信息安全工程师软考(7):访问控制
访问控制概述
访问控制定义
- 核心要素:包含主体(用户/进程/应用程序)、客体(文件/服务/数据)、授权(访问方式)和控制(访问决策)
- 授权机制:明确访问者对资源对象的操作权限,如文件可读/写/删除/追加,邮件服务可接收/发送
- 控制决策:包含三种基本判断结果:拒绝访问、授权许可、禁止操作
访问控制目标
- 通过认证机制防止非法用户进入系统
- 通过权限管理阻止合法用户越权操作
实现访问控制目标
- 实现流程:
- 身份认证(前置条件)
- 权限授予(核心环节)
- 审计监控(事后保障)
- 协同机制:与认证、审计构成三位一体安全体系:
- 认证解决"你是谁"
- 访问控制解决"你能做什么"
- 审计记录"你做了什么"
访问控制模型
- 访问控制的组成要素
- 主体(Subject,操作的实施者)
- 客体(Object,被操作的对象)
- 参考监视器(Reference Monitor,访问控制的决策单元和执行单元的集合体)
- 访问控制数据库(记录访问权限及其访问方式,提供访问控制决策判断的依据)
- 审计库(存储主体访问客体的操作信息,如访问成功、失败等)
- 常见访问控制模型
- 基础模型(重点):操作系统/数据库常用
- 自主访问控制(DAC):权限由资源所有者决定
- 强制访问控制(MAC):多级安全系统采用,权限由系统强制规定
- 基于角色访问控制(RBAC):按职务角色分配权限(如管理员/普通用户)
- 扩展模型(理解应用):
- 基于属性(ABAC):利用用户属性控制(如性别限制厕所访问)
- 基于地理位置:移动APP位置授权
- 基于时间:实现时段限制(如上班时间禁止视频流量)
- 基于行为:上网行为管理(拦截非法网站访问)
- 基于使用:用于知识产权保护、隐私保护、敏感信息安全限制(每次使用需重新授权)
- 基础模型(重点):操作系统/数据库常用
访问控制模型
自主访问控制(DAC)
- 定义: 指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。
- 实现方式:
- 基于行的自主访问控制:能力表、前缀表、口令
- 基于列的自主访问控制:保护位、访问控制列表(ACL)
- 行/列区别:
- 基于行:如张三能访问网页、数据库、视频
- 基于列:如Web服务中张三可访问,李四不可访问
- 特点:
- 优点: 用户可自行设置权限,机制简单灵活
- 缺点: 依赖用户安全意识和技能,无法满足高安全需求
强制访问控制(MAC)
- 定义: 根据主体和客体的安全属性,强制控制访问行为。
- 访问条件:
- 进程安全级别 ≥ 客体安全级别
- 进程范畴 ⊇ 文件范畴
- 关键要素:
- 安全级别: 如绝密/机密/秘密等级
- 范畴: 分类标签(如部门、项目等)
- 对比DAC:
- 严格性: 系统强制实施,非用户自主设置
- 适用场景: 政府/军事/金融等高安全领域
基于角色的访问控制(RBAC)
- 核心要素:用户(U)、角色®(类似用户分组)、会话(S)、权限§
- 工作原理:权限→角色→用户三级关联
- 优势:
- 管理效率: 通过角色批量管理用户权限
- 最小特权: 可精确控制权限范围
- 职责分离: 不同角色承担不同任务
基于属性的访问控制(ABAC)
- 决策要素:
- 主体属性(如年龄、职位)
- 客体属性(如文件密级)
- 环境条件(如时间、位置)
- 访问策略
- 典型示例:
- R18影片
- 工作时间外禁止访问财务系统
- 特点:
- 灵活性: 支持多维度条件组合
- 动态性: 可实时响应环境变化
访问控制策略
- 核心功能:规定访问资源的权限,防止资源损失、泄密或非法使用
- 设计要求:
- 安全需求区分:需区分内部/外部用户的不同权限需求
- 信息确认:需明确通信端口号、IP地址等应用相关信息
- 传播授权:需制定信息安全级别和分类标准
- 策略一致性:不同系统的访问控制策略需保持统一
- 合规要求:需符合数据保护法规和合同义务
- 权限维护:需建立权限更新机制
- 规则制定原则:
- 白名单机制:必须采用"未经明确允许的都是禁止的"原则(安全性更高)
- 变更记录:需记录信息标记和用户许可的变更情况
- 审批流程:新规则颁布前需管理人员批准
访问控制规则
- 规则本质:访问约束条件集合
- 主要类型:
- 身份验证:基于用户身份(如用户名)的访问控制
- 角色分配:基于用户组(如管理员组、访客组)的访问控制
- 地址过滤:基于IP/MAC地址或域名的访问控制
- 时间限制:基于时间段的访问控制
- 异常防护:基于异常事件(如3次登录失败后冻结账户)
- 负载均衡:基于服务数量(达到阈值时拒绝新请求)
访问控制过程
- 实施目的:保护系统资产,防止非法访问和越权操作
- 实施步骤:
- 明确资产:明确需保护的网络设备和服务
- 分析需求:评估资产的CIA需求(机密性、完整性、可用性)
- 制定策略:确定访问规则和权限分配方案
- 实施控制:配置身份认证系统和访问授权
- 运行维护:持续监控和调整访问策略
访问控制安全管理
- 最小特权管理:每个用户仅拥有完成任务所需的最小权限集
- 特权分配原则:按需使用
- 用户访问管理
- 全周期管理:
- 用户登记 → 权限分配 → 访问记录 → 权限监测 → 权限取消 → 用户撤销
- 管理重点:建立完整的用户权限生命周期管理流程
- 全周期管理:
- 口令安全管理
- 设置规范:
- 复杂度:至少8字符,包含大小写字母、数字和特殊字符
- 唯一性:禁止使用与账号相同的口令
- 默认防护:必须更换系统默认口令
- 使用管理:
- 限制登录次数(建议3次)
- 禁止账号/口令共享
- 禁止明文传输口令
- 口令文件需加密,仅超级用户可读
- 更新机制:
- 时效性:定期强制修改口令
- 历史检查:禁止重用近期口令
- 安全检查:
- 定期使用破解工具检测弱口令/空口令
- 设置规范:
访问控制产品
4A系统
- 核心概念: 4A指认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit)
- 平台特性:
- 中文名称为统一安全管理平台
- 集中提供账号管理、认证服务、授权控制和审计功能
- 采用基于角色的访问控制(RBAC)方法便于账号授权管理
- 技术特点:
- 集成访问控制机制和认证功能
- 提供多种访问控制服务
- 重点掌握4A的英文缩写和中文全称
安全网关
- 核心功能:对网络通信连接服务进行访问控制
- 典型产品:
- 防火墙
- 统一威胁管理(UTM)
- 下一代防火墙(NGFW)
系统安全增强
- 核心技术: 采用强制访问控制(MAC)技术
- 防护对象:
- 操作系统安全增强(如SELinux)
- 数据库系统安全防护
- 主要目的: 防止特权滥用
- 典型应用:
- Linux的SELinux
- Windows操作系统加固
访问控制技术应用
- 物理访问控制:
- 门禁系统
- 个人证件(人脸识别/指纹识别)
- 物理安全区域划分
- 网络访问控制:
- 网络接入控制(需认证上网)
- 网络通信连接控制(出口防火墙过滤)
- 网络区域划分(如校园网分区)
- 网络路由控制
- 网络节点控制
- 操作系统访问控制:
- 文件读写控制(自主访问控制)
- 进程/内存访问控制(强制访问控制)
- 数据库访问控制:
- 数据库表创建权限
- 数据生成与分发控制
- 应用系统访问控制:
- 业务操作权限控制
- 业务系统文件读取权限
UNIX/Linux系统(重点)
- 权限表示:
- 10位表示法:1位文件类型+9位权限(3组rwx)
- 文件类型标识:
- -:普通文件
- d:目录文件
- l:链接文件
- b:设备文件
- p:管道文件
- 权限分组:
- 用户权限(前3位)
- 用户组权限(中3位)
- 其他用户权限(后3位)
- 权限转换:
- 字符表示:r(读)、w(写)、x(执行)
- 数字表示:r=4、w=2、x=1
- 示例:rw-r–r--=644,r-xr-x—=550
Windows系统
- Windows用户登录到系统时,WinLogon进程为用户创建访问令牌。访问令牌包含用户及所属组的SID,作为用户的身份标识
- 访问控制列表:
- DACL(自主访问控制列表):定义访问权限
- SACL(系统访问控制列表):定义审计范围
- 访问流程:
- 用户进程→Win32子系统→核心SRM
- SRM比较访问令牌与DACL
- 检查SACL确定是否需要审计
- 技术特点:
- 文件访问采用自主访问控制
- 审计功能与SACL关联
IIS/FTP
- 访问方式:
- 匿名访问(无需认证)
- 用户名/密码认证
- 目录权限:
- 读取=下载权限
- 写入=上传权限
- 对所有FTP用户生效
- 日志记录: 可配置访问日志记录
其他访问控制应用
-
网络通信连接控制
- 实现设备: 防火墙、路由器、网关
- 部署位置: 网络连接处
- 控制原理: 只有符合规则的通信才被允许
-
基于VLAN的网络隔离
- 划分依据: 按功能/业务划分
- 访问控制: 不同VLAN间需配置互访策略
-
Web服务访问控制
- 基本控制流程:
-
控制层级:
- IP/DNS过滤
- Web用户认证
- 文件系统权限
- 数据库权限
-
访问流程: 逐级检查,全部通过才授权访问
-
典型应用:
- 前端网页内容控制
- 后台数据库访问控制