21、访问控制:策略、模型与机制

最新推荐文章于 2025-12-10 20:00:00 发布
最新推荐文章于 2025-12-10 20:00:00 发布
阅读量36 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 解读《安全分析与设计基础》:构建信息安全的坚固防线 文章标签: 访问控制 安全模型 非干扰原则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sugar/article/details/149852120

访问控制:策略、模型与机制

在访问控制领域,安全模型的构建至关重要。其中,非干扰原则是接口模型的基础之一。非干扰原则由 Goguen 和 Meseguer 提出,直观来讲,它要求高级输入不能干扰低级输出。非干扰约束增强了模型中可形式化和证明的安全属性,但需要注意的是,安全模型并不能确保系统的完全安全,它只是基于特定模型建立安全机制,只能证明模型中所涵盖的属性。

1. 增强自主访问控制(DAC)的强制限制

强制策略在安全性上优于自主策略,因为它能控制间接信息流,但应用起来可能过于僵化。因此,有不少方案尝试将强制流控制与自主授权相结合。

1.1 中国墙策略

中国墙策略旨在平衡商业自主性与强制控制,防止因信息流动导致个人顾问出现利益冲突。例如,单个顾问不应同时掌握两家银行或两家石油公司的信息。与 Bell 和 LaPadula 模型不同,该策略对数据的访问限制并非基于数据分类,而是取决于主体已访问的数据。

数据对象的层次组织如下:
- 基本对象:是单个的信息项,如文件,每个文件涉及单个公司。
- 公司数据集:定义了与同一公司相关的对象组。
- 利益冲突类:定义了涉及竞争公司的公司数据集。

中国墙策略根据以下两个属性限制访问:
- 简单安全规则 :主体 s 只有在以下情况下才能被授予对对象 o 的访问权限:
- 对象 o 与主体 s 已访问的对象处于同一公司数据集,即“墙内”。
- 对象 o 属于完全不同的利益冲突类。
- *-属性 :只有在满足以下条件时才允许写访问:

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
信息安全工程师(34)访问控制模型
m0_73399576的博客
10-05 1233
信息安全工程师——访问控制模型
SELinux访问控制机制系列:SELinux概述
路漫漫其修远兮,吾将上下而求索。
05-16 2157
SELinux使用了分级的强制访问控制,是Linux内核的重要安全措施。SELinux的安全策略工具可从http://oss.tresys.com下载。本篇分析了SELinux的安全机制,介绍了安全策略配置语言、内核策略库的结构,简述了SELinux内核模块的实现,还分析了用户空间的客体管理器。 1. SELinux概述 SELinux是安全增强的Linux,是Security-enhanced ...
科普大模型入门指南:定义、应用训练方法
热门推荐
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
09-06 6万+
本文探讨了大语言模型的基本概念、训练机制以及其在各个领域的广泛应用。大模型通过深度学习技术,能够理解和生成自然语言,改变了人机交互的方式。文章分析了大模型的训练过程,并讨论了其在智能助手、内容生成、数据分析等领域的潜力。此同时,我们也关注了在模型使用中面临的伦理、安全和可解释性等挑战。展望未来,本文强调了有效控制和监管的重要性,以确保大模型安全和负责任使用。
计算机访问控制机制,访问控制策略机制-信息安全工程师知识点
weixin_28861381的博客
07-27 3837
信息安全工程师知识点:访问控制策略机制访问控制涉及到三个基本概念,即主体、客体和授权访问。主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个宇节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。授权访问:指主体访问客体的允许,授权访问对每一对...
系统分析师知识点:访问控制模型OBAC、RBAC、TBACABAC的对比应用
CoderJia的学习之路
04-21 1666
在信息安全领域,访问控制是确保数据和资源安全的关键技术。随着信息系统复杂度的提高,访问控制技术也在不断演进,从早期简单的访问控制列表(ACL)发展到如今多种精细化的控制模型。本文将深入剖析四种主流的访问控制模型:基于对象的访问控制(OBAC)、基于角色的访问控制(RBAC)、基于任务的访问控制(TBAC)和基于属性的访问控制(ABAC),通过比较它们的原理、特点、应用场景及优缺点,帮助读者更好地理解各种访问控制技术。
windows系统采用了那种访问控制模型_信息安全中的访问控制
weixin_39638859的博客
11-21 2002
在信息安全管理中,身份认证的核心问题是身份管理。那既然身份认证都做到这么好了,是不是就不需要所谓的‘黄金法则’了?有了身份认证,还需要授权和审计做什么呢?其实,通过身份认证,我们只能够确认用户的身份,而对用户的操作和访问行为的把控,就是授权和审计的任务了。那如果公司的授权机制比较随意,基本就是有什么需求就做什么,我们怎么优化授权机制呢?访问控制模型在探讨访问控制机制之前,我们先要来了解一下,访问...
访问控制系列
m0_73514785的博客
07-15 2189
进程既是用户行为的客体,又是其访问对象的主体。在单处理机环境的操作系统中,根据系统设计方法的不同,TCB可以是一个安全内核,也可以是一个前端过滤器,或者就是操作系统的关键单元或包括全部操作系统。访问矩阵中的一行表示一个主体的所有权限,一列则是关于一个客体的所有访问属性,矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。例如,操作系统中的文件、目录、管道、消息、信号量、进程和内存页等,数据库系统中的库、表和字段等,信息网络中的通信线路和计算节点等,都是信息系统中的常见客体。
信息安全访问控制技术原理应用.
网络安全领域___专研者.
08-10 2152
访问控制是网络信息系统的基本安全机制访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体,可以是用户、进程、应用程序等;而资源对象又称为客体,即被访问的对象,可以是文件、应用服务、数据等;授权是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接收、发送等;控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等。
RocketMQ - 权限控制:ACL配置安全访问
千淘万漉虽辛苦,吹尽狂沙始到金
12-10 1万+
RocketMQ ACL 配置安全访问摘要 Apache RocketMQ 的 ACL(访问控制列表)机制为分布式消息系统提供关键的安全保障。本文详解如何通过 身份认证+权限授权 构建安全的消息环境: 核心功能 基于 AccessKey/SecretKey 的用户认证 细粒度控制 Topic/Group 的读写权限(PUB/SUB/DENY) IP 白名单限制访问来源 配置流程 启用 broker.conf 的 aclEnable=true 编辑 plain_acl.yml 定义用户权限(含生产级配置模板
访问控制
sparename的博客
10-09 8701
访问控制访问控制基础自主访问控制模型强制访问控制模型基于角色的访问控制模型特权管理基础设施 访问控制基础 ◆理解访问控制的概念、作用及访冋控制模型的概念 访问控制基础 ◆什么是访问控制 ◆为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的授权簒改和滥用 ◆访问控制作用 ◆保证用户在系统安全策略下正常工作 ◆拒绝法用户的授权访问请求 ◆拒绝合法用户越权的服务请求 ◆访问控制模型基本概念 ◆一个信息系统在进行安全设计和开发时,必须满足某一给定的安全策略,即有关管理、保护和发布敏
基于Python_Flask框架MySQL_57数据库构建的轻量级企业级后台管理系统_集成用户权限管理_角色分配_数据可视化仪表盘_日志记录_文件上传下载_多模块CRUD操作_.zip
12-20
基于Python_Flask框架MySQL_57数据库构建的轻量级企业级后台管理系统_集成用户权限管理_角色分配_数据可视化仪表盘_日志记录_文件上传下载_多模块CRUD操作_.zip
一个使用Python编程语言实现数据挖掘领域核心经典算法的综合性开源代码库学习资源项目_该项目系统性地涵盖了从数据预处理到模型评估的完整数据挖掘流程包含决策树算法如ID3_C4.zip
12-20
一个使用Python编程语言实现数据挖掘领域核心经典算法的综合性开源代码库学习资源项目_该项目系统性地涵盖了从数据预处理到模型评估的完整数据挖掘流程包含决策树算法如ID3_C4.zip
基于Vue.jsJavaScript的古籍文字检测识别系统源码及部署指南
12-20
**项目概述:** 本资源提供了一套采用Vue.jsJavaScript技术栈构建的古籍文献文字检测识别系统的完整源代码及相关项目文档。当前系统版本为`v4.0+`,基于`vue-cli`脚手架工具开发。 **环境配置运行指引:** 1. **获取项目文件**后,进入项目主目录。 2. 执行依赖安装命令: ```bash npm install ``` 若网络环境导致安装缓慢,可通过指定镜像源加速: ```bash npm install --registry=https://registry.npm.taobao.org ``` 3. 启动本地开发服务器: ```bash npm run dev ``` 启动后,可在浏览器中查看运行效果。 **构建部署:** - 生成测试环境产物: ```bash npm run build:stage ``` - 生成生产环境优化版本: ```bash npm run build:prod ``` **辅助操作命令:** - 预览构建后效果: ```bash npm run preview ``` - 结合资源分析报告预览: ```bash npm run preview -- --report ``` - 代码质量检查自动修复: ```bash npm run lint npm run lint -- --fix ``` **适用说明:** 本系统代码经过完整功能验证,运行稳定可靠。适用于计算机科学、人工智能、电子信息工程等相关专业的高校师生、研究人员及开发人员,可用于学术研究、课程实践、毕业设计或项目原型开发。使用者可在现有基础上进行功能扩展或定制修改,以满足特定应用场景需求。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
EI复现基于阶梯碳交易的含P2G-CCS耦合和燃气掺氢的虚拟电厂优化调度(Matlab代码实现)
12-20
【EI复现】基于阶梯碳交易的含P2G-CCS耦合和燃气掺氢的虚拟电厂优化调度(Matlab代码实现)内容概要:本文介绍了基于阶梯碳交易机制的虚拟电厂优化调度模型,重点研究了包含P2G-CCS(电转气-碳捕集封存)耦合技术和燃气掺氢技术的综合能源系统在Matlab平台上的仿真代码实现。该模型充分考虑碳排放约束阶梯式碳交易成本,通过优化虚拟电厂内部多种能源设备的协同运行,提升能源利用效率并降低碳排放。文中详细阐述了系统架构、数学建模、目标函数构建(涵盖经济性环保性)、约束条件处理及求解方法,并依托YALMIP工具包调用求解器进行实例验证,实现了科研级复现。此外,文档附带网盘资源链接,提供完整代码相关资料支持进一步学习拓展。; 适合人群:具备一定电力系统、优化理论及Matlab编程基础的研究生、科研人员或从事综合能源系统、低碳调度方向的工程技术人员;熟悉YALMIP和常用优化算法者更佳。; 使用场景及目标:①学习和复现EI级别关于虚拟电厂低碳优化调度的学术论文;②掌握P2G-CCS、燃气掺氢等新型低碳技术在电力系统中的建模应用;③理解阶梯碳交易机制对调度决策的影响;④实践基于Matlab/YALMIP的混合整数线性规划或线性规划问题建模求解流程。; 阅读建议:建议结合提供的网盘资源,先通读文档理解整体思路,再逐步调试代码,重点关注模型构建代码实现之间的映射关系;可尝试修改参数、结构或引入新的约束条件以深化理解并拓展应用场景。
【Ćuk转换器】Ćuk转换器将输入的直流电压转换为输出的直流电压,同时输出电压的极性相反(Simulink仿真实现)
12-20
【Ćuk转换器】Ćuk转换器将输入的直流电压转换为输出的直流电压,同时输出电压的极性相反(Simulink仿真实现)
(26页PPT)智慧水务解决方案数字孪生.pptx
12-20
(26页PPT)智慧水务解决方案数字孪生.pptx
芯片查询大全V2.3:芯片替换查询
12-20
已经博主授权,源码转载自 https://pan.quark.cn/s/362cb3eb6645 CodeX 少女前线芯片计算器CodeX 使用说明 转载请注明出处,禁止用于商业。 release (latest by date) All Releases 目前功能: 从本地代理/网络代理获取芯片数据 配置各小队参数 为各小队配置不同的芯片组合方案(例如用不用5格) 按格数筛选方案 在方案列表中直接对各属性排序 Top n 计算并显示当前各小队的满强化属性 保存为各小队选择的配置 在计算中排除已经选择的配置中的芯片 依赖 zlib gzip-hpp openssl 芯片图片素材来自GFTool 芯片解法数据来自GFChipToolX 打赏 微信扫码支持一下~ 微信打赏
FANUC机器人SRVO-062故障原因分析解决方案.docx
12-20
下载前可以先看下教程 https://pan.quark.cn/s/a4b39357ea24 DetailsOnWindowsUsage 报错&警告&心得体会-原因分析&解决办法&经验总结 长期更新, 当前时间是2019年6月15日10:11:36 操作无法完成因为文件已在{?}另一程序中打开// 其他文件夹中打开 - 解决办法: 任务管理器-性能-资源监视器-CPU-关联的句柄搜索框-[输入文件名/文件夹名]-结束列出的所有任务 PC端微信的"设置","备份"功能 - 设置: 设置-通用设置-[我是只保留了: 1. 保留聊天记录; 2. 适配比例; 3. 使用默认浏览器打开网页] 设置-[在备份完成后]-清空聊天记录 - 备份: [每个星期]备份至电脑 - Android微信客户端: [进入"我-设置"] 聊天-聊天记录备份迁移-清空聊天记录 通用-字体大小-最小 通用-照片视频文件-全部关闭 通用-发现页管理-只保留"朋友圈"+"小程序" 通用-横屏模式+NFC功能-关闭 Jupyter notebook 快捷方式 - 目标是: 1. workdir换成D:/jupyter notebook 2. 用conda命令行输入jn打开jupyter notebook[此时其workdir是在D:/jupyter notebook] - 解决方法: conda输入jupyter notebook --generate-config, 找到jupyternotebookconfig.py, 查找c.NotebookApp.notebook_dir, 填写保存 [改名] 利用https://stackoverflow.com/questions/20530996/alias...
(27页PPT)某省市社会治理综合服务信息平台.pptx
最新发布
12-20
(27页PPT)某省市社会治理综合服务信息平台.pptx
wuhengliangliang_python_charts_demo_42208_1766047257417.zip
12-20
wuhengliangliang_python_charts_demo_42208_1766047257417.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值