在《J0ker的CISSP之路》的上一篇文章《分佈式訪問控制方法》,J0ker給大家介紹了用於控制用戶資源訪問的幾種分佈式訪問控制方法。在實際的應用中,我們往往還需要對數據和信息進行更爲細緻的訪問控制,比如,企業需要允許財務部門訪問今年上半年的企業詳細財務報告,但同時應該拒絕其他部門訪問,之前介紹過的集中式或分佈式訪問控制方法就不太合適應用在這種場景中,這時候,我們就要用到下面提到的幾種數據訪問控制方法。
基於角色的訪問控制(Role Based Access Control, RBAC):
在許多大型的組織和企業中,數據訪問控制策略的制定實施往往取決於要求訪問的用戶在企業中所擔任的職務,如公司的財務人員只能訪問財務數據,而不能訪問人力資源文件,這種訪問控制方法被稱爲基於角色的訪問控制,簡稱RBAC。同樣的,基於角色的訪問控制策略也根據用戶所擔任的職務,規定了用戶能夠對數據進行的操作權限——由企業安全策略確定並授權。因此,在使用基於角色的訪問控制方法之前,還需要對組織中的所有數據以及訪問者進行角色屬性的設置,以使得訪問控制系統能夠在收到訪問請求時,根據訪問者和被訪問數據的角色屬性對比結果,進行訪問允許或訪問拒絕的操作。
這也是基於角色的訪問控制與之前J0ker介紹過的自主式和強制訪問控制最大的不同點,基於角色的訪問控制的訪問策略,並不是基於系統管理員或用戶的自主設定(自主式訪問控制),也不是根據組織安全策略規定由數據所有者設置的(強制訪問策略)。基於角色的訪問控制需要考慮的一個問題是,如何限制用戶對某種信息進行什麼樣的操作,從而保護信息的完整性。
管理方便是基於角色的訪問控制的最大好處,當一個訪問策略(也稱之爲角色)設定好之後,系統管理員就可以方便的將用戶加入或移除某個角色,使該用戶可以根據角色的權限操作數據。例如,當企業招聘新員工之後,系統管理員只需要將這些新員工加入到對應的角色中,這些新員工就可以按照自己的權限開展工作;當員工從企業辭職之後,管理員只需要直接將該用戶移出角色並禁用,即可刪除該辭職員工的所有權限。
能力表(Capability tables):作爲基於角色的訪問控制方法用來控制用戶權限的後臺部分,能力表存儲了用戶可以如何操作特定數據的保護標識。能力表往往表現成授權表格的形式,它由三部分所組成:訪問者、數據、訪問權限,能力表的列描述了訪問者對錶中所有數據的訪問權限,而能力表的列則描述了訪問控制和訪問者按照其授權對特定數據的訪問權限。下圖是一個能力表的簡單示例:
針對數據庫的訪問控制:
隨着數據庫技術在企業的廣泛應用,數據這個概念已經不只是存儲在企業系統或網絡內的文件這麼簡單,企業數據庫同樣也會存儲很多高價值的信息,如銀行數據庫內存儲的用戶賬戶信息,醫療機構數據庫內存儲的病人信息等。因爲這些數據的存儲和組織形式和標準的文件目錄形式不同,因此,傳統的文件訪問控制方式不能直接運用到數據庫上。目前針對數據庫的訪問控制模式由兩個部分組成:首先是連接性控制,用戶在連接到數據庫之前,需要進行特定的用戶身份驗證;其次是控制數據庫中的哪些數據可以爲用戶訪問到,這可以通過控制用戶的數據視圖(View)來實現。儘管針對數據庫的訪問控制使用到了訪問控制CBK中的許多基礎技術,但關於數據庫安全的更多話題卻是在下一個CBK——應用程序安全提到,J0ker到時將會更詳細的給大家介紹。
基於內容的訪問控制:
基於內容的訪問控制,是比基於文件目錄、基於數據更爲高級也更爲細緻的訪問控制方法,其控制策略取決於被訪問對象的數據內容,所以,在使用基於內容的訪問控制之前,需要提供以下幾個關鍵的屬性:
被訪問目標的基本信息
爲了提高訪問控制的有效性,有時需要對被訪問目標增加一個額外的標籤,被訪問目標的內容也需要經過複審
記錄內容,並和符合現有策略的另一個目標進行比較
能夠進行基於內容的訪問控制的工具,如一個使用字典單詞檢查的程序等
基於內容的一個最常見的例子是用於互聯網網站的分級制度,通過對各種類型的網站進行分類和標記,用戶程序可以方便的限制或允許對某類網站的訪問。如在許多企業中,不允許在上班時間訪問娛樂網站,企業管理員只需要通過策略設置不允許訪問標記爲“娛樂“的網站即可。目前互聯網網站分級採用的是W3C理事會發布的互聯網內容選擇平臺(PICS)標準,所有支持PICS標準的程序都能夠根據互聯網網站的PICS設置,來對網站的訪問進行控制。
強制用戶界面(Constrained User Interface):強制用戶界面也是應用較廣的一種訪問控制方式。強制用戶界面控制的原理是,通過用戶界面和接口限制用戶能夠訪問到的功能、信息和接口,來控制訪問者對特定資源的訪問能力。如我們經常看到的應用程序中的灰色不能點擊按鈕,就屬於強制用戶界面,另外,遍佈在公共查詢場所的自動查詢機也是強制用戶界面的一個應用實例,它通過一個固定的界面,限制使用者只能訪問和查詢特定的內容。
下篇預告:《訪問控制12:保障手段》,J0ker將開始向大家介紹用於實施前面介紹過的訪問控制方法的保障手段,敬請期待!