网络安全人士必知的3大访问控制模型

在当今信息化社会中，信息系统的安全性成为了组织和个人关注的焦点。随着信息技术的不断发展和应用，信息系统的复杂性和规模不断扩大，系统中存储和处理的信息量也日益增长。这种情况下，如何有效保护信息系统中的敏感数据和资源，防止未经授权的访问、篡改和滥用，成为信息安全的关键问题之一。访问控制作为信息系统中的重要安全功能，其任务是在为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，确保信息系统的安全性和稳定性。

访问控制的主要目的是保护信息系统中的资源，防止未经授权的访问和滥用，从而保障信息的机密性、完整性和可用性。具体来说，访问控制的必要性主要体现在以下几个方面：

防止信息泄露：信息系统中存储了大量的敏感数据，如个人隐私、商业机密等。如果没有有效的访问控制，这些数据可能被未经授权的用户访问，导致信息泄露，给个人和组织带来严重的损失。

保护信息完整性：未经授权的用户可能对信息系统中的数据进行篡改，破坏数据的完整性。访问控制可以防止非法用户对数据进行修改，确保数据的正确性和可靠性。

保证系统可用性：访问控制不仅要防止非法用户的访问，还要防止合法用户的越权操作，避免因误操作或恶意操作导致系统资源的滥用和系统的瘫痪，保障系统的正常运行。

满足法律法规要求：许多行业和领域都对信息安全有严格的法律法规要求，如金融、医疗等行业。通过实施有效的访问控制，组织可以满足相关法律法规的要求，避免因安全事件导致的法律风险。

访问控制是指对用户访问信息系统中的资源进行管理和控制，确保只有经过授权的用户才能访问特定的资源。访问控制的核心是身份鉴别和授权管理。身份鉴别是通过一定的手段（如用户名/密码、生物识别等）确认用户的身份，而授权管理则是根据用户的身份和权限，决定用户可以访问哪些资源、进行哪些操作。

访问控制模型是实现访问控制的基础，不同的访问控制模型提供了不同的访问控制策略和机制，以适应不同的安全需求。主要的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型。

1.自主访问控制模型

自主访问控制模型（Discretionary Access Control, DAC）是指资源的所有者有权决定谁可以访问其资源以及访问的方式。在这种模型中，每个资源都有一个访问控制列表（Access Control List, ACL），列出了对该资源具有访问权限的用户及其权限类型。资源的所有者可以根据需要自由地修改访问控制列表，从而控制其他用户对该资源的访问。

DAC模型的优点在于灵活性高，资源所有者可以根据具体情况随时调整访问权限。然而，其缺点也很明显：由于权限管理的灵活性，容易导致权限滥用和安全漏洞；同时，当系统中资源数量和用户数量较多时，权限管理的复杂性会显著增加，给系统管理员带来较大的负担。

2.强制访问控制模型

强制访问控制模型（Mandatory Access Control, MAC）是一种更为严格和系统化的访问控制机制。在这种模型中，系统根据预先定义的安全策略，自动对用户的访问行为进行控制，资源的访问权限不能由资源所有者任意修改。强制访问控制模型通常用于安全性要求较高的场合，如军事和政府机构。

强制访问控制模型包括以下几种具体的实现：

● BLP模型

Bell-LaPadula模型，简称BLP模型，主要关注信息的机密性，防止敏感信息泄露。该模型基于两个基本原则：

简单安全性原则（Simple Security Property）：用户只能读取其安全级别不高于自身的资源，即”不上读“。

*-属性（Star Property）：用户只能写入其安全级别不低于自身的资源，即”不下写“。

通过这两个原则，BLP模型确保了敏感信息不会被低级别用户读取或篡改，从而保护信息的机密性。

● Biba模型

Biba模型与BLP模型相反，主要关注信息的完整性，防止数据被非法修改。该模型基于以下原则：

简单完整性原则（Simple Integrity Property）：用户只能写入其完整性级别不低于自身的资源，即”不上写“。

完整性*属性（Integrity * Property）：用户只能读取其完整性级别不高于自身的资源，即”不下读“。

通过这些原则，Biba模型确保了高完整性级别的信息不会被低完整性级别的用户篡改，从而保护数据的完整性。

● Clark-Wilson模型

Clark-Wilson模型侧重于业务系统中的数据完整性，通过一套认证规则和强制访问控制，确保数据的正确处理。该模型引入了以下概念：

用户（User）：系统的使用者。

变换程序（Transformation Procedure, TP）：系统中的程序，用于对数据进行操作。

约束数据项（Constrained Data Item, CDI）：需要保护的关键数据。

非约束数据项（Unconstrained Data Item, UDI）：不需要特别保护的数据。

Clark-Wilson模型通过定义一系列认证规则，确保只有合法的TP才能对CDI进行操作，从而保证数据的完整性和一致性。

● Chinese Wall模型

Chinese Wall模型主要用于解决利益冲突问题，通常应用于金融、法律等行业。该模型将资源分为若干冲突类（Conflict Class），同一冲突类中的资源不能同时被同一用户访问。通过这种隔离机制，Chinese Wall模型防止了用户在处理不同客户的信息时产生利益冲突，是一种同等考虑保密性和完整性的访问控制模型。

3.基于角色的访问控制模型

基于角色的访问控制模型（Role-Based Access Control, RBAC）通过角色来管理用户的访问权限。RBAC模型将权限赋予角色，然后将用户分配到相应的角色，从而间接地获得相应的权限。RBAC模型的核心要素包括：

用户（User）：系统的使用者。

角色（Role）：一组相关权限的集合。

权限（Permission）：对资源的访问操作。

会话（Session）：用户在某一时间段内的活动。

RBAC模型的优点在于简化了权限管理。当系统中的用户数量和资源数量较多时，通过角色的管理，可以显著减少权限管理的复杂性，提高系统的可管理性和灵活性。同时，RBAC模型也便于实现基于组织结构和业务流程的访问控制策略，满足实际应用中的需求。

访问控制是信息系统中至关重要的安全功能，通过对用户访问权限的管理，保护系统中的敏感数据和资源，防止未经授权的访问、篡改和滥用。自主访问控制模型、强制访问控制模型和基于角色的访问控制模型是三种主要的访问控制模型，各自具有不同的特点和适用场景。