信息安全技术与实施（第4版） 课件 项目4 访问控制技术与应用 -

认识访问控制技术厚德强能、求实创新第四章任务1访问控制概述1访问控制策略模型21访问控制概述访问控制基本概念厚德强能、求实创新在任何的信息系统中，资源都不是无限制开放的，而是在一定约束条件下，用户才能使用。访问控制（Access

Control）是在认证服务的基础上，依据预先定义的控制策略，授予主体访问客体的权限，并对主体使用权限进行有效控制的过程。1.访问控制基本要素（1）主体S（Subject），资源的访问者，可导致信息在客体间流动，或使系统状态发生变化的主动实体。（2）客体O（Object），接受主体访问的被动实体，是需要被保护的资源。所有可以被操作的信息、资源、对象都可以是客体。（3）访问控制策略A（AccessControlPolicy），也称安全策略。是一种将系统状态划分为安全态/授权态（系统可进入的状态）和非安全态/未授权态（系统若进入这些状态，则违背了安全性）的声明，用来控制和管理主体对客体访问的规则集。（4）参考监视器（Reference

Monitor），也被称为引用监督器，或参照监视器。是访问控制的决策单元和实施单元的集合体，控制从主体到客体的每一次操作，监督主体和客体之间的授权访问行为，并将重要的安全事件存入审计文件之中。1访问控制概述厚德强能、求实创新①

ADF（ACR，ACI）∈{Yes,No}；②

AEF(ADF)∈{Permit,Deny}基本原理是：客体的访问权限存放在访问控制策略库中，通过一个参考监视器监视主体对客体的访问行为，依据访问控制策略库，确定是否允许访问操作访问控制基本概念访问控制基本框架厚德强能、求实创新2.访问控制主要功能访问控制基本概念1访问控制概述从访问控制的作用对象看，访问控制可分为物理访问控制和逻辑访问控制两个层次。物理访问控制是用物理手段实现的访问控制，是对用户、设备、门、锁和安全环境等方面的要求；逻辑访问控制是在网络、系统、应用、数据和权限等层面实现的。访问控制的主要目标是对抗涉及信息系统的非授权操作的威胁，授权合法主体访问保护的系统资源，防止非法主体进入受保护的系统资源（如篡改、窃取等），或防止合法用户对受保护的系统资源进行非授权的访问。厚德强能、求实创新2.访问控制主要功能访问控制基本概念1访问控制概述（1）认证。（2）授权。（3）安全审计。访问控制与其他安全机制的关系厚德强能、求实创新访问控制基本原则1访问控制概述（1）最小特权原则。是指在主体执行操作时，按照主体所需权利的最小化原则分配给主体权力，主体只能执行被明确允许的操作，不能拥有超出其工作需要的权限。最小特权原则能够最大限度地限制了主体实施授权行为，可避免来自突发事件、操作错误和未授权主体等意外情况的风险。（2）职责分离原则。是指将不同的责任分派给不同的人员，以达到互相牵制的作用。这一原则要求将关键任务划分为多个部分，由不同的人员分别承担，以确保没有任何个人具有完成任务的全部授权或信息。（3）最小泄露原则。是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权限。（4）多级安全策略。是指主体和客体之间的数据流向和权限控制，按照绝密、机密、秘密、限制和公开等安全级别来划分。具有安全级别的信息资源，只有高于其安全级别的主体才可访问，多级安全策略能够有效避免敏感信息扩散。在扫码、填写个人信息的时候，坚持“最小泄露原则”，防止过多的个人隐私信息泄露。工作中坚持访问控制基本原则，“管理+技术”均适用。厚德强能、求实创新2访问控制策略模型自主访问控制(DAC，DiscretionaryAccessControl)1强制访问控制模型(MAC，Mandatory

AccessControl)2基于角色的访问控制模型(RBAC，Role-Base

Access

Control)3基于属性的访问控制模型(ABAC，Attribute-Base

Access

Control)4零信任（ZT，Zero

Trust）5厚德强能、求实创新2访问控制策略模型自主访问控制(DAC)是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。用户有权对自身所创建的访问对象(服务器、目录、文件、数据等)进行访问，并可将对这些对象的访问权授予其他用户、系统和从授予权限的用户、系统收回器访问权限。自主访问控制(DAC，DiscretionaryAccessControl)1（1）访问控制矩阵（AccessControlMatrix，ACM）客体主体File1File2File3User1rwrrwoUser2rwxrw

User3rxrwow访问控制矩阵示例厚德强能、求实创新（2）访问控制列表（Access

Control

List，ACL）2访问控制策略模型自主访问控制(DAC，DiscretionaryAccessControl)1访问控制列表是以客体为基准，附加主体明细表，并使用链表的形式关联每个客体上不同主体和权限的集合。Linux系统文件权限表示例厚德强能、求实创新（3）能力表（Capabilities

List，CL）2访问控制策略模型自主访问控制(DAC，DiscretionaryAccessControl)1能力表是以主体为基准，附加可访问的客体明细表，并使用链表的形式关联每个主体上不同客体和权限的集合。cl(User1)={(File1,rw)、(File2,r)、(File3,rwo)}cl(User2)={(File1,rwx)、(File2,rw)}cl(User3)={(File1,rx)、(File2,rwo)、(File3,w)}厚德强能、求实创新2访问控制策略模型自主访问控制(DAC，DiscretionaryAccessControl)1优点：灵活易用，适用于许多系统和应用场景，得到了较广泛的应用。缺点：

一是自主访问控制策略下，客体属主决定该客体的保护策略，即资源的拥有者对资源的访问策略具有决定权，让属主参与授权管理，存在安全缺陷；

二是允许在主体间传递访问权限，在传递过程中访问权限关系可能被改变，带来安全隐患。自主访问控制模型优缺点厚德强能、求实创新强制访问控制模型(MAC，Mandatory

AccessControl)22访问控制策略模型所谓的“强制”是指主客体的安全属性是由系统按照严格的安全策略和规则进行预先设置的，不能被主体和客体的拥有者进行修改。在强制访问控制中，给主体和客体分配安全级别的过程就是授权过程，通常由系统的管理者实施，这些安全级别是不能由用户或用户进程直接或间接修改的。多级安全策略（Multi-levelSecurity，MLS）公开（unclassified）<秘密（confidential）<机密（secret）<绝密（topsecret）安全级别＝<密级，业务范围>厚德强能、求实创新具有代表性的强制访问控制模型有保护机密性的BLP(Bell-LaPadula)模型和保护完整性的Biba模型强制访问控制模型(MAC，Mandatory

AccessControl)22访问控制策略模型（1）BLP模型目标：保证信息的机密性

BLP简单安全策略示意（向下读）BLP★策略示意（向上写）厚德强能、求实创新具有代表性的强制访问控制模型有保护机密性的BLP(Bell-LaPadula)模型和保护完整性的Biba模型强制访问控制模型(MAC，Mandatory

AccessControl)22访问控制策略模型（1）Biba模型目标：保证信息的完整性Biba简单完整性策略示意（向下写）Biba完整性★策略示意（向上读）厚德强能、求实创新强制访问控制模型的优缺点强制访问控制模型(MAC，Mandatory

AccessControl)22访问控制策略模型优点：是具有较高的安全性，可以通过信息的单向流动来防止机密信息的泄漏，或者未授权的修改；由于用户不能改变自身或其他客体的属性，MAC可以防止用户滥用职权。缺点：灵活性较低，权限不能动态变化，授权管理较为困难厚德强能、求实创新基于角色的访问控制模型(RBAC，Role-Base

Access

Control)32访问控制策略模型RBAC模型示厚德强能、求实创新基于角色的访问控制模型(RBAC，Role-Base

Access

Control)32访问控制策略模型RBAC模型在主体和客体之间加入角色，将对客体的操作权限授权给角色，再将角色赋予给用户，使得用户不能直接与权限关联，避免用户自主的将访问权限传递给其他用户。RBAC中用户、角色、权限的关系厚德强能、求实创新基于属性的访问控制模型(ABAC，Attribute-Base

Access

Control)42访问控制策略模型基于属性的访问控制（ABAC）是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。ABAC模型的访问控制机制厚德强能、求实创新零信任（ZT，Zero

Trust）52访问控制策略模型其核心理念是“从不信任，总是需要验证”，这意味着用户、设备、网络连接乃至内部流量在默认状态下均被视为不可信实体，即使其位于传统定义的“内网”之中或先前已通过身份验证。（1）持续的验证。（2）微分割。（3）最小特权。（4）设备访问控制零信任安全模型技术架厚德强能、求实创新2访问控制策略模型零信任（ZT，Zero

Trust）访问控制配置厚德强能、求实创新第四章任务2访问控制技术应用1Linux操作系统文件访问控制权限配置2厚德强能、求实创新1访问控制技术应用访问控制策略设计（1）不同网络应用的安全需求，如内部用户访问还是外部用户；（2）所有和应用相关的信息的确认，如通信端口号、IP地址等；（3）网络信息传播和授权策略，

如信息的安全级别和分类；（4）不同系统的访问控制和信息分类策略之间的一致性；（5）关于保护数据和服务的有关法规和合同义务；（6）访问权限的更新与维护。访问控制策略制定应考虑的因素访问控制策略必须指明禁止什么和允许什么，所设计的策略应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提。厚德强能、求实创新1访问控制技术应用访问控制规则设计（1）基于用户身份的访问控制规则（2）基于角色的访问控制规则（3）基于地址的访问控制规则（4）基于时间的访问控制规则（5）基于异常事件的访问控制规则（6）基于服务数量的访问控制规则访问控制规则厚德强能、求实创新1访问控制技术应用访问控制规则设计（1）明确访问控制管理的资产，例如网络系统的路由器、Web服务等；（2）分析管理资产的安全需求，例如保密性要求、完整性要求、可用性要求等；（3）制定访问控制策略，确定访问控制规则以及用户权限分配；（3）实现访问控制策略，建立用户访问身份认证系统，并根据用户类型授权访问资产；（4）运行和维护访问控制系统，及时调整访问策略。实施流程厚德强能、求实创新2Linux操作系统文件访问控制权限配置1．实践任务Linux操作系统文件访问控制权限配置2．实施环境操作系统：Centosstream9注：实施环境可采用教材配套资源，也可自行搭建。3．内容及要求（1）将文件/etc/hosts复制为/var/tmp/hosts，并按以下要求配置/var/tmp/hosts的权限：①

文件/var/tmp/hosts属于root用户②

文件/var/tmp/hosts属于root组③

任何用户对/var/tmp/hosts都没有可执行权限④

用户zhsan能够读取和写入/var/tmp/hosts文件⑤

用户lisi无法读取或写入/var/tmp/hosts文件⑥

所有其他用户（当前或未来）能够读取/var/tmp/hosts文件（2）创建具有以下特点的共用目录：①/home/tools的组的所有权是admins；②

此目录能被admins组的成员读取、写入和访问，除root外其他