《2022年安全管理数据安全保护技术访问控制技术.doc》由会员分享,可在线阅读,更多相关《2022年安全管理数据安全保护技术访问控制技术.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、此材料由网络搜集而来,如有侵权请告知上传者立即删除。材料共分享,我们负责传递知识。平安治理数据平安保护技术访征询操纵技术 数据作为信息的重要载体,其平安征询题在信息平安中占有特别重要的地位。数据的保密性、可用性、可控性和完好性是数据平安技术的主要研究内容。数据保密性的理论根底是密码学,而可用性、可控性和完好性是数据平安的重要保障,没有后者提供技术保障,再强的加密算法也难以保证数据的平安。与数据平安亲切相关的技术主要有以下几种,每种相关但又有所不同。1)访征询操纵: 该技术主要用于操纵用户可否进入系统以及进入系统的用户可以读写的数据集;2)数据流操纵:该技术和用户可访征询数据集的分发有关,用于防
2、止数据从授权范围扩散到非授权范围;3)推理操纵:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息;4)数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露;5)数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完好性。在上述技术中,访征询操纵技术占有重要的地位,其中1)、2)、3)均属于访征询操纵范畴。访征询操纵技术主要涉及平安模型、操纵策略、操纵策略的实现、授权与审计等。其中平安模型是访征询操纵的理论根底,其它技术是则实现平安模型的技术保障。本文侧重阐述访征询操纵技术,有关数据保护技术的其它方面,将逐步在其它文章中进展讨论。1.访征询
3、操纵信息系统的平安目的是通过一组规则来操纵和治理主体对客体的访征询,这些访征询操纵规则称为平安策略,平安策略反响信息系统对平安的需求。平安模型是制定平安策略的按照,平安模型是指用方式化的方法来准确地描绘平安的重要方面(机密性、完好性和可用性)及其与系统行为的关系。建立平安模型的主要目的是提高对成功实现关键平安需求的理解层次,以及为机密性和完好性寻找平安策略,平安模型是构建系统保护的重要按照,同时也是建立和评估平安操作系统的重要按照。自20世纪70年代起,Denning、Bell、Lapadula等人对信息平安进展了大量的理论研究,特别是1985年美国国防部公布可信计算机评估标准TCSEC以来,
4、系统平安模型得到了广泛的研究,并在各种系统中实现了多种平安模型。这些模型可以分为两大类:一种是信息流模型;另一种是访征询操纵模型。信息流模型主要着眼于对客体之间信息传输过程的操纵,它是访征询操纵模型的一种变形。它不校验主体对客体的访征询方式,而是试图操纵从一个客体到另一个客体的信息流,强迫其按照两个客体的平安属性决定访征询操作是否进展。信息流模型和访征询操纵模型之间差异特别小,但访征询操纵模型不能协助系统觉察隐蔽通道,而信息流模型通过对信息流向的分析可以觉察系统中存在的隐蔽通道并找到相应的防范对策。信息流模型是一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。尽管信息流模型在信息平安的理论
5、分析方面有着优势,但是迄今为止,信息流模型对详细的实现只能提供较少的协助和指导。访征询操纵模型是从访征询操纵的角度描绘平安系统,主要针对系统中主体对客体的访征询及其平安操纵。访征询操纵平安模型中一般包括主体、客体,以及为识别和验证这些实体的子系统和操纵实体间访征询的参考监视器。通常访征询操纵可以分自主访征询操纵(DAC)和强迫访征询操纵(MAC)。自主访征询操纵机制同意对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访征询操纵列表ACL)来限定哪些主体针对哪些客体可以执行什么操作。如此可以特别灵敏地对策略进展调整。由于其易用性与可扩展性,自主访征询操纵机制经常被用于商业系统。目
6、前的主流操作系统,如UNIX、Linux和Windows等操作系统都提供自主访征询操纵功能。自主访征询操纵的一个最大征询题是主体的权限太大,无意间就可能泄露信息,而且不能防范特洛伊木马的攻击。强迫访征询操纵系统给主体和客体分配不同的平安属性,而且这些平安属性不像ACL那样轻易被修正,系统通过比较主体和客体的平安属性决定主体是否可以访征询客体。强迫访征询操纵可以防范特洛伊木马和用户滥用权限,具有更高的平安性,但事实上现的代价也更大,一般用在平安级别要求比较高的军事上。随着平安需求的不断开展和变化,自主访征询操纵和强迫访征询操纵已经不能完全满足需求,研究者提出许多自主访征询操纵和强迫访征询操纵的替
7、代模型,如基于栅格的访征询操纵、基于规则的访征询操纵、基于角色的访征询操纵模型和基于任务的访征询操纵等。其中最引人瞩目的是基于角色的访征询操纵 (RBAC)。其根本思想是:有一组用户集和角色集,在特定的环境里,某一用户被指定为一个适宜的角色来访征询系统资源;在另外一种环境里,这个用户又可以被指定为另一个的角色来访征询另外的网络资源,每一个角色都具有其对应的权限,角色是平安操纵策略的核心,可以分层,存在偏序、自反、传递、反对称等关系。与自主访征询操纵和强迫访征询操纵相比,基于角色的访征询操纵具有明显优点:首先,它实际上是一种策略无关的访征询操纵技术。其次,基于角色的访征询操纵具有自治理的才能。此
8、外,基于角色的访征询操纵还便于施行整个组织或单位的网络信息系统的平安策略。目前,基于角色的访征询操纵已在许多平安系统中实现。例如,在亿赛通文档平安治理系统SmartSec(见“文档平安加密系统的实现方式”一文)中,效劳器端的用户治理就采纳了基于角色的访征询操纵方式,从而为用户治理、平安策略治理等提供了特别大的方便。随着网络的深化开展,基于Host-Terminal环境的静态平安模型和标准已无法完全反响分布式、动态变化、开展迅速的Internet的平安征询题。针对日益严峻的网络平安征询题和越来突出的平安需求,“可适应网络平安模型”和“动态平安模型”应运而生。基于闭环操纵的动态网络平安理论模型在9
9、0年代开始逐步构成并得到了迅速开展,1995年12月美国国防部提出了信息平安的动态模型,即保护(Protection)检测(Detection)响应(Response)多环节保障体系,后来被通称为PDR模型。随着人们对PDR模型应用和研究的深化,PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件,逐步构成了以平安策略为中心,集防护、检测、响应和恢复于一体的动态平安模型,PDR模型是一种基于闭环操纵、主动防范的动态平安模型,在整体的平安策略操纵和指导下,在综合运用防护工具(如防火墙、系统身份认证和加密等手段)的同时,利用检测工具(如破绽评估、入侵检测等系统)理解和评估系统的
10、平安状态,将系统调整到“最平安”和“风险最低”的状态。保护、检测、响应和恢复组成了一个完好的、动态的平安循环,在平安策略的指导下保证信息的平安。2.访征询操纵策略访征询操纵策略也称平安策略,是用来操纵和治理主体对客体访征询的一系列规则,它反映信息系统对平安的需求。平安策略的制定和施行是围绕主体、客体和平安操纵规则集三者之间的关系展开的,在平安策略的制定和施行中,要遵照以下原则:1)最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体施行授权行为,可以防止来自突发事件、错误和未授权使用主体的危险。2)最小泄漏原则:最小
11、泄漏原则是指主体执行任务时,按照主体所需要明白的信息最小化的原则分配给主体权力。3)多级平安策略:多级平安策略是指主体和客体间的数据流向和权限操纵按照平安级别的绝密、机密、机密、限制和无级别五级来划分。多级平安策略的优点是防止敏感信息的扩散。具有平安级别的信息资源,只有平安级别比他高的主体才可以访征询。访征询操纵的平安策略有以下两种实现方式:基于身份的平安策略和基于规则的平安策略。目前使用的两种平安策略,他们建立的根底都是授权行为。就其方式而言,基于身份的平安策略等同于DAC平安策略,基于规则的平安策略等同于MAC平安策略。2.1.基于身份的平安策略基于身份的平安策略(IDBACP:Ident
12、ification-based Access Control Policies)的目的是过滤主体对数据或资源的访征询,只有能通过认证的那些主体才有可能正常使用客体资源。基于身份的策略包括基于个人的策略和基于组的策略。基于身份的平安策略一般采纳才能表或访征询操纵列表进展实现。2.1.1基于个人的策略基于个人的策略(INBACP:Individual-based Access Control Policies)是指以用户为中心建立的一种策略,这种策略由一组列表组成,这些列表限定了针对特定的客体,哪些用户可以实现何种操作行为。2.1.2基于组的策略:基于组的策略(GBACP:Group-based
13、Access Control Policies)是基于个人的策略的扩大,指一些用户(构成平安组)被同意使用同样的访征询操纵规则访征询同样的客体。2.2.基于规则的平安策略基于规则的平安策略中的授权通常依赖于敏感性。在一个平安系统中,数据或资源被标注平安标记(Token)。代表用户进展活动的进程可以得到与其原发者相应的平安标记。基于规则的平安策略在实现上,由系统通过比较用户的平安级别和客体资源的平安级别来推断是否同意用户可以进展访征询。3.访征询操纵的实现由于平安策略是由一系列规则组成的,因此如何表达和使用这些规则是实现访征询操纵的关键。由于规则的表达和使用有多种方式可供选择,因此访征询操纵的实
14、现也有多种方式,每种方式均有其优点和缺点,在详细施行中,可按照实际情况进展选择和处理。常用的访征询操纵有以下几种方式。3.1.访征询操纵表访征询操纵表(ACL:Access Control List)是以文件为中心建立的访征询权限表,一般称作ACL。其主要优点在于实现简单,对系统功能阻碍小。它是目前大多数操作系统(如Windows、Linux等)采纳的访征询操纵方式。同时,它也是信息平安治理系统中经常采纳的访征询操纵方式。例如,在亿赛通文档平安治理系统SmartSec中,客户端提供的“文件访征询操纵”模块确实是通过ACL方式进展实现的。3.2.访征询操纵矩阵访征询操纵矩阵(ACM:Access
15、 Control Matrix)是通过矩阵方式表示访征询操纵规则和授权用户权限的方法;也确实是说,对每个主体而言,都拥有对哪些客体的哪些访征询权限;而对客体而言,有哪些主体可对它施行访征询;将这种关联关系加以描绘,就构成了操纵矩阵。访征询操纵矩阵的实现特别易于理解,但是查找和实现起来有一定的难度,特别是当用户和文件系统要治理的文件特别多时,操纵矩阵将会呈几何级数增长,会占用大量的系统资源,引起系统功能的下降。3.3.访征询操纵才能列表才能是访征询操纵中的一个重要概念,它是指恳求访征询的发起者所拥有的一个有效标签(Ticket),它授权标签说明的持有者可以按照何种访征询方式访征询特定的客体。与A
16、CL以文件为中心不同,访征询操纵才能表(ACCL:Access Control Capabilities List)是以用户为中心建立访征询权限表。3.4.访征询操纵平安标签列表平安标签是限制和附属在主体或客体上的一组平安属性信息。平安标签的含义比才能更为广泛和严格,由于它实际上还建立了一个严格的平安等级集合。访征询操纵标签列表(ACSLL:Access Control Security Labels List)是限定用户对客体目的访征询的平安属性集合。4.访征询操纵与授权授权是资源的所有者或操纵者准许别人访征询这些资源,是实现访征询操纵的前提。关于简单的个体和不太复杂的群体,我们可以考虑基于
17、个人和组的授权,即便是这种实现,治理起来也有可能是困难的。当我们面临的对象是一个大型跨地区、甚至跨国集团时,如何通过正确的授权以便保证合法的用户使用公司公布的资源,而不合法的用户不能得到访征询操纵的权限,这是一个复杂的征询题。授权是指客体授予主体一定的权力,通过这种权力,主体可以对客体执行某种行为,例如登陆,查看文件、修正数据、治理帐户等。授权行为是指主体履行被客体授予权力的那些活动。因此,访征询操纵与授权密不可分。授权表示的是一种信任关系,一般需要建立一种模型对这种关系进展描绘,才能保证授权的正确性,特别是在大型系统的授权中,没有信任关系模型做指导,要保证合理的授权行为几乎是不可想象的。例如
18、,在亿赛通文档平安治理系统SmartSec中,效劳器端的用户治理、文档流转等模块的研发,确实是建立在信任模型的根底上研发成功的,从而可以保证在复杂的系统中,文档可以被正确地流转和使用。5.访征询操纵与审计审计是对访征询操纵的必要补充,是访征询操纵的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进展记录与监控。审计和监控是实现系统平安的最后一道防线,处于系统的最高层。审计与监控可以再现原有的进程和征询题,这关于责任追查和数据恢复特别有必要。审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以觉察违犯平安策略的活动、阻碍运转效率的征询题以及程序中的错误。审计跟踪不但有助于协助系统治理员确保系统及其资源免遭非法授权用户的损害,同时还能提供对数据恢复的协助。例如,在亿赛通文档平安治理系统SmartSec中,客户端的“文件访征询审核日志”模块可以跟踪用户的多种日常活动,特别是可以跟踪记录用户与工作相关的各种活动情况,如什么时间编辑什么文档等。