- 上下文因素主要有事务、设备和网络模式。例如一些网站的访问根据地址位置信息来判断来访者的身份,以确认是否授权访问
- Kerberos系统涉及四个基本实体:1Kerberos客户机(用户用来访问服务器设备)、2AS(认证服务器,识别用户身份并提供TGS会话密钥)、3(TGS票据发放服务器、未申请服务的用户授予票据)、4(应用服务器,为用户提供服务的设备或系统)
- 一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体、客户端、目录服务器
- 身份认证网关产品的技术特点是利用数字证书、根据同步、网络服务重定向登记书,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能
- 访问者又称为主体可以是用户、进程、应用程序等;资源对象又称为客体,既被访问的对象,可以是文件,应用程序,数据等
- 访问控制是指对资源对象的访问者授权,控制的方法及运行机制
- 授权是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接受、发送等
- 控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等
- 自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问
- 基于使用的访问控制模型用于隐私保护、敏感信息安全限制、知识产权保护
- 基于地理位置的访问控制模型可用于移动互联网应用授权控制,如打车服务这种的地理位置授权使用
- 基于属性的访问控制是一个新兴的访问控制方法,其主要提供分布式网络环境和Web服务的模型访问控制
- 基于行的自主访问控制方法是在每个主题上都附一个该主体可访问的客体的明细表,根据表中信息的不同又分为三种形式,既能力表、前缀表和口令
- 基于列的自主访问控制机是在每个客体上都附一个可访问它的主体的明细表,它有两种形式,既保护位和访问控制表
- 基于角色的访问控制(RBA)就是指根据完成某些职责任务所需要的访问权限来进行授权和管理,RBAC由用户(U)、角色(R)、会话(s)、权限(P)四个基本的因素组成
- 特权是用户超越系统访问控制所拥有的权限
- 特权的管理应按最小化机制,防止特权误用
- 最小化特权原则是指系统中每一个主体组织能拥有完成任务所必要的权限集
- 特权的分配原则是“按需使用”,这条原则保证系统不会将权限过多的分配给用户,从而可以限制特权造成的危害
- 防火墙无法有效防范内部威胁,处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制
- 应用服务代理技术的缺点是:速度比包过滤慢、对用户不透明、与特定应用协议相关联,代理服务器并不能支持所有的网络协议
- DPI(深度包检测技术),是一种用于对包的数据内容及包头信息进行检查分析的技术方法
- DPI运用模式(特征)匹配,协议异常检测等方法对包的数据内容进行分析
- 传统检查只针对包的头部信息,而DPI对包的内容进行检查,深入应用层分析
- DPI已经被应用到下一代防火墙,Web防火墙、数据库防火墙、工控防火墙等中、属于防火墙的核心技术之一
- 评估防火墙性能的指标中,并发连接数是检查(防火墙在单位时间内所能建立的最大TCP连接数); 并发连接数(防火墙在单位时间内所能建立的最大TCP连接数,每秒的连接数)
- Internet协议安全性(IPSec)是通过对IP协议的分组进行加密和认证,保护IP协议的网络传输协议簇(一些相互关联的协议的集合)。IPSec工作在TCP/IP协议栈的网络层,为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务
- IPSec的两种工作模式分别是传输模式和隧道模式
- 隧道技术可以用来解决TCP/IP协议的某种安全威胁问题
- 隧道技术的本质是用一种协议来传输另外一种协议
![[经验] 白怎么写好看-如何优美地书写白色字体 #微信#笔记#媒体](/images/2024/0608/20230724024159.png)
