操作系统安全ppt课件(2)-资料下载页

　　

【正文】 点 • 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。 • 在下面的实例中，我们假设 Tch1， Tch2， Tch3…… Tchi是对应的教师， Stud1， Stud 2， Stud3 … Studj是相应的学生， Mng1， Mng 2， Mng 3… Mngk是教务处管理人员， – 老师的权限为 TchMN={查询成绩、上传所教课程的成绩 }； – 学生的权限为 Stud MN={查询成绩、反映意见 }； – 教务管理人员的权限为 MngMN={查询、修改成绩、打印成绩清单 }。 • 那么，依据角色的不同，每个主体只能执行自己所制定的访问功能。 • 用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配，这正是基于角色的访问控制（ RBAC）的根本特征，即：依据 RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。 角色的特点 • 系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。 • 例如学校新进一名教师 Tchx，那么系统管理员只需将 Tchx添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。 • 同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以作为进修的学生。同样，一个角色可以拥有多个用户成员，这与现实是一致的， • 一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。因此 RBAC提供了一种描述用户和权限之间的多对多关系 角色的特点 • 角色可以划分成不同的等级，通过角色等级关系来反映一个组织的职权和责任关系，这种关系具有反身性、传递性和非对称性特点，通过继承行为形成了一个偏序关系，比如 MngMNTchMNStud MN。 • RBAC中通常定义不同的约束规则来对模型中的各种关系进行限制，最基本的约束是 “ 相互排斥 ” 约束和 “ 基本限制 ” 约束，分别规定了模型中的互斥角色和一个角色可被分配的最大用户数。 • RBAC中引进了角色的概念，用角色表示访问主体具有的职权和责任，灵活地表达和实现了企业的安全策略，使系统权限管理在企业的组织视图这个较高的抽象集上进行，从而简化了权限设置的管理，从这个角度看， RBAC很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。 一个基于角色的访问控制的实例 • 在银行环境中，用户角色可以定义为 出纳员、分行管理者、顾客、系统管理者和审计员 • 访问控制策略的一个例子如下： （ 1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项 （ 2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号 （ 3）允许一个顾客只询问他自己的帐号的注册项 （ 4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息 （ 5）允许一个审计员读系统中的任何数据，但不允许修改任何事情 RBAC与传统访问控制的差别 • 增加一层间接性带来了灵活性 RBAC的优势 • 便于授权管理 ， 如系统管理员需要修改系统设置等内容时 ， 必须有几个不同角色的用户到场方能操作 ， 从而保证了安全性 。 • 便于根据工作需要分级 ， 如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分 。 • 便于赋于最小特权 ， 如即使用户被赋于高级身份时也未必一定要使用 ， 以便减少损失 。 只有必要时方能拥有特权 。 • 便于任务分担 ， 不同的角色完成不同的任务 。 • 便于文件分级管理 ， 文件本身也可分为不同的角色 ，如信件 、 账单等 ， 由不同角色的用户拥有 。 授权的管理 • 授权的管理决定谁能被授权修改允许的访问 • 强制访问控制的授权管理 • 自主访问控制的授权管理 • 角色访问控制的授权管理 强制访问控制的授权管理 • 在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。 – 其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户， – 而客体的安全级别则由系统根据创建它们的用户的安全级别决定。 – 因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。 自主访问控制的授权管理 • 集中式管理：只单个的管理者或组对用户进行访问控制授权和授权撤消 。 • 分级式管理：一个中心管理者把管理责任分配给其它管理员 ， 这些管理员再对用户进行访问授权和授权撤消 。 分级式管理可以根据组织结构而实行 。 • 所属权管理 ：如果一个用户是一个客体的所有者 ， 则该用户可以对其它用户访问该客体进行授权访问和授权撤消 。 • 协作式管理：对于特定系统资源的访问不能有单个用户授权决定 ， 而必须要其它用户的协作授权决定 。 • 分散式管理：在分散管理中，客体所有者可以把管理权限授权给其他用户。 角色访问控制的授权管理 • 角色访问控制提供了类似自由访问控制的许多管理策略。而且，管理权限的委托代理是角色访问控制管理的重要特点，在以上的两种访问控制的管理策略中都不存在。 安全策略的实施原则 • 安全策略的制定实施也是围绕主体、客体和安全控制规则集三者之间的关系展开的。 （ 1） 最小特权原则 ：最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权用主体的危险。也就是说，为了达到一定目的，主体必须执行一定操作，但他只能做他所被允许做的，其它除外。 （ 2） 最小泄漏原则 ：最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。 （ 3） 多级安全策略 ：多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（ TS）、秘密（ S）、机密（ C）、限制（ RS）和无级别（ U）五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源，只有安全级别比他高的主体才能够访问。 重点 •访问控制模型及相关概念：访问控制矩阵，能力表，访问控制表 •三种常见的访问控制政策