MAC能够阻止特洛伊木马。一个特洛伊木马是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体的权限违反安全策略,通过伪装成有用的程序在进程中泄露信息。
阻止特洛伊木马的策略是基于非循环信息流,由于MAC策略是通过梯度安全标签实现信息的单向流通,从而它可以很好地阻止特洛伊木马的泄密。
9. 简述什么是基于角色的访问控制RBAC?
在很多商业部门中,访问控制是由各个用户在部门中所担任的角色来确定的,而不是基于信息的拥有者。
所谓角色,就是一个或一群用户在组织内可执行的操作的集合。RBAC的根本特征即依据RBAC策略,系统定义了各种角色,不同的用户根据其职能和责任被赋予相应的角色。 RBAC通过角色沟通主体与客体,真正决定访问权限的是用户对应的角色标识。由于用户与客体无直接联系,所以他不能自主将权限授予别的用户。
RBAC的系统中主要关心的是保护信息的完整性,即“谁可以对是么信息执行何种动作?”,角色控制比较灵活,根据配置可以使某些角色接近DAC,而某些角色更接近与MAC。 角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,而且授权是强加给用户的,用户不能自主地将权限传给他人。
10. RBAC有哪五大优点?
(1)便于授权管理
在传统的访问控制中,用户或其职能发生变化时,需要进行大量的授权更改工作。而在RBAC中,对用户的访问授权转变为对角色的授权,主要的管理工作即为授权或取消用户的角色。用户的职责变化时,改变授权给他们的角色,也就改变了用户的权限。当组织的功能演进时,只需修改角色的功能或定义新角色,而不必更新每一个用户的权限设置。
另一优势在于管理员在一种比较抽象且与企业通常的业务管理相类似的层次上访问控制。对于分布式的RBAC来说,管理职能可以在中心或地方的保护域间进行分配。 (2)便于角色划分
RBAC采用了角色继承的概念,它将角色组织起来,能够很自然地反映组织内部人员之间的职权、责任关系。 (3)便于赋予最小权限原则
根据组织内的规章制度、职员的分工等设计拥有不同权限的角色,只有角色需要执行的操作才授权给角色,否则对操作的访问被拒绝。 (4)便于职责分离
对于某些特定的操作集,某一个角色或用户不可能同时独立地完成所有这些操作,这时需要进行职责分离。有静态和动态两种实现方式。 (5)便于客体分类
可以根据用户执行的不同操作集来划分不同的角色,对主体分类,同样的,客体也可以实施分类。这样角色的访问控制就建立在抽象的客体分类的基础上,而不是具体的某一客体。这样也使得授权管理更加方便,容易控制。
11. Windows NT的网络安全性依赖于给用户或组授予的哪3种能力?
1 权力
在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩
29
大到组和用户上。适用于整个系统范围内的对象和任务的操作。当用户登录到一个具有某种权力的帐号时,该用户就可以执行与该权力相关的任务。 13.4.2 共享
用户可以通过网络使用的文件夹,只适用于文件夹(目录),如果文件夹不是共享的,那么网络上就不会有用户看到它,也不能访问。 3 权限
权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,指定允许哪些用户可以使用这些对象以及如何使用。权限分为目录权限和文件权限,每一个权限级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和Take Ownership(O)。
30
9 PKI技术
一、选择题
1. PKI支持的服务不包括(D)。
A. 非对称密钥