環(huán)境數(shù)據(jù)訪問(wèn)控制技術(shù)研究

翟 杰，賈繼薇

（天津市環(huán)境保護(hù)科技信息中心，天津300000）

1 引言

污染物減排是當(dāng)前各級(jí)環(huán)境保護(hù)行政主管部門(mén)的重要工作內(nèi)容。環(huán)境信息統(tǒng)計(jì)是污染減排“三大體系”建設(shè)的重要組成部分，無(wú)論是指標(biāo)體系、監(jiān)測(cè)體系還是考核體系都離不開(kāi)環(huán)境信息和統(tǒng)計(jì)數(shù)據(jù)的支持，是實(shí)現(xiàn)污染物減排目標(biāo)和進(jìn)行評(píng)價(jià)、考核的重要基礎(chǔ)條件。隨著工作進(jìn)一步深入，各類(lèi)環(huán)境應(yīng)用系統(tǒng)層出不窮，環(huán)境數(shù)據(jù)由于日積月累，數(shù)量龐大。如何合理地整合現(xiàn)有環(huán)境應(yīng)用資源與利用環(huán)境信息資源成為了當(dāng)前一個(gè)很主要的任務(wù)。如何對(duì)環(huán)境數(shù)據(jù)進(jìn)行合理訪問(wèn)，如何提高訪問(wèn)數(shù)據(jù)的安全性，現(xiàn)階段成為了環(huán)境數(shù)據(jù)管理者關(guān)心的問(wèn)題。數(shù)據(jù)訪問(wèn)控制是在應(yīng)用系統(tǒng)信息安全需求的分析基礎(chǔ)上，為應(yīng)用系統(tǒng)建立統(tǒng)一、基于策略、高安全強(qiáng)度、易維護(hù)管理、擴(kuò)展能力極強(qiáng)的訪問(wèn)控制環(huán)境，為用戶提供應(yīng)用級(jí)的訪問(wèn)控制解決方案。

2 基礎(chǔ)技術(shù)

2.1 訪問(wèn)控制

訪問(wèn)控制是通過(guò)某種途徑允許或限制用戶訪問(wèn)能力及范圍的一種方法。訪問(wèn)控制的目的是使用戶只能進(jìn)行經(jīng)過(guò)授權(quán)的相關(guān)數(shù)據(jù)庫(kù)操作。

訪問(wèn)控制系統(tǒng)通常包括主體、客體、安全訪問(wèn)策略三部分。主體為發(fā)出訪問(wèn)操作、存取要求的發(fā)起者、通常指用戶或用戶的某個(gè)進(jìn)程；客體為被調(diào)用的程序或預(yù)存取的數(shù)據(jù)，即必須進(jìn)行控制的資源目標(biāo)；安全訪問(wèn)策略為一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)能力，定義了主體與客體可能的相互作用途徑。

訪問(wèn)控制的基本原則包括最小特權(quán)原則，即完成某種操作時(shí)所賦予每個(gè)主體必須的最小特權(quán)；多人負(fù)責(zé)原則，即授權(quán)分散化，關(guān)鍵的任務(wù)由多人來(lái)承擔(dān)，保證沒(méi)有人具有完成任務(wù)的全部授權(quán)或信息；責(zé)任分離原則，即將不同的責(zé)任分派給不同的人員以期達(dá)到互相牽制，消除一個(gè)人執(zhí)行兩項(xiàng)不相容的工作的風(fēng)險(xiǎn)

在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則中，訪問(wèn)控制系統(tǒng)被分為自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制兩大類(lèi)，但最近幾年基于角色的訪問(wèn)控制正在得到廣泛的研究和應(yīng)用，代表著訪問(wèn)控制技術(shù)的發(fā)展方向。

2.2 自主訪問(wèn)控制

自主訪問(wèn)控制（DAC）是在確認(rèn)主體身份以及（或）它們所屬的組的基礎(chǔ)上，控制主體的活動(dòng)，實(shí)施用戶權(quán)限管理、訪問(wèn)屬性（讀、寫(xiě)、執(zhí)行）管理等，是一種普遍的訪問(wèn)控制手段。DAC的主要特征體現(xiàn)在主體可以自主地把所擁有客體的訪問(wèn)權(quán)限授予其他主體或者從其他主體收回所授予的權(quán)限。即用戶程序可修改他擁有文件的ACL。DAC通常采用基于訪問(wèn)控制矩陣的訪問(wèn)控制表（ACL）機(jī)制。矩陣種每行表示一個(gè)主體，每列表示一個(gè)受保護(hù)的客體，而矩陣中的元素則表示主體可以對(duì)客體的訪問(wèn)模式。

2.3 強(qiáng)制訪問(wèn)控制

強(qiáng)制訪問(wèn)控制（MAC）的主要特征是對(duì)所有主體及其所控制的客體實(shí)施強(qiáng)制訪問(wèn)控制，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略。

方法就是先給主體和客體指定敏感標(biāo)記，系統(tǒng)通過(guò)比較主體和客體的敏感標(biāo)記來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。用戶的程序不能改變它自己及任何其它客體的敏感標(biāo)記。

2.3.1 Bell～Lapadula安全模型

B～L模型制定的原則是利用不上讀／不下寫(xiě)來(lái)保證數(shù)據(jù)的保密性。這種模型禁止信息從高級(jí)別流向低級(jí)別，從而實(shí)現(xiàn)信息的單向流通。

2.3.2 Biba安全模型

Biba模型制定的原則是不下讀／不上寫(xiě)來(lái)保證數(shù)據(jù)的完整性。這種模型主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫(kù)。

2.4 基于角色的訪問(wèn)控制

授權(quán)給用戶的訪問(wèn)權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定?；诮巧脑L問(wèn)控制的要素包括用戶、角色、許可等基本定義，三者之間的關(guān)系見(jiàn)圖1。用戶就是一個(gè)可以獨(dú)立訪問(wèn)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源的主體；角色是一個(gè)組織或任務(wù)中的工作或者位置，它代表了一種權(quán)利、資格和責(zé)任；許可就是允許對(duì)一個(gè)或多個(gè)客體執(zhí)行的操作。

圖1 訪問(wèn)控制的要素

2.4.1 角色繼承

為避免相同權(quán)限的重復(fù)設(shè)置，采用“角色繼承”的概念，即它們有自己的屬性，但可能還繼承其他角色的許可。在角色繼承關(guān)系中，處于最上面的角色擁有最大的訪問(wèn)權(quán)限，最下面的則想法。

2.4.2 角色分配與授權(quán)

用戶角色的分配與授權(quán)由系統(tǒng)管理員通過(guò)用戶／角色分配表來(lái)進(jìn)行。它包括用戶標(biāo)識(shí)、角色標(biāo)識(shí)、可用性。只有可用性為真時(shí)，用戶才真正可以使用該角色賦予的許可。用戶取得某種角色既可以是直接通過(guò)分配得來(lái)得，也可以是通過(guò)繼承得來(lái)的。

2.4.3 角色限制

角色限制包括角色基數(shù)限制與角色互斥。角色基數(shù)在創(chuàng)建角色時(shí)指定；角色互斥是指對(duì)某些特定的操作集合，某一個(gè)用戶不可能同事獨(dú)立地完成所有這些操作。角色互斥分為靜態(tài)角色互斥和動(dòng)態(tài)角色互斥。

2.4.4 角色激活

角色通過(guò)會(huì)話激活，會(huì)話激活了用戶授權(quán)集合的某個(gè)子集。這個(gè)子集稱(chēng)為活躍角色集。

2.5 數(shù)據(jù)訪問(wèn)控制系統(tǒng)的安全策略

它能夠描述復(fù)雜的安全策略，這些安全策略實(shí)質(zhì)上表明的是所論及的系統(tǒng)在進(jìn)行一般操作時(shí)，在安全范圍內(nèi)什么是允許的，什么是不允許的。在數(shù)據(jù)訪問(wèn)控制系統(tǒng)中，系統(tǒng)管理員可以通過(guò)角色的定義、角色的分配、角色的設(shè)置、角色分層和角色限制來(lái)實(shí)現(xiàn)組織的安全策略。

通常數(shù)據(jù)訪問(wèn)控制系統(tǒng)結(jié)構(gòu)由RBAC數(shù)據(jù)庫(kù)、身份認(rèn)證模塊、系統(tǒng)管理模塊、會(huì)話管理模塊組成。

身份認(rèn)證模塊通過(guò)用戶標(biāo)識(shí)、用戶口令確認(rèn)用戶身份。系統(tǒng)管理模塊主要通過(guò)初始化RBAC數(shù)據(jù)庫(kù)并維護(hù)RBAC數(shù)據(jù)庫(kù)，完成用戶增減、角色增減、角色／許可分配等操作。會(huì)話管理模塊結(jié)合RBAC數(shù)據(jù)庫(kù)管理會(huì)話，包括會(huì)話的創(chuàng)建與取消以及對(duì)活躍角色的管理等（圖2）。

圖2 各模塊的對(duì)應(yīng)關(guān)系

2.6 數(shù)據(jù)訪問(wèn)控制系統(tǒng)運(yùn)行步驟

用戶登錄時(shí)向身份認(rèn)證模塊發(fā)送用戶標(biāo)識(shí)、用戶口令，確認(rèn)用戶身份；會(huì)話管理模塊從RBAC數(shù)據(jù)庫(kù)檢索該用戶的授權(quán)角色集并送回用戶；用戶從中選擇本次會(huì)話的活躍角色集合，在此過(guò)程中會(huì)話管理模塊維持動(dòng)態(tài)角色互斥；會(huì)話創(chuàng)建成功；在此會(huì)話過(guò)程中，系統(tǒng)管理員若要更改角色或許可，可在此會(huì)話結(jié)束后進(jìn)行或終止此會(huì)話立即進(jìn)行。

3 數(shù)據(jù)訪問(wèn)技術(shù)的發(fā)展

數(shù)據(jù)訪問(wèn)控制技術(shù)主要用于控制用戶可否進(jìn)入系統(tǒng)以及進(jìn)入系統(tǒng)的用戶能夠讀寫(xiě)的數(shù)據(jù)集。主要涉及安全模型、控制策略、控制策略的實(shí)現(xiàn)、授權(quán)與審計(jì)等。其中安全模型是訪問(wèn)控制的理論基礎(chǔ)。

信息系統(tǒng)的安全目標(biāo)是通過(guò)一組規(guī)則來(lái)控制和管理主體對(duì)客體的訪問(wèn)，這些訪問(wèn)控制規(guī)則稱(chēng)為安全策略，安全策略反應(yīng)信息系統(tǒng)對(duì)安全的需求。安全模型是制定安全策略的依據(jù)，安全模型是指用形式化的方法來(lái)準(zhǔn)確地描述安全的重要方面（機(jī)密性、完整性和可用性）及其與系統(tǒng)行為的關(guān)系。建立安全模型的主要目的是提高對(duì)成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次，以及為機(jī)密性和完整性尋找安全策略，安全模型是構(gòu)建系統(tǒng)保護(hù)的重要依據(jù)，同時(shí)也是建立和評(píng)估安全操作系統(tǒng)的重要依據(jù)。

信息系統(tǒng)安全模型可以分為兩大類(lèi)：一種是信息流模型；另一種是訪問(wèn)控制模型。訪問(wèn)控制模型是從訪問(wèn)控制的角度描述安全系統(tǒng)，主要針對(duì)系統(tǒng)中主體對(duì)客體的訪問(wèn)及其安全控制。訪問(wèn)控制安全模型中一般包括主體、客體，以及為識(shí)別和驗(yàn)證這些實(shí)體的子系統(tǒng)和控制實(shí)體間訪問(wèn)的參考監(jiān)視器。通常訪問(wèn)控制可以分自主訪問(wèn)控制（DAC）和強(qiáng)制訪問(wèn)控制（MAC）。自主訪問(wèn)控制機(jī)制允許對(duì)象的屬主來(lái)制定針對(duì)該對(duì)象的保護(hù)策略。通常DAC通過(guò)授權(quán)列表（或訪問(wèn)控制列表ACL）來(lái)限定哪些主體針對(duì)哪些客體可以執(zhí)行什么操作。如此可以非常靈活地對(duì)策略進(jìn)行調(diào)整。由于其易用性與可擴(kuò)展性，自主訪問(wèn)控制機(jī)制經(jīng)常被用于商業(yè)系統(tǒng)。目前的主流操作系統(tǒng)，如UNIX、Linux和 Windows等操作系統(tǒng)都提供自主訪問(wèn)控制功能。自主訪問(wèn)控制的一個(gè)最大問(wèn)題是主體的權(quán)限太大，無(wú)意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。強(qiáng)制訪問(wèn)控制系統(tǒng)給主體和客體分配不同的安全屬性，而且這些安全屬性不像ACL那樣輕易被修改，系統(tǒng)通過(guò)比較主體和客體的安全屬性決定主體是否能夠訪問(wèn)客體。強(qiáng)制訪問(wèn)控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性，但其實(shí)現(xiàn)的代價(jià)也更大，一般用在安全級(jí)別要求比較高的軍事上。

隨著安全需求的不斷發(fā)展和變化，自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制已經(jīng)不能完全滿足需求，研究者提出許多自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制的替代模型，如基于柵格的訪問(wèn)控制、基于規(guī)則的訪問(wèn)控制、基于角色的訪問(wèn)控制模型和基于任務(wù)的訪問(wèn)控制等。其中最引人矚目的是基于角色的訪問(wèn)控制（RBAC）。其基本思想是：有一組用戶集和角色集，在特定的環(huán)境里，某一用戶被指定為一個(gè)合適的角色來(lái)訪問(wèn)系統(tǒng)資源；在另外一種環(huán)境里，這個(gè)用戶又可以被指定為另一個(gè)的角色來(lái)訪問(wèn)另外的網(wǎng)絡(luò)資源，每一個(gè)角色都具有其對(duì)應(yīng)的權(quán)限，角色是安全控制策略的核心，可以分層，存在偏序、自反、傳遞、反對(duì)稱(chēng)等關(guān)系。與自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制相比，基于角色的訪問(wèn)控制具有顯著優(yōu)點(diǎn)：首先，它實(shí)際上是一種策略無(wú)關(guān)的訪問(wèn)控制技術(shù)。其次，基于角色的訪問(wèn)控制具有自管理的能力。此外，基于角色的訪問(wèn)控制還便于實(shí)施整個(gè)組織或單位的網(wǎng)絡(luò)信息系統(tǒng)的安全策略。

3.1 使用的范圍

數(shù)據(jù)訪問(wèn)控制技術(shù)適用于數(shù)據(jù)訪問(wèn)控制系統(tǒng)的設(shè)計(jì)及業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)訪問(wèn)控制部分的設(shè)計(jì)。適用于數(shù)據(jù)訪問(wèn)控制系統(tǒng)的設(shè)計(jì)人員、業(yè)務(wù)應(yīng)用系統(tǒng)的設(shè)計(jì)人員、以及系統(tǒng)維護(hù)人員。

3.2 功能要求

根據(jù)《信息系統(tǒng)信息安全等級(jí)保護(hù)要求》，不同安全級(jí)別的信息系統(tǒng)所采用的數(shù)據(jù)訪問(wèn)控制技術(shù)功能要求是不同的，這里是羅列一些主要的功能要求。

身份鑒別，用特定信息對(duì)用戶身份的真實(shí)性進(jìn)行確認(rèn)。用于鑒別的信息一般是非公開(kāi)的、難以仿造的；設(shè)備標(biāo)識(shí)與鑒別，包括設(shè)備標(biāo)識(shí)、設(shè)備鑒別、鑒別失敗處理；自主訪問(wèn)控制，包括訪問(wèn)控制策略、訪問(wèn)控制表訪問(wèn)控制、目錄表訪問(wèn)控制、權(quán)能表訪問(wèn)控制、訪問(wèn)控制粒度；標(biāo)記，包括主體標(biāo)記、客體標(biāo)記、標(biāo)記的輸出和輸入；強(qiáng)制訪問(wèn)控制，包括訪問(wèn)控制策略、多級(jí)安全模型、各類(lèi)訪問(wèn)控制功能、訪問(wèn)控制范圍、顆粒度；數(shù)據(jù)完整性保護(hù)，對(duì)數(shù)據(jù)存儲(chǔ)的完整性、傳輸?shù)耐暾赃M(jìn)行保護(hù)；用戶數(shù)據(jù)保密性保護(hù)，包括：存儲(chǔ)數(shù)據(jù)保密性保護(hù)、傳輸數(shù)據(jù)保密性保護(hù)、客體安全重用。數(shù)據(jù)流控制，在以數(shù)據(jù)流方式實(shí)現(xiàn)數(shù)據(jù)流動(dòng)的環(huán)境信息系統(tǒng)中，所應(yīng)采用數(shù)據(jù)流控制機(jī)制來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)的安全控制，以防止具有高等級(jí)安全的數(shù)據(jù)信息向低等級(jí)的區(qū)域流動(dòng)?？尚怕窂?，提供真實(shí)的端點(diǎn)標(biāo)識(shí)，并保護(hù)通信數(shù)據(jù)免遭修改和泄漏；利用可信路徑的通信可以由自身、本地用戶或遠(yuǎn)程用戶發(fā)起；對(duì)原發(fā)用戶的鑒別或需要可信路徑的其他服務(wù)均使用可信路徑。密碼支持，密碼支持應(yīng)根據(jù)密碼強(qiáng)度與信息安全等級(jí)匹配的原則，按國(guó)家密碼主管部門(mén)的規(guī)定，分級(jí)配置具有相應(yīng)等級(jí)密碼管理的密碼支持。

4 結(jié)語(yǔ)

對(duì)數(shù)據(jù)訪問(wèn)控制技術(shù)的基礎(chǔ)技術(shù)、技術(shù)特點(diǎn)、使用的范圍及功能要求進(jìn)行初步研究。雖然數(shù)據(jù)訪問(wèn)控制技術(shù)已經(jīng)比較成熟，但這一領(lǐng)域才剛剛被非信息技術(shù)行業(yè)的管理者所關(guān)注。環(huán)境業(yè)務(wù)領(lǐng)域正處于信息化發(fā)展的初級(jí)階段，開(kāi)始在內(nèi)部建立安全管理規(guī)范，有統(tǒng)一和規(guī)范各類(lèi)環(huán)境信息資源的訪問(wèn)控制的迫切需求。實(shí)施環(huán)境數(shù)據(jù)訪問(wèn)控制、環(huán)境數(shù)據(jù)傳輸保護(hù)及環(huán)境數(shù)據(jù)存取控制，才能提高環(huán)境信息共享水平，更好的為管理服務(wù)。建立有效的環(huán)境數(shù)據(jù)訪問(wèn)控制規(guī)范，可以保持環(huán)境業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)上下級(jí)之間標(biāo)準(zhǔn)一致，系統(tǒng)互連互通，不僅集中了管理，而且對(duì)資源進(jìn)行了整合，減少了數(shù)據(jù)訪問(wèn)控制系統(tǒng)的重復(fù)建設(shè)，節(jié)約了環(huán)境業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)的資金。

［1］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB 17859－1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，1999.

［2］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB／T 20271－2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2006.

［3］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB／T 20273－2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2006.

［4］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB／T 22080－2008信息技術(shù) 安全技術(shù)信息安全管理體系要求［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

［5］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB／T 22239－2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.