強制訪問控制技術在工業網絡安全場景下的應用實踐

前言

在當今數字化的時代，信息安全成為了各個組織和個人必須關注和應對的重要問題。隨著大量敏感數據的存儲、處理和傳輸，確保這些數據的保密性、完整性和可用性變得至關重要。信息安全的核心目標是保護數據免受未經授權的訪問、使用、披露和破壞。

訪問控制作為信息安全的關鍵組成部分，用于確保只有授權的用戶能夠訪問系統、資源或數據。它是建立在身份驗證和授權基礎上的安全機制，用于限制和管理用戶對敏感信息的訪問權限。

本文將介紹訪問控制模型的概念、重要性以及幾種常見的訪問控制模型，旨在幫助讀者深入了解訪問控制的作用和實踐。

訪問控制模型分類

在業務系統中，認證、訪問控制和審計是確保系統安全的基石。認證是用戶進入系統的第一道防線，而訪問控制則用于對用戶對數據信息的訪問權限進行控制。

訪問控制是基于身份認證的基礎上，根據用戶的身份對其提出的資源訪問請求進行控制，旨在防止越權使用資源的行為；作為網絡安全的主要策略之一，訪問控制可以限制對關鍵資源的訪問，以防止非法用戶或合法用戶意外操作對系統造成破壞。

訪問控制模型是規定主體如何訪問客體的一種架構，當前主要的訪問控制模型有：自主訪問控制（Discretionary Access Control，DAC）模型、強制訪問控制（Mandatory Access Control，MAC）模型、基于角色訪問控制(Role-BasedAccessControl，RBAC)模型。

2.1

DAC模型

DAC模型是基于用戶授予的授權限制訪問模型，安全策略由用戶來制定。比如：用戶A創建一個文件D1，那么用戶A則具有文件D1的所有權，用戶A就可以指定其他主體來訪問D1，像這種基于所有者自主決定訪問權限的類型，稱為自主訪問控制模型。

我們最常見的DAC模型的實現方式便是訪問控制列表（ACL）。當前所有的Windows、Linux以及主流的Unix系統均是基于DAC模型，當我們查看文件或文件夾的屬性去獲取哪些用戶可以訪問此文件，便是ACL實現DAC模型的示例。

2.2

MAC模型

MAC模型是一種基于安全標簽的模型。用戶、數據被賦予安全許可（極高、高、中、低）并存儲在安全標簽中內，安全標簽則綁定到特定的主體和客體上，主體訪問客體的安全策略由管理員制定，而非用戶，這樣可為系統提供了很大的安全性。比如：用戶A具備高級的安全許可，他所訪問的數據為極高級的安全標簽，此時由于自身的安全許可低于客體的安全標簽，便會被系統拒絕訪問。

基于MAC模型的多數系統中，用戶不能安裝軟件、改變文件許可等級，用戶所有的行為均由管理員制定，這樣可以更好的保護高密級數據。

當前常見的MAC模型有：BLP模型和Biba模型。

BLP模型

BLP（Bell-LaPadula）模型主要解決數據的機密性問題，未涉及數據的完整性和可用性。BLP模型具有三種狀態屬性：

表1 BLP屬性表

例如：機密級用戶可以創建絕密級文件，但不能創建敏感級文件；同時機密級用戶可以查看敏感級文件，但不能查看絕密級文件。

如何理解呢？假如用戶A是個機密級身份，所掌握有機密級的資料，如果他向秘密級的資料中寫入了機密信息或者他閱讀了絕密級信息，那必然導致信息的機密性被破壞。

Biba模型

Biba模型主要解決數據的完整性問題，未涉及數據的機密性性和可用性。Biba模型具有三種狀態屬性：

表2 Biba屬性表

如何理解呢？我們可以把完整性級別想象為空氣的純凈級別，我們肯定不希望將彌漫著煙味的空氣注入原本環境清新的房間。同樣的想法也被應用于數據，在完整性十分重要的情況下，我們不希望將未經驗證的數據讀入已驗證的文檔，由此來確保信息的完整性。

2.3

RBAC模型

RBAC模型是一種基于角色并使用角色中預先定義的策略對主體操作對象進行驗證的訪問控制方式。

圖 1 RBAC工作流程

主體請求訪問對象，RBAC訪問控制機制首先獲取主體的角色，然后根據角色中的策略對該請求進行授權驗證，如果驗證通過，則可以訪問對象。

表3 RBAC屬性表

在實際應用上，操作系統可以以某種形式使用DAC、MAC、RBAC模型中一種或者多種，多個模型同時使用時，各自擁有自己嚴格的訪問控制規則。

實際應用需求

DAC模型和RBAC模型廣泛應用在我們的實際生活中，本次主要討論MAC模型在工控網絡安全建設中需求。

3.1

政策需求

在GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》等級保護第三級和第四級的安全計算環境-訪問控制中對強制訪問控制有著明確要求。

表 4 強制訪問控制等保需求

3.2

場景需求

除了滿足政策要求，在實際應用中，仍需要通過強制訪問控制來對數據進行保護。威努特根據多年的技術積累和現場經驗，收集并解決眾多的現場安全需求。本次將常見的兩個強制訪問控制應用場景進行分享。

3.2.1 多賬戶下的文件權限控制

某一化工企業用戶，需要各班組在下班前將當日的系統監控信息使用專用工具上傳至特定文件夾（值班人員禁止直接訪問文件夾），且此文件夾只有管理員才能訪問，其他用戶和程序均禁止訪問。

場景簡述：值班人員USER1、USER2，使用synctoy.exe程序將各自的監控信息備份至專有文件夾DIRA、DIRB，且只有administrator可以訪問備份文件夾，值班人員禁止訪問DIRA、DIRB。

圖 2 多用戶下文件權限控制場景圖

解決方案：在各操作員站部署威努特工控主機衛士產品，開啟強制訪問控制，通過自定義安全模型，定義各安全域內和安全域間訪問關系，配置各主體和客體的強制訪問邏輯，通過一個嚴格恪守、不可逾越、更強的安全保護層來防止用戶偶然或故意的訪問行為。詳細配置見下圖所示：

圖 3 威努特工控主機衛士配置圖-安全域0

圖 4 威努特工控主機衛士配置圖-安全域1

圖 5 威努特工控主機衛士配置圖-安全域2

圖 6 威努特工控主機衛士配置圖-主體配置

圖 7 威努特工控主機衛士配置圖-客體配置

圖 8 威努特工控主機衛士告警圖

3.2.2 多應用下的數據保護

某工控用戶的前置服務器定期將各服務器中的應用日志通過網閘傳遞至上級單位。前置服務器安裝有日志收集和文件擺渡兩類腳本程序，需要通過技術手段保障數據的完整性和保密性。

場景簡述：前置服務器中exploer程序用于收集各服務器的應用日志，并將各類日志寫入AppLog文件夾；copy程序用于將AppLog文件夾中的日志信息主動傳遞至網閘；AppLog文件夾只能使用exploer程序進行讀寫操作，使用copy程序進行讀操作，其余主體均禁止訪問。

圖 9 多應用下的數據保護場景圖

解決方案：前置服務器上部署威努特工控主機衛士，開啟強制訪問控制，通過自定義安全模型，保障特定文件夾的訪問權限，避免信息泄露和篡改。

圖 10 威努特工控主機衛士配置圖-安全域3

圖 11 威努特工控主機衛士配置圖-安全域4

圖 12 威努特工控主機衛士配置圖-主體配置

圖 13 威努特工控主機衛士配置圖-客體配置

圖 14 威努特工控主機衛士告警圖

總結

盡管MAC模型具有很高的安全性和保密性，但它也有一些挑戰和限制，設置和維護MAC模型可能需要更多的管理員和復雜的配置過程。此外，由于嚴格的訪問控制規則，可能會對用戶的靈活性和工作效率產生一定的影響，在實際使用中，往往會將多種訪問控制模型組合使用。

總之，MAC模型在需要高度安全性和保密性的環境中是一種有效的訪問控制機制。它通過強制性規則、中央控制和多級安全策略，確保只有經過授權的用戶可以訪問和操作系統資源，提供了強大的安全保護機制。