访问控制粒度
‘壹’ Xp操作系统安全等级划分
1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能
力随着安全保护等级的增高,逐渐增强。2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所
示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的
可能性。GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一
定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2 计算机信息系统可信计算基 trusted computing base of computer information
system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。3.3 客体 object信息的载体。3.4 主体 subject引起信息在客体之间流动的人、进程或设备等。3.5 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访
问控制决策的依据。3.6 安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道 channel系统内的信息传输路径。3.8 隐蔽信道 covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。3.9 访问监控器 reference monitor监控主体和客体之间授权访问关系的部件。4 等级划分准则4.1 第一级 用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能
力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用
户和用户组信息,避免其他用户对数据的非法读写与破坏。4.1.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。4.1.2 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴闷友别数据。4.1.3 数据完整性计算机信息系统可信计算基通过自主完整敬罩拍性策略,阻止非授权用户修改或破坏敏感信
息。4.2 第二级 系统审计保护级与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问
控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。4.2.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只
允许由授权用户指定对客体的访问权。4.2.2 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机
制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户
提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统
可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。4.2.3 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问
权时,当前主体不能获得原主体活动所产生的任何信息。4.2.4 审计计算机信息系统可信计算基能亮羡创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的
来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录
包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。4.2.5 数据完整性计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信
息。4.3 第三级 安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安
全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出
信息的能力;消除通过测试发现的任何错误。4.3.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;
阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只
允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。4.3.2 强制访问控制计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设
备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类
别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以
上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅
当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级
类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分
类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中
的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴
别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该
用户的安全级和授权的控制。4.3.3 标记计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、
段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数
据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机
信息系统可信计算基审计。 4.3.4 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与
该用户所有可审计行为相关联的能力。4.3.5 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。4.3.6 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请
求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输
出记号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。4.3.7 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏
感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。4.4 第四级 结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它
要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通
道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算
机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完
整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了
配置管理控制。系统具有相当的抗渗透能力。4.4.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
非授用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒
度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。4.4.2 强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、
存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记
是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计
算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的
等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能
读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级
中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统
可信计算基使用身份和鉴别数据,鉴别用户的身份,保护用户创建的计算机信息系统可信计
算基外部主体的安全级和授权受该用户的安全级和授权的控制。4.4.3 标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资
源(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
数据的安全级别,且可由计算机信息系统可信计算基审计。4.4.4 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
用户所有可审计行为相关联的能力。4.4.5 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。4.4.6 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址
空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安
全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请
求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计
记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出
记号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。4.4.7 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权用户修改或破坏敏
感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。4.4.8 隐蔽信道分析系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信
道的最大带宽。4.4.9 可信路径对用户的初始登录和鉴别,计算机信息系统可信计算基在它与用户之间提供可信通信路
径。该路径上的通信只能由该用户初始化。4.5 第五级 访问验证保护级本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的
全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控
器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的
代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职
能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很
高的抗渗透能力。4.5.1 自主访问控制计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制
(例如:访问控制表)允许命名用户和(或)以用户组的身份规定并控制客体的共享;阻止
非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制
的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客
体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。4.5.2 强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、
存储客体和输入输出资源)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记
是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计
算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
客体的直接或间接的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的
等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能
读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级
中的非等级类别包含了客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统
可信计算基使用身份和鉴别数据,鉴别用户的身份,保证用户创建的计算机信息系统可信计
算基外部主体的安全级和授权受该用户的安全级和授权的控制。4.5.3 标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源
(例如:主体、存储客体、只读存储器)相关的敏感标记。这些标记是实施强制访问的基
础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些
数据的安全级别,且可由计算机信息系统可信计算基审计。4.5.4 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机
信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
可信计算基使用这些数据,鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身
份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可
信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
用户所有可审计行为相关联的能力。4.5.5 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配
一个主体之前,撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权
时,当前主体不能获得原主体活动所产生的任何信息。4.5.6 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间
(例如:打开文件、程序出始化);删除客体;由操作员、系统管理员或(和)系统安全管
理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件
的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的
来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录
包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记
号的能力。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接
口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。 计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈
值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积
累,系统应以最小的代价中止它们。4.5.7 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信
息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。4.5.8 隐蔽信道分析系统开发者应彻底搜索隐蔽信道,并根据实际测量或工程估算确定每一个被标识信道的
最大带宽。4.5.9 可信路径当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户
之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活,
且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。4.5.10 可信恢复计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以
进行不损害任何安全保护性能的恢复。
‘贰’ 什么算是信息系统整体访问控制策略
信息系统整体的安全运行。
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
谈到访问控制.首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件 某个数据库.数据库中的某个表 甚至库表中的某个记录或字段等。一般来讲 对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。
所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将 授予其他用户访问权限 的权限转
让给别的用户。需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色 并进行访问授权 而在其后通过”授权转让 将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。
所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La pala模型(也称多级安全模型)。该模
型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴
作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安
全策略 比如 角色授权管理 。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作.由系统安全员统一进行授权。当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。
与访问控制相关联的另一个十分重要的概念是 用户一主体绑定 。这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程.它在不同时间段为不同的用户服务 因而无法为其设置固定的敏感标记。通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户
‘叁’ 安卓系统的自主访问控制和强制访问控制是怎么操作的
自主访问控制
自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问权。自主访问控制是在确认主体身份以及(或)它们所属的组的基础上,控制主体的活动,实施用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他们的资源,亦即主体有自主的决定权,一个主体可以有选择地与其它主体共享他的资源。
基于访问控制矩阵的访问控制表(ACL)是DAC中通常采用一种的安全机制。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控制用户访问企业数据。对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。当用户数量多、管理数据量大时,由于访问控制的粒度是单个用
户,ACL会很庞大。当组织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。
DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(ACL)。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。DAC的缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。
强制访问控制
为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。目前,在系统中访问控制矩阵本身,都不是完整地存储起来,因为矩阵中的许多元素常常为空。空元素将会造成存储空间的浪费,而且查找某个元素会耗费很多时间。实际上常常是基于矩阵的行或列来表达访问控制信息。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。
为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
Top Secret),秘密级(Secret),机密级(Confidential)及无级别级(Unclassified)。其级别为T>S>C>U,系统根据主体和客体的敏感标记来决定访问模式。访问模式包括:
read down):用户级别大于文件级别的读操作;
Write up):用户级别小于文件级别的写操作;
Write down):用户级别等于文件级别的写操作;
read up):用户级别小于文件级别的读操作;
自主访问控制不能抵御“特洛伊木马”攻击,而强制访问控制能够有效的防御“特洛伊木马”攻击。MAC最主要的优势是它阻止特洛伊木马的能力 一个特洛伊木马是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体的权限违反安全策略 通过伪装成有用的程序在进程中泄露信息 一个特洛伊木马能够以两种方式泄露信息: 直接与非直接泄露 前者, 特洛伊木马以这样一种方式工作, 使信息的安全标示不正确并泄露给非授权用户; 后者特洛伊木马通过以下方式非直接地泄露信息: 在返回给一个主体的合法信息中编制 例如: 可能表面上某些提问需要回答, 而实际上用户回答的内容被传送给特洛伊木马。
‘肆’ 自主访问控制的概述
自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制是自主的,即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。
自主访问控制是一种比较宽松的访问控制,一个主题的访问权限具有传递性。
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。
实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。
自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
‘伍’ 什么叫粗粒度控制,什么又叫细粒度控制
客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件
‘陆’ 什么是淘宝自主访问!
自主访问是指用户可以按照自己的意愿,通过在浏览器输入网址或者通过淘宝收藏夹的链接,或者通过其他推广方式的链接直接对淘宝某店铺进行访问,也就是我们通过链接进入店铺或者商品,而不是通过搜索进入。
淘宝的自主访问是淘宝店铺的一种流量来源,用户通过淘宝网内搜索、收藏夹点击、购物车点击、微淘点击等方式进入淘宝店铺。
(6)访问控制粒度扩展阅读:
淘宝自主访问的几个方式:
1、店铺收藏:访客通过于收藏夹的店铺收藏进入店铺。
2、宝贝收藏:访客通过收藏的宝贝进入店铺。
3、我的淘宝首页:访客从我的淘宝首页点击进入店铺。
3、已买到商品:访客从已买到的宝贝页面点击后进入你的店铺。
4、直接访问:访客通过输入店铺地址或者通过浏览器收藏夹等直接进入你的店铺。
5、购物车:访客通过购物车进入你的店铺。
自主访问大多数都是为老客户或者有下单意愿的客户
‘柒’ 为什么基于密码学地细粒度访问控制仍然有研究和应用的必要呢
大数据安全的基础, 就是基于密码学的访问控制. 这种访问控制技术依赖于密钥的安全性, 不需要可信监控机, 传统的基于引用监控机的访问控制不能适应庞大的数据量的需求, 出现难以管理和耗费大量资源的窘境, 因此基于密码学的访问控制技术就是数据时代的必由之路.
分类
基于密码学的访问控制主要有两大类
基于密钥管理的访问控制, 通过确保数据解密密钥只有授权用户持有来实现, 通常依靠可信密钥管理服务器实现. 不过这种方法同可信监控机一样不适用于大数据环境, 但是有一种广播加密技术提供解决方案.
基于属性加密的访问控制, 不带可信监控机的ABAC模型, 将属性集合作为公钥, 只有符合属性集合的用户才能解密数据. 衍生有两种, 基于密钥策略的属性加密(Key Policy Attribute-Based Encryption, KP-ABE)和基于密文策略的属性加密(Ciphertext Policy Attribute-Based Encryption, CP-ABE)
‘捌’ 访问控制技术的安全策略
访问控制的安全策略是指在某个自治区域内(属于某个组织的一系列处理和通信资源范畴),用于所有与安全相关活动的一套访问控制规则。由此安全区域中的安全权力机构建立,并由此安全控制机构来描述和实现。访问控制的安全策略有三种类型:基于身份的安全策略、基于规则的安全策略和综合访问控制方式。 访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。
(1)最小特权原则。在主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。优点是最大限度地限制了主体实施授权行为,可避免来自突发事件、操作错误和未授权主体等意外情况的危险。为了达到一定目的,主体必须执行一定操作,但只能做被允许的操作,其他操作除外。这是抑制特洛伊木马和实现可靠程序的基本措施。
(2)最小泄露原则。主体执行任务时,按其所需最小信息分配权限,以防泄密。
(3)多级安全策略。主体和客体之间的数据流向和权限控制,按照安全级别的绝密(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U)5级来划分。其优点是避免敏感信息扩散。具有安全级别的信息资源,只有高于安全级别的主体才可访问。
在访问控制实现方面,实现的安全策略包括8个方面:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。 授权行为是建立身份安全策略和规则安全策略的基础,两种安全策略为:
1)基于身份的安全策略
主要是过滤主体对数据或资源的访问。只有通过认证的主体才可以正常使用客体的资源。这种安全策略包括基于个人的安全策略和基于组的安全策略。
(1)基于个人的安全策略。是以用户个人为中心建立的策略,主要由一些控制列表组成。这些列表针对特定的客体,限定了不同用户所能实现的不同安全策略的操作行为。
(2)基于组的安全策略。基于个人策略的发展与扩充,主要指系统对一些用户使用同样的访问控制规则,访问同样的客体。
2)基于规则的安全策略
在基于规则的安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记。系统通过比较用户的安全级别和客体资源的安全级别,判断是否允许用户进行访问。这种安全策略一般具有依赖性与敏感性。 综合访问控制策略(HAC)继承和吸取了多种主流访问控制技术的优点,有效地解决了信息安全领域的访问控制问题,保护了数据的保密性和完整性,保证授权主体能访问客体和拒绝非授权访问。HAC具有良好的灵活性、可维护性、可管理性、更细粒度的访问控制性和更高的安全性,为信息系统设计人员和开发人员提供了访问控制安全功能的解决方案。综合访问控制策略主要包括:
1)入网访问控制
入网访问控制是网络访问的第一层访问控制。对用户可规定所能登入到的服务器及获取的网络资源,控制准许用户入网的时间和登入入网的工作站点。用户的入网访问控制分为用户名和口令的识别与验证、用户账号的默认限制检查。该用户若有任何一个环节检查未通过,就无法登入网络进行访问。
2)网络的权限控制
网络的权限控制是防止网络非法操作而采取的一种安全保护措施。用户对网络资源的访问权限通常用一个访问控制列表来描述。
从用户的角度,网络的权限控制可分为以下3类用户:
(1)特殊用户。具有系统管理权限的系统管理员等。
(2)一般用户。系统管理员根据实际需要而分配到一定操作权限的用户。
(3)审计用户。专门负责审计网络的安全控制与资源使用情况的人员。
3)目录级安全控制
目录级安全控制主要是为了控制用户对目录、文件和设备的访问,或指定对目录下的子目录和文件的使用权限。用户在目录一级制定的权限对所有目录下的文件仍然有效,还可进一步指定子目录的权限。在网络和操作系统中,常见的目录和文件访问权限有:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、控制权限(Access Control)等。一个网络系统管理员应为用户分配适当的访问权限,以控制用户对服务器资源的访问,进一步强化网络和服务器的安全。
4)属性安全控制
属性安全控制可将特定的属性与网络服务器的文件及目录网络设备相关联。在权限安全的基础上,对属性安全提供更进一步的安全控制。网络上的资源都应先标示其安全属性,将用户对应网络资源的访问权限存入访问控制列表中,记录用户对网络资源的访问能力,以便进行访问控制。
属性配置的权限包括:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。安全属性可以保护重要的目录和文件,防止用户越权对目录和文件的查看、删除和修改等。
5)网络服务器安全控制
网络服务器安全控制允许通过服务器控制台执行的安全控制操作包括:用户利用控制台装载和卸载操作模块、安装和删除软件等。操作网络服务器的安全控制还包括设置口令锁定服务器控制台,主要防止非法用户修改、删除重要信息。另外,系统管理员还可通过设定服务器的登入时间限制、非法访问者检测,以及关闭的时间间隔等措施,对网络服务器进行多方位地安全控制。
6)网络监控和锁定控制
在网络系统中,通常服务器自动记录用户对网络资源的访问,如有非法的网络访问,服务器将以图形、文字或声音等形式向网络管理员报警,以便引起警觉进行审查。对试图登入网络者,网络服务器将自动记录企图登入网络的次数,当非法访问的次数达到设定值时,就会将该用户的账户自动锁定并进行记载。
7)网络端口和结点的安全控制
网络中服务器的端口常用自动回复器、静默调制解调器等安全设施进行保护,并以加密的形式来识别结点的身份。自动回复器主要用于防范假冒合法用户,静默调制解调器用于防范黑客利用自动拨号程序进行网络攻击。还应经常对服务器端和用户端进行安全控制,如通过验证器检测用户真实身份,然后,用户端和服务器再进行相互验证。
‘玖’ 什么是java类的访问权限
在解释访问权限控制之前,先看一个场景。在学生信息管理系统中,有两个类,分别是学生类和课程类,课程类提供了课程表和课程安排两个方法,学生类可以调用课程类提供的课程表查看课程安排,但不能调用课程安排方法,该如何处理,此时就可以利用访问权限来进行控制。
在Java中,提供了四种访问权限控制:默认访问权限(包访问权限),public,private以及protected。
默认访问权限(default):即不加任何访问修饰符,通常称为“默认访问模式“。该模式下,只允许在同一个包中进行访问。
private: 对访问权限限制的最窄的修饰符,一般称之为“私有的”。被其修饰的类、属性以及方法只能被该类的对象访问,其子类不能访问,更不能允许跨包访问。
protect: 介于public 和 private 之间的一种访问修饰符,一般称之为“保护的”。被其修饰的类、属性以及方法只能被类本身的方法及子类访问,即使子类在不同的包中也可以访问。
public: Java语言中访问限制最宽的修饰符,一般称之为“公共的”。被其修饰的类、属性以及方法不仅可以跨类访问,而且允许跨包(package)访问。下表列出了四种访问权限的控制粒度:
packagecom.cxh.test1;
classPeople{//默认访问权限(包访问权限)
privateStringname=null;
publicPeople(Stringname)
{
this.name=name;
}
publicStringgetName(){
returnname;
}
publicvoidsetName(Stringname)
{
this.name=name;
}
}
从代码可以看出,修饰People类采用的是默认访问权限,而由于People类和Main类在同一个包中,因此People类对于Main类是可见的。
‘拾’ 虚拟防火墙支持黑白名单的细粒度访问控制吗
支持。根竖谨喊据查询相关资料显示,虚拟防火墙是虚拟私有云的晌睁安全服务,对一个或多个子网进行访问控制,支持黑白名单的细粒度访问余野控制。细粒度的访问控制功能数据库防火墙权限管控基于主体、客体和行为三元组进行设置。