當前位置 :  > 內容

數據安全訪問控製技術簡介

來源:互聯網 責編:大嘴 作者:佚名 時間:2009-02-17

lol外圍資訊網 fsogpg.com 摘要: 數據作為信息的重要載體,其安全問題在信息安全中占有非常重要的地位。為了能夠安全可控地使用數據,需要多種技術手段作為保障,這些技術手段一般包括訪問控製技術、加密技術、數據備份和恢複技術、係統還原技術等多種技術手段。本文側重論述訪問控製技術,有關其它技術的探討將發表在後續文章中。
關鍵詞: 數據保護;安全模型;文件加密;訪問控製;文檔安全管理係統 

      數據作為信息的重要載體,其安全問題在信息安全中占有非常重要的地位。數據的保密性、可用性、可控性和完整性是數據安全技術的主要研究內容。數據保密性的理論基礎是密碼學,而可用性、可控性和完整性是數據安全的重要保障,沒有後者提供技術保障,再強的加密算法也難以保證數據的安全。與數據安全密切相關的技術主要有以下幾種,每種相關但又有所不同。
      1)訪問控製: 該技術主要用於控製用戶可否進入係統以及進入係統的用戶能夠讀寫的數據集;
      2)數據流控製:該技術和用戶可訪問數據集的分發有關,用於防止數據從授權範圍擴散到非授權範圍;
      3)推理控製:該技術用於保護可統計的數據庫,以防止查詢者通過精心設計的查詢序列推理出機密信息;
      4)數據加密:該技術用於保護機密信息在傳輸或存儲時被非授權暴露;
      5)數據保護:該技術主要用於防止數據遭到意外或惡意的破壞,保證數據的可用性和完整性。
      在上述技術中,訪問控製技術占有重要的地位,其中1)、2)、3)均屬於訪問控製範疇。訪問控製技術主要涉及安全模型、控製策略、控製策略的實現、授權與審計等。其中安全模型是訪問控製的理論基礎,其它技術是則實現安全模型的技術保障。本文側重論述訪問控製技術,有關數據保護技術的其它方麵,將逐漸在其它文章中進行探討。
1.訪問控製
      信息係統的安全目標是通過一組規則來控製和管理主體對客體的訪問,這些訪問控製規則稱為安全策略,安全策略反應信息係統對安全的需求。安全模型是製定安全策略的依據,安全模型是指用形式化的方法來準確地描述安全的重要方麵(機密性、完整性和可用性)及其與係統行為的關係。建立安全模型的主要目的是提高對成功實現關鍵安全需求的理解層次,以及為機密性和完整性尋找安全策略,安全模型是構建係統保護的重要依據,同時也是建立和評估安全操作係統的重要依據。
      自20世紀70年代起,Denning、Bell、Lapadula等人對信息安全進行了大量的理論研究,特別是1985年美國國防部頒布可信計算機評估標準《TCSEC》以來,係統安全模型得到了廣泛的研究,並在各種係統中實現了多種安全模型。這些模型可以分為兩大類:一種是信息流模型;另一種是訪問控製模型。
      信息流模型主要著眼於對客體之間信息傳輸過程的控製,它是訪問控製模型的一種變形。它不校驗主體對客體的訪問模式,而是試圖控製從一個客體到另一個客體的信息流,強迫其根據兩個客體的安全屬性決定訪問操作是否進行。信息流模型和訪問控製模型之間差別很小,但訪問控製模型不能幫助係統發現隱蔽通道,而信息流模型通過對信息流向的分析可以發現係統中存在的隱蔽通道並找  到相應的防範對策。信息流模型是一種基於事件或蹤跡的模型,其焦點是係統用戶可見的行為。雖然信息流模型在信息安全的理論分析方麵有著優勢,但是迄今為止,信息流模型對具體的實現隻能提供較少的幫助和指導。
      訪問控製模型是從訪問控製的角度描述安全係統,主要針對係統中主體對客體的訪問及其安全控製。訪問控製安全模型中一般包括主體、客體,以及為識別和驗證這些實體的子係統和控製實體間訪問的參考監視器。通常訪問控製可以分自主訪問控製(DAC)和強製訪問控製(MAC)。自主訪問控製機製允許對象的屬主來製定針對該對象的保護策略。通常DAC通過授權列表(或訪問控製列表ACL)來限定哪些主體針對哪些客體可以執行什麼操作。如此可以非常靈活地對策略進行調整。由於其易用性與可擴展性,自主訪問控製機製經常被用於商業係統。目前的主流操作係統,如UNIX、Linux和Windows等操作係統都提供自主訪問控製功能。自主訪問控製的一個最大問題是主體的權限太大,無意間就可能泄露信息,而且不能防備特洛伊木馬的攻擊。強製訪問控製係統給主體和客體分配不同的安全屬性,而且這些安全屬性不像ACL那樣輕易被修改,係統通過比較主體和客體的安全屬性決定主體是否能夠訪問客體。強製訪問控製可以防範特洛伊木馬和用戶濫用權限,具有更高的安全性,但其實現的代價也更大,一般用在安全級別要求比較高的軍事上。
      隨著安全需求的不斷發展和變化,自主訪問控製和強製訪問控製已經不能完全滿足需求,研究者提出許多自主訪問控製和強製訪問控製的替代模型,如基於柵格的訪問控製、基於規則的訪問控製、基於角色的訪問控製模型和基於任務的訪問控製等。其中最引人矚目的是基於角色的訪問控製 (RBAC)。其基本思想是:有一組用戶集和角色集,在特定的環境裏,某一用戶被指定為一個合適的角色來訪問係統資源;在另外一種環境裏,這個用戶又可以被指定為另一個的角色來訪問另外的網絡資源,每一個角色都具有其對應的權限,角色是安全控製策略的核心,可以分層,存在偏序、自反、傳遞、反對稱等關係。與自主訪問控製和強製訪問控製相比,基於角色的訪問控製具有顯著優點:首先,它實際上是一種策略無關的訪問控製技術。其次,基於角色的訪問控製具有自管理的能力。此外,基於角色的訪問控製還便於實施整個組織或單位的網絡信息係統的安全策略。目前,基於角色的訪問控製已在許多安全係統中實現。例如,在億賽通文檔安全管理係統SmartSec(見“文檔安全加密係統的實現方式”一文)中,服務器端的用戶管理就采用了基於角色的訪問控製方式,從而為用戶管理、安全策略管理等提供了很大的方便。
      隨著網絡的深入發展,基於Host-Terminal環境的靜態安全模型和標準已無法完全反應分布式、動態變化、發展迅速的Internet的安全問題。針對日益嚴重的網絡安全問題和越來突出的安全需求,“可適應網絡安全模型”和“動態安全模型”應運而生。基於閉環控製的動態網絡安全理論模型在90年代開始逐漸形成並得到了迅速發展,1995年12月美國國防部提出了信息安全的動態模型,即保護(Protection)—檢測(Detection)—響應(Response)多環節保障體係,後來被通稱為PDR模型。隨著人們對PDR模型應用和研究的深入,PDR模型中又融入了策略(Policy)和恢複(Restore)兩個組件,逐漸形成了以安全策略為中心,集防護、檢測、響應和恢複於一體的動態安全模型,如圖1所示。

圖1 PDR擴展模型示意圖
      PDR模型是一種基於閉環控製、主動防禦的動態安全模型,在整體的安全策略控製和指導下,在綜合運用防護工具(如防火牆、係統身份認證和加密等手段)的同時,利用檢測工具(如漏洞評估、入侵檢測等係統)了解和評估係統的安全狀態,將係統調整到“最安全”和“風險最低”的狀態。保護、檢測、響應和恢複組成了一個完整的、動態的安全循環,在安全策略的指導下保證信息的安全。
2.訪問控製策略
      訪問控製策略也稱安全策略,是用來控製和管理主體對客體訪問的一係列規則,它反映信息係統對安全的需求。安全策略的製定和實施是圍繞主體、客體和安全控製規則集三者之間的關係展開的,在安全策略的製定和實施中,要遵循下列原則:
      1)最小特權原則:最小特權原則是指主體執行操作時,按照主體所需權利的最小化原則分配給主體權力。最小特權原則的優點是最大程度地限製了主體實施授權行為,可以避免來自突發事件、錯誤和未授權使用主體的危險。
      2)最小泄漏原則:最小泄漏原則是指主體執行任務時,按照主體所需要知道的信息最小化的原則分配給主體權力。
      3)多級安全策略:多級安全策略是指主體和客體間的數據流向和權限控製按照安全級別的絕密、秘密、機密、限製和無級別五級來劃分。多級安全策略的優點是避免敏感信息的擴散。具有安全級別的信息資源,隻有安全級別比他高的主體才能夠訪問。
      訪問控製的安全策略有以下兩種實現方式:基於身份的安全策略和基於規則的安全策略。目前使用的兩種安全策略,他們建立的基礎都是授權行為。就其形式而言,基於身份的安全策略等同於DAC安全策略,基於規則的安全策略等同於MAC安全策略。
2.1.基於身份的安全策略
      基於身份的安全策略(IDBACP:Identification-based Access Control Policies)的目的是過濾主體對數據或資源的訪問,隻有能通過認證的那些主體才有可能正常使用客體資源。基於身份的策略包括基於個人的策略和基於組的策略。基於身份的安全策略一般采用能力表或訪問控製列表進行實現。
2.1.1基於個人的策略
      基於個人的策略(INBACP:Individual-based Access Control Policies)是指以用戶為中心建立的一種策略,這種策略由一組列表組成,這些列表限定了針對特定的客體,哪些用戶可以實現何種操作行為。
2.1.2基於組的策略:
      基於組的策略(GBACP:Group-based Access Control Policies)是基於個人的策略的擴充,指一些用戶(構成安全組)被允許使用同樣的訪問控製規則訪問同樣的客體。
2.2.基於規則的安全策略
      基於規則的安全策略中的授權通常依賴於敏感性。在一個安全係統中,數據或資源被標注安全標記(Token)。代表用戶進行活動的進程可以得到與其原發者相應的安全標記。基於規則的安全策略在實現上,由係統通過比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶可以進行訪問。
3.訪問控製的實現
      由於安全策略是由一係列規則組成的,因此如何表達和使用這些規則是實現訪問控製的關鍵。由於規則的表達和使用有多種方式可供選擇,因此訪問控製的實現也有多種方式,每種方式均有其優點和缺點,在具體實施中,可根據實際情況進行選擇和處理。常用的訪問控製有以下幾種形式。
3.1.訪問控製表
      訪問控製表(ACL:Access Control List)是以文件為中心建立的訪問權限表,一般稱作ACL。其主要優點在於實現簡單,對係統性能影響小。它是目前大多數操作係統(如Windows、Linux等)采用的訪問控製方式。同時,它也是信息安全管理係統中經常采用的訪問控製方式。例如,在億賽通文檔安全管理係統SmartSec中,客戶端提供的“文件訪問控製”模塊就是通過ACL方式進行實現的。
3.2.訪問控製矩陣
      訪問控製矩陣(ACM:Access Control Matrix)是通過矩陣形式表示訪問控製規則和授權用戶權限的方法;也就是說,對每個主體而言,都擁有對哪些客體的哪些訪問權限;而對客體而言,有哪些主體可對它實施訪問;將這種關聯關係加以描述,就形成了控製矩陣。訪問控製矩陣的實現很易於理解,但是查找和實現起來有一定的難度,特別是當用戶和文件係統要管理的文件很多時,控製矩陣將會呈幾何級數增長,會占用大量的係統資源,引起係統性能的下降。
3.3.訪問控製能力列表
      能力是訪問控製中的一個重要概念,它是指請求訪問的發起者所擁有的一個有效標簽(Ticket),它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。與ACL以文件為中心不同,訪問控製能力表(ACCL:Access Control Capabilities List)是以用戶為中心建立訪問權限表。
3.4.訪問控製安全標簽列表
      安全標簽是限製和附屬在主體或客體上的一組安全屬性信息。安全標簽的含義比能力更為廣泛和嚴格,因為它實際上還建立了一個嚴格的安全等級集合。訪問控製標簽列表(ACSLL:Access Control Security Labels List)是限定用戶對客體目標訪問的安全屬性集合。
4.訪問控製與授權
      授權是資源的所有者或控製者準許他人訪問這些資源,是實現訪問控製的前提。對於簡單的個體和不太複雜的群體,我們可以考慮基於個人和組的授權,即便是這種實現,管理起來也有可能是困難的。當我們麵臨的對象是一個大型跨地區、甚至跨國集團時,如何通過正確的授權以便保證合法的用戶使用公司公布的資源,而不合法的用戶不能得到訪問控製的權限,這是一個複雜的問題。
授權是指客體授予主體一定的權力,通過這種權力,主體可以對客體執行某種行為,例如登陸,查看文件、修改數據、管理帳戶等。授權行為是指主體履行被客體授予權力的那些活動。因此,訪問控製與授權密不可分。授權表示的是一種信任關係,一般需要建立一種模型對這種關係進行描述,才能保證授權的正確性,特別是在大型係統的授權中,沒有信任關係模型做指導,要保證合理的授權行為幾乎是不可想象的。例如,在億賽通文檔安全管理係統SmartSec中,服務器端的用戶管理、文檔流轉等模塊的研發,就是建立在信任模型的基礎上研發成功的,從而能夠保證在複雜的係統中,文檔能夠被正確地流轉和使用。
5.訪問控製與審計
      審計是對訪問控製的必要補充,是訪問控製的一個重要內容。審計會對用戶使用何種信息資源、使用的時間、以及如何使用(執行何種操作)進行記錄與監控。審計和監控是實現係統安全的最後一道防線,處於係統的最高層。審計與監控能夠再現原有的進程和問題,這對於責任追查和數據恢複非常有必要。
審計跟蹤是係統活動的流水記錄。該記錄按事件從始至終的途徑,順序檢查、審查和檢驗每個事件的環境及活動。審計跟蹤記錄係統活動和用戶活動。係統活動包括操作係統和應用程序進程的活動;用戶活動包括用戶在操作係統中和應用程序中的活動。通過借助適當的工具和規程,審計跟蹤可以發現違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助於幫助係統管理員確保係統及其資源免遭非法授權用戶的侵害,同時還能提供對數據恢複的幫助。例如,在億賽通文檔安全管理係統SmartSec中,客戶端的“文件訪問審核日誌”模塊能夠跟蹤用戶的多種日常活動,特別是能夠跟蹤記錄用戶與工作相關的各種活動情況,如什麼時間編輯什麼文檔等。