译者 | 李睿
审校 | 重楼
在计算世界中,安全性在保护资源方面起着至关重要的作用。在过去的10年,网络安全机构和服务商已经创建了各种安全模型来确保信息的机密性、完整性和可用性。他们提出了企业可以采用的方法来建立正式的信息安全政策。这些策略旨在为部署安全措施和实践提供结构化方法,以保护敏感信息并防止出现安全漏洞。了解不同的安全模型、这些模型的特性以及它们对特定情况的适用性对于企业来说是至关重要的。它使人们能够在选择适当的安全模型时做出明智的决定,从而有效地解决安全问题并保护计算资源。
访问控制模型
访问控制模型是最常用的模型之一,被设计用来帮助创建与不同资源(例如文件、数据库和网络)的系统/用户级访问相关的策略。其经验法则是只提供对执行其职责所需的实体的访问。该模型包含三种主要 控制类型:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。使用自主访问控制(DAC),资源所有者有能力决定“谁可以访问什么?”例如,文件的所有者决定他们想要授予谁访问权限和 权限(编辑或查看权限)。由于其多功能性和易用性,自主访问控制(DAC)模型通常被较小的组织所采用。
另一方面,像国防和政府等部门通常采用非常严格的控制策略,例如强制访问控制(MAC)。强制访问控制(MAC)模型中的访问限制可以基于分配给资源的安全标签来强制执行。这些标签决定了访问资源所需的安全许可级别。它们还支持一种结构化的方法来实现安全措施,并防止对敏感数据的未经授权的访问。然而,大多数企业都需要一个中间地带,也就是一种不太严格但也不太自由的控制。在这种情况下,基于角色的访问控制(RBAC)是最合适的。它根据企业中分配的用户角色授予访问权限。这使得企业可以在角色发生变化时轻松修改访问权限,而不需要修改每个用户的访问权限。
Take-Grant模型
Take-Grant模型依赖于个人可以向其他个人或实体授予或获取权限的概念。该模型的有效性可以通过有向图表示来清楚地评估。在这个模型下有两个主要的规则。使用“获取规则”,一个主体可以从另一个主体获得权限,而“授予规则”允许一个主体授予另一个主体的访问权限。
例如,营销部门的员工可以访问营销资产,而IT部门的员工可以访问敏感的技术信息。如果营销团队成员需要访问技术文档,他们将需要请求对资源具有授予权限的人员。在这种情况下,可能是IT主管。
图1是Take-Grant模型的有向图,需要注意权限如何从一个主体传递到另一个主体或从一个主体传递到一个对象。
Biba模型
该模型的设计与Bell-LaPadula模型非常相似,主要区别在于它关注数据完整性。它还基于分配给资源的级别的多级安全系统中流动的信息。该模型的两个主要组件包括简单完整性属性(SIP)和*(星号)完整性属性。在简单完整性属性(SIP)中,处于更高安全级别的用户无法读取给定级别的数据,也就是“不向下读取”。例如高级工程师不能阅读初级工程师所做的代码更改,直到它们被提交。在*(星号)完整性属性下,给定级别的数据不能由较低级别的用户修改,也就是“无写操作”。金融和医疗保健等机构通常采用这种模式来保护患者记录和其他敏感信息。
Clark-Wilson模型
主要关注点,该模型允许通过受控接口/访问门户进行有限的修改。对于用户来说,职责是分离的,他们的资源访问是有限的,如图2所示。该模型有三个主要组成部分:约束数据项(CDI)、完整性验证过程(IVP)和转换过程(TP)。约束数据项(CDI)执行了访问控制,以确保授权访问。完整性验证过程(IVP)用于检查数据完整性。在数据的完整性建立之后,转换过程将控制进行的修改。该模型广泛应用于数据完整性和安全性至关重要的电子商务和金融行业。
非干扰模型
非干扰模型基于分离安全级别和信息流的概念,重点关注机密性。它的两个主要组件是高级安全性和低级安全性。在高级安全性上执行的操作不应该对低级安全性的用户产生影响,甚至不应该引起用户注意。这可以防止信息泄露,并提供了对木马和后门等秘密程序的保护。它广泛应用于安全信息流至关重要的政府或军事领域。
可信计算基(TCB) 模型
顾名思义,可信计算基(TCB)模型确保企业内部使用的所有计算资源都是可信的,并且没有安全漏洞。它的四个主要组件是安全策略、安全内核、参考监视器和安全边界。系统的整体安全功能在安全策略下定义,资源访问在安全内核处进行调解。在授予访问权限之前,引用监控器验证每个资源的授权。最后,安全边界会阻止或限制外部世界对企业资源的访问。大多数顶级科技公司使用可信计算基(TCB)来确保系统设计的安全性。
Brewer -Nash 模型
该模型广泛应用于法律和咨询领域,当员工能够访问与不同客户相关的关键数据时,可以防止利益冲突。它基于一种隔离数据以防止未经授权的访问的概念。创建数据的逻辑或物理隔离可以保证一个客户的数据不能被与另一个客户合作的员工访问。
Graham-Denning模型
该模型基于主题和对象的安全创建。它定义了谁可以访问/更改哪些数据。它主要以数据完整性和访问控制为中心,建立了只有经过授权的主体才能访问数据对象的事实。它广泛用于银行和电子商务网站,其中客户帐户信息及其交易/购买是重要的保护。它有八个主要规则,包含安全地创建/删除主题和对象,同时确保安全的读、写、删除和授予访问权限。
Harrison-Ruzzo-Ullman模型
该模型是Graham-Denning模型的扩展,用于确保后端系统(例如操作系统和数据库)的安全性。它定义了一组为主体/用户提供访问权限的过程。这可以用矩阵表示,其中主题和对象分别按行和列组织。引入了一个额外的控件,以启用矩阵的修改权限,同时实现了完整性规则,以确保用户不能创建违反系统级验证需求的新主题或对象。此模型的一个明确应用是在操作系统中,其中对系统资源的访问由授权级别决定。因此,用户只能使用他们被授权访问的资源。
在这些模型中,有各种可用的安全控制来确保系统的安全性和准确性。以下是一些可以帮助企业选择适合其需求和系统功能的控件的因素:
原文标题: Guarding Against Threats: ExaMining the Strengths and Applications of Modern Security Models 作者:Akanksha Pathak
学机电以后出去应该找什么样的工作?
机械行业的人才强调技术性。 企业希望招聘到既有专业知识,又有理论知识,懂得思考的复合型人才。 所以,希望到外企工作的学生,除了专业知识要掌握好外,管理、销售等方面的能力也不可忽视。 就业问题:机电专业 培养目标: 本专业培养从事机电一体化液体灌装生产线及商品包装自动化机械运行、维护、管理、技术改造等工作的机电一体化高等技术应用性专门人才。 主要课程: 机械工程制图、计算机绘图、机械设计基础、设备故障诊断与排除、液体灌装生产线安装与调试、专业英语、生产线运行管理、营销与企业管理等。 还参与高速液体灌装生产线(瓶/小时以上)及有关商品包装自动化机械的制造、安装、调试及运行、维护、管理等专门化实习。 就业方向: 毕业生可以在大型啤酒、饮料、食品及商品包装生产企业从事现代化自动机与生产线的维护和管理工作,也可在相关的自动机与生产线的生产厂家或设计部门、营销单位从事技术工作。 机电专业(计算机辅助设计与制造方向 ) 培养目标: 本专业培养从事机电产品的计算机辅助设计(CAD)与计算机辅助制造(CAM),并熟练使用和维修数控加工设备的机电一体化高等技术应用性专门人才。 主要课程: 机械工程制图、计算机绘图、机械设计基础、自动控制原理、传感器与测试技术、可编程控制器、计算机原理、计算机辅助设计与制造(CAD/CAM)、数控原理及系统、数控机床、数控机床编程、模具CAD/CAM、专业英语、营销与企业管理等,还要接受较长时间的数控编程和数控加工实际训练。 就业方向:毕业生可在模具设计也制造、机械加工、塑料、五金、电子产品、计算机生产等企业从事数控机床的加工工艺设计编程,数控机床的调试、维护及加工操作,从事生产和技术管理工作,也可以从事国内外数控设备的营销工作。 机电专业(模具CAD/CAM方向) 培养目标: 本专业培养从事利用计算机技术和数控加工技术对模具进行设计和制造等工作的机电一体化高等技术应用性专门人才。 主要课程: 计算机原理、计算机绘图、机械工程制图、机械制造基础、冷冲模具、塑料模具设计、模具计算机辅助设计与制造(模具CAD/CAM)、数控原理及系统、数控编程、模具制造工艺、营销与企业管理等,还要接受长时间模具计算机辅助设计与制造的实际训练。 就业方向:毕业生可在模具、机械、五金、塑料、家电等生产企业从事模具计算机辅助设计与制造等方面的技术工作,也可在企事业单位从事与本专业有关的经营、管理工作。 机电专业(机电CAD技术方向) 培养目标: 本专业培养在机电产品、设备的设计、制造、维修、管理、技术改造与服务过程中专门从事用电脑绘图设计、信息处理和资料管理的高等技术应用性专门人才。 主要课程: 机械制图、机械设计基础、计算机应用基础、数据库技术及应用、网络技术、电工电子技术、机械制造基础、自动机与生产线、自动检测与控制、计算机辅助设计绘图、计算机几何图形学、计算机辅助电路设计、机械设计CAD、机械CAD/CAM技术、专业英语、企业管理等。 就业方向:毕业生可在机械设计、制造与装备行业、模具制造业,轻工、家用电器、电子制造业从事设计、制造、技术改造、产品营销、设备管理与维护等工作
古人是如何画出地图的?
地图简史 在史前时代,古人就知道用符号来记载或说明自己生活的环境、走过的路线等。 现在人们能找到的最早的地图实物是刻在陶片上的古巴比伦地图(如图01-01) 据考这是4500多年前的古巴比伦城及其周围环境的地图,底格里斯河和幼发拉底河发源于北方山地,流向南方的沼泽,古巴比伦城位于两条山脉之间。 留存至今的古地图还有公元前1500年绘制的《尼普尔城邑图》,它存于由美国宾州大学于1 9世纪末在尼普尔遗址(今伊拉克的尼法尔)发掘出土的泥片中(如图01-02)。 图的中心是用苏 美尔文标注的尼普尔城的名称,西南部有幼发拉底河,西北为嫩比尔杜渠,城中渠将尼普尔 分成东西两半,三面都有城墙,东面由于泥板缺损不可知。 城墙上都绘有城门并有名称注记 ,城墙外北面和南面均有护城壕沟并有名称标注,西面有幼发拉底河作为屏障。 城中绘有神 庙、公园,但对居住区没有表示。 该图比例尺大约为1∶12万。 留存有实物的还有古埃及人于公元前1330~前1317年在芦苇上绘制的金矿山图。
ERP系统和MRP系统是一样的吗
所谓ERP是英文Enterprise Resource Planning(企业资源计划)的简写。 它是MRP(物料资源计划)发展而来的新一代集成化管理信息系统,它扩展了MRP的功能,其核心思想是供应链管理,它跳出了传统企业边界,从供应链范围去优化企业的资源,是基于网络经济时代的新一代信息系统。 它对于改善企业业务流程、提高企业核心竞争力的作用是显而易的是在20世纪80年代初开始出现的。 从90年代开始,以SAP、Oracle为代表的国际著名ERP产品进入中国,并迅速扩展。 接着,国内也相继出现了一些早期ERP产品,例如开思ERP、利玛ERP、和佳ERP及博科ERP等系统的特点及核心内容包括有:1.企业内部管理所需的业务应用系统,主要是指财务、物流、人力资源等核心模块.物流管理系统采用了制造业的MRP管理思想;FMIS有效地实现了预算管理、业务评估、管理会计、ABC成本归集方法等现代基本财务管理方法;人力资源管理系统在组织机构设计、岗位管理、薪酬体系以及人力资源开发等方面同样集成了先进的理念系统是一个在全公司范围内应用的、高度集成的系统。 数据在各业务系统之间高度共享,所有源数据只需在某一个系统中输入一次,保证了数据的一致性.3.对公司内部业务流程和管理过程进行了优化,主要的业务流程实现了自动化.4.采用了计算机最新的主流技术和体系结构:B/S、INTERNET体系结构,WINDOWS界面。 在能通信的地方都可以方便地接入到系统中来.5.集成性、先进性、统一性、完整性、开放性MRP是Material Requirement Planning(物料需求)计划的英文缩写。 其基本原理是根据物料清单(BOM)把产品生产计划分解成原材料需求计划(包括半成品、外协等),在这个运算过程中,需要综合考虑生产能力、库存、采购周期、生产周期、最小批量等等各种要素。 如果你是从事生产计划编制的人员,那么你会对这个过程非常了解。 详细情况你可以到书店买一本这方面的书。 至于软件方面,国内市场上一些主流的ERP厂商都提供这个功能。 如SAP、Oracle、symix、SSA、QAD、CASE等。 国内的财务软件供应
发表评论