數(shù)據(jù)安全保護技術之訪問控制技術

1、數(shù)據(jù)平安愛護技術之訪問把握技術 數(shù)據(jù)作為信息的重要載體，其平安問題在信息平安中占有特殊重要的地位。數(shù)據(jù)的保密性、可用性、可控性和完整性是數(shù)據(jù)平安技術的主要爭辯內容。數(shù)據(jù)保密性的理論基礎是密碼學，而可用性、可控性和完整性是數(shù)據(jù)平安的重要保障，沒有后者供應技術保障，再強的加密算法也難以保證數(shù)據(jù)的平安。與數(shù)據(jù)平安親熱相關的技術主要有以下幾種，每種相關但又有所不同。 1)訪問把握： 該技術主要用于把握用戶可否進入系統(tǒng)以及進入系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集;益嚴峻的網(wǎng)絡平安問題和越來突出的平安需求，“可適應網(wǎng)絡平安模型”和“動態(tài)平安模型”應運而生。基于閉環(huán)把握的動態(tài)網(wǎng)絡平安理論模型在90年月開頭漸漸形成并得

2、到了快速進展，1995年12月美國國防部提出了信息平安的動態(tài)模型，即疼惜(protection)檢測(detection)響應(response)多環(huán)節(jié)保障體系，后來被通稱為pdr模型。隨著人們對pdr模型應用和爭辯的深化，pdr模型中又融入了策略(policy)和恢復(restore)兩個組件，漸漸形成了以平安策略為中心，集防護、檢測、響應和恢復于一體的動態(tài)平安模型，pdr模型是一種基于閉環(huán)把握、主動防備的動態(tài)平安模型，在整體的平安策略把握和指導下，在綜合運用防護工具(如防火墻、系統(tǒng)身份認證和加密等手段)的同時，利用檢測工具(如漏洞評估、入侵檢測等系統(tǒng))了解和評估系統(tǒng)的平安狀態(tài)，將系統(tǒng)調整到

3、“最平安”和“風險最低”的狀態(tài)。疼惜、檢測、響應和恢復組成了一個完整的、動態(tài)的平安循環(huán)，在平安策略的指導下保證信息的平安。2.訪問把握策略訪問把握策略也稱平安策略，是用來把握和管理主體對客體訪問的一系列規(guī)章，它反映信息系統(tǒng)對平安的需求。平安策略的制定和實施是圍繞主體、客體和平安把握規(guī)章集三者之間的關系開放的，在平安策略的制定和實施中，要遵循下列原則：1)最小特權原則：最小特權原則是指主體執(zhí)行操作時，依據(jù)主體所需權利的最小化原則支配給主體權力。最小特權原則的優(yōu)點是最大程度地限制了主體實施授權行為，可以避開來自突發(fā)大事、錯誤和未授權使用主體的危急。2)最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，

4、依據(jù)主體所需要知道的信息最小化的原則支配給主體權力。3)多級平安策略：多級平安策略是指主體和客體間的數(shù)據(jù)流向和權限把握依據(jù)平安級別的絕密、隱秘、機密、限制和無級別五級來劃分。多級平安策略的優(yōu)點是避開敏感信息的集中。具有平安級別的信息資源，只有平安級別比他高的主體才能夠訪問。訪問把握的平安策略有以下兩種實現(xiàn)方式：基于身份的平安策略和基于規(guī)章的平安策略。目前使用的兩種平安策略，他們建立的基礎都是授權行為。就其形式而言，基于身份的平安策略等同于dac平安策略，基于規(guī)章的平安策略等同于mac平安策略。2.1.基于身份的平安策略基于身份的平安策略(idbacp：identification-based

5、access control policies)的目的是過濾主體對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體資源?；谏矸莸牟呗园ɑ趥€人的策略和基于組的策略?；谏矸莸钠桨膊呗砸话憬邮芰獗砘蛟L問把握列表進行實現(xiàn)。2.1.1基于個人的策略基于個人的策略(inbacp：individual-based access control policies)是指以用戶為中心建立的一種策略，這種策略由一組列表組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種操作行為。2.1.2基于組的策略：基于組的策略(gbacp：group-based access control pol

6、icies)是基于個人的策略的擴充，指一些用戶(構成平安組)被允許使用同樣的訪問把握規(guī)章訪問同樣的客體。2.2.基于規(guī)章的平安策略基于規(guī)章的平安策略中的授權通常依靠于敏感性。在一個平安系統(tǒng)中，數(shù)據(jù)或資源被標注平安標記(token)。代表用戶進行活動的進程可以得到與其原發(fā)者相應的平安標記?；谝?guī)章的平安策略在實現(xiàn)上，由系統(tǒng)通過比較用戶的平安級別和客體資源的平安級別來推斷是否允許用戶可以進行訪問。3.訪問把握的實現(xiàn)由于平安策略是由一系列規(guī)章組成的，因此如何表達和使用這些規(guī)章是實現(xiàn)訪問把握的關鍵。由于規(guī)章的表達和使用有多種方式可供選擇，因此訪問把握的實現(xiàn)也有多種方式，每種方式均有其優(yōu)點和缺點，在具體

7、實施中，可依據(jù)實際狀況進行選擇和處理。常用的訪問把握有以下幾種形式。3.1.訪問把握表訪問把握表(acl：access control list)是以文件為中心建立的訪問權限表，一般稱作acl。其主要優(yōu)點在于實現(xiàn)簡潔，對系統(tǒng)性能影響小。它是目前大多數(shù)操作系統(tǒng)(如windows、linux等)接受的訪問把握方式。同時，它也是信息平安管理系統(tǒng)中經(jīng)常接受的訪問把握方式。例如，在億賽通文檔平安管理系統(tǒng)smartsec中，客戶端供應的“文件訪問把握”模塊就是通過acl方式進行實現(xiàn)的。3.2.訪問把握矩陣訪問把握矩陣(acm：access control matrix)是通過矩陣形式表示訪問把握規(guī)章和授權

8、用戶權限的方法;也就是說，對每個主體而言，都擁有對哪些客體的哪些訪問權限;而對客體而言，有哪些主體可對它實施訪問;將這種關聯(lián)關系加以描述，就形成了把握矩陣。訪問把握矩陣的實現(xiàn)很易于理解，但是查找和實現(xiàn)起來有確定的難度，特殊是當用戶和文件系統(tǒng)要管理的文件很多時，把握矩陣將會呈幾何級數(shù)增長，會占用大量的系統(tǒng)資源，引起系統(tǒng)性能的下降。3.3.訪問把握力氣列表力氣是訪問把握中的一個重要概念，它是指懇求訪問的發(fā)起者所擁有的一個有效標簽(ticket)，它授權標簽表明的持有者可以依據(jù)何種訪問方式訪問特定的客體。與acl以文件為中心不同，訪問把握力氣表(accl：access control capabil

9、ities list)是以用戶為中心建立訪問權限表。3.4.訪問把握平安標簽列表平安標簽是限制和附屬在主體或客體上的一組平安屬性信息。平安標簽的含義比力氣更為廣泛和嚴格，由于它實際上還建立了一個嚴格的平安等級集合。訪問把握標簽列表(acsll：access control security labels list)是限定用戶對客體目標訪問的平安屬性集合。4.訪問把握與授權授權是資源的全部者或把握者準許他人訪問這些資源，是實現(xiàn)訪問把握的前提。對于簡潔的個體和不太簡潔的群體，我們可以考慮基于個人和組的授權，即便是這種實現(xiàn)，管理起來也有可能是困難的。當我們面臨的對象是一個大型跨地區(qū)、甚至跨國集團時，

10、如何通過正確的授權以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問把握的權限，這是一個簡潔的問題。授權是指客體授予主體確定的權力，通過這種權力，主體可以對客體執(zhí)行某種行為，例如登陸，查看文件、修改數(shù)據(jù)、管理帳戶等。授權行為是指主體履行被客體授予權力的那些活動。因此，訪問把握與授權密不行分。授權表示的是一種信任關系，一般需要建立一種模型對這種關系進行描述，才能保證授權的正確性，特殊是在大型系統(tǒng)的授權中，沒有信任關系模型做指導，要保證合理的授權行為幾乎是不行想象的。例如，在億賽通文檔平安管理系統(tǒng)smartsec中，服務器端的用戶管理、文檔流轉等模塊的研發(fā)，就是建立在信任模型的基礎上

11、研發(fā)成功的，從而能夠保證在簡潔的系統(tǒng)中，文檔能夠被正確地流轉和使用。5.訪問把握與審計審計是對訪問把握的必要補充，是訪問把握的一個重要內容。審計會對用戶使用何種信息資源、使用的時間、以及如何使用(執(zhí)行何種操作)進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)平安的最終一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責任追查和數(shù)據(jù)恢復特殊有必要。審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按大事從始至終的途徑，挨次檢查、審查和檢驗每個大事的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。系統(tǒng)活動包括操作系統(tǒng)和應用程序進程的活動;用戶活動包括用戶在操作系統(tǒng)中和應用程序中的活動。通過借助適當?shù)墓ぞ吆鸵?guī)程，審計跟蹤可以發(fā)