基于內網安全的訪問控制系統

陳帥

（杭州師范大學錢江學院 計算機科學與技術專業，浙江 杭州 310012）

1 引言

當前，政府、企業等主要的內網組建者在網絡安全防護建設中，普遍采用傳統的內網邊界安全防護技術，即在內網的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術，對網絡入侵進行監控和防護，抵御來自外網的攻擊，防止內網資源、信息遭受損失，保證內網業務流程的有效進行。這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻起不到任何作用。對于那些需要經常移動的終端設備在安全防護技術就更是鞭長莫及了，由此可能會嚴重危及內部網絡的安全。

2 內網安全訪問控制系統

2.1 系統安全機制

系統的安全機制包括以下幾個部分：

標識與鑒別。標識與鑒別是涉及系統和用戶的一個過程。標識就是系統要標識用戶的身份，并為每個用戶分配一個名稱用戶標識符(UserID)。用戶標識符必須是唯一的并且不能被偽造。將用戶標識符與用戶聯系的動作稱為鑒別。為了識別用戶的真實身份，它總是需要用戶具有能夠證明他身份的特殊信息，這個信息是秘密的，任何其他用戶都不能擁有它，用標識與鑒別來識別用戶是安全控制機制中非常重要的一個環節。通常鑒別都是在用戶登錄時發生。一般使用用戶名與密碼的方式進行標識與鑒別，因此口令的管理是一項非常重要的工作。更安全的身份認證方法是一次性口令，智能卡等方式。

入侵監測。任何信息系統中都不能保證不存在安全漏洞，而且無論在理論上還是在實踐上都不可能完全填補系統的安全漏洞，也沒有一種辦法可以徹底的解決合法用戶在通過身份識別后濫用特權的問題。因此，入侵監測系統成為保護系統安全的一個必要的補充手段。

目前用于入侵監測系統的主要是兩類通用的模型:

①異常(Anomaly)檢測方法。這一方法是基于用戶的習慣行為特征被統計在行為描述數據庫中，以此與用戶當前會話內的行為特征進行比較。兩者比較發現足夠大的偏差時，檢測系統向安全管理人員提交報告。

②特權濫用(Misuse)檢測方法。這一方法使用存放在濫用數據庫內的先驗專家系統規則來對用戶的行為特征進行判斷，報告可能的攻擊行為。

入侵檢測系統最主要的問題是實時響應問題，因為它需要處理的數據量十分巨大，因此入侵檢測需要借用人工智能統計學，信息理論及機器學習等領域的一些成果。把這些成果融合，設計進入侵檢測系統中，對入侵監測系統的影響正在研究之中。

病毒防護。目前世界上每天都有新的計算機病毒產生，計算機病毒給社會帶來了難以估量的損失。隨著計算機病毒的發展，計算機反病毒的技術與計算機病毒的檢測技術也在發展。第一代反病毒技術，單純進行病毒特征代碼分析，將病毒從帶毒文件中清楚掉，第二代則采用靜態廣譜特征掃描方法檢測病毒，可以更多的檢測到變形病毒，但誤報率也提高了。第三代反病毒技術的主要特點是將靜態掃描與動態仿真跟蹤技術結合起來，第四代反病毒技術，基于病毒家族體系的命名規則、多位CRC校驗和掃描機理、啟發式智能代碼分析模塊、動態數據還原模塊、內存解毒模塊、自身免疫模塊等先進的反病毒技術，較好的解決了以前反病毒技術顧此失彼的狀態。

密碼技術。計算機系統經常需要采用數據加密的方法從體制上保證信息不被篡改和泄漏。數據加密不僅可以用于數據保密，而且也可以通過加密/解密的雙向變換實現對數據的完整性檢驗。密碼技術是對傳輸信息和存儲信息進行保護的重要手段，可以大大加強信息保密性、完整性、可認證性等。密碼技術可以實現信息加密、數字簽名等安全服務。加密算法根據密鑰性質的不同，可以分為以下兩類：①對稱密鑰體制。傳統的對稱密鑰體制特點是無論加密還是解密都公用一把密鑰，其中最有影響的是美國國家標準局頒布的DES(算法數據加密標準算法)。②公開密鑰體制(非對稱密鑰體制)。公開密鑰體制的特點是加密與解密的密鑰不同，并且在理論上或者實際計算上不能由加密密鑰推出解密密鑰。所以即使將加密密鑰公開也不會危害解密密鑰的安全。

訪問控制。在計算機系統中，安全機制的主要內容就是訪問控制，它包括以下三個任務：① 授權。確定可以給予那些主體存取客體的權利；②確定訪問權限。通常是諸如讀、寫、執行、刪除、添加等訪問方式的組合；③實施訪問控制。

這里客體是指一種信息實體，它們蘊含或接受信息，如文件、目錄、管道、消息等，甚至可以包括字、位、通信線路、網絡節點等。

2.2 訪問控制技術

在安全操作系統領域，訪問控制一般都涉及自主訪問控制和強制訪問控制兩種。

自主訪問控制(DAC)。自主訪問的含義是有訪問許可的主體能夠直接或間接地向其他主體轉讓訪問權。自主訪問控制是在確認主體身份以及(或)它們所屬的組的基礎上，控制主體的活動，實施用戶權限管理、訪問屬性(讀、寫、執行)管理等，是一種最為普遍的訪問控制手段。自主訪問控制的主體可以按自己的意愿決定哪些用戶可以訪問他們的資源，亦即主體有自主的決定權，一個主體可以有選擇地與其它主體共享他的資源。

強制訪問控制 (MAC)。強制訪問控制是“強加”給訪問主體的，即系統強制主體服從訪問控制政策。強制訪問控制(MAC)的主要特征是對所有主體及其所控制的客體(例如：進程、文件、段、設備)實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記，從而系統可以防止特洛伊木馬的攻擊。強制訪問控制一般與自主訪問控制結合使用，并且實施一些附加的、更強的訪問限制。一個主體只有通過了自主與強制性訪問限制檢查后，才能訪問某個客體。

3 系統總體功能

本系統為一個基于 C/S結構的系統，主要分為兩個子系統，一個為管理中心服務器端 Server，一個為管理客戶端 Client。管理中心 Server部署在一個管理服務器上，功能主要包括：基于規則的安全審計、客戶管理、報警管理、日志管理等。管理客戶端 Client部署在內網的每臺用戶計算機上，功能主要包括：文件訪問控制、進程訪問控制、外設使用控制、用戶登陸行為控制以及輸入輸出控制、屏幕行為控制等。Client安裝在每臺工作PC上，當用戶登陸進入操作系統時，該客戶端軟件以系統服務的方式啟動，并對客戶的各種行為進行權限控制和行為跟蹤。用戶身份使用用戶名、密碼、用戶機的硬盤序列號以及MAC地址和 IP地址進行識別，每個用戶由管理員在 系統中賦予不同的操作權限，并在自己有效的權限內進行文件操作、網絡訪問操作、外設操作、系統登陸操作等行為。此外，用戶機上的不安全行為，如病毒、木馬程序的網絡行為，非信任進程行為、不安全的注冊表訪問行為等，都在該系統的監控之下。所有行為的允許和不允許都有系統規則來管控，系統規則存于 Server中，Client通過加密的網絡通信從 Server中獲得。Server安裝在內網中一臺服務器中，存儲內網中各個 PC用戶機的訪問操作權限和系統規則，所有不在Server監控審計之下的 PC用戶和 PC將不能訪問網絡資源和本地資源，也不能進行各種操作行為。管理員可以在 Server上建立和修改用戶信息，建立和修改審計規則，監控客戶 PC行為，管理和審計日志，在線分發升級信息等。

[1]謝剛.《防內網信息泄露技術的研究》.北京工業大學.2005

[2]秀慧.《計算機網絡安全管理》清華大學出版社，2003