编程那点事
一、要求内容
a)应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问;
b)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。
c)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
d)应实现操作系统和数据库系统特权用户的权限分离;
e)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
f)应及时删除多余的、过期的帐户,避免共享帐户的存在。
二、实施建议
建立访问控制策略,依据最小原则授予用户权限,操作系统和数据库系统要使用不同的特权用户,对用户权限分配应当定期检查。
三、常见问题
有的公司服务器管理员帐户是大家共用的;经常发现过无用帐户存在与系统中,通常是没有进行过安全配置。
四、实施难点
详细的访问控制手段和权限配置任务将增加管理人员的工作量。
五、测评方法
形式 检查,测试。 对象 服务器操作系统、数据库,服务器操作系统文档,数据库管理系统文档。
实施
a)应检查服务器操作系统和数据库管理系统的强制访问控制是否具有《信息安全等级保护操作系统安全技术要求》和《信息安全等级保护 数据库管理系统安全技术要求》第三级以上的测试报告;
b)应检查服务器操作系统和数据库管理系统,查看是否能对重要信息资源和访问重要信息资源的所有主体设置敏感标记,这些敏感标记是否构成多级安全模型的属性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理;
c)应检查服务器操作系统文档,查看强制访问控制模型是否采用“向下读,向上写”模型,如果操作系统采用其他的强制访问控制模型,则操作系统文档是否对这种模型进行详细分析,并有权威机构对这种强制访问控制模型的合理性和完善性进行检测证明;
d)应检查服务器操作系统和数据库管理系统文档,查看强制访问控制是否与用户身份鉴别、标识等安全功能密切配合,并且控制粒度达到主体为用户级,客体为文件和数据库表级;
e)应测试服务器操作系统和数据库管理系统,依据系统文档描述的强制访问控制模型,以授权用户和非授权用户身份访问客体,验证是否只有授权用户可以访问客体,而非授权用户不能访问客体;
f)应渗透测试服务器操作系统和数据库管理系统,可通过非法终止强制访问模块,非法修改强制访问相关规则,使用假冒身份等方式,测试强制访问控制是否安全、可靠。
a)应检查服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等可能被非授权访问的客体进行了限制;
b)应检查服务器操作系统和数据库管理系统的访问控制列表,查看授权用户中是否不存在过期的帐号和无用的帐号等;访问控制列表中的用户和权限,是否与安全策略相一致;
c)应检查数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
d)应检查服务器操作系统和数据库管理系统,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则(如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等);
e)应查看服务器操作系统和数据库管理系统,查看匿名/默认用户的访问权限是否已被禁用或者严格限制;
f)应测试服务器操作系统和数据库管理系统,依据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问。
六、参考资料
《信息安全等级保护 操作系统安全技术要求》中对访问控制内容有要求:
4.4.1.1 自主访问控制 应按照《通用技术要求》6.4.3.3 条的要求,设计和实现操作系统的自主访问控制功能。 在本安全级中,要求有更细粒度的自主访问控制, 并将自主访问控制扩展到计算机信息系统的所有主体与客体。对系统中的每一个客体,都应能够实现由客体的创建者(用户)以用户指定方式或默认方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予,并将访问控制的粒度控制在单个用户,做到只有授权用户才能对该客体实施所授 权的访问,而阻止那些非授权的用户对该客体进行任何访问,也阻止授权用户以非授权的操作形式对该客体进行访问。本级还要求自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任。
本级中,对自主访问控制的要求应包括:
——定义访问控制属性,并保护这些属性。主体的访问控制属性至少应有:读、写、运行等;客体的访问控制属性应包含可分配给主体的读、写和执行的权限。
——定义分配和修改主体和客体的访问控制属性的规则,并执行对主体和客体的访问控制属性的分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体。
——定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性,授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型。
——所有主体和客体的创建和删除应由系统来进行。主体可请求系统创建和删除主体和客体,但不允许它自己去做这些,从而保证主体和客体不能以危害由系统包含的信息的方式来创建。无论何时一个主体或客体被创建,系统应保证被用于创建该主体或客体的资源不能包含以前使用的任何信息,这些资源主要有:存储器、文件、目录、符号连接、管道、消息队列、信号灯、共享主存等。
实现操作系统自主访问控制的具体方法有:
a) 基于目录表访问的自主访问控制,应为每个实施访问的主体建立一张可以被该主体访问的“客体目录表”。每个用户在其文件目录表中依次列出文件名,并逐一标明对这些文件的访问权限。权限一般分为四种:读、写、执行和属主。每个客体应有唯一的属主。属主具有访问权和分配、回收其他用户的访问权的权限。文件目录表的修改只有文件的属主才能实施,其他任何用户不允许在文件目录表中写,因此,操作系统应在文件的拥有者控制下维护所有的文件目录。
b) 基于存取控制表的自主访问控制,应决定任何一个确定的主体是否可对某一客体进行访问,并识别存取文件的单个用户或用户组。对系统中每一个需要保护的客体,都应为其附加一个主体明细表,表中的每一项包括主体的身份以及对该客体的访问权。这些信息应贮存在某个地方,清楚地与客体相连,高效地标识可存取文件的用户。
c) 访问控制矩阵模型,应用状态和状态转换进行访问关系定义。访问控制矩阵可是一张表格,每行代表一个用户(主体),每列代表一个存取目标(客体),表中的每个元素是该主体对客体的访问权集合。访问的权限应包括读、写、执行和删除。访问控制矩阵一般是稀疏的,矩阵内多数的项为空,即多数主体无权访问多数客体。访问控制矩阵根据不同类型的客体被允许实施的操作规定存取的种类。矩阵状态的转换通过命令集合将命令规定成一系列基本操作实现,主要包括: ——在A[S,O]中增加权力R; ——在A[S,O]中删除权力R; ——生成主体S; ——生成客体O; ——删除主体S; ——删除客体O。
d) 能力表是存取矩阵的另一种改进类型。能力表与主体相关,每个用户应有一个能力表,决定用户是否可以对客体进行访问以及进行何种模式的访问(读、写、执行)。一个拥有一定能力的主体允许依照一定的模式访问客体,在进程运行期间,可删除或添加某些能力。一个用户的能力可以转让,也可以回收,还可以包含在程序、数据文件、硬件、软件中,并采用一定措施进行保护。
e) 拥有者/同组/其他访问控制机制,是在每个文件上附加一段有关存取控制信息的二进制位,这些位应反映不同类型用户的存取方式,一般不超过四类:文件的拥有者、与文件拥有者同组的用户、特定的系统用户和其他用户。每一类用户都应有一组权限,每组权限有三个权限标志位来控制以下权限: ——可读(r):如果被设置,则文件或目录可读。 ——可写(w):如果被设置,文件或目录可以被写入或修改。 ——可执行(x):如果被设置,文件或目录可以被执行和搜索。
f) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。因此,客体拥有者在任何时候都可以改变其所属客体的访问控制表,并可对其他主体授予或撤消对该客体的任何一种访问模式。另外,可设立系统管理员(也称为超级用户),有权修改系统中所有客体的访问控制表,并可对所有客体进行所有模式的访问。
4.4.1.2 强制访问控制 应按照《通用技术要求》6.4.3.5 条强制访问控制的要求,设计和实现所需要的强制访问控制功能。
本安全级的具体要求为:
a) 由专门设置的系统安全员统一管理计算机信息系统中与强制访问控制有关的事件和信息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限,在三者之间形成相互制约的关系。
b) 强制访问控制应与用户身份鉴别、标记等安全功能密切配合,使系统对用户的安全控制包含从用户进入系统到退出系统的全过程。本安全级,要求将强制访问控制扩展到计算机信息系统中的所有主体与客体;要求对客体的控制范围涉及信息系统内部的存储、处理和传输过程,及将信息进行输入、输出操作的过程,即无论信息以何种形式存在,都应有一定的安全属性与其相关联,并按强制访问控制规则对其进行控制。
c) 对运行于网络环境的分布式操作系统,应设计统一的TCB,考虑到跨网络的情况,应在分布式控制中心设置TCB 安全功能模块,统一实现强制访问控制功能。
d) 对运行于网络环境的多台计算机系统上的操作系统,应在每一台计算机操作系统内设计一个完整的TCB,实现强制访问控制功能,并在需要时实现跨网络的TCB 间用户数据保密性和完整性保护,还应统一考虑各台计算机系统的主、客体安全属性设置的一致性。
