免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2015年上半年 信息系统项目管理师 上午试卷 综合知识
  第17题      
  知识点:   PMI权限管理基础设施   访问控制   客体   主体
  关键词:   安全   范围   访问控制   计算机系统        章/节:   PMI 权限(授权)管理基础       

 
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用的安全措施,以下关于访问控制的叙述中,()是不正确的。
 
 
  A.  访问控制包括2个重要的过程:鉴别和授权
 
  B.  访问控制机制分为2种:强制访问控制(MAC)和自主访问控制(DAC)
 
  C.  RBAC基于角色的访问控制对比DAC的先进处在于用户可以自主将访问的权限授给其它用户
 
  D.  RBAC不是基于多级安全需求的,因为基于RBAC的系统中主要关心的是保护信息的完整性,即“谁可以对什么信息执行何种动作”
 
 
 

 
  第64题    2019年下半年  
   45%
( )在军事和安全部门中应用最多。
  第64题    2022年上半年  
   67%
()为证书的持有者提供了对一个资源实体所具有的权限。
  第16题    2011年上半年  
   72%
某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控..
   知识点讲解    
   · PMI权限管理基础设施    · 访问控制    · 客体    · 主体
 
       PMI权限管理基础设施
        访问控制基本概念
        访问控制是信息安全保障机制的核心内容之一,是实现数据保密性和完整性的主要手段之一。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用。
        访问控制的两个重要过程为:
        .认证过程:通过“鉴别”来检验主体的合法身份。
        .授权管理:通过“授权”来赋予用户对某项资源的访问权限。
        访问控制机制可分为以下两种:
        .强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。
        .自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。
        20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。
        .RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。
        .RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。
        基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
        PMI的术语与概念
        1.PMI的定义和功能
        PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权限统一交由授权机构进行管理,即由资源的所有者进行访问控制管理。
        PMI是建立在PKI基础上的,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用信息系统提供授权服务管理;提供用户身份到应用授权的映射功能;实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制;并能极大地简化应用中访问控制和权限管理系统的开发和维护;并减少管理成本和复杂性。
        2.PMI与PKI的比较
        PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
        PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
        PKI和PMI之间的关系类似于护照和签证的关系。
        PMI与PKI的比较如下表所示。
        
        PMI与PKI的比较
        3.属性证书定义
        对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心签发并管理。
        属性证书包括如下内容:版本号、持有者、颁发者、签名算法、序列号、有效期、属性、扩展项、签名信息。
        公钥证书将一个身份标识和公钥绑定,属性证书将一个标识和一个角色、权限或者属性绑定(通过数字签名);和公钥证书一样,属性证书能被分发、存储或缓存在非安全的分布式环境中;不可伪造,防篡改。同时,属性证书有以下特点:
        .分立的发行机构。
        .基于属性而不是基于身份进行访问控制。
        .属性证书与身份证书相互关联。
        .时效短。
        .一个人可以拥有好几个属性证书,但每一个都会与唯一的身份证书关联。几个属性证书可以来自不同的机构。
        属性证书的使用模式有两种:推模式和拉模式。
        PMI应用支撑框架
        PMI平台由策略规则、权限管理和访问控制框架共同构成。
        策略规则是PMI真正发挥在访问控制应用方面的灵活性、适应性和降低管理成本的关键。具体来说,策略包含:
        .应用系统中的所有用户和资源信息。
        .用户和资源信息的组织管理方式。
        .用户和资源信息之间的权限关系。
        .保证安全的管理授权约束。
        .保证系统安全的其他约束。
        权限管理模型包括3个实体:对象(客体)、访问者(主体)和权限验证者。
        访问控制授权方案主要有:
        .DAC:即自主访问控制方式,该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
        .ACL:即访问控制列表方式,该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。
        .MAC:即强制访问控制方式,该模型在军事和安全部门中应用较多。目标具有一个包含等级的安全标签,访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
        .RBAC:即基于角色的访问控制方式,该模型首先定义一些组织内的角色,再根据管理规定给这些角色分配相应的权限,最后对组织内每个人根据具体业务和职位分配一个或多个角色。
        访问控制决策的基本因素有:
        .访问者:应用中支持哪些用户,确定用户的范围。
        .目标:策略要保护的是哪些目标,确定受保护的资源的范围。
        .动作:应用中限定访问者可以对目标设施的操作,确定权限的范围。
        .权限信任源:应用信任什么机构发布的权限信息。
        .访问规则:访问者具有什么权限才能够访问目标。
        PMI实施建议
        PMI实施的建议步骤为:
        (1)建立属性权威。可分为3种类型,包括使用嵌入式属性权威管理(例如由数据库管理员兼任)、单位内部建立属性权威、建立属性权威中心(简称AA中心)。
        (2)制订授权策略。可以针对安全域内的人员和资源的组织进行分析入手,抓住业务应用的需要,制订系统的授权策略。
        (3)授权。授权和访问控制是具体实现已经制订好的“授权策略”的主要环节。
        (4)访问控制。
        (5)审计。PMI平台提供独立于应用的访问操作审计能力和系统中管理事件的审计,可以在PMI平台中根据需要选择审计内容,不必在开发应用系统前制订。
        PMI实施一般采用以下的工作流程:
        (1)使用用户管理工具注册应用系统用户信息。
        (2)使用资源管理工具注册资源信息。
        (3)使用策略定制工具制订应用系统的权限管理和访问控制策略。
        (4)使用权限分配工具签发策略证书、角色定义证书。
        (5)属性权威针对用户签发属性证书。
        (6)启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器。
        (7)用户登录时,策略实施点验证用户身份,并根据下一个步骤获取权限信息。
        (8)如果是推模式,直接从用户提供的属性证书中获得权限信息;如果是拉模式,根据用户身份信息从属性证书库中检索,并返回用户的权限信息。
        (9)对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求。
        (10)策略实施点向策略决策点发出决策请求。
        (11)策略决策点根据策略对请求进行判断,返回决策结果。
        (12)策略实施点根据结果决定是否进行访问。
        (13)如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止服务。
 
       访问控制
        网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问。带外(out-of-band)访问不依赖其他网络,而带内(in-band)访问则要求提供网络支持。网络设备的访问方法主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问,要求物理上访问网络设备。AUX Port提供带外访问,可通过终端服务器或调制解调器Modem连接到网络设备,管理员可远程访问。VTY提供终端模式通过网络访问网络设备,通常协议是Telnet或SSH2。VTY的数量一般设置为5个,编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP(Trivial File Transfer Protocol)上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。
               CON端口访问
               为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器,可做如下配置,其指定X.Y.Z.1可以访问路由器:
               
               VTY访问控制
               为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束。例如,X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器,则可以配置如下:
               
               超时限制配置如下:
               
               HTTP访问控制
               限制指定IP地址可以访问网络设备。例如,只允许X.Y.Z.15路由器,则可配置如下:
               
               除此之外,强化HTTP认证配置信息如下:
               
               其中,type可以设为enable、local、tacacs或aaa。
               SNMP访问控制
               为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:
               一是SNMP访问认证。当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码。如下所示,路由器设置SNMP访问社区字符串。
               (1)设置只读SNMP访问模式的社区字符串。
               
               (2)设置读/写SNMP访问模式的社区字符串。
               
               二是限制SNMP访问的IP地址。如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。
               
               三是关闭SNMP访问。如下所示,网络设备配置no snmp-server community命令关闭SNMP访问。
               
               设置管理专网
               远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如下图所示。
               
               建立专用的网络用于管理路由器示意图
               同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下:
               (1)将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet。
               (2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。
               
               特权分级
               针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力。在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级。等级越高,操作权限就越多,具体配置如下:
               
 
       客体
        客体是被主体操作的对象。通常来说,对一个客体的访问隐含着对其信息的访问。
 
       主体
        主体是客体的操作实施者。实体通常是人、进程或设备等,一般是代表用户执行操作的进程。比如编辑一个文件,编辑进程是存取文件的主体,而文件则是客体。
   题号导航      2015年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第17题    在手机中做本题