|
|
|
知识路径: > 访问控制技术原理与应用 > 访问控制技术应用 >
|
|
考试要求:熟悉
相关知识点:16个
|
|
|
|
|
访问控制是网络安全等级保护对象的重要安全机制。本应用参考选自《信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070—2019)》。等级保护对象的自主访问控制结构和强制访问控制结构设计参考如下。
|
|
|
|
|
|
等级保护对象系统在初始配置过程中,安全管理中心首先对系统中的主体及客体进行登记命名,然后根据自主访问控制安全策略,按照主体对其创建客体的授权命令,为相关主体授权,规定主体允许访问的客体及操作,并形成访问控制列表。自主访问控制结构如下图所示。
|
|
|
|
|
|
|
|
|
|
等级保护对象系统在初始配置过程中,安全管理中心对系统的主体及其所控制的客体实施身份管理、标记管理、授权管理、策略管理。身份管理确定系统中所有合法用户的身份、工作密钥、证书等与安全相关的内容。标记管理根据业务系统的需要,结合客体资源的重要程度,确定系统中所有客体资源的安全级别和范畴,生成全局客体安全标记列表;同时,根据用户在业务系统中的权限和角色确定主体的安全级别和范畴,生成全局主体安全标记列表。授权管理根据业务系统需求和安全状况,授予用户(主体)访问资源(客体)的权限,生成强制访问控制策略和级别调整策略列表。策略管理则根据业务系统的需求,生成与执行主体相关的策略,包括强制访问控制策略和级别调整策略。除此之外,安全审计员需要通过安全管理中心制定系统审计策略,实施系统的审计管理。强制访问控制结构如下图所示。
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
