免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2011年上半年 信息系统项目管理师 上午试卷 综合知识
  第16题      
  知识点:   PMI权限管理基础设施   访问控制   访问控制策略
  关键词:   对象   访问控制策略   数据   资源列表   访问控制        章/节:   PMI 权限(授权)管理基础       

 
某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于(16)。
 
 
  A.  自主访问控制(DAC)
 
  B.  强制访问控制(MAC)
 
  C.  基于角色的访问控制(RBAC)
 
  D.  访问控制列表方式(ACL)
 
 
 

 
  第60题    2021年上半年  
   24%
工程师小王在检查公司云计算管理平台的网络安全时,需检查虚拟网络边界的( )策略,查看其是否对透出网络的信息内容进行过滤,..
  第64题    2019年下半年  
   45%
( )在军事和安全部门中应用最多。
  第61题    2021年上半年  
   34%
关于权限管理基础设施的描述,不正确的是( )。
   知识点讲解    
   · PMI权限管理基础设施    · 访问控制    · 访问控制策略
 
       PMI权限管理基础设施
        访问控制基本概念
        访问控制是信息安全保障机制的核心内容之一,是实现数据保密性和完整性的主要手段之一。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用。
        访问控制的两个重要过程为:
        .认证过程:通过“鉴别”来检验主体的合法身份。
        .授权管理:通过“授权”来赋予用户对某项资源的访问权限。
        访问控制机制可分为以下两种:
        .强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。
        .自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。
        20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。
        .RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。
        .RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。
        基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
        PMI的术语与概念
        1.PMI的定义和功能
        PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权限统一交由授权机构进行管理,即由资源的所有者进行访问控制管理。
        PMI是建立在PKI基础上的,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用信息系统提供授权服务管理;提供用户身份到应用授权的映射功能;实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制;并能极大地简化应用中访问控制和权限管理系统的开发和维护;并减少管理成本和复杂性。
        2.PMI与PKI的比较
        PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
        PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
        PKI和PMI之间的关系类似于护照和签证的关系。
        PMI与PKI的比较如下表所示。
        
        PMI与PKI的比较
        3.属性证书定义
        对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心签发并管理。
        属性证书包括如下内容:版本号、持有者、颁发者、签名算法、序列号、有效期、属性、扩展项、签名信息。
        公钥证书将一个身份标识和公钥绑定,属性证书将一个标识和一个角色、权限或者属性绑定(通过数字签名);和公钥证书一样,属性证书能被分发、存储或缓存在非安全的分布式环境中;不可伪造,防篡改。同时,属性证书有以下特点:
        .分立的发行机构。
        .基于属性而不是基于身份进行访问控制。
        .属性证书与身份证书相互关联。
        .时效短。
        .一个人可以拥有好几个属性证书,但每一个都会与唯一的身份证书关联。几个属性证书可以来自不同的机构。
        属性证书的使用模式有两种:推模式和拉模式。
        PMI应用支撑框架
        PMI平台由策略规则、权限管理和访问控制框架共同构成。
        策略规则是PMI真正发挥在访问控制应用方面的灵活性、适应性和降低管理成本的关键。具体来说,策略包含:
        .应用系统中的所有用户和资源信息。
        .用户和资源信息的组织管理方式。
        .用户和资源信息之间的权限关系。
        .保证安全的管理授权约束。
        .保证系统安全的其他约束。
        权限管理模型包括3个实体:对象(客体)、访问者(主体)和权限验证者。
        访问控制授权方案主要有:
        .DAC:即自主访问控制方式,该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
        .ACL:即访问控制列表方式,该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。
        .MAC:即强制访问控制方式,该模型在军事和安全部门中应用较多。目标具有一个包含等级的安全标签,访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
        .RBAC:即基于角色的访问控制方式,该模型首先定义一些组织内的角色,再根据管理规定给这些角色分配相应的权限,最后对组织内每个人根据具体业务和职位分配一个或多个角色。
        访问控制决策的基本因素有:
        .访问者:应用中支持哪些用户,确定用户的范围。
        .目标:策略要保护的是哪些目标,确定受保护的资源的范围。
        .动作:应用中限定访问者可以对目标设施的操作,确定权限的范围。
        .权限信任源:应用信任什么机构发布的权限信息。
        .访问规则:访问者具有什么权限才能够访问目标。
        PMI实施建议
        PMI实施的建议步骤为:
        (1)建立属性权威。可分为3种类型,包括使用嵌入式属性权威管理(例如由数据库管理员兼任)、单位内部建立属性权威、建立属性权威中心(简称AA中心)。
        (2)制订授权策略。可以针对安全域内的人员和资源的组织进行分析入手,抓住业务应用的需要,制订系统的授权策略。
        (3)授权。授权和访问控制是具体实现已经制订好的“授权策略”的主要环节。
        (4)访问控制。
        (5)审计。PMI平台提供独立于应用的访问操作审计能力和系统中管理事件的审计,可以在PMI平台中根据需要选择审计内容,不必在开发应用系统前制订。
        PMI实施一般采用以下的工作流程:
        (1)使用用户管理工具注册应用系统用户信息。
        (2)使用资源管理工具注册资源信息。
        (3)使用策略定制工具制订应用系统的权限管理和访问控制策略。
        (4)使用权限分配工具签发策略证书、角色定义证书。
        (5)属性权威针对用户签发属性证书。
        (6)启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器。
        (7)用户登录时,策略实施点验证用户身份,并根据下一个步骤获取权限信息。
        (8)如果是推模式,直接从用户提供的属性证书中获得权限信息;如果是拉模式,根据用户身份信息从属性证书库中检索,并返回用户的权限信息。
        (9)对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求。
        (10)策略实施点向策略决策点发出决策请求。
        (11)策略决策点根据策略对请求进行判断,返回决策结果。
        (12)策略实施点根据结果决定是否进行访问。
        (13)如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止服务。
 
       访问控制
        网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问。带外(out-of-band)访问不依赖其他网络,而带内(in-band)访问则要求提供网络支持。网络设备的访问方法主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问,要求物理上访问网络设备。AUX Port提供带外访问,可通过终端服务器或调制解调器Modem连接到网络设备,管理员可远程访问。VTY提供终端模式通过网络访问网络设备,通常协议是Telnet或SSH2。VTY的数量一般设置为5个,编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP(Trivial File Transfer Protocol)上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。
               CON端口访问
               为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器,可做如下配置,其指定X.Y.Z.1可以访问路由器:
               
               VTY访问控制
               为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束。例如,X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器,则可以配置如下:
               
               超时限制配置如下:
               
               HTTP访问控制
               限制指定IP地址可以访问网络设备。例如,只允许X.Y.Z.15路由器,则可配置如下:
               
               除此之外,强化HTTP认证配置信息如下:
               
               其中,type可以设为enable、local、tacacs或aaa。
               SNMP访问控制
               为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:
               一是SNMP访问认证。当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码。如下所示,路由器设置SNMP访问社区字符串。
               (1)设置只读SNMP访问模式的社区字符串。
               
               (2)设置读/写SNMP访问模式的社区字符串。
               
               二是限制SNMP访问的IP地址。如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。
               
               三是关闭SNMP访问。如下所示,网络设备配置no snmp-server community命令关闭SNMP访问。
               
               设置管理专网
               远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如下图所示。
               
               建立专用的网络用于管理路由器示意图
               同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下:
               (1)将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet。
               (2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。
               
               特权分级
               针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力。在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级。等级越高,操作权限就越多,具体配置如下:
               
 
       访问控制策略
        访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全的核心策略之一。访问控制策略包括以下几种。
               入网访问控制
               入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录服务器并获取网络资源,控制准许用户入网的时间和准许用户在哪台工作站入网。
               用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要有任何一关未通过,该用户便不能进入该网络。
               网络的权限控制
               网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录继承哪些权限。
               可以根据访问权限将用户分为以下几类:一是特殊用户(即系统管理员);二是一般用户,系统管理员根据他们的实际需要为他们分配操作权限;三是审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表描述。
               目录级安全控制
               网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可以进一步指定对目录下的子目录和文件的权限。
               对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,加强网络和服务器的安全性。
               属性安全控制
               当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。
               属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行、修改、显示等。
               网络服务器安全控制
               网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,也可以安装和删除软件等。网络服务器的安全控制包括可以设置口令以锁定服务器控制台,以防非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
               网络监测和锁定控制
               网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
               网络端口和节点的安全控制
               网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用于防范黑客使用自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取安全控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
               防火墙控制
               防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用于阻止网络中的黑客访问某个机构网络的屏障,也可称为控制进、出两个方向的通信的门槛。在网络边界上通过建立的相应网络通信监控系统隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙。
   题号导航      2011年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第16题    在手机中做本题