数据不越界：ISO 16845-2标准下的访问控制机制


参考资源链接：[ISO 16845-2:2018 - 车辆CAN总线高速访问单元符合性测试](https://wenku.csdn.net/doc/14nub0k1nu?spm=1055.2635.3001.10343)
# 1. ISO 16845-2标准概述

访问控制系统作为信息安全架构的关键组成部分，需要满足组织对信息资产保护的严格要求。国际标准化组织（ISO）发布的ISO 16845-2为访问控制的实施提供了一套详细的标准和规范。

## 1.1 标准的产生背景

ISO 16845-2标准是针对特定领域访问控制需求的国际标准。它提供了一套指导原则和框架，旨在帮助不同规模的组织有效建立和管理访问控制系统。该标准的制定，源于对现有访问控制模型和实践的深入分析以及对新挑战的预见性考量。

## 1.2 标准的主要内容

该标准涵盖了从访问控制策略的制定到实施的全过程，包括对技术、管理和物理措施的全面指导。它强调了对访问控制要求进行定期评估的重要性，并提倡采用一种风险评估方法来确定访问权限，确保访问控制措施与组织的风险承受能力和业务需求相匹配。

## 1.3 标准的应用意义

ISO 16845-2的实施能够协助组织实现对敏感信息的适度保护，防止未授权访问和数据泄露。它不仅提供了一种系统化的方法来识别和管理风险，还能够提高组织的合规性和业务连续性。

通过遵循ISO 16845-2标准，组织可以确保其访问控制系统的效能与国际最佳实践保持一致，从而在信息安全领域获得竞争优势，并构建客户和合作伙伴的信任。

# 2. 访问控制理论基础

## 2.1 访问控制概念及重要性

### 2.1.1 访问控制定义

访问控制是指在计算机系统和网络中，用于确定用户或系统是否能够访问某些资源的一系列安全策略和措施。它是信息安全的一个关键组成部分，旨在防止未授权访问，确保数据的保密性、完整性和可用性。

访问控制机制通常由三个基本元素构成：主体（用户或其他系统组件）、客体（资源如文件、数据库、应用程序等）以及访问权限（决定主体可以对客体执行哪些操作的规则）。通过这些机制，组织能够限制和管理用户对关键数据和系统资源的访问。

在现代信息系统中，访问控制是防止数据泄露和系统被非法篡改的重要手段。例如，员工可能只被授权访问完成其工作所必须的文件和应用程序，而不能访问财务记录或员工私人信息，这有助于限制数据泄露的风险。

### 2.1.2 数据越界的风险与防范

数据越界是指程序试图访问未被授权的内存区域，这种安全漏洞经常被利用来进行缓冲区溢出攻击。缓冲区溢出是一种常见的安全漏洞，攻击者通过让程序读写超出其预定义边界的数据来改变程序的控制流，可能使攻击者获得对系统的控制权。

防范数据越界的风险，需要采取多种措施：

1. **编程语言选择**：使用有内存安全保证的语言，如Go或Rust，可以显著降低数据越界的风险。
2. **编译器安全特性**：利用现代编译器提供的安全特性，如栈保护（Stack Canaries）、数据执行防止（DEP）和地址空间布局随机化（ASLR）。
3. **安全编程实践**：教育开发人员遵循安全编程原则，避免如数组索引边界错误等常见编程错误。
4. **代码审计和静态分析**：定期进行代码审计和使用静态分析工具检查潜在的缓冲区溢出问题。
5. **运行时保护**：使用运行时保护工具监控程序行为，检测并响应不正常的内存访问模式。

### 2.2 ISO 16845-2标准的框架结构

#### 2.2.1 标准组成及核心原则

ISO/IEC 16845-2是关于信息技术安全技术的访问控制标准，它的目的是为访问控制技术提供一个综合性的框架。标准主要由以下几个部分组成：

- 访问控制架构
- 访问控制策略和规则
- 访问控制功能和能力
- 访问控制机制的实施指南

ISO 16845-2的核心原则是基于角色的访问控制（RBAC），该原则强调访问权限应该基于用户的角色分配，而不是个人。这一原则有助于简化权限管理，并且使得访问控制策略的实施更加灵活和可扩展。

#### 2.2.2 标准与其它安全标准的关联

ISO 16845-2标准并不是孤立存在的，它与其它的信息安全标准有着密切的关联，例如：

- **ISO/IEC 27001** - 信息安全管理系统国际标准，提供了更广泛的信息安全管理框架。
- **ISO/IEC 27002** - 提供了信息安全管理的最佳实践指南，其中包含了许多与访问控制相关的控制措施。
- **NIST SP 800-53** - 美国国家标准与技术研究院发布的联邦信息处理标准，用于保护政府的信息和信息系统。

在实施ISO 16845-2时，应考虑到这些标准之间的协同作用，确保组织的访问控制系统不仅符合特定的访问控制要求，而且与组织的整体信息安全策略保持一致。

### 2.3 访问控制机制的理论模型

#### 2.3.1 访问控制模型的分类

访问控制模型根据不同的安全需求和使用场景有不同的分类，常见的模型包括：

- **强制访问控制（MAC）**：在这种模型中，系统管理员为每个系统对象分配一个安全标记，用户通过安全标记获得对对象的访问权限。通常用于军事和政府机构。
- **自主访问控制（DAC）**：用户可以自主地决定他们拥有的资源谁可以访问，经常在商业环境中使用。
- **基于角色的访问控制（RBAC）**：强调用户的角色和角色的权限，而不是每个用户的权限。
- **属性基础访问控制（ABAC）**：通过用户、资源和环境的属性来决定访问控制的决策。
- **基于规则的访问控制**：使用定义好的规则集合来决定访问是否被授予。

每种模型都有其优势和限制，选择哪种模型通常取决于组织的具体需求和环境。

#### 2.3.2 威胁建模与风险评估

威胁建模是识别潜在威胁的过程，它有助于组织更好地理解其面临的安全风险。访问控制策略通常需要基于威胁建模的结果来进行设计。

威胁建模的一个常用方法是STRIDE模型，它代表了六种安全威胁类型：

- **S**poofing（欺骗）：未经授权的用户假扮成另一个用户。
- **T**ampering（篡改）：未授权修改数据。
- **R**epudiation（抵赖）：用户否认执行了某项操作。
- **I**nformation disclosure（信息泄露）：信息被未经授权的用户获取。
- **D**enial of service（服务拒绝）：导致服务不可用的行为。
- **E**levation of privilege（权限提升）：非授权用户获得更高的权限。

风险评估用于确定组织资产面临的安全威胁、脆弱性和影响，以及风险的可能性。通过风险评估，组织可以决定哪些访问控制措施是必要的，并且优先实施那些风险最高的部分。

在此基础上，组织可以设计出一个能够满足其业务需求同时降低风险的访问控制策略。这个策略将详细说明如何实现访问控制，包括角色定义、权限分配、策略实施的步骤和技术选择等。

下一级将深入探讨ISO 16845-2标准下的访问控制实践。

# 3. ISO 16845-2标准下的访问控制实践

## 3.1 访问控制策略的实现

### 3.1.1 角色基础访问控制（RBAC）

角色基础访问控制（Role-Based Access Control, RBAC）是当前广泛应用的一种访问控制机制。在RBAC模型中，用户与角色相关联，而角色则被赋予一系列权限。当用户登录系统时，他们继承他们角色的权限，这使得管理用户权限变得更加高效。

在实施RBAC时，首先需要定义角色以及相应的权限集。通常，这涉及到分析业务流程和组织结构，以确定哪些角色是必要的，并且必须分配给角色的权限。例如，在一个典型的医院信息系统中，可以定义如下角色：医生、护士、药剂师、行政人员等。

为了实施RBAC，系统管理员需要执行以下步骤：

1. 确定并定义系统中的所有角色。
2. 为每个角色分配适当的访问权限。
3. 将用户分配到一个或多个角色中。

下面是一个简单的RBAC实现的伪代码示例：

class Role:
    def __init__(self, na