论第10讲 信息系统分级保护.pptVIP

5 小结 内容小结： 什么是访问控制 强制访问控制和自主访问控制 信息系统安全分级 问题： 分析国标GB17859-1999 * 一般步骤： （所有者、管理员和用户三方参与，体现职责分离） 所有者决定给角色分配特权，给用户分配角色 管理员代表所有者统一创建角色和功能 管理员创建用户ID并赋予权限 2.4 基于任务的访问控制 基于任务的访问控制（task-based authorization control，TBAC） 是一种新的安全模型，从应用和企业层角度来解决安全问题，而非已往从系统的角度。 它采用“面向任务”的观点，从任务(活动)的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。 在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，这是我们称其为主动安全模型的原因。 TBAC特点： 它是在工作流的环境考虑对信息的保护问题。在工作流环境中，每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因而TBAC是一种上下文相关的访问控制模型。 它不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略。这是“基于任务”的含义，所以TBAC又是一种基于实例(instance-based)的访问控制模型。 因为任务都有时效性，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。 通过授权步的动态权限管理，TBAC支持两个著名的安全控制原则： 最小特权原则：在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；而且在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收。 职责分离原则：有时，一些敏感的任务需要不同的用户执行，如支票处理流程中准备支票和提交支票的职员必须不同。这可通过授权步之间的互斥依赖实现。 3 访问控制实现 访问控制矩阵 访问控制列表 访问控制能力表 访问控制安全标签列表 访问控制矩阵 任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。我们在这里举个例子说明一下，如下图所示： 请求者 File 1 File 2 File 3 File 4 John Own, R,W ? Own,W,R ? Alice R Own,W,R W R Bob R,W R ? Own,W,R 访问控制列表 访问控制列表（access control lists，ACLs）是实现访问控制矩阵的一种流行的方法。每一个客体与一个ACL相连，表示了能访问该客体的主体以及访问权限。这种方法实质上就是按列的方式实现访问控制矩阵。下图是上图的访问控制列表实现： 访问控制能力表 权利列表(Capability lists)是与访问控制列表对偶的方法。每一个主体与一个权利列表相连，表示了所有该主体能访问的客体以及访问权限。这种方法实质上就是按行的方式实现访问控制矩阵。下图是前图的权利列表实现： 访问控制安全标签列表 安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表（ACSLLs： Access Control Security Labels Lists）是限定一个用户对一个客体目标访问的安全属性集合。访问控制标签列表的实现示例见图4.7，左侧为用户对应的安全级别，右侧为文件系统对应的安全级别。假设请求访问的用户UserA的安全级别为S，那么UserA请求访问文件File2时，由于STS，访问会被拒绝；当UserA请求访问文件FileN时，因为SC，所以允许访问。 用户 安全级别 UserA S UserB C ······ ······ UserX TS 文件 安全级别 File1 S File2 TS ······ ······ FileN C 4 TCSEC 4.1 TCSEC简介 4.2 D类保护等级 4.3 C类保护等级 4.4 B类保护等级 4.4 A类保护等级 4.1 TCSEC简介 1985年由美国国防部正式公布了DOD5200.28-STD《可信计算机系统评估准则》(TCSEC，也称桔皮书) TCSEC作为军用标准，提出了美国在军用信息技术安全性方面的要求，所提出的要求主要是针对没有外部连接的多用户操作系统 在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则。每一级要求涵盖安全策略、责任、保证、文档四个方面。随着安全等级的提高