信安软考——第七章访问控制技术原理与应用

一、访问控制概述

1.1 访问控制概念

  在网络信息化环境中&＃xff0c;资源不是无限开放的&＃xff0c;而是在一定约束条件下&＃xff0c;用户才能使用 &＃xff08;例如&＃xff0c;普通网民只能浏览新闻网站&＃xff0c;不能修改其内容&＃xff09;。由于网络及信息所具有的价值&＃xff0c;其难以避免地会受到意外的或蓄意的未经授权的使用和破坏。

  而访问控制是指对资源对象的访问者授权、控制的方法及运行机制的管理。

  访问者可以是用户、进程、应用程序等&＃xff1b;而资源对象又称为客体&＃xff0c;即被访问的对象&＃xff0c;可以是文件、应用服务、数据等&＃xff1b;授权是访问者可以对资源对象进行访问的方式&＃xff0c;如文件的读、写、删除、追加或电子邮件服务的接受、发送等&＃xff1b;控制就是对访问者使用监测和限制以及对是否许可用户访问资源对象做出决策&＃xff0c;如拒绝访问、授权许可、禁止操作等。

1.2 访问控制目标

• 防止非法用户进入系统
• 阻止合法用户对系统资源的非法使用&＃xff0c;即禁止合法用户的越权访问。

二、访问控制模型

  访问控制机制由一组安全机制构成&＃xff0c;可以抽象为一个简单的模型&＃xff0c;组成要素为有主体&＃xff08;Subject&＃xff09;、参考监视器&＃xff08;Reference Moitor&＃xff09;、客体&＃xff08;Object&＃xff09;、访问控制数据库、审计库

• 主体&＃xff1a;是客体的操作实施者。实体通常是人、进程或者设备等&＃xff0c;一般是代表用户执行操作的进程。比如编辑的一个文件&＃xff0c;编辑进程是存取文件的主体&＃xff0c;而文件则是客体。&＃xff08;简单来说就是动作的发起者&＃xff09;
• 客体&＃xff1a;被主体操作的对象。
• 参考监视器&＃xff1a;是访问控制的决策单元和执行单元的集合体。控制
• 访问控制数据库
• 审计库&＃xff1a;存储主体访问客体的操作信息&＃xff0c;包括访问成功、访问失败

三、访问控制类型

常用的访问控制类型主要有自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制

3.1 自主访问控制&＃xff08;Discretionary Access Control&＃xff0c;DAC&＃xff09;

是一个级别相对较低的访问控制方式&＃xff0c;自主&＃xff0c;简单来说就是文件&＃xff08;客体&＃xff09;的所有者想怎么来就怎么来

  DAC是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。目前自主访问控制的实现方法有两大类&＃xff0c;即基于行的自主访问控制和基于列的自主访问控制。

&＃xff08;1&＃xff09;基于行的自主访问控制

  基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表&＃xff0c;根据表中信息的不同又分成三种形式&＃xff0c;即能力表&＃xff08;capability list&＃xff09;、前缀表&＃xff08;profiles&＃xff09;和口令&＃xff08;password&＃xff09;。

• 能力表&＃xff1a;能力是访问客体的钥匙&＃xff0c;它决定用户能否对客体进行访问以及具有何种访问模式&＃xff08;读、 写、执行&＃xff09;。拥有一定能力的主体可以按照给定的模式访问客体。
• 前缀表&＃xff1a;包括受保护客体名和主体对它的访问权限。当主体要访问某客体时&＃xff0c;自主访问控制机制检查主体的前缀是哦福具有它所请求的访问权。
• 口令&＃xff1a;在基于口令机制的自主存取控制机制中&＃xff0c;每个客体都相应的有一个口令。主体在对客体进行访问前&＃xff0c;必须向系统提供客体的口令。如果正确&＃xff0c;他就可以访问该客体。

&＃xff08;2&＃xff09;基于列的自主访问控制

  基于列的自主访问控制机制时每个客体上都附加一个可访问它的主体的明细表&＃xff0c;他有两种形式&＃xff0c;即保护位&＃xff08;protection bits&＃xff09;和访问控制表&＃xff08;Access Control List&＃xff0c;ACL&＃xff09;

• 保护位。这中访问通过所有主体、主体组以及客体的拥有者指明一个访问模式集合&＃xff0c;通常以比特位来表示访问权限。UNIX/Linux系统就利用这种访问控制方法。
• 访问控制表。简称ACL&＃xff0c;它是每个客体上都附加一个主体明细表&＃xff0c;表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。

  自主访问控制优点&＃xff1a;访问机制简单、灵活&＃xff0c;在一定程度上实现多级用户的权限隔离和资源保护。
  
  自主访问控制缺点&＃xff1a;实施依赖于用户的安全意识和技能&＃xff0c;不能满足高安全等级的安全要求&＃xff1b;资源管理过于分散&＃xff0c;给控制这个系统的安全造成了很大的不便&＃xff1b;无法防范木马攻击&＃xff0c;如果某个管理员登陆后带进来一个木马程序&＃xff0c;该木马程序键拥有该管理员的全部权限

3.2 强制访问控制&＃xff08;Mandatory Access Control&＃xff0c;MAC&＃xff09;

MAC详细学习

  MAC是指系统根据主体和客体的安全属性&＃xff0c;以强制方式控制主体对客体的访问。通俗的来说&＃xff0c;在强制访问控制下&＃xff0c;用户&＃xff08;或其他主体&＃xff09;与文件&＃xff08;或其他客体&＃xff09;都被标记了固定的安全属性&＃xff08;如安全级、访问权限等&＃xff09;&＃xff0c;在每次访问发生时&＃xff0c;系统检测安全属性以便确定一个用户是否有权限访问该文件。其中多级安全&＃xff08;MLS&＃xff09;、BLP、BIBA、DTE模型都属于强制访问策略。

  访问规则

• 保密性规则

1&＃xff09;仅当主体的许可证级别高于或等于客体的保密等级时&＃xff0c;该主体才能读取相应的客体&＃xff08;下读&＃xff09;

2&＃xff09;仅当主体的许可证级别低于或等于客体的保密等级时&＃xff0c;该主体才能写相应的客体&＃xff08;上写&＃xff09;

• 完整性规则

1&＃xff09;仅当主体的许可证级别低于或者等于客体的完整性级别时&＃xff0c;该主体才能读取相应的客体&＃xff08;上读&＃xff09;

2&＃xff09;仅当主体的许可证级别高于或者等于客体的完整性级别时&＃xff0c;该主体才能写相应的客体&＃xff08;下写&＃xff09;

   与自主访问控制相比较&＃xff0c;MAC更加严格。用户使用DAC虽然能够防止其他用户非法入侵自己的网络资源&＃xff0c;但对于用户的意外事件或。因此&＃xff0c;自主访问控制不能适应够安全等级需求。
  
  在政府部门、军事和金融等领域&＃xff0c;常利用MAC机制&＃xff0c;将系统中的资源划分安全等级和不通类别&＃xff0c;然后进行安全管理

3.3 基于角色的访问控制

  RBAC时根据完成某些职责任务所需要的访问控制来进行授权和管理。RBAC有用户&＃xff08;U&＃xff09;、角色&＃xff08;R&＃xff09;、会话&＃xff08;s&＃xff09;和权限&＃xff08;P&＃xff09;四个基本要素组成。

  在一个系统中&＃xff0c;可以有多个用户和多个角色&＃xff0c;用户与角色的关系时多对多的。权限就是主体对客体的操作能力&＃xff08;读、写、修改、执行等&＃xff09;。通过授权&＃xff0c;一个角色可以拥有多个权限&＃xff0c;而一个权限也可以赋予多个角色。同时一个用户可以扮演多个角色&＃xff0c;一个角色也可以由多个用户承担

在一个采用RBAC作为授权存取控制的系统中&＃xff0c;由系统管理员负责管理系统的角色集合和访问权限集合

3.4 基于属性的访问控制&＃xff08;Attribute Based Access Control&＃xff0c;ABAC&＃xff09;

了解

  ABAC具体的访问控制方法是根据主体的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。如下图&＃xff0c;当主体访问受控资源时&＃xff0c;基于属性的访问控制ABAC将会检查的主体的属性、客体的属性、环境条件以及访问策略&＃xff0c;然后再给出访问授权。

四、访问控制策略设计与实现

4.1 访问控制策略

  访问控制策略用于规定用户访问资源的权限&＃xff0c;防止资源损失、泄露或非法使用.在设计访问控制策略时&＃xff0c;一般应考虑下面要求

&＃xff08;1&＃xff09;不同网络应用的安全需求&＃xff0c;如内部用户访问还是外部用户

&＃xff08;2&＃xff09;所有和应用相关的信息的确认&＃xff0c;如通信端口号、IP地址等

&＃xff08;3&＃xff09;网络信息传播和授权策略&＃xff0c;如信息的安全级别和分类

&＃xff08;4&＃xff09;不同系统的访问控制和信息分类策略之间的一致性

&＃xff08;5&＃xff09;关于保护数据和服务的有关法规和合同义务

&＃xff08;6&＃xff09;访问权限的更新和维护

• 访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成
• 访问控制策略常见的类型&＃xff1a;机房访问控制策略、拨号服务器控制策略、路由器访问控制策略、交换机访问控制策略、防火墙访问控制策略、主机访问控制策略、数据库访问控制策略、客户端访问控制策略、网络服务访问控制策略等。

4.2 访问控制规则

​ 21年出过选择题

实际上就是访问约束条件集&＃xff0c;是访问控制策略的具体实现和表现形式。

  主要的访问控制规则

&＃xff08;1&＃xff09;基于用户身份的访问控制规则&＃xff1a;利用具体的用户身份来限制访问操作&＃xff0c;通常以账号和口令表示用户&＃xff0c;当用户输入“账号和口令“都正确后&＃xff0c;系统才允许用户访问。目前&＃xff0c;操作系统或网络设备的使用控制基本上都是采用这种规则

&＃xff08;2&＃xff09;基于角色的访问控制规则&＃xff1a;根据用户完成某项任务所需要的权限进行控制

&＃xff08;3&＃xff09;基于地址的访问控制规则&＃xff1a;利用访问者所在的物理位置或逻辑地址空间来限制访问操作。例如&＃xff0c;重要的服务器和网络设备可以禁止远程访问&＃xff0c;仅仅允许本地访问&＃xff0c;这样可以增加安全性。基于地址的访问控制规则有IP地址、域名地址以及物理地址

&＃xff08;4&＃xff09;基于事件的访问控制规则&＃xff1a;利用时间来约束访问操作&＃xff0c;在一些系统中为了增加访问控制的适应性&＃xff0c;增加了时间因素的控制&＃xff08;如&＃xff0c;下班时间不允许访问服务器&＃xff09;

&＃xff08;5&＃xff09;基于异常事件的访问控制规则&＃xff1a;利用异常事件来触发控制操作&＃xff0c;以避免危害系统的行为进一步升级。

&＃xff08;6&＃xff09;基于服务数量的访问控制&＃xff08;如网站在服务能力接近某个阈值时&＃xff0c;暂时拒绝新的网络访问请求&＃xff0c;以保证系统正常运行&＃xff09;

五、访问控制过程与安全管理

5.1 过程

访问控制的目的是保护系统的资产&＃xff0c;防止非法用户进入系统及合法用户对系统资源的非法使用。要实现访问控制的管理&＃xff0c;一般需要五个步骤

• 第一步&＃xff1a;明确访问控制管理的资产&＃xff08;例如浏览器、web服务器等&＃xff09;
• 第二步&＃xff1a;分析管理资产的安全需求&＃xff08;保密性、完整性、可用性等要求&＃xff09;
• 第三步&＃xff0c;制定访问控制策略&＃xff0c;确定访问控制规则以及用户权限分配
• 第四步&＃xff1a;实现访问控制策略&＃xff0c;建立用户访问通知身份认证系统&＃xff0c;并根据用户类型授权用户访问资产
• 第五步&＃xff0c;进行运行和维护访问控制系统&＃xff0c;及时调整访问控制策略。

5.2 安全管理

• 最小特权管理。特权&＃xff08;Privilege&＃xff09;是指用户超越系统访问控制所拥有的权限。这种特权设置有利于系统维护和配置&＃xff0c;但不利于系统的安全性。最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集。最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限&＃xff0c;阻止特权乱用。为此&＃xff0c;特权的分配原则是“按需使用(Need to Use)”&＃xff0c;这条原则保证了系统不会将权限过多地分配给用户&＃xff0c;从而可以限制特权造成的危害。
• 用户访问管理&＃xff1a;用户管理是网络安全管理的重要内容之一&＃xff0c;主要包括用户凳、用户权限分配、访问记录、权限监测、权限取消、撤销用户。

• 口令安全管理。口令是当前大多数网络实施访问控制进行身份鉴别的重要依据&＃xff0c;因此&＃xff0c;口令管理尤为重要&＃xff0c;一般遵循以下原则&＃xff1a;

六、访问控制主要产品与技术指标

6.1 主要产品

• 4A系统&＃xff1a;4A是指认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit)&＃xff0c;也叫做统一安全管理平台&＃xff0c;平台集中提供账号、认证、授权和审计等网络安全服务。该产品的技术特点是集成了访问控制机制和功能&＃xff0c;提供多种访问控制服务。平台常用基于角色的访问控制方法&＃xff0c;以便于账号授权管理
• 安全网关&＃xff1a;该技术的特点是利用网络数据包信息和网络安全威胁特征库&＃xff0c;对网络通信连接服务进行访问控制&＃xff08;如防火墙、统一威胁管理UTM等&＃xff09;
• 系统安全增强&＃xff1a;该技术的特点是利用强制访问控制技术来增强操作系统、数据库系统的安全&＃xff0c;防止特权滥用。&＃xff08;如Linux的安全增强系统SELinux、Winodws操作系统的加固。&＃xff09;

6.2 主要技术指标

&＃xff08;1&＃xff09;产品支持访问控制策略规则类型。一般来说&＃xff0c;规则类型多&＃xff0c;有利于安全控制细化和灵活授权管理

&＃xff08;2&＃xff09;产品支持访问控制规则最大数量&＃xff1a;访问控制规则的数量多表示该产品具有较高的控制能力

&＃xff08;3&＃xff09;产品访问控制规则检查速度&＃xff1a;产品的主要性能指标&＃xff0c;速度快则意味着产品具有较好的性能

&＃xff08;4&＃xff09;产品自身安全和质量保证级别&＃xff1a;针对产品本身的安全所采用的保护措施&＃xff0c;产品防范网络攻击的能力&＃xff0c;产品所达到的国家信息安全产品的等级。

七、访问控制技术应用

7.1 应用场景类型

这里有可能出选择题

&＃xff08;1&＃xff09;物理访问控制&＃xff1a;主要针对物理环境或设备而设置的安全措施&＃xff0c;一般包括门禁、警卫、个人证件、门锁、物理安全区域划分。

&＃xff08;2&＃xff09;网络访问控制&＃xff1a;主要针对网络资源而采取的访问安全措施&＃xff0c;一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证

&＃xff08;3&＃xff09;操作系统访问控制&＃xff1a;针对计算机系统资源而采取的访问安全措施&＃xff0c;例如数据库表创建、数据生成与分发

&＃xff08;4&＃xff09;数据库/数据访问控制&＃xff1a;针对数据库系统及数据而采取的访问安全措施&＃xff0c;例如数据库表创建、数据生成与分发。

&＃xff08;5&＃xff09;应用系统访问控制&＃xff1b;针对应用系统资源而采取的访问安全措施&＃xff0c;例如业务执行操作、业务系统文件读取等

7.2 UNIX/Linux 系统访问控制应用

这个是可能出案例大题的

在UNIX、Linux系统中&＃xff0c;每个文件上使用“9比特位模式”来标识访问控制权限信息&＃xff0c;这些二进制位标识了“文件的拥有者、与文件拥有者同组的用户、其它用户”对文件所具有的访问权限和方式。

7.3 windows访问控制参考

windows用户登录系统时&＃xff0c;WinLogon进程为用户创建访问令牌&＃xff0c;包含用户所属组的安全标识(SID)&＃xff0c;作为用户的身份标识。文件等客体则含有自主访问控制列表&＃xff08;DACL&＃xff09;&＃xff0c;标明谁有权限访问&＃xff0c;还含有系统访问控制列表&＃xff08;SACL&＃xff09;&＃xff0c;标明哪些主体的访问需求要被记录

• DACL主要用于设置用户以及用户组对安全对象的访问
• SACL用于配置对安全对象的访问审计&＃xff08;生成日志&＃xff09;
• 每个ACL由多个ACE&＃xff08;Access Control Entries&＃xff09;构成

7.4 其它访问控制应用参考

• IIS FTP服务器自身提供三种访问限制技术手段&＃xff0c;分别是&＃xff1a;实现用户账号认证、匿名访问控制以及IP地址限制

• 网络访问控制是指通过一定技术手段实现网络资源操作限制&＃xff0c;使用户只能访问所规定的资源&＃xff0c;如网络路由器、网络通信、网络服务等

  • 网络通信连接控制常利用防火墙、路由器、网关来实现&＃xff0c;通常将这些设备放在两个不同的通信网络的连接处&＃xff0c;使得所有的通信流都经过通信连接控制器&＃xff0c;只有当通信流符合访问控制规则时&＃xff0c;才允许通信正常进行。
  • 根据网络的功能和业务的用途&＃xff0c;将网络分为若干个小的子网&＃xff08;网段&＃xff09;&＃xff0c;或者是外部网和内部网&＃xff0c;以避免各网之间多余的信息交换

• Web服务访问控制机制可由网络通信、用户身份认证、操作系统、数据库等多个访问控制环节来实现&＃xff0c;各种访问都有不同的技术来实现。网络通信既可以通过路由器、防火墙来实现&＃xff0c;也可以使用web服务器自身的访问控制来实现