大数据中的访问控制技术
大数据平台数据安全防护技术
大数据平台数据安全防护技术一、引言随着大数据技术的快速发展和广泛应用,大数据平台的数据安全问题日益凸显。
数据安全防护技术成为保障大数据平台信息安全的重要手段。
本文将详细介绍大数据平台数据安全防护技术,包括加密技术、访问控制技术、数据备份与恢复技术以及数据脱敏技术。
二、加密技术1. 对称加密技术对称加密技术是一种使用同一个密钥进行加密和解密的加密算法。
在大数据平台中,对称加密技术可以应用于数据传输过程中的加密保护,确保数据在传输过程中不被窃取或篡改。
2. 非对称加密技术非对称加密技术使用公钥和私钥进行加密和解密。
公钥可以公开,私钥只有数据接收方才能解密。
在大数据平台中,非对称加密技术可以用于保护重要数据的存储,确保只有授权人员能够解密访问。
三、访问控制技术1. 身份认证技术身份认证技术用于验证用户的身份信息,以确保只有合法用户能够访问大数据平台。
常见的身份认证技术包括密码认证、指纹识别、声纹识别等。
2. 权限管理技术权限管理技术用于控制用户在大数据平台上的访问权限。
通过对用户进行分类和赋予不同的权限,可以实现对数据的细粒度访问控制,保护数据的安全性。
四、数据备份与恢复技术数据备份与恢复技术是大数据平台中重要的数据安全防护措施之一。
通过定期备份数据,并建立完善的数据恢复机制,可以有效应对数据丢失、系统崩溃等突发情况。
1. 数据备份策略数据备份策略包括全量备份和增量备份。
全量备份是将所有数据进行备份,而增量备份则只备份发生变化的数据。
合理选择备份策略可以降低备份成本和恢复时间。
2. 数据恢复技术数据恢复技术包括物理恢复和逻辑恢复。
物理恢复是指通过备份数据的物理副本进行恢复,而逻辑恢复则是通过数据库日志等方式进行数据恢复。
根据不同的情况选择适合的恢复技术。
五、数据脱敏技术数据脱敏技术用于保护敏感数据,在保证数据可用性的前提下,对数据进行处理,使其无法直接关联到具体个人或组织。
常用的数据脱敏技术包括数据加密、数据替换、数据隐藏等。
基于全链路的大数据基础管理关键技术分析
基于全链路的大数据基础管理关键技术分析随着互联网的快速发展以及移动互联网、物联网等新兴技术的兴起,数据量的增长呈现出指数级的态势。
大数据时代已经到来,对于大数据的存储、管理和分析成为了各个行业的重要课题。
基于全链路的大数据基础管理是大数据存储、管理和分析的重要组成部分,全链路的数据管理需要全面考虑从数据采集、存储、处理、分析到应用的全过程,并且要求实时、高效、可靠。
一、全链路数据采集技术在大数据的全链路管理中,数据采集是整个数据处理流程的起点,数据的质量和实时性都取决于数据采集的效率。
当前数据采集技术主要包括以下几种关键技术:1. 数据源接入技术:数据源接入技术是指将各种类型的数据源进行抽取、转换和加载至数据平台的过程。
目前常用的数据源接入技术包括ETL工具、数据同步工具、数据抽取工具等。
ETL工具可以抽取多个异构数据源的数据,并进行清洗、去重、转换等处理,将数据加载至数据仓库或数据湖中;数据同步工具可以实现不同数据源之间的同步更新;数据抽取工具可以对实时数据进行抽取和同步。
2. 流式数据采集技术:随着大数据的实时性要求越来越高,流式数据采集技术成为了一种重要的数据采集技术。
流式数据采集技术可以实时接收高速流动的数据,进行实时计算和处理,并将结果存储到数据平台中。
目前流式数据采集技术主要包括Kafka、Flume、Storm等开源工具,这些工具可以实现高效、实时、可靠的数据采集和处理。
1. 分布式文件系统:分布式文件系统可以存储海量的数据,并且支持高可靠、高并发的访问。
当前常用的分布式文件系统包括HDFS、Ceph、GlusterFS等,这些文件系统可以实现大规模的数据存储和管理,并且支持高效的数据访问和分析。
2. 分布式数据库:分布式数据库是指将数据库分布存储于多个计算节点上,并且支持数据的分布式存储和查询。
目前常用的分布式数据库包括HBase、Cassandra、MongoDB 等,这些数据库具有高可扩展性、高并发性和高可靠性的特点,可以实现海量数据的存储和查询。
大数据平台数据安全防护技术
大数据平台数据安全防护技术引言概述:随着大数据时代的到来,大数据平台的应用越来越广泛。
然而,大数据平台的数据安全问题也日益凸显。
为了保护大数据平台中的数据安全,各种数据安全防护技术应运而生。
本文将从以下五个方面介绍大数据平台数据安全防护技术。
一、访问控制技术1.1 身份认证:大数据平台应采用强大的身份认证机制,如基于用户ID和密码的认证方式,或者使用更加安全的双因素认证方式。
1.2 权限管理:通过权限管理技术,对大数据平台的用户进行细粒度的权限控制,确保只有授权用户才能访问敏感数据。
1.3 审计日志:建立完善的审计日志系统,记录用户的操作行为,及时发现异常操作并进行追踪,以保护数据的安全。
二、数据加密技术2.1 数据传输加密:在大数据平台中,数据的传输过程中很容易受到黑客的攻击,因此采用数据传输加密技术是非常重要的,可以使用SSL/TLS协议对数据进行加密传输。
2.2 数据存储加密:对大数据平台中的敏感数据进行加密存储,确保即使数据被盗取,黑客也无法解密获取有效信息。
2.3 数据处理加密:在大数据平台的数据处理过程中,采用数据处理加密技术,确保敏感数据在处理过程中得到保护,防止数据泄露。
三、数据备份与恢复技术3.1 定期备份:建立定期备份机制,将大数据平台中的数据进行备份,以防止数据丢失或损坏。
3.2 灾难恢复:建立灾难恢复机制,当大数据平台遭受自然灾害、硬件故障等情况时,能够快速恢复数据并保证业务的连续性。
3.3 数据冗余:通过数据冗余技术,将数据存储在多个地点,确保即使某个存储点出现故障,数据仍然可用。
四、威胁检测与防护技术4.1 入侵检测系统:建立入侵检测系统,对大数据平台进行实时监控,及时发现并阻止潜在的入侵行为。
4.2 恶意代码防护:采用恶意代码防护技术,对大数据平台的系统进行实时监测和防护,防止恶意代码对系统进行攻击。
4.3 数据泄露防护:通过数据泄露防护技术,对大数据平台中的敏感数据进行监测和防护,防止数据泄露给未经授权的人员。
访问控制技术
数据保护
02
03
资源管控
对云端存储的数据进行访问控制, 防止未经授权的访问和数据泄露。
根据用户角色和权限,对云计算 资源进行合理分配和控制,确保 资源的合规使用。
大数据隐私保护
数据匿名化处理
通过对大数据进行匿名化处理,隐藏敏感信息,降低数据泄露风 险。
数据去标识化
去除数据中的个人标识符,保护用户隐私,防止个人数据被非法 追踪和使用。
04
访问控制技术实现
基于密码的访问控制
总结词
通过用户名和密码验证身份,控制对资源的访问。
详细描述
基于密码的访问控制是最常见的访问控制技术之一。用户在登录系统或访问资源时,需要输入用户名和密码进行 身份验证。系统通过比对用户输入的用户名和密码与预先存储的信息,判断用户是否具有访问权限。
基于代理的访问控制
决策表模型
总结词
决策表模型是一种基于规则的访问控制模型,它将访问控制规则以决策表的形式进行表示和实现。
详细描述
决策表模型中,访问控制规则以决策表的形式进行组织和管理。决策表由条件和动作组成,条件表示 访问请求的特征,动作表示访问控制决策的结果。决策表模型具有简单直观的优点,易于理解和实现 ,但随着规则数量的增加,决策表可能会变得庞大和难以管理。
访问控制技术
目录
• 访问控制技术概述 • 访问控制策略 • 访问控制模型 • 访问控制技术实现 • 访问控制技术挑战与解决方案 • 访问控制技术应用场景
01
访问控制技术概述
定义与目标
定义
访问控制技术是一种用于限制对资源 访问的方法,通过验证用户身份、授 权和身份验证来确保只有合法的用户 能够访问受保护的资源。
应用场景
大数据安全与隐私保护研究
大数据安全与隐私保护研究随着互联网技术的不断发展,大数据的应用越来越广泛。
大数据不仅在商业领域发挥着重要作用,还在医疗、教育、政府管理等领域得到了广泛的应用。
然而,大数据的安全和隐私保护问题也愈发引人关注。
本文将从大数据安全和隐私保护两个方面对大数据的研究进行探讨。
一、大数据安全大数据安全主要是指在大数据处理中,如何保证数据不被破坏、篡改、泄露等问题。
大数据的处理需要大量的计算资源和存储资源,因此一旦大数据安全问题出现,其后果将是灾难性的。
在大数据的安全研究中,主要包括数据加密技术、访问控制技术、防火墙技术等。
1、数据加密技术数据加密技术是大数据安全中不可缺少的一部分,它可用于保护数据的机密性、完整性和可用性。
数据加密技术可以将明文数据通过加密算法转换成密文数据,以达到数据保密的目的。
当前最常用的数据加密技术包括对称加密算法和非对称加密算法。
对称加密算法是对于加密和解密使用相同的密钥,而非对称加密算法则需要使用公钥和私钥进行信息加密和解密。
2、访问控制技术访问控制技术用于限制数据的访问,只有具备相应权限的用户才能访问相关数据。
访问控制技术可分为基于角色的访问控制、基于授权的访问控制以及基于内容的访问控制等。
其中,基于角色的访问控制是目前比较常见的访问控制方式,它是将用户按照角色分类,并将访问权限授权给特定角色,从而实现访问控制。
3、防火墙技术防火墙技术主要用于保护网络不受攻击,同时也能够防范数据被窃取或篡改。
防火墙可将来自外部的网络攻击拦截在外,保护服务器和数据的安全。
目前,防火墙技术已经非常成熟,主要包括包过滤器、状态检测、应用层网关等。
二、大数据隐私保护大数据隐私保护主要考虑的是如何保护数据的隐私性。
在大数据的处理中,对数据隐私的保护显得尤为重要。
数据隐私保护主要分为数据匿名化、隐私保护技术、隐私保护协议等。
1、数据匿名化数据匿名化是数据隐私保护的重要手段之一,它可以将原始数据进行匿名化处理,从而保护数据隐私。
大数据隐私保护方案设计技术与管理措施
大数据隐私保护方案设计技术与管理措施随着大数据技术的迅猛发展,各类机构和企业对于个人隐私的保护日益重视。
在大数据应用中,隐私泄露问题是一个亟待解决的挑战。
为了保护用户隐私并合规运营,在进行大数据处理的过程中,需要采取相应的技术和管理措施。
本文将探讨大数据隐私保护方案的设计技术和管理措施。
一、隐私保护技术1. 数据匿名化数据匿名化是一种常用的隐私保护技术,通过对原始数据进行变换或删除敏感信息的方法,实现对个人身份的隐藏。
其中,常用的匿名化方法包括K-匿名、差分隐私以及数据泛化等。
通过数据匿名化,能够确保在进行数据处理时不会泄露用户的敏感信息。
2. 访问控制访问控制是通过制定权限策略,对数据的访问进行控制和管理,以防止未授权用户获取敏感信息。
在大数据环境中,可以采用强化的访问控制技术,如基于角色的访问控制(RBAC)、属性基于访问控制(ABAC)等,确保数据的安全性和隐私保护。
3. 加密技术加密技术是一种重要的隐私保护手段,可以通过对敏感数据进行加密,确保在数据传输和存储的过程中,即使被攻击者获取,也无法解读其内容。
常见的加密算法包括对称加密算法和非对称加密算法等。
在大数据应用中,可以采用数据加密来保护用户的隐私信息。
二、隐私保护管理措施1. 隐私政策和用户合规制定明确的隐私政策是保护用户隐私的重要管理措施。
隐私政策应该清晰表述对用户隐私的保护承诺,明确收集用户数据的目的和范围,并告知用户他们可以行使的权利。
此外,还应与用户进行充分的沟通和教育,确保用户对隐私保护的政策和技术措施有全面的了解。
2. 数据安全管理建立完善的数据安全管理体系,对大数据的存储、传输和处理过程进行安全防护。
这包括规范的数据备份策略、安全的数据传输协议以及严格的访问控制机制等。
同时,应定期进行数据安全审计和风险评估,确保敏感数据的安全性。
3. 敏感数据脱敏与存储对于敏感数据,应采取特殊的脱敏技术,确保数据在使用和存储的过程中不泄露用户的敏感信息。
大数据平台数据安全防护技术
大数据平台数据安全防护技术随着大数据技术的快速发展和应用,大数据平台的数据安全问题越来越受到关注。
数据安全防护技术在大数据平台中起着至关重要的作用,它可以有效保护数据免受未经授权的访问和恶意攻击。
本文将介绍大数据平台数据安全防护技术的相关内容,匡助读者更好地了解和应用这些技术。
一、数据加密技术1.1 数据加密算法:大数据平台中常用的数据加密算法包括AES、DES、RSA 等,这些算法可以对数据进行加密,防止数据在传输和存储过程中被窃取。
1.2 数据加密密钥管理:在大数据平台中,密钥管理是非常重要的一环,合理的密钥管理可以确保数据的安全性。
密钥管理包括密钥的生成、存储、分发和更新等操作。
1.3 数据加密应用场景:数据加密技术可以应用于大数据平台中的各个环节,包括数据传输、数据存储、数据处理等,保障数据在各个环节的安全性。
二、访问控制技术2.1 身份认证:在大数据平台中,对用户进行身份认证是非常重要的一环,惟独通过身份认证的用户才干访问数据。
常用的身份认证方式包括用户名密码、双因素认证等。
2.2 访问控制策略:制定合理的访问控制策略可以有效控制用户对数据的访问权限,防止未经授权的用户访问数据。
访问控制策略可以根据用户的身份、角色和权限等进行设置。
2.3 审计日志:在大数据平台中,审计日志记录用户的操作行为,可以匡助管理员追踪用户的操作轨迹,及时发现异常行为并进行处理。
三、数据脱敏技术3.1 数据脱敏方法:数据脱敏是一种保护敏感数据的方法,可以对数据进行脱敏处理,保护数据的隐私性。
常用的数据脱敏方法包括数据替换、数据隐藏、数据扰乱等。
3.2 数据脱敏策略:在大数据平台中,制定合理的数据脱敏策略是非常重要的,可以根据数据的敏感程度和使用场景等因素来选择合适的脱敏方法。
3.3 数据脱敏应用场景:数据脱敏技术可以应用于大数据平台中的各个环节,包括数据传输、数据存储、数据处理等,保护数据的隐私性和安全性。
四、数据备份与恢复技术4.1 数据备份策略:在大数据平台中,制定合理的数据备份策略是非常重要的,可以确保数据的安全性和可靠性。
新型网络环境下的访问控制技术
新型网络环境下的访问控制技术随着互联网的普及和发展,新型网络环境下的访问控制技术成为了网络安全领域的关键课题。
传统的网络环境下,访问控制主要是基于网络边界的防火墙和路由器来实现的,但是在新型网络环境下,访问控制技术需要适应云计算、大数据、物联网等新技术和新应用的需求,具有更高的性能、更灵活的策略、更全面的监管等特点。
本文将从新型网络环境下的特点、访问控制技术的发展趋势以及一些典型的访问控制技术进行介绍,旨在为读者提供一个全面的了解新型网络环境下的访问控制技术。
一、新型网络环境下的特点新型网络环境主要包括云计算、大数据、物联网等技术,具有以下特点:1. 虚拟化和多租户:云计算环境下的虚拟机技术和容器技术使得服务器资源能够灵活地划分和管理,多个租户可以共享同一套硬件资源,因此访问控制需要对不同的租户和虚拟机进行细粒度的管控。
2. 大规模和高性能:大数据环境下对数据的处理速度和存储容量有特别的要求,访问控制需要在保证高性能的同时能够对数据进行有效的筛选和监管。
3. 多样性和复杂性:物联网环境下的终端设备类型多样,工作环境复杂,访问控制需要对不同的终端设备和应用场景进行智能的管控。
以上特点使得新型网络环境下的访问控制技术需要具备更高的灵活性、高性能和智能化的特点。
二、访问控制技术的发展趋势在新型网络环境下,访问控制技术的发展趋势主要体现在以下几个方面:1. 智能化:访问控制技术需要具备智能识别和智能决策的能力,能够根据用户的身份、行为和设备特征进行动态的访问控制。
2. 细粒度控制:随着虚拟化和多租户的普及,访问控制需要对网络、应用、数据和用户等进行更加细粒度的控制。
3. 自适应性:访问控制技术需要具备自适应性,能够根据网络环境的变化和威胁的变化进行自动的调整和优化。
4. 集中化和分布式:访问控制技术需要在集中管理和分布式管理之间取得平衡,能够集中管理全局的访问策略,又能够在本地快速响应访问请求。
5. 透明化和隐私保护:访问控制技术需要在确保访问透明的能够对用户的隐私进行有效的保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自主访问控制的标准
自主访问控制有两个至关重要的标准: (1)文件和数据的所有权:系统中的每个物体都有所有者。在大多数 DAC系统中,物体的所有者是产生这个物体的人(或事件,或另一个物 体)。那么次物体的自主访问控制权限由它的产生着决定;
(2)访问权限及获批:物体的所有者拥有访问权限,并且可以批准他人 试图访问的请求。
T>C>S>U T:绝密级(Top Secret) C:机密级(Confidential)
S:秘密级(Secret)
U:无级别级(Unclassified)
四种强制访问控制策略规定
下读:用户级别大于文件级别的读操作 上写:用户级别低于文件级别的写操作
下写:用户级别大于文件级别的写操作 上读:用户级别低于文件级别的读操作
自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制 是自主的,即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。 自主访问控制是一种比较宽松的访问控制,一个主题的访问权限具有传递性。 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。 实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定 并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。 自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访 问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻 止非授权用户读取敏感信息。
自主访问控制的优缺点
优点
主体对授权过程具有极大的灵活性
缺点 权限的授予过程存在链式结构,它能控制主体能否直接 获得对客体的访问权限但不能控制主体间接获得对客体的访问权限。其 安全性能相对较低 在权限管理方面,系统需要维护不同主体对不同客体的 不同访问权限之间的关系,权限管理复杂性较高
访问控制模型
自主访问控制(Discretionary Access Control,DAC)是这样的一种控制方 式,由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部 分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可 以按自己的意愿,有选择地与其他用户共享他的文件。
授权行为
信任模型
信任模型
层次信任模型
网状信任模型
对等信任模型
访问控制与审计(操作日志)
审计跟踪概述 审计内容
审计跟踪概述
审计内容
个人职能(Individual Accountability) 事件重建(Reconstruction of events) 入侵检测(Intrusion Detection)
大数据中的访问控制技术
什么是大数据?
历史: “大数据”这个术语最早期的引用可追溯到apache org的开源项 目Nutch。当时,大数据用来描述为更新网络搜索索引需要同时进行批量 处理或分析的大量数据集。随着谷歌MapReduce和Google File System (GFS)的发布,大数据不再仅用来描述大量的数据,还涵盖了处理数据 的速度。
故障分析(Problem Analysis)
The End
Thank You!
大数据的关键技术
大数据技术,就是从各种类型的数据中快速获得有价值信息的技 术。大数据领域已经涌现出了大量新的技术,它们成为大数据采集、存 储、处理和呈现的有力武器。
大数据处理关键技术一般包括:大数据采集、大数据预处理、大数 据存储及管理、大数据分析及挖掘、大数据展现和应用(大数据检索、 大数据可视化、大数据应用、大数据安全等)。
访问控制技术
防止对任何资源进行未授权的访问,从而使计算机系统在合法的 范围内使用。意指,用户身份及其所归属的某项定义组来限制用户对某 些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC 网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统 管理员控制用户对服务器、目录、文件等网络资源的访问。
RBAC模型基本原理图
RBAC模型特点
基于用户角色对客体执行访问控制。
权限同角色关联,角色比用户本身更为稳定。
用户和适当的角色关联:
用户在系统里表现出一定的活动性质,这种活动性质表明用户充当了 一定的角色。用户访问系统执行相关操作时,系统必须先检查用户的角色,核对该角色是 否具有执行相关操作的权限。一个用户可以充当多个角色,一个角色也可以由多个用户担 任。 用户与角色关联的方式,便于授权管理、根据工作需要分级、赋予最 小特权、任务分担以及文件分级管理。
大数据的定义
对于“大数据”(Big data)研究机构Gartner给出了这样的定 义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力 和流程优化能力的海量、高增长率和多样化的信息资产。
大数据的意义
大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这 些含有意义的数据进行专业化处理。换言之,如果把大数据比作一种产 业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”, 通过“加工”实现数据的“增值”。
用户、角色、权限三者相互独立的结构保证了授权过程的灵 活性。
PDR扩展模型示意图
访问控制策略
基于身份的安全策略(IDBACP) 目的是过滤对数据或资源的访问,只有能通过认证的那 些主体才有可能正常使用客体的资源。
----基于个人的策略 ----基于组的策略
基于个人的策略
基于组的策略
访问控制策略
基于角色的访问控制模型(RBAC)
基本定义
角色:指一个或一组用户在组织内可执行的操作的集合。角色就充当着 主体(用户)和客体之间的关键桥梁。
角色授权:每个角色与一组有关的操作相互关联,角色所属的用户有权 执行这些操作。 角色与组: -组:一组用户的集合。 -角色:一个用户/一组用户的集合 + 一组操作权限的集合。
信息流模型需要遵守的安全规则是:在系统状态转换时,信息流 只能从访问级别低的状态流向访问级别高的状态。信息流模型实现的关 键在于对系统的描述,即对模型进行彻底的信息流分析,找出所有的信 息流,并根据信息流安全规则判断其是否为异常流。若是就反复修改系 统的描述或模型,直到所有的信息流都不是异常流为止。信息流模型是 一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。现有的信 息流模型无法直接指出那种内部信息流是被允许的,哪种是不被允许的, 因此在实际系统中的实现和验证中没有太多的帮助和指导。
基本思想
访问控制的过程与访问者的身份认证密切相关,通过确 定该合法访问者的身份来确定访问者在系统中对哪类信息有什么样的访 问权限。一个访问者可以充当多个角色,一个角色也可以由多个访问者 担任。
RBAC模型的基本结构
模型中以角色作为访问控制的核心,用 户以什么样的角色对资源进行访问,决定了用户拥 有的权限以及可执行何种操作。采用了角色的授权 规定对于用户是一种强制性的规定,用户不能自主 的将访问权限传给他人。
信息流模型
从安全模型所控制的对象来看,一般有两种不同的 方法来建立安全模型:一种是信息流模型,另一种 是访问控制模型。
信息流模型主要着眼于对客体之间的信息传输过程 的控制,通过对信息流向的分析可以发现系统中存 在的隐蔽通道,并设法予以堵塞。信息流是信息根 据某种因果关系的流动,信息流总是从旧状态的变 量流向新状态的变量。信息流模型的出发点是彻底 切断系统中信息流的隐蔽通道,防止对信息的窃取。 隐蔽通道就是指系统中非正常使用的、不受强制访 问控制正规保护的通信方式。隐蔽通道的存在显然 危及系统敏感信息的保护。
强制访问控制的优缺点
优点: 权限授予过程中,不仅需要检查主体是否对客体具有操 作权限,还需要检查主、客体的安全属性是否符合要求,使得授权过程 更加安全。
强制访问控制的优缺点
缺点:
权限管理系统必须按照系统规定为每个主体或客体分配 安全属性,并且需要仔细定义主、客体安全属性之间的对应关系,从而 防止合法用户不能对授权客体进行操作,以及非法主体能够对未授权的 客体进行操作的现象,其权限管理难度较大。 模型中可信主体不受特性约束访问权限太大,不符合最 小特权原则,难于应付访问权限具有很多微小差别的情况,应对可信主 体的操作权限和应用范围进一步细化。
基于规则的安全策略 (1)授权通常依赖于敏感性。在一个安全系统中,数据或资源应该标注 安全标记,代表用户进行活动的进程可以得到与其原发者相应的安全标 记。
(2)实现上,由系统通过比较用户的安全级别和客体资源的安全级别来 判断是否允许用户进行访问。
访问控制与授权(权限控制)
授权行为 信任模型 信制模型 自主访问控制(DAC) 强制访问控制(MAC)
信息流模型
基于角色的访问控制模型(RBAC) PDR扩展模型
大数据中的访问控制
访问控制策略 基于身份的安全策略 基于规则的安全策略
访问控制与授权(权限控制)
访问控制与审计(操作日志)
访问控制模型
自主访问控制(DAC)
强制访问控制(MAC) 概念:在自主访问控制的基础上,增加了对资源的属性(安 全属性)划分,规定不同属性下的访问权限。
特点:
(1)将主体和客体分级,根据主体和客体的级别标记来决 定访问模式。 (2)其访问控制关系分为:上读/下写,下读/上写。 (3)通过梯度安全标签实现单向信息流通模式。
安全属性四个级别的规定