授權通常被描述為用戶訪問資源,如訪問文件或行使特權,如關閉系統。然而,授權也特定於系統的特定區域。比如很多操作系統分為用戶空間和內核空間,運行壹個可執行文件的能力被嚴格控制在某個空間或者其他空間。要在內核中運行可執行文件,您必須擁有特權,這些特權通常僅限於本機操作系統組件。
網絡安全中的用戶權限是什麽?
特權或用戶權限是不同的。用戶權限提供了執行可能影響整個系統的事情的授權。您可以創建組、將用戶分配到組、登錄系統以及分配多用戶權限。其他用戶權限是隱式的,默認情況下分配給組,即由系統而不是管理員創建的組。這些權限不能刪除。
在典型的Unix系統實現中,隱含的特權被綁定到帳戶。您可以授權該帳戶在系統上執行任何操作。另壹方面,用戶擁有有限的權限,包括登錄、訪問文件和運行他們有權執行的應用程序。
在某些Unix系統上,系統管理員可以授予用戶使用特定命令的權限,就像超級用戶壹樣,而無需向他們提供超級用戶的密碼。在公共領域可以做到這壹點的應用程序稱為sudo。
模式1:基於角色的授權(RBAC)
公司的每個員工都有自己的工作職責。如果員工需要執行他們的工作,他們需要特權(做某些事情的權利)和權限(訪問特定的資源和做他們職責範圍內的事情)。早期計算機系統的設計者認為用戶對系統的要求可能不同,並不是所有的用戶都應該給系統管理員權限。
在早期的計算機系統中有兩個角色:用戶和管理員。早期的系統根據這些類型的用戶的組成員身份為他們定義角色和授權訪問。授予管理員權限(超級用戶、根用戶、系統管理員等)。)並允許他們訪問比普通用戶更多的計算機資源。例如,管理員可以添加用戶、分配密碼、訪問系統文件和程序以及重啟機器。該組後來擴展到包括審計員角色(用戶可以讀取其他系統上的系統信息和活動信息,但不能修改系統數據或執行其他管理員角色的功能)。
隨著系統的發展,用戶角色更加細化。用戶可以通過安全權限來量化,例如,允許訪問特定數據或某些應用程序。其他差異可能基於用戶在數據庫或其他應用程序系統中的角色。通常,角色由部門分配,如財務、人力資源、信息技術和銷售部門。
最簡單的例子是,在這些基於角色的系統中,用戶被添加到具有特定權利和特權的組中。其他基於角色的系統使用更復雜的訪問控制系統,包括壹些專門為訪問控制設計的操作系統。例如,在Bell-Lapadula安全模型中,數據資源被分為層或區域。每個區域代表壹種數據類型。沒有特定的授權,數據不能從壹個區域移動到其他區域,用戶必須提供對某個區域的訪問權限才能使用數據。在這個角色中,用戶不能將數據寫入低級別區域(例如,從秘密區域到秘密區域),也不能從比他們高的區域讀取數據(例如,用戶有權訪問公共區域,但不能讀取秘密或秘密區域)。
Unix中基於角色的訪問控制工具可以將管理員權限委托給普通用戶。它通過定義的角色帳戶或可以執行特定管理員任務的帳戶工作。角色帳戶不能直接登錄,只能通過su命令訪問。
方法2:訪問控制列表(ACL)
有些社交場合只有被邀請的人才能參加。為了確保只有被邀請的客人來參加歡迎會,可能需要向門衛提供壹份被邀請客人的名單。當妳到達時,門衛會將妳的名字與名單進行比較,以判斷妳是否可以進入。通過照片比較進行身份驗證可能不會出現在這裏,但它是簡單使用訪問控制列表(ACL)的壹個很好的例子。
信息系統還可以使用ACL來確定所請求的服務或資源是否具有許可。對服務器上文件的訪問通常由每個文件中保留的信息控制。同樣,網絡設備上不同類型的通信也可以由ACL控制。
1.文件訪問權限
Windows和Unix系統都使用文件權限來管理文件訪問。雖然實現方式不同,但都適用於兩種系統。只有當妳需要互操作性的時候,問題才會出現。請確保授權可以支持跨平臺。
Windows文件-訪問權限Windows NTFS文件系統為每個文件和文件夾提供壹個ACL。ACL由壹系列訪問控制條目(ace)組成。每個ACE包含壹個安全標識符(SID)和授予的權限。它可以是授予或拒絕的權限,sid可以表示用戶帳戶、計算機帳戶或組。ace可以由系統管理員、文件所有者或授權用戶分配。
特權用戶和組成員對特定用戶或計算機的權限在登錄過程中確定。該列表包括用戶的SID和用戶所屬組的SID。當與計算機連接時,將為用戶創建訪問令牌,並將其附加到系統上由用戶啟動的所有正在運行的進程。
在Windows系統中,權限的細粒度非常高。下表1中列出的權限實際上代表權限集,但是權限也可以單獨分配。
表1 Windows文件權限
註意:上表中的這些權限與表中顯示的權限分組不同。表中列出的每個權限都可以單獨應用。當試圖訪問資源時,安全子系統將資源的ACEs列表與訪問令牌中的sid和特權列表進行比較。如果SID和訪問權限都匹配成功,除非訪問權限被拒絕,否則將授予權限。權限積累(即如果用戶被授予讀寫權限,那麽用戶將擁有讀寫權限),但拒絕授權會導致拒絕,即使有訪問權限。缺少任何匹配結果都會導致拒絕。
值得註意的是,在Windows中,文件權限等基於對象的權限還可以輔以* * *共享文件夾權限。也就是說,如果可以通過服務器消息塊(SMB)協議直接從網絡訪問文件夾,則可以設置文件夾的權限來控制訪問。使用NTFS權限直接在文件夾上設置相關權限來評估這些權限。在兩組權限沖突的情況下,選擇最嚴格的權限。例如,如果會計組* * *具有讀寫權限,則Alice是成員,但底層文件夾權限拒絕Alice訪問,最終Alice將無法訪問該文件夾。
Unix文件-訪問權限傳統的Unix文件系統不使用ACL。相反,通過限制用戶帳戶和組的訪問權限來保護文件。例如,如果您想將讀取權限授予所有者以外的其他人,這是行不通的。如果妳想給壹個組授予讀權限,給另壹個組授予寫權限,也是不行的。這種細粒度訪問控制的缺乏可以通過在壹些Unix(如Solaris)系統中提供ACL來彌補,但是在我們研究該系統之前,我們將研究傳統的文件保護系統。
除文件名之外,文件的信息都包含在索引中。文件的索引包含文件信息、文件所有者、用戶ID、文件組、文件模式和讀/寫/執行權限的設置。
文件的權限分配以控制訪問,它們包含三個級別的訪問權限:所有者、組和其他。所有者的特權包括確定誰可以訪問文件、讀取文件、寫入文件或者執行文件(如果是可執行文件)的權利。對於這些小粒度的權限。目錄還可以將權限分配給所有者、組和其他人。表2列出並解釋了權限。
表2傳統Unix文件權限
2.網絡設備的ACL
網絡設備使用ACL來控制網絡訪問和授予的訪問類型。具體來說,路由器和防火墻的訪問控制列表指示訪問流量可以訪問哪臺計算機的哪個端口,或者設備可以接受並路由到其他網絡的流量類型。
模式3:基於規則的授權
基於規則的授權需要開發壹組規則來指定特定用戶可以在系統上做什麽。這些規則可以提供以下信息,例如“用戶Alice可以訪問資源Z,但不能訪問資源D”,更復雜的規則是指定組合,例如“用戶Bob只能在坐在數據中心的控制臺上時讀取文件P。”在小型系統中,基於規則的授權可能不難維護,但在大型系統和網絡中,這種授權極其繁瑣,而且難以管理。
編輯推薦
使用網絡訪問管理(NAC)確保系統安全
網絡用戶身份管理將立法
用戶身份冒名是目前登錄最頭疼的問題。
無需密碼即可驗證用戶身份。