环境数据访问控制技术研究

翟 杰，贾继薇

（天津市环境保护科技信息中心，天津300000）

1 引言

污染物减排是当前各级环境保护行政主管部门的重要工作内容。环境信息统计是污染减排“三大体系”建设的重要组成部分，无论是指标体系、监测体系还是考核体系都离不开环境信息和统计数据的支持，是实现污染物减排目标和进行评价、考核的重要基础条件。随着工作进一步深入，各类环境应用系统层出不穷，环境数据由于日积月累，数量庞大。如何合理地整合现有环境应用资源与利用环境信息资源成为了当前一个很主要的任务。如何对环境数据进行合理访问，如何提高访问数据的安全性，现阶段成为了环境数据管理者关心的问题。数据访问控制是在应用系统信息安全需求的分析基础上，为应用系统建立统一、基于策略、高安全强度、易维护管理、扩展能力极强的访问控制环境，为用户提供应用级的访问控制解决方案。

2 基础技术

2.1 访问控制

访问控制是通过某种途径允许或限制用户访问能力及范围的一种方法。访问控制的目的是使用户只能进行经过授权的相关数据库操作。

访问控制系统通常包括主体、客体、安全访问策略三部分。主体为发出访问操作、存取要求的发起者、通常指用户或用户的某个进程；客体为被调用的程序或预存取的数据，即必须进行控制的资源目标；安全访问策略为一套规则，用以确定一个主体是否对客体拥有访问能力，定义了主体与客体可能的相互作用途径。

访问控制的基本原则包括最小特权原则，即完成某种操作时所赋予每个主体必须的最小特权；多人负责原则，即授权分散化，关键的任务由多人来承担，保证没有人具有完成任务的全部授权或信息；责任分离原则，即将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险

在可信计算机系统评估准则中，访问控制系统被分为自主访问控制与强制访问控制两大类，但最近几年基于角色的访问控制正在得到广泛的研究和应用，代表着访问控制技术的发展方向。

2.2 自主访问控制

自主访问控制（DAC）是在确认主体身份以及（或）它们所属的组的基础上，控制主体的活动，实施用户权限管理、访问属性（读、写、执行）管理等，是一种普遍的访问控制手段。DAC的主要特征体现在主体可以自主地把所拥有客体的访问权限授予其他主体或者从其他主体收回所授予的权限。即用户程序可修改他拥有文件的ACL。DAC通常采用基于访问控制矩阵的访问控制表（ACL）机制。矩阵种每行表示一个主体，每列表示一个受保护的客体，而矩阵中的元素则表示主体可以对客体的访问模式。

2.3 强制访问控制

强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体实施强制访问控制，即系统强制主体服从访问控制策略。

方法就是先给主体和客体指定敏感标记，系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变它自己及任何其它客体的敏感标记。

2.3.1 Bell～Lapadula安全模型

B～L模型制定的原则是利用不上读／不下写来保证数据的保密性。这种模型禁止信息从高级别流向低级别，从而实现信息的单向流通。

2.3.2 Biba安全模型

Biba模型制定的原则是不下读／不上写来保证数据的完整性。这种模型主要是为了避免应用程序修改某些重要的系统程序或系统数据库。

2.4 基于角色的访问控制

授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。基于角色的访问控制的要素包括用户、角色、许可等基本定义，三者之间的关系见图1。用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体；角色是一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任；许可就是允许对一个或多个客体执行的操作。

图1 访问控制的要素

2.4.1 角色继承

为避免相同权限的重复设置，采用“角色继承”的概念，即它们有自己的属性，但可能还继承其他角色的许可。在角色继承关系中，处于最上面的角色拥有最大的访问权限，最下面的则想法。

2.4.2 角色分配与授权

用户角色的分配与授权由系统管理员通过用户／角色分配表来进行。它包括用户标识、角色标识、可用性。只有可用性为真时，用户才真正可以使用该角色赋予的许可。用户取得某种角色既可以是直接通过分配得来得，也可以是通过继承得来的。

2.4.3 角色限制

角色限制包括角色基数限制与角色互斥。角色基数在创建角色时指定；角色互斥是指对某些特定的操作集合，某一个用户不可能同事独立地完成所有这些操作。角色互斥分为静态角色互斥和动态角色互斥。

2.4.4 角色激活

角色通过会话激活，会话激活了用户授权集合的某个子集。这个子集称为活跃角色集。

2.5 数据访问控制系统的安全策略

它能够描述复杂的安全策略，这些安全策略实质上表明的是所论及的系统在进行一般操作时，在安全范围内什么是允许的，什么是不允许的。在数据访问控制系统中，系统管理员可以通过角色的定义、角色的分配、角色的设置、角色分层和角色限制来实现组织的安全策略。

通常数据访问控制系统结构由RBAC数据库、身份认证模块、系统管理模块、会话管理模块组成。

身份认证模块通过用户标识、用户口令确认用户身份。系统管理模块主要通过初始化RBAC数据库并维护RBAC数据库，完成用户增减、角色增减、角色／许可分配等操作。会话管理模块结合RBAC数据库管理会话，包括会话的创建与取消以及对活跃角色的管理等（图2）。

图2 各模块的对应关系

2.6 数据访问控制系统运行步骤

用户登录时向身份认证模块发送用户标识、用户口令，确认用户身份；会话管理模块从RBAC数据库检索该用户的授权角色集并送回用户；用户从中选择本次会话的活跃角色集合，在此过程中会话管理模块维持动态角色互斥；会话创建成功；在此会话过程中，系统管理员若要更改角色或许可，可在此会话结束后进行或终止此会话立即进行。

3 数据访问技术的发展

数据访问控制技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集。主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。其中安全模型是访问控制的理论基础。

信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问，这些访问控制规则称为安全策略，安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据，安全模型是指用形式化的方法来准确地描述安全的重要方面（机密性、完整性和可用性）及其与系统行为的关系。建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次，以及为机密性和完整性寻找安全策略，安全模型是构建系统保护的重要依据，同时也是建立和评估安全操作系统的重要依据。

信息系统安全模型可以分为两大类：一种是信息流模型；另一种是访问控制模型。访问控制模型是从访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体，以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可以分自主访问控制（DAC）和强制访问控制（MAC）。自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体针对哪些客体可以执行什么操作。如此可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。目前的主流操作系统，如UNIX、Linux和 Windows等操作系统都提供自主访问控制功能。自主访问控制的一个最大问题是主体的权限太大，无意间就可能泄露信息，而且不能防备特洛伊木马的攻击。强制访问控制系统给主体和客体分配不同的安全属性，而且这些安全属性不像ACL那样轻易被修改，系统通过比较主体和客体的安全属性决定主体是否能够访问客体。强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性，但其实现的代价也更大，一般用在安全级别要求比较高的军事上。

随着安全需求的不断发展和变化，自主访问控制和强制访问控制已经不能完全满足需求，研究者提出许多自主访问控制和强制访问控制的替代模型，如基于栅格的访问控制、基于规则的访问控制、基于角色的访问控制模型和基于任务的访问控制等。其中最引人瞩目的是基于角色的访问控制（RBAC）。其基本思想是：有一组用户集和角色集，在特定的环境里，某一用户被指定为一个合适的角色来访问系统资源；在另外一种环境里，这个用户又可以被指定为另一个的角色来访问另外的网络资源，每一个角色都具有其对应的权限，角色是安全控制策略的核心，可以分层，存在偏序、自反、传递、反对称等关系。与自主访问控制和强制访问控制相比，基于角色的访问控制具有显著优点：首先，它实际上是一种策略无关的访问控制技术。其次，基于角色的访问控制具有自管理的能力。此外，基于角色的访问控制还便于实施整个组织或单位的网络信息系统的安全策略。

3.1 使用的范围

数据访问控制技术适用于数据访问控制系统的设计及业务应用系统数据访问控制部分的设计。适用于数据访问控制系统的设计人员、业务应用系统的设计人员、以及系统维护人员。

3.2 功能要求

根据《信息系统信息安全等级保护要求》，不同安全级别的信息系统所采用的数据访问控制技术功能要求是不同的，这里是罗列一些主要的功能要求。

身份鉴别，用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的；设备标识与鉴别，包括设备标识、设备鉴别、鉴别失败处理；自主访问控制，包括访问控制策略、访问控制表访问控制、目录表访问控制、权能表访问控制、访问控制粒度；标记，包括主体标记、客体标记、标记的输出和输入；强制访问控制，包括访问控制策略、多级安全模型、各类访问控制功能、访问控制范围、颗粒度；数据完整性保护，对数据存储的完整性、传输的完整性进行保护；用户数据保密性保护，包括：存储数据保密性保护、传输数据保密性保护、客体安全重用。数据流控制，在以数据流方式实现数据流动的环境信息系统中，所应采用数据流控制机制来实现对数据流动的安全控制，以防止具有高等级安全的数据信息向低等级的区域流动。可信路径，提供真实的端点标识，并保护通信数据免遭修改和泄漏；利用可信路径的通信可以由自身、本地用户或远程用户发起；对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。密码支持，密码支持应根据密码强度与信息安全等级匹配的原则，按国家密码主管部门的规定，分级配置具有相应等级密码管理的密码支持。

4 结语

对数据访问控制技术的基础技术、技术特点、使用的范围及功能要求进行初步研究。虽然数据访问控制技术已经比较成熟，但这一领域才刚刚被非信息技术行业的管理者所关注。环境业务领域正处于信息化发展的初级阶段，开始在内部建立安全管理规范，有统一和规范各类环境信息资源的访问控制的迫切需求。实施环境数据访问控制、环境数据传输保护及环境数据存取控制，才能提高环境信息共享水平，更好的为管理服务。建立有效的环境数据访问控制规范，可以保持环境业务应用系统建设上下级之间标准一致，系统互连互通，不仅集中了管理，而且对资源进行了整合，减少了数据访问控制系统的重复建设，节约了环境业务应用系统建设的资金。

［1］国家质量技术监督局.GB 17859－1999计算机信息系统安全保护等级划分准则［S］.北京：中国标准出版社，1999.

［2］国家质量技术监督局.GB／T 20271－2006信息安全技术信息系统通用安全技术要求［S］.北京：中国标准出版社，2006.

［3］国家质量技术监督局.GB／T 20273－2006信息安全技术数据库管理系统安全技术要求［S］.北京：中国标准出版社，2006.

［4］国家质量技术监督局.GB／T 22080－2008信息技术 安全技术信息安全管理体系要求［S］.北京：中国标准出版社，2008.

［5］国家质量技术监督局.GB／T 22239－2008信息安全技术信息系统安全等级保护基本要求［S］.北京：中国标准出版社，2008.