數據作為信息的重要載體,其安全問題在信息安全中占有非常重要的地位。數據的保密性、可用性、可控性和完整性是數據安全技術的主要研究內容。數據保密性的理論基礎是密碼學,而可用性、可控性和完整性是數據安全的重要保障,沒有后者提供技術保障,再強的加密算法也難以保證數據的安全。與數據安全密切相關的技術主要有以下幾種,每種相關但又有所不同。
1)訪問控制: 該技術主要用于控制用戶可否進入系統以及進入系統的用戶能夠讀寫的數據集;
2)數據流控制:該技術和用戶可訪問數據集的分發有關,用于防止數據從授權范圍擴散到非授權范圍;
3)推理控制:該技術用于保護可統計的數據庫,以防止查詢者通過精心設計的查詢序列推理出機密信息;
4)數據加密:該技術用于保護機密信息在傳輸或存儲時被非授權暴露;
5)數據保護:該技術主要用于防止數據遭到意外或惡意的破壞,保證數據的可用性和完整性。
在上述技術中,訪問控制技術占有重要的地位,其中1)、2)、3)均屬于訪問控制范疇。訪問控制技術主要涉及安全模型、控制策略、控制策略的實現、授權與審計等。其中安全模型是訪問控制的理論基礎,其它技術是則實現安全模型的技術保障。本文側重論述訪問控制技術,有關數據保護技術的其它方面,將逐漸在其它文章中進行探討。
1.訪問控制
信息系統的安全目標是通過一組規則來控制和管理主體對客體的訪問,這些訪問控制規則稱為安全策略,安全策略反應信息系統對安全的需求。安全模型是制定安全策略的依據,安全模型是指用形式化的方法來準確地描述安全的重要方面(機密性、完整性和可用性)及其與系統行為的關系。建立安全模型的主要目的是提高對成功實現關鍵安全需求的理解層次,以及為機密性和完整性尋找安全策略,安全模型是構建系統保護的重要依據,同時也是建立和評估安全操作系統的重要依據。
自20世紀70年代起,Denning、Bell、Lapadula等人對信息安全進行了大量的理論研究,特別是1985年美國國防部頒布可信計算機評估標準《TCSEC》以來,系統安全模型得到了廣泛的研究,并在各種系統中實現了多種安全模型。這些模型可以分為兩大類:一種是信息流模型;另一種是訪問控制模型。
信息流模型主要著眼于對客體之間信息傳輸過程的控制,它是訪問控制模型的一種變形。它不校驗主體對客體的訪問模式,而是試圖控制從一個客體到另一個客體的信息流,強迫其根據兩個客體的安全屬性決定訪問操作是否進行。信息流模型和訪問控制模型之間差別很小,但訪問控制模型不能幫助系統發現隱蔽通道,而信息流模型通過對信息流向的分析可以發現系統中存在的隱蔽通道并找到相應的防范對策。信息流模型是一種基于事件或蹤跡的模型,其焦點是系統用戶可見的行為。雖然信息流模型在信息安全的理論分析方面有著優勢,但是迄今為止,信息流模型對具體的實現只能提供較少的幫助和指導。
訪問控制模型是從訪問控制的角度描述安全系統,主要針對系統中主體對客體的訪問及其安全控制。訪問控制安全模型中一般包括主體、客體,以及為識別和驗證這些實體的子系統和控制實體間訪問的參考監視器。通常訪問控制可以分自主訪問控制(DAC)和強制訪問控制(MAC)。自主訪問控制機制允許對象的屬主來制定針對該對象的保護策略。通常DAC通過授權列表(或訪問控制列表ACL)來限定哪些主體針對哪些客體可以執行什么操作。如此可以非常靈活地對策略進行調整。由于其易用性與可擴展性,自主訪問控制機制經常被用于商業系統。
目前的主流操作系統,如UNIX、Linux和Windows等操作系統都提供自主訪問控制功能。自主訪問控制的一個最大問題是主體的權限太大,無意間就可能泄露信息,而且不能防備特洛伊木馬的攻擊。強制訪問控制系統給主體和客體分配不同的安全屬性,而且這些安全屬性不像ACL那樣輕易被修改,系統通過比較主體和客體的安全屬性決定主體是否能夠訪問客體。強制訪問控制可以防范特洛伊木馬和用戶濫用權限,具有更高的安全性,但其實現的代價也更大,一般用在安全級別要求比較高的軍事上。
隨著安全需求的不斷發展和變化,自主訪問控制和強制訪問控制已經不能完全滿足需求,研究者提出許多自主訪問控制和強制訪問控制的替代模型,如基于柵格的訪問控制、基于規則的訪問控制、基于角色的訪問控制模型和基于任務的訪問控制等。其中最引人矚目的是基于角色的訪問控制 (RBAC)。其基本思想是:有一組用戶集和角色集,在特定的環境里,某一用戶被指定為一個合適的角色來訪問系統資源;在另外一種環境里,這個用戶又可以被指定為另一個的角色來訪問另外的網絡資源,每一個角色都具有其對應的權限,角色是安全控制策略的核心,可以分層,存在偏序、自反、傳遞、反對稱等關系。與自主訪問控制和強制訪問控制相比,基于角色的訪問控制具有顯著優點:首先,它實際上是一種策略無關的訪問控制技術。其次,基于角色的訪問控制具有自管理的能力。
此外,基于角色的訪問控制還便于實施整個組織或單位的網絡信息系統的安全策略。目前,基于角色的訪問控制已在許多安全系統中實現。例如,在億賽通文檔安全管理系統SmartSec(見“文檔安全加密系統的實現方式”一文)中,服務器端的用戶管理就采用了基于角色的訪問控制方式,從而為用戶管理、安全策略管理等提供了很大的方便。
隨著網絡的深入發展,基于Host-Terminal環境的靜態安全模型和標準已無法完全反應分布式、動態變化、發展迅速的Internet的安全問題。針對日益嚴重的網絡安全問題和越來突出的安全需求,“可適應網絡安全模型”和“動態安全模型”應運而生。基于閉環控制的動態網絡安全理論模型在90年代開始逐漸形成并得到了迅速發展,1995年12月美國國防部提出了信息安全的動態模型,即保護(Protection)—檢測(Detection)—響應(Response)多環節保障體系,后來被通稱為PDR模型。隨著人們對PDR模型應用和研究的深入,PDR模型中又融入了策略(Policy)和恢復(Restore)兩個組件,逐漸形成了以安全策略為中心,集防護、檢測、響應和恢復于一體的動態安全模型,如圖1所示。
 |
| 圖1 PDR擴展模型示意圖 |
PDR模型是一種基于閉環控制、主動防御的動態安全模型,在整體的安全策略控制和指導下,在綜合運用防護工具(如防火墻、系統身份認證和加密等手段)的同時,利用檢測工具(如漏洞評估、入侵檢測等系統)了解和評估系統的安全狀態,將系統調整到“最安全”和“風險最低”的狀態。保護、檢測、響應和恢復組成了一個完整的、動態的安全循環,在安全策略的指導下保證信息的安全。
| 共2頁: 1 [2] 下一頁 | ||||
|
