计算机严格按照数学和逻辑指令进行机械工作。所谓的计算机网络信息安全用户管理问题源于人或“计算机用户”。因此,信息安全和网安本质上是一种安全管理计算机用户的技术。除自毁用户外,部门或外部通信访问应影响他人的信息内容和计算机操作。
计算机系统网络安全用户管理的四个基本问题:
A、谁管理通信和信息(系统),谁使用信息系统和用户。
B、用户通信设备之间的数据连接是否受到保护?授予和验证访问权限。
C、您是否确认了用户的通信身份(人)?认证。
D、用户可以将获得的信息传递给谁?保密性/完整性。
管理信息控制权的机密性和访问权的完整性:
1) 用户直接访问:单向信息共享、单向信息收集、双向通信
2) 间接用户访问:授权存储、发布和发布处理系统
计算机网络信息安全用户管理解决方案:
将UNIX用户组技术划分为不同的安全级别(美国的TCSEC为第7层,中国的GB17859-1999为第5层),引入本地网络或互联网。描述设计标准GBT25070-2019和评价标准GB28448-2019的设计和评价要求。
1、强制访问控制:(系统强制访问控制(或第三方访问控制)强制管理系统信息的用户拥有和使用的权限(UNIX用户组中的文件、程序和进程显示为GID和UID)
1) 系统构建的网络(组GID):与同一网络(组成员)协作,隔离不同的网络(群成员),在安全级别向用户授予身份,并强制第三方访问用户的通信权限。替代技术(安全区域设置和通信传输):内部和外部网络(物理信道隔离、隐藏信道阻塞)
2) 系统定义的网络(组)用户隶属关系(Identity UID)和成员审核:验证用户ID分配、数据帧和用户ID分配的唯一性、连接绑定关系、计算机和通信设备ID和ID(敏感标签),防止身份劫持。(组织成员ID必须链接到组织结构。)连接到数据帧的用户ID标识符受通道保护。(保护计算节点,本质上保护每个数据帧的用户ID)替代技术:防火墙+路由器(接收IP认证、ARP地址隔离)、路由扩展ACL
3) 保密性/完整性:(读/写和写/读)程序(边境访问控制)替代技术:网关(保密性)
4) 访问认证:实时监控通信访问权限。(入侵预防),替代技术:蜜罐秘密网络和IDS/IPS(未经授权的数据包窃听)。
2、控制对用户个人(个人)信息所有权和使用权的自主访问
在具有强制访问控制的网络信道中,与网络(组)定义的用户(身份)相关联的数据帧的软件端口、协议和其他重要标签可以用于独立地访问通信并验证访问者的身份。
