标签：基于 访问控制 信息安全 软考 用户 访问 客体 控制策略

7.1 访问控制概述

• 访问控制是网络信息系统的基本安全机制，主要阐述访问控制的概念和访问控制目标。

7.1.1 访问控制概念

• 在网络信息化环境中，资源不是无限制开放的，而是在一定约束条件下，用户才能使用。
• 访问控制是指对资源对象的访问者授权，控制的方法及运行机制。
• 访问者又称为主体，可以是用户，进程，应用程序等。
• 而资源对象又称为客体，即被访问的对象，可以是文件，应用服务，数据等。
• 授权是访问者可以对资源对象进行访问的方式，如文件的读，写，删除，追加等。
• 控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策，如果拒绝访问，授权许可，禁止操作等。

7.1.2 访问控制目标

• 访问控制的目标有两个：一是防止非法用户进入系统，二是阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。
• 要实现访问控制的目标，首先要对网络用户进行有效的身份认证，然后根据不同的用户授予不同的访问权限，进而保护系统资源。
• 同时需要进行系统的安全审计和监控，检测用户对系统的攻击企图。
• 通过访问控制与认证机制，审计机制的协同，实现访问控制。

7.2 访问控制模型

• 介绍访问控制通用性模型，然后分析访问控制模型的发展情况。

7.2.1 访问控制参考模型

• 访问控制机制由一组安全机制构成，可以抽象为一个简单的模型，组成要素主要有主体（Subject），参考监视器（Reference Monitor），客体（Object），访问控制数据库，审计库。
• 主体
  • 主体是客体的操作实施者，实体通常是人，进程或设备等，一般是代表用户执行操作的进程。比如：编辑一个文件，编辑进程是存取文件的主体，而文件则是客体。
• 客体
  • 客体是被主体操作的对象。通常来说，对一个客体的访问隐含着对其信息的访问。
• 参考监视器
  • 参考监视器是访问控制的决策单元和执行单元的集合体，控制从主体到客体的每一次操作，监督主体和客体之间的授权访问行为，并将重要的安全事件存入审计文件之中。
• 访问控制数据库
  • 记录主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库。该数据库随着主体和客体的产生，删除及其权限的修改而动态变化。
• 审计库
  • 存储主体访问客体的操作信息，包括访问成功，访问失败以及访问操作信息。

7.2.2 访问控制模型发展

• 为了适应不同应用场景的访问控制需求，访问控制参考模型不断演变，形成各种各样的访问控制模型，主要有以下种类：

  1. 自主访问控制模型。
  2. 强制访问控制模型。
  3. 基于角色的访问控制模型。
  4. 基于使用 的访问控制模型。
  5. 基于地理位置的访问控制模型。
  6. 基于属性的访问控制模型。
  7. 基于行为的访问控制模型。
  8. 基于时态的访问控制模型。

• 其中自主访问控制模型，强制访问控制模型，基于角色的访问控制模型常用于操作系统，数据库系统的资源访问。

• 基于使用的访问控制模型则用于隐私保护，敏感信息安全限制，知识产权保护。

• 基于地理位置的访问控制模型可用于移动互联网应用授权控制，如打车服务中的地理位置授权使用。

• 基于属性的访问控制是一个新兴的访问控制方法，其主要提供分布式网络环境和Web服务的模型访问控制。

• 基于行为的访问控制模型根据主体的活动行为，提供安全风险的控制，如上网行为的安全管理和电子支付操作控制。

• 基于时态的访问控制模型则利用时态作为访问的约束条件，增强访问控制细粒度，如手机网络流量包的限时使用。

7.3 访问控制类型

• 常用的访问控制类型主要有自主访问控制，强制访问控制，基于角色的访问控制，基于属性的访问控制。

7.3.1 自主访问控制

• 自主访问控制（Discretionary Access Control， DAC）是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。目前自主访问控制的实现方法有两大类，即基于行的自主访问控制和基于列的自主访问控制。
• 1.基于行的自主访问控制
• 基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表，根据表中信息的不同又可分成三种形式，即能力表（capability list），前缀表（profiles）和口令（password）。
  • 1）能力表
  • 能力是访问客体的钥匙，它决定用户能否对客体进行访问以及具有何种访问模式（读，写，执行）。拥有一定能力的主体可以按照给定的模式访问客体。
  • 2）前缀表
  • 前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时，自主访问控制机制检查主体的前缀是否具有它所请求的访问权。
  • 3）口令
  • 在基于口令机制的自主存取控制机制中，每个客体都相应地有一个口令。主体在对客体进行访问前，必须向系统提供该客体的口令，如果正确，它就可以访问该客体。
• 2.基于列的自主访问控制
• 基于列的自主访问控制机制是在每个客体上都附加一个可访问它的主体的明细表，它有两种形式，即保护位（protection bits）和访问控制表（Access Control List， ACL）。
  • 1）保护位
  • 这种方法通过对所有主体，主体组以及客体的拥有者指明一个访问模式集合，通常以比特位来表示访问权限。UNIX/Linux系统就是利用这种访问控制方法。
  • 2）访问控制表
  • 访问控制表简称ACL，它是在每个客体上都附加一个主体明细表，表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。
• 自主访问控制是最常用的一种对网络资源进行访问约束的机制，其好处是用户自己根据其安全需求，自行设置访问控制权限，访问机制简单，灵活，但这种机制的实施依赖于用户的安全意识和技能，不能满足高安全等级的安全要求。

7.3.2 强制访问控制

• 强制访问控制（Mandatory Access Control，MAC）是指系统根据主体和客体的安全属性，以强制方式控制主体对客体的访问。例如：在强制访问控制机制下，安全操作系统中的每个进程，每个文件等客体都被赋予了相应的安全级别和范畴，当一个进程访问一个文件时，系统调用强制访问控制机制，当且仅当进程的安全级别不小于客体的安全级别，并且进程的范畴包含文件的范畴时，进程才能访问客体，否则就拒绝。
• 与自主访问控制相比较，强制访问控制更加严格。用户使用自主访问控制虽然能够防止其他用户非法入侵自己的网络资源，但对于用户的意外事件或误操作则无效。因此自主访问控制不能适应高安全等级要求。在政府部门，军事和金融等领域，常用强制访问控制机制，将系统中的资源划分安全等级和不同类别，然后进行安全管理。

7.3.3 基于角色的访问控制

• 通俗地说，角色（role）就是系统中的岗位，职位或者分工。例如：在一个医院系统中，医生，护士，药剂师，门卫等都可以视为角色。所谓基于角色的访问控制（RBAC）就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户（U），角色（R），会话（S）和权限（P）四个基本要素组成。
• 在一个系统中，可以有多个用户和多个角色，用户与角色的关系是多对多的关系。权限就是主体对客体的操作能力，这些操作能力有读，写，修改，执行等。通过授权，一个角色可以拥有多个权限，而一个权限也可以赋予多个角色。
• 一个用户可以扮演多个角色，一个角色也可以由多个用户承担。
• 在一个采用RBAC作为授权存取控制的系统中，由系统管理员负责管理系统的角色集合和访问权限集合，并将这些权限赋予相应的角色，然后把角色映射到承担不同工作职责的用户上。
• RBAC的功能相当强大，灵活，适用于许多类型的用户需求。

7.3.4 基于属性得访问控制

• 基于属性的访问控制（Attribute Based Access Control）简称为ABAC，其访问控制方法是根据主体的属性，客体的属性，环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。
• 当主体访问受控的资源时，基于属性的访问控制ABAC将会检查主体的属性，客体的属性，环境条件以及访问策略，然后再给出访问授权。

7.4 访问控制策略设计与实现

• 访问控制机制的实现依赖于安全策略设计，主要讲述访问控制策略的需求，访问控制策略的常见类型，访问控制的规则构成等内容。

7.4.1 访问控制策略

• 访问控制策略用于规定用户访问资源的权限，防止资源损失，泄密或非法使用。
• 访问控制策略必须指明禁止什么和允许什么，在说明访问控制规则时，需要建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较热的原则“未经明确禁止的都是允许的”未前提。
• 一个访问控制策略由所要控制的对象，访问控制规则，用户权限或其他访问安全要求组成。
• 访问控制策略有很多，具体包括如下：
  • 机房访问控制策略。
  • 拨号服务器访问控制策略。
  • 路由器访问控制策略。
  • 交换机访问控制策略。
  • 防火墙访问控制策略。
  • 主机访问控制策略。
  • 数据库访问控制策略。
  • 客户端访问控制策略。
  • 网络服务访问控制策略。

7.4.2 访问控制规则

• 访问控制规则实际上就是访问约束条件集，是访问控制策略的具体实现和表现形式。
• 常见的访问控制 规则有基于用户身份，基于时间，基于地址，基于服务数量等多种情况。
• 1.基于用户身份的访问控制规则
• 基于用户身份的访问控制规则利用具体的用户身份来限制访问操作，通常以账号名和口令表示用户，当用户输入的账号名和口令都正确后，系统才允许用户访问。目前，操作系统或网络设备的使用控制都采用这种控制规则。
• 2.基于角色的访问控制规则
• 基于角色的访问控制规则是根据用户完成某项任务所需要的权限进行控制。
• 3.基于地址的访问控制规则
• 基于地址的访问控制规则利用访问者所在的物理位置或逻辑地址来限制访问操作。
• 4.基于时间的访问控制规则
• 基于时间的访问控制规则利用时间来约束访问操作，在一些系统中为了增加访问控制的适应性，增加了时间因素的控制。例如：下班时间不允许访问服务器。
• 5.基于异常事件的访问控制规则
• 基于异常事件的访问控制规则利用异常事件来触发控制操作，以避免危害系统的行为进一步升级。例如：当系统中的用户登录出现三次失败后，系统会在一段时间内冻结账户。
• 6.基于服务数量的访问控制规则
• 基于服务数量的访问控制规则利用系统所能承受的服务数量来实现控制。例如：为了防范拒绝服务攻击，网站在服务能力接近某个阈值时，暂时拒绝新的网络访问请求。以保证系统正常运行。

7.5 访问控制过程与安全管理

• 访问控制是一个网络安全控制的过程，介绍访问控制实施的主要步骤，最小特权管理，用户访问管理和口令安全管理。

7.5.1 访问控制过程

• 访问控制的目的是保护系统的资产，防止非法用户进入系统及合法用户对系统资源的非法使用。实现访问控制管理，按照如下五个步骤：
  • 1）明确访问控制管理的资产，例如：网络系统的路由器，Web服务等等。
  • 2）分析管理资产的安全需求，例如：保密性要求，完整性要求，可用性要求等。
  • 3）制定访问控制策略，确定访问控制规则以及用户权限分配。
  • 4）实现访问控制策略，建立用户访问身份认证系统，并根据用户类型授权用户访问资产。
  • 5）运行和维护访问控制系统，及时调整访问策略。

7.5.2 最小特权管理

• 特权（Privilege）是用户超越系统访问控制所拥有的权限。
• 最小特权原则（Principle of Least Privilege）指系统中每一个主体只能拥有完成任务所必要的权限集。
• 最下特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限，阻止特权乱用。
• 特权的分配原则是“按需使用（Need to Use）”。

7.5.3 用户访问管理

• 为了防止系统的非授权使用，对系统中的用户权限应进行有效管理。
• 用户管理是网络安全管理的重要内容之一，其主要工作包括用户登记，用户权限分配，访问记录，权限监测，权限取消，撤销用户。

7.5.4 口令安全管理

• 口令是当前大多数网络实施访问控制进行身份鉴别的重要依据，所以口令管理尤为重要，一般遵守以下原则：
  • 口令选择应至少在8个字符以上，应选用大小写字母，数字，特殊字符组合。
  • 禁止使用与账号相同的口令。
  • 更换系统默认口令，避免使用默认口令。
  • 限制账号登录次数，建议为3次。
  • 禁止共享账号和口令。
  • 口令文件应加密存放，并只有超级用户才能读取。
  • 禁止以明文形式在网络上传递口令。
  • 口令应有时效机制，保证经常更改，并且禁止重用口令。
  • 对所有的账号运行口令破解工具，检查是否存在弱口令或没有口令的账号。

7.6 访问控制主要产品与技术指标

• 访问控制是网络安全普遍采用的安全技术，其产品表现形式有独立系统形态，功能模块形态，专用设备形态。

7.6.1 访问控制主要产品

• 1. 4A系统
• 4A是指认证（Authentication），授权（Authorization），账号（Account），审计（Audit），中文名称为统一安全管理平台，平台集中提供账号，认证，授权和审计等网络安全服务。
• 2.安全网关
• 安全网关产品的技术特点是利用网络数据包信息和网络安全威胁特征库，对网络通信连接服务进行访问控制。常见的有防火墙，统一威胁管理（UTM）。
• 3.系统安全增强
• 系统安全增强产品的技术特点是通常利用强制访问控制技术来增强操作系统，数据库系统的安全，防止特权滥用。例如：Linux的安全增强系统SELinux。

7.6.2 访问控制主要技术指标

• 1.产品支持访问控制策略规则类型。
• 2.产品支持访问控制规则最大数量。
• 3.产品访问控制规则检查速度。
• 4.产品自身安全和质量保证级别。

7.7 访问控制技术应用

7.7.1 访问控制技术应用场景类型

• 1.物理访问控制
• 一般包括门禁系统，警卫，个人证件，门锁，物理安全区域划分等。
• 2.网络访问控制
• 一般包括网络接入控制，网络通信连接控制，网络区域划分，网络路由控制，网络节点认证。
• 3.操作系统访问控制
• 例如：文件读写访问控制，进程访问控制，内存访问控制。
• 4.数据库/数据访问控制
• 例如：数据库表创建，数据生成与分发。
• 5.应用系统访问控制
• 业务执行操作，业务系统文件读取等。

7.7.2 UNIX/Linux系统访问控制应用参考

• 普通的UNIX，Linux等系统中，实现自主访问控制技术的基本方法是在每个文件上使用“9比特位模式”来标识访问控制权限信息，这些二进制位标识了“文件拥有者，与文件拥有者同组的用户，其他用户”对文件所具有的访问权限和方式。

7.7.3 Windows访问控制应用参考

• Windows用户登录到系统时，WinLogon进程为用户创建访问令牌，包含用户及所属组的安全标识符（SID），作为用户的身份标识。

7.7.4 IIS FTP访问控制应用参考

• IIS FTP服务器自身提供了三种访问限制技术手段，实现用户账户认证，匿名访问控制以及IP地址限制。

7.7.5 网络访问控制应用参考

• 1.网络通信连接控制
• 网络通信连接控制常利用防火墙，路由器，网关等来实现。
• 2.基于VLAN的网络隔离
• 根据网络的功能和业务用途，将网络划分为若干个小的子网（网段），或者是外部网和内部网，以避免各网之间多余的信息交换。

7.7.6 Web服务访问控制应用参考

7.7.7 基于角色管理的系统访问控制应用参考

7.7.8 网络安全等级保护访问控制设计应用参考

• 参考选自《信息安全技术 网络安全等级保护安全设计技术要求 GB/T 25070-2019》

标签：基于,访问控制,信息安全,软考,用户,访问,客体,控制策略
来源： https://www.cnblogs.com/autopwn/p/16457661.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。