云安全之访问控制介绍

访问控制技术背景

信息系统自身的复杂性、网络的广泛可接入性等因素,系统面临日益增多的安全威胁,安全问题日益突出,其中一个重要的问题是如何有效地保护系统的资源不被窃取和破坏。

访问控制技术内容包括访问控制策略、访问控制模型、访问控制框架。

  1. 访问控制策略:访问控制策略是云安全中至关重要的一部分,它是定义用户和资源之间访问关系的规则集合。这些规则定义了哪些用户可以访问哪些资源,以及他们可以如何访问这些资源。例如,某些用户可能被允许只读访问某些文件,而其他用户可能被允许对这些文件进行编辑。
  2. 访问控制模型:访问控制模型是一种在云环境中管理访问权限的理论框架。这些模型定义了如何在云环境中实施访问控制,以及如何保护用户和资源的身份和权限。一些常见的访问控制模型包括基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。
  3. 访问控制框架:访问控制框架是一种集成多种技术的系统,它提供了一组工具和机制,用于在云环境中管理和控制访问。这个框架可以包括身份和访问管理(IAM)系统、单点登录(SSO)和多因素身份验证等。这些工具可以帮助管理员更有效地管理用户和资源的访问权限,同时提高云环境的安全性。

访问控制类型

概念:对资源对象的访问者授权、控制的方法及运行机制。

  • 主体:访问者。可以是用户、进程、应用程序等;
  • 客体:资源对象,被访问对象。可以是文件、程序、数据等;
  • 授权:访问者可以对资源对象进行访问的方式,如读、写、删除;
  • 控制:对访问者使用方式的监测和限制,对是否许可用户访问资源对象作出决策。如允许、禁止等;

目标:防止非法用户进入系统,组织合法系统对系统资源的非法使用。

依据:《信息安全技术 网络安全等级保护安全设计技术要求(GB/T 25070-2019)》

访问控制类型包括
自主访问控制
  • 自主访问控制(DAC):自主访问控制 (Discretionary Access Control,DAC)是指客体的所有者按照自己的安全策略授予系统中其他用户对其的访问权,主要有两大类基于行的和基于列的(就是系统自己来定访问权限)。 
强制访问控制
  • 强制访问控制(MAC):强制访问控制(Mandatory Access Control,MAC)是指系统根据主客体的安全属性,以强制方式控制主体对客体的访问。 
基于角色的访问控制
  • 基于角色的访问控制(RBAC):基于角色的访问控制(RBAC,role base),角色就是系统中的岗位或者分工,RBAC由用户U、角色R、会话S(session)、权限P四个基本要素组成。 
基于属性的访问控制
  • 基于属性的访问控制(ABAC):基于属性的访问控制(Attribute Based Access Control)。概念:根据主体的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。 

访问控制策略和实现

访问控制策略要求:

  1. 不同网络应用的安全需求,如内部用户访问还是外部;
  2. 所有和应用相关的信息确认,如通信端口号、IP地址等;
  3. 网络信息传播和授权策略,如信息的安全级别和分类;
  4. 不同系统的访问控制和信息分类策略之间的一致性关于保护数据和服务的有关法规和合同义务;
  5. 访问权限的更新和维护 

访问控制规则

  1. 基于用户身份的访问控制规则:账号名+口令
  2. 基于角色的访问控制规则:根据用户完成某项任务的权限进行控制
  3. 基于地址的访问规则:利用访问者所在物理位置或者逻辑地址空间来限制,如禁止远程访问
  4. 基于时间的访问控制规则:如下班时间不能访问服务器
  5. 基于异常事件的访问控制规则:登陆失败三次锁死
  6. 基于服务数量的访问控制规则:防止DDOS攻GJ击,服务能力接近值时就会拒绝新的网络访问请求

访问控制技术应用

  • MAC地址过滤:自主访问控制,网桥自行定义
  • ACL访问控制列表:自主访问控制,用IP来做访问控制

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/141473.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣26:删除有序数组中的重复项

26. 删除有序数组中的重复项 - 力扣(LeetCode) 题目: 给你一个 非严格递增排列 的数组 nums ,请你 原地 删除重复出现的元素,使每个元素 只出现一次 ,返回删除后数组的新长度。元素的 相对顺序 应该保持 …

混合Rollup:探秘 Metis、Fraxchain、Aztec、Miden和Ola

1. 引言 混合Rollup为新的以太坊L2扩容方案,其分为2大类: 将乐观与ZK技术结合的混合Rollup同时支持公开智能合约 和 私人智能合约 的混合Rollup 本文将重点关注Metis、Fraxchain、Aztec、Miden和Ola这五大项目。 2. 何为混合Rollup? 混合…

el-table实现穿梭功能

第一种 <template><el-row :gutter"20"><el-col :span"10"><!-- 搜索 --><div class"search-bg"><YcSearchInput title"手机号" v-model"search.phone" /><div class"search-s…

Spring面试题21:说一说Spring的@Required注解和@Qualifier注解

该文章专注于面试,面试只要回答关键点即可,不需要对框架有非常深入的回答,如果你想应付面试,是足够了,抓住关键点 面试官:说一说Spring的@Required注解 @Required ,用于标记在注入的属性上。它表示被注解的属性在配置 Bean 的时候是必需的,如果没有正确配置,则会抛出…

C# OpenCvSharp 基于直线检测的文本图像倾斜校正

效果 项目 代码 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using OpenCvSharp;namespace OpenCvSharp_基于直线检测的文…

一文了解亚马逊云科技适用于 Amazon Lightsail 的托管数据库

Amazon Lightsail 是亚马逊云科技提供的一种易上手使用、月度价格经济实惠&#xff0c;并包括了计算实例、容器、存储、数据库的虚拟专用服务器。在创建时可以进行业务蓝图选择&#xff0c;可选择包含多种操作系统&#xff08;Linux/Windows 等&#xff09;或操作系统加上典型应…

深入剖析Redis系列- Redis数据结构之哈希

1.11.5哈希类型(hash) Redis的hash 是一个string类型的key和value的映射表&#xff0c;这里的value是一系列的键值对&#xff0c;hash特别适合用于存储对象。 哈希类型的数据操作总的思想是通过key和field操作value&#xff0c;key是数据标识&#xff0c;field是域&#xff0c;…

“全景江西·南昌专场”数字技术应用场景发布会 | 万广明市长莅临拓世集团展位,一览AIGC科技魅力

随着数字技术的迅猛发展&#xff0c;传统产业正在发生深刻的变革&#xff0c;新兴产业蓬勃兴起。但要想实现数字经济超常规发展&#xff0c;就要在数字产业化上培育新优势&#xff0c;大力实施数字经济核心产业提速行动&#xff0c;加快推进“一核三基地”建设。在这个数字经济…

[vulntarget靶场] vulntarget-c

靶场地址&#xff1a; https://github.com/crow821/vulntarget 拓扑结构 信息收集 主机发现 netdiscover -r 192.168.111.0/24 -i eth0端口扫描 nmap -A -sC -v -sV -T5 -p- --scripthttp-enum 192.168.111.131访问80端口&#xff0c;发现为Laravel v8.78.1框架 vulmap探测…

打造本地紧密链接的开源社区——KCC@长沙开源读书会openKylin爱好者沙龙圆满举办...

2023年9月9日&#xff0c;由开源社联合 openKylin 社区举办的 KCC长沙开源读书会&openKylin 爱好者沙龙&#xff0c;在长沙圆满举办。这是 KCC长沙首次正式进入公众视野&#xff0c;开展开源交流活动&#xff0c;也是 openKylin 社区长沙首场线下沙龙。长沙地区及其周边的众…

浏览器截图扩展增加快捷键

Tabshot – 下载 &#x1f98a; Firefox 扩展&#xff08;zh-CN&#xff09; 最近一个用户找到我&#xff0c;想要这个浏览器扩展有一个快捷键截图功能。 我找了一下&#xff0c;发现火狐扩展的确支持快捷键 研究源码 about:support 配置文件夹&#xff0c;打开文件夹。 附…

uniapp实现点击按钮分享给好友

<button class"share" open-type"share">分享</button>import {onLoad,onShareAppMessage,onShareTimeline} from dcloudio/uni-app onLoad(() > {//设置Menus菜单&#xff0c;使 发送给朋友/分享到朋友圈 两个按钮可以使用wx.showShareMen…

Ubuntu 安装Nacos

1、官网下载最新版nacos https://github.com/alibaba/nacos/releases 本人环境JDK8&#xff0c;Maven3.6.3&#xff0c;启动Nacos2.2.1启动失败&#xff0c;故切换到2.1.0启动成功 2、放到服务器目录下&#xff0c;我的在/home/xxx/apps下 3、解压 $ tar -zxvf nacos-serve…

安装docker、docker-compose

安装docker、docker-compose 文章目录 安装docker、docker-compose一、切换国内镜像源二、安装docker三、安装docker-compose 一、切换国内镜像源 vi /etc/docker/daemon.json {"registry-mirrors": ["https://registry.hub.docker.com","http://hu…

【蓝桥杯选拔赛真题63】Scratch云朵降雨 少儿编程scratch图形化编程 蓝桥杯选拔赛真题解析

目录 scratch云朵降雨 一、题目要求 编程实现 二、案例分析 1、角色分析

【用MyEclipse2017创建一个Hibernate Web登录项目】

用MyEclipse2017创建一个Hibernate Web登录项目 靠手工实现JavaBean/JDBC的系统 Hibernate自动生成了所需的JavaBean&#xff0c;也取代了原JDBC的功能&#xff01;可简单形象地理解为&#xff1a;Hibernate&#xff1d;JavaBean&#xff0b;JDBC 1、创建一个Java EE Web项目…

开机自启动Linux and windows

1、背景 服务器由于更新等原因重启&#xff0c;部署到该服务上的响应的应用需要自启动 2、Linux 2.1 方式一 编写启动应用的sh脚本授权该脚本权限 chmod 777 xxx.sh 修改rc.loacl 位置&#xff1a;/etc/rc.local 脚本&#xff1a;sh /home/xxxx.sh & 授权rc.local …

【周赛364-单调栈】美丽塔 II-力扣 2866

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kuan 的首页,持续学…

短视频无人直播双端开播源码部署

设置语音 商家可以通过语音库&#xff0c;完成直播间语音设置&#xff0c;支持人声录制和智能配音直播间语音 语音库 语音库列表 语音库名称 语音库 录音 合成配音 进入“语音库” 可编辑、删除语音库 列表右下角-添加语音库-输入语音库名称 针对每个语音库&#…

FairMOT 论文学习

1. 解决了什么问题&#xff1f; 现有的多目标跟踪方案将目标检测和 reID 任务放在一个网络里面优化学习&#xff0c;计算效率高。目标检测首先在每一帧中检测出兴趣目标&#xff0c;要么将其与现有的轨迹关联起来&#xff0c;要么创建一个新的轨迹。这两个任务会相互竞争&…