第六章 访问控制技术第 6章 访问控制技术内容提要:
本章概述
访问控制技术
操作系统安全技术
数据库安全技术
本章小结第六章 访问控制技术本章概述访问控制是实现既定安全策略的系统安全技术,它通过某种途径显式地管理着对所有资源的访问请求 。 根据安全策略的要求,访问控制对每个资源请求做出许可或限制访问的判断,可以有效地防止非法用户访问系统资源和合法用户非法使用资源 。 美国国防部的可信计算机系统评估标准 ( TESEC) 把访问控制作为评价系统安全的主要指标之一 。
返回本章首页第六章 访问控制技术在信息安全领域,操作系统和数据库管理系统的安全是核心问题 。 操作系统安全是整个计算机系统安全的基础,该研究领域自 20世纪 70年代以来,已得到快速的发展 。 其安全机制主要包括两个方面,即访问控制和隔离控制 。 其中,访问控制是其安全机制的关键 。
近年来,数据库系统在应用范围,应用规模和开放程度上不断增强,这使其安全问题变得越来越复杂 。 当前,针对数据库系统采取的安全措施主要有信息流控制,推导控制和访问控制,其中应用最广且最为有效的当属访问控制 。 返回本章首页第六章 访问控制技术
6.1 访问控制技术计算机信息系统访问控制技术最早产生于上个世纪 60年代,随后出现了两种重要的访问控制技术,即自主访问控制 ( Discretionary Access
Control,DAC) 和强制访问控制 ( Mandatory
Access Control,MAC) 。
但是,作为传统访问控制技术,它们已经远远落后于当代系统安全的要求,安全需求的发展对访问控制技术提出了新的要求 。
返回本章首页第六章 访问控制技术
6.1.1 认证、审计与访问控制在讨论传统访问控制技术之前,先就访问控制与认证,审计之间的关系,以及访问控制的概念和内涵进行概要说明 。
在计算机系统种,认证,访问控制和审计共同建立了保护系统安全的基础,如图 6-1所示 。
其中认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对数据信息的访问,它是通过引用监控器实施这种访问控制的 。
返回本章首页第六章 访问控制技术图 6 - 1 访 问 控 制 与 其 他 安 全 服 务 关 系 模 型安 全 管 理 员用 户认 证访 问 控 制审 计引 用 监 控 器客 体授 权 数 据库返回本章首页第六章 访问控制技术区别认证和访问控制是非常重要的 。 正确地建立用户的身份标识是由认证服务实现的 。 在通过引用监控器进行访问控制时,总是假定用户的身份已经被确认,而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制 。
同时要认识到,访问控制不能作为一个完整的策略来解决系统安全,它必须要结合审计而实行 。
审计控制主要关注系统所有用户的请求和活动的事后分析 。
返回本章首页第六章 访问控制技术所谓访问控制 ( Access Control) 就是通过某种途径显式地准许或限制访问能力及范围的一种方法 。 通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏 。 访问控制是实现数据保密性和完整性机制的主要手段 。
返回本章首页第六章 访问控制技术访问控制系统一般包括:
主体 ( subject),指发出访问操作,存取请求的主动方,它包括用户,用户组,终端,主机或一个应用进程,主体可以访问客体 。
客体 ( object),指被调用的程序或欲存取的数据访问,它可以是一个字节,字段,记录,程序,文件,或一个处理器,存储器及网络节点等 。
安全访问政策:也称为授权访问,它是一套规则,用以确定一个主体是否对客体拥有访问能力 。
返回本章首页第六章 访问控制技术在访问控制系统中,区别主体与客体是比较重要的 。 通常主体发起对客体的操作将由系统的授权来决定,并且,一个主体为了完成任务可以创建另外的主体,并由父主体控制子主体 。 此外,
主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成了客体 。
访问控制规定了哪些主体可以访问,以及访问权限的大小,其一般原理如图 6-2所示 。
返回本章首页第六章 访问控制技术图 6 - 2 访 问 控 制 原 理 图访 问控 制实 施功 能客 体主 体决 策 请 求 访 问 决 策访 问 控 制 决 策 功 能返回本章首页第六章 访问控制技术在主体和客体之间加入的访问控制实施模块,
主要用来负责控制主体对客体的访问 。 其中,访问控制决策功能块是访问控制实施功能中最主要的部分,它根据访问控制信息作出是否允许主体操作的决定,这里访问控制信息可以存放在数据库,数据文件中,也可以选择其它存储方法,且要视访问控制信息的多少及安全敏感度而定 。 其原理如图 6-3所示 。
返回本章首页第六章 访问控制技术图 6 - 3 访 问 控 制 决 策 功 能 示 意 图访 问 控 制决 策 功 能客 体 标 记决策请求访问决策主 体 标 记访 问 控 制 政 策上 下 文 信 息返回本章首页第六章 访问控制技术
6.1.2 传统访问控制技术
1,自主访问控制 DAC及其发展
DAC是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及 ( 或 ) 它们所属组的基础上对访问进行限定的一种方法 。 传统的 DAC
最早出现在上个世纪 70年代初期的分时系统中,它是多用户环境下最常用的一种访问控制技术,在目前流行的 Unix类操作系统中被普遍采用 。 其基本思想是,允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型 。
返回本章首页第六章 访问控制技术上个世纪 70年代末,M.H.Harrison,W.L.Ruzzo,
J.D.Ullma等对传统 DAC做出扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的 HRU访问控制模型,并设计了安全管理员管理访问权限扩散的描述语言 。 到了 1992年,
Sandhu等人为了表示主体需要拥有的访问权限,将
HRU模型发展为 TAM( Typed Access Matrix) 模型,
在客体和主体产生时就对访问权限的扩散做出了具体的规定 。
随后,为了描述访问权限需要动态变化的系统安全策略,TAM发展为 ATAM( Augmented TAM) 模型 。
返回本章首页第六章 访问控制技术
2,强制访问控制 MAC及其发展
MAC最早出现在 Multics系统中,在 1983美国国防部的 TESEC中被用作为 B级安全系统的主要评价标准之一 。 MAC的基本思想是:每个主体都有既定的安全属性,每个客体也都有既定安全属性,主体对客体是否能执行特定的操作取决于两者安全属性之间的关系 。
通常所说的 MAC主要是指 TESEC中的 MAC,它主要用来描述美国军用计算机系统环境下的多级安全策略 。
在多级安全策略中,安全属性用二元组 ( 安全级,类别集合 ) 表示,安全级表示机密程度,类别集合表示部门或组织的集合 。
返回本章首页第六章 访问控制技术一般的 MAC都要求主体对客体的访问满足
BLP( Bell and LaPadula) 安全模型的两个基本特性:
( 1) 简单安全性:仅当主体的安全级不低于客体安全及且主体的类别集合包含客体的类别集合时,才允许该主体读该客体 。
( 2) *–特性:仅当主体的安全级不高于客体安全级且客体的类别集合包含主体的类别集合时,
才允许该主体写该客体 。
返回本章首页第六章 访问控制技术为了增强传统 MAC的完整性控制,美国
SecureComputing 公 司 提 出 了 TE( Type
Enforcement) 控 制 技 术,TE 技 术 在
SecureComputing 公 司 开 发 的 安全 操 作系 统
LOCK6中得到了应用 。
Chinese Wall模型是 Brewer和 Nash开发的用于商业领域的访问控制模型,该模型主要用于保护客户信息不被随意泄漏和篡改 。 它是应用在多边安全系统中的安全模型,也即多个组织间的访问控制系统中,以及可能存在利益冲突的组织中 。返回本章首页第六章 访问控制技术
6.1.3 新型访问控制技术
1,基于角色的访问控制 RBAC
RBAC( Role-Based Access Control) 的概念早在 20世纪 70年代就已经提出,但在相当长的一段时间内没有得到人们的关注 。 进入 90年代后,随着安全需求的发展加之 R.S.Sandhu等人的倡导和推动,
RBAC又引起了人们极大的关注,目前美国很多学者和研究机构都在从事这方面的研究,如 NIST
( National Institute of Standard Technology) 和
Geroge Manson 大 学 的 LIST( Laboratory of
Information Security Technololy) 等 。 返回本章首页第六章 访问控制技术自 1995年开始,美国计算机协会 ACM每年都召开 RBAC的专题研讨会来促进 RBAC的研究,图 6-4
给出了 RBAC的结构示意图 。 在 RBAC中,在用户
( user) 和访问许可权 ( permission) 之间引入了角色 ( role) 的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系 。
这里所谓的角色就是一个或是多个用户可执行的操作的集合,它体现了 RBAC的基本思想,即授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定 。
返回本章首页第六章 访问控制技术图 6-4 R B AC 的结构示意图约束角色用户项目角色 项目权限角色分层用户分配会话项目角色分层用户分配项目权限分配权限权限分配返回本章首页第六章 访问控制技术迄今为止已发展了四种 RBAC模型:
( 1) 基本模型 RBAC0,该模型指明用户,角色,
访问权和会话之间的关系;
( 2) 层次模型 RBAC1,该模型是偏序的,上层角色可继承下层角色的访问权;
( 3) 约束模型 RBAC2,该模型除包含 RBAC0的所有基本特性外,增加了对 RBAC0的所有元素的约束检查,只有拥有有效值的元素才可被接受;
( 4) 层次约束模型 RBAC3,该模型兼有 RBAC1和
RBAC2的特点 。
返回本章首页第六章 访问控制技术
RBAC具有五个明显的特点:
( 1) 以角色作为访问控制的主体
( 2) 角色继承
( 3) 最小权限原则
( 4) 职责分离
( 5) 角色容量与 DAC和 MAC相比,RBAC具有明显的优越性,
RBAC基于策略无关的特性,使其几乎可以描述任何安全策略,甚至 DAC和 MAC也可以用 RBAC来描述 。
返回本章首页第六章 访问控制技术
2,基于任务的访问控制 TBAC
TBAC( Task-Based Access Control) 是一种新的安全模型,从应用和企业层角度来解决安全问题
( 而非已往从系统的角度 ) 。 它采用,面向任务,
的观点,从任务 ( 活动 ) 的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理 。 在 TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化,这是我们称其为主动安全模型的原因 。
返回本章首页第六章 访问控制技术
3,基于组机制的访问控制
1988年,R.S.Sandhu等人提出了基于组机制的 NTree访问控制模型,之后该模型又得到了进一步扩充,相继产生了多维模型 N_Grid和倒树影模型 。 NTree模型的基础是偏序的维数理论,
组的层次关系由维数为 2的偏序关系 ( 即 NTree
树 ) 表示,通过比较组节点在 NTree中的属性决定资源共享和权限隔离 。
返回本章首页第六章 访问控制技术
6.1.4 访问控制的实现技术访问控制的实现技术是指为了检测和防止系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段 。 访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法 。
访问控制矩阵 ( Access Control Matrix) 是最初实现访问控制技术的概念模型 。
返回本章首页第六章 访问控制技术由于访问控制矩阵较大,并且会因许多主体对于大多数客体不能访问而造成矩阵变得过于稀疏,
这显然不利于执行访问控制操作,因此,现实系统中通常不使用访问控制矩阵,但可在访问控制矩阵的基础上实现其它访问控制模型,这主要包括:
基于访问控制表 ( Access Control Lists) 的访问控制实现技术;
基于能力关系表 ( Capabilities Lists) 的访问控制实现技术;
基于权限关系表 ( Authorization Relation) 的访问控制实现技术 。 返回本章首页第六章 访问控制技术
6.1.5 安全访问规则(授权)的管理授权的管理决定谁能被授权修改允许的访问,
这可能是访问控制中最重要且又不易理解的特性之一 。
与访问控制技术相对应,通常有三类授权管理问题,即 ( 1) 强制访问控制的授权管理,
( 2) 自主访问控制的授权管理,以及 ( 3) 角色访问控制强的授权管理 。
返回本章首页第六章 访问控制技术
6.2 操作系统安全技术随着计算机技术的飞速发展和大规模应用 。
一方面,现实世界依赖计算机系统的程度越来越高,另一方面计算机系统的安全问题也越来越突出 。 AT&T实验室的 S.Bellovin博士曾对美国
CERT( Computer Emergency Response Team,
CERT) 提供的安全报告进行分析,结果表明,
大约有一半的计算机网络安全问题是由软件工程中的安全缺陷引起的,而操作系统的安全脆弱性则是问题的根源之一 。
返回本章首页第六章 访问控制技术
6.2.1 操作系统安全准则访问控制的实现技术是指为了检测和防止系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段 。 访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法 。
访问控制矩阵 ( Access Control Matrix) 是最初实现访问控制技术的概念模型 。
返回本章首页第六章 访问控制技术
1,操作系统的安全需求所谓安全的系统是指能够通过系统的安全机制控制只有系统授权的用户或代表授权用户的进程才允许读,
写,删,改信息 。 具体来说,共有六个方面的基本需求:
( 1) 安全策略 。
( 2) 标记 。
( 3) 鉴别 。
( 4) 责任 。
( 5) 保证 。
( 6) 连续保护 。
返回本章首页第六章 访问控制技术
2,可信计算机系统评价准则从 80年代开始,国际上很多组织开始研究并发布计算机系统的安全性评价准则,最有影响和代表的是美国国防部制定的可信计算机系统评价准则,即 TCSEC( Trusted Computer System
Evaluation Criteria) 。
在上述六种需求中,( 1),( 2) 属于策略类,( 3),( 4) 属于责任类,( 5),( 6) 属于保证类 。
返回本章首页第六章 访问控制技术根据这些需求,TCSEC将评价准则划分为四类,
每一类中又细分了不同的级别:
D类:不细分级别;
C类,C1级,C2级;
B类,B1级,B2级,B3级;
A类,A1级;
其中,D类的安全级别最低,A类最高,高级别包括低级别的所有功能,同时又实现一些新的内容 。 实际工作中,主要通过测试系统与安全相关的部分来确定这些系统的设计和实现是否正确与完全,一个系统与安全相关的部分通常称之为可信基 ——TCB( Trusted
Computing Base) 。 返回本章首页第六章 访问控制技术
6.2.2 操作系统安全防护的一般方法
1,威胁系统资源安全的因素威胁系统资源安全的因素除设备部件故障外,
还有以下几种情况:
( 1) 用户的误操作或不合理地使用了系统提供的命令,造成对资源的不期望的处理 。 ( 2) 恶意用户设法获取非授权的资源访问权 。 ( 3) 恶意破坏系统资源或系统的正常运行 。 ( 4) 破坏资源的完整性与保密性 。 ( 5) 用户之间的相互干扰 。
返回本章首页第六章 访问控制技术
2,操作系统隔离控制安全措施隔离控制的方法主要有下列四种 。
( 1) 隔离 。
( 2) 时间隔离 。
( 3) 逻辑隔离 。
( 4) 加密隔离 。
这几种隔离措施实现的复杂性是逐步递增的,
而它们的安全性则是逐步递减的,前两种方法的安全性是比较高的,后两种隔离方法主要依赖操作系统的功能实现 。
返回本章首页第六章 访问控制技术
3,操作系统访问控制安全措施在操作系统中为了提高安全级别,通常采用一些比较好的访问控制措施以提高系统的整体安全性,尤其是针对多用户,多任务的网络操作系统 。
常用的访问控制措施有,( 1) 自主访问控制 DAC,( 2) 强制访问控制 MAC,( 3) 基于角色的访问控制 RBAC,( 4) 域和类型执行的访问控制 DTE。
返回本章首页第六章 访问控制技术
6.2.3 操作系统资源防护技术对操作系统的安全保护措施,其主要目标是保护操作系统中的各种资源,具体地讲,就是针对操作系统的登录控制,内存管理,文件系统这三个主要方面实施安全保护 。
1,系统登录和用户管理的安全
( 1) 登录控制要严格 。
( 2) 系统的口令管理 。
( 3) 良好的用户管理 。
返回本章首页第六章 访问控制技术
2,内存管理的安全常用的内存保护技术有:
( 1) 单用户内存保护问题 。
( 2) 多道程序的保护 。
( 3) 标记保护法 。
( 4) 分段与分页技术 。
返回本章首页第六章 访问控制技术
3,文件系统的安全
( 1) 分组保护 。
( 2) 许可权保护 。
( 3) 指定保护 。
除了上面三个方面的安全保护措施之外,操作系统的其它资源如各种外设,网络系统等也都需要实施比较安全的保护措施,但它们的最终安全防护可以归结为上面三个方面的操作系统资源安全保护机制 。
返回本章首页第六章 访问控制技术
6.2.4 操作系统的安全模型
1,安全模型的作用安全模型的几个特性,① 精确的,无歧义的;
② 简易和抽象的,易于理解; ③ 一般性的,只涉及安全性质,不过度地抑制操作系统的功能或其实现; ④ 是安全策略的明显表现 。
2,监控器模型
3,多级安全模型
4,信息流模型返回本章首页第六章 访问控制技术
5,安全模型小结保护操作系统的安全模型,除了上面我们介绍的具体模型之外,还有另外一类模型称之为抽象模型,它们以一般的可计算性理论为基础,可以形式地表述一个安全系统能达到什么样的性能 。
这样的模型有 Graham-Denning模型,Harrison-
Ruzzo-Ullman模型 ( HRU模型 ) 和获取 -授予系统模型 。
返回本章首页第六章 访问控制技术
6.2.5 Unix/Linux操作系统的安全
1,Linux系统的基本安全机制
( 1) PAM机制
( 2) 入侵检测机制
( 3) 文件加密机制
( 4) 安全日志文件机制
( 5) 防火墙机制返回本章首页第六章 访问控制技术
2,Linux系统的安全策略和防范措施
Linux网络系统既可能受到来自网络外部黑客的攻击,也可能遇到网络内部合法用户的越权使用,Linux网络系统管理员一定要为网络系统制定有效的安全策略,只有采取有效的防范措施,
才能保证网络系统的安全 。
( 1) Linux系统的安全策略
( 2) Linux系统安全的防范措施返回本章首页第六章 访问控制技术
6.2.6 Windows NT的安全漏洞及其对策
1,Windows NT系统的安全模型
Windows NT的结构是层次结构和客户机 /服务器结构的混合体,除了与硬件直接相关的部分由汇编语言实现外,其余主要部分是用 C语言编写的 。
Windows NT用对象模型管理其资源,因此,在
Windows NT中使用对象而不是资源 。
Windows NT的设计目标是 TCSEC的 C2级 。 C2
级系统必须在用户级实现自主访问控制,必须提供审计访问对象的机制,此外还须实现客体重用 。 其系统结构如图 6-10所示 。 返回本章首页第六章 访问控制技术图 6-10 Windows NT系统结构 返回本章首页第六章 访问控制技术
2,Windows NT安全漏洞实例及其解决方法安全漏洞 1,安全帐号管理 ( SAM) 数据库可以被 Administrator帐户,Administrator组中的所有成员,备份操作员,服务器操作员以及所有具有备份特权的人员复制 。
安全漏洞 2,SAM数据库和其它 NT服务器文件能被 NT 的 SMB 所 读取,SMB 是 指服务器消 息
( Server Message Block),是 Microsoft早期 LAN
产品的一种继承协议 。
……
返回本章首页第六章 访问控制技术
6.3 数据库安全技术信息技术的核心是信息处理,而数据库技术正是当前信息处理的中流砥柱,担负着储存和操纵信息的使命 。
由于数据库安全技术中涉及的有关访问控制模型和信息完整性模型在本章前面的讨论中较多述及,这里也不再单独讨论 。 下面重点介绍构建安全数据库管理系统的体系结构以及数据库的安全机制等问题 。
返回本章首页第六章 访问控制技术
6.3.1 数据库安全的层次分布一般来说,数据库安全涉及五个层次 。
( 1) 物理层:必须物理地保护计算机系统所处的所有节点,以防入侵者强行闯入或暗中潜入;
( 2) 人员层:要谨慎用户授权,以减少授权用户接受贿赂而给入侵者提供访问机会的可能;
( 3) 操作系统层:操作系统安全性方面的弱点总是可能成为对数据库进行未授权访问的手段;
返回本章首页第六章 访问控制技术
( 4) 网络层:几乎所有数据库系统都允许通过终端或网络进行远程访问,网络层安全性和物理层安全性一样重要;
( 5) 数据库系统层:数据库中有重要程度和敏感程度不同的各种数据,并为拥有不同授权的用户所共享,数据库系统必须遵循授权限制 。
返回本章首页第六章 访问控制技术
6.3.2 安全 DBMS体系结构通常所说的可信 DBMS指 MLS( 多级安全 )
DBMS。 因其存储的数据具有不同的敏感性 ( 安全 ) 级别,MLS DBMS中的关系也称多级关系 。
目前研究的可信 DBMS体系结构基本上分为两大类,TCB子集 DBMS体系和可信主体 DBMS
体系 。
返回本章首页第六章 访问控制技术
1,TCB子集 DBMS体系结构
TCB子集 DBMS使用位于 DBMS外部的可信计算基 ( 通常是可信操作系统或可信网络 ) 执行对数据库客体的强制访问控制 。 该体系把多级数据库客体按安全属性分解成单级断片 ( 属性相同的数据库客体属于同一个断片 ),分别物理隔离存储在操作系统客体中 。 每个操作系统客体的安全属性就是存储于其中的数据库客体的安全属性 。 然后,TCB对这些隔离的单级客体实施 MAC。
返回本章首页第六章 访问控制技术这种体系的最简单方案是把多级数据库分解成单级元素,安全属性相同的元素存储在一个单级操作系统客体中 。 使用时,先初始化一个运行于用户安全级的 DBMS进程,通过操作系统实施的强制访问控制策略,DBMS仅访问不超过该级别的客体 。 然后,DBMS从同一个关系中把元素连接起来,重构成多级元组,返回给用户 ( 见图 6-12所示 ) 。
返回本章首页第六章 访问控制技术图 6 - 1 2 T C B 子 集 D B M S 体 系 结 构可 信 操 作 系 统高 安 全 类 D B M S 进 程 低 安 全 类 D B M S 进 程高 安 全 类 用 低 安 全 类 用高 安 全 类 数 据 库 断 低 安 全 类 数 据 库 断返回本章首页第六章 访问控制技术
2,可信 主体 DBMS体系结构可信主体 DBMS体系结构与 TCB子集 DBMS
体系结构大不相同,它自己执行强制访问控制 。
该体系按逻辑结构分解多级数据库,并存储在若干个单级操作系统客体中 。 但每个单级操作系统客体中可同时存储多种级别的数据库客体 ( 如数据库,关系,视图,元组或元素 ),并与其中最高级别数据库客体的敏感性级别相同 。
返回本章首页第六章 访问控制技术图 6-13是可信主体 DBMS体系结构的一种简单方案 。 DBMS软件仍然运行于可信操作系统之上,所有对数据库的访问都必须经由可信 DBMS。
图 6 - 1 3 可 信 主 体 D B M S 体 系 结 构可 信 操 作 系 统用 户 应 用高 安 全 类 数 据 库 文 件可 信 主 体 D B M S
返回本章首页第六章 访问控制技术
6.3.3 数据库安全机制根据各安全机制主要针对的目标,表 6-2对其进行了粗略分类 。
返回本章首页第六章 访问控制技术
6.3.4 Oracle的安全机制
Oracle是关系数据库的倡导者和先驱,是标准
SQL数据库语言的产品 。 自 1979年推出以来,它受到社会的广泛关注 。 近 20年来,Oracle不断将先进的数据库技术融入其中,并极有预见性地领导着全球数据库技术的发展 。 Oracle在数据库管理,数据完整性检查,数据库查询性能,数据安全性方面都具有强大的功能,而且它还在保密机制,备份与恢复,空间管理,开放式连接以及开发工具等方面提供了不同手段和方法 。
返回本章首页第六章 访问控制技术
Oracle多用户的客户 /服务器体系结构的数据库管理系统中包括的安全机制可以控制对某个数据库的访问方式,可以防止未授权的数据库访问,防止对具体对象的未授权访问,控制磁盘及系统资源 ( 如 CPU时间 ) 的分配和使用,稽核用户行为等 。 这些机制的具体实现主要是由数据库管理员 ( DBA) 和开发人员完成的 。
返回本章首页第六章 访问控制技术
6.4 本章小结访问控制 ( Access Control) 就是通过某种途径显式地准许或限制访问能力及范围的一种方法 。 访问控制作为信息安全保障机制的核心内容和评价系统安全的主要指标,被广泛应用于操作系统,文件访问,数据库管理以及物理安全等多个方面,它是实现数据保密性和完整性机制的主要手段 。
传统访问控制技术主要有自主访问控制 DAC和强制访问控制 MAC两种,新型访问控制技术有三种,即基于角色的访问控制 RBAC,基于任务的访问控制 TBAC
和基于组机制的访问控制 。 访问控制有访问控制矩阵,
访问控制表,能力关系表,权限关系表等实现方法 。返回本章首页第六章 访问控制技术操作系统在计算机系统安全中扮演极为重要的角色,一方面它直接为用户数据提供各种保护机制,另一方面为应用程序提供可靠的运行环境,
保证应用程序的各种安全机制正常发挥作用 。
操作系统的隔离控制方法主要有四种:隔离,
时间隔离,逻辑隔离和加密隔离 。
访问控制安全措施也有四种,即自主访问控制 DAC,强制访问控制 MAC,基于角色的访问控制 RBAC,以及域和类型执行的访问控制 DTE。
返回本章首页第六章 访问控制技术对操作系统的安全保护措施,其主要目标是保护操作系统中的各种资源,具体地讲,就是针对操作系统的登录控制,内存管理,文件系统这三个主要方面实施安全保护 。
数据库技术自 60年代产生至今,已得到快速的发展和广泛的应用 。 当前的数据库安全学说在数据库安全模型,访问控制,数据加密,密钥管理,并发控制,审计跟踪等方面都还没有形成明确的主流技术策略,因此,数据库安全技术研究任重道远 。
返回本章首页第六章 访问控制技术本章到此结束,谢谢!
本章概述
访问控制技术
操作系统安全技术
数据库安全技术
本章小结第六章 访问控制技术本章概述访问控制是实现既定安全策略的系统安全技术,它通过某种途径显式地管理着对所有资源的访问请求 。 根据安全策略的要求,访问控制对每个资源请求做出许可或限制访问的判断,可以有效地防止非法用户访问系统资源和合法用户非法使用资源 。 美国国防部的可信计算机系统评估标准 ( TESEC) 把访问控制作为评价系统安全的主要指标之一 。
返回本章首页第六章 访问控制技术在信息安全领域,操作系统和数据库管理系统的安全是核心问题 。 操作系统安全是整个计算机系统安全的基础,该研究领域自 20世纪 70年代以来,已得到快速的发展 。 其安全机制主要包括两个方面,即访问控制和隔离控制 。 其中,访问控制是其安全机制的关键 。
近年来,数据库系统在应用范围,应用规模和开放程度上不断增强,这使其安全问题变得越来越复杂 。 当前,针对数据库系统采取的安全措施主要有信息流控制,推导控制和访问控制,其中应用最广且最为有效的当属访问控制 。 返回本章首页第六章 访问控制技术
6.1 访问控制技术计算机信息系统访问控制技术最早产生于上个世纪 60年代,随后出现了两种重要的访问控制技术,即自主访问控制 ( Discretionary Access
Control,DAC) 和强制访问控制 ( Mandatory
Access Control,MAC) 。
但是,作为传统访问控制技术,它们已经远远落后于当代系统安全的要求,安全需求的发展对访问控制技术提出了新的要求 。
返回本章首页第六章 访问控制技术
6.1.1 认证、审计与访问控制在讨论传统访问控制技术之前,先就访问控制与认证,审计之间的关系,以及访问控制的概念和内涵进行概要说明 。
在计算机系统种,认证,访问控制和审计共同建立了保护系统安全的基础,如图 6-1所示 。
其中认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对数据信息的访问,它是通过引用监控器实施这种访问控制的 。
返回本章首页第六章 访问控制技术图 6 - 1 访 问 控 制 与 其 他 安 全 服 务 关 系 模 型安 全 管 理 员用 户认 证访 问 控 制审 计引 用 监 控 器客 体授 权 数 据库返回本章首页第六章 访问控制技术区别认证和访问控制是非常重要的 。 正确地建立用户的身份标识是由认证服务实现的 。 在通过引用监控器进行访问控制时,总是假定用户的身份已经被确认,而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制 。
同时要认识到,访问控制不能作为一个完整的策略来解决系统安全,它必须要结合审计而实行 。
审计控制主要关注系统所有用户的请求和活动的事后分析 。
返回本章首页第六章 访问控制技术所谓访问控制 ( Access Control) 就是通过某种途径显式地准许或限制访问能力及范围的一种方法 。 通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏 。 访问控制是实现数据保密性和完整性机制的主要手段 。
返回本章首页第六章 访问控制技术访问控制系统一般包括:
主体 ( subject),指发出访问操作,存取请求的主动方,它包括用户,用户组,终端,主机或一个应用进程,主体可以访问客体 。
客体 ( object),指被调用的程序或欲存取的数据访问,它可以是一个字节,字段,记录,程序,文件,或一个处理器,存储器及网络节点等 。
安全访问政策:也称为授权访问,它是一套规则,用以确定一个主体是否对客体拥有访问能力 。
返回本章首页第六章 访问控制技术在访问控制系统中,区别主体与客体是比较重要的 。 通常主体发起对客体的操作将由系统的授权来决定,并且,一个主体为了完成任务可以创建另外的主体,并由父主体控制子主体 。 此外,
主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成了客体 。
访问控制规定了哪些主体可以访问,以及访问权限的大小,其一般原理如图 6-2所示 。
返回本章首页第六章 访问控制技术图 6 - 2 访 问 控 制 原 理 图访 问控 制实 施功 能客 体主 体决 策 请 求 访 问 决 策访 问 控 制 决 策 功 能返回本章首页第六章 访问控制技术在主体和客体之间加入的访问控制实施模块,
主要用来负责控制主体对客体的访问 。 其中,访问控制决策功能块是访问控制实施功能中最主要的部分,它根据访问控制信息作出是否允许主体操作的决定,这里访问控制信息可以存放在数据库,数据文件中,也可以选择其它存储方法,且要视访问控制信息的多少及安全敏感度而定 。 其原理如图 6-3所示 。
返回本章首页第六章 访问控制技术图 6 - 3 访 问 控 制 决 策 功 能 示 意 图访 问 控 制决 策 功 能客 体 标 记决策请求访问决策主 体 标 记访 问 控 制 政 策上 下 文 信 息返回本章首页第六章 访问控制技术
6.1.2 传统访问控制技术
1,自主访问控制 DAC及其发展
DAC是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及 ( 或 ) 它们所属组的基础上对访问进行限定的一种方法 。 传统的 DAC
最早出现在上个世纪 70年代初期的分时系统中,它是多用户环境下最常用的一种访问控制技术,在目前流行的 Unix类操作系统中被普遍采用 。 其基本思想是,允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型 。
返回本章首页第六章 访问控制技术上个世纪 70年代末,M.H.Harrison,W.L.Ruzzo,
J.D.Ullma等对传统 DAC做出扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的 HRU访问控制模型,并设计了安全管理员管理访问权限扩散的描述语言 。 到了 1992年,
Sandhu等人为了表示主体需要拥有的访问权限,将
HRU模型发展为 TAM( Typed Access Matrix) 模型,
在客体和主体产生时就对访问权限的扩散做出了具体的规定 。
随后,为了描述访问权限需要动态变化的系统安全策略,TAM发展为 ATAM( Augmented TAM) 模型 。
返回本章首页第六章 访问控制技术
2,强制访问控制 MAC及其发展
MAC最早出现在 Multics系统中,在 1983美国国防部的 TESEC中被用作为 B级安全系统的主要评价标准之一 。 MAC的基本思想是:每个主体都有既定的安全属性,每个客体也都有既定安全属性,主体对客体是否能执行特定的操作取决于两者安全属性之间的关系 。
通常所说的 MAC主要是指 TESEC中的 MAC,它主要用来描述美国军用计算机系统环境下的多级安全策略 。
在多级安全策略中,安全属性用二元组 ( 安全级,类别集合 ) 表示,安全级表示机密程度,类别集合表示部门或组织的集合 。
返回本章首页第六章 访问控制技术一般的 MAC都要求主体对客体的访问满足
BLP( Bell and LaPadula) 安全模型的两个基本特性:
( 1) 简单安全性:仅当主体的安全级不低于客体安全及且主体的类别集合包含客体的类别集合时,才允许该主体读该客体 。
( 2) *–特性:仅当主体的安全级不高于客体安全级且客体的类别集合包含主体的类别集合时,
才允许该主体写该客体 。
返回本章首页第六章 访问控制技术为了增强传统 MAC的完整性控制,美国
SecureComputing 公 司 提 出 了 TE( Type
Enforcement) 控 制 技 术,TE 技 术 在
SecureComputing 公 司 开 发 的 安全 操 作系 统
LOCK6中得到了应用 。
Chinese Wall模型是 Brewer和 Nash开发的用于商业领域的访问控制模型,该模型主要用于保护客户信息不被随意泄漏和篡改 。 它是应用在多边安全系统中的安全模型,也即多个组织间的访问控制系统中,以及可能存在利益冲突的组织中 。返回本章首页第六章 访问控制技术
6.1.3 新型访问控制技术
1,基于角色的访问控制 RBAC
RBAC( Role-Based Access Control) 的概念早在 20世纪 70年代就已经提出,但在相当长的一段时间内没有得到人们的关注 。 进入 90年代后,随着安全需求的发展加之 R.S.Sandhu等人的倡导和推动,
RBAC又引起了人们极大的关注,目前美国很多学者和研究机构都在从事这方面的研究,如 NIST
( National Institute of Standard Technology) 和
Geroge Manson 大 学 的 LIST( Laboratory of
Information Security Technololy) 等 。 返回本章首页第六章 访问控制技术自 1995年开始,美国计算机协会 ACM每年都召开 RBAC的专题研讨会来促进 RBAC的研究,图 6-4
给出了 RBAC的结构示意图 。 在 RBAC中,在用户
( user) 和访问许可权 ( permission) 之间引入了角色 ( role) 的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系 。
这里所谓的角色就是一个或是多个用户可执行的操作的集合,它体现了 RBAC的基本思想,即授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定 。
返回本章首页第六章 访问控制技术图 6-4 R B AC 的结构示意图约束角色用户项目角色 项目权限角色分层用户分配会话项目角色分层用户分配项目权限分配权限权限分配返回本章首页第六章 访问控制技术迄今为止已发展了四种 RBAC模型:
( 1) 基本模型 RBAC0,该模型指明用户,角色,
访问权和会话之间的关系;
( 2) 层次模型 RBAC1,该模型是偏序的,上层角色可继承下层角色的访问权;
( 3) 约束模型 RBAC2,该模型除包含 RBAC0的所有基本特性外,增加了对 RBAC0的所有元素的约束检查,只有拥有有效值的元素才可被接受;
( 4) 层次约束模型 RBAC3,该模型兼有 RBAC1和
RBAC2的特点 。
返回本章首页第六章 访问控制技术
RBAC具有五个明显的特点:
( 1) 以角色作为访问控制的主体
( 2) 角色继承
( 3) 最小权限原则
( 4) 职责分离
( 5) 角色容量与 DAC和 MAC相比,RBAC具有明显的优越性,
RBAC基于策略无关的特性,使其几乎可以描述任何安全策略,甚至 DAC和 MAC也可以用 RBAC来描述 。
返回本章首页第六章 访问控制技术
2,基于任务的访问控制 TBAC
TBAC( Task-Based Access Control) 是一种新的安全模型,从应用和企业层角度来解决安全问题
( 而非已往从系统的角度 ) 。 它采用,面向任务,
的观点,从任务 ( 活动 ) 的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理 。 在 TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化,这是我们称其为主动安全模型的原因 。
返回本章首页第六章 访问控制技术
3,基于组机制的访问控制
1988年,R.S.Sandhu等人提出了基于组机制的 NTree访问控制模型,之后该模型又得到了进一步扩充,相继产生了多维模型 N_Grid和倒树影模型 。 NTree模型的基础是偏序的维数理论,
组的层次关系由维数为 2的偏序关系 ( 即 NTree
树 ) 表示,通过比较组节点在 NTree中的属性决定资源共享和权限隔离 。
返回本章首页第六章 访问控制技术
6.1.4 访问控制的实现技术访问控制的实现技术是指为了检测和防止系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段 。 访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法 。
访问控制矩阵 ( Access Control Matrix) 是最初实现访问控制技术的概念模型 。
返回本章首页第六章 访问控制技术由于访问控制矩阵较大,并且会因许多主体对于大多数客体不能访问而造成矩阵变得过于稀疏,
这显然不利于执行访问控制操作,因此,现实系统中通常不使用访问控制矩阵,但可在访问控制矩阵的基础上实现其它访问控制模型,这主要包括:
基于访问控制表 ( Access Control Lists) 的访问控制实现技术;
基于能力关系表 ( Capabilities Lists) 的访问控制实现技术;
基于权限关系表 ( Authorization Relation) 的访问控制实现技术 。 返回本章首页第六章 访问控制技术
6.1.5 安全访问规则(授权)的管理授权的管理决定谁能被授权修改允许的访问,
这可能是访问控制中最重要且又不易理解的特性之一 。
与访问控制技术相对应,通常有三类授权管理问题,即 ( 1) 强制访问控制的授权管理,
( 2) 自主访问控制的授权管理,以及 ( 3) 角色访问控制强的授权管理 。
返回本章首页第六章 访问控制技术
6.2 操作系统安全技术随着计算机技术的飞速发展和大规模应用 。
一方面,现实世界依赖计算机系统的程度越来越高,另一方面计算机系统的安全问题也越来越突出 。 AT&T实验室的 S.Bellovin博士曾对美国
CERT( Computer Emergency Response Team,
CERT) 提供的安全报告进行分析,结果表明,
大约有一半的计算机网络安全问题是由软件工程中的安全缺陷引起的,而操作系统的安全脆弱性则是问题的根源之一 。
返回本章首页第六章 访问控制技术
6.2.1 操作系统安全准则访问控制的实现技术是指为了检测和防止系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段 。 访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法 。
访问控制矩阵 ( Access Control Matrix) 是最初实现访问控制技术的概念模型 。
返回本章首页第六章 访问控制技术
1,操作系统的安全需求所谓安全的系统是指能够通过系统的安全机制控制只有系统授权的用户或代表授权用户的进程才允许读,
写,删,改信息 。 具体来说,共有六个方面的基本需求:
( 1) 安全策略 。
( 2) 标记 。
( 3) 鉴别 。
( 4) 责任 。
( 5) 保证 。
( 6) 连续保护 。
返回本章首页第六章 访问控制技术
2,可信计算机系统评价准则从 80年代开始,国际上很多组织开始研究并发布计算机系统的安全性评价准则,最有影响和代表的是美国国防部制定的可信计算机系统评价准则,即 TCSEC( Trusted Computer System
Evaluation Criteria) 。
在上述六种需求中,( 1),( 2) 属于策略类,( 3),( 4) 属于责任类,( 5),( 6) 属于保证类 。
返回本章首页第六章 访问控制技术根据这些需求,TCSEC将评价准则划分为四类,
每一类中又细分了不同的级别:
D类:不细分级别;
C类,C1级,C2级;
B类,B1级,B2级,B3级;
A类,A1级;
其中,D类的安全级别最低,A类最高,高级别包括低级别的所有功能,同时又实现一些新的内容 。 实际工作中,主要通过测试系统与安全相关的部分来确定这些系统的设计和实现是否正确与完全,一个系统与安全相关的部分通常称之为可信基 ——TCB( Trusted
Computing Base) 。 返回本章首页第六章 访问控制技术
6.2.2 操作系统安全防护的一般方法
1,威胁系统资源安全的因素威胁系统资源安全的因素除设备部件故障外,
还有以下几种情况:
( 1) 用户的误操作或不合理地使用了系统提供的命令,造成对资源的不期望的处理 。 ( 2) 恶意用户设法获取非授权的资源访问权 。 ( 3) 恶意破坏系统资源或系统的正常运行 。 ( 4) 破坏资源的完整性与保密性 。 ( 5) 用户之间的相互干扰 。
返回本章首页第六章 访问控制技术
2,操作系统隔离控制安全措施隔离控制的方法主要有下列四种 。
( 1) 隔离 。
( 2) 时间隔离 。
( 3) 逻辑隔离 。
( 4) 加密隔离 。
这几种隔离措施实现的复杂性是逐步递增的,
而它们的安全性则是逐步递减的,前两种方法的安全性是比较高的,后两种隔离方法主要依赖操作系统的功能实现 。
返回本章首页第六章 访问控制技术
3,操作系统访问控制安全措施在操作系统中为了提高安全级别,通常采用一些比较好的访问控制措施以提高系统的整体安全性,尤其是针对多用户,多任务的网络操作系统 。
常用的访问控制措施有,( 1) 自主访问控制 DAC,( 2) 强制访问控制 MAC,( 3) 基于角色的访问控制 RBAC,( 4) 域和类型执行的访问控制 DTE。
返回本章首页第六章 访问控制技术
6.2.3 操作系统资源防护技术对操作系统的安全保护措施,其主要目标是保护操作系统中的各种资源,具体地讲,就是针对操作系统的登录控制,内存管理,文件系统这三个主要方面实施安全保护 。
1,系统登录和用户管理的安全
( 1) 登录控制要严格 。
( 2) 系统的口令管理 。
( 3) 良好的用户管理 。
返回本章首页第六章 访问控制技术
2,内存管理的安全常用的内存保护技术有:
( 1) 单用户内存保护问题 。
( 2) 多道程序的保护 。
( 3) 标记保护法 。
( 4) 分段与分页技术 。
返回本章首页第六章 访问控制技术
3,文件系统的安全
( 1) 分组保护 。
( 2) 许可权保护 。
( 3) 指定保护 。
除了上面三个方面的安全保护措施之外,操作系统的其它资源如各种外设,网络系统等也都需要实施比较安全的保护措施,但它们的最终安全防护可以归结为上面三个方面的操作系统资源安全保护机制 。
返回本章首页第六章 访问控制技术
6.2.4 操作系统的安全模型
1,安全模型的作用安全模型的几个特性,① 精确的,无歧义的;
② 简易和抽象的,易于理解; ③ 一般性的,只涉及安全性质,不过度地抑制操作系统的功能或其实现; ④ 是安全策略的明显表现 。
2,监控器模型
3,多级安全模型
4,信息流模型返回本章首页第六章 访问控制技术
5,安全模型小结保护操作系统的安全模型,除了上面我们介绍的具体模型之外,还有另外一类模型称之为抽象模型,它们以一般的可计算性理论为基础,可以形式地表述一个安全系统能达到什么样的性能 。
这样的模型有 Graham-Denning模型,Harrison-
Ruzzo-Ullman模型 ( HRU模型 ) 和获取 -授予系统模型 。
返回本章首页第六章 访问控制技术
6.2.5 Unix/Linux操作系统的安全
1,Linux系统的基本安全机制
( 1) PAM机制
( 2) 入侵检测机制
( 3) 文件加密机制
( 4) 安全日志文件机制
( 5) 防火墙机制返回本章首页第六章 访问控制技术
2,Linux系统的安全策略和防范措施
Linux网络系统既可能受到来自网络外部黑客的攻击,也可能遇到网络内部合法用户的越权使用,Linux网络系统管理员一定要为网络系统制定有效的安全策略,只有采取有效的防范措施,
才能保证网络系统的安全 。
( 1) Linux系统的安全策略
( 2) Linux系统安全的防范措施返回本章首页第六章 访问控制技术
6.2.6 Windows NT的安全漏洞及其对策
1,Windows NT系统的安全模型
Windows NT的结构是层次结构和客户机 /服务器结构的混合体,除了与硬件直接相关的部分由汇编语言实现外,其余主要部分是用 C语言编写的 。
Windows NT用对象模型管理其资源,因此,在
Windows NT中使用对象而不是资源 。
Windows NT的设计目标是 TCSEC的 C2级 。 C2
级系统必须在用户级实现自主访问控制,必须提供审计访问对象的机制,此外还须实现客体重用 。 其系统结构如图 6-10所示 。 返回本章首页第六章 访问控制技术图 6-10 Windows NT系统结构 返回本章首页第六章 访问控制技术
2,Windows NT安全漏洞实例及其解决方法安全漏洞 1,安全帐号管理 ( SAM) 数据库可以被 Administrator帐户,Administrator组中的所有成员,备份操作员,服务器操作员以及所有具有备份特权的人员复制 。
安全漏洞 2,SAM数据库和其它 NT服务器文件能被 NT 的 SMB 所 读取,SMB 是 指服务器消 息
( Server Message Block),是 Microsoft早期 LAN
产品的一种继承协议 。
……
返回本章首页第六章 访问控制技术
6.3 数据库安全技术信息技术的核心是信息处理,而数据库技术正是当前信息处理的中流砥柱,担负着储存和操纵信息的使命 。
由于数据库安全技术中涉及的有关访问控制模型和信息完整性模型在本章前面的讨论中较多述及,这里也不再单独讨论 。 下面重点介绍构建安全数据库管理系统的体系结构以及数据库的安全机制等问题 。
返回本章首页第六章 访问控制技术
6.3.1 数据库安全的层次分布一般来说,数据库安全涉及五个层次 。
( 1) 物理层:必须物理地保护计算机系统所处的所有节点,以防入侵者强行闯入或暗中潜入;
( 2) 人员层:要谨慎用户授权,以减少授权用户接受贿赂而给入侵者提供访问机会的可能;
( 3) 操作系统层:操作系统安全性方面的弱点总是可能成为对数据库进行未授权访问的手段;
返回本章首页第六章 访问控制技术
( 4) 网络层:几乎所有数据库系统都允许通过终端或网络进行远程访问,网络层安全性和物理层安全性一样重要;
( 5) 数据库系统层:数据库中有重要程度和敏感程度不同的各种数据,并为拥有不同授权的用户所共享,数据库系统必须遵循授权限制 。
返回本章首页第六章 访问控制技术
6.3.2 安全 DBMS体系结构通常所说的可信 DBMS指 MLS( 多级安全 )
DBMS。 因其存储的数据具有不同的敏感性 ( 安全 ) 级别,MLS DBMS中的关系也称多级关系 。
目前研究的可信 DBMS体系结构基本上分为两大类,TCB子集 DBMS体系和可信主体 DBMS
体系 。
返回本章首页第六章 访问控制技术
1,TCB子集 DBMS体系结构
TCB子集 DBMS使用位于 DBMS外部的可信计算基 ( 通常是可信操作系统或可信网络 ) 执行对数据库客体的强制访问控制 。 该体系把多级数据库客体按安全属性分解成单级断片 ( 属性相同的数据库客体属于同一个断片 ),分别物理隔离存储在操作系统客体中 。 每个操作系统客体的安全属性就是存储于其中的数据库客体的安全属性 。 然后,TCB对这些隔离的单级客体实施 MAC。
返回本章首页第六章 访问控制技术这种体系的最简单方案是把多级数据库分解成单级元素,安全属性相同的元素存储在一个单级操作系统客体中 。 使用时,先初始化一个运行于用户安全级的 DBMS进程,通过操作系统实施的强制访问控制策略,DBMS仅访问不超过该级别的客体 。 然后,DBMS从同一个关系中把元素连接起来,重构成多级元组,返回给用户 ( 见图 6-12所示 ) 。
返回本章首页第六章 访问控制技术图 6 - 1 2 T C B 子 集 D B M S 体 系 结 构可 信 操 作 系 统高 安 全 类 D B M S 进 程 低 安 全 类 D B M S 进 程高 安 全 类 用 低 安 全 类 用高 安 全 类 数 据 库 断 低 安 全 类 数 据 库 断返回本章首页第六章 访问控制技术
2,可信 主体 DBMS体系结构可信主体 DBMS体系结构与 TCB子集 DBMS
体系结构大不相同,它自己执行强制访问控制 。
该体系按逻辑结构分解多级数据库,并存储在若干个单级操作系统客体中 。 但每个单级操作系统客体中可同时存储多种级别的数据库客体 ( 如数据库,关系,视图,元组或元素 ),并与其中最高级别数据库客体的敏感性级别相同 。
返回本章首页第六章 访问控制技术图 6-13是可信主体 DBMS体系结构的一种简单方案 。 DBMS软件仍然运行于可信操作系统之上,所有对数据库的访问都必须经由可信 DBMS。
图 6 - 1 3 可 信 主 体 D B M S 体 系 结 构可 信 操 作 系 统用 户 应 用高 安 全 类 数 据 库 文 件可 信 主 体 D B M S
返回本章首页第六章 访问控制技术
6.3.3 数据库安全机制根据各安全机制主要针对的目标,表 6-2对其进行了粗略分类 。
返回本章首页第六章 访问控制技术
6.3.4 Oracle的安全机制
Oracle是关系数据库的倡导者和先驱,是标准
SQL数据库语言的产品 。 自 1979年推出以来,它受到社会的广泛关注 。 近 20年来,Oracle不断将先进的数据库技术融入其中,并极有预见性地领导着全球数据库技术的发展 。 Oracle在数据库管理,数据完整性检查,数据库查询性能,数据安全性方面都具有强大的功能,而且它还在保密机制,备份与恢复,空间管理,开放式连接以及开发工具等方面提供了不同手段和方法 。
返回本章首页第六章 访问控制技术
Oracle多用户的客户 /服务器体系结构的数据库管理系统中包括的安全机制可以控制对某个数据库的访问方式,可以防止未授权的数据库访问,防止对具体对象的未授权访问,控制磁盘及系统资源 ( 如 CPU时间 ) 的分配和使用,稽核用户行为等 。 这些机制的具体实现主要是由数据库管理员 ( DBA) 和开发人员完成的 。
返回本章首页第六章 访问控制技术
6.4 本章小结访问控制 ( Access Control) 就是通过某种途径显式地准许或限制访问能力及范围的一种方法 。 访问控制作为信息安全保障机制的核心内容和评价系统安全的主要指标,被广泛应用于操作系统,文件访问,数据库管理以及物理安全等多个方面,它是实现数据保密性和完整性机制的主要手段 。
传统访问控制技术主要有自主访问控制 DAC和强制访问控制 MAC两种,新型访问控制技术有三种,即基于角色的访问控制 RBAC,基于任务的访问控制 TBAC
和基于组机制的访问控制 。 访问控制有访问控制矩阵,
访问控制表,能力关系表,权限关系表等实现方法 。返回本章首页第六章 访问控制技术操作系统在计算机系统安全中扮演极为重要的角色,一方面它直接为用户数据提供各种保护机制,另一方面为应用程序提供可靠的运行环境,
保证应用程序的各种安全机制正常发挥作用 。
操作系统的隔离控制方法主要有四种:隔离,
时间隔离,逻辑隔离和加密隔离 。
访问控制安全措施也有四种,即自主访问控制 DAC,强制访问控制 MAC,基于角色的访问控制 RBAC,以及域和类型执行的访问控制 DTE。
返回本章首页第六章 访问控制技术对操作系统的安全保护措施,其主要目标是保护操作系统中的各种资源,具体地讲,就是针对操作系统的登录控制,内存管理,文件系统这三个主要方面实施安全保护 。
数据库技术自 60年代产生至今,已得到快速的发展和广泛的应用 。 当前的数据库安全学说在数据库安全模型,访问控制,数据加密,密钥管理,并发控制,审计跟踪等方面都还没有形成明确的主流技术策略,因此,数据库安全技术研究任重道远 。
返回本章首页第六章 访问控制技术本章到此结束,谢谢!
