浅谈强制访问控制(mac).doc

浅谈强制访问控制（MAC） 【摘要】访问控制：安全保障机制的核心内容，是实现数据必威体育官网网址性和完整性的主要手段。访问控制是为了限制访问主体（或成为发起者，是一个主动的实体：如用户、进程、服务等），对访问客体（需要保护的资源的）访问权限。从而使计算机系统在合法范围内合用 访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。 访问控制分类：1）传统访问控制：自主访问控制DAC，强制访问控制MAC；2）新型访问控制：基于角色的访问控制RBAC，基于任务的访问控制TBAC……。本文主要谈论传统访问控制中的强制访问控制MAC。 【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型 引言 随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，给用户造成严重损失。 访问控制是信息安全保障机制的核心内容，它是实现数据必威体育官网网址性和完整性机制的主要手段。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等），对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。访问控制实现的基本理念以下两种：强制访问控制（Mandatory access control） 自主访问控制（Discretionary access control）MAC进行了很强的等级划分，通常用于多级安全军事系统。 强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级（Top Secret），秘密级（Secret），机密级（Confidential）及无级别级（Unclassified）。其级别为TSCU，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括： 下读（read down）：用户级别大于文件级别的读操作； 上写（Write up）：用户级别小于文件级别的写操作； 下写（Write down）：用户级别等于文件级别的写操作； 上读（read up）：用户级别小于文件级别的读操作； 图1 Bell-Lapadula安全模型 依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的必威体育官网网址性（见图1）。即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。 依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性（见图2）。在实际应用中，完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。 图2 Biba安全模型 三、强制访问控制方法 操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机 病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此，人们认识到必须采取更强有力的访问控制手段，这就是强制访问控制。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止 某个进程生成共享文件并通过这个共享文件向其它进程传递信息。1）限制访问控制。 一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。MAC可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。 （2）过程控制 在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本身执行与否。 （3）系统限制 要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除的。 四、强制访问控制实例 下面介绍一个实例：Unix文件系统强制访问控制机制的Multics方案。 Multics方案是Unix文件系统强制访问控制