1、.精品文本精品文本.精品文本數(shù)據(jù)作為信息的重要載體，其平安問題在 HYPERLINK :/sec.chinabyte / t _blank 信息平安中占有非常重要的地位。數(shù)據(jù)的保密性、可用性、可控性和完整性是數(shù)據(jù)平安技術(shù)的主要研究內(nèi)容。數(shù)據(jù)保密性的理論根底是密碼學，而可用性、可控性和完整性是數(shù)據(jù)平安的重要保障，沒有后者提供技術(shù)保障，再強的加密算法也難以保證數(shù)據(jù)的平安。與數(shù)據(jù)平安密切相關(guān)的技術(shù)主要有以下幾種，每種相關(guān)但又有所不同。1)訪問控制： 該技術(shù)主要用于控制用戶可否進入系統(tǒng)以及進入系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集;2)數(shù)據(jù)流控制：該技術(shù)和用戶可訪問數(shù)據(jù)集的分發(fā)有關(guān)，用于防止數(shù)據(jù)從授權(quán)范圍擴散到非

2、授權(quán)范圍;3)推理控制：該技術(shù)用于保護可統(tǒng)計的 HYPERLINK :/com.chinabyte /數(shù)據(jù)庫/ t _blank 數(shù)據(jù)庫，以防止查詢者通過精心設(shè)計的查詢序列推理出機密信息;4)數(shù)據(jù)加密：該技術(shù)用于保護機密信息在傳輸或 HYPERLINK :/storage.chinabyte / t _blank 存儲時被非授權(quán)暴露;5)數(shù)據(jù)保護：該技術(shù)主要用于防止數(shù)據(jù)遭到意外或惡意的破壞，保證數(shù)據(jù)的可用性和完整性。在上述技術(shù)中，訪問控制技術(shù)占有重要的地位，其中1)、2)、3)均屬于訪問控制范疇。訪問控制技術(shù)主要涉及平安模型、控制策略、控制策略的實現(xiàn)、授權(quán)與審計等。其中平安模型是訪問控制的理論

3、根底，其它技術(shù)是那么實現(xiàn)平安模型的技術(shù)保障。本文側(cè)重論述訪問控制技術(shù)，有關(guān)數(shù)據(jù)保護技術(shù)的其它方面，將逐漸在其它文章中進行探討。1.訪問控制信息系統(tǒng)的平安目標是通過一組規(guī)那么來控制和管理主體對客體的訪問，這些訪問控制規(guī)那么稱為平安策略，平安策略反響信息系統(tǒng)對平安的需求。平安模型是制定平安策略的依據(jù)，平安模型是指用形式化的方法來準確地描述平安的重要方面(機密性、完整性和可用性)及其與系統(tǒng)行為的關(guān)系。建立平安模型的主要目的是提高對成功實現(xiàn)關(guān)鍵平安需求的理解層次，以及為機密性和完整性尋找平安策略，平安模型是構(gòu)建系統(tǒng)保護的重要依據(jù)，同時也是建立和評估平安 HYPERLINK :/soft.chinaby

4、te /os/ t _blank 操作系統(tǒng)的重要依據(jù)。自20世紀70年代起，Denning、Bell、Lapadula等人對信息平安進行了大量的理論研究，特別是1985年美國國防部公布可信計算機評估標準?TCSEC?以來，系統(tǒng)平安模型得到了廣泛的研究，并在各種系統(tǒng)中實現(xiàn)了多種平安模型。這些模型可以分為兩大類：一種是信息流模型;另一種是訪問控制模型。信息流模型主要著眼于對客體之間信息傳輸過程的控制，它是訪問控制模型的一種變形。它不校驗主體對客體的訪問模式,而是試圖控制從一個客體到另一個客體的信息流，強迫其根據(jù)兩個客體的平安屬性決定訪問操作是否進行。信息流模型和訪問控制模型之間差異很小，但訪問控制

5、模型不能幫助系統(tǒng)發(fā)現(xiàn)隱蔽通道,而信息流模型通過對信息流向的分析可以發(fā)現(xiàn)系統(tǒng)中存在的隱蔽通道并找到相應的防范對策。信息流模型是一種基于事件或蹤跡的模型，其焦點是系統(tǒng)用戶可見的行為。雖然信息流模型在信息平安的理論分析方面有著優(yōu)勢，但是迄今為止，信息流模型對具體的實現(xiàn)只能提供較少的幫助和指導。訪問控制模型是從訪問控制的角度描述平安系統(tǒng)，主要針對系統(tǒng)中主體對客體的訪問及其平安控制。訪問控制平安模型中一般包括主體、客體，以及為識別和驗證這些實體的子系統(tǒng)和控制實體間訪問的參考 HYPERLINK :/ chinabyte /keyword/監(jiān)視器/ t _blank 監(jiān)視器。通常訪問控制可以分自主訪問控制

6、(DAC)和強制訪問控制( HYPERLINK :/ chinabyte /keyword/Mac/ t _blank MAC)。自主訪問控制機制允許對象的屬主來制定針對該對象的保護策略。通常DAC通過授權(quán)列表(或訪問控制列表ACL)來限定哪些主體針對哪些客體可以執(zhí)行什么操作。如此可以非常靈活地對策略進行調(diào)整。由于其易用性與可擴展性，自主訪問控制機制經(jīng)常被用于商業(yè)系統(tǒng)。目前的主流操作系統(tǒng)，如UNIX、 HYPERLINK :/ chinabyte /keyword/Linux/ t _blank Linux和Windows等操作系統(tǒng)都提供自主訪問控制功能。自主訪問控制的一個最大問題是主體的權(quán)限

7、太大，無意間就可能泄露信息，而且不能防范特洛伊 HYPERLINK :/ chinabyte /keyword/木馬/ t _blank 木馬的攻擊。強制訪問控制系統(tǒng)給主體和客體分配不同的平安屬性，而且這些平安屬性不像ACL那樣輕易被修改，系統(tǒng)通過比較主體和客體的平安屬性決定主體是否能夠訪問客體。強制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的平安性，但其實現(xiàn)的代價也更大，一般用在平安級別要求比較高的軍事上。隨著平安需求的不斷開展和變化，自主訪問控制和強制訪問控制已經(jīng)不能完全滿足需求，研究者提出許多自主訪問控制和強制訪問控制的替代模型，如基于柵格的訪問控制、基于規(guī)那么的訪問控制、基于角

8、色的訪問控制模型和基于任務的訪問控制等。其中最引人矚目的是基于角色的訪問控制 (RBAC)。其根本思想是：有一組用戶集和角色集，在特定的環(huán)境里，某一用戶被指定為一個適宜的角色來訪問系統(tǒng)資源;在另外一種環(huán)境里，這個用戶又可以被指定為另一個的角色來訪問另外的網(wǎng)絡(luò)資源，每一個角色都具有其對應的權(quán)限，角色是平安控制策略的核心，可以分層，存在偏序、自反、傳遞、反對稱等關(guān)系。與自主訪問控制和強制訪問控制相比，基于角色的訪問控制具有顯著優(yōu)點：首先，它實際上是一種策略無關(guān)的訪問控制技術(shù)。其次，基于角色的訪問控制具有自管理的能力。此外，基于角色的訪問控制還便于實施整個組織或單位的網(wǎng)絡(luò)信息系統(tǒng)的平安策略。目前，基

9、于角色的訪問控制已在許多平安系統(tǒng)中實現(xiàn)。例如，在億賽通文檔平安管理系統(tǒng)SmartSec(見“文檔平安加密系統(tǒng)的實現(xiàn)方式一文)中， HYPERLINK :/server.chinabyte / t _blank 效勞器端的用戶管理就采用了基于角色的訪問控制方式，從而為用戶管理、平安策略管理等提供了很大的方便。隨著網(wǎng)絡(luò)的深入開展，基于Host-Terminal環(huán)境的靜態(tài)平安模型和標準已無法完全反響分布式、動態(tài)變化、開展迅速的Internet的平安問題。針對日益嚴重的網(wǎng)絡(luò)平安問題和越來突出的平安需求，“可適應網(wǎng)絡(luò)平安模型和“動態(tài)平安模型應運而生?；陂]環(huán)控制的動態(tài)網(wǎng)絡(luò)平安理論模型在90年代開始逐漸形

10、成并得到了迅速開展，1995年12月美國國防部提出了信息平安的動態(tài)模型，即保護(Protection)檢測(Detection)響應(Response)多環(huán)節(jié)保障體系，后來被通稱為PDR模型。隨著人們對PDR模型應用和研究的深入，PDR模型中又融入了策略(Policy)和恢復(Restore)兩個組件，逐漸形成了以平安策略為中心，集防護、檢測、響應和恢復于一體的動態(tài)平安模型，PDR模型是一種基于閉環(huán)控制、主動防御的動態(tài)平安模型，在整體的平安策略控制和指導下，在綜合運用防護工具(如 HYPERLINK :/ chinabyte /keyword/防火墻/ t _blank 防火墻、系統(tǒng)身份認證和

11、加密等手段)的同時，利用檢測工具(如漏洞評估、 HYPERLINK :/ chinabyte /keyword/入侵/ t _blank 入侵檢測等系統(tǒng))了解和評估系統(tǒng)的平安狀態(tài)，將系統(tǒng)調(diào)整到“最平安和“風險最低的狀態(tài)。保護、檢測、響應和恢復組成了一個完整的、動態(tài)的平安循環(huán)，在平安策略的指導下保證信息的平安。2.訪問控制策略訪問控制策略也稱平安策略，是用來控制和管理主體對客體訪問的一系列規(guī)那么，它反映信息系統(tǒng)對平安的需求。平安策略的制定和實施是圍繞主體、客體和平安控制規(guī)那么集三者之間的關(guān)系展開的，在平安策略的制定和實施中，要遵循以下原那么：1)最小特權(quán)原那么：最小特權(quán)原那么是指主體執(zhí)行操作時，

12、按照主體所需權(quán)利的最小化原那么分配給主體權(quán)力。最小特權(quán)原那么的優(yōu)點是最大程度地限制了主體實施授權(quán)行為，可以防止來自突發(fā)事件、錯誤和未授權(quán)使用主體的危險。2)最小泄漏原那么：最小泄漏原那么是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原那么分配給主體權(quán)力。3)多級平安策略：多級平安策略是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照平安級別的絕密、秘密、機密、限制和無級別五級來劃分。多級平安策略的優(yōu)點是防止敏感信息的擴散。具有平安級別的信息資源，只有平安級別比他高的主體才能夠訪問。訪問控制的平安策略有以下兩種實現(xiàn)方式：基于身份的平安策略和基于規(guī)那么的平安策略。目前使用的兩種平安策略，他們建立的根底

13、都是授權(quán)行為。就其形式而言，基于身份的平安策略等同于DAC平安策略，基于規(guī)那么的平安策略等同于MAC平安策略。2.1.基于身份的平安策略基于身份的平安策略(IDBACP：Identification-based Access Control Policies)的目的是過濾主體對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體資源?；谏矸莸牟呗园ɑ趥€人的策略和基于組的策略。基于身份的平安策略一般采用能力表或訪問控制列表進行實現(xiàn)。2.1.1基于個人的策略基于個人的策略(INBACP：Individual-based Access Control Policies)是指以用戶為中

14、心建立的一種策略，這種策略由一組列表組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種操作行為。2.1.2基于組的策略：基于組的策略(GBACP：Group-based Access Control Policies)是基于個人的策略的擴充，指一些用戶(構(gòu)成平安組)被允許使用同樣的訪問控制規(guī)那么訪問同樣的客體。2.2.基于規(guī)那么的平安策略基于規(guī)那么的平安策略中的授權(quán)通常依賴于敏感性。在一個平安系統(tǒng)中，數(shù)據(jù)或資源被標注平安標記(Token)。代表用戶進行活動的進程可以得到與其原發(fā)者相應的平安標記?；谝?guī)那么的平安策略在實現(xiàn)上，由系統(tǒng)通過比較用戶的平安級別和客體資源的平安級別來判斷是否允許用

15、戶可以進行訪問。3.訪問控制的實現(xiàn)由于平安策略是由一系列規(guī)那么組成的，因此如何表達和使用這些規(guī)那么是實現(xiàn)訪問控制的關(guān)鍵。由于規(guī)那么的表達和使用有多種方式可供選擇，因此訪問控制的實現(xiàn)也有多種方式，每種方式均有其優(yōu)點和缺點，在具體實施中，可根據(jù)實際情況進行選擇和處理。常用的訪問控制有以下幾種形式。3.1.訪問控制表訪問控制表(ACL：Access Control List)是以文件為中心建立的訪問權(quán)限表，一般稱作ACL。其主要優(yōu)點在于實現(xiàn)簡單，對系統(tǒng)性能影響小。它是目前大多數(shù)操作系統(tǒng)(如Windows、Linux等)采用的訪問控制方式。同時，它也是信息平安管理系統(tǒng)中經(jīng)常采用的訪問控制方式。例如，在

16、億賽通文檔平安管理系統(tǒng)SmartSec中，客戶端提供的“文件訪問控制 HYPERLINK :/ chinabyte /keyword/模塊/ t _blank 模塊就是通過ACL方式進行實現(xiàn)的。3.2.訪問控制矩陣訪問控制矩陣(ACM：Access Control Matrix)是通過矩陣形式表示訪問控制規(guī)那么和授權(quán)用戶權(quán)限的方法;也就是說，對每個主體而言，都擁有對哪些客體的哪些訪問權(quán)限;而對客體而言，有哪些主體可對它實施訪問;將這種關(guān)聯(lián)關(guān)系加以描述，就形成了控制矩陣。訪問控制矩陣的實現(xiàn)很易于理解，但是查找和實現(xiàn)起來有一定的難度，特別是當用戶和文件系統(tǒng)要管理的文件很多時，控制矩陣將會呈幾何級數(shù)

17、增長，會占用大量的系統(tǒng)資源，引起系統(tǒng)性能的下降。3.3.訪問控制能力列表能力是訪問控制中的一個重要概念，它是指請求訪問的發(fā)起者所擁有的一個有效標簽(Ticket)，它授權(quán)標簽說明的持有者可以按照何種訪問方式訪問特定的客體。與ACL以文件為中心不同，訪問控制能力表(ACCL：Access Control Capabilities List)是以用戶為中心建立訪問權(quán)限表。3.4.訪問控制平安標簽列表平安標簽是限制和附屬在主體或客體上的一組平安屬性信息。平安標簽的含義比能力更為廣泛和嚴格，因為它實際上還建立了一個嚴格的平安等級集合。訪問控制標簽列表(ACSLL：Access Control Secu

18、rity Labels List)是限定用戶對客體目標訪問的平安屬性集合。4.訪問控制與授權(quán)授權(quán)是資源的所有者或控制者準許他人訪問這些資源，是實現(xiàn)訪問控制的前提。對于簡單的個體和不太復雜的群體，我們可以考慮基于個人和組的授權(quán)，即便是這種實現(xiàn)，管理起來也有可能是困難的。當我們面臨的對象是一個大型跨地區(qū)、甚至跨國集團時，如何通過正確的授權(quán)以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權(quán)限，這是一個復雜的問題。授權(quán)是指客體授予主體一定的權(quán)力，通過這種權(quán)力，主體可以對客體執(zhí)行某種行為，例如登陸，查看文件、修改數(shù)據(jù)、管理帳戶等。授權(quán)行為是指主體履行被客體授予權(quán)力的那些活動。因此，訪問控制與授權(quán)密不可分。授權(quán)表示的是一種信任關(guān)系，一般需要建立一種模型對