環境數據訪問控制技術研究

翟 杰，賈繼薇

（天津市環境保護科技信息中心，天津300000）

1 引言

污染物減排是當前各級環境保護行政主管部門的重要工作內容。環境信息統計是污染減排“三大體系”建設的重要組成部分，無論是指標體系、監測體系還是考核體系都離不開環境信息和統計數據的支持，是實現污染物減排目標和進行評價、考核的重要基礎條件。隨著工作進一步深入，各類環境應用系統層出不窮，環境數據由于日積月累，數量龐大。如何合理地整合現有環境應用資源與利用環境信息資源成為了當前一個很主要的任務。如何對環境數據進行合理訪問，如何提高訪問數據的安全性，現階段成為了環境數據管理者關心的問題。數據訪問控制是在應用系統信息安全需求的分析基礎上，為應用系統建立統一、基于策略、高安全強度、易維護管理、擴展能力極強的訪問控制環境，為用戶提供應用級的訪問控制解決方案。

2 基礎技術

2.1 訪問控制

訪問控制是通過某種途徑允許或限制用戶訪問能力及范圍的一種方法。訪問控制的目的是使用戶只能進行經過授權的相關數據庫操作。

訪問控制系統通常包括主體、客體、安全訪問策略三部分。主體為發出訪問操作、存取要求的發起者、通常指用戶或用戶的某個進程；客體為被調用的程序或預存取的數據，即必須進行控制的資源目標；安全訪問策略為一套規則，用以確定一個主體是否對客體擁有訪問能力，定義了主體與客體可能的相互作用途徑。

訪問控制的基本原則包括最小特權原則，即完成某種操作時所賦予每個主體必須的最小特權；多人負責原則，即授權分散化，關鍵的任務由多人來承擔，保證沒有人具有完成任務的全部授權或信息；責任分離原則，即將不同的責任分派給不同的人員以期達到互相牽制，消除一個人執行兩項不相容的工作的風險

在可信計算機系統評估準則中，訪問控制系統被分為自主訪問控制與強制訪問控制兩大類，但最近幾年基于角色的訪問控制正在得到廣泛的研究和應用，代表著訪問控制技術的發展方向。

2.2 自主訪問控制

自主訪問控制（DAC）是在確認主體身份以及（或）它們所屬的組的基礎上，控制主體的活動，實施用戶權限管理、訪問屬性（讀、寫、執行）管理等，是一種普遍的訪問控制手段。DAC的主要特征體現在主體可以自主地把所擁有客體的訪問權限授予其他主體或者從其他主體收回所授予的權限。即用戶程序可修改他擁有文件的ACL。DAC通常采用基于訪問控制矩陣的訪問控制表（ACL）機制。矩陣種每行表示一個主體，每列表示一個受保護的客體，而矩陣中的元素則表示主體可以對客體的訪問模式。

2.3 強制訪問控制

強制訪問控制（MAC）的主要特征是對所有主體及其所控制的客體實施強制訪問控制，即系統強制主體服從訪問控制策略。

方法就是先給主體和客體指定敏感標記，系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變它自己及任何其它客體的敏感標記。

2.3.1 Bell～Lapadula安全模型

B～L模型制定的原則是利用不上讀／不下寫來保證數據的保密性。這種模型禁止信息從高級別流向低級別，從而實現信息的單向流通。

2.3.2 Biba安全模型

Biba模型制定的原則是不下讀／不上寫來保證數據的完整性。這種模型主要是為了避免應用程序修改某些重要的系統程序或系統數據庫。

2.4 基于角色的訪問控制

授權給用戶的訪問權限，通常由用戶在一個組織中擔當的角色來確定。基于角色的訪問控制的要素包括用戶、角色、許可等基本定義，三者之間的關系見圖1。用戶就是一個可以獨立訪問計算機系統中的數據或者用數據表示的其他資源的主體；角色是一個組織或任務中的工作或者位置，它代表了一種權利、資格和責任；許可就是允許對一個或多個客體執行的操作。

圖1 訪問控制的要素

2.4.1 角色繼承

為避免相同權限的重復設置，采用“角色繼承”的概念，即它們有自己的屬性，但可能還繼承其他角色的許可。在角色繼承關系中，處于最上面的角色擁有最大的訪問權限，最下面的則想法。

2.4.2 角色分配與授權

用戶角色的分配與授權由系統管理員通過用戶／角色分配表來進行。它包括用戶標識、角色標識、可用性。只有可用性為真時，用戶才真正可以使用該角色賦予的許可。用戶取得某種角色既可以是直接通過分配得來得，也可以是通過繼承得來的。

2.4.3 角色限制

角色限制包括角色基數限制與角色互斥。角色基數在創建角色時指定；角色互斥是指對某些特定的操作集合，某一個用戶不可能同事獨立地完成所有這些操作。角色互斥分為靜態角色互斥和動態角色互斥。

2.4.4 角色激活

角色通過會話激活，會話激活了用戶授權集合的某個子集。這個子集稱為活躍角色集。

2.5 數據訪問控制系統的安全策略

它能夠描述復雜的安全策略，這些安全策略實質上表明的是所論及的系統在進行一般操作時，在安全范圍內什么是允許的，什么是不允許的。在數據訪問控制系統中，系統管理員可以通過角色的定義、角色的分配、角色的設置、角色分層和角色限制來實現組織的安全策略。

通常數據訪問控制系統結構由RBAC數據庫、身份認證模塊、系統管理模塊、會話管理模塊組成。

身份認證模塊通過用戶標識、用戶口令確認用戶身份。系統管理模塊主要通過初始化RBAC數據庫并維護RBAC數據庫，完成用戶增減、角色增減、角色／許可分配等操作。會話管理模塊結合RBAC數據庫管理會話，包括會話的創建與取消以及對活躍角色的管理等（圖2）。

圖2 各模塊的對應關系

2.6 數據訪問控制系統運行步驟

用戶登錄時向身份認證模塊發送用戶標識、用戶口令，確認用戶身份；會話管理模塊從RBAC數據庫檢索該用戶的授權角色集并送回用戶；用戶從中選擇本次會話的活躍角色集合，在此過程中會話管理模塊維持動態角色互斥；會話創建成功；在此會話過程中，系統管理員若要更改角色或許可，可在此會話結束后進行或終止此會話立即進行。

3 數據訪問技術的發展

數據訪問控制技術主要用于控制用戶可否進入系統以及進入系統的用戶能夠讀寫的數據集。主要涉及安全模型、控制策略、控制策略的實現、授權與審計等。其中安全模型是訪問控制的理論基礎。

信息系統的安全目標是通過一組規則來控制和管理主體對客體的訪問，這些訪問控制規則稱為安全策略，安全策略反應信息系統對安全的需求。安全模型是制定安全策略的依據，安全模型是指用形式化的方法來準確地描述安全的重要方面（機密性、完整性和可用性）及其與系統行為的關系。建立安全模型的主要目的是提高對成功實現關鍵安全需求的理解層次，以及為機密性和完整性尋找安全策略，安全模型是構建系統保護的重要依據，同時也是建立和評估安全操作系統的重要依據。

信息系統安全模型可以分為兩大類：一種是信息流模型；另一種是訪問控制模型。訪問控制模型是從訪問控制的角度描述安全系統，主要針對系統中主體對客體的訪問及其安全控制。訪問控制安全模型中一般包括主體、客體，以及為識別和驗證這些實體的子系統和控制實體間訪問的參考監視器。通常訪問控制可以分自主訪問控制（DAC）和強制訪問控制（MAC）。自主訪問控制機制允許對象的屬主來制定針對該對象的保護策略。通常DAC通過授權列表（或訪問控制列表ACL）來限定哪些主體針對哪些客體可以執行什么操作。如此可以非常靈活地對策略進行調整。由于其易用性與可擴展性，自主訪問控制機制經常被用于商業系統。目前的主流操作系統，如UNIX、Linux和 Windows等操作系統都提供自主訪問控制功能。自主訪問控制的一個最大問題是主體的權限太大，無意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。強制訪問控制系統給主體和客體分配不同的安全屬性，而且這些安全屬性不像ACL那樣輕易被修改，系統通過比較主體和客體的安全屬性決定主體是否能夠訪問客體。強制訪問控制可以防范特洛伊木馬和用戶濫用權限，具有更高的安全性，但其實現的代價也更大，一般用在安全級別要求比較高的軍事上。

隨著安全需求的不斷發展和變化，自主訪問控制和強制訪問控制已經不能完全滿足需求，研究者提出許多自主訪問控制和強制訪問控制的替代模型，如基于柵格的訪問控制、基于規則的訪問控制、基于角色的訪問控制模型和基于任務的訪問控制等。其中最引人矚目的是基于角色的訪問控制（RBAC）。其基本思想是：有一組用戶集和角色集，在特定的環境里，某一用戶被指定為一個合適的角色來訪問系統資源；在另外一種環境里，這個用戶又可以被指定為另一個的角色來訪問另外的網絡資源，每一個角色都具有其對應的權限，角色是安全控制策略的核心，可以分層，存在偏序、自反、傳遞、反對稱等關系。與自主訪問控制和強制訪問控制相比，基于角色的訪問控制具有顯著優點：首先，它實際上是一種策略無關的訪問控制技術。其次，基于角色的訪問控制具有自管理的能力。此外，基于角色的訪問控制還便于實施整個組織或單位的網絡信息系統的安全策略。

3.1 使用的范圍

數據訪問控制技術適用于數據訪問控制系統的設計及業務應用系統數據訪問控制部分的設計。適用于數據訪問控制系統的設計人員、業務應用系統的設計人員、以及系統維護人員。

3.2 功能要求

根據《信息系統信息安全等級保護要求》，不同安全級別的信息系統所采用的數據訪問控制技術功能要求是不同的，這里是羅列一些主要的功能要求。

身份鑒別，用特定信息對用戶身份的真實性進行確認。用于鑒別的信息一般是非公開的、難以仿造的；設備標識與鑒別，包括設備標識、設備鑒別、鑒別失敗處理；自主訪問控制，包括訪問控制策略、訪問控制表訪問控制、目錄表訪問控制、權能表訪問控制、訪問控制粒度；標記，包括主體標記、客體標記、標記的輸出和輸入；強制訪問控制，包括訪問控制策略、多級安全模型、各類訪問控制功能、訪問控制范圍、顆粒度；數據完整性保護，對數據存儲的完整性、傳輸的完整性進行保護；用戶數據保密性保護，包括：存儲數據保密性保護、傳輸數據保密性保護、客體安全重用。數據流控制，在以數據流方式實現數據流動的環境信息系統中，所應采用數據流控制機制來實現對數據流動的安全控制，以防止具有高等級安全的數據信息向低等級的區域流動。可信路徑，提供真實的端點標識，并保護通信數據免遭修改和泄漏；利用可信路徑的通信可以由自身、本地用戶或遠程用戶發起；對原發用戶的鑒別或需要可信路徑的其他服務均使用可信路徑。密碼支持，密碼支持應根據密碼強度與信息安全等級匹配的原則，按國家密碼主管部門的規定，分級配置具有相應等級密碼管理的密碼支持。

4 結語

對數據訪問控制技術的基礎技術、技術特點、使用的范圍及功能要求進行初步研究。雖然數據訪問控制技術已經比較成熟，但這一領域才剛剛被非信息技術行業的管理者所關注。環境業務領域正處于信息化發展的初級階段，開始在內部建立安全管理規范，有統一和規范各類環境信息資源的訪問控制的迫切需求。實施環境數據訪問控制、環境數據傳輸保護及環境數據存取控制，才能提高環境信息共享水平，更好的為管理服務。建立有效的環境數據訪問控制規范，可以保持環境業務應用系統建設上下級之間標準一致，系統互連互通，不僅集中了管理，而且對資源進行了整合，減少了數據訪問控制系統的重復建設，節約了環境業務應用系統建設的資金。

［1］國家質量技術監督局.GB 17859－1999計算機信息系統安全保護等級劃分準則［S］.北京：中國標準出版社，1999.

［2］國家質量技術監督局.GB／T 20271－2006信息安全技術信息系統通用安全技術要求［S］.北京：中國標準出版社，2006.

［3］國家質量技術監督局.GB／T 20273－2006信息安全技術數據庫管理系統安全技術要求［S］.北京：中國標準出版社，2006.

［4］國家質量技術監督局.GB／T 22080－2008信息技術 安全技術信息安全管理體系要求［S］.北京：中國標準出版社，2008.

［5］國家質量技術監督局.GB／T 22239－2008信息安全技術信息系統安全等級保護基本要求［S］.北京：中國標準出版社，2008.