第07章访问控制技术的原理与应用.ppt

7.5.3 军事安全策略 　　军事安全策略(Miliary Security Policy)是美国国防部为了保护计算机内的机密信息而提出一种限制策略。该策略规定，用户要合法读取某信息，当且仅当用户的安全级大于或等于该信息的安全级，并且用户的访问范畴包含该信息范畴时。为了实现军事安全策略，系统中的信息和用户都被分配了一个访问类，它由两部分组成： 　　(1) 安全级，安全级对应诸如公开、秘密、机密和绝密等名称。 　　(2) 范畴集：是指安全级的有效领域或信息所归属的领域，如人事处、财务处等。 　　安全级的顺序一般规定为公开秘密机密绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中，仅有单一的安全级，而范畴可以包含多个。下面给出一个系统访问类例子。 　　* 文件F访问类：{机密：人事处，财务处}； 　　* 用户A访问类：{绝密：人事处}； 　　* 用户B访问类：{绝密：人事处，财务处，科技处}。 　　按照军事安全策略规定，用户B可以阅读文件F，因为用户B的级别高，涵盖了文件的范畴。而用户A的安全级虽然高，但不能读文件F，因为用户A缺少了“财务处”范畴。 　　为了更加精确地描述军事安全策略，David Bell和Leonard LaPudula于1973年创立了模拟符合军事安全策略的计算机操作的模型，简称Bell-LaPudula模型。Bell-LaPudula模型如图7-6所示，它有两个特性。 　　(1) 简单安全特性：主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。 图7-6 Bell-LaPudula模型 　　(2) *- 特性：一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。 　　第二个特性允许一个主体可以向一个高安全级的客体写入信息。从信息安全的角度来说，没有理由拒绝向上写的方式，如采用追加写的方式允许主体把信息追加到它不能读的文件末尾。这种想法虽好，但是实现起来却相当困难。实际上，大多数实现的多级安全系统只是允许主体向和他安全级相等的客体写入信息。当然，为使主体既能读客体，又能写该客体，二者的安全级也必须相等。 7.6 访问控制管理过程和内容 7.6.1 访问控制管理过程 　　访问控制的目的是保护系统的资产，防止非法用户进入系统及合法用户对系统资源的非法使用。要实现访问控制管理，一般需要五个步骤： 　　第一步，明确访问控制管理的资产，例如网络系统的路由器、Web服务等； 　　第二步，分析管理资产的安全需求，例如保密性要求、完整性要求、可用性要求等； 　　第三步，制定访问控制策略，确定访问控制规则以及用户权限分配； 　　第四步，实现访问控制策略，建立用户访问身份认证系统，并根据用户的类型，授权用户访问资产； 　　第五步，运行和维护访问控制系统，及时调整访问策略。 7.6.2 最小特权管理 　　特权(privilege)是用户超越系统访问控制所拥有的权限。这种特权设置有利于系统的维护和配置，但不利于系统的安全性。例如，在普通UNIX操作系统中，超级用户的口令泄露，将会对系统造成极大的危害。因此，特权的管理应按最小化机制进行，防止特权误用。最小特权原理(Least Privilege Principle)是系统中每一个主体只能拥有完成任务所必要的权限集。最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限，阻止特权乱用。为此，特权的分配原则是“按需使用(Need to Use)”，这条原则保证了系统不会将权限过多地分配给用户，从而可以限制特权造成的危害。 7.6.3 用户访问管理 　　为了防止系统的非授权使用，对系统中的用户权限应进行有效的管理。例如BBS网站、各种论坛、FTP站点、电子邮件服务、ISP服务等都实施了用户管理。用户管理是网络安全管理的重要内容之一，其主要工作包括用户登记、用户权限分配、访问记录、权限使用监测、权限取消、撤销用户。用户登记通常又称注册，当用户在系统注册成功后，系统分配给用户惟一的标识号(ID)。同时，系统会授予用户一定的权限。例如BBS普通帐号只能有发表帖子的权限，而没有删除他人帖子的权限。系统为了防止用户滥用权限，对用户访问进行审计，并定期检查，以便及时阻止非法访问。 　　例如，黑客总是试图通过匿名FTP帐号窃取系统的口令信息，或者利用系统漏洞越权操作，以获取FTP站点的管理权。通过监测FTP访问日志，可以发现黑客的违规访问记录，这样管理员就可以取消黑客的访问权，阻断黑客的攻击。用户管理的一般流程如图7-7所示。 图7-7 用户管理的一般流程