第一章資訊安全導(dǎo)論

1、1,第九章 存取控制,,本投影片（下稱教用資源）僅授權(quán)給採用教用資源相關(guān)之旗標(biāo)書籍為教科書之授課老師（下稱老師）專用，老師為教學(xué)使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內(nèi)容之80%）以製作為輔助教學(xué)之教學(xué)投影片，並於授課時搭配旗標(biāo)書籍公開播放，但不得為網(wǎng)際網(wǎng)路公開傳輸之遠(yuǎn)距教學(xué)、網(wǎng)路教學(xué)等之使用；除此之外，老師不得再授權(quán)予任何第三人使用，並不得將依此授權(quán)所製作之教學(xué)投影片之相關(guān)著作物移作他用。,2,第九章 存

2、取控制,存取控制 ( Access Control ) 包含在資訊安全的許多層面，從實體層面、技術(shù)層面以及管理層面，都有存取控制的觀念。本章先介紹基礎(chǔ)認(rèn)證技術(shù)與原理，作為存取控制之基礎(chǔ)，並介紹存取控制之各種型態(tài)與其實例說明，讓讀者深入了解存取控制之觀念。最後介紹系統(tǒng)之存取控制管理，以提高系統(tǒng)之安全性。本章包含主要內(nèi)容如下：簡介認(rèn)證技術(shù)存取控制型式存取控制技術(shù)系統(tǒng)存取控制管理存取控制方法與實作,3,9.1 簡介,存取控制 (A

3、ccess Control)，是企業(yè)內(nèi)部控制作業(yè)流程中最重要的控制項目之一，其涵蓋範(fàn)圍相當(dāng)廣泛，包含企業(yè)內(nèi)所有層級的人員以及各項資源，它包含有實體存取控制和邏輯存取控制。存取控制之前需要先作認(rèn)證，以辨識使用者的身分，確認(rèn)身分之後再給予存取控制的權(quán)限，所以認(rèn)證技術(shù) (Authentication) 是存取控制之重要工作。存取控制技術(shù)，可分為任意存取控制 (Discretionary Access Control; DAC) 與強制存取

4、控制( Mandatory Access Control ; MAC )兩種技術(shù)。存取控制管理是系統(tǒng)安全管理的重要工作，存取控制管理主要目的是為辨識出誰在使用系統(tǒng)資源；可以認(rèn)證使用者的身份，並且能追蹤該使用者使用系統(tǒng)的軌跡。,,4,9.2 認(rèn)證技術(shù),認(rèn)證 ( Authentication ) 是為了核對使用者所宣稱的身分是否正確與合法。認(rèn)證需要輔助資訊，以確信使用者所提供的資訊符合認(rèn)證規(guī)範(fàn)。認(rèn)證所提供的資訊主要有三種型式，可作為認(rèn)證之

5、輔助資料： 型式一： 你所知道的事物 ( Something You Know )，這是一個文字字串，必須記?。徽J(rèn)證時，提供原始字串並輸入認(rèn)證系統(tǒng)。本認(rèn)證方法較為簡單，但也可能不小心洩漏此字串。 型式二： 你所擁有的事物 ( Something You Have )，這是一個實體的設(shè)施，事先發(fā)送此設(shè)施給使用者。在認(rèn)證時，使用者需要攜帶此設(shè)施接受認(rèn)證?；旧?，此認(rèn)證設(shè)施不容易偽造，但有遺失的可能。,,5,9.2 認(rèn)證技術(shù),例如，圖 9

6、-1 動態(tài)密碼鎖、IC 卡、USB 符記、記憶卡等等的符記裝置 ( Token Device)。動態(tài)密碼鎖每隔一段時間，(如60 秒)，會隨機產(chǎn)生一次動態(tài)密碼 (One Time Password)，且每組密碼只能使用一次。USB 符記是內(nèi)含一個可安全儲存資訊的小晶片，功能和晶片卡相同，不同的是晶片卡需要另外具備讀卡機。,,,圖9-1 各式符記裝置,6,9.2 認(rèn)證技術(shù),型式三：你具有的特徵 ( Something You Are )，

7、個人生理的或物理的特徵。例如，圖 9-2 所示， 指紋、聲音、虹膜式樣 、視網(wǎng)膜式樣、臉形、手形等。,,圖 9-2 各種生理特質(zhì),7,9.2 認(rèn)證技術(shù),除了以上三項認(rèn)證資訊之外，還有許多其它的認(rèn)證資訊，例如：利用某些行為結(jié)果做為認(rèn)證資訊，如現(xiàn)場用筆簽名，從筆跡以確認(rèn)身分。此外，使用設(shè)備的位址也可做為認(rèn)證資訊，在網(wǎng)路上，可以使用電腦的 IP 位址或網(wǎng)路卡的 MAC 位址來認(rèn)證你的身分。IP 位址或 MAC 位址被廣泛使用於網(wǎng)路上的認(rèn)證，例

8、如：伺服器僅允許某些特定的 IP 位址連線，也算是一種認(rèn)證。每一種認(rèn)證資訊有其特性與安全性，一般而言，型式三具有生物特徵的認(rèn)證技術(shù)，比較難以偽造。型式一具有方便性，但可能因密碼太複雜而忘記或太簡單而容易遭到破解。防止單一認(rèn)證技術(shù)被攻擊的危險，可以採用不同型式組合的認(rèn)證，以提高安全性，例如，使用IC卡配合密碼登入系統(tǒng)，結(jié)合有 IC 卡是型式二與密碼是型式一的認(rèn)證資訊，可提高認(rèn)證安全。,,8,9.2 認(rèn)證技術(shù),密碼是最常被使用的認(rèn)證技術(shù)，

9、但也是較脆弱的認(rèn)證方式，如果選用的密碼不當(dāng)，會使系統(tǒng)安全性變得脆弱。若選用有意義的字串當(dāng)做密碼，很容易被猜中而破解。若選用隨機字串做為密碼，則不容易記憶，因怕忘記，所以會寫下來，反而有被窺視之虞慮。密碼太短也是不好的密碼選用方式，為安全起見，若希望被猜中機率小於百萬分之一，則密碼至少需要6位數(shù)以上。另一種密碼型式為認(rèn)知密碼 ( Cognitive Password )，認(rèn)知密碼是被要求提供一連串問題的答案，系統(tǒng)預(yù)先設(shè)定只有你知道的訊息

10、做為答案，例如：你的生日？你父親名字？你的上班部門？你最喜歡顏色？,,9,9.2 認(rèn)證技術(shù),生物資訊認(rèn)證是使用型式三的認(rèn)證資訊，經(jīng)由認(rèn)證設(shè)備判別後作出『 通過 』或『 失敗 』的判斷，判斷的結(jié)果與設(shè)備的敏感度有很大關(guān)係，如圖9-3所示，敏感度越高，認(rèn)證 『 失敗 』機率就相對提高；如果降低敏感度，認(rèn)證 『 通過 』的機率就提高。使用認(rèn)證設(shè)備，原本合法的使用者在認(rèn)證時卻被判斷為『 失敗 』，稱為 『 Type I 錯誤 』。所有認(rèn)

11、證個案中出現(xiàn) 『 Type I 錯誤 』的比率稱為 『 錯誤拒絕率 』 ( False Rejection Rate ； FRR ) 。相對地，非法使用者被認(rèn)證為 『 通過 』，稱為 『 Type II 錯誤 』。所有認(rèn)證個案中，出現(xiàn)『 Type II 錯誤 』的比率，稱為 『 錯誤接受率 』 ( False Acceptance Rate ； FAR )。,10,9.2 認(rèn)證技術(shù),認(rèn)證設(shè)施的敏感度越高，錯誤拒絕率越高，而錯誤接受率相對

12、減少。在生物資訊認(rèn)證中，將設(shè)備有效的敏感度調(diào)整至錯誤拒絕率與錯誤接受率之交叉點，稱為 『 交叉錯誤率 』 ( Crossover Error Rate ； CER )。,,圖9-3 錯誤率與敏感度關(guān)係圖,11,9.2 認(rèn)證技術(shù),除了設(shè)施的敏感度外，還有許多因素影響生物認(rèn)證設(shè)備的效率，例如：註冊時間、取樣精確度、處理能力、接受程度、應(yīng)用程式等方面。註冊時間是指使用生物認(rèn)證設(shè)備，需要事先輸入取樣的生物資訊，並儲存於資料庫中所花費的時間。效能

13、不佳的設(shè)備，取樣時間很長，取樣越精確，耗費時間越多。一般而言，取樣時間若超過2分鐘，系統(tǒng)就無法被廣泛接受。,,12,9.3 存取控制型式,存取控制的目標(biāo)是要保護系統(tǒng)，以達到機密性、完整性與可用性的資訊安全原則，而實施存取控制機制的目的是要保護系統(tǒng)資源，不被非授權(quán)人員使用。從管理層面、技術(shù)層面和實體層面，存取控制的功能主要可分為下列幾類，而有些裝置包含了多項的功能。存取控制並非可以單獨存在，需要整合各種存取控制功能，提供多層次的安全控管，

14、才能建構(gòu)整體安全環(huán)境。,13,9.3 存取控制型式,預(yù)防型存取控制：預(yù)防型存取控制是要遏止沒有授權(quán)的行動發(fā)生。例如，圍牆、鎖、燈光、責(zé)任分權(quán)、工作輪替，資料加密、閉路電視 ( CCTV ) 等。圖9-4 為門鎖，可以防止沒有鑰匙的人隨意進出。,圖 9-4 門鎖,14,9.3 存取控制型式,威嚇型存取控制：使用威嚇手段去嚇止違反資安原則之行為，使入侵者了解設(shè)施之規(guī)範(fàn)，如果侵入將會有嚴(yán)重後果，其目的不是強力去阻止違反資安的行為。例如

15、，警告標(biāo)語、識別證、警衛(wèi)、警鈴、入侵失敗警告訊息、員工訓(xùn)練、員工安全提示、操作紀(jì)錄等。例如圖9-5所示，使用瀏覽器上網(wǎng)時，伺服器安裝憑證，建立 SSL 協(xié)定連線，如果伺服器憑證符合三項查核，則瀏覽器端不會有顯示安全性警訊，如果其中有一項不合，會出現(xiàn)安全性警告，使用者因警告而退卻不交易，達到威嚇之目的。,15,9.3 存取控制型式,圖 9-5 SSL 協(xié)定之存取控制標(biāo)語,16,9.3 存取控制型式,偵查型存取控制：偵查型存取控制的

16、手段是要發(fā)現(xiàn)非授權(quán)者入侵的證據(jù)，一般偵測型存取控制手段用於事實發(fā)生後，而不是事情發(fā)生當(dāng)時。例如圖9-6所示，為系統(tǒng)的稽核紀(jì)錄，其它還有如：採用閉路電視、入侵偵測系統(tǒng)、事件調(diào)查等。,圖 9-6 事件稽核紀(jì)錄,17,9.3 存取控制型式,矯正型存取控制：矯正型存取控制使用於當(dāng)系統(tǒng)損害時，修復(fù)系統(tǒng)使其恢復(fù)正常運作的狀況，例如，啟用防毒軟體，以掃除受病毒感染的檔案，使其恢復(fù)正常操作功能。,圖 9-7 防毒軟體,18,9.3 存取控制型式,回

17、復(fù)型存取控制：回復(fù)型存取控制是在系統(tǒng)無法運作時，回復(fù)系統(tǒng)之正常功能?；貜?fù)型存取控制比矯正型存取控制之技術(shù)複雜度更高，回復(fù)型存取控制是將整系統(tǒng)重新安裝回復(fù)為正常運作狀態(tài)。例如圖9-8顯示系統(tǒng)備份與回復(fù)，其它還有資料庫備份與資料回復(fù)、或磁碟陣列回復(fù)等。,,,圖9-8 Windows 備份與還原工具,19,9.3 存取控制型式,補償型存取控制：補償型存取控制提供另一個存取選擇，或協(xié)助現(xiàn)有存取控制，以提高系統(tǒng)安全性，例如，安全政策、人員

18、監(jiān)督、工作流程等。圖9-9顯示資訊安全政策，公佈於網(wǎng)站，每一個人可以瀏覽，達到宣傳目的，可以協(xié)助提升資訊安全防護意識，是一種補償型存取控制。,,20,9.3 存取控制型式,圖9-9資訊安全政策,21,9.3 存取控制型式,指令型存取控制：為使系統(tǒng)符合安全政策，依照安全指令作業(yè)，並執(zhí)行安全工作。例如，警衛(wèi)、安全標(biāo)語、員工訓(xùn)練、工作程序等。圖9-10 顯示上網(wǎng)手則，上網(wǎng)若按照手則之規(guī)範(fàn)執(zhí)行工作，期能達到安全目標(biāo)。,圖9-10 上網(wǎng)手則,

19、22,9.3 存取控制型式,管理型存取控制：從管理層面執(zhí)行的存取控制，使各項作業(yè)遵循組織的安全政策、安全流程相關(guān)的程序。例如圖9-11所示，依照組織安全政策、安全流程，以訂定機關(guān)臨時人員僱用及管理要點。,,23,9.3 存取控制型式,圖9-11僱用人員程序,24,9.3 存取控制型式,技術(shù)型存取控制：從技術(shù)層面進行之存取控制，以管理系統(tǒng)資源，防止非法存取資源，技術(shù)是指邏輯性技術(shù)。例如圖 9-12 所示，密碼登入系統(tǒng)、IC 卡登入

20、系統(tǒng)、防火牆、入侵偵測系統(tǒng)等。,圖 9-12 密碼登入系統(tǒng),25,9.3 存取控制型式,實體型存取控制：實體型存取控制是採用實體的障礙，以防止直接接觸系統(tǒng)或設(shè)施。例如，警衛(wèi)、圍牆、籬笆、門鎖、安全窗戶等設(shè)施。圖 9-13 所示，以厚重的機房安全門，可以有效防止入侵者的侵入，達到實體存取控制之目標(biāo)。,圖 9-13 機房安全門,26,9.4 存取控制技術(shù),在存取控制技術(shù)上，將主動存取的人或個體稱為主體( Subject )，如使用者、或

21、主動程式；而將提供給主體使用的資源稱為客體 ( Object )，如資料庫、網(wǎng)頁、硬碟等等。主體存取客體資源時，主體需要先被辨識與認(rèn)證，完成認(rèn)證後依授權(quán)度存取使用資源。授權(quán)存取可分為兩類 (如圖 9-14)：(1) 任意存取控制 (Discretionary Access Control; DAC) 與(2)強制存取控制( Mandatory Access Control ; MAC )。,,圖 9-14 存取控制分類,27,9.4 存

22、取控制技術(shù),任意存取控制，是主體存取客體之權(quán)限可以依照主體之設(shè)定，如：設(shè)定開放所有客體權(quán)限，或設(shè)定只開放所需要之權(quán)限，由於可以任意設(shè)定權(quán)限所以稱為任意型存取控制。例如，一個檔案，其權(quán)限包含開檔、寫入、讀取與修改等四項權(quán)限，管理者可以依照使用者帳號，給予所有四項權(quán)限，或者僅給予讀取權(quán)限，權(quán)限之控管掌握在管理者，管理者可以依照需求給予權(quán)限。強制型存取控制，則依照主體與客體之分類標(biāo)籤 ( Classification Label ) 給予權(quán)

23、限，即使是管理者也無法給予特別權(quán)限。每一個分類標(biāo)籤代表一個安全領(lǐng)域，而安全領(lǐng)域是為了執(zhí)行一項安全政策。主體標(biāo)籤是代表許可的位階 ( Level of Clearance )，客體標(biāo)籤代表資料的分類或敏感度。例如，美國國防部分類資料標(biāo)籤為，最高機密 ( Top Secret )、機密 ( Secret ) 、隱密 ( Confidential ) 與敏感性 ( Sensitive but Unclassified ; SBU ) 等類。主

24、體存取客體資料時，主體之分類標(biāo)籤等級需要等於或高於客體分類標(biāo)籤，才可以存取資料，否則無存取權(quán)限。,28,9.5 系統(tǒng)存取控制管理,存取控制管理是系統(tǒng)安全管理的主要工作。系統(tǒng)存取控制管理主要目的是要辨識誰在使用系統(tǒng)資源，可以認(rèn)證使用者的身份，並且追蹤使用者使用系統(tǒng)的軌跡。系統(tǒng)存取控制主要有三項工作：帳號管理、活動追蹤與權(quán)限管理。,29,9.5.1 帳號管理,帳號管理包含產(chǎn)生使用者帳號、維護使用者帳號與關(guān)閉使用者帳號等。這不是一般性的工作，

25、而是一項重要的工作，如果沒有正確的帳號管理，不能建立安全的基礎(chǔ)，更無法稽核與追蹤使用者行為，也無法證明授權(quán)等工作。一個新帳號的產(chǎn)生雖是簡單的系統(tǒng)流程，但並非僅依照管理者或其他人員的要求即可產(chǎn)生新帳號；必須依照組織的安全程序，及人事部門的核可後才準(zhǔn)予產(chǎn)生新帳號。除遵守新進人員僱用程序，新進人員必須了解安全政策和接受安全訓(xùn)練，在僱用程序中，需要簽署同意遵守組織之安全規(guī)範(fàn)，其內(nèi)容須包含違反安全政策時的懲罰、解雇與相關(guān)的法律責(zé)任。,30,9

26、.5.1 帳號管理,開始產(chǎn)生新帳號的流程稱為 『 註冊 』，註冊流程時，為使用者產(chǎn)生新帳號，並建立系統(tǒng)使用的認(rèn)證資訊。使用者的身分必須被確認(rèn)，且註冊流程必須完整與正確地執(zhí)行完成，若註冊流程的資訊不正確，日後將帶來管理的問題。帳號存在之後需要定期維護，需要依照相關(guān)規(guī)範(fàn)維護帳號，人員輪調(diào)與升遷時也需要隨時更新帳號及屬性，如職務(wù)、權(quán)限等。人員不再使用帳號時需要停用、刪除與廢止，這項工作也可以自動化，由人事單位管控。當(dāng)人員離職時，其帳號應(yīng)立

27、即失效；短期工作人員帳號，也需要設(shè)定期限，期限一到應(yīng)立即失效。,31,9.5.1 帳號管理,例如圖9-15 所示，為Windows 帳號管理工具，需要依照資安規(guī)範(fàn)管理帳號，以建立安全基礎(chǔ)。,圖 9-15 帳號管理,32,9.5.2 活動追蹤,活動追蹤、帳號稽核、與系統(tǒng)監(jiān)控也是存取控制很重要的工作，如果沒有這些作為，系統(tǒng)很難對使用者帳號要求需負(fù)行為責(zé)任的 ( Accountable )?！贺?fù)行為責(zé)任』即由證據(jù)顯示，可以相對追蹤這些行為是該

28、帳號使用者所做的行為。系統(tǒng)建立辨識 ( Identification )、認(rèn)證 ( Authentication )、授權(quán) ( Authorization )和活動追蹤等，即是系統(tǒng)直接賦予使用者帳號之行為責(zé)任 ( Accountability )。行為責(zé)任，是指對系統(tǒng)之操作行為皆可以追蹤至該使用者的帳號，並要求該帳號之使用負(fù)起其執(zhí)行行為之責(zé)任?；耸鞘褂梅椒ㄈz視系統(tǒng)是否符合規(guī)範(fàn)、偵測不法行為與非法授權(quán)。稽核方法有很多種，例如，歷史記

29、錄 ( Logging )、監(jiān)控 ( Monitoring )、檢視警告、分析，以及入侵偵測。,33,9.5.3 權(quán)限管理,對帳號設(shè)定權(quán)限需要遵循組織的安全政策，並非每個帳號都具備所有的存取權(quán)限，帳號只能賦予特定的存取權(quán)限；也不是每一項功能都開放權(quán)限給使用者，某些功能只對一些特定帳號開放。存取權(quán)限設(shè)定需要遵守『 最少權(quán)限原理 』 ( The Principle of Least Privilege )，此原理說明開放給用戶帳號的權(quán)限，

30、宜核發(fā)給足以完成該項工作所需即可，不必給予多餘權(quán)限。多給予使用者權(quán)限，增加安全管理的風(fēng)險。例如在權(quán)限管理實務(wù)上，對於資料有產(chǎn)生、讀取、寫入、與修改等權(quán)限，如果使用者只需要讀取資料，只給予讀取資料權(quán)限，其它權(quán)限就不必給予。,34,9.5.3 權(quán)限管理,在管理上，存取敏感性資料時，需要遵守 『 必要知道 』 ( Need-to-know ) 原則，此原則用於強制型存取控制 ( Mandatory Access Control ； MAC )

31、 環(huán)境中，存取資料需要獲得存取許可，即使你有資料存取權(quán)限，但還需要提出資料存取的理由。通常這項『 必要知道 』原則是有時間限制，時間過後即無法存取。『 責(zé)任區(qū)分 』 ( Separation of Duties ) 是管理層面的安全機制，將管理工作分成多人分層負(fù)責(zé)之管理體系，以避免擁有不同權(quán)限的個人進行非授權(quán)工作。例如，一個系統(tǒng)管理者，擁有系統(tǒng)管理的權(quán)限，可以使用系統(tǒng)管理工具改變系統(tǒng)建構(gòu)等工作，基於責(zé)任區(qū)分原則，這一管理者不能讀取或更

32、改系統(tǒng)紀(jì)錄，系統(tǒng)紀(jì)錄由稽核人員讀取。,35,9.6 存取控制方法與實作,在實作上，有兩種主要存取控制方法是：(1) 集中式存取控制和 (2) 分散式存取控制。集中式存取控制是將存取控制之認(rèn)證與授權(quán)集中在單一的點；分散式存取控制則是將認(rèn)證與授權(quán)分散於整個系統(tǒng)的不同點執(zhí)行。,36,9.6.1 集中式與分散式存取控制,集中式存取控制與分散式存取控制各有優(yōu)缺點。集中式存取控制管理方便，減少管理的負(fù)擔(dān)，但是系統(tǒng)風(fēng)險集中在一點，也會是駭客攻擊的目標(biāo)

33、。如果這一個點發(fā)生問題，則整個系統(tǒng)無法執(zhí)行任務(wù)，所以需要有備援機制，防止系統(tǒng)因存取控制認(rèn)證機能無法執(zhí)行。常見的集中式存取控制系統(tǒng)是 RADIUS 系統(tǒng)，於下一節(jié)介紹。分散式存取控制，有多個存取控制的認(rèn)證點，管理需要多個管理小組，較多的管理負(fù)擔(dān)，帳號管理的一致性是很困難的。在增加與減少認(rèn)證點時，如何取得平衡，以及其備援問題，也是考慮的要點。,37,9.6.2 RADIUS系統(tǒng),遠(yuǎn)端認(rèn)證服務(wù)( Remote Authentication

34、Dial-In User Service；RADIUS ) 伺服器是一種集中式認(rèn)證伺服器，透過遠(yuǎn)端認(rèn)證服務(wù)，以控制網(wǎng)路資源之存取。RADIUS用來認(rèn)證使用者的身份與密碼，認(rèn)證通過之後，授權(quán)使用者登入網(wǎng)域以使用相關(guān)資源。早期 RADIUS 伺服器是用來做電話撥接上網(wǎng)的身分認(rèn)證，現(xiàn)在常用於一般網(wǎng)路認(rèn)證，甚至是無線網(wǎng)路使用者的身份認(rèn)證。例如圖 9-16，由無線網(wǎng)路使用者連接基地臺，基地臺將使用者的身份與密碼傳送至 RADIUS 伺服器認(rèn)證，