项目四 访问控制技术

项目四访问控制技术任务1实体安全概述任务2访问控制任务1实体安全概述1.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。主要表现以下方面：（1）机房物理安全设备间的选址通常在大部分办公楼的中间层位置，并有相应的防盗措施。每排设备架间要留出足够的空间，以便于安全地移动设备。给每个电缆贴上标签，并保持良好的排放顺序。此外，设备间还应有防火灾、防地震、防雷击的措施。备份的数据中心应放在和设备间不同的地方。预先做好紧急情况下的步骤清单，清单中应包括在备份站点所需要提供的服务和怎样得到从原来站点到复制站点的备份数据。任何时候，当关键设备改变时都要及时做修改备份。（2）机房电气安全系统故障往往先出在通讯设备的电源上，因此首要的任务是保证网络设备持续稳定的电源供应。应通过配电箱把电源分成多路，当某路电源及其设备断路或短路时，可切断故障电源而不会影响其它设备的正常工作。可以考虑采用UPS来为系统设备提供备用的交流电源。如果在某个时刻需要为设备提供30分钟或更长时间的备用电力时，应考虑配置备用发电机。（3）抑制和防止电磁泄漏抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施；二是采用干扰方式的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。1.2信息存储的备份计算机中的数据并不是完全安全的。数据备份，就是将这些文件通过手动或自动的方式复制到一个安全的地方，以备不时之需，这样在数据发生损坏时，利用恢复措施就能够很快将损坏的数据重新建立起来。备份包括全盘备份、增量备份、差别备份和按需备份。全盘备份是将所有的文件写入备份介质。增量备份指的是只备份那些上次备份之后已经作过更改的文件，即备份已更新的文件。差别备份是对上次全盘备份之后更新过的所有文件的进行备份的一种方法，差别备份的主要优点是全部系统只需两组磁带（最后一次全盘备份的磁带和最后一次差别备份的磁带）就可以恢复。按需备份是指在正常的备份安排之外额外进行的备份操作，按需备份也可以弥补冗余管理或长期转储的日常备份的不足。1.3安全管理及其它问题的防范对公用计算机来说，可根据需要将用户级别进行严格限制。超级用户指定给每个用户以不同的权限。使普通用户无法访问一些敏感数据或文件，从而保证了公司的机密不被外人知道。当然，这些手段使用以后也不能就说已经完全解决了机密泄露的途径，更多的还是要通过平时加强对人的教育与管理，健全机构和岗位责任制，完善安全管理规章制度几方面来杜绝危害甚大的系统安全问题。为保证实体安全，应对计算机机器网络系统的实体访问进行控制，即对内部或外部人员出入工作场所（主机房、数据处理区及辅助区等）进行限制，减少无关人员进入机房的机会。根据工作需要，每个工作人员可进入的区域应予以规定，各个区域应有明显的标记或派人值守。否则，无关人员进入关键部位，可能会引起重大的损失。能够物理上访问WindowsNT机器的任何人，可能利用某些工具程序来获得Administrator级别的访问权。任务2访问控制2.1访问控制的目标和原理1.访问控制的目标访问控制是针对越权使用资源的防御措施。其基本目标是：防止对任何资源进行未授权的访问。所谓未授权的访问是指未经授权的使用、泄露、修改、销毁信息以及颁发指令等。包括：非法用户进入系统以及合法用户对系统资源的非法使用。访问控制使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么，从而对机密性、完整性起直接的作用。访问控制与其他安全服务的关系模型如图2.1所示。图2.1访问控制与其他安全服务的关系模型访问控制通过对信息的有效控制来实现信息的可用性，包括：（1）谁可以颁发影响网络可用性的网络管理指令；（2）谁能够使用资源和占用资源；（3）谁能够获得什么服务。2.访问控制的原理访问控制与其他安全措施之间的关系可以用图2.2来简要说明。在用户身份认证(如果必要)和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。其中主体可以是某个用户，也可以是用户启动的进程和服务。访问控制需要完成以下两个任务：（1）识别和确认访问系统的用户。（2）决定该用户可以对某一系统资源进行何种类型的访问。图2.2访问控制与其他安全措施的关系模型2.2.访问控制模型的组成访问控制模型包括三个要素：主体、客体、授权。如图2.3所示（1）客体（Object）规定需要保护的资源，又称作目标（target）。（2）主体（Subject）或称为发起者（Initiator），是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。（3）授权（Authorization）规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。主客体的关系是相对的。图2.3访问控制模型基本组成2.3．访问控制策略与机制访问控制策略（AccessControlPolicy）在系统安全策略级上表示授权。是对访问如何控制,如何做出访问决定的高层指南。访问控制机制（AccessControlMechanisms）是访问控制策略的软硬件低层实现。访问控制机制与策略独立，可允许安全机制的重用。访问控制策略可分为自主访问控制、强制访问控制和基于角色的访问控制三大类。安全策略之间没有谁更好的说法，只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制策略之间的关系如图2.4所示。图2.4访问控制的一般策略（1）自主访问控制自主访问控制（discretionarypolicies）的特点是根据主体的身份及允许访问的权限进行决策。所谓自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。最常见的自主访问控制是基于身份的访问控制IBAC（IdentityBasedAccessControl）。自主访问控制的访问许可与访问模式描述了主体对客体所具有的控制权与访问权。其中，访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力。访问模式则指明主体对客体可进行何种形式的特定的访问操作：读\写\运行。自主访问控制灵活性高，被大量采用。自主访问控制的访问许可（AccessPermission）可分为等级型的（Hierarchical）、有主型的（Owner）和自由型的（Laissez-faire）三类。有主型的访问许可是对每个客体设置一个拥有者（通常是客体的生成者）.拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部控制权.在自由型的访问模式中，系统支持的最基本的保护客体：文件。对文件的访问模式为：读-拷贝（Read-copy）、写-删除（write-delete）、运行（Execute）和无效（Null）。自主访问控制的缺点是：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。（2）强制访问控制强制访问控制（mandatorypolicies）的特点是它取决于能用算法表达的并能在计算机上执行的策略。策略给出资源受到的限制和实体的授权，对资源的访问取决于实体的授权而非实体的身份。最常见的强制访问控制是基于规则的访问控制RBAC（RuleBasedAccessControl）。RBAC决策将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。其访问控制关系分为：上读/下写（保证完整性），下读/上写（保证机密性）。通过安全标签实现单向信息流通模式。在批准一个访问之前需要进行授权信息和限制信息的比较。强制访问控制是基于用户和资源分级（“安全标签”）的，其实现机制一般是多级访问控制。所谓安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。安全标签最通常的用途是支持多级访问控制策略。（3）基于角色的访问控制基于角色的访问控制策略（Role-BasedAccessControl）起源于UNIX系统或别的操作系统中组的概念，它是与现代的商业环境相结合的产物。基于角色的访问控制是一个复合的规则，可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作。角色与组的区别是：组只是一组用户的集合，而角色则是一组用户的集合加上一组操作权限的集合。基于角色的访问控制有如下特点：•该策略陈述易于被非技术的组织策略者理解；同时也易于映射到访问控制矩阵或基于组的策略陈述。•同时具有基于身份策略的特征，也具有基于规则的策略的特征。•在基于组或角色的访问控制中，一个个人用户可能是不只一个组或角色的成员，有时又可能有所限制。•其优点是：责任分离（separationofduties）、角色分层（rolehierarchies）、角色激活（roleactivation）和用户角色关系的约束（constraintsonuser/rolemembership）。下面给出一个基于角色的访问控制的实例：在银行中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员。访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的账号记录（包括存款和取款、转账等），并允许查询所有账号的注册项。（2）允许一个分行管理者修改顾客的账号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有账号的注册项，也允许创建和终止账号。（3）允许一个顾客只询问他自己的账号的注册项。（4）系统的管理者可询问系统的注册项和开关系统，但不允许读或修改用户的账号信息。（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情。2.4决定访问权限通常按照用户分类、资源、资源及使用和访问规则来决定访问权限。（1）用户的分类用户可分为特殊用户、一般用户、审计用户和作废用户几种。特殊用户具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力（例如系统管理员）；一般用户是最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配；审计用户负责整个安全系统范围内的安全控制与资源使用情况的审计；作废用户则是被系统拒绝的用户。（2）资源系统内需要保护的是系统资源，包括：磁盘与磁带卷标、远程终端、信息管理系统的事务处理及其应用、数据库中的数据以及应用资源等。（3）资源和使用对需要保护的资源定义一个访问控制包（Accesscontrolpacket），包括：资源名及拥有者的标识符、缺省访问权、用户和用户组的特权明细表、允许资源的拥有者对其添加新的可用数据的操作以及审计数据等。（4）访问规则访问规则规定了若干条件，在这些条件下，可准许访问一个资源。访问规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。2.5．访问控制的一般实现机制和方法基于访问控制属性的常见实现方法是访问