首页 > 知识点讲解
       访问控制和鉴别
知识路径: > 信息安全知识 > 
被考次数:1次     被考频率:低频率     总体答错率:31%     知识难度系数:     
相关知识点:29个      
               鉴别
               鉴别机制是以交换信息的方式确认实体真实身份的一种安全机制。身份可被鉴别的实体称为主体,主体具有一个或多个与之对应的辨别标识符。可被鉴别的主体有:人类用户;进程;实开放系统;OSI层实体;组织机构。鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份,这类危害被称为“冒充”。
               识别将可辨别标识符与某一主体联系起来,与其他主体区别。有时候,一个主体可以拥有并使用一个或多个辨别标识符。在给定的安全域内可辨别标识符要能够将一个主体与域中的其他主体区分开来。在不同的安全域中发生鉴别时,可以将辨别标识符与安全域标识符连接使用,以区别不同安全域中使用同一可辨别标识符的实体。
               鉴别提供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。有两种重要的关系背景:①主体由申请者来代表,申请者和验证者之间存在着特定通信关系(实体鉴别);②主体为验证者提供数据项来源。其中,申请者用于描述一类实体,这类实体本身就是用于鉴别的主体或者代表用于鉴别的主体。验证者用于描述一类实体,这类实体本身就是要求被鉴别的实体或者代表要求被鉴别的实体。鉴别信息是指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。
               鉴别的方法主要有如下5种。
               (1)用拥有的(如IC卡)进行鉴别。
               (2)用所知道的(如密码)进行鉴别。
               (3)用不可改变的特性(如生物学测定的标识特征)进行鉴别。
               (4)相信可靠的第三方建立的鉴别(递推)。
               (5)环境(如主机地址)。
               鉴别分为单向鉴别和双向鉴别。在单项鉴别中,一个实体充当申请者,另一个实体充当验证者;在双向鉴别中,每个实体同时充当申请者和鉴别者,并且两个方向上可以使用相同或者不同的鉴别机制。
               用户在被允许得到访问控制信息之前必须被鉴别,从而允许其在访问控制策略下访问资源,即鉴别服务可以将鉴别结果传送给访问控制服务。
               访问控制的一般概念
               访问控制决定了谁能够访问系统、能访问系统的哪些种资源和如何使用这些资源,是控制对计算机系统或网络的访问的一种方法,目的是防止对信息系统资源的非授权访问和使用。访问控制的手段包括用户识别代码、密码、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。
               访问控制是对进入系统进行控制,而选择性访问控制是进入系统后,对像文件和程序这类的资源的访问进行控制。一般来说,提供的权限有:读、写、创建、删除、修改等。安全级别指定用户所具有的权限,有管理员任务的人拥有所有的权限,最终用户只有有限的权限。
               下面讨论一下访问控制和内部控制的关系。
               内部控制是为了在组织内保障以下目标的实现而采取的方法。
               (1)信息的可靠性和完整性。
               (2)政策、计划、规程、法律、法规和合同的执行。
               (3)保护资产。
               (4)资源使用的经济性和有效性。
               (5)业务及计划既定目的和目标的达成。
               内部控制和访问控制的共同目标是保护资产。例如,内部控制涉及所有的有形资产和无形资产,包括与计算机相关的资产和与计算机无关的资产。而访问控制涉及与知识相关的无形资产(例如程序、数据和程序库)和有形资产(例如硬件和机房)。访问控制是整体安全控制的一部分。
               访问控制的策略
               实现访问控制的三种最常用的方法有。
               (1)要求用户输入一些保密信息,如用户名和密码。
               (2)采用物理识别设备,例如访问卡,钥匙或令牌。
               (3)采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别。
               其中,密码是只有系统和用户自己知道的简单字符串,是进行访问控制的简单而有效的方法,但是一旦被别人知道了就不能提供任何安全了。除了密码之外,访问控制的特性还包括。
               (1)多个密码:即一个密码用于进入系统,另一个密码用于规定操作权限。
               (2)一次性密码:系统生成一次性密码的清单,例如,第一次用A,第二次用B,第三次用C,等等。
               (3)基于时间的密码:访问使用的正确密码随时间变化,变化基于时间和一个秘密的用户钥匙,密码隔一段时间就发生变化,变得难以猜测。
               (4)智能卡:访问不但需要密码,还需要物理的智能卡才有权限接近系统。
               (5)挑战反应系统:使用智能卡和加密的组合来提供安全访问控制/身份识别系统。
               下面按类别对访问控制的手段进行举例:
               物理类控制手段如下。
               (1)防御型手段:文书备份、围墙和栅栏、保安、证件识别系统、加锁的门、双供电系统、生物识别型门禁系统、工作场所的选择、灭火系统。
               (2)探测型手段:移动监测探头、烟感和温感探头、闭路监控、传感和报警系统。
               管理类控制手段:
               (1)防御型手段:安全知识培训、职务分离、职员雇用手续、职员离职手续、监督管理、灾难恢复和应急计划、计算机使用的登记。
               (2)探测型手段:安全评估和审计、性能评估、强制假期、背景调查、职务轮换。
               技术类控制手段:
               (1)防御型手段:访问控制软件、防病毒软件、库代码控制系统、密码、智能卡、加密、拨号访问控制和回叫系统。
               (2)探测型手段:日志审计、入侵探测系。
 
本知识点历年真题:
隶属试卷 题号/题型 题干 难度系数/错误率
   2009年下半年
   信息系统管理工..
   上午试卷 综合知识 		第68题
选择题
某网站向CA申请了数字证书,用户通过(68)来验证网站的真伪。

31%
 
 相关知识点:
场地设施安全管理
完整性保障策略
技术安全管理
病毒的预防
事故响应与事故恢复
安全机构和人员管理
加密与解密机制
计算机犯罪的防范
计算机病毒的防治
保密与加密
计算机病毒的防治与计算机犯罪的..
计算机病毒概念
安全管理政策法规
完整性保障
安全管理
可用性保障
安全性要素
安全性简介
加密
完整性概念
安全性基本概念和特征
密码算法
安全分析
网络管理
识别和评估风险
减少故障时间的高可用性系统
病毒的消除
密钥及密钥管理
控制风险
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。

工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2023 All Rights Reserved 软考在线版权所有