第9章 访问控制

第九章访问控制访问控制概述14访问控制策略2未来发展趋势5访问控制模型3行业PPT模板/hangye/应用举例9.1访问控制概述工作回顾发展历程主体与客体自主访问控制1960s-1970s所有者决定权限Unix/Linux的文件权限Windows文件系统中的ACL强制访问控制1970s-1980s系统决定权限Bell-LaPadula模型Biba模型基于角色的访问控制1990s-2000s用户通过担任角色间接获得权限企业资源计划系统、数据库权限管理基于属性的访问控制2000s至今利用一切可用的信息做动态判断云服务中的身份与访问管理策略三个原则9.1访问控制概述工作回顾发展历程主体与客体访问的发起者，如用户、进程等。主体被访问的资源，如文件、设备、进程使用的内存空间等。客体用户Alice是主体，文件/home/Alice/secret.txt是客体，Alice作为文件所有者可对文件客体进行读写。在数据库管理系统中，用户admin是主体，数据库表employees是客体，admin拥有所有权限，普通用户user1仅能查询，体现了主体与客体的权限关系。三个原则访问控制用于限制用户或系统（主体）对资源（客体）的访问权限。它是一套“谁”能对“什么资源”进行“什么操作”的规则。它的核心目标是确保只有经过授权的用户或程序才能以被允许的方式访问特定的数据，从而保护信息的机密性、完整性和可用性。9.1访问控制概述工作回顾发展历程主客体定义三个原则最小特权原则：每个主体仅被授予执行任务所必需的最小权限。例如，普通员工使用公司电脑时，员工无安装软件或修改系统配置权限，需要安装软件时通过临时申请管理员权限完成，避免误删系统文件或安装恶意软件。最小特权原则多人负责原则：将关键任务或权限分配给多个人员，确保单一个体无法独立完成高风险操作。某公司支付大额款项时，会计发起支付申请，财务经理审批，出纳执行转账，三人协作完成，避免内部贪污或错误支付。多人负责原则职责分离原则：将关键任务或敏感操作拆分为多个步骤，分配给不同个体执行。财务系统中，公司支付供应商货款，采购员提交付款申请，财务经理审核申请真实性，出纳执行转账操作，防止会计人员伪造付款记录挪用资金。职责分离原则9.1访问控制概述工作回顾发展历程主客体定义三个原则维度多人负责原则职责分离原则核心多人协作完成同一任务拆分冲突职责给不同人防风险重点单人滥用或失误合谋或利益冲突应用场景高敏感操作（如系统权限管理）业务流程设计（如财务、审计）多人负责：像“双人共管保险箱”，必须两人同时在场才能打开。职责分离：像“会计和出纳分开”，管账的人不能直接接触现金。多人负责原则和职责分离原则是信息安全和组织管理中的两个重要概念，虽然两者都涉及分权制衡，但核心目标和应用场景有所不同。9.2访问控制策略工作回顾DACMACRBACABAC基本特点DAC适用于用户数量少，信任度高并且强调灵活性的场景。可以用于小型企业内部文件共享。员工A在自己的电脑上创建了一个“项目资料”文件夹，他可以自主决定让同事B能读取，同事C能修改，而同事D不能看。适用场景1.自主访问控制（DiscretionaryAccessControl，DAC）DAC核心思想是“客体的所有者决定谁可以访问它”，所有者可以直接或间接地将拥有的资源访问权限授予其他用户。DAC通过访问控制列表或权限位实现权限管理。DAC的缺点是用户可能因疏忽而过度分配权限，导致敏感信息泄露。9.2访问控制策略工作回顾DACMACRBACABAC自主访问控制策略通常采用以下几种方法来描述。（1）访问控制矩阵9.2访问控制策略工作回顾DACMACRBACABAC（2）访问能力表（3）访问控制列表9.2访问控制策略工作回顾DACMACRBACABAC2.强制访问控制（MandatoryAccessControl，DAC）基本特点MAC适用于军事、政府和金融核心系统等对安全性要求极高的场景。军事系统中，文件被标记为绝密、机密等不同密级，用户根据其安全级别访问相应密级文件。适用场景MAC的核心特点是权限由系统策略预先定义，用户无法自行修改权限分配。MAC基于安全标签进行访问控制。MAC的优点是安全性高，能有效防止敏感信息泄露和非法访问，但缺点是灵活性差。9.2访问控制策略工作回顾DACMACRBACABAC3.基于角色的访问控制（RoleBasedAccessControl，RBAC）RBAC通过角色间接分配权限，权限不直接赋予用户，而是关联到角色，用户通过扮演角色获得权限。系统管理员只需管理角色与权限的关系，减少了权限管理的复杂性，提高了管理效率。RBAC的基本特点适用于企业信息系统、医疗系统、云平台等场景，例如企业的财务、采购、库存管理系统，大学的教务系统、选课系统，多租户隔离的云平台。RBAC的优点是管理简单，能有效简化大规模系统的权限管理，提高管理效率。RBAC的适用场景9.2访问控制策略工作回顾DACMACRBACABACABAC的基本特点ABAC通过主体、客体、环境的属性组合动态决定访问权限，而非固定角色或标签。系统管理员根据需求定义属性和策略，用户访问资源时，系统根据实时属性和策略动态判断是否授权。4.基于属性的访问控制（AttributeBasedAccessControl，ABAC）RBAC中，只要你是"经理"角色，权限就是静态的；ABAC可以做到：你是"经理"，但只有在上班时间且从公司内网登录时，才能访问财务系统。ABAC的适用场景云环境与多租户平台、大型跨国企业或组织结构复杂的企业、医疗行业（电子病历）、金融行业（个人信贷记录）、远程办公与零信任安全架构。9.2访问控制策略工作回顾DACMACRBACABACABAC应用场景举例：员工从任意地点、任意设备访问公司的内网应用。为什么选择ABAC？零信任的核心是"永不信任，始终验证"，ABAC是实现这一理念的最佳模型。每一次访问内网的请求都要基于当前设备健康度（是否安装杀毒软件）、地理位置（是否在受信任国家）、访问时间（是否非工作时间）进行风险评估。例如：如果系统检测到用户登录IP来自非经常驻地，且设备未更新系统补丁，ABAC策略就会判定该用户的访问请求为“高风险”，即使该用户拥有合法的角色，也要拒绝其访问或要求二次验证。9.2访问控制策略工作回顾DACMACRBACABAC维度RBACABAC核心静态的"角色"动态的"规则"管理复杂度角色少时简单，角色多时复杂（爆炸）初期建模复杂，后期扩展性好动态性低（静态分配）高（基于上下文实时计算）粒度粗到中（功能级、模块级）细（数据级、字段级、操作级）适用规模中大型企业（组织架构稳定）超大型/跨国企业（环境多变复杂）ABAC与RBAC的对比与选择实际应用：现代大型系统通常采用

RBAC+ABAC的混合模式。即：用RBAC做粗粒度的权限划分（你是谁），用ABAC做细粒度的过滤和增强控制（在什么条件下可以）。9.3访问控制模型工作回顾概述BLP模型强制访问控制系统中，所有的访问控制策略都由系统给出，而非由用户自行决定。MAC系统中，影响访问决策的三个决定性因素：主体的标签：即主体的安全许可，如TOPSECRET[LongMarch3carrierrocket]客体的标签：如文件的敏感标签SECRET[carrierrocket]。访问请求类型：如主体是读还是写操作。根据主体和客体的敏感标签和读写关系可以有以下四种组合：下读(Readdown)：主体级别高于客体级别的读操作。上写(Writeup)：主体级别低于客体级别的写操作。下写(Writedown)：主体级别高于客体级别的写操作。上读(Readup)：主体级别低于客体级别的读操作。这四种组合中不同的读写方式产生出不同的安全模型。Biba模型9.3访问控制模型工作回顾概述BLP模型Biba模型Bell-LaPadula模型是强制访问控制最典型的例子，它是由DavidBell和LeonardLapadula于1973年提出的，简称BLP模型。在BLP模型中，分配给客体对象的标签称为安全分级，分配给主体对象的标签称为安全许可。安全分级越高，信息就越敏感(越需要保护其机密性)。当指主体的许可级和客体的密级时，使用术语“密级”。密级可以分为绝密、机密(Secret)、秘密(Confidential)及公开。BLP模型的用途是要防止主体读取安全密级比其安全许可级更高的客体。该模型可以防止保密信息被未授权的主体访问。9.3访问控制模型工作回顾概述BLP模型Biba模型BLP模型的规则与特点BLP模型的规则：禁止上读、禁止下写（下读、上写）。通过严格的密级划分和访问规则，确保高密级信息不被低密级用户访问。BLP模型的“向上写”策略使得低安全级别的主体篡改敏感数据成为可能，破坏了系统数据的完整性。BLP模型的应用实例BLP模型适用于对保密性要求极高的场景。如美国NSA系统处理绝密、机密信息时，通过密级划分和访问规则，确保只有同级或更高级用户才能读取机密文件，防止信息泄露。9.3访问控制模型工作回顾概述BLP模型Biba模型20世纪70年代，KenBiba提出了Biba访问控制模型，该模型对数据提供了分级别的完整性保护，应用于强制访问控制系统。Web服务器拒绝低级别用户的写入请求，防止低完整性用户破坏Web服务器数据的完整性。在医疗数据管理系统中，通过Biba模型防止低完整性用户篡改患者病历信息，确保患者病历信息的完整性。Biba模型的应用Biba模型的规则与特点Biba模型的规则：禁止下读、禁止上写（上读、下写）通过完整性级别划分和访问规则，确保高完整性信息不被低完整性用户破坏，保护信息完整性。9.4访问控制模型应用举例工作回顾策略选择方法应用举例通常，对灵活性要求高的场景选择DAC，对安全性要求高的场景选择MAC，对大规模系统选择RBAC，对复杂多变的现代系统选择ABAC。选择访问控制策略时，还需考虑系统的规模、复杂性和管理成本等因素，综合评估选择最适合的策略。1根据业务需求选择访问控制策略例如，企业信息系统中采用RBAC和最小特权原则，通过角色管理权限，同时确保每个角色的权限最小化，提高系统的安全性和管理效率。实际应用中，还可根据业务需求定制访问控制策略，如在医疗系统中，结合RBAC和BLP模型，保护患者隐私和医疗数据的保密性与完整性。2运用多种策略优化访问控制体系9.4访问控制模型应用举例工作回顾策略选择方法应用举例示例：某中型企业（约1000人）拥有多个业务系统，包括财务系统、人力资源系统、客户关系管理系统（CRM）和内部文档协作平台。系统承载着核心商业数据、员工隐私信息和客户资料，面临内部越权访问、数据泄露和合规审计风险。目标：构建一套基于最小特权原则和职责分离原则的访问控制体系，确保数据安全性、操作合规性，并兼顾管理效率。请你为一个企业信息系统设计合理的访问控制策略……9.4访问控制模型应用举例工作回顾策略选择方法应用举例一、访问控制模型选型综合考虑企业需求，采用以RBAC为核心，ABAC为补充，局部辅以DAC的混合模型。RBAC：用于大部分业务场景，根据岗位定义角色，简化权限管理。ABAC：用于需要动态上下文判断的场景（如敏感数据访问时间、地理位置限制）。DAC：用于个人文档库、临时共享场景，允许员工自主控制自己创建的文件。9.4访问控制模型应用举例工作回顾策略选择方法应用举例二、权限设计原则应用1.最小特权原则具体设计财务专员：仅拥有“凭证录入”、“账目查询”权限，无“凭证审核”、“银行付款”权限。销售代表：仅可查看自己负责的客户信息及合同，无法访问其他销售代表的客户数据。HR专员：可维护员工基本信息，但无法查看薪资数据（薪资数据仅HR经理可访问）。2.职责分离原则设计财务系统：“凭证录入员”与“凭证审核员”互斥“付款发起人”与“付款审批人”互斥HR系统：“薪资计算员”与“薪资发放员”互斥“招聘专员”与“录用审批人”互斥IT系统：“系统配置员”与“日志审计员”互斥9.4访问控制模型应用举例工作回顾策略选择方法应用举例角色名称所属部门权限描述互斥关系财务专员财务部凭证录入、银行对账、费用报销录入与财务经理、财务审核员互斥财务经理财务部凭证审核、付款审批、财务报表查看与财务专员互斥HR专员人力资源部员工档案维护、考勤数据录入不可查看薪资字段HR经理人力资源部薪资计算与发放、人事审批与HR专员互斥（防止私自篡改薪资）销售总监销售部查看所有销售数据、审批折扣无文档所有者全员对自己创建的文件拥有完全控制权（DAC）无1.角色定义（部分示例）三、访问控制方案9.4访问控制模型应用举例工作回顾策略选择方法应用举例2.细粒度控制（ABAC补充）薪资数据访问：允许HR经理在工作时间（09:00-18:00）且从公司内网IP访问薪资表；禁止任何导出操作。财务审批：付款金额>10万元时，必须经过财务经理+财务总监双重审批CRM数据隔离：销售代表只能查看region=自己的区域且customer_status=‘active’的客户记录。3.个人文档自主控制（DAC）每位员工在文档协作平台拥有个人文件夹，默认仅自己可读写。允许员工自行共享给指定同事（