《大數(shù)據(jù)安全技術(shù)》課件-第5章

第5章訪問控制技術(shù)主要內(nèi)容了解訪問控制的基本概念掌握自主訪問控制和強制訪問控制的相關(guān)知識掌握零信任架構(gòu)、基于角色的訪問控制和基于屬性的訪問控制的相關(guān)知識掌握配置Ranger安全組件實現(xiàn)訪問控制5.1訪問控制概述訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它管理所有資源的訪問請求，即根據(jù)安全策略的要求，對每一個資源訪問請求做出是否許可的判斷，能有效防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。訪問控制的發(fā)展經(jīng)歷了自主訪問控制、強制訪問控制、基于角色的訪問控制、基于屬性的訪問控制等階段。

在大數(shù)據(jù)應(yīng)用場景下，由于大數(shù)據(jù)的規(guī)模和增長速度以及應(yīng)用的開放性，使得安全管理員對于訪問控制的權(quán)限管理越來越困難。同時，數(shù)據(jù)應(yīng)用需求的不可預(yù)測性也使得管理員無法預(yù)先制定恰當(dāng)?shù)脑L問控制策略。訪問控制技術(shù)迫切需要自動化的授權(quán)管理和自適應(yīng)的訪問控制以使其滿足大數(shù)據(jù)場景的需求。5.1.1訪問控制的術(shù)語1．用戶（User）2．主體（Subject）3．客體（Object）4．操作（Operation）5．權(quán)限（Permission）6．最小權(quán)限（LeastPrivilege）7．引用監(jiān)控機（ReferenceMonitor，RM）8．引用驗證機制（ReferenceValidationMechanism，RVM）5.1訪問控制概述

5.1.2訪問控制的目標(biāo)

訪問控制可以實現(xiàn)信息安全的保密性、完整性等目標(biāo)。保密性目標(biāo)：如果主體對客體的所有訪問均在訪問控制的限制下進行，就可通過對需要進行保密性保護的信息制定相關(guān)的訪問控制策略，僅允許為了工作需要的主體有權(quán)讀取相關(guān)的客體信息，而未授權(quán)者則禁止讀取這些客體信息，這樣即可達(dá)到保密性保護的安全目標(biāo)。完整性目標(biāo)：制定相關(guān)的訪問控制策略，使得只有授權(quán)主體能對確定的客體信息進行修改、插入、刪除等寫操作，而限制其他主體對這些客體的相應(yīng)操作權(quán)限，即可防止未授權(quán)者對客體的篡改、插入、刪除等，確保信息的完整性。5.1訪問控制概述5.1訪問控制概述5.1.3

訪問控制的過程授權(quán)（Authorization）是規(guī)定可對該資源執(zhí)行的動作，包括讀、寫、執(zhí)行或拒絕訪問，明確是否允許某個用戶訪問某個系統(tǒng)資源、特定區(qū)域或信息的過程授權(quán)是訪問控制的重要過程，正確的授權(quán)依賴于認(rèn)證，通過認(rèn)證來確定你是誰，通過授權(quán)來確定你能做什么。5.1.4訪問控制的等級劃分標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》GB∕T37988-2019標(biāo)準(zhǔn)中，基于組織的數(shù)據(jù)安全需求和合規(guī)性要求，建立身份鑒別和訪問控制機制，防止對數(shù)據(jù)的未授權(quán)訪問風(fēng)險，具體安全等級劃分如下：等級1：非正式執(zhí)行

等級2：計劃跟蹤

等級3：充分定義

：訪問控制的粒度應(yīng)達(dá)到主體為用戶級，客體為系統(tǒng)、文件、數(shù)據(jù)庫表級或字段。等級4：量化控制

等級5：持續(xù)優(yōu)化5.1訪問控制概述5.1訪問控制概述5.1.5大數(shù)據(jù)訪問控制面臨的挑戰(zhàn)安全管理員的授權(quán)管理難度更大嚴(yán)格的訪問控制策略難以適用外包存儲環(huán)境下無法使用5.2自主訪問控制5.2.1自主訪問控制的定義及特點

自主訪問控制（DiscretionaryAccessControl，DAC），又稱為任意訪問控制。作為客體的擁有者的個人用戶可以設(shè)置訪問控制屬性來允許或拒絕對客體的訪問。具有某種訪問權(quán)的主體能夠自行決定將其訪問權(quán)直接或間接地轉(zhuǎn)交給其他主體。自主訪問控制允許系統(tǒng)的用戶對于屬于自己的客體按照自己的意愿允許或者禁止其他用戶訪問。5.2自主訪問控制5.2.2自主訪問控制策略

自主訪問控制策略根據(jù)來訪主體的身份，以及“誰能訪問、誰不能訪問、能在哪些資源上執(zhí)行哪些操作”等事先聲明的明確訪問規(guī)則，來實施訪問控制。1．傳統(tǒng)DAC策略2．HRU、TAM、ATAM策略3．基于角色特性的DAC策略4．基于時間特性的DAC策略5.2自主訪問控制5.2.3自主訪問控制模型

（1）訪問控制列表（AccessControlList，ACL）ACL是DAC中通常采用的一種機制，安全管理員通過維護ACL控制用戶訪問客體資源。ACL是存儲在計算機中的一張表，用戶對特定系統(tǒng)對象例如文件目錄或單個文件的存取控制，每個對象擁有一個在訪問控制列表中定義的安全屬性。這張表對于每一個系統(tǒng)用戶都擁有一個訪問權(quán)限，常見的訪問權(quán)限包括讀文件、寫文件和執(zhí)行文件等。5.2自主訪問控制5.2.3自主訪問控制模型

（2）訪問控制矩陣（AccessControlMatrix，ACM）訪問控制矩陣是一個由主體和客體組成的表，ACM中的每行表示一個主體，每列則表示一個受保護的客體，矩陣中的元素表示主體可對客體的訪問模式。訪問控制矩陣的每一列都是一個訪問控制列表ACL，表的每一行都是功能列表（也叫能力表）。5.2自主訪問控制5.2.3自主訪問控制模型

（2）訪問控制矩陣（AccessControlMatrix，ACM）

主體文檔文件打印機網(wǎng)絡(luò)文件共享Bob讀不能訪問讀、寫Mary不能訪問打印不能訪問Amanda讀、寫打印、管理打印隊列讀、寫、執(zhí)行Admin讀、寫、更改權(quán)限打印、管理打印隊列、更改權(quán)限讀、寫、執(zhí)行、更改權(quán)限5.3強制訪問控制5.3.1強制訪問控制的定義及特點

強制訪問控制（MandatoryAccessControl，MAC）是根據(jù)客體中信息的敏感標(biāo)簽和訪問敏感信息的主體的訪問等級，對客體的訪問實行限制的一種方法。

系統(tǒng)首先給訪問主體和資源賦予不同的安全屬性，在實現(xiàn)訪問控制時，系統(tǒng)先對訪問主體和受控制資源的安全級別進行比較，再決定訪問主體能否訪問客體。5.3強制訪問控制5.3.1強制訪問控制的定義及特點1．敏感標(biāo)簽

敏感標(biāo)簽（SensitivityLabel），也稱為安全許可。強制訪問控制根據(jù)該用戶的敏感等級或者信任等級對系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感標(biāo)簽，利用敏感標(biāo)簽來確定誰可以訪問系統(tǒng)中的特定信息。5.3強制訪問控制5.3.1強制訪問控制的定義及特點2．信息的輸入和輸出

對某個客體是否允許訪問的決策將由以下3個因素決定：

（1）主體的敏感標(biāo)簽

（2）客體的敏感標(biāo)簽

（3）訪問請求

只有當(dāng)主體的敏感等級高于或等于客體的等級時，訪問才是允許的，否則將拒絕訪問。5.3強制訪問控制5.3.1強制訪問控制的定義及特點

3．安全標(biāo)記

強制訪問控制對訪問主體和客體標(biāo)識兩個安全標(biāo)記：一個是具有偏序關(guān)系的安全等級標(biāo)記；另一個是非等級分類標(biāo)記。

主體和客體在分屬不同的安全級別時，都屬于一個固定的安全級別（SC），SC就構(gòu)成一個偏序關(guān)系，根據(jù)主體和客體的敏感等級和讀寫關(guān)系可以有以下4種組合。

（1）下讀(ReadDown，RD)：主體級別大于客體級別的讀操作；

（2）上寫(WriteUp，WU)：主體級別低于客體級別的寫操作；

（3）下寫(WriteDown，WD)：主體級別大于客體級別的寫操作；

（4）上讀(ReadUp，RU)：主體級別低于客體級別的讀操作。5.3.2強制訪問控制策略

當(dāng)某一用戶以某密級進入系統(tǒng)時，在確定該用戶能否訪問系統(tǒng)上的數(shù)據(jù)時應(yīng)遵守如下規(guī)則：（1）當(dāng)且僅當(dāng)用戶許可證級別大于或等于數(shù)據(jù)的密級時，該用戶才能對該數(shù)據(jù)進行讀操作；

（2）當(dāng)且僅當(dāng)用戶許可證級別小于或等于數(shù)據(jù)的密級時，該用戶才能對該數(shù)據(jù)進行寫操作。

通過“上寫/下讀”的方式，防止了敏感數(shù)據(jù)的泄露5.3強制訪問控制5.3.2強制訪問控制策略

多級安全策略指預(yù)先定義好用戶的許可證級別和資源的密級，當(dāng)用戶提出訪問請求時，系統(tǒng)對兩者進行比較以確定訪問是否合法。在多級訪問控制系統(tǒng)中，所有主體和客體都被分配了安全標(biāo)記，安全標(biāo)記對其自身的安全等級進行了標(biāo)識，其作用過程是：主體被分配一個安全等級，客體也被分配一個安全等級，在執(zhí)行訪問控制時，對主體和客體的安全級別進行比較。5.3強制訪問控制5.3.3強制訪問控制模型

1．Lattice模型

Lattice模型屬于有層次的安全級別，每個資源和用戶都服從于一個安全級別。在整個安全模型中，信息資源對應(yīng)一個安全級別，用戶所對應(yīng)的安全級別必須比可以使用的客體資源高才能進行訪問。5.3強制訪問控制5.3.3強制訪問控制模型

2．Bell-Lapadula模型

Bell-Lapadula模型，簡稱BLP模型，是典型的信息保密性多級安全模型。

BLP模型的安全策略包括強制訪問控制和自主訪問控制兩部分。強制訪問控制的安全特性要求對給定安全級別的主體，僅被允許對同一安全級別和較低安全級別的客體進行“下讀”；對給定安全級別的主體，僅被允許向相同安全級別或較高安全級別上的客體進行“上寫”。自主訪問控制允許用戶自行定義是否讓個人或組織存取數(shù)據(jù)。BLP模型用偏序關(guān)系可以表示為：（1）RD，當(dāng)且僅當(dāng)SC(s)≥SC(o)，允許讀操作；（2）WU，當(dāng)且僅當(dāng)SC(s)≤SC(o)，允許寫操作。5.3強制訪問控制5.3.3強制訪問控制模型

3．Biba模型Biba模型定義了信息完整性級別，在信息流向的定義方面不允許從低安全級別的進程到高安全級別的進程，Biba模型的兩個主要特征如下：

（1）禁止“上寫”，完整性級別高的文件一定是由完整性級別高的進程所產(chǎn)生的。

（2）沒有“下讀”，但允許“上讀”，即完整性級別低的進程可以閱讀完整性級別高的文件。

Biba模型用偏序關(guān)系可以表示為：

（1）RU，當(dāng)且僅當(dāng)SC(s)≤SC(o)，允許讀操作；

（2）WD，當(dāng)且僅當(dāng)SC(s)≥SC(o)，允許寫操作。5.3強制訪問控制5.4

基于零信任的訪問控制技術(shù)

《零信任架構(gòu)標(biāo)準(zhǔn)》中的定義：零信任（ZeroTrust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時，降低其決策準(zhǔn)確度的不確定性。在《零信任網(wǎng)絡(luò)》一書中，埃文?吉爾曼和道格?巴斯從零信任的安全假設(shè)和安全思路維度進行了定義：（1）網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中；（2）來自網(wǎng)絡(luò)內(nèi)外部的安全威脅始終是網(wǎng)絡(luò)安全的威脅；（3）網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度；（4）網(wǎng)絡(luò)中各類要素包括用戶、設(shè)備、資源、網(wǎng)絡(luò)流量等都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)；（5）依據(jù)實際情況制定的動態(tài)安全策略才能保證業(yè)務(wù)安全，要基于盡可能多的數(shù)據(jù)源計算來進行信任評估。5.4

基于零信任的訪問控制技術(shù)5.4.1零信任網(wǎng)絡(luò)架構(gòu)零信任網(wǎng)絡(luò)架構(gòu)圖5.4

基于零信任的訪問控制技術(shù)5.4.2零信任體系架構(gòu)的邏輯組件

核心零信任邏輯組件

5.4

基于零信任的訪問控制技術(shù)5.4.3零信任架構(gòu)核心能力及訪問控制模型基于零信任理念構(gòu)建零信任架構(gòu)，打破傳統(tǒng)安全架構(gòu)基于網(wǎng)絡(luò)邊界構(gòu)筑信任域的理念，基于各類主體的身份進行細(xì)粒度的風(fēng)險度量和訪問授權(quán)，通過持續(xù)信任評估實現(xiàn)動態(tài)訪問控制，避免核心資產(chǎn)直接暴露，最大程度減少被攻擊面以及被攻擊的風(fēng)險。身份認(rèn)證、信任評估、動態(tài)訪問控制、業(yè)務(wù)安全訪問是零信任的核心能力。在零信任架構(gòu)下，以前的相對靜態(tài)的或者相對封閉的網(wǎng)絡(luò)環(huán)境已經(jīng)越來越少，逐步向開放式發(fā)展，訪問主體身份不固定，頻繁進行登錄和退出操作，對于訪問控制模型提出了更高要求。在零信任理念下，常用的訪問控制模型有兩種：基于角色的訪問控制、基于屬性的訪問控制。5.5基于角色的訪問控制5.5.1基于角色的訪問控制基本概念

基于角色的訪問控制是指在訪問控制系統(tǒng)中，按照用戶所承擔(dān)的角色的不同而授予不同的操作權(quán)限集。RBAC的核心思想就是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。

RBAC根據(jù)安全策略劃分出不同的角色，對每個角色分配不同的權(quán)限，并為用戶指派不同的角色，用戶通過角色間接地對數(shù)據(jù)信息資源進行許可的相應(yīng)操作。

（1）根據(jù)最小權(quán)限原則，給予主體“必不可少”的權(quán)限

（2）合理地限制每個主體不必要的訪問權(quán)限，堵截了許多攻擊與泄露數(shù)據(jù)信息的途徑。5.5基于角色的訪問控制5.5.1基于角色的訪問控制基本概念

RBAC支持公認(rèn)的安全原則：最小權(quán)限原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。RBAC是目前國際上流行的、先進的安全管理控制方法，優(yōu)點和缺點如下：（1）優(yōu)點：簡化了用戶和權(quán)限的關(guān)系，易擴展、易維護；（2）缺點：RBAC模型沒有提供操作順序的控制機制，這一缺陷使得RBAC模型很難適應(yīng)哪些對操作順序有嚴(yán)格要求的系統(tǒng)。5.5基于角色的訪問控制5.5.2基于角色的訪問控制模型RBAC96是一個模型族，包括四個模型：RBAC0～RBAC3。

RBAC96內(nèi)各模型間的關(guān)系5.5基于角色的訪問控制5.5.2基于角色的訪問控制模型

1．基本模型RBAC0（CoreRBAC）5.5基于角色的訪問控制5.5.2基于角色的訪問控制模型

2．角色分級模型RBAC1（HierarchalRBAC）5.5基于角色的訪問控制5.5.2基于角色的訪問控制模型

3．角色限制模型RBAC2（ConstraintRBAC）5.5基于角色的訪問控制5.5.2基于角色的訪問控制模型

4．統(tǒng)一模型RBAC3（CombinesRBAC）5.6基于屬性的訪問控制5.6.1基于屬性的訪問控制基本概念基于屬性的訪問控制（Attribute-BasedAccessControl，ABAC）通過動態(tài)計算一個或一組屬性是否滿足某種條件來進行授權(quán)判斷。可以按需實現(xiàn)不同顆粒度的權(quán)限控制，不需要預(yù)先知道訪問者的身份。（1）實體：指系統(tǒng)中存在的主體、客體以及權(quán)限和環(huán)境。（2）環(huán)境：指訪問控制發(fā)生時的系統(tǒng)環(huán)境。（3）屬性：用于描述上述實體的安全相關(guān)信息，是ABAC的核心概念。5.6基于屬性的訪問控制5.6.1基于屬性的訪問控制基本概念

5.6基于屬性的訪問控制5.6.2基于屬性的訪問控制模型ABAC模型示意圖5.6基于屬性的訪問控制5.6.2基于屬性的訪問控制模型

與RBAC相比，ABAC對權(quán)限的控制粒度更細(xì)，如控制用戶的訪問速率、訪問時間等。實際開發(fā)中可以結(jié)合RBAC角色管理的優(yōu)點和ABAC的靈活性一起使用。

ABAC能夠完成細(xì)粒度訪問控制和面向大規(guī)模主體動態(tài)授權(quán)等問題，并將傳統(tǒng)訪問控制中的角色、安全等級等抽象為屬性，能有效實現(xiàn)傳統(tǒng)訪問控制模型的所有功能，適用云計算等開放分布式計算環(huán)境，應(yīng)用前景廣闊。5.7基于數(shù)據(jù)分析的訪問控制技術(shù)5.7.1角色挖掘技術(shù)采用數(shù)據(jù)挖掘技術(shù)從系統(tǒng)的訪問控制信息等數(shù)據(jù)中獲得角色的定義，被稱為角色挖掘（RoleMining）。早期的角色挖掘主要采用層次聚類算法從已有的用戶—權(quán)限分配關(guān)系中自動地獲得角色，并建立用戶—角色、角色—權(quán)限的映射。近年來，為了進一步提高角色定義的質(zhì)量，人們開始對用戶的權(quán)限使用記錄等更豐富的數(shù)據(jù)集進行分析，即考慮了權(quán)限使用的頻繁程度和用戶屬性等因素，從而使得角色挖掘的結(jié)果更加符合系統(tǒng)中的實際權(quán)限情況。5.7基于數(shù)據(jù)分析的訪問控制技術(shù)5.7.1角色挖掘技術(shù)

1．基于層次聚類的角色挖掘從這類數(shù)據(jù)中分析和挖掘潛在的角色概念，并將角色與用戶、角色與權(quán)限分別進行關(guān)聯(lián)。我們將角色看作大量用戶共享的一些權(quán)限組合，采用聚類方法來挖掘角色。（1）凝聚式角色挖掘：將每個對象作為一簇，不斷合并成為更大的簇，直到所有的對象合并為一個類簇或滿足某個終止條件。（2）分裂式角色挖掘：將所有對象作為一簇，然后按照一定條件不斷細(xì)分，直到每個對象作為一個類簇或滿足某個終止條件。主要問題:它只對已有的權(quán)限分配數(shù)據(jù)進行角色挖掘，挖掘出的角色定義的質(zhì)量往往過多地依賴于已有權(quán)限分配的質(zhì)量。5.7基于數(shù)據(jù)分析的訪問控制技術(shù)5.7.1角色挖掘技術(shù)2．生成式角色挖掘

基于權(quán)限使用日志進行角色挖掘，其結(jié)果能更準(zhǔn)確地反映權(quán)限的真實使用情況，而不局限于已有權(quán)限分配的準(zhǔn)確性。

基本思路：將角色挖掘問題映射為文本分析問題，采用兩類主題模型包括LDA（LatentDirichletAllocation，潛在狄利克雷分布）和ATM（Author-TopicModel，作者-主題模型）進行生成式角色挖掘，從權(quán)限使用情況的歷史數(shù)據(jù)來獲得用戶的權(quán)限使用模式，進而產(chǎn)生角色，并為它賦予合適的權(quán)限，同時根據(jù)用戶屬性數(shù)據(jù)為用戶分配恰當(dāng)?shù)慕巧?.7基于數(shù)據(jù)分析的訪問控制技術(shù)5.7.1角色挖掘技術(shù)生成式角色挖掘的優(yōu)點：

（1）挖掘結(jié)果能夠反映權(quán)限的內(nèi)在聯(lián)系，所以在可用性和解釋性上具有較大優(yōu)勢。

（2）能夠?qū)σ恍碛邢嗤瑱?quán)限集合，卻有不同使用模式的用戶群體進一步準(zhǔn)確劃分。

（3）用途廣泛，可用于已有權(quán)限分配信息中的錯誤發(fā)現(xiàn)和標(biāo)識，還可用于權(quán)限使用過程中的異常檢測。5.7基于數(shù)據(jù)分析的訪問控制技術(shù)5.7.2風(fēng)險自適應(yīng)的訪問控制技術(shù)

自適應(yīng)訪問控制技術(shù)的主要代表是風(fēng)險訪問控制。

從風(fēng)險管理的角度來看，訪問控制是一種平衡風(fēng)險和收益的機