数据作为信息的重要载体其安全问题在信息安全中占有非常重要的地位为了安全、可控地使用数据,需要保障各种技术手段,包括访问控制技术、加密技术、数据备份和恢复技术以及系统恢复技术。 本文侧重于访问控制技术,后续文章将讨论其他技术。
本文由亿赛通科技发展有限公司投稿。
数据作为信息的重要载体其安全问题在信息安全中占有非常重要的地位数据的机密性、可用性、可控性、完整性是数据安全技术的主要研究内容。 数据保密性的理论基础是密码学,而可用性、可控性、完整性是数据安全性的重要保障,没有后者就不能提供技术保障,再强的加密算法也难以保证数据的安全性。 与数据安全密切相关的技术主要包括但不限于:
1、访问控制:该技术主要用于控制用户是否可以访问系统,以及访问系统的用户可以读写的数据集;
2、数据流控制:该技术涉及用户可以访问的数据集的发布,用于防止数据从授权范围扩散到非授权范围;
3、推理控制:该技术保护可统计数据库,避免查询者通过精心设计的查询序列推理秘密信息;
4、数据加密:该技术用于保护在传输或存储敏感信息时被非法暴露;
5、数据保护:该技术主要用于保护数据免遭事故或恶意破坏,保证数据的可用性和完整性。
在这些技术中,访问控制技术占有重要地位,其中1 (、2 )、3 )都属于访问控制的范畴。 访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权和审计等。 其中,安全模型是访问控制的理论基础,其他技术是实现安全模型的技术保障。
1 .安全模型信息系统的安全目标是通过一系列规则控制和管理主体对对象的访问。 这些访问控制规则称为安全策略,安全策略响应信息系统对安全的需求。 安全模型是建立安全策略的依据,安全模型是指以形式化的方法准确描述安全的重要方面(机密性、完整性、可用性)与系统行为之间的关系。 建立安全模型的主要目的是提高成功实现关键安全需求的理解水平,为机密性和完整性寻找安全策略,安全模型是建立系统保护的重要依据,同时也是安全操作者
从20世纪70年代开始,Denning、Bell、Lapadula等人就信息安全进行了大量的理论研究,特别是自1985年美国国防部颁布可信计算机评估标准《TCSEC》以来,系统安全模式得到了广泛的研究这些模型可以分为两大类。 一种是信息流模型。 另一种是访问控制模型。
信息流模型主要着眼于对对象间信息传递过程的控制,是访问控制模型的一种变形。 与验证代理对对象的访问模式相反,它试图控制信息流从一个对象到另一个对象,并强制根据两个对象的安全属性确定是否执行访问操作。 信息流模型和访问控制模型之间差别不大,但访问控制模型对系统发现隐藏路由没有帮助。 另一方面,信息流模型通过分析信息流可以发现系统中存在的隐藏途径,并找到相应的对策。 信息流模型是基于事件或痕迹的模型,侧重于系统用户可见的行为。 信息流模型有利于信息安全的理论分析,但迄今为止,信息流模型只为具体实现提供了较少的支持和指导。
访问控制模型从访问控制的角度描述了安全系统,主要面向系统中代理对对象的访问及其安全控制。 访问控制安全模型通常包括代理、对象以及用于标识和验证这些实体的控制子系统和实体之间访问的引用监视器。 通常,访问控制可以分为自主访问控制(DAC )和强制访问控制(MAC )。 自主访问控制机制允许对象的所有者为该对象创建保护策略。 通常,DAC通过授权列表(或访问控制列表ACL )来限制哪些主体可以对哪些对象执行哪些操作。 这样可以非常灵活地调整策略。 为了易用性和可扩展性,自主访问控制机制经常用于业务系统。 目前,主要操作系统(如UNIX、Linux和Windows )提供了自主访问控制功能。 自主访问控制的最大问题之一是代理权限太大,可能不小心泄露信息,无法抵御木马的攻击。 强制访问控制系统为代理和对象分配不同的安全属性,并且这些安全属性不像ACL那样容易改变,通过比较代理和对象的安全属性,代理可以向对象分配不同的安全属性强制访问控制可以防止木马和用户滥用权限,提高安全性,但实现起来成本高,安全级别要求高的军事使用。 随着安全要求的不断发展和变化,自主访问控制和强制访问控制已不能完全满足,许多自主访问控制,包括基于网格的访问控制、基于规则的访问控制、基于角色的访问控制模型和基于任务的访问控制其中最引人注目的是基于角色的访问控制(RBAC )。 其基本思想是,在特定环境中,有一组用户和角色,他们将通过将相应的角色分配给某个用户来访问系统资源。 在另一个环境中,此用户还可以被分配给其他角色访问其他网络资源。 每个角色都有相应的权限,角色是安全控制策略的核心,可以分层,存在偏置、自反、直通、反对称等关系。 与自主访问控制和强制访问控制相比,基于角色的访问控制具有更大的优势。 首先,它实际上是一种独立于策略的访问控制技术。 其次,基于角色的访问控制具有自我管理功能。 基于角色的访问控制也有助于为整个组织或整个组织的网络信息系统实施安全策略。 目前,基于角色的访问控制在许多安全系统中实现。 例如,在亿场比赛中,参考文档安全管理系统SmartSec (《文档安全加密系统实现方法》的文章
)中,服务器端的用户管理就采用了基于角色的访问控制方式,从而为用户管理、安全策略管理等提供了很大的方便。随着网络的深入发展,基于Host-Terminal环境的静态安全模型和标准已无法完全反应分布式、动态变化、发展迅速的Internet的安全问题。针对日益严重的网络安全问题和越来突出的安全需求,“可适应网络安全模型”和“动态安全模型”应运而生。基于闭环控制的动态网络安全理论模型在90年代开始逐渐形成并得到了迅速发展,1995年12月美国国防部提出了信息安全的动态模型,即保护(Protection)—检测(Detection)—响应(Response)多环节保障体系,后来被通称为PDR模型。随着人们对PDR模型应用和研究的深入,PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件,逐渐形成了以安全策略为中心,集防护、检测、响应和恢复于一体的动态安全模型,如图1所示。
PDR扩展模型示意图
PDR模型是一种基于闭环控制、主动防御的动态安全模型,在整体的安全策略控制和指导下,在综合运用防护工具(如防火墙、系统身份认证和加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,将系统调整到“最安全”和“风险最低”的状态。保护、检测、响应和恢复组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息的安全。
2. 访问控制策略访问控制策略也称安全策略,是用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的关系展开的,在安全策略的制定和实施中,要遵循下列原则:
最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权使用主体的危险。最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则的安全策略。目前使用的两种安全策略,他们建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于DAC安全策略,基于规则的安全策略等同于MAC安全策略。
2.1. 基于身份的安全策略基于身份的安全策略(IDBACP:Identification-based Access Control Policies)的目的是过滤主体对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体资源。基于身份的策略包括基于个人的策略和基于组的策略。基于身份的安全策略一般采用能力表或访问控制列表进行实现。
2.1.1 基于个人的策略
基于个人的策略(INBACP:Individual-based Access Control Policies)是指以用户为中心建立的一种策略,这种策略由一组列表组成,这些列表限定了针对特定的客体,哪些用户可以实现何种操作行为。
2.1.2 基于组的策略:
基于组的策略(GBACP:Group-based Access Control Policies)是基于个人的策略的扩充,指一些用户(构成安全组)被允许使用同样的访问控制规则访问同样的客体。
2.2. 基于规则的安全策略基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中,数据或资源被标注安全标记(Token)。代表用户进行活动的进程可以得到与其原发者相应的安全标记。基于规则的安全策略在实现上,由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问。
3. 访问控制的实现由于安全策略是由一系列规则组成的,因此如何表达和使用这些规则是实现访问控制的关键。由于规则的表达和使用有多种方式可供选择,因此访问控制的实现也有多种方式,每种方式均有其优点和缺点,在具体实施中,可根据实际情况进行选择和处理。常用的访问控制有以下几种形式。
3.1. 访问控制表访问控制表(ACL:Access Control List)是以文件为中心建立的访问权限表,一般称作ACL。其主要优点在于实现简单,对系统性能影响小。它是目前大多数操作系统(如Windows、Linux等)采用的访问控制方式。同时,它也是信息安全管理系统中经常采用的访问控制方式。例如,在亿赛通文档安全管理系统SmartSec中,客户端提供的“文件访问控制”模块就是通过ACL方式进行实现的。
3.2. 访问控制矩阵访问控制矩阵(ACM:Access Control Matrix)是通过矩阵形式表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,有哪些主体可对它实施访问;将这种关联关系加以描述,就形成了控制矩阵。访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,特别是当用户和文件系统要管理的文件很多时,控制矩阵将会呈几何级数增长,会占用大量的系统资源,引起系统性能的下降。
3.3. 访问控制能力列表能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(Ticket),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。与ACL以文件为中心不同,访问控制能力表(ACCL:Access Control Capabilities List)是以用户为中心建立访问权限表。
3.4. 访问控制安全标签列表安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表(ACSLL:Access Control Security Labels List)是限定用户对客体目标访问的安全属性集合。
4. 访问控制与授权授权是资源的所有者或控制者准许他人访问这些资源,是实现访问控制的前提。对于简单的个体和不太复杂的群体,我们可以考虑基于个人和组的授权,即便是这种实现,管理起来也有可能是困难的。当我们面临的对象是一个大型跨地区、甚至跨国集团时,如何通过正确的授权以便保证合法的用户使用公司公布的资源,而不合法的用户不能得到访问控制的权限,这是一个复杂的问题。
授权是指客体授予主体一定的权力,通过这种权力,主体可以对客体执行某种行为,例如登陆,查看文件、修改数据、管理帐户等。授权行为是指主体履行被客体授予权力的那些活动。因此,访问控制与授权密不可分。授权表示的是一种信任关系,一般需要建立一种模型对这种关系进行描述,才能保证授权的正确性,特别是在大型系统的授权中,没有信任关系模型做指导,要保证合理的授权行为几乎是不可想象的。例如,在亿赛通文档安全管理系统SmartSec中,服务器端的用户管理、文档流转等模块的研发,就是建立在信任模型的基础上研发成功的,从而能够保证在复杂的系统中,文档能够被正确地流转和使用。
5. 访问控制与审计审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。 审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。例如,在亿赛通文档安全管理系统SmartSec中,客户端的“文件访问审核日志”模块能够跟踪用户的多种日常活动,特别是能够跟踪记录用户与工作相关的各种活动情况,如什么时间编辑什么文档等。