【正文】 了信息數(shù)據(jù)量大、數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理。 ? 允許對(duì)策略和規(guī)則進(jìn)行重用 、 繼承和派生操作 。 ? 在這種情況下，有必要引入基于對(duì)象的訪問控制模型。 基于對(duì)象的訪問控制 (OBAC) 基于對(duì)象的訪問控制 (OBAC) ? 當(dāng)信息資源的種類增加或減少時(shí)，安全管理員必須更新所有角色的訪問權(quán)限設(shè)置。 ? DAC或 MAC模型的主要任務(wù)都是對(duì)系統(tǒng)中的訪問主體和客體進(jìn)行一維的權(quán)限管理 ， 當(dāng)用戶數(shù)量多 、 處理的信息數(shù)據(jù)量巨大時(shí) ， 用戶權(quán)限的管理任務(wù)將變得十分繁重 ， 并且用戶權(quán)限難以維護(hù) ， 這就降低了系統(tǒng)的安全性和可靠性 。 TBAC從工作流中的任務(wù)角度建模 ， 可以依據(jù)任務(wù)和任務(wù)狀態(tài)的不同 ， 對(duì)權(quán)限進(jìn)行動(dòng)態(tài)管理 。 ? TBAC不僅能對(duì)不同工作流實(shí)行不同的訪問控制策略 ， 而且還能對(duì)同一工作流的不同任務(wù)實(shí)例實(shí)行不同的訪問控制策略 。 基于任務(wù)的訪問控制 (TBAC) ? 在 TBAC中 ， 對(duì)象的訪問權(quán)限控制并不是靜止不變的 ， 而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化 。授權(quán)步（ Authorization Step)表示一個(gè)原始授權(quán)處理步，是指在一個(gè)工作流程中對(duì)處理對(duì)象的一次處理過程。 ? 授權(quán)結(jié)構(gòu)體：是任務(wù)在計(jì)算機(jī)中進(jìn)行控制的一個(gè)實(shí)例。 基于任務(wù)的訪問控制 (TBAC) ? 基于任務(wù)的訪問控制 （ Taskbased Access Control） 是從應(yīng)用和企業(yè)層角度來解決安全問題 ， 以面向任務(wù)的觀點(diǎn) ， 從任務(wù)（ 活動(dòng) ） 的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制 ， 在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理 。用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對(duì)應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。 (RBAC) (RBAC) ? 角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。 ? RBAC從控制主體的角度出發(fā) ， 根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來劃分角色 ， 將訪問權(quán)限與角色相聯(lián)系 ， 這點(diǎn)與傳統(tǒng)的 MAC和 DAC將權(quán)限直接授予用戶的方式不同；通過給用戶分配合適的角色 ， 讓用戶與訪問權(quán)限相聯(lián)系 。 “ 角色 ” 就是與一個(gè)特定工作行為有關(guān)的一套行為與責(zé)任 ， 用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán) 。 ? 考慮到上述因素，必須引入新的模型加以解決。 ? MAC和 DAC控制為每個(gè)用戶賦予對(duì)客體的訪問權(quán)限規(guī)則集，在這一過程中經(jīng)常將具有相同職能的用戶聚為組，然后再為每個(gè)組分配許可權(quán)，用戶自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶。 ? wd，當(dāng)且僅當(dāng) SC（ s） ≥ SC（ o），允許寫操作。 ? 沒有向下“讀”。 ? Biba模型模仿 BLP模型的信息保密性級(jí)別，定義了信息完整性級(jí)別，在信息流向的定義方面不允許從級(jí)別低的進(jìn)程到級(jí)別高的進(jìn)程，也就是說用戶只能向比自己安全級(jí)別低的客體寫入信息，從而保證非法用戶創(chuàng)建安全級(jí)別高的客體信息，從而保證越權(quán)、篡改等行為的產(chǎn)生。 2. Biba Model ? BLP模型的問題 ? BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷。 ? 例如 ， 在一種遠(yuǎn)程讀的情況下 ， 一個(gè)高安全級(jí)主體向一個(gè)低安全級(jí)客體發(fā)出遠(yuǎn)程讀請(qǐng)求 ， 這種分布式讀請(qǐng)求可以被看作是從高安全級(jí)向低安全級(jí)的一個(gè)消息傳遞 ， 也就是 “ 向下寫 ” 。 ? BLP模型 “ 只能向下讀 、 向上寫 ” 的規(guī)則忽略了完整性的重要安全指標(biāo) ， 使非法 、 越權(quán)篡改成為可能 。 1. BLP Model ? BLP模型建立的訪問控制原則 ? 無向上讀 ? 無向下寫 ? BLP模型有效防止低級(jí)用戶和進(jìn)程訪問安全級(jí)別比他們高的信息資源 。 ? 任意訪問控制允許用戶自行定義是否讓個(gè)人或組織存取數(shù)據(jù)。 ? BLP模型的出發(fā)點(diǎn)是維護(hù)系統(tǒng)的保密性，有效防止信息泄露。 Model ? BLP [Bell and La Padula， 1976]模型是典型的信息保密性多級(jí)安全模型，主要應(yīng)用于軍事系統(tǒng)。 強(qiáng)制訪問控制（ MAC） ? 在 MAC中 ， 主體對(duì)客體的訪問主要有四種方式： ? 向下讀 （ rd， read down） ：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許查閱的讀操作； ? 向上讀 （ ru， read up） ：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許的讀操作； ? 向下寫 （ wd， write down） ：主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作； ? 向上寫 （ wu， write up） ：主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作 。 強(qiáng)制訪問控制（ MAC） 強(qiáng)制訪問控制（ MAC） ? MAC對(duì)訪問主體和受控對(duì)象標(biāo)識(shí)兩個(gè)安全標(biāo)記 ? 具有偏序關(guān)系的安全等級(jí)標(biāo)記 ， 共 4級(jí)：絕密 TS機(jī)密 S秘密 C無密 U ? 非等級(jí)分類標(biāo)記 ? 安全等級(jí)的層次 ? 主體和客體在分屬不同的安全類別時(shí) ， 都屬于一個(gè)固定的安全類別 SC， SC就構(gòu)成一個(gè)偏序關(guān)系 （ 比如TS表示絕密級(jí) ， 就比密級(jí) S要高 ） 。 ? 在 DAC中 ， 用戶和客體資源都被賦予一定的安全級(jí)別 ， 用戶不能改變自身和客體的安全級(jí)別 ， 只有管理員才能夠確定用戶和組的訪問權(quán)限 。 表中的每一項(xiàng)包括主體的身份以及對(duì)該客體的訪問權(quán) 。 保護(hù)位對(duì)所有的主體 、 主體組 （ 用戶 、 用戶組 ） 以及該客體 （ 文本 ） 的擁有者 ， 規(guī)定了一個(gè)訪問模式的集合 。 1．基于行的自主訪問控制 ? 基于列的自主訪問控制是指客體附加一份可訪問它的主體的明細(xì)表 ， 有以下兩種方式： （ 1） 保護(hù)位 保護(hù)位方式不能完備地表達(dá)訪問控制矩陣 。 （ 3） 口令字：每個(gè)客體或每個(gè)客體的不同訪問方式都對(duì)應(yīng)一個(gè)口令 ， 用戶只有知道口令才能訪問 。 （ 2） 前綴表：前綴表包含保護(hù)的文件名 （ 客體名 ） 及主體對(duì)它的訪問權(quán)限 。 它作為一張憑證 ， 允許主體對(duì)客體完成特定類型的訪問 。 ? 基于行的自主訪問控制是在每個(gè)主體上附加一個(gè)該主體可訪問的客體的明細(xì)表，包括： （ 1） 權(quán)限字：權(quán)限字是一個(gè)提供給主體對(duì)客體具有特定權(quán)限的不可偽造標(biāo)志 。 自主訪問控制（ DAC） ? DAC模型 應(yīng)用廣泛 ? 任意訪問控制對(duì)用戶提供的靈活的數(shù)據(jù)訪問方式 ，使得 DAC廣泛應(yīng)用在商業(yè)和工業(yè)環(huán)境中 。主體控制權(quán)限的修改通常由特權(quán)用戶（管理員）或是特權(quán)用戶組實(shí)現(xiàn)。 LINUX， UNIX、Windows SERVER版本的操作系統(tǒng)都提供自主訪問控制的功能。某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶。 自主訪問控制（ DAC） ? 自主訪問控制（ Discretionary Access Control）是一種最為普遍的訪問控制手段，其依據(jù)是用戶的身份和授權(quán)，并為系統(tǒng)中的每個(gè)用戶（或用戶組）和客體規(guī)定了用戶允許對(duì)客體進(jìn)行訪問的方式。 代表用戶進(jìn)行活動(dòng)的進(jìn)程可以得到與其原發(fā)者相應(yīng)的安全標(biāo)記 。 ? 基于規(guī)則的安全策略中的授權(quán)依賴于敏感性 。 2）基于組的策略 （ 2）基于規(guī)則的安全策略 ? 基于規(guī)則的安全策略（ Rulebased Access Control Policies， RBACP） ? 中華人民共和國國家標(biāo)準(zhǔn) ISO 74982— 1989中 OSI安全體系結(jié)構(gòu)中的定義。 1）基于個(gè)人的策略 2）基于組的策略 2 ） 基于組的策略 （ Groupbased Access Control Policies， GBACP ） ：是基于個(gè)人的策略的擴(kuò)充 ， 指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體 。 ? 下圖中，對(duì)文件 2而言，授權(quán)用戶 B有只讀的權(quán)利，授權(quán)用戶 A則被允許讀和寫；對(duì)授權(quán)用戶 N而言，具有對(duì)文件 2和文件 N的讀寫權(quán)利。 1）基于個(gè)人的策略 ? 基于身份的安全策略包括兩種：基于個(gè)人的策略和 基于組的策略 。 ? 基于身份的安全策略等同于 DAC安全策略。 （ 1）基于身份的安全策略 ? 訪問控制的安全策略的兩種實(shí)現(xiàn)方式：基于身份的安全策略和基于規(guī)則的安全策略。多級(jí)安全策略的優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散。 4．訪問控制的安全策略 ? 最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。最小特權(quán)原則的優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可以避免來自突發(fā)事件、錯(cuò)誤和未授權(quán)用主體的危險(xiǎn)。 4．訪問控制的安全策略 ? 安全策略的實(shí)施原則：安全策略的制定實(shí)施是圍繞主體、客體和安全控制規(guī)則集三者之間的關(guān)系展開的。 ? 安全策略關(guān)注的核心是最高決策層認(rèn)為必須值得注意的那些方面。 ? 如果能夠提供一種恰當(dāng)?shù)?、符合安全需求的整體思路，就會(huì)使這個(gè)問題容易的多，也更加有明確的前進(jìn)方向。 （ 3） 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的訪問控制 網(wǎng)絡(luò)的端口和節(jié)點(diǎn)是網(wǎng)絡(luò)中的重要位置 ， 必須要求訪問者提供足以證明其身份的標(biāo)識(shí) 。 3．訪問控制實(shí)現(xiàn)的技術(shù) （ 1） 接入訪問控制 接入訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制 ， 是網(wǎng)絡(luò)訪問的最先屏障 ， 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源 ， 控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng) 。 左側(cè)為用戶對(duì)應(yīng)的安全級(jí)別 ， 右側(cè)為文件系統(tǒng)對(duì)應(yīng)的安全級(jí)別 。 ? 安全標(biāo)簽?zāi)軐?duì)敏感信息加以區(qū)分 ， 這樣就可以對(duì)用戶和客體資源強(qiáng)制執(zhí)行安全策略 ， 因此 ， 強(qiáng)制訪問控制經(jīng)常會(huì)用到這種實(shí)現(xiàn)機(jī)制 。 ? 安全標(biāo)簽的含義比能力更為廣泛和嚴(yán)格 ， 它實(shí)際上還建立了一個(gè)嚴(yán)格的安全等級(jí)集合 。因此， ACCLs的實(shí)現(xiàn)與 ACLs正好相反。一些能力可以由主體傳遞給其他主體使用，另一些則不能。 ? 定義能力的重要作用在于能力的特殊性，如果賦予哪個(gè)主體具有一種能力，事實(shí)上是說明了這個(gè)主體具有了一定對(duì)應(yīng)的權(quán)限。 （ 3）訪問控制能力列表 ACCL ? 訪問控制能力表（ Access Control Capabilities List）：是以用戶為中心建立的訪問權(quán)限表。 （ 2）訪問控制矩陣 ACM ? 訪問控制矩陣很易于理解，但是查找和實(shí)現(xiàn)起來有一定的難度。 ? 對(duì)每個(gè)主體而言 ， 都擁有對(duì)哪些客體的哪些訪問權(quán)限；而對(duì)客體而言 ， 又有哪些主體對(duì)他可以實(shí)施訪問；將這種關(guān)連關(guān)系加以闡述 ， 就形成了控制矩陣 。 （ 1）訪問控制表 ACL ? 授權(quán)用戶 A1的訪問控制規(guī)則存儲(chǔ)在文件 File1中， A1的訪問規(guī)則可以由 A1下面的權(quán)限