1.1 访问控制概念指对资源对象的访问者授权、控制的方法及运行机制 访问者:又称为主体,可以是用户、进程、应用程序等 资源对象:又称为客体,即被访问的对象,可以是文件、应用服务、数据等 授权:是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接收、发送等(能干什么) 控制:就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等(能不能干)
1.2 访问控制目标访问控制目标实现:首先要对网络用户进行有效的身份认证,然后根据不同的用户授予不同的访问权限,进而保护系统资源。同时还可以进行系统的安全审计和监控,检测用户对系统的攻击企图 二、访问控制模型2.1 访问控制参考模型访问控制机制由一组安全机制构成,可以抽象为一个简单的模型 组成要素主体(Subject):是客体的操作实施者,实体通常是人、进程或设备等,一般是代表用户执行操作的进程。比如编辑一个文件,编辑进程是存取文件的主体,而文件则是客体 参考监视器(Reference Monitor): 是访问控制的决策单元和执行单元的集合体(控制功能) 客体(Object):是被主体操作的对象 访问控制数据库:记录主体访问客体的权限及其访问方式的信息,提供访问控制决策判断的依据,又称访问控制策略库,该数据库随着主体和客体的产生、删除及其权限的修改而动态变化 审计库:存储主体访问客体的操作信息,包括访问成功、访问失败以及访问操作信息
2.2 访问控制模型发展| 访问控制模型 | 用途 | 自主访问控制模型 强制访问控制模型 基于角色的访问控制模型 | 常用于操作系统、数据库系统的资源访问 | | 基于使用的访问控制模型 | 用于隐私保护、敏感信息安全限制、 知识产权保护 | | 基于地理位置的访问控制模型 | 可用于移动互联网应用授权控制 | | 基于属性的访问控制 | 是一个新兴的访问控制方法,主要提供分布式网络环境和Web服务的模型访问控制 | | 基于行为的访问控制模型 | 根据主体的活动行为,提供安全风险的控制 | | 基于时态的访问控制模型 | 利用时态(时间)作为访问约束条件, 增强访问控制细粒度 |
三、访问控制类型3.1 自主访问控制(DAC)DAC(Discretionary Access Control) :是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权 DAC实现方式有两大类 1. 基于行的自主访问控制(基于主体)在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分三种形式: 能力表:能力是访问客体的钥匙,它决定用户能否对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体 前缀表:包括受保护客体名和主体对它的访问权限。当主体要访问某客体时,自主访问控制机制检查主体的前缀是否具有它所请求的访问权 口令:在基于口令机制的自主存取控制机制中,每个客体都相应的有一个口令。主体在对客体进行访问前,必须向系统提供该客体的口令,如果正确,它就可以访问该客体
2. 基于列的自主访问控制(基于客体)在每个客体上都附加一个可访问它的主体的明细表,有两种形式: 保护位:通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合,通常以比特位来表示访问权限。UNIX/Linux系统就利用这种访问控制方法 访问控制表(ACL:Access Control List):是在每个客体上都附加一个主体明细表,表示访问控制矩阵,表中每一项都包括主体的身份和主体对该客体的访问权限
3.2 强制访问控制(MAC)MAC(Mandatory Access Control):指根据主体和客体的安全属性,以强制方式控制主体对客体的访问 在该机制下,安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴,当一个进程访问一个文件时,系统调用强制访问控制机制,当且仅当进程的安全级别不小于客体的安全级别,且进程的范畴包含文件的范畴时,进程才能访问客体,否则就拒绝。 3.3 基于角色的访问控制(RBAC)RBAC:指根据完成某些职责任务所需要的访问权限来进行授权和管理 四个基本要素:用户(U)、角色(R)、会话(S)和权限(P) 是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则 整个访问控制过程分两个部分:访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离 
3.4 基于属性的访问控制(ABAC)
ABAC:Attribute Based Access Control 访问控制方法:根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝 四、访问控制策略设计与实现4.1 访问控制策略用于规定用户访问资源的权限,防止资源损失、泄密或非法使用 在设计访问控制策略时,应考虑以下要求: 不同网络应用的安全需求,如内部用户访问还是外部用户 所有和应用相关的信息的确认,如通信端口号、IP 地址等 网络信息传播和授权策略,如信息的安全级别和分类、 不同系统的访问控制和信息分类策略之间的一致性 关于保护数据和服务的有关法规和合同义务 访问权限的更新和维护
访问控制策略必须指明禁止什么和允许什么,在说明访问控制规则时,应做到以下几点: 所建立的规则应以“未经明确允许的都是禁止的”为前提,而不是以较弱的原则“未经明确禁止的都是允许的”为前提 信息标记的变化,包括由信息处理设备自动引起的或是由用户决定引起的 由信息系统和管理人员引起的用户许可的变化 规则在颁布之前需要管理人员的批准或其他形式的许可
访问控制策略组成:所要控制的对象、访问控制规则、用户权限或其他访问安全要求 4.2 访问控制规则实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式 常见访问控制规则基于用户身份:利用具体的用户身份来限制访问操作,通常以账号名和口令表示用户,当用户输入的"账号名和口令”都正确后,系统才允许用户访问 基于角色:根据用户完成某项任务所需要的权限进行控制的 基于地址:利用访问者所在的物理位置或逻辑地址空间来限制访问操作 基千时间:利用时间来约束访问操作 基于异常事件:利用异常事件来触发控制操作,以避免危害系统的行为进一步升级 基于服务数量:利用系统所能承受的服务数量来实现控制
五、访问控制过程与安全管理5.1 访问控制过程访问控制的目的:保护系统的资产,防止非法用户进入系统及合法用户对系统资源的非法使用 实现访问控制管理步骤第一步,明确访问控制管理的资产,例如网络系统的路由器、Web 服务等 第二步,分析管理资产的安全需求,例如保密性要求、完整性要求、可用性要求等 第三步,制定访问控制策略,确定访问控制规则以及用户权限分配 第四步,实现访问控制策略,建立用户访问身份认证系统,并根据用户类型授权用户访问资产 第五步,运行和维护访问控制系统,及时调整访问策略
5.2 最小特权管理特权是用户超越系统访问控制所拥有的权限 特权设置:有利于系统维护和配置,但不利于系统的安全性。因此,特权的管理应按最小化机制,防止特权误用 最小特权原则:指系统中每一个主体,只能拥有完成任务所必要的权限集 最小特权管理的目的:是系统不应赋予特权拥有者完成任务的额外权限,组织特权乱用 为此,特权的分配原则是:“按需使用”,该原则保证系统不会将权限过多的分配给用户,从而可以限制特权造成的危害 5.3 用户访问管理为了防止系统的非授权使用,对系统中的用户权限应进行有效管理 用户管理是网络安全管理的重要内容之一,其主要工作包括:用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户 用户管理流程 
5.4 口令安全管理口令是当前大多数网络实施访问控制进行身份鉴别的重要依据,一般遵守以下原则: 六、访问控制主要产品与技术指标访问控制:是网络安全普遍采用的安全技术 产品表现形式:独立系统形态、功能模块形态、专用设备形态 6.1 访问控制主要产品1. 4A系统4A:指认证(Authentication) 、授权(Authorization) 、账号(Account)、审计(Audit) 中文名称:统一安全管理平台, 平台集中提供账号、认证、授权和审计等网络安全服务 产品技术特点:集成了访问控制机制和功能,提供多种访问控制服务。平台常用基于角色的访
问控制方法,以便于账号授权管理。 2.安全网关产品技术特点:是利用网络数据包信息和网络安全威胁特征库,对网络通信连接服务进行访问控制,是一种特殊的网络安全产品,如防火墙、统一威胁管理(UTM)等。 3.系统安全增强产品技术特点:通常利用强制访问控制技术来增强操作系统、数据库系统的安全,防止特权滥用。如Linux的安全增强系统SELinux、Windows 操作系统加固等 6.2 访问控制主要技术指标产品支持访问控制策略规则类型:类型多有利于安全控制细化和灵活授权管理 产品支持访问控制规则最大数量:数量多表示该产品具有较高的控制能力 产品访问控制规则检查速度:速度快则意味着产品具有较好的性能 产品自身安全和质量保障级别:针对产品本身的安全所采用的保护措施,产品防范网络攻击的能力,产品所达到的国家信息安全产品的等级
七、访问控制技术应用7.1 访问控制技术应用场景类型1. 物理访问控制主要针对物理环境或设备实体而设置的安全措施,一般包括门禁系统、警卫、个人证件、门锁、物理安全区域划分 2. 网络访问控制主要针对网络资源而采取的访问安全措施,一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证 3. 操作系统访问控制针对计算机系统资源而采取的访问安全措施,例如文件读写访问控制、进程访问控制、内存访问控制等 4.数据库/数据访问控制针对数据库系统及数据而采取的访问安全措施,例如数据库表创建、数据生成与分发 5.应用系统访问控制针对应用系统资源而采取的访问安全措施,例如业务执行操作、业务系统文件读取等 7.2 UNIX/Linux系统访问控制应用参考实现方法:在每个文件上使用“9比特位模式”来标识访问控制权限信息 文件权限信息:共用10个字符表示 第1个字符:为文件的类型,是文件则为- ,是目录则是D 后9个字符:为不同用户分别对该文件具有的权限,分为文件所有者(owner) 、文件所属组用户(group)、其他用户(other) 三类,以及可读、可写、可执行三个权限
例:-rw-r--r--,具体如下:
| 字符位 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | | 权限项 | 读 | 写 | 执行 | 读 | 写 | 执行 | 读 | 写 | 执行 | | 字符表示 | r | w | x | r | w | x | r | w | x | | 数字表示 | 4 | 2 | 1 | 4 | 2 | 1 | 4 | 2 | 1 | | 权限分配 | 文件所有者 | 文件同组用户 | 其他用户 |
表示权限的字符rwx还可以用数字来表示,如:-rw-r--r-- 就是644
7.3 Windows 访问控制应用参考Windows用户登录到系统时,WinLogon进程为用户创建访问令牌,包含 用户及所属组的安全标识符(SID),作为用户的身份标识 文件等客体则含有自主访问控制列表(DACL),标明谁有权访问 还含有系统访问控制列表(SACL) ,标明哪些主体的访问需要被记录
用户进程访问客体对象时,通过WIN32子系统向核心请求访问服务,核心的安全参考监视器(SRM)将访问令牌与客体的DACL进行比较,决定客体是否拥有访问权限,同时检查客体的SACL,确定本次访问是否落在既定的审计范围内,是则送至审计子系统 7.4 IIS FTP访问控制应用参考IIS FTP服务器自身提供了访问限制技术手段,实现用户账号认证、匿名访问控制以及 IP 地址限制 1. 匿名访问控制设置2. FTP的目录安全性设置FTP 用户仅有两种目录权限:读取和写入 读取即下载,写入即上传,FTP站点的目录权限对所有的FTP用户都有效 7.5 网络访问控制应用参考网络访问控制:指通过一定技术手段实现网络资源操作限制,使得用户只能访问所规定的的资源 网络访问控制实现方式 网络通信连接控制利用防火墙、路由器、网关等实现,将这些设备放在两个不同的通信网络的连接处,使得所有的通信流都经过通信连接控制器,只有当通信流符合访问控制规则时,才允许通信正常进行 基于VLAN的网络隔离根据网络的功能和业务用途,将网络划分为若干个小的子网(网段),或者是外部网和内部网,以避免各网之间多余的信息交换 7.6 Web服务访问控制应用参考实现流程
7.7 基于角色管理的系统访问控制应用参考
该方案针对系统管理员权限管理工作,实现既可集中管理又可分散管理的目标。该方案采用基于角色的访问控制技术 首先是权限被分配到相应的角色 然后,角色委派给用户,从而动态产生主体能力表,即主体所拥有的权限 最后,对主体权限进行审查,确认和修订无误后 最终赋予主体所拥有的权限集, 即能力表
7.8 网络安全等级保护访问控制设计应用参考1.自主访问控制结构 2.强制访问控制结构 友情链接:http:///
|
