翟 杰，賈繼薇

（天津市環(huán)境保護(hù)科技信息中心，天津300000）

1 引言

污染物減排是當(dāng)前各級環(huán)境保護(hù)行政主管部門的重要工作內(nèi)容。環(huán)境信息統(tǒng)計是污染減排“三大體系”建設(shè)的重要組成部分，無論是指標(biāo)體系、監(jiān)測體系還是考核體系都離不開環(huán)境信息和統(tǒng)計數(shù)據(jù)的支持，是實現(xiàn)污染物減排目標(biāo)和進(jìn)行評價、考核的重要基礎(chǔ)條件。隨著工作進(jìn)一步深入，各類環(huán)境應(yīng)用系統(tǒng)層出不窮，環(huán)境數(shù)據(jù)由于日積月累，數(shù)量龐大。如何合理地整合現(xiàn)有環(huán)境應(yīng)用資源與利用環(huán)境信息資源成為了當(dāng)前一個很主要的任務(wù)。如何對環(huán)境數(shù)據(jù)進(jìn)行合理訪問，如何提高訪問數(shù)據(jù)的安全性，現(xiàn)階段成為了環(huán)境數(shù)據(jù)管理者關(guān)心的問題。數(shù)據(jù)訪問控制是在應(yīng)用系統(tǒng)信息安全需求的分析基礎(chǔ)上，為應(yīng)用系統(tǒng)建立統(tǒng)一、基于策略、高安全強(qiáng)度、易維護(hù)管理、擴(kuò)展能力極強(qiáng)的訪問控制環(huán)境，為用戶提供應(yīng)用級的訪問控制解決方案。

2 基礎(chǔ)技術(shù)

2.1 訪問控制

訪問控制是通過某種途徑允許或限制用戶訪問能力及范圍的一種方法。訪問控制的目的是使用戶只能進(jìn)行經(jīng)過授權(quán)的相關(guān)數(shù)據(jù)庫操作。

訪問控制系統(tǒng)通常包括主體、客體、安全訪問策略三部分。主體為發(fā)出訪問操作、存取要求的發(fā)起者、通常指用戶或用戶的某個進(jìn)程；客體為被調(diào)用的程序或預(yù)存取的數(shù)據(jù)，即必須進(jìn)行控制的資源目標(biāo)；安全訪問策略為一套規(guī)則，用以確定一個主體是否對客體擁有訪問能力，定義了主體與客體可能的相互作用途徑。

訪問控制的基本原則包括最小特權(quán)原則，即完成某種操作時所賦予每個主體必須的最小特權(quán)；多人負(fù)責(zé)原則，即授權(quán)分散化，關(guān)鍵的任務(wù)由多人來承擔(dān)，保證沒有人具有完成任務(wù)的全部授權(quán)或信息；責(zé)任分離原則，即將不同的責(zé)任分派給不同的人員以期達(dá)到互相牽制，消除一個人執(zhí)行兩項不相容的工作的風(fēng)險

在可信計算機(jī)系統(tǒng)評估準(zhǔn)則中，訪問控制系統(tǒng)被分為自主訪問控制與強(qiáng)制訪問控制兩大類，但最近幾年基于角色的訪問控制正在得到廣泛的研究和應(yīng)用，代表著訪問控制技術(shù)的發(fā)展方向。

2.2 自主訪問控制

自主訪問控制（DAC）是在確認(rèn)主體身份以及（或）它們所屬的組的基礎(chǔ)上，控制主體的活動，實施用戶權(quán)限管理、訪問屬性（讀、寫、執(zhí)行）管理等，是一種普遍的訪問控制手段。DAC的主要特征體現(xiàn)在主體可以自主地把所擁有客體的訪問權(quán)限授予其他主體或者從其他主體收回所授予的權(quán)限。即用戶程序可修改他擁有文件的ACL。DAC通常采用基于訪問控制矩陣的訪問控制表（ACL）機(jī)制。矩陣種每行表示一個主體，每列表示一個受保護(hù)的客體，而矩陣中的元素則表示主體可以對客體的訪問模式。

2.3 強(qiáng)制訪問控制

強(qiáng)制訪問控制（MAC）的主要特征是對所有主體及其所控制的客體實施強(qiáng)制訪問控制，即系統(tǒng)強(qiáng)制主體服從訪問控制策略。

方法就是先給主體和客體指定敏感標(biāo)記，系統(tǒng)通過比較主體和客體的敏感標(biāo)記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變它自己及任何其它客體的敏感標(biāo)記。

2.3.1 Bell～Lapadula安全模型

B～L模型制定的原則是利用不上讀／不下寫來保證數(shù)據(jù)的保密性。這種模型禁止信息從高級別流向低級別，從而實現(xiàn)信息的單向流通。

2.3.2 Biba安全模型

Biba模型制定的原則是不下讀／不上寫來保證數(shù)據(jù)的完整性。這種模型主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫。

2.4 基于角色的訪問控制

授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定?；诮巧脑L問控制的要素包括用戶、角色、許可等基本定義，三者之間的關(guān)系見圖1。用戶就是一個可以獨立訪問計算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源的主體；角色是一個組織或任務(wù)中的工作或者位置，它代表了一種權(quán)利、資格和責(zé)任；許可就是允許對一個或多個客體執(zhí)行的操作。

圖1 訪問控制的要素

2.4.1 角色繼承

為避免相同權(quán)限的重復(fù)設(shè)置，采用“角色繼承”的概念，即它們有自己的屬性，但可能還繼承其他角色的許可。在角色繼承關(guān)系中，處于最上面的角色擁有最大的訪問權(quán)限，最下面的則想法。

2.4.2 角色分配與授權(quán)

用戶角色的分配與授權(quán)由系統(tǒng)管理員通過用戶／角色分配表來進(jìn)行。它包括用戶標(biāo)識、角色標(biāo)識、可用性。只有可用性為真時，用戶才真正可以使用該角色賦予的許可。用戶取得某種角色既可以是直接通過分配得來得，也可以是通過繼承得來的。

2.4.3 角色限制

角色限制包括角色基數(shù)限制與角色互斥。角色基數(shù)在創(chuàng)建角色時指定；角色互斥是指對某些特定的操作集合，某一個用戶不可能同事獨立地完成所有這些操作。角色互斥分為靜態(tài)角色互斥和動態(tài)角色互斥。

2.4.4 角色激活

角色通過會話激活，會話激活了用戶授權(quán)集合的某個子集。這個子集稱為活躍角色集。

2.5 數(shù)據(jù)訪問控制系統(tǒng)的安全策略

它能夠描述復(fù)雜的安全策略，這些安全策略實質(zhì)上表明的是所論及的系統(tǒng)在進(jìn)行一般操作時，在安全范圍內(nèi)什么是允許的，什么是不允許的。在數(shù)據(jù)訪問控制系統(tǒng)中，系統(tǒng)管理員可以通過角色的定義、角色的分配、角色的設(shè)置、角色分層和角色限制來實現(xiàn)組織的安全策略。

通常數(shù)據(jù)訪問控制系統(tǒng)結(jié)構(gòu)由RBAC數(shù)據(jù)庫、身份認(rèn)證模塊、系統(tǒng)管理模塊、會話管理模塊組成。

身份認(rèn)證模塊通過用戶標(biāo)識、用戶口令確認(rèn)用戶身份。系統(tǒng)管理模塊主要通過初始化RBAC數(shù)據(jù)庫并維護(hù)RBAC數(shù)據(jù)庫，完成用戶增減、角色增減、角色／許可分配等操作。會話管理模塊結(jié)合RBAC數(shù)據(jù)庫管理會話，包括會話的創(chuàng)建與取消以及對活躍角色的管理等（圖2）。

圖2 各模塊的對應(yīng)關(guān)系

2.6 數(shù)據(jù)訪問控制系統(tǒng)運(yùn)行步驟

用戶登錄時向身份認(rèn)證模塊發(fā)送用戶標(biāo)識、用戶口令，確認(rèn)用戶身份；會話管理模塊從RBAC數(shù)據(jù)庫檢索該用戶的授權(quán)角色集并送回用戶；用戶從中選擇本次會話的活躍角色集合，在此過程中會話管理模塊維持動態(tài)角色互斥；會話創(chuàng)建成功；在此會話過程中，系統(tǒng)管理員若要更改角色或許可，可在此會話結(jié)束后進(jìn)行或終止此會話立即進(jìn)行。

3 數(shù)據(jù)訪問技術(shù)的發(fā)展

數(shù)據(jù)訪問控制技術(shù)主要用于控制用戶可否進(jìn)入系統(tǒng)以及進(jìn)入系統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集。主要涉及安全模型、控制策略、控制策略的實現(xiàn)、授權(quán)與審計等。其中安全模型是訪問控制的理論基礎(chǔ)。

信息系統(tǒng)的安全目標(biāo)是通過一組規(guī)則來控制和管理主體對客體的訪問，這些訪問控制規(guī)則稱為安全策略，安全策略反應(yīng)信息系統(tǒng)對安全的需求。安全模型是制定安全策略的依據(jù)，安全模型是指用形式化的方法來準(zhǔn)確地描述安全的重要方面（機(jī)密性、完整性和可用性）及其與系統(tǒng)行為的關(guān)系。建立安全模型的主要目的是提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次，以及為機(jī)密性和完整性尋找安全策略，安全模型是構(gòu)建系統(tǒng)保護(hù)的重要依據(jù)，同時也是建立和評估安全操作系統(tǒng)的重要依據(jù)。

信息系統(tǒng)安全模型可以分為兩大類：一種是信息流模型；另一種是訪問控制模型。訪問控制模型是從訪問控制的角度描述安全系統(tǒng)，主要針對系統(tǒng)中主體對客體的訪問及其安全控制。訪問控制安全模型中一般包括主體、客體，以及為識別和驗證這些實體的子系統(tǒng)和控制實體間訪問的參考監(jiān)視器。通常訪問控制可以分自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC）。自主訪問控制機(jī)制允許對象的屬主來制定針對該對象的保護(hù)策略。通常DAC通過授權(quán)列表（或訪問控制列表ACL）來限定哪些主體針對哪些客體可以執(zhí)行什么操作。如此可以非常靈活地對策略進(jìn)行調(diào)整。由于其易用性與可擴(kuò)展性，自主訪問控制機(jī)制經(jīng)常被用于商業(yè)系統(tǒng)。目前的主流操作系統(tǒng)，如UNIX、Linux和 Windows等操作系統(tǒng)都提供自主訪問控制功能。自主訪問控制的一個最大問題是主體的權(quán)限太大，無意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。強(qiáng)制訪問控制系統(tǒng)給主體和客體分配不同的安全屬性，而且這些安全屬性不像ACL那樣輕易被修改，系統(tǒng)通過比較主體和客體的安全屬性決定主體是否能夠訪問客體。強(qiáng)制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性，但其實現(xiàn)的代價也更大，一般用在安全級別要求比較高的軍事上。

隨著安全需求的不斷發(fā)展和變化，自主訪問控制和強(qiáng)制訪問控制已經(jīng)不能完全滿足需求，研究者提出許多自主訪問控制和強(qiáng)制訪問控制的替代模型，如基于柵格的訪問控制、基于規(guī)則的訪問控制、基于角色的訪問控制模型和基于任務(wù)的訪問控制等。其中最引人矚目的是基于角色的訪問控制（RBAC）。其基本思想是：有一組用戶集和角色集，在特定的環(huán)境里，某一用戶被指定為一個合適的角色來訪問系統(tǒng)資源；在另外一種環(huán)境里，這個用戶又可以被指定為另一個的角色來訪問另外的網(wǎng)絡(luò)資源，每一個角色都具有其對應(yīng)的權(quán)限，角色是安全控制策略的核心，可以分層，存在偏序、自反、傳遞、反對稱等關(guān)系。與自主訪問控制和強(qiáng)制訪問控制相比，基于角色的訪問控制具有顯著優(yōu)點：首先，它實際上是一種策略無關(guān)的訪問控制技術(shù)。其次，基于角色的訪問控制具有自管理的能力。此外，基于角色的訪問控制還便于實施整個組織或單位的網(wǎng)絡(luò)信息系統(tǒng)的安全策略。

3.1 使用的范圍

數(shù)據(jù)訪問控制技術(shù)適用于數(shù)據(jù)訪問控制系統(tǒng)的設(shè)計及業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)訪問控制部分的設(shè)計。適用于數(shù)據(jù)訪問控制系統(tǒng)的設(shè)計人員、業(yè)務(wù)應(yīng)用系統(tǒng)的設(shè)計人員、以及系統(tǒng)維護(hù)人員。

3.2 功能要求

根據(jù)《信息系統(tǒng)信息安全等級保護(hù)要求》，不同安全級別的信息系統(tǒng)所采用的數(shù)據(jù)訪問控制技術(shù)功能要求是不同的，這里是羅列一些主要的功能要求。

身份鑒別，用特定信息對用戶身份的真實性進(jìn)行確認(rèn)。用于鑒別的信息一般是非公開的、難以仿造的；設(shè)備標(biāo)識與鑒別，包括設(shè)備標(biāo)識、設(shè)備鑒別、鑒別失敗處理；自主訪問控制，包括訪問控制策略、訪問控制表訪問控制、目錄表訪問控制、權(quán)能表訪問控制、訪問控制粒度；標(biāo)記，包括主體標(biāo)記、客體標(biāo)記、標(biāo)記的輸出和輸入；強(qiáng)制訪問控制，包括訪問控制策略、多級安全模型、各類訪問控制功能、訪問控制范圍、顆粒度；數(shù)據(jù)完整性保護(hù)，對數(shù)據(jù)存儲的完整性、傳輸?shù)耐暾赃M(jìn)行保護(hù)；用戶數(shù)據(jù)保密性保護(hù)，包括：存儲數(shù)據(jù)保密性保護(hù)、傳輸數(shù)據(jù)保密性保護(hù)、客體安全重用。數(shù)據(jù)流控制，在以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)流動的環(huán)境信息系統(tǒng)中，所應(yīng)采用數(shù)據(jù)流控制機(jī)制來實現(xiàn)對數(shù)據(jù)流動的安全控制，以防止具有高等級安全的數(shù)據(jù)信息向低等級的區(qū)域流動。可信路徑，提供真實的端點標(biāo)識，并保護(hù)通信數(shù)據(jù)免遭修改和泄漏；利用可信路徑的通信可以由自身、本地用戶或遠(yuǎn)程用戶發(fā)起；對原發(fā)用戶的鑒別或需要可信路徑的其他服務(wù)均使用可信路徑。密碼支持，密碼支持應(yīng)根據(jù)密碼強(qiáng)度與信息安全等級匹配的原則，按國家密碼主管部門的規(guī)定，分級配置具有相應(yīng)等級密碼管理的密碼支持。

4 結(jié)語

對數(shù)據(jù)訪問控制技術(shù)的基礎(chǔ)技術(shù)、技術(shù)特點、使用的范圍及功能要求進(jìn)行初步研究。雖然數(shù)據(jù)訪問控制技術(shù)已經(jīng)比較成熟，但這一領(lǐng)域才剛剛被非信息技術(shù)行業(yè)的管理者所關(guān)注。環(huán)境業(yè)務(wù)領(lǐng)域正處于信息化發(fā)展的初級階段，開始在內(nèi)部建立安全管理規(guī)范，有統(tǒng)一和規(guī)范各類環(huán)境信息資源的訪問控制的迫切需求。實施環(huán)境數(shù)據(jù)訪問控制、環(huán)境數(shù)據(jù)傳輸保護(hù)及環(huán)境數(shù)據(jù)存取控制，才能提高環(huán)境信息共享水平，更好的為管理服務(wù)。建立有效的環(huán)境數(shù)據(jù)訪問控制規(guī)范，可以保持環(huán)境業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)上下級之間標(biāo)準(zhǔn)一致，系統(tǒng)互連互通，不僅集中了管理，而且對資源進(jìn)行了整合，減少了數(shù)據(jù)訪問控制系統(tǒng)的重復(fù)建設(shè)，節(jié)約了環(huán)境業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)的資金。

［1］國家質(zhì)量技術(shù)監(jiān)督局.GB 17859－1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則［S］.北京：中國標(biāo)準(zhǔn)出版社，1999.

［2］國家質(zhì)量技術(shù)監(jiān)督局.GB／T 20271－2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2006.

［3］國家質(zhì)量技術(shù)監(jiān)督局.GB／T 20273－2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2006.

［4］國家質(zhì)量技術(shù)監(jiān)督局.GB／T 22080－2008信息技術(shù) 安全技術(shù)信息安全管理體系要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2008.

［5］國家質(zhì)量技術(shù)監(jiān)督局.GB／T 22239－2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2008.