概述
訪問控制訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用,它是保證網路安全最重要的核心策略之一。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網路準入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、檔案等網路資源的訪問。
訪問控制涉及到三個基本概念,即主體、客體和訪問授權。
主體:是一個主動的實體,它包括用戶、用戶組、終端、主機或一個套用,主體可以訪問客體。
客體:是一個被動的實體,對客體的訪問要受控。它可以是一個位元組、欄位、記錄、程式、檔案,或者是一個處理器、存貯器、網路接點等。
授權訪問:指主體訪問客體的允許,授權訪問對每一對主體和客體來說是給定的。例如,授權訪問有讀寫、執行,讀寫客體是直接進行的,而執行是搜尋檔案、執行檔案。對用戶的訪問授權是由系統的安全策略決定的。
在—個訪問控制系統中,區別主體與客體很重要。首先由主體發起訪問客體的操作,該操作根據系統的授權或被允許或被拒絕。另外,主體與客體的關係是相對的,當一個主體受到另一主體的訪問,成為訪問目標時,該主體便成為了客體。
按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
訪問控制通常用於系統管理員控制用戶對伺服器、目錄、檔案等網路資源的訪問。
常用技術
訪問控制包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(1)入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制準許用戶入網的時間和準許他們在哪台工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。
用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智慧卡)來驗證用戶的身份。網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。
(2)許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、檔案和其他資源。
(3)目錄級安全控制
網路應允許控制用戶對目錄、檔案、設備的訪問。用戶在目錄一級指定的許可權對所有檔案和子目錄有效,用戶還可進一步指定對目錄下的子目錄和檔案的許可權。對目錄和檔案的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、檔案查找許可權、訪問控制許可權。用戶對檔案或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權禁止取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
(4)屬性安全控制
網路系統管理員應給檔案、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控制表,描述用戶對網路資源的訪問能力。屬性設定可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個檔案寫數據、拷貝一個檔案、刪除目錄或檔案、查看目錄和檔案、執行檔案、隱含檔案、共享、系統屬性等。
(5)伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模組,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設定口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
訪問控制策略
訪問控制通常有三種策略:
(1)自主訪問控制(DiscretionaryAccessControl,DAC) 又稱為隨意訪問控制。DAC是在確認主體身份及所屬組的基礎上,根據訪問者的身份和授權來決定訪問模式,對訪問進行限定的一種控制策略。所謂自主,是指具有被授予某種訪問權力的用戶能夠自己決定是否將訪問控制許可權的一部分授予其他用戶或從其他用戶那裡收回他所授予的訪問許可權。使用這種控制方法,用戶或套用可任意在系統中規定誰可以訪問它們的資源,這樣,用戶或用戶進程就可有選擇地與其他用戶共享資源。它是一種對單獨用戶執行訪問控制的過程和措施。
(2)強制訪問控制(MandatoryAccessControl,MAC) 強制訪問控制依據用戶和數據檔案的安全級別來決定用戶是否有對該檔案的訪問許可權。在強制訪問控制中,每個用戶及檔案都被賦予一定的安全級別,用戶不能改變自身或任何客體的安全級別,只有系統管理員可以確定用戶和組的訪問許可權。系統通過比較用戶和訪問的檔案的安全級別來決定用戶是否可以訪問該檔案。此外,強制訪問控制不允許一個進程生成已分享檔案,從而訪止進程通過已分享檔案將信息從一個進程傳到另一進程。但是強制訪問控制由於過於偏重保密性,對其他方面如系統連續工作能力、授權的可管理性等考慮不足,造成管理不便,靈活性差。
(3)基於角色的訪問控制(Ro1e-BasedAccessControl,RBAC) 角色訪問策略是根據用戶在系統里表現的活動性質而定的,角色是訪問許可權的集合,用戶通過賦予不同的角色而獲得角色所擁有的訪問許可權。角色訪問策略是一種有效而靈活的安全措施。通過定義模型各個部分,可以實現DAC和MAC所要求的控制策略。目前這方面的研究及套用還處在實驗探索階段。
實現
實現機制訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和複雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。為了便於討論這一問題,我們以檔案的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(檔案或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。我們之所以將管理操作從讀寫中分離出來,是因為管理員也許會對控制規則本身或是檔案的屬性等做修改,也就是修改我們在下面提到的訪問控制表。
訪問控制表
訪問控制表(ACLs:AccessControlLists)是以檔案為中心建立的訪問許可權表,簡記為ACLs。目前,大多數PC、伺服器和主機都使用ACLs作為訪問控制的實現機制。訪問控制表的優點在於實現簡單,任何得到授權的主體都可以有一個訪問表,例如授權用戶A1的訪問控制規則存儲在檔案File1中,A1的訪問規則可以由A1下面的許可權表ACLsA1來確定,許可權表限定了用戶UserA1的訪問許可權。
訪問控制矩陣
訪問控制矩陣(ACM:AccessControlMatrix)是通過矩陣形式表示訪問控制規則和授權用戶許可權的方法;也就是說,對每個主體而言,都擁有對哪些客體的哪些訪問許可權;而對客體而言,又有哪些主體對他可以實施訪問;將這種關連關係加以闡述,就形成了控制矩陣。其中,特權用戶或特權用戶組可以修改主體的訪問控制許可權。訪問控制矩陣的實現很易於理解,但是查找和實現起來有一定的難度,而且,如果用戶和檔案系統要管理的檔案很多,那么控制矩陣將會成幾何級數增長,這樣對於增長的矩陣而言,會有大量的空餘空間。
訪問控制能力列表
能力是訪問控制中的一個重要概念,它是指請求訪問的發起者所擁有的一個有效標籤(ticket),它授權標籤表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表(ACCLs:AccessControlCapabilitisLists)是以用戶為中心建立訪問許可權表。例如,訪問控制許可權表ACCLsF1表明了授權用戶UserA對檔案File1的訪問許可權,UserAF表明了UserA對檔案系統的訪問控制規則集。因此,ACCLs的實現與ACLs正好相反。定義能力的重要作用在於能力的特殊性,如果賦予哪個主體具有一種能力,事實上是說明了這個主體具有了一定對應的許可權。能力的實現有兩種方式,傳遞的和不可傳遞的。一些能力可以由主體傳遞給其他主體使用,另一些則不能。能力的傳遞牽扯到了授權的實現,我們在後面會具體闡述訪問控制的授權管理。
安全標籤
安全標籤是限制和附屬在主體或客體上的一組安全屬性信息。安全標籤的含義比能力更為廣泛和嚴格,因為它實際上還建立了一個嚴格的安全等級集合。訪問控制標籤列表(ACSLLs:AccessControlSecurityLabelsLists)是限定一個用戶對一個客體目標訪問的安全屬性集合。安全標籤能對敏感信息加以區分,這樣就可以對用戶和客體資源強制執行安全策略,因此,強制訪問控制經常會用到這種實現機制。
具體類別
訪問控制實現的具體類別訪問控制是網路安全防範和保護的重要手段,它的主要任務是維護網路系統安全、保證網路資源不被非法使用和非常訪問。通常在技術實現上,包括以下幾部分:
(1)接入訪問控制:接入訪問控制為網路訪問提供了第一層訪問控制,是網路訪問的最先屏障,它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制準許用戶入網的時間和準許他們在哪台工作站入網。例如,ISP服務商實現的就是接入服務。用戶的接入訪問控制是對合法用戶的驗證,通常使用用戶名和口令的認證方式。一般可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證和用戶帳號的預設限制檢查。
(2)資源訪問控制:是對客體整體資源信息的訪問控制管理。其中包括檔案系統的訪問控制(檔案目錄訪問控制和系統訪問控制)、檔案屬性訪問控制、信息內容訪問控制。檔案目錄訪問控制是指用戶和用戶組被賦予一定的許可權,在許可權的規則控制許可下,哪些用戶和用戶組可以訪問哪些目錄、子目錄、檔案和其他資源,哪些用戶可以對其中的哪些檔案、目錄、子目錄、設備等能夠執行何種操作。系統訪問控制是指一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問;應設定口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;應設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔;應對網路實施監控,記錄用戶對網路資源的訪問,對非法的網路訪問,能夠用圖形或文字或聲音等形式報警等。檔案屬性訪問控制:當用檔案、目錄和網路設備時,應給檔案、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與要訪問的檔案、目錄和網路設備聯繫起來。
(3)網路連線埠和節點的訪問控制:網路中的節點和連線埠往往加密傳輸數據,這些重要位置的管理必須防止黑客發動的攻擊。對於管理和修改數據,應該要求訪問者提供足以證明身份的驗證器(如智慧卡)。
發展
網路訪問控制(NAC)名聲不好,我們得讓它改改。過去十年里,訪問控制出現了部署失敗和安全策略過份嚴格等問題,這使得許多CEO發現按照IT部門實施的訪問控制,自己的筆記本電腦無法訪問網路。但是,現在情況已經發生變化。專家指出,訪問控制不再只是訪問控制;而是提供終端可見性和感知環境的安全性。EnterpriseStrategyGroup的研究表明,訪問控制正演變成一種新的平台產品,它叫終端監控、訪問與安全(EVAS),它能夠實現感知環境的安全性,可以給其他安全平台提供信息,同時套用這些平台專用的策略。
早期的訪問控制解決方案會檢查用戶設備的狀態,保證它們未感染病毒,並且安裝了正確的終端安全軟體,然後才允許它們連線網路。之後,訪問控制增加了軟體補丁和配置檢查。現在,訪問控制解決進一步發展成為EVAS平台,從而符合企業關於感知環境安全性的需求 。
