上是不成功的。现行操作系统基于典型的ACL方法。
有可能会把ACLs和作用列表混淆。获得了作用列表就足以让一个主体通过作用列表授权获得访问授权。在分布式系统中,这种方法的优点是不需要反复对主体进行认证。这可以让主体只认证一次就能获得它的能力,然后再从系统不同的服务器中获得各种服务。每种服务器将来还会用到ACLs以提供更好的访问控制。
授权关系
我们知道ACL和基于作用的方法都各有优劣点。访问矩阵的表示不能因为某一方面而有好恶。例如,访问矩阵可以被表示为授权关系或表,如表1。表中每一行或数组制定了一个主体对对象的访问权限。于是John对文件1的访问有三行。如果这个表是按主体存储的,我们就用功能列表。如果按对象存储,我们就用ACLs。关系数据库管理系统就是使用这种典型的描述。
访问控制策略
现在我们来讨论通常发生在计算机系统中的三种不同的控制策略如下:
1、古典的任意访问策略
2、古典的强制访问策略
3、新型的角色访问策略
前两种模型中的限定词“古典”,反应出了这个事实:这两种策略已经被研究人员和操作人员应用了很长时间。但是,近些年来,舆论越来越质疑这两种策略的合理性,这些导致了角色控制策略的兴起。
需要指出的是,各种访问控制策略间并不是不兼容的。各种不同的控制策略可以结合起
来如图5所示那样(每种圆代表的控制策略允许其他策略同它结合起来)以便提供给系统更适合的保护。当这些控制策略结合在一起后,只有同时满足它们才可能被访问。这种控制策略的结合体相对来说比较径直面向对象,但它必须解决如下冲突:当一种特殊的访问被某种策略允许但同时被另一种策略禁止。这种不同策略间的冲突需要恰当的管理协调予以解决。
古典的任意访问策略
任意访问控制策略基于用户的身份和权限的不同来管理访问,这些不同如下:对于系统中的每个用户(或一群用户)和每个对象,使用者所被允许的访问模式(例如:读取,写入或者执行)。当用户访问一个对象时,计算机会检查是否满足特定的授权。如果是,则访问可进行,否则就被禁止。
任意访问策略的灵活性使得它可适应一系列的系统和应用。因为这些原因,它被广泛应用于一系列设施中,特别是在商业和工业系统中。
然而,任意访问控制策略存在着缺陷:对于系统中信息的流动,它没能提供真正意义上的保障。使用者可以很容易的越过设定的访问权限。例如,一个用户可以将他所拥有的读取数据的权限提供给不拥有此种权限的用户。这是因为一旦用户接受了信息,此种控制策略在信息的使用上没能施加任何限制,例如,信息的传播没能被控制。与它相反的,在强制控制策略中,储存在系统中的信息是不被允许从高层对象传递给低层对象的。
基于明确的授权上的任意访问控制策略据说是封闭的:在涉及到的相关控制器的缺失上。与此相同的被称之为开放策略的策略,可以同样的应用于系统中,他们都是基于特定的否认而不是授权。在这种情况下,对于系统中的每个使用者和对象来说,用户所拥有的对对象的禁止访问授权是特定的。用户所请求的每个访问对于授权者来说是特定的,只有没有任何授权者否认它时用户才可以访问。积极和消极的访问权可以结合起来应用,每个特定的访问权可以同时被给予肯定的和否定。这种消极和积极结合起来的访问权限可以变得极端复杂。
古典的强制访问策略
强制访问策略基于系统中主体和对象的分类进行管理。系统中的每个主体和对象被给予一个安全级别。同对象相联系在一起的安全级别反映了课题中包含的信息的敏感性,例如潜在的损害可能是来自于未被授权的信息的泄露。一个用户所被授予的安全级别,也被称为区分性,反映了此用户不将敏感信息泄露给不拥有此级别的用户的可靠性。在最简单的情形下,安全级别是一系列分层次的有规律的集合。在军事和政府的办公系统中,这些层次通常被分为绝密,秘密,机密和非保密的,在级别上绝密>秘密>机密>非保密的。每个安全级别支配它自身和位于它之下的级别。
主体对于对象的访问权只有当某些条件被满足时(取决于访问的类型)(这些条件基于安全级别和主对象间的层级)。特别的,下述两个原则要求被遵守。
读取--一个主体的级别必须能支配它所读取的对象的安全级别。
写入--一个主体的级别必须能支配它所写入的对象的安全级别。
这些条件的满足组织了信息从高级别的对象向低级别的对象的流动。这个效果可从图6中看出。在这样的一个系统中信息只允许流向更高级别或同级别。
明白本文中使用者和主体间的关系是很重要的。我们现在来讨论,有个人类使用者简被权秘密级别,假设她总是以秘密级别的主体去访问系统。读取原则阻止简去阅读绝密级的对象。然而,写入原则表面上看起来有两个方面同期望是相反的。
首先,简的秘密主体可以写入一个绝密主体(即使他们不能读取它)。在极端情况下,他可以覆盖绝密主体的数据从而毁坏它。基于这个考虑,很多强制控制策略的系统不允许写入;但是允许向同级别有限制性的进行写入。同时,写入原则允许简的主体对绝密级对象发送邮件以便得到有益的反馈。
其次,简的秘密主体不能写入机密或是不涉密的主体。这就意味着,例如,简从来不能向机密或是不涉密的主体使用者发送电子邮件。这同现实世界所发生的是相反的,现实中秘密主体的使用者可以对机密或是不涉密的主体写入备忘录。这个看似的矛盾可以很轻易的被破解,简只需向系统申请作为机密或不涉密主体的合作者。通过这些她可以分别向两种主体发送电子邮件。
用另一种话说,一个使用者可以以任意级别向计算机提出申请,这个级别由使用者的权限决定。那么,我们为什么还要不胜繁琐的提出写入原则呢?这么做的主要原因是阻止软件蓄意的将秘密从机密级泄露给不涉密级。现实中使用者拥有这种信任,但在程序并没有继承相同程度的信任。举例来说,简以不能读取秘密级主体的级别向计算机提出申请,这么做的话她就不能把信息从秘密级泄露给不涉密级。写入原则也可以阻止使用者不经意的将信息从高层级泄露给低级别。
除了分层安全级别外,其他范畴(如秘密党员,北约,核武器)也可以同样将主体与对象联系起来。在这种情形下,将每个主题和对象联系起来的范畴标签包含了一系列安全级别和范畴。通用户相结合的范畴集合反应了用户操作的特定领域。同对象相结合起来的范畴集合反映了涉及到的对象所包含的信息。引入范畴的思路提供了一个更好的安全级别分类。在军事范畴中此种策略仅将主体执行它所承担的责任所需要了解的信息给予它它,其他的则予以限制。
强制访问控制也可以应用于对信息重要性的保护上。例如,信息的重要性层次分为极其重要,重要,和无关紧要。同对象联系在一起的重要性级别反映了信任的程度,这种程度可以被储存于对象所包含的信息中,潜在的伤害可以来自于未被授权的对信息的完善修改。同用户联系在一起的重要性级别反映了用户在这个级别上对于插入、完善和修改信息上的可信度。同保密性相类似的原则需要被遵守如下:
读取原则—主体所拥有的重要性级别由他所能支配的被读取的对象重要性级别决定。
写入原则--主体所拥有的重要性级别由他所能支配的被写入的对象重要性级别决定。
这些原则的满足阻止了储存在低层次对象里的信息(可信度较低)向高层次里流动,如图7。这种对于信息流动的控制是获取重要性的一个方面。通常性的重要性要求额外的在【4,5】中讨论的途径。
注意到图6和图7仅有的区别在于信息的流动方向上,前者从低层次向高层次流动,后者从高层次向低层次流动。用另一种话说,两种情况都只考虑单向信息流动。古典强制性控制的精髓在于在一系列安全标签中的单向信息流动。关于这个换话题可以从【6】中得到更多的讨论。
基于角色的控制策略
刚才讨论过的任意和强制性控制策略已经得到了官方的认可,尤其是所谓的美国国防部橙皮书认可。
在安全研究者和操作者中有一种很强的感觉,感觉到古典的任意和强制性控制没有覆盖很多方面。强制性控制主要源于严格的环境,例如军事。任意性控制来源于合作而又自治的需求,例如学术研究。没有任何一种需求满足大多数的商业企业。橙皮书上的任意性控制对于重要的信息资产的控制太过虚弱,与此同时橙皮书上的强制性控制主要是关于美国政府对于分类信息的机密性上。(在操作过程中军事系统发现橙皮书上的强制性控制过于严格从而经常推翻它)
几种可替代任意性和强制性控制的选择已经被提出来。这些策略允许用户对于对象向任意性控制那样授权,与此同时对于这些授权的使用和申请上向强制性控制那样给予限制。在这些不断提出的未来的策略中最有希望的一种是基于角色的访问控制策略。
角色控制策略是基于使用者在系统中的操作活动来安排使用者对于信息的访问。角色控
制策略要求在系统中对于角色的辨识。一个角色可以被定义为一系列具有特殊操作活动的行动和责任的集合。因此,代替那种每个用户所允许的所有的访问的授权,关于对象的访问策略主要在于角色上。用户被给予了采用角色的授权。最近NIST做的一项研究确认了角色控制对很多商业和政府机构来说是有效的方法。
用户可以操作一个角色被授予的所有访问操作权限。通常情况下一个用户对于不同的场合可采用不同的角色。同时同一个角色可被不同的用户使用,特别是相似的情况下。许多基于角色的访问控制建议此控制可允许一个用户在同一时间操作不同的角色,而其他的只允许用户在同一时间操作一个角色,或者允许一些角色可以合作工作而另一些角色必须彼此分开工作。然而,这个领域并没有一个共同的标准。所以在不同的系统中有可能会执行不同的方法。
基于角色的方法有许多优点。
授权管理
管理策略可以决定谁有权修改被允许的访问。这是访问控制中最重要也是最难以理解的方面。
在控制访问控制中,允许的访问仅仅基于主体和对象的安全分类。安全管理员有权颁布安全级别。对象的安全级别由创立他们的用户的安全级别。安全管理员是唯一可以改变主体和对象安全级别的人。于是这种管理策略是很简单的。
随机访问控制允许进行更广泛的的管理策略。他们将在下面得到叙述。
集散——单个授权者或授权群体允许颁布和撤销用户的证书。
分级——核心授权者要向其他管理员分配管理职能。管理员可颁布和撤销系统用户的访问证书。分级管理可用于诸如组织图表上。
合作——特定资源的特殊访问证书不能有单一授权者颁布,需要由多个授权者合作进行。
所有权—一个使用者被认为是他/她所创造出的对象的拥有者。拥有者可以授予或者取消其他用户对次对象的访问权限。
分散的—在分散的管理中一个对象的拥有者也可以给予其他使用者管理此对象权限的特权。
在这些中有很多可能的变动。
角色访问控制有一个类似的可能的管理策略的范围。在这种情形下角色也可以被用来管理和控制管理机构。
管理机构的授权是一个很重要的方面,然而现存的访问控制系统对此有很大缺陷。在一个大的分布式系统中对于访问权限的集约式管理是不可行的。许多现存的系统允许授权机构对于某个特定系列的对象的本该由中央安全管理者的授权操作由其他的安全管理者进行。例如,对于一个特定区域的管理对象的授权可以由此区域的安全管理者来进行。这样的话允许授权管理者在一系列经过选择的情况下进行授权操作。然而,在现存系统中该选择型的维度很大程度上被忽略了。例如,这样做也许更有利—-区域安全管理者被限制给予一些对象权限(这些对象由工作在此区域中的执行者负责)。对于区域管理者的控制可以是集中式管理,但它们可以在自己负责的区域中有一定程度的管理权。这种授权过程可以在每个区域重复进行,授予给子区域,不断进行。
总结
访问控制要求拥有保密性、完整性或者可用的对象。访问控制在计算机操作系统中有着
非常热门的前景,它可以将访问矩阵模型应用进来。一些系统近似估计访问控制的可行性,它们限制访问控制进入一个或两个用户体的程度。其他的系统允许一定程度上的复杂性。访问控制在一个基于全主体的访问浏想览和撤销上有缺点,但是在基于全对象的访问他们是很不错的。诸如授权表等更复杂的描述提供了更高级的访问权限管理,但只能通过数据库管理系统得到。在一个分布式系统中,一个粗放控制访问能力和无服务的细微控制的访问控制或者授权表的混合,是一个很好的组合。
过去对强制访问控制和任意访问控制的区别是行之有效的。这两种策略并不能解决一些特殊需求。基于角色的访问控制策略提供了一种可供替代的严格的额外强制控制,同时也能提供部分灵活的任意访问控制。有效的授权分散管理是一个可以进一步发展的领域。
最后,为了发展出一些正确的信息安全准则,将计算机和网络安全融合得更加紧密是很重要的。尽管这个进程在进行着,不过还有很多值得继续努力。
鸣谢
笔者对审核专家和编辑的意见表示感谢,它们大大地提高了本文的可读性。米兰大学的Giancarlo Martella 为本文提供了弥足珍贵的草稿素材。国家科学基金会也为Ravi Sandhu的工作提供了部分支持,并颁布了CCR-9202270,国家安全委员会订立了MDA904-92-C-5141。Ravi Sandhu对Dorothy Darnauer由衷感谢。
以太网及介质访问控制方法
10Mbps以太网称之为标准以太网。以太网主要有两种传输介质,那就是双绞线和光纤。所有的以太网都遵循IEEE 802.3标准,下面列出是IEEE 802.3的一些以太网络标准,在这些标准中前面的数字表示传输速度,单位是“Mbps”,最后的一个数字表示单段网线长度(基准单位是100m),Base表示“基带”的意思,Broad代表“带宽”。 ·10Base-5 使用粗同轴电缆,最大网段长度为500m,基带传输方法; ·10Base-2 使用细同轴电缆,最大网段长度为185m,基带传输方法; ·10Base-T 使用双绞线电缆,最大网段长度为100m; · 1Base-5 使用双绞线电缆,最大网段长度为500m,传输速度为1Mbps; ·10Broad-36 使用同轴电缆(RG-59/U CATV),最大网段长度为3600m,是一种宽带传输方式; ·10Base-F 使用光纤传输介质,传输速率为10Mbps; 二、快速以太网 随着网络的发展,传统标准的以太网技术已难以满足日益增长的网络数据流量速度需求。在1993年10月以前,对于要求1 0Mbps以上数据流量的LAN应用,只有光纤分布式数据接口(FD DI)可供选择,但它是一种价格非常昂贵的、基于100Mpbs光缆的LAN。1993年10月,Grand Junction公司推出了世界上第一
台快速以太网集线器Fastch10/100和网络接口卡FastNIC100,快速以太网技术正式得以应用。随后Intel、SynOptics、3COM、BayNetworks等公司亦相继推出自己的快速以太网装置。与此同时,IEEE802工程组亦对100Mbps以太网的各种标准,如100BAS E-TX、100BASE-T4、MII、中继器、全双工等标准进行了研究。1995年3月IEEE宣布了IEEE802.3u 100BASE-T快速以太网标准(Fast Ethernet),就这样开始了快速以太网的时代。 快速以太网与原来在100Mbps带宽下工作的FDDI相比它具有许多的优点,最主要体现在快速以太网技术可以有效的保障用户在布线基础实施上的投资,它支持3、4、5类双绞线以及光纤的连接,能有效的利用现有的设施。快速以太网的不足其实也是以太网技术的不足,那就是快速以太网仍是基于CSMA/CD技术,当网络负载较重时,会造成效率的降低,当然这可以使用交换技术来弥补。 100Mbps快速以太网标准又分为:100BASE-TX 、100BASE-FX、100BASE-T4三个子类。 · 100BASE-TX:是一种使用5类数据级无屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用两对双绞线,一对用于发送,一对用于接收数据。在传输中使用4B/5B编码方式,信号频率为125MHz。符合EIA586的5类布线标准和IBM的SPT 1类布线标准。使用同10BASE-T相同的RJ-45连接器。它的最大网段长度为100米。它支持全双工的数据传输。
用户访问控制管理规定
用户访问控制管理规定 1目的 为了明确用户访问控制管理的职责权限、内容和方法要求,特制定本规定。 2适用范围 本规定适用于信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工”)3术语和定义 4职责 4.1IT部门 a)是本规定的归口管理部门; b)负责本规定的修订、解释和说明及协调实施工作。 4.2信息安全 进行本规定修订及实施的协调工作 4.3相关部门 贯彻执行本规定的相关规定。 4.4部门管理者 a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任; b)决定本部门是否要单独制定访问控制方案。 4.5IT负责人 a)负责制定和修改组织的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)指导IT责任人的工作,并在必要时进行协调。 c)有权指定系统管理员 4.6IT责任人 a)具体制定和修改组织的访问控制方案,提交IT方案负责审核; b)指导部门IT责任人实施访问控制方案; c)对访问控制方案的进行定期评审,并提出修改意见。 d)委托系统管理员依照IT部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下,访问控制方案实施状况的最终责任,仍然由IT责任人承担。 4.7部门IT责任人 a)如果本部门需单独制定访问控制方案,在部门管理者的授权下制定和修改本部门的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)在IT责任人的指导下,实施访问控制方案。 c)针对访问控制方案向IT责任人进行问题反馈和提出改善意见。 4.8系统管理员 对于来自IT责任人委托的措施和相关操作,担负着切实履行的责任。 5管理要求 5.1用户认证 组织主要系统,包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案,必须满足《用户标识与口令管理指南》的规定。 5.1.1用户标识控制 相关信息资产责任人所在部门IT责任人为了实现个人认证,需要采取以下措施,部门IT责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期,并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括: 5.1.1.1用户注册分派的流程 a)用户或代理人提交用户标识的申请 b)部门IT责任人核实该用户的身份 c)部门管理者审批 d)用户提交到IT责任人 e)IT责任人委托信息系统管理员实施注册 f)系统管理员向用户分派用户标识。 5.1.1.2用户标识分派的注意事项
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
计算机网络原理 网络介质访问控制方法
计算机网络原理网络介质访问控制方法 在计算机网络里,访问资源意味着使用资源。访问资源的方法在将数据发送到网络过程中的作用主要说明3种访问资源的方法:载波侦听多路访问方法、令牌传递和按优先权满足要求。 定义计算机如何把数据发送到网络电缆上以及如何从电缆上获取数据的一套规则叫做访问方法。一旦数据开始在网络上传送,访问方法就可以帮助调整网络上的数据流量。例如,网络从某种程度来讲与铁路线路有些相似。有几辆火车必须遵守一个规程,这个规程规定了火车应该如何以及什么时候加入到车流中。如果没有这个规程,加入到车流的火车就会和已经在线路上的火车碰撞。 但是,铁路系统和计算机网络系统之间有着重要区别。在计算机网络上,所有的通信量看起来都是连续的没有中断。事实上,这是外表上的连续只是一种假象。实际上,计算机以很短的时间访问网络。计算机网络通信量的高速传输也产生了更多的不同之处。 多台计算机必须共享对连接它们的电缆的访问。但是,如果两台计算机同时把数据发送到电缆上,一台计算机发送的数据包就会和另一台计算机发送的数据包发生冲突,导至两个数据包全部被破坏。图8-5给出了两台计算机同时试图访问网络时的情形。 图8-5 如果两台计算机同时把数据发送到电缆上就会发生冲突 如果数据通过网络从一个用户发送到另一个用户,或者从服务器上访问数据,就需要使用某种方法使该数据不与其他的数据冲突。而且,接收数据的计算机必须具有某种保障机制来使数据在传送中不会受到数据冲突的破坏。 不同的访问方法在处理数据上的方式上应一致。如果不同的计算机使用不同的访问方法,那么某些访问方法会独占电缆,所以会导致网络瘫痪。 访问方法要避免计算机同时访问电缆。通过保证某一时刻只有一台计算机可以向网络发送数据,访问方法能够保证网络数据的发送和接收是有序过程。用来防止连续使用网络介质的3种访问方法: ●载波侦听多路访问方法 ●令牌传递方法允许只有一台计算机可以发送数据 ●按优先权满足请求方法 1.带有冲突检测的载波侦听多路存取访问方法 使用带有冲突检测的载波侦听多路存取方法,网络上的每台计算机均检测网络的通信量。图8-6给出了计算机何时可以发送数据,何时不可以发送数据的情形。
标准访问控制列表配置命令
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
访问控制列表应用
访问控制列表应用 标准访问控制列表的格式 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。 标准访问控制列表是最简单的ACL。 它的具体格式如下:access-list ACL号 permit|deny host ip地址 例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO 规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 我们采用如图所示的网络结构。路由器连接了二个网段,分别为 172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。 实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。 路由器配置命令 access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
访问控制
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
访问控制技术及发展趋势
马红红 信息安全2011级2班 一.访问控制技术 计算机系统的活动主要是在主体(进程、用户)和客体(资源、数据)之间进行的。计算机安全的核心问题是确保主体对客体的访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。访问控制是对进入系统的控制,通常作为对资源访问处理的一部分,它的作用是对需要访问系统及其数据的人进行识别,并检查其合法身份。 1.访问控制主要有两种不同的类型:自由访问控制和强制访问控制 1)自主访问控制(又称任选访问控制) 自主访问控制是应用得很广泛的访问控制方法,用这种方法,资源的所有者(也往往是创建者)可任意规定谁可以访问他们的资源。这样,用户或用户进程就可有选择的与其他用户共享资源,它是一种对单个用户执行访问控制的过程和措施。 ①方法(是基于矩阵的行或列来表达访问控制信息) a.基于行的自主访问控制:是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同,可分为3种形式。权利表(权能表),根据该表可决定用户是否可以对客体进行访问,以及可以进行何种访问;前缀表,包括受保护的客体名和主体对它的访问权;口令,主体对客体进行访问前,必须向操作系统提供该客体的口令。 b.基于列的自主访问控制:是对每个客体附加一份可访问它的主体的明细表,有两种形式。保护位,它不能完备的表达访问控制矩阵,但可对所有主体、主体组以及该客体的拥有者指明一个访问模式集合,拥有者是唯一能够改变客体保护位的主体;访问控制表,每个客体都有一张访问控制表(ACL)记录该客体可被哪些主体访问以及访问的形式。主体访问控制表可以决定任何一个特定的主体是否可对某一客体进行访问,它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的,表中的每一项包括主体的身份和对该客体的访问权。 ②类型 a.等级型:可将对修改客体访问控制表的能力的控制组织成等级型的。优点是可通过选择值得信任的人担任各级领导,使得可用最可信的方式对客体实施控制,缺点是会同时有多个主体有能力修改它的访问控制表。 b.有主型:是对客体设置一个拥有者,它是唯一有权访问客体访问控制表的主体。拥有者对其拥有的客体具有全部控制权,但无权将客体的控制权分配给其它主体。 c.自由型:一个客体的生成者可对任何一个主体分配对它拥有的客体的访问控制表的修改权,还可使其对其它主体具有分配这种权利的能力。 2) 强制访问控制(MAC) 在强制访问控制中,系统给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。系统通过比较客体和主体的安全属性来决定主体是否可访问客体。此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。MAC可通过使用敏感标号对所有用户和资源强制执行安全策略,即实现强制访问控制。MAC可抵御特洛依木马和用户滥用职权等攻击,当敏感数据需在多种环境下受到保护时,就需要使用MAC。强制访问控制是比自主访问控制功能更强的访问控制机制,但是这种机制也给合法用户带来许多不便。例如,在用户共享数据方面不灵活且受到限制。因此,一般在保护敏感信息时使用MAC,需对用户提供灵活的保护且更多的考虑共享信息时,使用MAC。 2.基于角色的访问控制(RBAC)
访问控制方式总结
访问控制方式总结 授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。 访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。 设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。 目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等
我所认识的介质访问控制方法
我所认识的介质访问控制方法 介质访问控制(medium access control)简称MAC,是用于解决当局域网中共用信道的使用产生竞争时,如何分配信道的使用权问题。 数据链路层,位于IOS参考模型的第二层,是在物理层提供的服务的基础之上,向网络层提供服务。其中,数据链路层最基本的服务就是将源机网络层获取的数据可靠地传输到位于相邻节点的目标机网络层中去。其主要功能有:其一是如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;其二是如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;其三是在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。而介质访问控制MAC就是局域网的数据链路层的一个子层,位于链路层的下层。 局域网中目前广泛采用的两种介质访问控制方法,用于不同的拓扑结构,分别是:争用型介质访问控制,又称随机型的介质访问控制协议,如CSMA/CD方式;确定型介质访问控制,又称有序的访问控制协议,如Token(令牌)方式。接下来就介绍这两种介质访问控制协议。 1、CSMA/CD CSMA/CD ( Carrier Sense Multiple Access/Collision Detect ) 即载波监听多路访问/冲突检测机制,是争用型介质访问控制协议。最早的CSMA方法起源于美国夏威夷大学的ALOHA广播分组网络,1980年美国DEC、Intel和Xerox公司联合宣布以太网采用CSMA技术。 在CSMA中,由于信道传播随机时延的存在,即使通信双方的站点都没有侦听到载波信号,在传送数据时仍可能会发生碰撞冲突。因为他们可能会在检测到介质空闲时同时发送数据,致使冲突发生。尽管CSMA可以发现冲突,但它并没有先知的冲突检测和阻止功能,致使冲突发生频繁。因此,在CSMA访问协议的基础上添加了预先碰撞检测功能,形成了现在应用广泛的CSMA/CD。 CSMA/CD这种访问适用于总线型和树形拓扑结构,主要目的是提供寻址和媒体存取的控制方式,使得不同设备或网络上的节点可以在多点的网络上通信而不相互冲突。其工作原理是如下: A.发送数据前,先侦听信道是否空闲。
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
访问控制技术手段
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属
访问控制管理办法
访问控制管理办法 第一章总则 第一条目的:为了对DXC资产范围内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制,确保信息被合法使用,禁止非法使用,特制定本管理办法。 第二条依据:本管理办法根据《DXC信息安全管理策略》制订。 第三条范围:本管理办法适用于DXC及所辖分支。 第二章访问控制 第四条对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统,要对系统设置,保证在进入系统前必须执行登录操作,并且记录登录成功与失的日志。 第五条在可能的系统中,系统登录界面显示声明“只有合法用户才可用该系统”的警示。登录时设置系统不显示系统信息。 第六条对于具有身份验证功能的系统程序,程序所属部门,应建立登录程序的用户,并对有权限的人授权;对于没有用户验证功能的程序,要通过系统的访问权限控制对程序的访问。 第七条生产网和办公网要实现物理隔离,核心设备要设置特别的物理访问控制,并建立访问日志。 第八条对于信息资源的访问以目录或具体文件设置用户可用的最低权限,并通过属性权限与安全权限控制用的户权限。
第九条访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。 第十条访问控制的规则和权限应该符合DXC业务要求,并记录在案。 第十一条对网络系统访问时,通过为用户注册唯一的ID来实现对用户的控制。 第十二条系统管理员必须确保用户的权限被限定在许可的范围内,同时能够访问到有权访问的信息。 第十三条用户必须使用符合安全要求的口令,并对口令做到保密。 第十四条系统管理员必须对分配的权限和口令做定期检查,防止权限被滥用。检查频率为每季度一次,并填写《重要系统关键用户权限及口令季度审查表》。 第十五条明确用户访问的权限与所担负的责任。 第十六条系统管理员必须保证网络服务可用,保证使用网络服务的权限得到合理的分配与控制。 第十七条系统管理员制定操作系统访问的规则,用户必须按规则访问操作系统。 第十八条对各部门使用的应用系统或测试系统,由该部门制定访问规定并按规定执行。 第十九条对信息处理设施的使用情况进行监控,及时发现问题并采取必要的安全措施。
计算机网络 IEEE802.11介质访问控制
计算机网络IEEE802.11介质访问控制 通过对前面章节的学习,我们已经知道IEEE 802.3标准的以太网采用CSMA/CD的访问控制方法。在这种戒指访问控制方式下,准备传输数据的设备首先检测载波信道,如果在同一时间内没有侦听到载波,那么这个设备就可以发送数据。如果两个设备同时传送数据,就会发生冲突碰撞,并被所有冲突设备检测到,这种冲突便延缓了数据的重传,使得它们在间隔一段时间后才发送数据。 由于在无线网络传输中侦听载波及冲突检测都是不可靠的,而且侦听载波也是相当困难的。另外,在通常情况下,无线电波经由天线发送出去时,是无法监视的,因此冲突检测实际上是做不到的。而在IEEE 802.11x系列标准中的IEEE 802.11b标准定义的无线局域网中,使用的介质访问控制方式为载波监听多路访问/冲突避免(Carrier Sense Multiple Access/Collision Avoidance,CSMA/CA)。 在IEEE802.11介质访问控制中,将冲突检测(Collision Detection)变成了冲突避免(Collision Avoidance),其侦听载波技术由两种方式来实现,一种是实际的去侦听是否有电波在传送,然后加上优先权控制;另一种是虚拟的侦听载波,并告知其等待多久时间后可以传送数据,通过这样的方法来防止冲突发生。具体的来讲,它定义了一个帧间隔(Inter Frame Spacing,IFS)时间和后退计数器。其中,后者的初始值是由随机数生成器随机设置的,递减计数一直到归零为止。其工作过程如下: ●如果一个工作站需要发送数据并且监听到信道忙,则产生一个随机数设置自己的后 退计数器并坚持监听。 ●当监听到信道空闲后等待一个IFS时间,并开始计数。最先完成技术的工作站开始 发送数据。 ●其它工作站监听到有新的工作站开始发送数据后暂停计数,在新的工作站发送完成 后在等待一个IFS时间继续计数,直到计数完成后开始发送数据。 由于在两次IFS之间的时间间隔是各个工作站竞争发送的时间,它对于参与竞争的工作站是公平的,基本上是按照先来先服务的顺序来获得发送数据的机会。 在CSMA/CA中,通信方式将时间域的划分与帧格式紧密联系起来,以保证某一时刻只有一个站点在发送数据,它实现了网络系统的集中控制。由于传输介质的不同,CSMA/CD 与CSMA/CA的检测方式也不同。CSMA/CD是通过电缆中电压的变化来检测,当数据发生碰撞时,电缆中的电压就会随之发生变化;而在CSMA/CA中是采用能量检测(ED)、载波检测(CS)和能量载波混合检测3中检测信道空闲的方式。
H3C交换机AAA安全访问控制和管理
18. H3C交换机AAA安全访问控制与管理18.1 H3C交换机AAA基础 AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,是对网络访问控制的一种管理模式。它提供了一个对认证、授权和计费这三种功能进行统一配置的框架;“认证”确定哪些用户可以访问网络服务器;“授权”确定具有访问权限的用户最终可以获得哪些服务;“计费”确定如何对正在使用网络资源的用户进行计费。 18.1.1 AAA简介 AAA一般采用C/S(客户端/服务器)结构:客户端运行于被管理的资源侧(这里指网络设备,如接入交换机),服务器上几种存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 1.AAA认证 AAA支持以下认证方式: ?不认证:对接入用户信任,不进行合法性检查。这是默认认证方式。 ?本地认证:采用本地存储的用户信息对用户进行认证。本地认证的优点是速度快,可以 降低运营成本;缺点是存储信息量受设备硬件条件(如闪存大小)限制。 ?远程认证:在H3C以太网交换机中,远程认证是指通过RADIUS服务器或HWTACACS(Cisco IOS交换机中采用的是TACACS+协议)服务器对接入用户进行的认证。此时,H3C交换机作为RADIUS或者HWTACACS客户端,与RADIUS服务器或TACACS服务器通信。远程认证的有点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供专门的RADIUS 或者HWTACACS服务器,并进行正确的服务器配置。 2.AAA授权 AAA支持以下授权方式: ?直接授权:对用户信任,直接授权通过。 ?本地授权:根据交换机上为本地用户账号配置的相关属性进行授权。 ?RADIUS认证成功后远程授权:由RADIUS服务器对用户进行远程授权。要注意:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS服务器进行授权。 ?HWTACACS远程授权:由HWTACACS服务器对用户进行远程授权(HWTACACS服务器的授权 是独立于认证进行的)。