网上银行系统强制性访问控制要求及实现方法
网上银行系统强制性访问控制要求及实现方法https://www.360docs.net/doc/2b17599636.html, 2012-11-07 14:32来源:中国电子银行网字号:小| 大导语:《网上银行系统信息安全通用规范》是金融机构开展网上银行系统建设的规范性依据,同样是行业主管部门、评估检测机构进行检查、检测及认证的标准化依据。因此,深入理解规范要求,对各方加强信息安全建设有着重要的意义,本文主要介绍了《规范》中的强制访问控制概念及实现方法。
由中国人民银行组织编制的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068-2012)(以下简称《网银规范》)于2012年5月终于发布了正式版本。同之前的版本比较,变化较为明显。比如《网银规范》在主机安全和应用安全方面新增加了对强制访问控制的要求,笔者及团队在协助银行进行自检的过程中就碰到了行方对该项要求的一些疑惑。本文将介绍强制访问控制的一些概念及实现方法。先引用一下《网银规范》的要求项:
“6.1.4.3 主机安全增强要求:
c) 应对重要信息资源设置敏感标记。
d) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
6.1.4.4 应用安全增强要求:
e) 应具有对重要信息资源设置敏感标记的功能。
f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。”
《网银规范》对主机、应用的强制访问控制要求为增强要求。按照规范,增强要求为该标准下发之日起的三年内应达到的安全要求。其实在《信息安全技术-信息系统安全等级保护基本要求》(GB/T22239-2008)三级信息系统的主机安全要求及应用安全要求中就有了对重要信息资源设置敏感标记,依据安全策略严格控制用户对有敏感标记重要信息资源操作的要求。
访问控制是信息安全防范和保护的主要策略,用于保证信息资源不被非法使用和访问。访问控制是软件安全模型最重要的组件之一,可分为自主访问控制和强制访问控制两大类访问控制措施。
在自主访问控制下,用户可以对其创建的文件、数据表等进行访问,并可自主地将访问权授予其他用户。此类操作系统在TCSEC中约等同于C2级或以上。在强制访问控制下,系统对需要保护的信息资源进行统一的强制性控制,按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。此类操作系统在TCSEC中约等同于B1级或以上。
目前国内银行主流的商用服务器操作系统通常采用自主访问控制机制,高等级主体如r oot、administrator等默认获得所有客体的访问控制权,一旦位于最高等级的超级管理员账号、密码等信息被攻击者盗取并成功利用,操作系统将无任何安全性可言。近年来本地提权漏洞层出不穷,攻击者可以利用漏洞获取操作系统最高权限,对系统上的相关文件等资源进行查看、修改、删除等操作。自主访问控制对系统的资源控制力度不到位,也难以防止通过隐秘信道向TCB外部泄露信息。
由于发达国家在核心产品及技术出口上的限制,B1级以上系统不对我国出口,所以国内普遍使用的商用服务器操作系统为C2级,没有强制访问控制机制,不满足等级保护三级的要求。当初在制定等保规范的时候,相关专家也就这个问题进行过讨论,考虑到长期依赖国外进口操作系统使整个信息化基础建设面临的巨大风险,最后还是没有降低对三级系统的要求。强制访问控制的要求作为一块悬石在等保评测过程中不断提醒着被测单位。
强制访问控制主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体(主体可以访问客体,如用户、程序进程、)和访问客体(如文件、存储空间、网络套接字等可被使用的系统资源)分配不同的安全级别属性(敏感标记)。在实施访问控制时,系统先对访问主体和访问客体的安全级别属性进行比较,再根据事先制定的安全策略决定访问主体能否访问该受控对象。在强制访问控制模型中,主客体安全级别和安全策略通常由安全管理员制定。一经完成,就无法再由用户进行变更。
软件的访问控制机制是软件开发过程中必须要考虑到的安全需求之一。《网银规范》对网银应用安全进行了专门的要求,内容已经比较全面和具体,可以作为网银开发方在设计系统安全模型时的要点来参考。
国内有一些自主开发的操作系统实现了强制访问控制机制,普通的操作系统要想实现强制访问控制,其改造难度不亚于新开发一套操作系统。了解强制访问控制的三个要素,敏感标记、安全策略和主客体控制,可以通过管理控制和使用一些附加软件来模仿强制访问控制机制,在一定程度上规避操作系统强制访问控制措施缺失所带来的安全风险。包括以下控制措施:
1.严格限制操作系统管理员账号的使用,禁止管理员账号远程访问操作系统。需管理员账号权限的操作应经由严格审批并遵循多人负责的原则;
2.账号权限最小化,为每应用、每用户分配完成任务所必须的最小文件权限、最少sh ell并对账号操作进行审计;
3.对重要信息资源(如用户数据表、系统配置文件、审计记录、系统关键服务、密钥等)进行识别和定级,利用软件对这些资源进行监控;
4.操作系统功能最小化,对系统所有的进程、服务、网络连接进行登记和监控。识别这些主体正常的访问、操作和行为,并以此为依据抽象和归纳同在线业务不产生冲突的访问控制策略。利用软件及时发现并阻断超出安全策略的访问行为;
5.新增系统账号、系统服务的申请审批过程需遵循既定的安全策略;
6.非运营方定期审计系统运行日志及安全日志。
《网银规范》作为金融机构开展网上银行系统建设规范性依据,行业主管部门、评估检测机构进行检查、检测及认证的标准化依据,在发布、宣传,再到执行落地的过程中,各家银行的积极参与不可或缺。深入理解规范要求,对寻找自身同规范间的差距,设立切合实际的信息安全工作计划有着重要的作用。
注1:Trusted Computer System Evaluation Criteria,美国可信计算机安全评价标准,俗称橘皮书。该标准是计算机系统安全评估的第一个正式标准,将计算机系统的安全划分为4个等级、7个级别。可参考GB/T 17859-1999。
注2:隐秘信道,允许进程以危害系统安全策略的方式传输信息的通信信道。如利用共享文件、进程消息队列、TCP/IP报文等正常信息交换过程中无意义字段特征进行传输数据。
本文作者:中国金融认证中心颜维呈
(责任编辑:韩希宇)
基于角色的访问控制系统
基于角色的访问控制系统 Role-Based Access Con trol System 北京航空航天大学计算机系(北京100083) 李伟琴 杨亚平 【摘要】 主要介绍基于角色的访问控制(RBA C),其中包括特点、优势等,并对其设计考虑以及如何具体实现作了阐述。 关键词:访问控制,计算机网络,计算机安全 【Abstract】 Ro le-based access con tro l (RBA C)techno logy is p resen ted,including the featu res,advan tage,design schem e and sp ecific realizing m ethods. Key words:access con trol,co m puter net-work,co m puter safety 近年来,随着全球网络化的热潮,网络技术正在日益广泛而深入地被应用到社会的各个领域中,并深刻地改变着社会的行为和面貌。然而,与此同时,网络安全却成为困扰和阻挠网络技术进一步普及、应用的绊脚石。尤其在商业、金融和国防等领域的网络应用中,能否保证网络具有足够的安全性是首先要考虑的问题。安全问题如果不能有效地得到解决,必然会影响整个网络的发展。 为此,国际标准化组织ISO在网络安全体系的设计标准(ISO7498-2)中,提出了层次型的安全体系结构,并定义了五大安全服务功能:身份认证服务,访问控制服务,数据保密服务,数据完整性服务,不可否认服务。一个可靠的网络,它的可信任程度依赖于所提供的安全服务质量。 1 访问控制研究的定义、内容和范围 访问控制(access con tro l)就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。 访问控制系统一般包括: 1)主体(sub ject):发出访问操作、存取要求的主动方,通常指用户或用户的某个进程; 2)客体(ob ject):被调用的程序或欲存取的数据访问; 3)安全访问政策:一套规则,用以确定一个主体是否对客体拥有访问能力。 2 传统的访问控制技术 2.1 自主型的访问控制DAC DA C是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限定的一种方法。其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。我们所熟悉的U N I X系统就是采用了自主型的访问控制技术。 2.2 强制型的访问控制M AC 强制型的访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。它预先定义主体的可信任级别及客体(信息)的敏感程度(安全级别)。用户的访问必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。这种访问控制方式主要适合于多层次安全级别的军事应用。 3 基于角色的访问控制技术 随着网络的迅速发展,尤其是In tranet的兴起,对访问控制服务的质量也提出了更高的要求,以上两种访问控制技术已很难满足这些要求。DA C 将赋予或取消访问权限的一部分权力留给用户个人,这使得管理员难以确定哪些用户对哪些资源有访问权限,不利于实现统一的全局访问控制。而M A C由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。90年代以来出现的一种基于角色的访问控制RBA C(Ro le -B ased A ccess Con tro l)技术有效地克服了传统 ? 6 1 ?
ISO27001系统访问控制程序
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
身份认证和访问控制实现原理
身份认证和访问控制实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA 认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web 服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效 期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书 来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真
浅谈访问控制策略
浅谈访问控制策略 身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。 在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。 其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。 访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
系统访问控制程序
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
信息化系统运行维护内容
信息化系统运行维护内容 信息技术运行维护(简称:IT 运维)是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类,并报告系统和服务的运行情况。 一、运维服务类型主要包括以下三种类型: 1、基础服务 确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。 2、性能优化服务 计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务 保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。 二、运维主要服务工作方式主要包括响应服务、主动服务两类。 1、响应式服务
响应式服务是指,用户向服务提供者提出服务请求,由服务提供者对用户的请求做出响应,解决用户在使用、管理过程中遇到的问题,或者解决系统相关故障。 响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求,并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈,否则提交到首问服务外包商。对于明确的问题,信息中心将问题直接提交到相应的服务外包商。 首问外包服务商在信息中心的支持下,负责对问题进行排查,力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大,涉及到多个服务外包商时,由信息中心进行协调,在首问外包服务商统一指导下进行联合作业,直至问题解决完毕。 问题处理完成后,由责任服务外包商、首问服务外包商填写相应服务表单,并由首问外包服务商提交给信息中心,信息中心再向最终用户反馈。 服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决,如果能够解决问题,则由工程师负责填写服务单,季度汇总后提交信息中心签字备案。 远程方式解决无效时,服务外包商工程师进行现场工作。根据故障状况,工程师现场能解决问题的,及时解决用户的问题;如不能,则由信息中心协调其他相关服务外包商进行
PKI-身份认证和访问控制的实现原理
身份认证和访问控制的实现原理 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web 服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍: 基于SSL的身份认证和访问控制 目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。 如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块: 基于SSL的身份认证和访问控制原理图 1.Web服务器证书 要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA认证中心颁 发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书来协商、建立安全SSL安全通道。 这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真实可靠。 2.客户端证书 客户端证书由CA系统颁发给系统用户,在用户证书内标识了用户的身份信息、用户的公钥以及CA对证书相关域内容的数字签名,用户证书都有一个有效期。在建立SSL通 道过程中,可以对服务器的SSL功能配置成必须要求用户证书,服务器验证用户证书来验证用户的真实身份。 3.证书解析模块 证书解析模块以动态库的方式提供给各种Web服务器,它可以解析证书中包含的信息,用于提取证书中的用户信息,根据获得的用户信息,查询访问控制列表(ACL),获取用 户的访问权限,实现系统的访问控制。 4.访问控制列表(ACL)
基于安全策略的信息系统一体化管理的
基于安全策略的信息系统一体化管理的 摘要:随着企业信息化建设的多年发展和不断推进,电网企业已建设推广了众 多信息系统,并已深入到企业日常业务和管理的各个角落。各类信息系统的高效 访问集成是提高公司员工工作效率的有效途径,信息系统安全稳定的运行是整个 企业正常运转的重要保障,自动化、不间断的监控报警系统是及时发现隐患、保 证系统正常工作的有效手段。因此,建设一个集信息系统监控、预警、全生命周 期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。 关键词:安全策略;信息系统;现象描述 1、现象描述 随着公司信息化建设的不断推进,公司已上线了各类国网公司、省公司统推 系统,且各类系统版本较为复杂,造成在管理过程中存在诸多的问题。 (1)依靠手工Excel方式对这些数量众多的信息系统进行监管,监管力度不够,对信息系统上下线管理缺乏有效管控工具,一些不应继续使用的遗留系统仍 在运行并局部使用。 (2)信息系统能否正常使用只能依靠管理员人工查看或用户报修,缺乏有效手段及时发现系统故障,对各子系统运行状况无实时监控,发生故障后无法及时 察觉,恢复速度慢导致故障排除周期较长,信息运维用户满意度降低。 (3)公司所有的信息子系统缺乏统一入口,不少信息系统还没有与统一门户集成,各个子系统使用各自的访问控制手段,杂乱难记,用户日常使用时只能靠 输入链接地址进行访问,系统访问不方便,带来安全隐患。 2、处理过程 设计信息系统一体化管理工具,实现信息系统资源统筹管理,消除信息孤岛,促进各信息系统间互通互联,实现数据集中、文档集中、资源整合;实现信息系 统实时监控及风险预警缩短系统故障响应周期,提供信息运维服务水平,提高用 户满意度;实现信息系统全生命周期管理,确保系统安全稳定可靠运行。 1)、通过“信息系统访问控制管理”研究,基于安全访问控制策略,合理设置 各类用户的权限,构建公司各类信息系统的统一入口,建立信息系统快速搜索功能,方便用户准确快速链接到需要使用的信息系统,无需刻意记忆,提高工作效率。 ● 面向方面的应用程序访问控制 利用运行时织入(runtime weaving)手段,可以将访问控制逻辑实现为AOP 方面模块后,在部署平台上织入到应用系统中,而不用修改应用系统的源代码。 安全方面代码织入之后,即可拦截过滤用户对系统的访问,实现按规则的访问控制。 AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库, 此库可结合Spring框架及Spring Security子框架,实现高品质的安全控制特性。在.NET环境,有通过MSIL动态注入来实现AOP的PostSharp库。这样,公司多 数应用都可以在同一种技术框架下实现访问控制了。 ● 基于Apache的访问控制方案 Apache服务器集成了访问控制能力,通过编辑.htaccess文件,可以设定特定 来源的用户对特定资源的访问允许和禁止规则,Apache将会执行该文件中设定的 规则,对某些请求进行拦截。此外,读取.htaccess文件并作出拦截或放行决定的,并不是Apache核心代码,而是Apache中的几个模块(以mod_auth为核心)提
身份认证与访问控制技术
第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态
短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成
访问控制
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)-毕设论文
理工学院 毕业设计外文资料翻译 专业:通信工程 姓名: 学号: 11L0751156 外文出处: 2012 International Conference On Computer Science And Service System 附件: 1.外文资料翻译译文;2.外文原文。
附件1:外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构 (SOA) 摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放,基于属性的访问控制(ABAC)更多细粒度访问控制,更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中,安全域的与主题、对象属性、权力的环境属性访问决策的基础,消除集成基于SOA框架的约束RBAC,某种程度上提高了可伸缩性和可变更性的系统,解决了跨域访问控制的问题。 关键字:SOA,基于属性的访问控制(ABAC),访问控制 1. 整体介绍 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求,松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题,比如安全保障,以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统,开放性,跨域访问安全性呈现给我们的是一个巨大的挑战。 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域,不适合跨域访问。基于主体统一服务认证系统[7],使用不同的方法来处理访问跨域访问,它解决了这个问题在跨域访问企业信息集成一定程度上,但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题,本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统,该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 2.基于属性的访问控制(ABAC)
访问控制
访问控制 在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是鉴别用户的合法身份后,控制用户对数据信息的访问。访问控制是在身份认证的基础上,依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段,既能够控制用户和其他系统和资源进行通信和交互,也能保证系统和资源未经授权的访问,并为成功认证的用户授权不同的访问等级。 访问控制包含的范围很广,它涵盖了几种不同的机制,因为访问控制是防范计算机系统和资源被未授权访问的第一道防线,具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时,文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户,访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级,访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。 访问控制模型是一种从访问控制的角度出发,描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架,通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用,TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类:自主访问控制(Discretionary
Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。近几年基于角色的访问控制(Role-based Access Control,RBAC)技术正得到广泛的研究与应用。 访问控制模型分类 自主访问控制 自主访问控制(DAC),又称任意访问控制,是根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源,主题控制权限的通常由特权用户或特权用户(管理员)组实现。
基于岗位抽象的角色权限控制模型设计与实现
龙源期刊网 https://www.360docs.net/doc/2b17599636.html, 基于岗位抽象的角色权限控制模型设计与实现 作者:王伟全张学平 来源:《软件导刊》2012年第01期 摘要:通过对传统访问控制技术及其局限性的探讨,提出了全新的基于岗位抽象的角色 权限控制模型,画出了新模型的图示,介绍了新模型中“用户定岗”和“岗位授权”两个主要关系,阐述了新模型的优点。详细地阐述了实现新模型的关键技术,给出了新模型的总体结构图和总体类图,并对总体类图中的各个类及其关系进行了详细的说明。最后,总结了新模型的实用性及其推广应用价值。 关键词:RBAC;岗位;岗位互斥;定岗;授权 中图分类号:TP311.52 文献标识码:A 文章编号:1672-7800(2012)001-0107- 1 传统访问控制技术及其局限性 访问控制实质上是对资源使用的限制,决定主体是否被授权客体或资源执行某种操作,是 保障系统安全不可或缺的重要组成部分。目前,主要有3种不同类型的访问控制:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。 自主访问控制(DAC)是目前计算机系统中实现最多的访问控制机制,如Windows操作系统。强制访问控制(MAC)是强加给访问主体的,即系统强制主体服从既定的访问控制策略,主要应用于军事方面。这两种访问控制方式都只适用于特定的领域,具有一定的局限性。基于角色的访问控制(RBAC)引入了角色的概念,在授权主体和客体之间增加的角色这个中间层,实现了主客体的逻辑分离,具有一定的通用性。但RBAC在实际的应用中仍然存在一 些问题,如:角色的继承机制有缺陷,会造成某些角色的权限过大;权限定义较模糊、笼统,不够清晰;无法满足“同角色不同人员不同权限”的需求。基于上述原因,本文提出一种扩展的 RBAC新模型,引入了“岗位”概念,有效地弥补了传统RBAC的不足。 2 基于岗位抽象的角色权限控制模型 2.1 模型定义 新模型是在传统RBAC模型基础上引入“岗位”概念,模拟现实中的岗位管理制。其基本思想是:机构与角色结合形成岗位,模块与操作结合形成权限,先将权限赋给岗位(授权),再将人员指派到岗位(定岗),实现对系统资源的细粒度访问控制。如图1所示:
mHealth中可追踪多授权机构基于属性的访问控制方案
第39卷第6期通信学报V ol.39No.6 2018年6月Journal on Communications June 2018 mHealth中可追踪多授权机构基于属性的访问控制方案 李琦1,2,3,朱洪波2,4,熊金波5,莫若6 (1. 南京邮电大学计算机学院、软件学院、网络空间安全学院,江苏南京 210023; 2. 南京邮电大学物联网技术与应用协同创新中心,江苏南京 210003; 3. 南京邮电大学江苏省大数据安全与智能处理重点实验室,江苏南京 210023; 4. 南京邮电大学通信与信息工程学院,江苏南京 210003; 5. 福建师范大学数学与信息学院,福建福州 350117; 6. 西安电子科技大学网络与信息安全学院,陕西西安 710071) 摘要:移动健康护理作为一种新兴的技术给个人健康档案的分享提供了极大的便利,也给其隐私带来了极大的 风险。基于属性的加密体制能够对加密数据实现细粒度的访问控制,有效地保护了个人健康档案的隐私。然而, 目前基于属性的访问控制方案要么缺乏有效的恶意用户追踪机制,要么只支持单个授权机构。针对该问题,提出 了一个移动健康护理环境下适应性安全的可追踪多授权机构基于属性的访问控制方案,该方案在合数群上构造, 支持任意单调的线性秘密共享机制的访问策略,基于子群判定假设证明了该方案在标准模型下是适应性安全的, 基于k-SDH假设证明了该方案的可追踪性,性能分析表明了该方案的实用性。 关键词:属性加密;多机构;可追踪;适应性安全;移动健康护理 中图分类号:TP309 文献标识码:A doi: 10.11959/j.issn.1000-436x.2018100 Multi-authority attribute-based access control system in mHealth with traceability LI Qi1,2,3, ZHU Hongbo2,4, XIONG Jinbo5, MO Ruo6 1. School of Computer Science, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 2. Jiangsu Innovative Coordination Center of Internet of Things, Nanjing University of Posts and Telecommunications, Nanjing 210003, China 3. Jiangsu Key laboratory of Big Data Security & Intelligent Processing, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 4. College of Telecommunications & Information Engineering, Nanjing University of Posts and Telecommunications, Nanjing 210003, China 5. College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China 6. School of Cyber Engineering, Xidian University, Xi’an 710071, China Abstract: Mobile healthcare (mHealth) is an emerging technology which facilitates the share of personal health records (PHR), however, it also brings the risk of the security and privacy of PHR. Attribute-based encryption (ABE) is regarded as a new cryptology to enhance fine-grained access control over encrypted data. However, existing attribute-based mHealth systems either lack of efficient traceable approach, or support only single authority. A traceable multi-authority attribute-based access control mHealth scheme was proposed, which was constructed over composite order groups and supports any monotonic access structures described by linear secret sharing scheme (LSSS). The adaptive security was proved under subgroup decisional assumptions. The traceability was proved under k-strong Diffie-Hellman (k-SDH) as- sumption. The performance analysis indicates that the proposed scheme is efficient and available. Key words: attribute-based encryption, multi-authority, traceable, adaptively secure, mHealth 收稿日期:2017-10-02;修回日期:2018-05-08 基金项目:国家自然科学基金资助项目(No.61502248, No. 61427801, No.61402109, No.61602365, No.61370078);中国博士后科学基金资助项目(No.2018M632350);南京邮电大学引进人才科研启动基金资助项目(No.NY215008) Foundation Items: The National Natural Science Foundation of China (No.61502248, No.61427801, No.61402109, No.61602365, No.61370078), The Postdoctoral Science Foundation Project of China (No.2018M632350), NUPTSF (No.NY215008) 2018100-1 万方数据
信息系统访问控制权限管控模型研究
信息系统访问控制权限管控模型研究 发表时间:2016-08-23T14:09:44.377Z 来源:《电力设备》2016年第11期作者:苏辉任增朋孟祥山 [导读] 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作。 苏辉任增朋孟祥山 (江苏核电有限公司江苏连云港 222042) 摘要:江苏核电有限公司在信息安全管理体系建设过程中,推出了江苏核电独具特色的信息系统访问控制权限管理模型。文章详细介绍了该模型的产生背景、设计原则和总体情况,并对组成模型的3个不同体系维度分别加以论述。文章重点介绍了在信息系统访问控制权限管理模型的指导下,江苏核电具体开展的信息系统权限管理模式和开展的工作,并对实施效果进行了总结。 关键词:信息安全;权限管理;管控模型 产生背景 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作,信息化程度越来越高,业务对信息系统的依赖程度越来越大,同时访问系统的用户账号和权限管理也变得越来越复杂。江苏核电需要在授予用户信息系统访问权限的同时,准确、及时的管控用户权限。但是公司在线的信息系统及设备权限管理的多样性,信息系统用户覆盖多个直属部门、合作伙伴的现实情况,共同导致系统访问控制管理工作复杂度激增。这不仅提高了系统访问控制管理的成本,同时带来了相应的安全问题,主要体现在如下两个方面: 系统缺少统一的、全寿期的权限管控规范,存在权限管控的短板,从而在实质上降低了信息系统的安全性。 系统上线后权限管控的接口不清晰,权限控制不准确,不及时。业务用户对于权限了解的信息不对称。 为了规范系统访问控制管理工作。需要构建一个统一的信息系统访问控制权限管控模型,才能系统深入的解决上述两个方面的现实问题。因此,江苏核电开展了专题研究,并推出了江苏核电的信息系统权限管控模型。 设计原则 江苏核电信息系统权限管理的模型涉及系统和承载信息的安全,因此在设计权限管控模型的时候应坚持如下几个基本原则,以保证模型的先进性和实用性。 标准性原则 尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,充分参考行业内的最佳实践。标准性原则从根本上保证了信息系统权限管控模型的的全面性、合规性和开放性。 整体性原则 从宏观的、整体的角度出发,系统地设计江苏核电信息系统权限管理模型,覆盖系统的整个生命周期和管理维度的各个方面。从整体上管控信息系统的权限,保证系统的安全和信息的安全。 实用性原则 建立信息系统权限管理模型,必须针对江苏核电信息系统的特点,避免简单照抄照搬其它的信息安全权限管控方案。同时,信息系统权限管理模型中的所有内容,都被用来指导江苏核电信息系统权限管理的实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。 先进性原则 信息系统权限管理模型中涉及的思路和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,江苏核电的信息系统建设和权限管理的需要,为系统和信息的安全提供保障。 2、权限管控模型介绍 江苏核电信息系统权限管理模型包括信息系统生命周期、访问控制要素、业务需求三个维度,下面将从这三个维度来阐释权限管理的思路和措施。 图1 信息系统权限管控模型 信息系统生命周期 信息系统生命周期维度是把信息系统的全生命周期分为初始阶段、需求阶段、设计阶段、开发阶段、测试阶段、上线阶段、运维阶段、废弃阶段。针对这八个阶段制定具体的访问控制管理的管控流程、规则。 初始阶段:依据信息系统的可用性要求、业务重要性对其进行定级。 需求阶段:结合业务需求,梳理、汇总访问控制管理的需求。 设计阶段:依据需求说明书对访问控制管理进行设计,确保系统满足功能和安全需求。重点要关注访问控制管理流程梳理、角色权限