數(shù)據(jù)安全保護(hù)技術(shù)之訪問控制技術(shù)

1、數(shù)據(jù)平安愛護(hù)技術(shù)之訪問把握技術(shù) 數(shù)據(jù)作為信息的重要載體，其平安問題在信息平安中占有特殊重要的地位。數(shù)據(jù)的保密性、可用性、可控性和完整性是數(shù)據(jù)平安技術(shù)的主要爭(zhēng)辯內(nèi)容。數(shù)據(jù)保密性的理論基礎(chǔ)是密碼學(xué)，而可用性、可控性和完整性是數(shù)據(jù)平安的重要保障，沒有后者供應(yīng)技術(shù)保障，再強(qiáng)的加密算法也難以保證數(shù)據(jù)的平安。與數(shù)據(jù)平安親熱相關(guān)的技術(shù)主要有以下幾種，每種相關(guān)但又有所不同。 1)訪問把握： 該技術(shù)主要用于把握用戶可否進(jìn)入系統(tǒng)以及進(jìn)入系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集;益嚴(yán)峻的網(wǎng)絡(luò)平安問題和越來突出的平安需求，“可適應(yīng)網(wǎng)絡(luò)平安模型”和“動(dòng)態(tài)平安模型”應(yīng)運(yùn)而生?；陂]環(huán)把握的動(dòng)態(tài)網(wǎng)絡(luò)平安理論模型在90年月開頭漸漸形成并得

2、到了快速進(jìn)展，1995年12月美國國防部提出了信息平安的動(dòng)態(tài)模型，即疼惜(protection)檢測(cè)(detection)響應(yīng)(response)多環(huán)節(jié)保障體系，后來被通稱為pdr模型。隨著人們對(duì)pdr模型應(yīng)用和爭(zhēng)辯的深化，pdr模型中又融入了策略(policy)和恢復(fù)(restore)兩個(gè)組件，漸漸形成了以平安策略為中心，集防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)于一體的動(dòng)態(tài)平安模型，pdr模型是一種基于閉環(huán)把握、主動(dòng)防備的動(dòng)態(tài)平安模型，在整體的平安策略把握和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、系統(tǒng)身份認(rèn)證和加密等手段)的同時(shí)，利用檢測(cè)工具(如漏洞評(píng)估、入侵檢測(cè)等系統(tǒng))了解和評(píng)估系統(tǒng)的平安狀態(tài)，將系統(tǒng)調(diào)整到

3、“最平安”和“風(fēng)險(xiǎn)最低”的狀態(tài)。疼惜、檢測(cè)、響應(yīng)和恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的平安循環(huán)，在平安策略的指導(dǎo)下保證信息的平安。2.訪問把握策略訪問把握策略也稱平安策略，是用來把握和管理主體對(duì)客體訪問的一系列規(guī)章，它反映信息系統(tǒng)對(duì)平安的需求。平安策略的制定和實(shí)施是圍繞主體、客體和平安把握規(guī)章集三者之間的關(guān)系開放的，在平安策略的制定和實(shí)施中，要遵循下列原則：1)最小特權(quán)原則：最小特權(quán)原則是指主體執(zhí)行操作時(shí)，依據(jù)主體所需權(quán)利的最小化原則支配給主體權(quán)力。最小特權(quán)原則的優(yōu)點(diǎn)是最大程度地限制了主體實(shí)施授權(quán)行為，可以避開來自突發(fā)大事、錯(cuò)誤和未授權(quán)使用主體的危急。2)最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務(wù)時(shí)，

4、依據(jù)主體所需要知道的信息最小化的原則支配給主體權(quán)力。3)多級(jí)平安策略：多級(jí)平安策略是指主體和客體間的數(shù)據(jù)流向和權(quán)限把握依據(jù)平安級(jí)別的絕密、隱秘、機(jī)密、限制和無級(jí)別五級(jí)來劃分。多級(jí)平安策略的優(yōu)點(diǎn)是避開敏感信息的集中。具有平安級(jí)別的信息資源，只有平安級(jí)別比他高的主體才能夠訪問。訪問把握的平安策略有以下兩種實(shí)現(xiàn)方式：基于身份的平安策略和基于規(guī)章的平安策略。目前使用的兩種平安策略，他們建立的基礎(chǔ)都是授權(quán)行為。就其形式而言，基于身份的平安策略等同于dac平安策略，基于規(guī)章的平安策略等同于mac平安策略。2.1.基于身份的平安策略基于身份的平安策略(idbacp：identification-based

5、access control policies)的目的是過濾主體對(duì)數(shù)據(jù)或資源的訪問，只有能通過認(rèn)證的那些主體才有可能正常使用客體資源。基于身份的策略包括基于個(gè)人的策略和基于組的策略?；谏矸莸钠桨膊呗砸话憬邮芰獗砘蛟L問把握列表進(jìn)行實(shí)現(xiàn)。2.1.1基于個(gè)人的策略基于個(gè)人的策略(inbacp：individual-based access control policies)是指以用戶為中心建立的一種策略，這種策略由一組列表組成，這些列表限定了針對(duì)特定的客體，哪些用戶可以實(shí)現(xiàn)何種操作行為。2.1.2基于組的策略：基于組的策略(gbacp：group-based access control pol

6、icies)是基于個(gè)人的策略的擴(kuò)充，指一些用戶(構(gòu)成平安組)被允許使用同樣的訪問把握規(guī)章訪問同樣的客體。2.2.基于規(guī)章的平安策略基于規(guī)章的平安策略中的授權(quán)通常依靠于敏感性。在一個(gè)平安系統(tǒng)中，數(shù)據(jù)或資源被標(biāo)注平安標(biāo)記(token)。代表用戶進(jìn)行活動(dòng)的進(jìn)程可以得到與其原發(fā)者相應(yīng)的平安標(biāo)記。基于規(guī)章的平安策略在實(shí)現(xiàn)上，由系統(tǒng)通過比較用戶的平安級(jí)別和客體資源的平安級(jí)別來推斷是否允許用戶可以進(jìn)行訪問。3.訪問把握的實(shí)現(xiàn)由于平安策略是由一系列規(guī)章組成的，因此如何表達(dá)和使用這些規(guī)章是實(shí)現(xiàn)訪問把握的關(guān)鍵。由于規(guī)章的表達(dá)和使用有多種方式可供選擇，因此訪問把握的實(shí)現(xiàn)也有多種方式，每種方式均有其優(yōu)點(diǎn)和缺點(diǎn)，在具體

7、實(shí)施中，可依據(jù)實(shí)際狀況進(jìn)行選擇和處理。常用的訪問把握有以下幾種形式。3.1.訪問把握表訪問把握表(acl：access control list)是以文件為中心建立的訪問權(quán)限表，一般稱作acl。其主要優(yōu)點(diǎn)在于實(shí)現(xiàn)簡(jiǎn)潔，對(duì)系統(tǒng)性能影響小。它是目前大多數(shù)操作系統(tǒng)(如windows、linux等)接受的訪問把握方式。同時(shí)，它也是信息平安管理系統(tǒng)中經(jīng)常接受的訪問把握方式。例如，在億賽通文檔平安管理系統(tǒng)smartsec中，客戶端供應(yīng)的“文件訪問把握”模塊就是通過acl方式進(jìn)行實(shí)現(xiàn)的。3.2.訪問把握矩陣訪問把握矩陣(acm：access control matrix)是通過矩陣形式表示訪問把握規(guī)章和授權(quán)

8、用戶權(quán)限的方法;也就是說，對(duì)每個(gè)主體而言，都擁有對(duì)哪些客體的哪些訪問權(quán)限;而對(duì)客體而言，有哪些主體可對(duì)它實(shí)施訪問;將這種關(guān)聯(lián)關(guān)系加以描述，就形成了把握矩陣。訪問把握矩陣的實(shí)現(xiàn)很易于理解，但是查找和實(shí)現(xiàn)起來有確定的難度，特殊是當(dāng)用戶和文件系統(tǒng)要管理的文件很多時(shí)，把握矩陣將會(huì)呈幾何級(jí)數(shù)增長(zhǎng)，會(huì)占用大量的系統(tǒng)資源，引起系統(tǒng)性能的下降。3.3.訪問把握力氣列表力氣是訪問把握中的一個(gè)重要概念，它是指懇求訪問的發(fā)起者所擁有的一個(gè)有效標(biāo)簽(ticket)，它授權(quán)標(biāo)簽表明的持有者可以依據(jù)何種訪問方式訪問特定的客體。與acl以文件為中心不同，訪問把握力氣表(accl：access control capabil

9、ities list)是以用戶為中心建立訪問權(quán)限表。3.4.訪問把握平安標(biāo)簽列表平安標(biāo)簽是限制和附屬在主體或客體上的一組平安屬性信息。平安標(biāo)簽的含義比力氣更為廣泛和嚴(yán)格，由于它實(shí)際上還建立了一個(gè)嚴(yán)格的平安等級(jí)集合。訪問把握標(biāo)簽列表(acsll：access control security labels list)是限定用戶對(duì)客體目標(biāo)訪問的平安屬性集合。4.訪問把握與授權(quán)授權(quán)是資源的全部者或把握者準(zhǔn)許他人訪問這些資源，是實(shí)現(xiàn)訪問把握的前提。對(duì)于簡(jiǎn)潔的個(gè)體和不太簡(jiǎn)潔的群體，我們可以考慮基于個(gè)人和組的授權(quán)，即便是這種實(shí)現(xiàn)，管理起來也有可能是困難的。當(dāng)我們面臨的對(duì)象是一個(gè)大型跨地區(qū)、甚至跨國集團(tuán)時(shí)，

10、如何通過正確的授權(quán)以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問把握的權(quán)限，這是一個(gè)簡(jiǎn)潔的問題。授權(quán)是指客體授予主體確定的權(quán)力，通過這種權(quán)力，主體可以對(duì)客體執(zhí)行某種行為，例如登陸，查看文件、修改數(shù)據(jù)、管理帳戶等。授權(quán)行為是指主體履行被客體授予權(quán)力的那些活動(dòng)。因此，訪問把握與授權(quán)密不行分。授權(quán)表示的是一種信任關(guān)系，一般需要建立一種模型對(duì)這種關(guān)系進(jìn)行描述，才能保證授權(quán)的正確性，特殊是在大型系統(tǒng)的授權(quán)中，沒有信任關(guān)系模型做指導(dǎo)，要保證合理的授權(quán)行為幾乎是不行想象的。例如，在億賽通文檔平安管理系統(tǒng)smartsec中，服務(wù)器端的用戶管理、文檔流轉(zhuǎn)等模塊的研發(fā)，就是建立在信任模型的基礎(chǔ)上

11、研發(fā)成功的，從而能夠保證在簡(jiǎn)潔的系統(tǒng)中，文檔能夠被正確地流轉(zhuǎn)和使用。5.訪問把握與審計(jì)審計(jì)是對(duì)訪問把握的必要補(bǔ)充，是訪問把握的一個(gè)重要內(nèi)容。審計(jì)會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間、以及如何使用(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)平安的最終一道防線，處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)特殊有必要。審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按大事從始至終的途徑，挨次檢查、審查和檢驗(yàn)每個(gè)大事的環(huán)境及活動(dòng)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng);用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)跟蹤可以發(fā)