安全访问控制机制

关键词： 安全级别 访问控制 方法

安全访问控制机制（精选九篇）

安全访问控制机制 篇1

关键词：数据库,安全,访问控制

1 探讨数据库安全访问机制的意义

现阶段数据库技术在全世界范围内已经得到了广泛的应用, 同时数据库系统的安全问题也变成了人们关注的焦点, 而围绕数据库的访问控制就是数据库安全的主要工作。访问控制不仅是信息安全保障机制的核心内容[1], 也是实现数据保密性和完整性机制的主要手段。为了保证计算机系统在合理情况下使用, 访问控制需要限制访问主体对访问客体的访问权限;用户及代表一定用户利益的程序能做什么, 及做到什么程度取决于访问控制机制。

2 数据库安全访问控制机制的分类

为了实现对信息的保护, 访问控制机制需要运用到数据库安全保护中, 对以下几类行为进行必要的控制:读取数据、运行可执行文件、发起网络连接等等。

分析目前相关的研究可以发现, 访问控制机制主要分为以下三大类:[2]

2.1 自主访问控制

自主访问控制 (DAC) 是建立在系统承认客体是通过“拥有”与主体联系起来的基础之上的, 有了这一基础, 主体自然具备该客体的所有访问权限, 同时主体还能够把这些权限的一部分或者全部转让给其他的用户。每当主体访问其他的用户时, 都必须进行存取检查。

2.2 强制访问控制

强制访问控制 (MAC) 管理是由系统或数据库管理员负责的, 它提供的是客体在主体之间共享的控制, 系统拥有者的安全策略决定了它的安全性。虽然DAC属于系统安全策略的一部分, 但是客体的拥有者才对其拥有决定权, 原则上系统安全管理人员无权干预授权的传递和转让。客体的DAC方式可能会被客体的拥有者改变, 但是客体的拥有者不能改变客体的MAC方式。以BLP (Bell-La Padula) 为模型逐渐发展起来的MAC, 主体和客体都具有安全级, 其中密级和范围是安全级的两个元素。客体所含信息的敏感程度由客体的安全级显示, 主体的可信度由主体的安全级显示。

以下两个规则是实施强制访问控制时必须遵守的规则:一是不能上读:主体只能读安全级受其安全级支配的客体;二是不准下写:主体只能写安全级支配其安全级的客体。由于MAC实施访问控制时是建立在安全等级的基础上的, 所以它能够躲避很多病毒的攻击。

2.3 基于角色的访问控制[3]

基于角色的访问控制 (RBAC) 最早是由Ravi Sandu提出的, 它是美国George Mason大学的一位教授, 该机制具有解决很多复杂问题的能力。基于角色的访问控制主要包括会话、用户、角色、许可等主要概念, 其中角色是访问权的集合。一旦某一个用户拥有一个角色时, 那么这个角色所有的访问权也同时被这个用户拥有了。用户和角色之间是多对多的关系, 同时这也是角色和许可之间的关系。用户只要进入RBAC模型系统中, 就会得到一个会话, 同时激活一个角色, 有可能这个角色是该用户的全部角色的子集, 那么此时对于这个用户来说, 就拥有了全部被激活的角色所包含的访问权。这就是基于角色的访问控制最大的优势, 它很容易实施最小特权原则。由于在应用层内角色的逻辑意义更为明显和直接, 所以RBAC很适合于数据库应用层的安全模型。

3 几种数据库安全访问控制机制的优缺点

在数据库系统的访问控制的发展历程中, 最早出现的访问控制安全策略是自主访问控制 (DAC) , 同时它也是在现阶段流行的Unix类操作系统中最常见的。它有以下不足:资源管理比较分散;用户间的关系不能在系统体现出来, 不易管理等, 它最大的缺点是无法对系统中信息流进行很好的保护, 很容易泄露信息, 也无法抵御病毒的攻击。而强制访问控制虽然能够较好地解决特洛伊木马的问题, 但缺点是应用的领域比较窄, 完整性方面控制不够。目前基于角色的访问控制是最先进的, 它是一种策略无关的访问控制技术, 并且具有自我管理的能力。唯一的不足时还处于发展阶段, 不是十分成熟。

4 数据库安全访问控制机制的发展方向

当前社会各项先进技术相互交融、相互渗透已经是趋势, 随着数据库技术、网络通信技术、面向对象技术等技术的不断相互渗透和融合, 用户对数据库安全的需求也同过去相比发生了很大的改变, 提出了很多新的问题, 使得数据库安全面临着很多的挑战。数据库安全访问控制机制主要向以下拓展:进一步扩展DAC的授权表示能力, 并开发通用的描述安全策略的语言, 使DAC能直接支持各种安全策略;RBAC期待进一步的研究和应用于实际的DBMS。尽管目前的一些DBMS支持基于角色的策略, 但还未充分开发RBAC的潜力, 特别地, 基于角色的策略可满足分离责任的要求, 但目前的DBMS并未实现这一点。

5 结束语

从对有关数据库安全访问控制技术发展文献的调研和综述可以看出:数据库的安全问题越来越受到重视, 尤其是网络技术的飞速发展, 在网络中运行的数据库服务器安全机制问题, 更使得数据库研究者需要重新考虑在新情况下对传统技术的改进。从广度上讲, 新问题的出现需要我们开拓思路, 寻求创新性的技术突破。

参考文献

[1]宋志敏, 南湘浩, 唐礼勇, 等.数据库安全的研究与进展[J].计算机工程与应用, 2001, 01:85-87.

[2]李跃明.数据库系统的创新发展[J].电脑知识与技术, 2011 (2) .

企业网安全访问控制技术 篇2

随着企业网络规模的扩大，企业存储在系统上的关键和敏感的数据越来越多，如何保护系统不被非法访问这一问题显得越来越重要，因此企业网应采用先进的安全访问控制技术，构造有效的网络安全体系，

构建安全体系

(1) 明确网络资源

事实上我们不能确定谁会来攻击系统，所以作为网络管理员在制订安全策略之初应当充分了解企业的内部构架，了解要保护什么，需要什么样的访问，以及如何协调所有的网络资源和访问。

(2) 确定网络访问点

网络管理员应当了解潜在的入侵者会从哪里进入系统。通常是通过网络连接、拨号访问以及配置不当的主机入侵系统。

(3) 限制用户访问的范围

应当在网络中构筑多道屏障，使得非法闯入系统者不能自动进入整个系统，尤其要注意网络中关键敏感地区的防范。

(4) 明确安全设想

每个安全系统都有一定的假设。一定要认真检查和确认安全假设，否则隐藏的问题就会成为系统潜在的安全漏洞。

(5) 充分考虑人的因素

在构建安全体系时，人的因素是非常重要的。即便网络管理员制定了非常完善的安全制度，如果操作员不认真执行，也无疑会为不法入侵者大开方便之门。

(6) 实现深层次的安全

对系统的任何改动都可能会影响安全,因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性，而且不易影响系统的安全性。

一般来说，我们把网络的安全访问控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大部分。从技术角度而言，主要采用虚网技术、路由器访问控制列表、TACACS＋或RADIUS认证服务和防火墙技术，如图所示。

企业内部网的安全

企业内部网面临的安全问题主要在于：

(1) 如何控制网络不同部门之间的互相访问；

(2) 如何对不断变更的用户进行有效的管理；

(3) 如何防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃；

(4) 如何加强远程拨号用户的安全认证管理，

1.虚网技术

针对上述的前三个问题，我们一般采用虚网(VLAN)技术。虚网是由一些端系统(主机、交换机或路由器)组成的一个虚拟的局域网。虚网超越了传统的局域网的物理位置局限，端系统可以分布于网络中不同的地理位置，但都属于同一逻辑广播域。虚网具有如下三个优点。虚网的第一个优点是网络管理员能够轻易控制不同虚网间的互相访问能力。我们可以将同一部门或属于同一访问功能组的用户划分在同一虚网中，虚网内的用户之间可以通过交换机或路由器相互连通。网络管理员甚至还可以通过虚网的安全访问列表来控制不同虚网之间的访问。目前，实现虚网的划分有多种方法，我们可以按照物理端口来划分，也可以按照不同的网络协议如IP、IPX等进行划分，也可以按照MAC地址来划分，将来还可以根据应用类型来划分。具体采用何种划分办法要看用户的具体管理需求和所选用的网络产品。第二个优点就是对广播信息的有效控制。这要求机构的域中包含的广播和多信宿组与用户位置无关。如果不考虑广播组整个大小的话，网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑，而在用户间却只有(甚至没有)广播防火墙。虚网是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干部分的性能影响。虚网的发展趋势是迈向更成熟的跨越网络园区的带宽和性能管理。第三个优点是便于管理的更改，而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求，也大为减少。由于网络管理部门精力有限，技术水平也参差不齐，所以这是很关键的要求。这从很大程度上方便了网络系统的安全访问控制管理。基于虚网本身的优点，我们能有效解决前述的网络安全问题。但虚网的划分是一项复杂细致的工作，我们应紧密依据用户应用的实际要求，结合实际工程经验，作出详细合理的规划。

2.路由器访问控制列表

网络防火墙安全访问控制的实现 篇3

关键词：防火墙；安全访问；访问控制

1概述

TCP／IP通信协议和Internet最初是面向科研人员的，因此，设计此协议的工作组认为用户和主机之间互相信任。大家能够进行自由开放的信息交换和共享，不会有人故意进行破坏。在这样的环境里，使用Internet的人实际上就是创建Internet的人。随着时间的推移。Inter-net变得更加有用和可靠，更多的用户参与进来，人越来越多，风险也越来越大。1988年11月的Internet蠕虫染指了数千台主机。从那时起，就不断有侵犯安全的事件报道。

如今Internet的安全问题成了人们关注的焦点，给认为Internet已经完全胜任商务活动的过高期望泼了一盆冷水，计算机和通信界一片恐慌。

从本质上，Internet的安全性可以通过提供以下两方面的安全服务来达到：一是访问控制服务，用来保护计算机和联网资源不被非授权使用；二是通信安全服务，用来提供认证、数据机要性、完整性和各通信端的不可否认性服务。这两种服务的实现，主要依赖于防火墙技术和加密技术。

防火墙的概念实际上是借用了建筑学上的一个术语。建筑学中的防火墙是用来防止大火从建筑的一部分蔓延到另一部分而设置的阻挡机构。计算机网络上的防火墙是用来防止来自互联网的破坏，如黑客攻击、资源被盗用或文件被篡改等波及内部网络的危害。

随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段。也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙可以定义如下：它是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络；在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行；外部对内部网络的访问受到的限制。

防火墙的设计包括以下两方面原则：

(1)过滤不安全服务

基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。

(2)屏蔽非法用户

基于这个准则，防火墙应先允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址对未经授权的用户或不信任的站点进行逐项屏蔽。

总之，防火墙能增强机构内部网络的安全性。防火墙系统决定了外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问；要使一个防火墙有效，所有来自和通向外界的信息都必须经过防火墙，接受防火墙的检查；防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。

2防火墙的主要类型

通常将现在流行的防火墙划分为两大类：代理型和包过滤型。代理型防火墙又包括电路级网关防火墙和应用级网关防火墙。包过滤防火墙又可以分为静态包过滤型和状态监测型防火墙。

(1)电路级网关防火墙

它是一个通用代理服务器，它工作于OSI互联模型的会话层或是TCP／JP协议的TOP层。它适用于多个协议，但不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块，但这种代理对客户端做适当修改。它接受客户端的请求。代理客户端完成网络连接。通过电路级网关的传递的数据似乎起源于防火墙，隐藏了被保护网络的信息。

(2)应用级网关防火墙

通常也称为应用代理服务器。它工作于OSI模型的应用层。在外部网络向内部网络或内部网络向外部网络申请服务时起到转接作用。

其工作过程为：首先，它对该用户的身份进行验证。若为合法用户，则把请求转发给真正的某个内部网络的主机，同时监控用户的操作，拒绝不合法的访问。当内部网络向外部网络申请服务时，代理服务器的工作过程刚好相反。应用网关代理的优点是易于配置，界面友好；不允许内外网主机的直接连接；可以提供比包过滤更详细的日志记录。

(3)静态包过滤防火墙

在网络层对进出内部网络的所有信息进行分析，并按照一定的安全策略进行筛选，允许授权信息通过，拒绝非授权信息。信息过滤规则以收到的数据包的头部信息为基础。在内部网络和外部网络之间。路由器起着一夫当关的作用。因此，包过滤型防火墙一般通过路由器实现，因而也称为包过滤路由器。

包过滤型防火墙的优点是逻辑简单，实施费用低廉，对网络的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序。易于安装和使用。其弱点是：配置基于包过滤方式的防火墙。需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题：不提供用户的鉴别机制。

(4)状态监测型防火墙

就是对包过滤技术的增强。这种防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为监测模块。它工作在链路层和网络层之间，对网络通信的各层实施监测分析，提取相关的通信和状态信息，并在动态连接表中进行状态及上下文信息的存储和更新，这些表被持续更新，为下一个通信检查提供累积的数据。状态监视器的另一个优点是：能够提供对基于无连接的协议的应用(如DNS)及基于端口动态分配的协议的应用(如NFS)的安全支持，静态的包过滤和代理网关都不支持此类应用。总之，这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持，缺点是它也允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。

另外，新近推出的自适应代理(Adaptive Proxy)防火墙技术。本质上也属于代理服务技术，但它也结合了动态包过滤(状态检测)技术。组成这种类型防火墙的基本要素有两个：动态包过滤器与自适应代理服务器。它结合了代理服务防火墙的安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。

3防火墙配置的实现

(1)双宿主主机防火墙

这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口：一端接外部网络，一端接需要保护的内部网络，故被称为双宿主主机，也成为双宿主网关。防火墙不使用包过滤规则，而是通过在外部网络和被保护的内部网络之间设置这个网关(双宿主网关)，隔断IP层之间的直接传输。被保护网络中的主机与该网关可以通信，外部网络中主机也能与该网关通信。但是两个网络中的主机不能直接通信，两个网络之间的通信通过应用层数据共享或应用层代理服务来实现，其配置实现如图1所示。

(2)屏蔽主机防火墙

屏蔽主机防火墙由一台过滤路由器和一台堡垒主机组成，其配置实现如图2所示。在这种配置中，堡垒主机配置在内部网络上，过滤路由器则放置在内部网络和外部网络之间。在路由器上进行安装。使得外部网络的主机只能访问该堡垒主机，而不能直接访问内部网络的其他主机。内部网络在向外通信时，也必须首先到达堡垒主机，由该堡垒主机来决定是否允许访问外部网络。这样，堡垒主机成为内部网络与外部网络通信的唯一通道。

堡垒主机是运行代理软件的计算机。它暴露在被保护的网络之外，入侵者如果穿透了过滤路由器，必须首先把该主机攻克。才能够进入到内部网络。

(3)屏蔽子网防火墙

屏蔽子网防火墙是目前流行的一种结构，其配置实现如图3所示。采用了两个包过滤路由器和一个堡垒主机，在内外部网络之间建立一个被隔离的子网，定义为“非军事区”，有时也称作周边网，用于放置堡垒主机、WEB服务器、Mail服务器等公用服务。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网络仍受到内部包过滤路由器的保护。

屏蔽子网防火墙的主要优点是它又提供了一层保护。一个入侵者必须通过两个路由器和一个应用网关，这比起屏蔽主机防火墙来要困难得多。

4结束语

基于RBAC的访问控制机制研究 篇4

作为目前公认的可以解决统一资源访问控制的方法, RBAC的设计理念是:权限与角色相关联, 用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了信息系统权限的管理。这里所说的角色与现实生活中角色的概念有所不同, 它是一组操作的集合, 不同的角色具有不同的操作集, 这些操作由系统管理员分配给角色。用户的授权是指系统管理员赋予用户一个角色, 只要用户属于某个角色那么他就具备这个角色的所有操作许可, 即该角色所拥有的权限。系统中的某一个用户可以被赋予不同的角色, 也就是说用户与角色是多对多的关系, 即一个用户可以有多个角色, 一个角色可以被赋予多个用户。应用RBAC机制的信息系统中授权管理的灵活性得到很好的体现:1) 减少授权管理的复杂操作, 降低系统管理开销;2) 可以灵活地适应信息系统特定安全策略的制定与修改。

1 RBAC模型构件分析

我们对该模型定义如下:

U, R, P, S:用户, 角色, 权限, 会话;

PA哿P*R:权限分配, 多对多的关系;

UA哿U*R:用户分配, 多对多关系;

User:S->U, 每一个会话S对应单一用户user (s) 的映射;

Roles:会话S到角色集合role (s) 哿{r| (user (s) , r) ∈PA}

易见:该模型由三个实体组成, 分别是:用户 (U) 、角色 (R) 、权限 (P) 。其中用户指自然人, 角色就是组织内部一件工作的功能或工作的头衔, 表示该角色成员所授予的职责的许可, 系统中拥有权限的用户可以执行相应的操作。

角色权限分配PA和用户角色分配UA是多对多的关系, 即一个用户可以拥有多个角色, 一个角色也可被多个用户所拥有。同样的, 一个角色拥有多个权限, 一个权限能被多个角色所拥有。用户建立会话从而对资源进行存取, 每个会话S将一个用户与他所对应的角色集中的一部分建立映射关系, 这个角色会话子集称为会话激活的角色集。于是, 在这次会话中, 用户可以执行的操作就是该会话激活的角色集对应的权限所允许的操作。

2 RBAC特点

2.1 信息系统访问权限与角色相关联, 不同的角色有不同的权限

用户以什么样的角色对信息系统进行访问, 决定了用户拥有的权限以及可执行何种操作。在RBAC中, 用户就是一个可以独立访问信息系统资源的主体。角色是指信息系统中的任务或者位置, 它代表了一种权利、资格和责任。许可 (特权) 就是允许对一个或多个客体执行的操作。一个用户可经授权而拥有多个角色, 一个角色可由多个用户构成;每个角色可拥有多种许可, 每个许可也可授权给多个不同的角色。每个操作可施加于多个客体 (受控对象) , 每个客体也可以接受多个操作。系统中主要设计如下表格记录相关信息:

用户表 (USERS) 包括用户标识、用户姓名、用户登录密码。用户表是系统中的个体用户集, 随用户的添加与删除动态变化。

角色表 (ROLES) 包括角色标识、角色名称、角色基数、角色可用标识。角色表是系统角色集, 由系统管理员定义角色。

客体表 (OBJECTS) 包括对象标识、对象名称。客体表是系统中所有受控对象的集合。

操作算子表 (OPERATIONS) 包括操作标识、操作算子名称。系统中所有受控对象的操作算子构成操作算子表。

许可表 (PERMISSIONS) 包括许可标识、许可名称、受控对象、操作标识。许可表给出了受控对象与操作算子的对应关系。

角色/许可授权表包括角色标识、许可标识。系统管理员通过为角色分配或取消许可管理角色/许可授权表。

用户/角色分配表包括用户标识、角色标识。系统管理员通过为用户分配角色、取消用户的某个角色等操作管理用户/角色分配表。

用户/角色授权表包括用户标识、角色标识、可用性。

2.2 角色与角色之间存在继承关系

为了提高系统工作效率, 避免相同权限的重复设置, RBAC采用了“角色继承”的概念。角色继承把角色组织起来, 能够很自然地反映系统内部人员之间的职权、责任关系。角色之间可能有互相重叠的职责和权力, 属于不同角色的用户可能需要执行一些相同的操作。

2.3 角色限制

角色限制包括角色互斥与角色基数限制。对于某些特定的操作集, 某一个用户不可能同时独立地完成所有这些操作。角色互斥可以有静态和动态两种实现方式。静态角色互斥:只有当一个角色与用户所属的其他角色彼此不互斥时, 这个角色才能授权给该用户。动态角色互斥:只有当一个角色与一主体的任何一个当前活跃角色都不互斥时, 该角色才能成为该主体的另一个活跃角色。角色基数限制是指在创建角色时, 要指定角色的基数。在一个特定的时间段内, 有一些角色只能由一定人数的用户占用。

2.4 最小权限原则

即指用户所拥有的权力不能超过他执行工作时所需的权限。实现最小特权原则, 需要分清用户的工作职责, 确定完成该工作的最小权限集, 然后把用户限制在这个权限结合的范围之内。一定的角色就确定了其工作职责, 而角色所能完成的事物蕴涵了其完成工作所需的最小权限。用户要访问信息首先必须具有相应的角色, 用户无法饶过角色直接访问信息。

2.5 角色容量

在一个特定的时间段内, 有一些角色只能有一定人数的用户占用。在创建新的角色时应该指定角色的容量。用户是一个静态的概念, 会话则是一个动态的概念。一次会话是用户的一个活跃进程, 它代表用户与系统交互。用户与会话是一对多关系, 一个用户可同时打开多个会话。一个会话构成一个用户到多个角色的映射, 即会话激活了用户授权角色集的某个子集, 这个子集称为活跃角色集。活跃角色集决定了本次会话的许可集。会话表包括会话标识、用户标识。会话的活跃角色表包括会话标识、角色标识。

3 RBAC应用优势

RBAC最突出的优点是信息系统中的系统管理员能够按照安全策略划分不同的角色, 执行特定的任务。一个系统建立起来后主要的管理工作即为授权或取消用户的角色。用户的职责变化时只需要改变角色即可改变其权限。当组织功能变化或演进时, 则只需删除角色的旧功能, 增加新功能, 或定义新角色, 而不必更新每一个用户的权限设置。

总之, 基于角色的访问控制方法可以为应用系统建立一个高安全强度, 更易维护管理, 扩展能力极强的访问控制环境, 并能够有效的控制管理的复杂性, 提供标准化和可以不断延伸授权平台, 保证了用户能按照应用规模和数量快速地建立访问控制体系。它能使用户已建立的访问控制体系不断满足演化的应用权限需求, 如支持新应用、支持新的权限、增加用户数量、增加用户类型、增加策略数量等。这种理念能够更好地适应不同信息系统特定的安全策略, 简化对信息系统访问控制的授权与管理。

摘要：基于角色的访问控制 (RBAC) 是一种可以解决统一资源访问控制的方法 , 能够更好地适应不同信息系统特定的安全策略, 简化对信息系统访问控制的授权与管理。本文通过对RBAC模型构件分析, 对其特点及应用优势进行了总结和研究。

访问控制机制在数据库中的应用研究 篇5

1 访问控制机制的概念界定

访问控制机制是数据库系统安全性得到有效保障的重要机制，其本质就是按照系统权限，进行有效验证，实现授权用户才能进行相关的操作，而非授权用户视为非法用户，被禁止一切系统操作。访问控制机制的任务主要包括：鉴定对数据库提出操作请求的用户身份的合法性;明确用户的操作权限及规则;授权合法用户对应的访问机制等。

可见，通过访问控制机制能有效保证数据的完整性及保密性。

2 访问控制机制在数据库中的工作原理

访问控制机制的实现主要是通过解析器模块加以实现的。解析器主要负责分析用户提出的数据库访问请求语句，根据该SQL数据库访问语句，提取出其中涉及到的数据表名、字段名以及查询过滤条件等，然后生成一棵分析树。最后，根据生成分析树，判定该用户是否有对该数据库相关数据操作的权限。

解决器模块的工作流程如下描述：首先进行参数初始化，并针对用户访问请求分配对应的子线程;其次在cache中搜索该访问请求是否存在;接着根据访问机制对请求语句进行分析;最后根据分析树去执行请求并返回结果。其中，最关键点在于对请求语句进行分析，这主要借助于parse(thd)函数加以完成，也就是对SQL语句进行词法及语法的分析。

此外，访问控制机制也定义了检查接口的相关语句，比如：

bool mac_check_table_SELECT();

bool mac_check_table_INSERT();

bool mac_check_table_UPDATE();

通过该3条语句，就能够对数据库常用的3个SQL操作语句(select,insert,update)进行访问控制的检测。因为3个函数都是返回bool型的数据，所以根据返回结果，如果是true，则表示末授权;反之，则表示授权。

3 访问控制机制在数据库中的应用

3.1 访问控制模块的组织结构

访问控制模块主要由3个子模块构成，涉及到：主客体信息的管理、主客体信息的维护以及客体的安全级别，他们之间的关系如图1所示。

针对一条SQL语句，通过访问控制模块进行检测时，首先是获取SQL语句主体的安全级别;其次是获取SQL语句客体的安全级别;最后是比较两者的安全级别。若符合访问控制模块规定的安全规则，则可以继续执行;反之，则结束操作，并返回相关信息。

3.2 访问控制机制的应用实现

当运行访问控制机制时，首先要启动数据库服务器，并将访问控制信息导入相关程序，这可以通过在主函数Win_main()中加入sec_init()函数实现，该函数又调用sec_reload()实现数据库表的导入，并将相关表存储至相应结构中，而哈希表中则保存了结构所对应的存储地址。关键代码如下描述：

至此，数据库服务器启动完毕，完成相关访问控制信息的初始化。此外，需要借助函数sec_reload()来对hash表进行重载，也允许数据库管理员修改访问控制相关的表，这样才能保证访问控制机制的一致性。

4 结论

针对数据库系统第三级安全的核心内容，访问控制机制的应用起到非常重要的作用。然而，大部分的数据库系统没有实现很好的灵活访问控制机制。但随着数据库技术以及信息技术的研究深入，访问控制机制将越来越受到人们的重视，并会不断得到有效的推广应用，这也将为数据库系统的安全性保障提供巨大作用。

摘要：本文在明确信息安全重要性的基础上,阐述了访问控制机制的概念,分析了访问控制机制在数据库中的工作原理,并详细研究了访问控制机制在数据库中的应用。

关键词：数据库,访问控制机制,数据安全

参考文献

[1]胡启韬,吴碧伟,姚培.强制访问控制在提高MySQL安全性上的应用[J].计算机与现代化,2009,9:160-166.

安全访问控制机制 篇6

自90年代以来,企业间的竞争越来越激烈,其竞争形式也发生了巨大的变化,企业快速响应市场的能力已成为企业能否赢得市场竞争的最重要的核心能力。与此同时,信息技术飞速发展并迅速成为支撑企业运行最重要的基础架构[1]。企业信息化的实施极大的提高了企业的运行效率与核心竞争力,但同时也带来了一些问题,其中最重要的一个就是信息安全问题。国际标准组织(ISO)在ISO7498-2中提出了五种信息保护的方式,访问控制就是其中之一。

访问控制在人类有了需要保护的财产时便存在了,如门锁、保险箱、门卫等都可视为广义的访问控制。在信息安全领域,访问控制所关注的问题是信息系统的用户何时以何种方式对信息资源进行操作的问题[2]。几乎所有的企业应用系统都会应用访问控制机制,良好的访问控制策略可以优化信息的共享与交互,否则将会增加管理与实施成本。随着信息技术的发展,传统的访问控制技术如自主访问控制(DAC,Discretionary Access Control)和强访问控制(MAC,Mandatory Access Control)已经不能满足企业环境下访问控制需求[3]。90年代中期出现了基于角色的访问控制模型(RBAC,RoleBased Access Control),RBAC引入了角色的概念,简化了权限管理的复杂性并提高了授权效率[4]。随着工作流技术在企业中的广泛应用,源自最小权限规则的动态授权问题成为研究的热点,传统的RBAC无法解决动态授权问题,于是产生了包括TBAC在内的各种工作流授权模型[5]。

RBAC和TBAC及其各种扩展模型在很大程度上解决了现代企业中的访问控制问题,但是这些模型大多将企业的组织架构用简单的角色及其继承关系来描述,这并不能适应企业日益复杂的组织架构的实际情况。企业模型作为对企业的形式化描述,通过各个视图及其关联对企业进行描述,其组织视图可以良好的描述企业的组织架构,其过程视图是工作流运行系统的元模型,而其资源、信息等视图可以描述企业内需要访问控制的客体[1]。将企业建模理论融合到访问控制领域是一个全新的课题,本文将在此背景下提出了一种新的访问控制模型:基于集成化企业模型的访问控制(IEM-BAC,Integrated Enterprise Model-Based Access Control)。

本文的组织形式如下,第一部分是引言,主要介绍IEM-BAC的产生背景。第二部分详细分析了现代企业环境下对访问控制的需求。第三部分简要介绍集成化企业建模理论。第四部分介绍RBAC和TBAC理论。第五部分给出IEM-BAC模型及其形式化描述。第六部分将IEM-BAC运用到集成化企业建模平台之中。第七部分对前面内容进行总结。

1 现代企业环境下的访问控制需求

现代企业环境下,各种异构的信息系统由于其自身特性对访问控制提出了不同的需求。如文档管理系统需要使用RBAC来进行授权,但同时也需要根据用户和文档的密级属性来进行访问控制;工作流管理系统需要根据任务实例的执行状态动态的控制用户权限[5];CRM系统需要根据传统的RBAC控制用户权限。虽然这些异构的系统访问控制的方式有所不同,但是我们可以将其分为两大类:静态访问控制和动态访问控制。

静态控制:和流程的运行无关的访问控制都属于静态控制,对于静态权限的控制我们可以使用RBAC模型[4],有分配权限的主体将客体的权限分配给其余主体。在企业中,文档一般按照密级划分,只有主体密级高于文档密级的才能进行访问,因此我们需要将RBAC进行适当的扩展,嵌入基于属性的访问控制。

动态控制:和流程运行历史及状态相关的访问控制为动态控制。这部分权限与其关联的任务的执行状态以及时间有关,和任务关联的角色或人员在任务的不同状态时具有不同的权限。这部分权限我们可以参考TBAC模型[5]。工作流机根据任务的状态判断用户对其所关联的任务权限是否有效,如果有效则允许用户进行操作,否则阻止用户进行操作。

现代企业的组织形式日益发生变化,垂直的企业架构已经不能满足企业敏捷性的需求,很多企业的业务使用项目组的形式来进行运作,由此带来了企业组织模型的变化[1]。这种变化对访问控制也提出了新的需求,经典的RBAC对组织结构以角色及其继承关系进行描述,这已经不能适应现代企业的实际情况。我们需要在访问控制模型中包含企业的组织结构以完成更优化的授权。应用企业建模工具建立组织模型,然后将用户与角色的关联转变为用户与组织的关联,这种转化的可以将角色的管理和权限的分配进行解耦并增强访问控制模型对企业组织的描述能力和模型的灵活性。

2 集成化企业建模理论

集成化企业建模理论是由清华大学的范玉顺教授针对现存企业建模存在的问题提出的一种先进的建模理论[1,6]。集成化企业建模体系结构由生命周期维、视图模型维、通用性层次维组成三维立方体。

生命周期维主要研究建模过程的问题,通用层次维将企业模型按粒度抽象为不同的层次。视图模型维包括了过程视图、组织视图、资源视图、文档视图在内的多种视图,不同的视图描述企业的不同侧面,其中过程模型作为核心,将其余模型通过关联与引用联系起来。

集成化企业建模中的组织模型用来定义企业组织形式和人员模型。组织模型由组织单元、虚拟组织单元、工作组、人员、角色、职位等元素组成。组织单元之间的隶属关系构成企业的组织树,组织结构树描述了企业的静态模型。为了便于对企业进行管理,引入了虚拟组织单元,用于表示企业高层管理人员对几个下级部门的管辖权。工作组描述的则是企业中动态的组建的跨部门的人员组合,主要用于对项目进行描述。角色描述完成一种企业职能所需要的具有特定技能或职位的人员属性,而职位是面向企业行政责任的组织属性,代表企业人员在管理上的等级关系[1]。

组织模型描述了企业精确的组织架构,这种描述弥补了传统的RBAC中对企业组织模型描述能力的不足。在IEM-BAC模型中使用企业组织模型来描述访问控制模型中的组织关系,这样不仅能够增强访问控制模型对组织的描述能力,还能够将授权与角色的管理解耦。

集成化企业模型的资源、产品、信息等视图描述了企业的各种需要保护的要素,这些要素将成为访问控制的对象。

3 RBAC,TBAC

传统的DAC和MAC访问控制模型不能满足企业环境下的访问控制。1992年,David Ferraiol和Kuhn第一次提出了基于角色的访问控制模型(role based access control,RBAC)[3]。在RBAC中定义了用户、角色、权限三种主要元素,它的基本思想是:将客体权限授予角色,用户通过扮演角色而获得权限,用户和权限没有直接的关联。在企业环境下,企业中的角色以及角色的权限是比较固定的,相对而言人员的流动要更大一些。所以直接对人员进行授权是比较耗时且易于出错的,而在人员和权限之间加上角色层,这样有利于人员与权限的解耦,减少管理成本。完整的RBAC还引入了权责分离(SoD,Seperation of Duty)以及角色的继承,完整的RBAC模型如图1所示[4]。

现代企业的运行离不开业务流程,而每个业务流程又分为不同的任务并由企业员工协作完成。为了保护企业的信息安全,需要对任务关联的资源进行访问控制。

RBAC不能满足工作流环境下的动态授权问题。1994年,Sandhu和Thomas提出了基于任务的访问控制模型(taskbased access control,TBAC)[7]。TBAC扩展了传统的基于主体/客体的访问控制模型,它引入了基于任务的上下文信息对权限的影响。文中提出授权步骤的概念,每一个授权步骤和一个保护态(一组权限)相关。保护态随着任务的状态变化而改变,并且根据保护态的状态对用户进行授权。1997年,Thomas和Sandhu借鉴RBAC96的模式,提出了TBAC的模型框架。在此文章中,Thomas将TBAC分为TBAC0、TBAC1、TBAC2和TBAC3。TBAC0是框架的基础,他提供了对任务、授权步骤、不同授权步骤之间的关联建模的基础。TBAC1和TBAC2包含TBAC0并包含了更多的特性。TBAC1包含了授权的组合而TBAC2包含了约束。TBAC3包含了TBAC1和TBAC2的所有特性[5]。

4 IEM-BAC模型

本节中我们将集成化企业模型融入到访问控制中,然后建立IEM-BAC模型并给出其文字及形式化描述。IEM-BAC模型如图2所示。

4.1 IEM-BAC主体管理

1)区分用户和人员。首先企业人员不一定是信息系统的使用者,如流水线的操作员可能就不是BI系统的使用者;再者信息系统的用户也不一定是企业的人员,如咨询公司的实施人员,所以我们需要将用户和企业人员区分开来。

2)用户通过用户管理工具进行管理,人员引用集成化企业模型中的组织模型,当存在关联关系时,用户与人员是一对一关系。访问控制模型中的其余组织信息引用集成化企业模型的组织视图,包括人员、职位、角色,以及角色的继承关系。

3)对于非企业人员的用户(如实施团队),我们通过用户组对其进行授权管理。因为非企业人员用户不适合使用企业的组织模型描述。

4.2 IEM-BAC授权管理

1)静态授权。用户的静态授权通过RBAC实现,在这里我们将传统的角色细分为用户组、代理、角色、职位等,区分这些角色有利于精确的授权。授权客体引用集成化企业模型中的各个视图,其中资源视图可以描述企业的各种资源,这使得IEM-BAC具有了很强的企业资源描述能力,也大大扩展了IEM-BAC的控制范围。

2)动态授权。用户的动态授权通过TBAC实现,一个任务关联一个权限的集合和一个主体集合,系统根据任务的执行状态动态改变主体对此权限集合的状态,图3是权限集的状态图[5]。

3)代理授权。用户自授权可以通过代理的方式实现。用户可以将自己拥有的权限或自己需要承担的任务代理给其他用户。为了简化管理,不支持二次代理。代理可以通过一个五元组来描述:Del(Delegator,Delegatee,PS,TS,Status,)其中Delegator是代理的主体,Delegatee是代理的受体,PS为代理包含的权限集或任务集,TS为代理的时间跨度,Status为代理的状态。

4.3 IEM-BAC约束关系

1)静态权责分离约束[2]。SSD通过组织建模进行描述,在建立组织模型后可以指定冲突角色集CRS(Conflict Role Set),在为用户授予角色时,不能同时授予同一用户超过指定上限个角色。

2)动态权责分离约束[2]。DSD也是通过组织建摸描述的,和SSD不同的是可以为用户任意授予角色,但是用户在一次会话中不能同时激活的上限个冲突角色。

4.4 IEM-BAC形式化描述。

定义1:IEM-BAC基本术语:

分别定义用户、角色、职位、人员、任务、操作、客体、代理为Users,Groups,Roles,Positions,Employees,Tasks,Delegation,OPS,OBS,其中Roles,Positions,Employees引自组织模型。

用户代理:

Del(Delegator,Delegatee,PS,TS,Status)

权限集合[2]:PRMS⊆2OPS×OBS

用户人员集合:UE⊆Users×Employees

人员关联的用户:

⊆{⊆⊆,是空集或单元素集合。

UD⊆Users×Delegation:用户代理映射

用户作为代理者的代理集合:

delegator_del u⊆{u⊆Users ud⊆UD,

用户作为受理者的代理集合:

⊆{⊆⊆,

用户用户组映射:UG⊆Users×Groups

Group(u)⊆{u⊆Users|(u,g)⊆UG}用户所

属的用户组集合。

用户和任务映射:UT⊆Users×Tasks

角色和任务映射:RT⊆Roles×Tasks

职位任务映射:PT⊆Positions×Tasks

主体的任务集合:

⊆{⊆××|(s,type,task)⊆UT×RT×PT}

其中为主体的类型

代理任务映射:DT⊆Delegation×Tasks

角色职位映射:RP⊆Roles×Permissions

职位和权限映射:PP⊆Positions×Permissions

用户组和权限的映射集合

GP⊆Groups×Permissions

任务和权限映射:TP⊆Tasks×Permissions

主体的权限集合:

Permission(s,type)⊆{s⊆Users×Roles×Positions×Tasks|(s,type,perm)⊆GP×RP×PP×TP},其中为主体的类型:用户组、角色、职位任务。

定义:组织模型元素定义:

RolesPositionsEmployeesWorkGroups OU(VOU),CRS分别定义为角色,职位,人员,工作组,组织单元(虚拟组织单元),冲突角色集。

人员角色映射:ER⊆Employees×Roles

人员职位映射:EP⊆Employees×Positions

角色继承:RH⊆Roles×Roles是Roles集合上一种偏序关系,用≺表示。如果R1≺R2,表示R2继承R1所有的权限

职位继承:PH⊆Positions×Positions是Positions集合上一种偏序关系,用≺表示。但是职位不涉及权限的继承,仅代表一种行政的管辖关系。

定义3:工作流相关定义

Task(subjectSet,constraint,objectSet,status),一个任务实例是一个四元组,其中subjectSet表示的是任务的主体集,可以是人员、角色或者是职位等,constraint表示的是任务实例的约束(包括动态授权约束,业务约束等),objectSet表示的是完成此任务所需的业务对象集合,status表示任务的状态(包括挂起、完成、激活等)。

规则1:访问授权规则:当且仅当主体s的激活角色的权限并集包括权限permission(o,op)时,s才能对o进行op操作[2]。

规则:权责分离SoD[2]:冲突角色集CRS(m,n)中具有n个权限,其中任何大于等于个权限不能同时赋予同一用户或被同一用户同时激活。

规则3:动态授权规则[5]:当且仅当主体关联的任务处于激活状态时,主体才能使用任务关联的权限集。

5 IEM-BAC的应用

清华大学CIMS工程研究中心开发的集成化企业建模平台采用了IEM-BAC模型进行访问控制。集成化企业建模平台是一套包含集成化企业建模工具、文档管理工具、绩效管理工具、工作流管理工具的企业管控系统。集成化企业建模平台部件的逻辑结构如图4所示。

建模工具和用户管理工具使用C/S架构,工作流系统、文档管理系统以及绩效管理系统使用B/S架构。用户分别通过相应的客户端或者浏览器与应用进行交互,用户身份验证成功后,各个应用会根据用户合并后的权限(角色、职位、用户组、代理)初始化用户的界面。当用户发出操作请求后,访问控制模块会根据数据库信息实时判断用户是否具有此操作的权限并将结果以布尔型变量返回给应用,这样的好处是可以实时的控制用户权限以防止恶意操作。

用户管理工具包括用户/组管理、用户-人员关联管理、主体授权管理等功能。用户管理工具通过模型数据库、工作流数据库获取相应应用的受控客体,主体的授权信息记录在用户权限数据库中。集成化企业建模平台是大型的企业应用软件,一般需要实施团队协助企业进行实施,对于实施团队使用用户组的模式进行管理。当建立了相应的组织模型后,就可以在用户管理工具中获取组织模型中的主体并对其权限进行管理,同时通过在工具中建立人员的登录用户就可以完成对企业人员的授权。

不同的用户可以协同进行建模,分别建立各个企业模型视图,并采用数据锁定技术保持模型的一致性,即当一个用户对某个业务元素进行编辑时,其余有编辑权限的用户只能以查看的方式将其打开,保持了数据的一致性,这也是信息安全性的一个重要准则。

工作流系统通过模型适配器获得企业模型数据库中过程模型及相关定义,模型适配器将过程模型转化为中性的XPDL文件。工作流机通过和工作流数据库交互完成其工作并将相应的任务推送到用户界面。用户通过登陆自己主页后会看到自己被指派或代理的任务,访问控制模块会根据过程实例执行的历史情况判断用户任务实例权限状态,然后决定用户有权限的操作。

企业文档是企业知识管理重要的组成部分,为了弥补建模工具C/S架构灵活性不足,开发了B/S架构的文档管理系统。文档管理系统对应企业模型中的文档视图,他们通过公用的企业模型数据库进行同步。文档管理系统中的权限是静态的权限,和建模权限类似通过用户管理工具分配给相应的主体。但是企业还需要根据文档的密级限制用户的访问,因此在判断用户对文档的权限前,首先判断用户密级是否不低于文档密级,判断为真时再按照权限库中的权限进行判断。

6 结束语

本文通过分析现代企业环境下的访问控制需求,发现集成化企业模型可以很好的支持访问控制模型中的组织架构描述。在分析了集成化企业模型与访问控制模型的关联之后,将集成化企业模型融入到访问控制领域并提出了IEM-BAC,最后将IEM-BAC应用到集成化企业建模平台中。

集成化企业建模平台中的访问控制模块实现了对企业建模工具、文档管理工具、绩效管理工具、工作流管理系统的动态和静态的权限控制,说明IEM-BAC模型能够很好适应企业环境下的访问控制需求。以后的研究内容会集中在统一权限管理工具的研究,将IEM-BAC的管理范围扩展到第三方应用。

参考文献

[1]范玉顺.信息化管理战略与方法[M].北京:清华大学出版社,2008.

[2]Ferraiolo D,Kuhn D R,Chandramouli R.Role-basedaccess control[M].ArtechHourse,2007.

[3]Ferraiolo D,Kuhn D R.Role-Based Access Control:Proceedings of the NIST-NSA National(USA)Computer Security Conference[Z].1992554-563.

[4]Sandhu R,Al.E.Role-Based Access Control Models[J].IEEE Computer.1996,29(2).

[5]Thomas R K,Sandhu R S.Task-based Authorization Controls(TBAC):A Famiily of Models for Activeand Enterprise-oriented Authorization Management:Proceedings of the IFIP WG11.3 Workshop on Database Security[Z].Lake Tahoe,California:Chapman&Hall,1997.

[6]范玉顺,吴澄.集成化企业建模系统体系结构与实施方法研究[J].控制与决策.2000,15(4):401-405.

用访问控制列表打造安全网络 篇7

在网络盛行的今天,网络攻击原理日趋复杂,攻击却变得越来越简单易操作,攻击的方式也越来越多,如病毒(网络蠕虫)、针对网络服务器漏洞的攻击、拒绝服务攻击、与协议弱点相关的攻击、与不完全的密码相关的攻击等;还存在着一些额外的不安全因素,如外部组织、外部个体和内部个体的攻击等。使得网络管理员经常面临进退维谷的窘境:他们必须设法拒绝那些不希望的网络连接,同时又要允许那些正常的访问连接。虽然,可以通过其他的一些方式,如密码、权限、虚拟局域网等功能实现这些目的,但它们缺乏基本的通信流量过滤的灵活性和特定的控制手段,而这却正是许多网络管理员所需要的。例如,网络管理员或许想允许局域网内的用户访问Internet,同时他又不愿意局域网以外的用户通过Internet使用Telnet登录到本局域网。路由器提供了基本的通信流量过滤能力,例如通过访问控制列表就可以实现以上目的。

2 访问控制列表(ACL)

2.1 概述

ACL是应用在路由器(三层交换机或防火墙)接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以接收、那些数据包需要拒绝。至于数据包是被接受还是被拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。ACL的定义是基于所有协议的,如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的ACL。

2.2 ACL的用途

(1)限制网络流量,提高网络性能。

(2)提供对通信流量的控制手段。

(3)提供网络访问的基本安全手段。如图1所示,ACL可以允许PC机A访问财务服务器或会计服务器,而阻止PC机B对财务网的访问。

(4)在路由器接口处,决定哪种类型的通信流量

被转发哪种类型的通信流量被阻塞。例如,可以允许E-Mail通信流量被路由,同时却拒绝所有的Telnet通信流量。

2.3 规则的应用

2.3.1 按正确顺序创建ACL

ACL其实就是各种允许或者拒绝的条件判断语句的集合,其特点是根据从上到下的语序进行判断,当第一个条件满足时,就不会再对其他条件进行比较,因此在ACL中各条件语句的放置顺序非常重要,不注意这一点往往会使得ACL形同虚设。

2.3.2 数字表示标识

ACL分为两类:标准ACL和扩展ACL。在路由器上配置ACL的时候,必须为每一协议的ACL分配一个唯一的表号,以便标识每个ACL。标准ACL的表号从1-99,扩展ACL的表号从100-199。

2.3.3 ACL配置步骤

(1)根据要求先用文本编辑器写出需要配置的ACL,检查各语句的顺序。

(2)在路由器模拟器上测试编写的ACL。因为直接在路由器上改动会暂时影响到网络的正常运行。

(3)经测试没有问题的时候再把ACL移植到路由器上。

(4)把相应的ACL关联到路由器的特定端口。

3 配置实例

3.1 标准ACL配置

例:如图2所示,要求允许源网络地址为172.20.0.0的通信流量可以通过,而拒绝其他所有的通信流量。配置方法如下:

其实在每个ACL的最后都隐含了一句:access-list表号deny 0.0.0.0 255.255.255.255(拒绝所有)。上面的ACL中由于首先找到了允许网络172.20.0.0的通信流量通过的匹配条件,以后就不会再检查有关网络172.20.0.0的其他匹配条件了。

3.2 扩展ACL配置

利用标准ACL可以对网络流量进行一定的控制,以达到对网络性能、安全的提高。但它是基于某一特定网络或协议的所有通信量而言的,而要达到更广阔的控制范围,如只想允许外来的Web和Mail通信流量通过,同时又要拒绝外来的Ftp和Telnet等通信流量时,就只能借助于扩展访问控制列表了。这种扩展后的特性给了网络管理员更大的灵活性,可以灵活多变地设计ACL的测试条件。

例1:如图2,设计一ACL,要求允许从192.168.3.0通过s0发往别处的mail流量,拒绝FTP流量从s0出去。配置如下:

例2:如图2,禁止192.168.3.0的计算机访问192.168.5.0的计算机,包括那台服务器,不过惟独可以访问192.168.5.15上的WWW服务,而其他服务不能访问。配置如下:

3.3 形同虚设的ACL实例

例:如图2,设计一个ACL,以便阻塞来自一特定主机192.168.3.15的通信流量,而其他的通信流量则从f1接口转发出去。如下配置:

这个例子中的ACL实际是达不到题设要求的,因为第一句已经允许了所有的通信流量,那么阻塞特定主机的第二句就不会再执行了。也就是说在编写访问控制列表一定要遵照ACL的应用规则,注意ACL中的语序。

4 结语

有关ACL的内容还有很多,诸如使用命名ACL、使用带协议的ACL和使用带防火墙功能的ACL等。合理地使用好不同的ACL可以帮助网络管理员打造安全、坚固的网络系统,如扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制。不过它也存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL将消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合并是最有效的方法。

参考文献

[1]Cisco Systems公司.思科网络技术学院教程(第三、四学期)(第二版)[M].北京:人民邮电出版社,2002.132-155.

[2]蒋理.计算机网络实验操作教程[M].西安:西安电子科技大学出版社,2004.317-319.

[3]江苏省校园网网络管理人员培训中心、南京工业大学信息中心.江苏省校园网网络管理人员培训教材[M].2002.360-371.

信息系统安全访问控制的实现 篇8

关键词：信息系统,访问控制,角色,数据库

在进行信息系统设计时,除了其基本功能的实现之外,必须要考虑到访问控制的安全问题。访问控制技术一直以来就是信息安全中的一个重要研究方向,在计算机安全体系结构中有着不可替代的作用,是一个安全信息系统中的基础和核心安全措施。访问控制研究的内容主要包括两个方面:一方面从防范的角度防止非授权用户进入系统,以及阻止授权用户对系统资源的非法访问;第二方面从配合的角度保证合法用户对系统资源的合法访问。

在现有的信息系统中常用的访问控制技术有基于角色的访问控制RBAC和具有实时特性的面向应用访问控制UCON等。

1 基于角色的访问控制

基于角色访问控制的基本原理是从主体分组的思想中分流出来的[1],将对客体的访问许可权分配给角色,而不是直接分配给用户,这样用户根据自己的职责职位等等得到不同的角色,也就拥有了相应的角色所具有的权限。

用户与角色之间是一个多对多的映射关系,用户所拥有的是他所拥有的全部角色的访问权限的总和。角色是由安全管理员来定义的,角色成员的改变也是由安全管理员来实施的,也就是说,只有安全管理员才有权力定义各种角色和指派用户到某一角色。用户不能通过用户的名义来访问相应的客体,他们两者之间没有任何直接的关系,用户只能通过角色的名义才能访问相应的客体。

基于角色的访问控制模型有三条基本的安全原则[2]:

1)最小权限原则,只给角色分配所需的权限的最小集,也就是说默认的权限是不可访问,这样做的目的是为了保障系统的安全,不给任何角色以任何多余的访问权限;

2)职责分离原则,在企业中或系统中可能会存在着互斥的角色,例如财务工作的出纳和会计从理论上就不允许由同一个用户来担当,RBAC可以进行相应的限制,使得任何用户不同时是互斥角色中的成员;

3)数据抽象原则,在基于角色访问控制模型中可以在不同的层次对权限进行不同的定义,它支持数据抽象的程度决定于具体的系统要求和实施RBAC访问控制的细节。

2 具有实时特性的面向应用访问控制的实现

传统的访问控制仅仅关注的是访问控制的权限授予与传递过程,系统根据主体提出的服务请求、主体和客体的安全标识或者安全等级等等属性以及本地的访问控制策略,做出访问的许可或不许可的决定。

显然,仅仅考虑权限授予与传递的过程是远远不够的,还需要将访问控制过程中的其他因素考虑进来,比如:主体的职责、动态变化的条件、访问的连续性、主客体的易变性等等。Sandhu等人提出了使用控制模型(UCON)的概念[3]。UCON模型包含了主体、客体和访问这三个最基本的要素,还新增加了两个要素:条件(Conditions)和职责(Obligations)。条件是与系统环境、访问历史、上下文以及系统的当前状态有关的约束的集合;职责则是在权限授予以及传递的过程中,允许访问请求者对相应的资源进行访问前要经过检验的一个决策因素的集合,一般来说,职责是主体在实施特定的访问之前必须履行的相关义务以及行为。

UCON模型跟传统的访问控制模型相比,另外还具有另外两个典型的特点:连续性和可变性。其中连续性主要体现在访问者的访问往往具有一定的时间上的连续,而且有时还包括了实时性,所以对访问权限的校验不仅仅是在访问过程之前,而是贯穿于整个访问过程之中;可变性主要表现在访问者和资源的相关安全标识或安全等级等等属性会在访问过程发生变化,这个特点与连续性其实是相关的。

3 数据、安全与审计的三权分立原则

在进行信息系统设计与实施的时候,还要充分考虑到数据、安全与审计的三权分立。即在系统中不仅要有数据库管理员、安全管理员与安全审计员,而且这些角色是互斥的,不能有一个人担任其中两项或两项以上的职责。

数据库管理员的职责是进行数据库的管理,安全管理员的职责是进行角色设置以及权限分配等等,而安全审计员的主要职责是进行数据库操作日志等的审计等等。

事实告诉我们,在一个信息系统中,其安全隐患往往存在于内部,因此必须加强系统管理人员的身份认证以及合理的职责分工。上述三者的职责不应相互渗透,否则容易出现管理上的漏洞,导致信息系统的安全性受到威胁。

4 数据库的冗余设计、日志管理和备份处理

在进行数据库设计的时候,一般要遵循数据库的范式理论,达到基本的三范式或者巴斯科德范式,但在实际应用的过程中也会发现,适当的冗余设计有时候会达到提高效率和方便查询的意外效果。如果在信息系统的实施过程中遇到此类情况,最大的问题就是在进行数据库操作的时候要保证数据的一致性,不要由于设计的冗余而带来数据不一致的影响。

数据库日志是信息系统安全的重要因素,日志可以保存数据库被访问和改动的历史,可用于数据库的回溯,也是在进行信息安全取证时的重要依据。

数据库备份操作同样是系统数据安全的重要保证,定期进行冷备份操作可以防止由于意外而带来的数据丢失或者损坏,将损失减少到最小。而多机热备份技术一般都是用在实时性要求高、数据库更新快、数据重要性高的金融证券等场合,可以确保数据不因意外事故而丢失。

5 结论

信息系统设计的过程中要考虑的安全因素除了上述的一些技术之外,还有很多别的因素。尤其是一些专用的信息系统,还需要结合它的应用场合和情况有一些另外的安全要求,但访问控制技术是必不可少的。本文重点讨论的是原则性的一些内容,具体的实现则可以在进行信息系统开发的过程中分配角色和权限后,采用基于口令的校验等等方式来实现。

参考文献

[1]Ferraiolo D,Huhn R.Role-based Access Control[C]//Baltimore,MD,USA:Proceedings of the15th NIST-NCSC National Computer Security Conference,1992:13-16.

[2]Ahn G J,Sandhu R.Role-based Authorization Constraints Specification[J].ACM Transactions on Information and System Security,2000,3(4):207-226.

我国网络安全访问控制技术发展初探 篇9

现今的发展形势造就了网络的快速进行与“成长”,由于信息化理念的不断加固,各国对于网络技术的发展一直给予相当的关注了,我国更是将网络技术作为我国发展的重要研究技术之一, 其功能的重要程度已经显而易见,由此看来,对其安全访问控制技术的研究具有着一定的现实意义和理论意义。

1网络安全访问控制技术的重要性

网络安全访问控制技术,其所指的是通过一定的网络技术手段,或者是网络系统设置对访问网页时所出现的安全问题进行控制,进而保证人们的生命财产安全,例如在访问网页时,一些时候会在弹窗的位置出现“该网站具有着一定的风险性,请谨慎访问”这样的字样,这正是一种网络安全控制的方法,通过相关方面的认证、证实,对网站、网页进行安全性能评定,并对使用者进行提醒,保证使用者的信息、财产安全。

2我国网络安全访问控制技术发展中的问题

2.1网络安全访问控制技术理论的匮乏

尽管在国内有大量的研究学者针对网络安全访问控制技术进行了细致的研究,但是由于研究的范围仅仅限制于国内,并没有现成一定的研究领域,因此,虽然这些学者提出了相应的研究理论,但是却存在着一定的局限性,这样的局限性大大降低了网络安全访问控制技术的理论更新程度,无法真正的形成系统的理论体系。

2.2网络安全访问控制技术人才的匮乏

就现今的网络技术教育形式而言,单单只是进行传统的网络技术教育形式,不仅缺少一定的教学实践结合,更是在教学模式上也遵循一般的知识灌输制,很难让学生自身的才华得以发展, 这就使得一些学生在进行网络安全访问控制技术学习时内心当中形成一定的抵触心理,影响教学效果,也就很难培养出更多更优秀的网络安全访问控制技术人才,虽然现今的教育形式已经有所改变,但是针对网络安全访问控制技术人才培养这一技术类教学科目在一定程度上,还略显死板,令学生有新的创新手段而无法得以施展,最终不了了之。

2.3网络安全访问控制技术经验的匮乏

由于我国针对网络安全访问控制技术的研究相比较其他国家而言,在时间上,还存在着一定的差距,因此,缺乏一定的网络安全访问控制技术经验,作为网络安全访问控制技术开发的基础,网络安全访问控制技术经验的匮乏会导致我国的该项技术创新和改良出现一定的滞缓效果,无法有效的进行网络安全访问控制技术的研究工作。

3我国网络安全访问控制技术发展问题的对策

3.1坚持理念创新和融合

上文提到我国现今的网络安全访问控制技术理论相比较其他技术先进国家而言较为匮乏,因此我国的网络安全访问控制技术理论应当更加注重技术知识理念的创新与融合。例如,在加密权限代码的访问控制技术进行研究时,可以在需要加入<%%>的地方采取集中原则添加代码。例如:<%responeswrite”<p>设备编号:”&qdata(“sbbh”)&”</>P<P>设备名称”&qdata(“bsmc”)&”</>P<P>,存放位置:”&qdata(“cwfz”)&”</P>”%>等。

同时在创新模式中也可以在网络安全访问控制中尝试加入登录审核模式模块,让登录的安全和标准性获得增加,具体的登陆前台模块-freemarker模板核心代码为:

3.2加强人才引入和培养

本文所论述的人才引入和培养实际上指的两方面的内容,第一方面是对具有的丰富网络安全访问控制技术知识底蕴的国外人才进行招纳,并且择优录取,令其将本身所拥有的网络安全访问控制技术知识实际到应用到我国的网络安全访问控制系统的设计过程中来,保证我国技术性知识的完备性和吸纳性。第二方面,指的是对网络安全访问控制技术技术人才的培养,在进行网络技术知识教学时,要结合当下的教育情况合理的进行教育模式的设定,并且采用实践与理论相结合的办法进行教学,在教学过程中教师保持学生的思维创新性。

对于网络安全访问控制技术的研究而言,我国的研究水平和国际的研究水平还存在着一定的差距,这就需要我国加强网络安全访问控制技术的研究力度,对国外先进的网络安全访问控制技术知识进行掌握,并且学习先进的网络安全访问控制技术经验, 可以采用经验交流团的形式,到一些科技比较发达的国家或者是公司中去,进行经验交流,找到自身网络安全访问控制技术方面的不足,并且加以改正,双方共同进步。进而还可以实现我国与国际的技术性接轨。

4结语