入侵监测系统与防火墙
负责监视网络上的通信数据流和网络服务器系统中的审核信息,捕获可疑的网络和服务器系统活动,发现其中存在的安全问题,当网络和主机被非法使用或破坏时,进行实时响应和报警,产生通告信息和日志。系统不仅仅检测来自外部的入侵行为,还可以检测内部用户的未授权活动。
打个比喻:假如防火墙是一幢大厦的门锁,那么入侵检测系统就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告,入侵检测系统是防火墙之后的又一道防线,入侵检测系统可以发现防火墙没有发现的入侵行为。
防火墙可以允许内部的一些主机被外部访问,入侵检测系统则没有这些功能,只是监视和分析用户和系统活动。
防火墙和入侵检测系统都是一个独立的系统。
访问控制授权方案
(1)自主访问控制(Discretionary Access Control,DAC)
由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。
(2)强制访问控制(Mandatory Access Control,MAC)
用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。
(3)基于角色的访问控制(RBAC)
基于角色的访问控制中,角色由应用系统的管理员定义,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,这是一种非自主型访问控制。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。