系统安全八访问控制.ppt

一、访问控制的概念 阻止非授权用户访问目标的方法： 1）访问请求过滤器： 当一个发起者试图访问一个目标时，审查其是否获准以请求的方式访问目标； 2）分离 防止非授权用户有机会去访问敏感的目标。 这两种方法涉及： 访问控制机制和访问控制策略。 访问控制策略 系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立：OS固有的，管理员或用户制定的。 访问控制机构 对访问控制策略抽象模型的许可状态转换为系统的物理形态，并对访问和授权进行监测。是具体实施访问策略的所有功能的集合，这些功能可通过系统的软硬件实现。 二、访问控制策略 任何访问控制策略最终可被模型化为访问矩阵形式。 每一行：用户 每一列：目标 矩阵元素：相应的用户对目标的访问许可。 访问控制策略可分为： 自主式策略（基于身份的策略） 基于个人的策略 隐含的缺省策略 禁止/开放 最小特权原则：最大限度地控制用户为完成授权任务所需要的许可集。 基于组的策略 多个用户被组织在一起并赋予一个共同的标识符。 更容易、更有效。 强制式策略（基于规则的策略） 多用于机密、军事部门 多级策略 目标按敏感性划分为不同密级：绝密top secret、秘密secret、机密confidential、限制restricted、无密级unclassified。 每个用户有一个允许安全级（clearance）。Bell和LaPadula 安全模型定义了用户和目标在形式上的安全级别关系。 只读访问规则：用户只能读不高于其安全级别的数据。 只写访问规则： 为防止泄密： Bell LaPadula 模型 “上写” 完整性：防止删改数据、木马 Biba 模型 “下写” 三、自主访问控制（DAC） 四、强制访问控制（MAC） 五、基于角色访问控制（RBAC） 兼有基于身份和基于规则的策略特征。可看作基于组的策略的变形，一个角色对应一个组。例：银行业务系统中 用户多种角色 优点： 对于非专业的管理人员，容易制定安全策略； 容易被映射到一个访问矩阵或基于组的策略。 五、基于角色访问控制（RBAC） 五、基于角色访问控制（RBAC） 五、基于角色访问控制（RBAC） 五、基于角色访问控制（RBAC） 六、访问控制的其它考虑 附加的控制 依赖于值的控制：临界数据的敏感性 多用户控制：需要多个个体、角色的同意 基于上下文控制：时间、用户位置、通信路径 目标的粒度 策略与粒度大小密切相关。 策略的交互作用 多种策略作用于一个目标时，需要策略协调规则。 规定策略优先关系，解决策略冲突。 穿越互操作区域的策略映射 安全区域边界的翻译、映射，不同区域安全策略不同 访问控制转发 如果B是不可信的，或者B受到攻击，则C将受到威胁。 通信访问控制与路由控制 a)连接访问控制： b)网络数据访问控制： 路由控制：确保数据通过安全的子网、连接。在网络层，使用a或b方式；在E-mail这样的存储转发系统中，路由控制可出现在应用层。 访问控制信息的产生、分发和存储 访问控制机制的有效性依赖于访问控制决策的准确性和可信度。所以访问控制策略只能由适当的授权者独自产生和修改。对访问控制列表的修改由控制许可来完成，控制许可在逻辑上要与目标访问许可有明显的区别。 为满足完整性和数据起源认证需要，访问控制信息通常以访问控制证书的形式传递，例：当用户首次登录时，将获得特权属性证书(PAC)。 访问控制许可的撤消 当某个安全区域去掉一个用户、目标，或改变其安全属性，或怀疑敏感信息受到威胁时 七、访问控制类产品 SunScreen WeBST安全平台 HP Praesidium 授权服务器 NetKey 网络安全认证系统 Cisco NetRanger 第八章 访问控制 1、RBAC能够描述复杂的安全策略 通过角色定义、分配和设置适应安全策略 系统管理员定义系统中的各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。根据组织的安全策略特定的岗位定义为特定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接近DAC，某些角色接近MAC。系统管理员也可以根据需要设置角色的可用性以适应某一阶段企业的安全策略，例如设置所有角色在所有时间内可用、特定角色在特定时间内可用、用户授权角色的子集在特定时间内可用。 第八章 访问控制 通过角色分层映射组织结构 组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限，为此，RBAC引入了角色分层的概念。角色分层把角色组织起