📖 访问控制

🎯 课程摘要:访问控制是信息系统的第二道安全防线,在用户通过身份鉴别进入系统后,对其访问权限进行控制。本课介绍访问控制的基本要素、访问监控器模型与审计,以及三类典型访问控制策略:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。

📝 详细笔记

1. 访问控制基本概念

  • 概念定义:用户经过身份鉴别(第一道安全防线)进入系统后,不应毫无限制地访问任意资源,而只能访问授权范围内的资源,这一控制机制即为访问控制,可被看作信息系统的第二道安全防线
  • 最小特权原则:对合法用户的访问权限授予遵循该原则——用户仅被赋予完成工作所需的权限,不会被赋予超出实际需求的权限。可有效防范合法用户滥用权限带来的安全风险。

2. 访问控制的基本要素

要素含义
主体(Subject)访问活动的发起者,可以是用户、进程、服务或设备等
客体(Object)被访问的对象,包括信息、文件、设备、服务等资源
访问(Access)主体对客体的操作类型,如创建、读取、修改、删除、执行、发送、接收等
访问策略(Policy)访问控制的核心,用于限制主体对客体的访问
  • 三元组描述:访问策略可用三元组 (S, O, P) 描述,其中 S 表示主体、O 表示客体、P 表示许可(Permission),P 明确了允许主体 S 对客体 O 所进行的访问类型。
  • 存储位置:访问策略通常存储在系统的授权服务器中。

3. 访问监控器模型与审计

  • 访问监控器模型:当系统中出现访问请求时,访问监控器对请求进行裁决——向授权服务器查询,根据存储的访问策略决定主体对客体的访问是否被允许。
  • 审计模块:访问控制的必要补充,记录与访问有关的各类信息(主体、客体、访问类型、访问时间、是否被允许等)。
  • ⚠️ 重点/考点:审计的三大作用:
    1. 查看哪些主体对哪些资源的访问请求被拒绝;
    2. 发现主体发出的大量违规访问请求(往往是攻击和破坏活动的征兆);
    3. 检查访问策略是否得到严格执行,发现配置或执行中的失误;
    4. 提供访问活动的证据,为事后追查和追责提供依据。

4. 自主访问控制策略(DAC)

  • 概念定义:自主(Discretionary)是指客体的拥有者可以自主决定其他主体对其拥有的客体所进行的访问权限。
  • 优点:灵活性强。
  • 缺点:权限管理过于分散,容易出现漏洞;无法有效控制被攻击主体破坏系统安全性的行为。
  • 木马窃密举例
    1. 用户 A 对文件 F1 具有读权限;
    2. 攻击者 B 编写木马程序,诱骗用户 A 运行;
    3. 木马程序获得 A 的访问权限,读取 F1 内容并写入新创建的文件 F2;
    4. 用户 A 将 F2 的读权限授予攻击者 B;
    5. 攻击者 B 非法读取到 F1 的内容。
  • ⚠️ 重点/考点:DAC 是一种限制较弱的访问控制策略,资源拥有者对访问策略具有决策权,灵活性带来安全隐患。

5. 强制访问控制策略(MAC)

  • 概念定义:与 DAC 不同,不允许一般主体进行访问权限的设置,而由系统统一决定某个主体是否能够访问某个客体。
  • 两项核心原则
    • 下读原则(Read Down):仅当主体的安全级别不低于客体的安全级别时,主体读取客体的访问活动才能被允许;
    • 上写原则(Write Up):仅当客体的安全级别不低于主体的安全级别时,主体写客体的访问活动才能被允许。
  • 效果:下读和上写原则限制了信息只能由低级别对象流向高级别或同级别对象,能有效防止木马等恶意程序的窃密攻击。
  • 举例:用户 A 安全级别高于用户 B。根据下读原则,A 可读取文件 F1 而 B 不能;即使用户 A 运行了 B 编写的木马程序,木马虽可读取 F1(遵循下读原则),但写入的内容只能流向更高级别(遵循上写原则),因此用户 B 无法读取到 F1 的内容。

6. DAC vs MAC 对比

对比项自主访问控制(DAC)强制访问控制(MAC)
权限决定者客体拥有者自主决定系统统一决定
灵活性
权限管理分散,易出现漏洞集中,管理严格
安全性较弱,易受木马攻击较强,可防止木马窃密
核心原则自主决策下读原则 + 上写原则
限制强度限制较弱限制较强

7. 基于角色的访问控制策略(RBAC)

  • 核心思想:根据安全策略划分不同的角色,用户不再直接与许可关联,而是通过角色与许可关联
  • 多对多关系
    • 一个用户可拥有多个角色,一个角色也可赋予多个用户;
    • 一个角色可拥有多种许可,一种许可也可分配给多个角色。
  • 许可:指明对某客体可以进行的访问类型(如读、写、删除等)。
  • 优势
    • 角色与许可的关系比角色与用户的关系更加稳定;
    • 用户职责变化或新用户授权时,只需修改或设置用户的角色;
    • 将用户和访问权限通过角色进行逻辑隔离,减少授权复杂性,增强可管理性,减少因授权失误导致的安全漏洞风险。

💡 核心总结

  • 访问控制是继身份鉴别之后的第二道安全防线,遵循最小特权原则
  • 访问策略用三元组 (S, O, P) 描述,由访问监控器裁决,审计模块补充记录。
  • DAC 灵活但分散、安全性弱;MAC 集中管控、靠下读/上写原则防窃密;RBAC 通过角色隔离用户与权限,兼顾管理性与安全性。

❓ 课后思考 / 经典考题

  1. 简述访问控制的基本要素及其相互关系。
  2. 比较自主访问控制(DAC)与强制访问控制(MAC)的优缺点,并说明 MAC 如何防范木马窃密攻击。
  3. 什么是最小特权原则?它在访问控制中有何意义?
  4. 简述基于角色的访问控制(RBAC)的核心思想及其优势。
  5. 访问监控器模型中审计模块的作用有哪些?
最近更新:
Contributors: yangwenguang