第一章資訊安全導論

1、1,第九章 存取控制,,本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內(nèi)容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網(wǎng)際網(wǎng)路公開傳輸之遠距教學、網(wǎng)路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。,2,第九章 存

2、取控制,存取控制 ( Access Control ) 包含在資訊安全的許多層面，從實體層面、技術層面以及管理層面，都有存取控制的觀念。本章先介紹基礎認證技術與原理，作為存取控制之基礎，並介紹存取控制之各種型態(tài)與其實例說明，讓讀者深入了解存取控制之觀念。最後介紹系統(tǒng)之存取控制管理，以提高系統(tǒng)之安全性。本章包含主要內(nèi)容如下：簡介認證技術存取控制型式存取控制技術系統(tǒng)存取控制管理存取控制方法與實作,3,9.1 簡介,存取控制 (A

3、ccess Control)，是企業(yè)內(nèi)部控制作業(yè)流程中最重要的控制項目之一，其涵蓋範圍相當廣泛，包含企業(yè)內(nèi)所有層級的人員以及各項資源，它包含有實體存取控制和邏輯存取控制。存取控制之前需要先作認證，以辨識使用者的身分，確認身分之後再給予存取控制的權限，所以認證技術 (Authentication) 是存取控制之重要工作。存取控制技術，可分為任意存取控制 (Discretionary Access Control; DAC) 與強制存取

4、控制( Mandatory Access Control ; MAC )兩種技術。存取控制管理是系統(tǒng)安全管理的重要工作，存取控制管理主要目的是為辨識出誰在使用系統(tǒng)資源；可以認證使用者的身份，並且能追蹤該使用者使用系統(tǒng)的軌跡。,,4,9.2 認證技術,認證 ( Authentication ) 是為了核對使用者所宣稱的身分是否正確與合法。認證需要輔助資訊，以確信使用者所提供的資訊符合認證規(guī)範。認證所提供的資訊主要有三種型式，可作為認證之

5、輔助資料： 型式一： 你所知道的事物 ( Something You Know )，這是一個文字字串，必須記?。徽J證時，提供原始字串並輸入認證系統(tǒng)。本認證方法較為簡單，但也可能不小心洩漏此字串。 型式二： 你所擁有的事物 ( Something You Have )，這是一個實體的設施，事先發(fā)送此設施給使用者。在認證時，使用者需要攜帶此設施接受認證?；旧希苏J證設施不容易偽造，但有遺失的可能。,,5,9.2 認證技術,例如，圖 9

6、-1 動態(tài)密碼鎖、IC 卡、USB 符記、記憶卡等等的符記裝置 ( Token Device)。動態(tài)密碼鎖每隔一段時間，(如60 秒)，會隨機產(chǎn)生一次動態(tài)密碼 (One Time Password)，且每組密碼只能使用一次。USB 符記是內(nèi)含一個可安全儲存資訊的小晶片，功能和晶片卡相同，不同的是晶片卡需要另外具備讀卡機。,,,圖9-1 各式符記裝置,6,9.2 認證技術,型式三：你具有的特徵 ( Something You Are )，

7、個人生理的或物理的特徵。例如，圖 9-2 所示， 指紋、聲音、虹膜式樣 、視網(wǎng)膜式樣、臉形、手形等。,,圖 9-2 各種生理特質,7,9.2 認證技術,除了以上三項認證資訊之外，還有許多其它的認證資訊，例如：利用某些行為結果做為認證資訊，如現(xiàn)場用筆簽名，從筆跡以確認身分。此外，使用設備的位址也可做為認證資訊，在網(wǎng)路上，可以使用電腦的 IP 位址或網(wǎng)路卡的 MAC 位址來認證你的身分。IP 位址或 MAC 位址被廣泛使用於網(wǎng)路上的認證，例

8、如：伺服器僅允許某些特定的 IP 位址連線，也算是一種認證。每一種認證資訊有其特性與安全性，一般而言，型式三具有生物特徵的認證技術，比較難以偽造。型式一具有方便性，但可能因密碼太複雜而忘記或太簡單而容易遭到破解。防止單一認證技術被攻擊的危險，可以採用不同型式組合的認證，以提高安全性，例如，使用IC卡配合密碼登入系統(tǒng)，結合有 IC 卡是型式二與密碼是型式一的認證資訊，可提高認證安全。,,8,9.2 認證技術,密碼是最常被使用的認證技術，

9、但也是較脆弱的認證方式，如果選用的密碼不當，會使系統(tǒng)安全性變得脆弱。若選用有意義的字串當做密碼，很容易被猜中而破解。若選用隨機字串做為密碼，則不容易記憶，因怕忘記，所以會寫下來，反而有被窺視之虞慮。密碼太短也是不好的密碼選用方式，為安全起見，若希望被猜中機率小於百萬分之一，則密碼至少需要6位數(shù)以上。另一種密碼型式為認知密碼 ( Cognitive Password )，認知密碼是被要求提供一連串問題的答案，系統(tǒng)預先設定只有你知道的訊息

10、做為答案，例如：你的生日？你父親名字？你的上班部門？你最喜歡顏色？,,9,9.2 認證技術,生物資訊認證是使用型式三的認證資訊，經(jīng)由認證設備判別後作出『 通過 』或『 失敗 』的判斷，判斷的結果與設備的敏感度有很大關係，如圖9-3所示，敏感度越高，認證 『 失敗 』機率就相對提高；如果降低敏感度，認證 『 通過 』的機率就提高。使用認證設備，原本合法的使用者在認證時卻被判斷為『 失敗 』，稱為 『 Type I 錯誤 』。所有認

11、證個案中出現(xiàn) 『 Type I 錯誤 』的比率稱為 『 錯誤拒絕率 』 ( False Rejection Rate ； FRR ) 。相對地，非法使用者被認證為 『 通過 』，稱為 『 Type II 錯誤 』。所有認證個案中，出現(xiàn)『 Type II 錯誤 』的比率，稱為 『 錯誤接受率 』 ( False Acceptance Rate ； FAR )。,10,9.2 認證技術,認證設施的敏感度越高，錯誤拒絕率越高，而錯誤接受率相對

12、減少。在生物資訊認證中，將設備有效的敏感度調整至錯誤拒絕率與錯誤接受率之交叉點，稱為 『 交叉錯誤率 』 ( Crossover Error Rate ； CER )。,,圖9-3 錯誤率與敏感度關係圖,11,9.2 認證技術,除了設施的敏感度外，還有許多因素影響生物認證設備的效率，例如：註冊時間、取樣精確度、處理能力、接受程度、應用程式等方面。註冊時間是指使用生物認證設備，需要事先輸入取樣的生物資訊，並儲存於資料庫中所花費的時間。效能

13、不佳的設備，取樣時間很長，取樣越精確，耗費時間越多。一般而言，取樣時間若超過2分鐘，系統(tǒng)就無法被廣泛接受。,,12,9.3 存取控制型式,存取控制的目標是要保護系統(tǒng)，以達到機密性、完整性與可用性的資訊安全原則，而實施存取控制機制的目的是要保護系統(tǒng)資源，不被非授權人員使用。從管理層面、技術層面和實體層面，存取控制的功能主要可分為下列幾類，而有些裝置包含了多項的功能。存取控制並非可以單獨存在，需要整合各種存取控制功能，提供多層次的安全控管，

14、才能建構整體安全環(huán)境。,13,9.3 存取控制型式,預防型存取控制：預防型存取控制是要遏止沒有授權的行動發(fā)生。例如，圍牆、鎖、燈光、責任分權、工作輪替，資料加密、閉路電視 ( CCTV ) 等。圖9-4 為門鎖，可以防止沒有鑰匙的人隨意進出。,圖 9-4 門鎖,14,9.3 存取控制型式,威嚇型存取控制：使用威嚇手段去嚇止違反資安原則之行為，使入侵者了解設施之規(guī)範，如果侵入將會有嚴重後果，其目的不是強力去阻止違反資安的行為。例如

15、，警告標語、識別證、警衛(wèi)、警鈴、入侵失敗警告訊息、員工訓練、員工安全提示、操作紀錄等。例如圖9-5所示，使用瀏覽器上網(wǎng)時，伺服器安裝憑證，建立 SSL 協(xié)定連線，如果伺服器憑證符合三項查核，則瀏覽器端不會有顯示安全性警訊，如果其中有一項不合，會出現(xiàn)安全性警告，使用者因警告而退卻不交易，達到威嚇之目的。,15,9.3 存取控制型式,圖 9-5 SSL 協(xié)定之存取控制標語,16,9.3 存取控制型式,偵查型存取控制：偵查型存取控制的

16、手段是要發(fā)現(xiàn)非授權者入侵的證據(jù)，一般偵測型存取控制手段用於事實發(fā)生後，而不是事情發(fā)生當時。例如圖9-6所示，為系統(tǒng)的稽核紀錄，其它還有如：採用閉路電視、入侵偵測系統(tǒng)、事件調查等。,圖 9-6 事件稽核紀錄,17,9.3 存取控制型式,矯正型存取控制：矯正型存取控制使用於當系統(tǒng)損害時，修復系統(tǒng)使其恢復正常運作的狀況，例如，啟用防毒軟體，以掃除受病毒感染的檔案，使其恢復正常操作功能。,圖 9-7 防毒軟體,18,9.3 存取控制型式,回

17、復型存取控制：回復型存取控制是在系統(tǒng)無法運作時，回復系統(tǒng)之正常功能。回復型存取控制比矯正型存取控制之技術複雜度更高，回復型存取控制是將整系統(tǒng)重新安裝回復為正常運作狀態(tài)。例如圖9-8顯示系統(tǒng)備份與回復，其它還有資料庫備份與資料回復、或磁碟陣列回復等。,,,圖9-8 Windows 備份與還原工具,19,9.3 存取控制型式,補償型存取控制：補償型存取控制提供另一個存取選擇，或協(xié)助現(xiàn)有存取控制，以提高系統(tǒng)安全性，例如，安全政策、人員

18、監(jiān)督、工作流程等。圖9-9顯示資訊安全政策，公佈於網(wǎng)站，每一個人可以瀏覽，達到宣傳目的，可以協(xié)助提升資訊安全防護意識，是一種補償型存取控制。,,20,9.3 存取控制型式,圖9-9資訊安全政策,21,9.3 存取控制型式,指令型存取控制：為使系統(tǒng)符合安全政策，依照安全指令作業(yè)，並執(zhí)行安全工作。例如，警衛(wèi)、安全標語、員工訓練、工作程序等。圖9-10 顯示上網(wǎng)手則，上網(wǎng)若按照手則之規(guī)範執(zhí)行工作，期能達到安全目標。,圖9-10 上網(wǎng)手則,

19、22,9.3 存取控制型式,管理型存取控制：從管理層面執(zhí)行的存取控制，使各項作業(yè)遵循組織的安全政策、安全流程相關的程序。例如圖9-11所示，依照組織安全政策、安全流程，以訂定機關臨時人員僱用及管理要點。,,23,9.3 存取控制型式,圖9-11僱用人員程序,24,9.3 存取控制型式,技術型存取控制：從技術層面進行之存取控制，以管理系統(tǒng)資源，防止非法存取資源，技術是指邏輯性技術。例如圖 9-12 所示，密碼登入系統(tǒng)、IC 卡登入

20、系統(tǒng)、防火牆、入侵偵測系統(tǒng)等。,圖 9-12 密碼登入系統(tǒng),25,9.3 存取控制型式,實體型存取控制：實體型存取控制是採用實體的障礙，以防止直接接觸系統(tǒng)或設施。例如，警衛(wèi)、圍牆、籬笆、門鎖、安全窗戶等設施。圖 9-13 所示，以厚重的機房安全門，可以有效防止入侵者的侵入，達到實體存取控制之目標。,圖 9-13 機房安全門,26,9.4 存取控制技術,在存取控制技術上，將主動存取的人或個體稱為主體( Subject )，如使用者、或

21、主動程式；而將提供給主體使用的資源稱為客體 ( Object )，如資料庫、網(wǎng)頁、硬碟等等。主體存取客體資源時，主體需要先被辨識與認證，完成認證後依授權度存取使用資源。授權存取可分為兩類 (如圖 9-14)：(1) 任意存取控制 (Discretionary Access Control; DAC) 與(2)強制存取控制( Mandatory Access Control ; MAC )。,,圖 9-14 存取控制分類,27,9.4 存

22、取控制技術,任意存取控制，是主體存取客體之權限可以依照主體之設定，如：設定開放所有客體權限，或設定只開放所需要之權限，由於可以任意設定權限所以稱為任意型存取控制。例如，一個檔案，其權限包含開檔、寫入、讀取與修改等四項權限，管理者可以依照使用者帳號，給予所有四項權限，或者僅給予讀取權限，權限之控管掌握在管理者，管理者可以依照需求給予權限。強制型存取控制，則依照主體與客體之分類標籤 ( Classification Label ) 給予權

23、限，即使是管理者也無法給予特別權限。每一個分類標籤代表一個安全領域，而安全領域是為了執(zhí)行一項安全政策。主體標籤是代表許可的位階 ( Level of Clearance )，客體標籤代表資料的分類或敏感度。例如，美國國防部分類資料標籤為，最高機密 ( Top Secret )、機密 ( Secret ) 、隱密 ( Confidential ) 與敏感性 ( Sensitive but Unclassified ; SBU ) 等類。主

24、體存取客體資料時，主體之分類標籤等級需要等於或高於客體分類標籤，才可以存取資料，否則無存取權限。,28,9.5 系統(tǒng)存取控制管理,存取控制管理是系統(tǒng)安全管理的主要工作。系統(tǒng)存取控制管理主要目的是要辨識誰在使用系統(tǒng)資源，可以認證使用者的身份，並且追蹤使用者使用系統(tǒng)的軌跡。系統(tǒng)存取控制主要有三項工作：帳號管理、活動追蹤與權限管理。,29,9.5.1 帳號管理,帳號管理包含產(chǎn)生使用者帳號、維護使用者帳號與關閉使用者帳號等。這不是一般性的工作，

25、而是一項重要的工作，如果沒有正確的帳號管理，不能建立安全的基礎，更無法稽核與追蹤使用者行為，也無法證明授權等工作。一個新帳號的產(chǎn)生雖是簡單的系統(tǒng)流程，但並非僅依照管理者或其他人員的要求即可產(chǎn)生新帳號；必須依照組織的安全程序，及人事部門的核可後才準予產(chǎn)生新帳號。除遵守新進人員僱用程序，新進人員必須了解安全政策和接受安全訓練，在僱用程序中，需要簽署同意遵守組織之安全規(guī)範，其內(nèi)容須包含違反安全政策時的懲罰、解雇與相關的法律責任。,30,9

26、.5.1 帳號管理,開始產(chǎn)生新帳號的流程稱為 『 註冊 』，註冊流程時，為使用者產(chǎn)生新帳號，並建立系統(tǒng)使用的認證資訊。使用者的身分必須被確認，且註冊流程必須完整與正確地執(zhí)行完成，若註冊流程的資訊不正確，日後將帶來管理的問題。帳號存在之後需要定期維護，需要依照相關規(guī)範維護帳號，人員輪調與升遷時也需要隨時更新帳號及屬性，如職務、權限等。人員不再使用帳號時需要停用、刪除與廢止，這項工作也可以自動化，由人事單位管控。當人員離職時，其帳號應立

27、即失效；短期工作人員帳號，也需要設定期限，期限一到應立即失效。,31,9.5.1 帳號管理,例如圖9-15 所示，為Windows 帳號管理工具，需要依照資安規(guī)範管理帳號，以建立安全基礎。,圖 9-15 帳號管理,32,9.5.2 活動追蹤,活動追蹤、帳號稽核、與系統(tǒng)監(jiān)控也是存取控制很重要的工作，如果沒有這些作為，系統(tǒng)很難對使用者帳號要求需負行為責任的 ( Accountable )。『負行為責任』即由證據(jù)顯示，可以相對追蹤這些行為是該

28、帳號使用者所做的行為。系統(tǒng)建立辨識 ( Identification )、認證 ( Authentication )、授權 ( Authorization )和活動追蹤等，即是系統(tǒng)直接賦予使用者帳號之行為責任 ( Accountability )。行為責任，是指對系統(tǒng)之操作行為皆可以追蹤至該使用者的帳號，並要求該帳號之使用負起其執(zhí)行行為之責任?；耸鞘褂梅椒ㄈz視系統(tǒng)是否符合規(guī)範、偵測不法行為與非法授權?；朔椒ㄓ泻芏喾N，例如，歷史記

29、錄 ( Logging )、監(jiān)控 ( Monitoring )、檢視警告、分析，以及入侵偵測。,33,9.5.3 權限管理,對帳號設定權限需要遵循組織的安全政策，並非每個帳號都具備所有的存取權限，帳號只能賦予特定的存取權限；也不是每一項功能都開放權限給使用者，某些功能只對一些特定帳號開放。存取權限設定需要遵守『 最少權限原理 』 ( The Principle of Least Privilege )，此原理說明開放給用戶帳號的權限，

30、宜核發(fā)給足以完成該項工作所需即可，不必給予多餘權限。多給予使用者權限，增加安全管理的風險。例如在權限管理實務上，對於資料有產(chǎn)生、讀取、寫入、與修改等權限，如果使用者只需要讀取資料，只給予讀取資料權限，其它權限就不必給予。,34,9.5.3 權限管理,在管理上，存取敏感性資料時，需要遵守 『 必要知道 』 ( Need-to-know ) 原則，此原則用於強制型存取控制 ( Mandatory Access Control ； MAC )

31、 環(huán)境中，存取資料需要獲得存取許可，即使你有資料存取權限，但還需要提出資料存取的理由。通常這項『 必要知道 』原則是有時間限制，時間過後即無法存取。『 責任區(qū)分 』 ( Separation of Duties ) 是管理層面的安全機制，將管理工作分成多人分層負責之管理體系，以避免擁有不同權限的個人進行非授權工作。例如，一個系統(tǒng)管理者，擁有系統(tǒng)管理的權限，可以使用系統(tǒng)管理工具改變系統(tǒng)建構等工作，基於責任區(qū)分原則，這一管理者不能讀取或更

32、改系統(tǒng)紀錄，系統(tǒng)紀錄由稽核人員讀取。,35,9.6 存取控制方法與實作,在實作上，有兩種主要存取控制方法是：(1) 集中式存取控制和 (2) 分散式存取控制。集中式存取控制是將存取控制之認證與授權集中在單一的點；分散式存取控制則是將認證與授權分散於整個系統(tǒng)的不同點執(zhí)行。,36,9.6.1 集中式與分散式存取控制,集中式存取控制與分散式存取控制各有優(yōu)缺點。集中式存取控制管理方便，減少管理的負擔，但是系統(tǒng)風險集中在一點，也會是駭客攻擊的目標

33、。如果這一個點發(fā)生問題，則整個系統(tǒng)無法執(zhí)行任務，所以需要有備援機制，防止系統(tǒng)因存取控制認證機能無法執(zhí)行。常見的集中式存取控制系統(tǒng)是 RADIUS 系統(tǒng)，於下一節(jié)介紹。分散式存取控制，有多個存取控制的認證點，管理需要多個管理小組，較多的管理負擔，帳號管理的一致性是很困難的。在增加與減少認證點時，如何取得平衡，以及其備援問題，也是考慮的要點。,37,9.6.2 RADIUS系統(tǒng),遠端認證服務( Remote Authentication

34、Dial-In User Service；RADIUS ) 伺服器是一種集中式認證伺服器，透過遠端認證服務，以控制網(wǎng)路資源之存取。RADIUS用來認證使用者的身份與密碼，認證通過之後，授權使用者登入網(wǎng)域以使用相關資源。早期 RADIUS 伺服器是用來做電話撥接上網(wǎng)的身分認證，現(xiàn)在常用於一般網(wǎng)路認證，甚至是無線網(wǎng)路使用者的身份認證。例如圖 9-16，由無線網(wǎng)路使用者連接基地臺，基地臺將使用者的身份與密碼傳送至 RADIUS 伺服器認證，