数据安全保护技术综述 (访问控制技术 亿赛通科技发展有限公司 梁金千 摘要 :数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地 位。 为了能够安全可控地使用数据, 需要多种技术手段作为保障, 这些技术手段 一般包括访问控制技术、 加密技术、 数据备份和恢复技术、 系统还原技术等多种 技术手段。 本文侧重论述访问控制技术, 有关其它技术的探讨将发表在后续文章 中。

关键词 :数据保护;安全模型;文件加密;访问控制;文档安全管理系统 数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。 数据的保密性、 可用性、 可控性和完整性是数据安全技术的主要研究内容。 数据 保密性的理论基础是密码学, 而可用性、 可控性和完整性是数据安全的重要保障, 没有后者提供技术保障, 再强的加密算法也难以保证数据的安全。 与数据安全密 切相关的技术主要有以下几种,每种相关但又有所不同。

1 访问控制:该技术主要用于控制用户可否进入系统以及进入系统的用户能够 读写的数据集;

2 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权 范围扩散到非授权范围;

3 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的 查询序列推理出机密信息;

4 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露; 5 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可 用性和完整性。 在上述技术中,访问控制技术占有重要的地位,其中 1 、 2 、 3均属于访 问控制范畴。访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授 权与审计等。 其中安全模型是访问控制的理论基础, 其它技术则是实现安全模型

的技术保障。 1. 安全模型 信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问, 这些 访问控制规则称为安全策略, 安全策略反应信息系统对安全的需求。 安全模型是 制定安全策略的依据, 安全模型是指用形式化的方法来准确地描述安全的重要方 面(机密性、完整性和可用性及其与系统行为的关系。建立安全模型的主要目 的是提高对成功实现关键安全需求的理解层次, 以及为机密性和完整性寻找安全 策略, 安全模型是构建系统保护的重要依据, 同时也是建立和评估安全操作系统 的重要依据。

自 20世纪 70年代起, Denning 、 Bell 、 Lapadula 等人对信息安全进行了大量 的理论研究,特别是 1985年美国国防部颁布可信计算机评估标准《 TCSEC 》以 来, 系统安全模型得到了广泛的研究, 并在各种系统中实现了多种安全模型。 这 些模型可以分为两大类:一种是信息流模型;另一种是访问控制模型。

信息流模型主要着眼于对客体之间信息传输过程的控制, 它是访问控制模型 的一种变形。它不校验主体对客体的访问模式 , 而是试图控制从一个客体到另一 个客体的信息流, 强迫其根据两个客体的安全属性决定访问操作是否进行。 信息 流模型和访问控制模型之间差别很小, 但访问控制模型不能帮助系统发现隐蔽通 道 , 而信息流模型通过对信息流向的分析可以发现系统中存在的隐蔽通道并找到 相应的防范对策。 信息流模型是一种基于事件或踪迹的模型, 其焦点是系统用户 可见的行为。 虽然信息流模型在信息安全的理论分析方面有着优势, 但是迄今为 止,信息流模型对具体的实现只能提供较少的帮助和指导。

访问控制模型是从访问控制的角度描述安全系统, 主要针对系统中主体对客 体的访问及其安全控制。 访问控制安全模型中一般包括主体、 客体, 以及为识别 和 验证这些实体的子系统和控制实体间访问的参考监视器。 通常访问控制可以分 自主访问控制 (DAC和强制访问控制 (MAC。自主访问控制机制允许对象的属主 来制定针对该对象的保护策略。 通常 DAC 通过授权列表 (或访问控制列表 ACL 来限定哪些主体针对哪些客体可以执行什么操作。 如此可以非常灵活地对策略进 行调整。 由于其易用性与可扩展性, 自主访问控制机制经常被用于商业系统。 目 前的主流操作系统,如 UNIX 、 Linux 和 Windows 等操作系统都提供自主访问控

制功能。 自主访问控制的一个最大问题是主体的权限太大, 无意间就可能泄露信 息, 而且不能防备特洛伊木马的攻击。 强制访问控制系统给主体和客体分配不同 的安全属性,而且这些安全属性不像 ACL 那样轻易被修改,系统通过比较主体 和客体的安全属性决定主体是否能够访问客体。 强制访问控制可以防范特洛伊木 马和用户滥用权限, 具有更高的安全性, 但其实现的代价也更大, 一般用在安全 级别要求比较高的军事上。

随着安全需求的不断发展和变化, 自主访问控制和强制访问控制已经不能完 全满足需求, 研究者提出许多自主访问控制和强制访问控制的替代模型, 如基于 栅格的访问控制、 基于规则的访问控制、 基于角色的访问控制模型和基于任务的 访问控制等。 其中最引人瞩目的是基于角色的访问控制 (RBAC。 其基本思想是:有一组用户集和角色集, 在特定的环境里, 某一用户被指定为一个合适的角色来 访问系统资源; 在另外一种环境里, 这个用户又可以被指定为另一个的角色来访 问另外的网络资源, 每一个角色都具有其对应的权限, 角色是安全控制策略的核 心,可以分层,存在偏序、自反、传递、反对称等关系。与自主访问控制和强制 访问控制相比, 基于角色的访问控制具有显著优点:首先, 它实际上是一种策略 无关的访问控制技术。其次,基于角色的访问控制具有自管理的能力。此外,基 于角色的访问控制还便于实施整个组织或单位的网络信息系统的安全策略。目 前, 基于角色的访问控制已在许多安全系统中实现。 例如, 在亿赛通文档安全管 理系统 SmartSec (见“文档安全加密系统的实现方式”一文中,服务器端的用 户管理就采用了基于角色的访问控制方式, 从而为用户管理、 安全策略管理等提 供了很大的方便。 随着网络的深入发展,基于 Host-Terminal 环境的静态安全模型和标准已无 法完全反应分布式、动态变化、发展迅速的 Internet 的安全问题。针对日益严重 的网络安全问题和越来突出的安全需求, “可适应网络安全模型”和“动态安全 模型”应运而生。基于闭环控制的动态网络安全理论模型在 90年代开始逐渐形 成并得到了迅速发展, 1995年 12月美国国防部提出了信息安全的动态模型,即 保护(Protection —检测(Detection —响应(Response 多环节保障体系,后 来被通称为 PDR 模型。 随着人们对 PDR 模型应用和研究的深入, PDR 模型中又 融入了策略(Policy 和恢复(Restore 两个组件,逐渐形成了以安全策略为中

心,集防护、检测、响应和恢复于一体的动态安全模型,如图 1所示。 图 1 PDR 扩展模型示意图 PDR 模型是一种基于闭环控制、主动防御的动态安全模型,在整体的安全 策略控制和指导下, 在综合运用防护工具 (如防火墙、 系统身份认证和加密等手 段的同时,利用检测工具(如漏洞评估、入侵检测等系统了解和评估系统的 安全状态,将系统调整到“最安全”和“风险最低”的状态。保护、检测、响应 和恢复组成了一个完整的、 动态的安全循环, 在安全策略的指导下保证信息的安 全。

2. 访问控制策略 访问控制策略也称安全策略, 是用来控制和管理主体对客体访问的一系列规 则, 它反映信息系统对安全的需求。 安全策略的制定和实施是围绕主体、 客体和 安全控制规则集三者之间的关系展开的, 在安全策略的制定和实施中, 要遵循下 列原则:

1 最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最 小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实 施授权行为,可以避免来自突发事件、错误和未授权使用主体的危险。 2 最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的 信息最小化的原则分配给主体权力。 3 多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照 安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的 优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他 高的主体才能够访问。

访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则 的安全策略。 目前使用的两种安全策略, 他们建立的基础都是授权行为。 就其形 式而言,基于身份的安全策略等同于 DAC 安全策略,基于规则的安全策略等同 于 MAC 安全策略。

2.1. 基于身份的安全策略 基于身份的安全策略 (IDBACP :Identification-based Access Control Policies 的目的是过滤主体对数据或资源的访问, 只有能通过认证的那些主体才有可能正 常使用客体资源。 基于身份的策略包括基于个人的策略和基于组的策略。 基于身 份的安全策略一般采用能力表或访问控制列表进行实现。

2.1.1基于个人的策略 基于个人的策略(INBACP :Individual-based Access Control Policies 是指 以用户为中心建立的一种策略, 这种策略由一组列表组成, 这些列表限定了针对 特定的客体,哪些用户可以实现何种操作行为。

2.1.2基于组的策略: 基于组的策略(GBACP :Group-based Access Control Policies是基于个人 的策略的扩充,指一些用户 (构成安全组 被允许使用同样的访问控制规则访问同 样的客体。

2.2. 基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性。 在一个安全系统中, 数据 或资源被标注安全标记 (Token。代表用户进行活动的进程可以得到与其原发者 相应