身份与访问控制4 -实施和管理授权机制

4.实施和管理授权机制

许可、授权、特权

• 许可Permissions：许可是指授予对象的访问权以及对具体访问权内容的确定。如果对文件有读取许可，就能打开和阅读文件。可以授予用户权限来创建、读取、编辑或删除文件服务器上的个文件。

• 权限 Rights：权限主要是指对一个对象采取行动的能力。例如，一个用户可能有权修改电脑上的系统时间或有权恢复备份数据。

• 特权Privileges：特权是许可和权限的结合。例如，电脑管理员会有完整的特权，允许管理员在电脑上有充分的许可和权限。管理员将能够在计算机上执行任何操作并访问任何数据。

授权机制

• 访问控制矩阵：是一个包括主体、客体和分配权限的表格。当主体想要执行某个动作时，系统检查访问控制矩阵来确定主体是否有适当的权限来执行该动作。例如，一个访问控制矩阵可以包括一组文件作为客体，一组用户作为主体。它将显示每个用户为每个文件授予的确切权限。注意，内容远远超过单个访问控制列表（ACL）。在这个例子中，在矩阵中列出的每个文件都有单独的ACL，列明了授权用户和他们被分配的权限。

• 功能表：是确定分配给主体特权的另一种方式。它们不同于ACL，因为功能表关注主体如用户、组或角色）。例如，为会计角色创建的功能表将包括会计角色可以访问的所有客体列表，以及分配给会计角色对这些对象的特定权限。相比之下ACL 专注于客体。ACL是一些会列出被授权访问文件的所有用户和或组及其具体授权内容的文件。

  ACL和功能表的区别是专注点。ACL 专注于客体，能识别对任何特定客体才授予的主体访问权。功能表专注于主体，能识别主体可以访问的客体。

     

• 限制接口：应用程序使用限制接口来根据用户的特权限制用户可以做什么或看什么。拥有完整特权的用户对应用程序的所有功能都有访问权。拥有限制特权的用户访问权有限。应用程序使用不同的方法限制接口。如果用户没有权限使用它，那么一种常见的方法是隐藏功能。例如，管理员可以通过菜单或右击某项来获得命令，但如果普通用户没有权限，命令就不会出现。其他时候，应用程序显示菜单项，但它们是暗的或禁用的。普通用户可以看到菜单项，但无法使用。

授权机制

• 内容有关的控制：基于客体中的内容来限制对数据的访问。数据库视图是基于内容的控制。视图从一个或多个表中检索特定列，创建一个虚拟表。

  例如，数据库中的客户表可能包括客户名称、电子邮件地址、电话号码和信用卡数据。基于客户的视图只会向用户展示客户名称和电子邮件地址，但没有别的信息。被授予访问视图权限的用户可以看到客户名称和电子邮件地址，但不能访问底层表中的数据。

• 基于上下文的控制：上下文相关的访问控制需要在授予用户访问权之前进行特定的活动。例如，考虑在网上销售数码产品的交易的数据流。用户将产品添加到购物车中，开始结账过程。结账流程的第一页显示购物车中的商品，下一个页面收集信用卡数据，最后一页确认购买并提供下载数码商品的指令。如果用户不先完成购买过程，系统会拒绝对下载页面的访问。也可以使用日期和时间控制作为上下文相关的控制。例如，可以基于当前日期和/或时间限制对计算机和应用程序的访问。如果用户试图在允许时间之外的时间访问资源，系统就会拒绝他们的访问。

• 知其所需：这条原则确保主体只在他们的工作任务和工作职能有要求时被授予访问权。主体可能有访问机密或限制数据的许可，但没有获得数据访问授权，除非他们真正需要来执行工作

• 最小特权：最小特权原则确保主体只被授予他们】执行工作任务和工作职能所需的特权。这一原则有时和“知其所需”原则混为一谈。唯一的区别在于，最小特权还将包括在系统上采取行动的权利。

• 职责分离：这一原则确保敏感功能被分成由两个或两个以上员工执行的任务，这有助于通过创建制衡系统来防止欺诈和错误。

用安全策略定义需求

• 安全策略是一个定义了组织安全需求的文档，它识别需要保护的资产，以及安全解决方案应该去保护它们的程度。

• 策略是访问控制的一个重要元素，因为它们帮助组织内的人员了解什么安全需求是重要的。高层领导批准安全策略，并且在这一过程中对组织的安全需求进行广泛的概述。

• 安全策略通常不涉及有关如何满足安全需求或如何实现策略的细节。例如，它可能会说明实现和执行职责分离和最小特权原则的必要性，而不会说明如何这样做。组织内的专业人士使用的安全策略将作为实现安全需求的指导。

自主访问控制((Discretionary Access Control, DAC)

• 自主访问控制模型的一个关键特征是每个客体都有一个所有者，所有者可授予或拒绝其他任何主体的访问。例如，如果你创建了一个文件，则你是文件的所有者并可授予任何其他用户访问该文件的权限。在微软Windows的NTFS文件系统使用DAC模型。

• 常常使用针对客体的访问控制列表（ACL）来实现DAC模型。每个ACL都定义了对主体准许或限制的访问类型。因为客体的所有者可以改变针对客体的ACL，所以自主访问控制并不提供集中控制的管理系统。在自主访问控制模型中，每个客体都有所有者（或数据保管员），所有者完全控制他们的客体ACL中保存的权限（如文件的读取和修改），所有者可以很容易地更改权限，这使得模型非常灵活。（owner说了算）

非自主访问控制

• 可自由支配和不可任意支配的访问控制之间的主要区别在于如何对它们进行控制和管理。管理员会对不可任意支配的访问控制进行集中管理，并可以做出影响整个环境的改变。相比之下，自主访问控制模型允许所有者做出自己的更改，且他们所做的更改不会影响环境中的其他地区。

• 任何不是可自由支配的模型都是非可任意支配的模型，访问不关注用户的身份。相反，支配整个环境的静态规则组管理访问。

• 非自主访问控制包括：
  

1. Role-BAC基于角色的访问控制

2. Rule-BAC基于规则的访问控制

3. ABAC基于属性的访问控制

4. MAC强制访问控制

自主和非自主访问控制的区别

• 自主和非自主访问控制之间的主要区别在于如何对它们进行控制和管理

• 自主访问控制允许文件所有者来指定权限。

• 非自主访问控制需要一个系统的管理员在系统中来定义和严格控制文件的访问规则。

  
  

1. 基于角色的访问控制（Role Based Access Control，Role-BAC）

• 基于角色的访问控制基于角色的访问控制模型的一个关键特征是角色或组的使用。用户账户不是直接向用户分配权限，而是放置在角色中，管理员为角色分配权限。这些角色通常由职责功能标识。如果用户账户处于某角色中，则用户具有该角色的所有权限。微软Windows操作系统使用组实现此模型。

• 关于“基于角色的访问控制模型”的特色观点：主体可以通过他们在角色中的资格对资源享有访问权。角色是基于工作或任务的，管理员会对角色分配特权。role-BAC模型对于实施最小特权原则非常有用，因为特权可以通过从角色中移除用户账户而被很容易地撤消

2. 基于规则的访问控制（Rule Based Access Control ，Rule-BAC）

• 控制基于规则的访问控制模型的一个关键特征是它采用适用于所有主体的全局规则。例如，防火墙使用的规则允许或阻止所有用户的流量。基于规则的访问控制模型中的规则有时被称为“限制”或“过滤器”。

• Rule-BAC模型的一个常见例子是防火墙。防火墙包括ACL中的一组规则或过滤器，由管理员定义。防火墙检查所有流经防火墙的流量，并只允许符合规则的流量通过。

3. 基于属性的访问控制（Attribute Based Access Control ABAC)

• 传统的Rule-BAC 模型包括适用于所有用户的全局规则。Rule-BAC的一个高级实现是基于属性的访问控制模型（ABAC）

• ABAC模型使用包括多个属性的规则的策略。许多软件定义的网络应用程序使用ABAC模型。

4. 强制访问控制（Mandatary Access Control）

• 依赖于分标签的使用，每个分类标签代表一个安全域或者安全领域，安全域是共享一个公共安全策略的主客体集合。
  

• MAC模型通常被称为基于格子的模型，要求系统能够根据组织安全策略来管理访问控制。

• 通常用于高度敏感的系统和数据。

• 基于系统和信息属主间的交互合作。属主提供了谁需要知道，控制该系统并决定访问控制。

• MAC和基于规则的访问控制之间的区别因素是：MAC控制有标签，而基于规则的访问控制不使用标签。

MAC使用的环境

• 分层环境：将有序结构中的各个分类标签与低安全等级、中安全等级、高安全等级相互联系，一个级别的许可授予主体访问这一级别以及更低级客体的权限，但禁止访问更高级别的所有客体。

• 隔间区分环境：一个安全域和另一个安全域之间没有关系。每个域代表一个单独的隔间。为了获取对某个客体的访问权，主体必须有对其安全域的具体许可。

• 混合环境：结合了分层和隔间区分的概念，以使每个等级水平可能包含更多细分等级，与安全域的剩余部分相隔离。

本文始发于微信公众号（网络安全等保测评）：身份与访问控制4 -实施和管理授权机制