識別管理是為了讓系統驗證並授權使用者使用系統,但存取資料呢?!存取資料是否也有存取控制,說到這個就睡了一大半了,因為…它確實很無趣,不就只是放權限嘛!那有這麼難,其實,整個放權限的過程中依照放權限的規則不同,有不同的存取控制…
識別管理是為了讓系統驗證並授權使用者使用系統,但存取資料呢?!存取資料是否也有存取控制
說到這個就睡了一大半了,因為…它確實很無趣,不就只是放權限嘛!那有這麼難
其實,整個放權限的過程中依照放權限的規則不同,有不同的存取控制
講到存取控制,大家最常見的就是DAC, MAC, RBAC, non-DAC…等等的資料存取控制
MAC(Mandatory Access Control; 強制存取控制):MAC源自已Orange Book(TCSEC)是一個以敏感等級做為區隔標示的存取架構,存取的過程受到規則(Rules)的限制,適用於介定組織公開及保護機密的資料,最典型的存取控制模型就是Bell-LaPaDdula,資料的owner確保 ”need to know”原則,依照人員所在的機密等級給予權限。
但在強制存取控制的模式下,並非所有的文件都是機密不可洩露,最大的恩素在於時間(time based isolation),基於time base access control之下,它確保了實體的資料安全,依照其機密分類等級及其設置的保密時間,並結合Role based access control,使在保持有機密的時間內只有特定的角色可以存取。(例如:軍方的機密文件只有陸軍參謀可以存取,那麼在機密的保護時間內,任何一個擔任陸軍參謀的人,都可以存取這份文件)
DAC(Discretionary Access Control;自主存取控制):源自於Orange Book(TCSEC)是一種自主可以選擇取存資料的模式,由最小管存取基礎來設定資料可被存取的廣度,包含need to know,是由資料的所有者自已決定要把資料給予誰來存取,因此onwer或是委托管理者都可決定授權給誰來存取。
在CISSP CBK中訂義了下列存取控制屬於DAC…若是對該部份有疑問者可以大家一起提出來討論。
ACLs(Access Control Lists;存取控制清單):ACLs確保了較簡單的模式來列出使用清單的存取object。ACLs可以決定使用者或群組去存可以或不可以存取受到保護的物件,最常見的像是防火牆,正向表列+負向表列,這種觀念即是來自已ACLs。
Assess Control Matrix;存取控制陣列:以ACLs為基礎,這種存取控制以subject為列,object為欄,交織出的權限表,去檢視那個subject有權存取object。
Rule Based Access Control;規則基礎存取控制:列出規則的管理存取模式,由系統的owner去建立或驗證使用者的身份及權限(讀、寫、執行…)。
RBAC(Role Based Access Control;角色基礎存取控制):這個控存取控制列在DAC恐怕有不少人會有意見,但在CBK所上述的,MAC是以Rule為基礎的存取控制,但RBAC確是屬於以Role為基礎的存取控制,一定有人會問,那rule呢,怎麼會是DAC,其實Jason查了很久,也跟恩師討論過,結論是RuleBAC是由system owner做存取控制,但MAC是由規則為基礎(像制定policy來規範),因此被歸類為DAC,而RBAC則是以Job function來給予存取的權限,隨著工作角色不同,經由初始化程序來做管理role的同時去附予其角色應有的權限,適用於企業組織中的存取控制方式。
Capability Tables;能力表:延伸來自於access control Matrix之中,是屬於以存取能力為基礎的系統,存取object時隨著附予的能力不同,則有不同的權限。
Non-DAC(非自主式存取控制):自主與強制不是已經很明確的告訴我們要嘛就是我自已管,要嘛就是別人管,那怎麼會出現一個Non-DAC呢?
其實Non-DAC不等於MAC,Non-DAC也有其特質,最常見的就是用來做為作業系統的保護,例如像木馬程式,最常使用的手法就是依照使用者的權限,可以去做變更保護的模式去存取未被控制的資料,Non-DAC是透過Security administrator做控制,由SecAdmin去確保敏感/機密檔案做寫入保護去確保其完整性及可辨視性,只給有授權的使用者確保基機密性,也觀注在確保的系統安全,由於安全管控是交由SecAdmin來全權負責,當然透過這一層的管理一定是比DAC安全多了,也與MAC有所差異。
安全的存取是企業中追求的目標,但落實安全存取,就必須知道存取控制中所包含的內容,以上所述的內容中,不論是以角色為基礎、存取清單…等等,都在我們的身邊可以找到其縱影,包含連小孩子誰可以玩什麼玩具,小孩們自有的規則,也不難看出誰比較強勢,大家也可以想想,自已所使用的網芳分享出去的資料是不是安全的被存取呢?以上供大家參考。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security