当前位置:文档之家 › 数据安全保护技术综述——访问控制技术

数据安全保护技术综述——访问控制技术

  • 格式:docx
  • 大小:54.81 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

数据隐私保护的方法与技术

数据隐私保护的方法与技术

数据隐私保护的方法与技术随着数字化时代的到来,大量的个人数据被收集和存储,但同时也引发了数据隐私保护的重要问题。

数据隐私保护是指保护个人数据免于被非授权使用、泄露或滥用的一系列技术和方法。

本文将介绍几种常见的数据隐私保护方法与技术,包括加密算法、数据脱敏技术和访问控制机制。

一、加密算法加密算法是一种常用的数据隐私保护方法。

通过对敏感的个人数据进行加密,可以有效防止未经授权的访问。

常见的加密算法包括对称加密算法和非对称加密算法。

1. 对称加密算法对称加密算法使用同一个密钥进行加密和解密,常见的对称加密算法有DES、AES等。

在使用对称加密算法时,数据发送方和接收方需要共享密钥。

数据发送方使用密钥对数据进行加密,然后将加密后的数据发送给接收方,接收方使用密钥进行解密。

由于对称加密算法的加解密速度较快,因此广泛应用于数据传输过程中的数据隐私保护。

2. 非对称加密算法非对称加密算法使用一对密钥,即公钥和私钥。

公钥可以被任何人访问和使用,用于对数据进行加密;私钥只有数据接收方才能使用,用于解密数据。

非对称加密算法的安全性更高,但加解密速度较对称加密算法慢,因此主要用于数据存储和身份验证等场景下的数据隐私保护。

二、数据脱敏技术数据脱敏技术是一种常见的数据隐私保护方法,通过对个人数据进行处理,使得敏感信息无法被还原,以达到保护数据隐私的目的。

常见的数据脱敏技术有如下几种:1. 删除删除是一种最简单的数据脱敏技术,即直接将敏感信息从数据集合中删除。

但这种方法可能导致数据集合的完整性受到影响,不适用于需要保留数据完整性的场景。

2. 替换替换是一种常用的数据脱敏方法,将敏感信息替换为其他不敏感的信息。

例如,将姓名替换为编号、将身份证号替换为星号等。

替换方法可以保留数据完整性,但仍需要注意被替换的信息是否具有可关联性,以免被还原。

3. 屏蔽屏蔽是一种常用的部分数据脱敏方法,只保留数据中的部分信息,而隐藏敏感信息。

例如,只显示身份证号的前几位数字,屏蔽后几位数字。

访问控制技术数据隐藏技术细粒度访问权限SPD安全模块硕士论文

访问控制技术数据隐藏技术细粒度访问权限SPD安全模块硕士论文

Kylin系统中数据隐藏及保护策略的研究与实现软件工程, 2010,硕士【摘要】信息安全环境日益复杂,如何保证信息安全已成为重大战略问题。

操作系统的安全是保证信息安全的基础,为了保证系统中信息的安全,当前几乎所有系统都增强了安全性,无论是windows还是Linux系统,都采用了多种安全策略技术保证系统的安全。

Kylin系统是角色定权系统,设计实现了多种安全策略模块保证系统安全。

Kylin 设计安全数据保护机制,保证内核中与安全相关的数据结构,角色相关的一些配置文件只能由安全管理员通过特定的方式访问、查看。

但是,系统中其他重要安全配置文件,如果需要隐藏等保护,现有安全数据保护策略不能满足要求。

现有ACL机制不能实现私有文件针对管理员用户隐藏及访问权限的控制,不能高效的保护私有文件的安全。

针对上述问题和需求,本文设计实现了SPD(Security Protected Data)安全模块,用以保护系统中重要安全数据及对用户私有数据的保护。

SPD安全模块基于RBA(Rose-based Authorization)安全框架实现,主要包括SSPD(System Security Protected Data)安全策略和USPD(Users Security Protecte... 更多还原【Abstract】 The security environment of information becomemore and more complexly . How to ensure the security of information has become a major strategic issue. As the basis of information security, the Operating System’s safety is veryimportant. Now, almost all of the systems have enhanced safety, both Windows and linux, all use a variety of security policies to enhance the safety of system.Kylin is Role-based Authorization system .Kylin design security policy to ensure that only the security administra... 更多还原【关键词】访问控制技术;数据隐藏技术;细粒度访问权限;SPD 安全模块;【Key words】Access control;data hiding technique;fine-graind access control;SPD Module;摘要9-10ABSTRACT 10第一章绪论12-181.1 引言12-131.2 数据保护策略13-161.2.1 数据存取方式151.2.2 数据保护的层次15-161.3 课题研究内容16-171.3.1 SSPD安全策略161.3.2 USPD安全策略16-171.4 论文组织结构17-18第二章相关研究18-292.1 常见访问控制技术18-222.1.1 自主访问控制策略182.1.2 强制访问控制策略18-202.1.3 基于角色的访问控制策略20-212.1.4 其他访问控制策略及混合策略21-222.2 Linux安全框架22-252.2.1 GFAC框架22-232.2.2 FLASK框架232.2.3 LSM框架23-252.3 银河麒麟操作系统25-262.4 数据隐藏及保护相关的安全软件26-282.4.1 LIDS 272.4.2 Folder-guard 272.4.3 Adore-ng 27-282.5 小结28-29第三章SPD安全模块框架设计29-403.1 SPD安全模块设计思想29-353.1.1 隐藏文件技术分析29-313.1.2 控制文件访问权限技术分析31-323.1.3 SSPD安全策略概述32-333.1.4 USPD安全策略概述33-353.1.5 SPD安全模块设计实现353.2 SPD安全模块隐藏及访问控制流程35-373.3 SPD安全钩子函数37-393.4 本章小结39-40第四章保护系统数据安全的SSPD安全策略40-514.1 SSPD安全策略简介40-414.2 SSPD安全策略设计41-434.2.1 隐藏策略设计思想41-424.2.2 隐藏控制流程42-434.3 SSPD安全策略访问控制43-454.3.1 访问控制设计思想434.3.2 访问控制流程43-454.4 SSPD安全策略实现45-484.4.1 访问权限设计454.4.2 配置文件设置45-464.4.3 内核链表设计46-474.4.4 SSPD主要函数设计与实现47-484.5 SSPD管理工具设计设计48-494.6 SSPD安全策略分析总结49-504.7 本章小结50-51第五章保证私有数据安全的USPD安全策略51-605.1 USPD安全策略简介515.2 USPD设计隐藏控制流程51-535.3 USPD访问控制流程53-545.4 USPD设计与实现54-585.4.1 USPD主要数据结构55-565.4.2 USPD主要函数实现56-575.4.3 USPD管理工具设计57-585.5 USPD安全策略分析总结58-595.6 本章小结59-60第六章SPD安全模块功能与性能测试60-686.1 SSPD安全策略功能测试60-636.2 USPD安全策略功能测试63-646.3 SPD安全模块性能测试64-676.3.1 测试环境646.3.2 UnixBench测试数据64-676.4 本章小结67-68第七章结束语68-707.1 论文工作总结68-697.2 后续工作及展望69-70致谢70-71参考文献。

自主访问控制综述

自主访问控制综述

自主访问控制综述摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。

而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。

本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。

1自主访问控制基本概念访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。

自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。

1.1访问控制基本要素访问控制由最基本的三要素组成:●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、I/O设备等。

●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管道等。

●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集,如访问矩阵、访问控制表等。

1.2访问控制基本模型自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。

本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。

1.2.1引用监控器1972年,作为承担美国军的一项计算机安全规划研究任务的研究成果,J. P. Anderson在一份研究报告中首次提出了用监控器(Reference Monitor)、安全内核(Security Kernel)等重要思想。

谈数据库的安全技术

谈数据库的安全技术

谈数据库的安全技术[摘要]随着计算机技术特别是网络技术的发展,数据库系统中的安全问题日渐突出,这些问题主要是通过数据库管理系统(dbms)的安全机制来解决,特别是访问控制机制。

数据库系统作为计算机信息系统的重要组成部分,数据库文件作为信息的聚集体,担负着存储和管理数据信息的任务,其安全性将是信息安全的重中之重。

这里概述了数据库隐私保护研究的现状,分析了常用的隐私保护技术,包括用户认证、访问控制和推理控制等。

数据库隐私保护访问控制推理控制数据加密定义库安全(database security)是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。

其主要内涵包括三个方面:(1)保密性,不允许未授权的用户存取信息。

(2)完整性,只允许被授权用户修改数据。

(3)可用性,不应拒绝已授权用户对数据的存取访问。

ibm alma den 研究中心的rakesh agrawal领导的研究小组在数据库隐私保护领域一直处于领先地位。

他们在2000年的acmsigmod会议上首次提出了“保护隐私的数据挖掘”概念;在2002年的vldb会议上报告了ibm的隐私保护数据库项目“hippocratic 数据库”的研究情况,这两项工作对于数据库隐私保护的研究具有里程碑意义。

agrawal等提出了数据库隐私保护的10条规则(tenprinciples):(1) 目的定义(purposespecification ):对收集和存储在数据库中的每一条个人信息都应该给出相应的目的描述。

(2) 提供者同意(consent):每一条个人信息的相应目的都应该获得提供者的同意。

(3) 收集限制(limitedcollection):对个人信息的收集应该限制在满足相应目的最小需求内。

(4) 使用限制(limiteduse):数据库仅运行与收集信息的目的相一致的查询。

(5) 泄漏限制(limiteddisclosure):存储在数据库中数据不允许与外界进行与信息提供者同意的目的不符的交流。

数据库访问控制技术研究

数据库访问控制技术研究

中图分 类号 : P 1 编号 :6 36 6 【0 6)2 0 - 17 -0 0 2 0 0  ̄1 1 4 0
Re e r h o t b s c s n r lTe h o o y s a c n Da a a e Ac e s Co to c n l g
20 0 6年 6月
Jn 2 0 u .o 6
Vo . 4 No 2 13 .
数 据 库 访 问控 制 技 术研 究
向 阳 , 玉鹏 , 改梅 魏 王
( 西安通信学院, 陕西 西安 7 00 ) 1 16
摘要: 访问控制是实现数据库安全的核心技术。综述了几种主流访问控制技术, 介绍了最近提出的一种新的访问
XI ANG n e . Ya g, ta1
( i C m nct nIs tt,ia ,h n i 1 16 C i ) X o mu i i tue x’n S a x, 0 0 , hn ao n i 7 a
Absr c A c s o t lstec nrltc n lg ftesc ryo aa ae T i p p rsre ss vrlman ac s o - t a t: c esc nr h e t h oo yo eui fd tb s . hs a e uv y eea i c esc n oi a e h t
其安 全控 制措施 主 要有 信息 流 向控 制 、 推导 控制 、 访 问控 制 , 中应 用最 广且 最 为有效 的是 访 问控制 。 其 访 问控制 ( cesC n o) 就 是 通过 某 种 途 径 A cs ot 1 , r 显式 地准 许或 限制 访 问能 力 及 范 围 , 以限制 对 关 键 资 源 的访 问 , 防止 非 法用 户 的侵 入 或 合法 用 户 的不 慎 操作所 造成 的破 坏 。采用 可靠 的访 问控 制机 制是

访问控制技术研究综述

访问控制技术研究综述

1 访 问控制 一般原 理 在 访 问控 制 中 ,访 问 可 以对 一个 系 统或 在 一个
DA C模 型是 根据 自主访 问策 略 建立 的一种 模型 ,允
系 统 内部进 行 。在 访 问 控制 框 架 内主 要 涉及 请求 访
许 合 法用 户 以用 户或 用 户组 的身份 访 问策 略 规定 的 客 体 ,同 时阻止 非授 权用 户访 问客 体 。DA C模 型 的 主要 特点 是授 权 灵 活 ,系 统 中 的主体 可 以将 其拥 有
控 制模 型 、 当前 比较 流行 的基 于角 色的访 问控 制模 型和 基 于任 务 的 访 问 控 制模 型 ;另 外还 介 绍 了 目前 人 们
研 究 的其 他 几 种 访 问控 制 模 型 ;最后 ,指 出访 问控 制 技 术 的 发展 趋 势 。
关 键 词 : 访 问控 制 ;基 于 角 色的 访 问控 制 :基 于任 务 的访 问控 制
第 2 3卷 第 o 3期 21 年 O 01 3月
农 业 图书 情 报 学 刊 Ju l f ir yadIfr 6 nS i csi Agi l r o  ̄ ba n oma o ce e r ut e oL r n n n c u

Vo . 3 N o 0 1 , 2 .3
(irr, bi nt nvri , a ghn0 3 0 , hn) LbayHee U idU i sy T n sa 6 0 0C ia e e t
Abt c T i atceito u e ec nr le h oo yg n rl r cpe ea o ae eta io a o t l d lc mp rd sr t hs r l r d c dt o t c n lg e ea i il, lb rtdt dt n l nr a i n h o t p n h r i c o mo e, o ae

试述实现数据库安全性控制的常用方法和技术。

试述实现数据库安全性控制的常用方法和技术。

试述实现数据库安全性控制的常用方法和技术。

数据库安全性控制的常用方法和技术包括:1、数据库访问权限控制:它需要遵循特定的访问控制策略,确保不同用户只能访问其被赋予了合理访问权限的数据。

这样在不同用户未被授权访问时,就可以保证数据库的安全性。

2、加密数据库:通过对数据库中存储的数据进行加密,可以有效保护关键数据不被篡改或被非法恢复。

3、索引访问控制:索引访问控制(IAC)的目的是通过实施访问限制,来限制特定用户可以获取数据库中的一些部分数据,并减少可用性和交易完储能力等。

4、审计技术:它的目的是通过对数据库的使用情况进行审查和记录,检查和审核数据库的内部行为行为,以检测安全漏洞以改善数据库安全性。

5、数据存档技术:数据存档技术可以复制保存数据,以备不时之需。

这是灾难恢复过程中的必要步骤,可以确保如果数据库受到破坏,可以从备份的归档文件中恢复正确的数据。

6、反病毒技术:通过监控和扫描数据库可能受到的任何恶意软件,可以保证安全性,一旦发现有病毒感染,可以立即采取应急措施,防止病毒破坏数据库和信息泄露。

7、认证技术:这技术在数据库安全性中起着重要作用。

它需要对每一个访问者进行身份认证,从而可以将访问者分成不同的用户组,给不同用户组不同的权限,最大程度地确保数据的安全性。

8、备份和恢复技术:通过定期制作备份,可以防止数据库数据的丢失或损坏,以及快速恢复损坏的数据库,确保关键数据的完整,准确,有效性和性能。

9、物理控制:对计算机的物理安全是非常重要的。

控制外来访问,防止未经授权的人进入,以及用户访问控制等都是数据库安全性控制策略中的重要一环。

10、特殊删除技术:特殊删除技术是针对敏感信息处理非常重要的一项技术,它可以安全删除敏感信息,以防止重要信息泄露给非法用户,保护数据库的安全。

物联网中的数据隐私保护技术

物联网中的数据隐私保护技术

物联网中的数据隐私保护技术物联网(IoT)是指一系列智能设备连接在一起,通过互联网共享数据和信息。

这些设备包括传感器、监控摄像头、智能家居设备、汽车和其他配备了传感器和联网功能的设备。

随着物联网应用的不断扩大,数据隐私保护问题也越来越受到关注。

数据在物联网中的传输和存储过程中,存在着多种安全风险,例如数据被篡改、窃取、泄露等。

这些风险可能导致个人隐私泄露、财产损失、网络攻击和数据滥用等问题。

因此,物联网中的数据隐私保护技术是至关重要的。

为了保护物联网中的数据安全,以下是一些常见的数据隐私保护技术:1. 加密技术加密技术是通过对数据进行加密和解密来保护数据隐私的一种技术。

在物联网中,加密技术可以用于对传输、存储和处理的数据进行加密操作,来防止数据被黑客窃取和篡改。

常用的加密技术包括对称加密和非对称加密。

对称加密使用相同密钥对数据进行加密和解密,而非对称加密使用公钥和私钥进行加密和解密。

2. 匿名化技术匿名化技术是一种在保护隐私的同时允许数据处理的技术。

该技术可以对数据进行脱敏操作,使得数据个人信息无法直接关联到具体的个人,从而保护用户的隐私。

匿名化技术包括 k-匿名和微分隐私等技术。

其中,k-匿名是一种基于数据聚合的方法,通过将相同属性值的数据进行组合来保护用户的隐私。

微分隐私是一种基于随机化的方法,通过向数据中加入随机噪声来保护用户隐私。

3. 访问控制技术访问控制技术用于限制对数据的访问权限,保护数据免受潜在的滥用。

在物联网中,访问控制技术可以对设备和用户进行身份验证,从而控制他们对数据的访问权限。

访问控制技术包括身份验证、授权、审计等技术。

身份验证是一种确认用户或设备身份的过程,授权是一种对用户或设备进行权限配置的过程,审计是一种记录用户或设备访问数据的过程,以便后续审计和追踪。

4. 区块链技术区块链技术是一种去中心化的分布式账本技术,用于保护数据不被篡改和窃取。

在物联网中,区块链技术可以用于为设备和数据建立安全可信的身份和信任体系,从而保护数据隐私。

数据中心安全物理安全和访问控制策略

数据中心安全物理安全和访问控制策略

数据中心安全物理安全和访问控制策略数据中心是企业存储和处理大量敏感数据的关键基础设施。

为了确保数据的机密性、完整性和可用性,物理安全和访问控制策略在数据中心的设计和运维中起着至关重要的作用。

本文将探讨数据中心的物理安全要求和常用的访问控制策略。

一、数据中心物理安全要求物理安全是保护数据中心免受未授权人员和设备的物理入侵和破坏的关键要素。

以下是数据中心物理安全的常见要求。

1.访问控制数据中心必须实施严格的访问控制措施,防止未经授权的人员进入。

这包括使用门禁系统,仅允许授权人员通过刷卡或生物识别验证进入数据中心区域。

2.视频监控数据中心应设置视频监控系统,全天候监控关键区域,以迅速发现和应对潜在的安全威胁。

监控记录应存储在安全的位置,并根据需要进行定期审计。

3.防火墙和防护设备数据中心必须安装有效的防火墙和防护设备,以阻止恶意网络流量进入数据中心网络。

这些设备可以检测和阻止潜在的攻击,并提供实时告警和日志记录。

4.灭火系统数据中心应配备自动灭火系统,如气体灭火系统或泡沫灭火系统。

这些系统可以在火灾发生时及时抑制火势,减少物质损失和业务中断。

5.稳定供电和冷却系统数据中心的稳定供电和冷却系统是确保设备正常运行的关键。

应采用多个电源和UPS(不间断电源)来防止电力中断,并实施有效的温度和湿度控制措施,以保持设备运行的正常工作环境。

二、数据中心访问控制策略除了物理安全措施外,数据中心还应实施严格的访问控制策略来确保只有授权人员可以访问关键数据和系统。

以下是数据中心常见的访问控制策略。

1.身份验证和授权所有人员进入数据中心前都必须通过身份验证,确保他们是授权人员。

这可以通过刷卡、生物识别、密码等方式进行。

同时,根据员工角色和职责,对其进行适当的权限授予,仅限于其日常工作所需的访问权限。

2.审计日志数据中心应记录所有人员的访问记录,并保存相应的审计日志。

这些日志可以提供追踪和审查人员活动的依据,从而及时发现和应对潜在的安全问题。

数据库管理技术中的数据访问控制与权限管理技巧分享

数据库管理技术中的数据访问控制与权限管理技巧分享

数据库管理技术中的数据访问控制与权限管理技巧分享数据访问控制和权限管理是数据库管理技术中非常重要的一部分。

通过合理的访问控制和权限管理,可以确保数据库中的数据只能被授权的用户访问,从而保护数据的机密性和完整性。

本文将分享一些数据库管理技术中的数据访问控制和权限管理的技巧。

首先,要实施数据访问控制,需要建立一个权限模型。

权限模型定义了数据库中不同用户或用户角色之间的权限关系。

可以使用传统的基于角色的访问控制(RBAC)模型或基于属性的访问控制(ABAC)模型。

RBAC模型通过将用户分配到不同的角色,并为每个角色分配一组特定的权限来实现访问控制。

ABAC模型則基於屬性或條件控制用戶對數據的訪問權限。

选择合适的模型取决于具体的需求和数据库结构。

其次,要合理地管理权限,可以采用细粒度权限控制的策略。

细粒度权限控制意味着在数据库中对每个对象(如表、列、行)甚至每个操作(如插入、更新、删除)设置适当的权限。

该策略可以确保每个用户只能访问其需要的数据,并防止未经授权的操作。

例如,可以为每个数据库用户或角色定义只读、读写或仅限于特定数据范围的权限。

这样可以最大限度地减少安全风险。

临时权限是一种常用的权限管理技巧。

有时,需要临时授予某个用户或角色特定的权限,以完成某些特殊的任务。

在这种情况下,可以使用数据库管理系统提供的临时权限功能来授予用户或角色权限,并在任务完成后自动收回这些权限。

这可以防止权限滥用和降低安全隐患。

审计数据库访问是确保数据安全和追踪操作的重要手段。

通过启用数据库的审计功能,可以记录用户对数据库的所有操作,包括登录、查询和更改等。

审计数据可以用于安全审计,以识别不恰当的访问和操作。

同时,审计数据还可以为实现合规要求提供依据,并提供最终证据,以追责任。

另外,数据访问控制和权限管理也需要与其他安全机制相结合,以建立全面的安全保护措施。

例如,可以使用传输层加密(TLS)协议来保护数据在传输过程中的安全性。

认证授权与访问控制

认证授权与访问控制
MAC = CK(M)

condenses a variable-length message M using a secret key K to a fixed-sized authenticator

is a many-to-one function

potentially many messages have same MAC but finding these needs to be very difficult
front-line defense against intruders users supply both:

login – determines privileges of that user password – to identify them Unix uses multiple DES (variant with salt) more recent systems use crypto hash function
passwords often stored encrypted

Managing Passwords


need policies and good user education ensure every account has a default password ensure users change the default passwords to something they can remember protect password file from general access set technical policies to enforce good passwords
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。数据保密性的理论基础是密码学,而可用性、可控性和完整性是数据安全的重要保障,没有后者提供技术保障,再强的加密算法也难以保证数据的安全。与数据安全密切相关的技术主要有以下几种,每种相关但又有所不同。

1) 访问控制: 该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集;

2) 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围;

3) 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息;

4) 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露; 5) 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。

在上述技术中,访问控制技术占有重要的地位,其中1)、2)、3)均属于访问控制范畴。访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。其中安全模型是访问控制的理论基础,其它技术是则实现安全模型的技术保障。本文侧重论述访问控制技术,有关数据保护技术的其它方面,将逐渐在其它文章中进行探讨。

1. 访问控制 信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问,这些访问控制规则称为安全策略,安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据,安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性)及其与系统行为的关系。建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次,以及为机密性和完整性寻找安全策略,安全模型是构建系统保护的重要依据,同时也是建立和评估安全操作系统的重要依据。

自20世纪70年代起,Denning、Bell、Lapadula等人对信息安全进行了大量的理论研究,特别是1985年美国国防部颁布可信计算机评估标准《TCSEC》以来,系统安全模型得到了广泛的研究,并在各种系统中实现了多种安全模型。这些模型可以分为两大类:一种是信息流模型;另一种是访问控制模型。

信息流模型主要着眼于对客体之间信息传输过程的控制,它是访问控制模型的一种变形。它不校验主体对客体的访问模式,而是试图控制从一个客体到另一个客体的信息流,强迫其根据两个客体的安全属性决定访问操作是否进行。信息流模型和访问控制模型之间差别很小, 但访问控制模型不能帮助系统发现隐蔽通道,而信息流模型通过对信息流向的分析可以发现系统中存在的隐蔽通道并找到相应的防范对策。信息流模型是一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。虽然信息流模型在信息安全的理论分析方面有着优势,但是迄今为止,信息流模型对具体的实现只能提供较少的帮助和指导。

访问控制模型是从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体,以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可以分自主访问控制(DAC)和强制访问控制(MAC)。自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表ACL)来限定哪些主体针对哪些客体可以执行什么操作。如此可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。目前的主流操作系统,如UNIX、Linux和Windows等操作系统都提供自主访问控制功能。自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。强制访问控制系统给主体和客体分配不同的安全属性,而且这些安全属性不像ACL那样轻易被修改,系统通过比较主体和客体的安全属性决定主体是否能够访问客体。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性,但其实现的代价也更大,一般用在安全级别要求比较高的军事上。

随着安全需求的不断发展和变化,自主访问控制和强制访问控制已经不能完全满足需求,研究者提出许多自主访问控制和强制访问控制的替代模型,如基于栅格的访问控制、基于规则的访问控制、基于角色的访问控制模型和基于任务的访问控制等。其中最引人瞩目的是基于角色的访问控制 (RBAC)。其基本思想是:有一组用户集和角色集,在特定的环境里,某一用户被指定为一个合适的角色来访问系统资源;在另外一种环境里,这个用户又可以被指定为另一个的角色来访问另外的网络资源,每一个角色都具有其对应的权限,角色是安全控制策略的核心,可以分层,存在偏序、自反、传递、反对称等关系。与自主访问控制和强制访问控制相比,基于角色的访问控制具有显著优点:首先,它实际上是一种策略无关的访问控制技术。其次,基于角色的访问控制具有自管理的能力。此外,基于角色的访问控制还便于实施整个组织或单位的网络信息系统的安全策略。目前,基于角色的访问控制已在许多安全系统中实现。例如,在亿赛通文档安全管理系统SmartSec(见“文档安全加密系统的实现方式”一文)中,服务器端的用户管理就采用了基于角色的访问控制方式,从而为用户管理、安全策略管理等提供了很大的方便。

随着网络的深入发展,基于Host-Terminal环境的静态安全模型和标准已无法完全反应分布式、动态变化、发展迅速的Internet的安全问题。针对日益严重的网络安全问题和越来突出的安全需求,“可适应网络安全模型”和“动态安全模型”应运而生。基于闭环控制的动态网络安全理论模型在90年代开始逐渐形成并得到了迅速发展,1995年12月美国国防部提出了信息安全的动态模型,即保护(Protection)—检测(Detection)—响应(Response)多环节保障体系,后来被通称为PDR模型。随着人们对PDR模型应用和研究 的深入,PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件,逐渐形成了以安全策略为中心,集防护、检测、响应和恢复于一体的动态安全模型,如图1所示。

图1 PDR扩展模型示意图 PDR模型是一种基于闭环控制、主动防御的动态安全模型,在整体的安全策略控制和指导下,在综合运用防护工具(如防火墙、系统身份认证和加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,将系统调整到“最安全”和“风险最低”的状态。保护、检测、响应和恢复组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息的安全。

1. 访问控制策略

访问控制策略也称安全策略,是用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的关系展开的,在安全策略的制定和实施中,要遵循下列原则:

1) 最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权使用主体的危险。

2) 最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。

3) 多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。

访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则的安全策略。目前使用的两种安全策略,他们建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于DAC安全策略,基于规则的安全策略等同于MAC安全策略。

1.1. 基于身份的安全策略 基于身份的安全策略(IDBACP:Identification-based Access Control Policies)的目的是过滤主体对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体资源。基于身份的策略包括基于个人的策略和基于组的策略。基于身份的安全策略一般采用能力表或访问控制列表进行实现。

1.1.1 基于个人的策略 基于个人的策略(INBACP:Individual-based Access Control Policies)是指以用户为中心建立的一种策略,这种策略由一组列表组成,这些列表限定了针对特定的客体,哪些用户可以实现何种操作行为。

1.1.2 基于组的策略: 基于组的策略(GBACP:Group-based Access Control Policies)是基于个人的策略的扩充,指一些用户(构成安全组)被允许使用同样的访问控制规则访问同样的客体。

1.2. 基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中,数据或资源被标注安全标记(Token)。代表用户进行活动的进程可以得到与其原发者相应的安全标记。基于规则的安全策略在实现上,由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问。 2. 访问控制的实现

由于安全策略是由一系列规则组成的,因此如何表达和使用这些规则是实现访问控制的关键。由于规则的表达和使用有多种方式可供选择,因此访问控制的实现也有多种方式,每种方式均有其优点和缺点,在具体实施中,可根据实际情况进行选择和处理。常用的访问控制有以下几种形式。

2.1. 访问控制表 访问控制表(ACL:Access Control List)是以文件为中心建立的访问权限表,一般称作ACL。其主要优点在于实现简单,对系统性能影响小。它是目前大多数操作系统(如Windows、Linux等)采用的访问控制方式。同时,它也是信息安全管理系统中经常采用的访问控制方式。例如,在亿赛通文档安全管理系统SmartSec中,客户端提供的“文件访问控制”模块就是通过ACL方式进行实现的。

2.2. 访问控制矩阵 访问控制矩阵(ACM:Access Control Matrix)是通过矩阵形式表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,有哪些主体可对它实施访问;将这种关联关系加以描述,就形成了控制矩阵。访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,特别是当用户和文件系统