系統(tǒng)訪問控制與審計技術(shù) (2)ppt課件

1、系統(tǒng)訪問控制與審計技術(shù) 本章學習目的：了解幾種根本的訪問控制技術(shù)熟習常用操作系統(tǒng)的平安技術(shù)了解操作系統(tǒng)的審計技術(shù)11.1 訪問控制技術(shù) 訪問控制是在保證授權(quán)用戶能獲取所需資源的同時回絕非授權(quán)用戶的平安機制。 訪問控制也是信息平安實際根底的重要組成部分。 本章講述訪問控制的原理、作用、分類和研討前沿，重點引見較典型的自主訪問控制、強迫訪問控制和基于角色的訪問控制。 11.1.1 訪問控制技術(shù)的概念 11.1 訪問控制技術(shù) 訪問控制與其他平安措施之間的關(guān)系可以用圖11-1來簡要闡明。 在用戶身份認證(假設(shè)必要)和授權(quán)之后，訪問控制機制將根據(jù)預(yù)先設(shè)定的規(guī)那么對用戶訪問某項資源(目的)進展控制，只需規(guī)

2、那么允許時才干訪問，違反預(yù)定的平安規(guī)那么的訪問行為將被回絕。 資源可以是信息資源、處置資源、通訊資源或者物理資源，訪問方式可以是獲取信息、修正信息或者完成某種功能，普通情況可以了解為讀、寫或者執(zhí)行。 11.1.2 訪問控制原理 11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 訪問控制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)運用；它決議用戶能做什么，也決議代表一定用戶身份的進程能做什么。訪問控制普通包括三種類型：自主訪問控制、強迫訪問控制和基于角色的訪問控制。 11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 自主訪問控制Discretionary Acc

3、ess Control，DAC是一種常用的訪問控制方式，它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主是指主體可以自主的(能夠是間接的)將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。 1自主訪問控制 自主訪問控制是一種比較寬松的訪問控制，一個主體的訪問權(quán)限具有傳送性。傳送能夠會給系統(tǒng)帶來平安隱患，某個主體經(jīng)過承繼其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問權(quán)限，就能夠破壞系統(tǒng)的平安性。這是自主訪問控制方式的缺陷。 為了實現(xiàn)完好的自主訪問系統(tǒng)，訪問控制普通由一個矩陣來表示。矩陣中的一行表示一個主體的一切權(quán)限；一列那么是關(guān)于一個客體的一切權(quán)限；矩陣中的元素是該元素所在行對應(yīng)

4、的主體對該元素所在列對應(yīng)的客體的訪問權(quán)限。詳細實現(xiàn)時，往往是基于矩陣的行或者列來表達訪問控制信息。 11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 訪問控制表(Access Control List，ACL)是基于訪問控制矩陣中列的自主訪問控制。 1自主訪問控制(續(xù))1訪問控制表 對系統(tǒng)中一個需求維護的客體Oj附加的訪問控制表的構(gòu)造如以下圖所示 在上圖的例子中，對于客體Oj,主體S0具有讀(r)和執(zhí)行(e)的權(quán)益；主體S1只需讀的權(quán)益；主體S2只需執(zhí)行的權(quán)益；主體Sm具有讀、寫(w)和執(zhí)行的權(quán)益。11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 1自主訪問控制(續(xù)) (2) 訪問才干表

5、訪問才干表(Access Capabilities List)是最常用的基于行的自主訪問控制。才干(capability) 是為主體提供的、對客體具有特定訪問權(quán)限的不可偽造的標志，它決議主體能否可以訪問客體以及以什么方式訪問客體。主體可以將才干轉(zhuǎn)移給為本人任務(wù)的進程，在進程運轉(zhuǎn)期間，還可以添加或者修正才干。 才干的轉(zhuǎn)移不受任何戰(zhàn)略的限制，所以對于一個特定的客體，不能確定一切有權(quán)訪問它的主體。因此，訪問才干表不能實現(xiàn)完備的自主訪問控制，而訪問控制表是可以實現(xiàn)的。 11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 2強迫訪問控制 強迫訪問控制系統(tǒng)為一切的主體和客體指定平安級別，比如絕密級、級、級

6、和無密級。不同級別標志了不同重要程度和才干的實體。不同級別的主體對不同級別的客體的訪問是在強迫的平安戰(zhàn)略下實現(xiàn)的。在強迫訪問控制機制中，將平安級別進展排序，如按照從高到低陳列，規(guī)定高級別可以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。這種訪問可以是讀，也可以是寫或修正。 1保證信息完好性戰(zhàn)略。 2保證信息性戰(zhàn)略。 自主訪問控制較弱，而強迫訪問控制又太強，會給用戶帶來許多不便。因此，實踐運用中，往往將自主訪問控制和強迫訪問控制結(jié)合在一同運用。自主訪問控制造為根底的、常用的控制手段；強迫訪問控制造為加強的、更加嚴厲的控制手段。 11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 3基于角色

7、的訪問控制 基于角色的訪問控制方式(Role Based Access Control，RBAC)中，用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經(jīng)過角色認證而充任相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強迫訪問控制機制控制角色的訪問才干。 1角色的概念 在基于角色的訪問控制中，角色(role)定義為與一個特定活動相關(guān)聯(lián)的一組動作和責任。系統(tǒng)中的主體擔任角色，完成角色規(guī)定的責任，具有角色擁有的權(quán)限。一個主體可以同時擔任多個角色，它的權(quán)限就是多個角色權(quán)限的

8、總和?；诮巧脑L問控制就是經(jīng)過各種角色的不同搭配授權(quán)來盡能夠?qū)崿F(xiàn)主體的最小權(quán)限(最小授權(quán)指主體在可以完成一切必需的訪問任務(wù)根底上的最小權(quán)限)。11.1 訪問控制技術(shù) 11.1.2 訪問控制原理 3基于角色的訪問控制 2基于角色的訪問控制 基于角色的訪問控制就是經(jīng)過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制的。用戶先經(jīng)認證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機制檢查角色的權(quán)限，并決議能否允許訪問。 這種訪問控制方法的詳細特點如下： 1提供了三種授權(quán)管理的控制途徑 2系統(tǒng)中一切角色的關(guān)系構(gòu)造可以是層次化的，便于管理。 3具有較好的提供最小權(quán)益的

9、才干，從而提高了平安性。 4具有責任分別的才干。 11.2 Windows 2000的訪問控制 11.2.1 Windows的平安模型與根本概念 1平安模型 Windows的平安模型由以下幾個關(guān)鍵部分構(gòu)成： 1登錄過程(Logon Process，LP)。接受本地用戶或者遠程用戶的登錄懇求，處置用戶信息，為用戶做一些初始化任務(wù)。 2本地平安授權(quán)機構(gòu)(Local Security Authority，LSA)。根據(jù)平安賬號管理器中的數(shù)據(jù)處置本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個平安子系統(tǒng)的中心。 3平安賬號管理器(Security Account Manager，SAM)。維護賬

10、號的平安性管理數(shù)據(jù)庫(SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫)。 4平安援用監(jiān)視器(Security Reference Monitor，SRM)。檢查存取合法性，防止非法存取和修正。 這幾部分在訪問控制的不同階段發(fā)揚了各自的作用。 11.2 Windows 2000的訪問控制 11.2.1 Windows的平安模型與根本概念 2平安概念 1平安標識(Security Identifier，SID)：平安標識和賬號獨一對應(yīng)，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。平安標識與對應(yīng)的用戶和組的賬號信息一同存儲在SAM數(shù)據(jù)庫里。 2訪問令牌(Access Token)。當用戶登錄時，本地平安授權(quán)機構(gòu)為

11、用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、平安標識等信息。 3主體。用戶登錄到系統(tǒng)之后，本地平安授權(quán)機構(gòu)為用戶構(gòu)造一個訪問令牌，這個令牌與該用戶一切的操作相聯(lián)絡(luò)，用戶進展的操作和訪問令牌一同構(gòu)成一個主體。 4對象、資源、共享資源。對象的本質(zhì)是封裝了數(shù)據(jù)和處置過程的一系列信息集合體。資源是用于網(wǎng)絡(luò)環(huán)境的對象。共享資源是在網(wǎng)絡(luò)上共享的對象。 5平安描畫符Security Descript。Windows系統(tǒng)會為共享資源創(chuàng)建平安描畫符，包含了該對象的一組平安屬性。 平安描畫符分為四個部分： 一切者平安標識(Owner SecurityID)。擁有該對象的用戶或者用戶組的SD。 組平安標識(Group

12、Security)。 自主訪問控制表(Discretionary Access Control List，DAC)。該對象的訪問控制表，由對象的一切者控制。 系統(tǒng)訪問控制表(System Access Control List，ACL)。定義操作系統(tǒng)將產(chǎn)生何種類型的審計信息，由系統(tǒng)的平安管理員控制。 其中，平安描畫符中的每一個訪問控制表(ACL)都由訪問控制項(Access Control Entries，ACEs)組成，用來描畫用戶或者組對對象的訪問或?qū)徲嫏?quán)限。ACEs有三種類型：Access Allowed、Access Denied和System Audit。前兩種用于自主訪問控制；后一

13、種用于記錄平安日志。 11.2 Windows 2000的訪問控制 11.2.1 Windows的平安模型與根本概念 2平安概念(續(xù)) Cacls命令 當一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID，并與其他賬號信息一同存入SAM數(shù)據(jù)庫。 每次用戶登錄時，登錄主機(通常為任務(wù)站)的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的效力器域信息送給平安賬號管理器，平安賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進展比較，假設(shè)匹配，效力器發(fā)給任務(wù)站允許訪問的信息，并前往用戶的平安標識和用戶所在組的平安標識，任務(wù)站系統(tǒng)為用戶生成一個進程。效力器還要記錄用戶賬號的特權(quán)、主目錄位置、任務(wù)站參數(shù)等信

14、息。 然后，本地平安授權(quán)機構(gòu)為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、平安標識等信息。以后用戶每新建一個進程，都將訪問令牌復制造為該進程的訪問令牌。 當用戶或者用戶生成的進程要訪問某個對象時，平安援用監(jiān)視器將用戶進程的訪問令牌中的SID與對象平安描畫符中的自主訪問控制表進展比較，從而決議用戶能否有權(quán)訪問對象。 11.2 Windows 2000的訪問控制 11.2.2 Windows的訪問控制過程 11.2 Windows 2000的訪問控制 11.2.2 Windows的訪問控制過程 資源的本地訪問權(quán)限共有以下六種，每一種權(quán)限都可設(shè)置為允許或回絕。 1完全控制 2修正 3讀取及運轉(zhuǎn) 4列出文件

15、夾目錄 5讀取 6寫入 資源的共享訪問權(quán)限共有以下四種： 1完全控制 2讀取 3更改 4回絕訪問11.2 Windows 2000的訪問控制 11.2.3 Windows 2000 Server系統(tǒng)平安設(shè)置 1用戶管理 刪除一切不需求的賬號，禁用一切暫時不用的賬號。一定要禁用“guest用戶。重命名系統(tǒng)默許的管理員“Administrator，然后再創(chuàng)建一個名為“Administrator的用戶，并分配給這個新用戶一個復雜無比的口令，最后不讓它屬于任何組。 2運用NTFS文件系統(tǒng) FAT32無法提供用戶所需的針對于本地的單個文件與目錄的權(quán)限設(shè)置。NTFS格式是效力器必需的，運用FAT32文件系

16、統(tǒng)沒有平安性可言。 3不讓系統(tǒng)顯示上次登錄的用戶名 經(jīng)過修正“管理工具中的“本地平安戰(zhàn)略的相應(yīng)選項或修正系統(tǒng)注冊表來實現(xiàn)。 11.2 Windows 2000的訪問控制 11.2.3 Windows 2000 Server系統(tǒng)平安設(shè)置(續(xù))4制止建立空銜接 默許情況下，任何用戶可經(jīng)過空銜接連上效力器，枚舉賬號并猜測密碼。經(jīng)過修正“管理工具中的“本地平安戰(zhàn)略的相應(yīng)選項或修正系統(tǒng)注冊表來實現(xiàn)。 5翻開平安審核 Windows 2000的平安審計功能在默許安裝時是封鎖的。激活此功能有利于管理員很好的掌握機器的形狀，有利于系統(tǒng)的入侵檢測。他可以從日志中了解到機器能否在被人蠻力攻擊、非法的文件訪問等。

17、設(shè)置“本地平安戰(zhàn)略中“本地戰(zhàn)略的“審核戰(zhàn)略，建議設(shè)置如下： 審核戰(zhàn)略設(shè)置賬戶登錄事件勝利，失敗賬戶管理勝利，失敗登錄事件勝利，失敗對象訪問失敗戰(zhàn)略更改勝利，失敗特權(quán)運用勝利，失敗系統(tǒng)事件失敗11.2 Windows 2000的訪問控制 11.2.3 Windows 2000 Server系統(tǒng)平安設(shè)置(續(xù)) 6封鎖不用要和危險的系統(tǒng)效力 安裝好Windows 2000后，普通開放了數(shù)十項系統(tǒng)或運用效力，做為一個管理員，應(yīng)該知道各種效力都是做什么用的，例如有人入侵后須及時發(fā)現(xiàn)能否運轉(zhuǎn)了一些入侵者留下的效力。管理方法是翻開“管理工具“效力，根據(jù)要求啟動/停頓相應(yīng)的效力?？蓞⒄崭戒?。7修正終端效力的

18、默許端口 如有必要才需求此操作，默以為3389，可隨意修正為165535的端口。鍵值：“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations 。 8網(wǎng)卡的端口挑選 詳細情況配置。經(jīng)過網(wǎng)卡“屬性-“TCP/IP協(xié)議屬性-“高級-“選項-“TCP/IP挑選屬性來設(shè)置。 根據(jù)效力器開啟的運用效力，添加相應(yīng)的TCP、UDP端口或IP協(xié)議。如一臺效力器只作Web和Email效力器，那么可只允許80、110和25端口。11.2 Windows 2000的訪問控制 11.2.3 Windows 2000 Server系統(tǒng)平安設(shè)置(續(xù))

19、9IIS平安配置 IIS平安操作步驟：配置“開場“程序-“管理工具-“Internet 效力管理器。刪除“默許站點的站點。默許的IIS發(fā)布目錄為C:Inetpub，請將這個目錄刪除。在d盤或e盤新建一個目錄(目錄名隨意)，然后新建一個站點，將主目錄指向他新建的目錄。10禁用不用要的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)共享 建議在網(wǎng)絡(luò)屬性中封鎖“Microsoft網(wǎng)絡(luò)客戶端和“Microsoft網(wǎng)絡(luò)文件與打印機共享的選項。 建議去掉系統(tǒng)的默許共享?？山?jīng)過Net命令、“計算機管理或修正注冊表實現(xiàn)。11其它 建議仔細查看“本地平安戰(zhàn)略、“計算機管理及“組戰(zhàn)略等相關(guān)組件的功能，了解這些組件對系統(tǒng)平安的影響。11.3 平安審

20、計技術(shù) 11.3.1 平安審計概述 審計是對訪問控制的必要補充，是訪問控制的一個重要內(nèi)容。審計會對用戶運用何種信息資源、運用的時間，以及如何運用執(zhí)行何種操作進展記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)平安的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控可以再現(xiàn)原有的進程和問題，這對于責任清查和數(shù)據(jù)恢復非常有必要。 審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。審計跟蹤可以發(fā)現(xiàn)違反平安戰(zhàn)略的活動、影響運轉(zhuǎn)效率的問題以及程序中的錯誤。審計跟蹤不但有助于協(xié)助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的損害，同時還能協(xié)助恢復數(shù)據(jù)

21、。 11.3 平安審計技術(shù) 11.3.2 審計內(nèi)容 審計跟蹤可以實現(xiàn)多種平安相關(guān)目的，包括個人職能、事件重建、入侵檢測和缺點分析。 1個人職能individual accountability 審計跟蹤是管理人員用來維護個人職能的技術(shù)手段。假設(shè)用戶被知道他們的行為活動被記錄在審計日志中，相應(yīng)的人員需求為本人的行為擔任，他們就不太會違反平安戰(zhàn)略和繞過平安控制措施。 2事件重建reconstruction of events 在發(fā)生缺點后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。 3入侵檢測intrusion detection 審計跟蹤記錄可以用來協(xié)助入侵檢測任務(wù)。假設(shè)將審計的每一筆記錄都進展上下文

22、分析，就可以實時發(fā)現(xiàn)或是過后預(yù)防入侵檢測活動。 4缺點分析problem analysis審計跟蹤可以用于實時審計或監(jiān)控。11.3 平安審計技術(shù) 11.3.3 平安審計的目的 計算機平安審計機制的目的如下： 1)應(yīng)為平安人員提供足夠多的信息，使他們可以定位問題所在；但另一方面，提供的信息應(yīng)缺乏以使他們本人也可以進展攻擊。 2)應(yīng)優(yōu)化審計追蹤的內(nèi)容，以檢測發(fā)現(xiàn)的問題，而且必需能從不同的系統(tǒng)資源搜集信息。 3)應(yīng)可以對一個給定的資源(其他用戶也被視為資源)進展審計分析，分辨看似正常的活動，以發(fā)現(xiàn)內(nèi)部計算機系統(tǒng)的不正當運用； 4)設(shè)計審計機制時，應(yīng)將系統(tǒng)攻擊者的戰(zhàn)略也思索在內(nèi)。 概括而言，審計系統(tǒng)的

23、目的至少包括：確定和堅持系統(tǒng)活動中每個人的責任；確認重建事件的發(fā)生；評價損失；臨測系統(tǒng)問題區(qū)；提供有效的災(zāi)難恢復根據(jù)；提供阻止不正當運用系統(tǒng)行為的根據(jù)；提供案件偵破證據(jù)。 11.3 平安審計技術(shù) 11.3.4 平安審計系統(tǒng) 審計經(jīng)過對所關(guān)懷的事件進展記錄和分析來實現(xiàn)。因此審計過程包括審計發(fā)生器、日志記錄器、日志分析器和報告機制幾部分。 1日志的內(nèi)容 通常，對于一個事件，日志應(yīng)包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)、事件和源和目的的位置、事件類型、事件成敗等。2平安審計的記錄機制 不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄能夠由操作系統(tǒng)完成，也可以由運用系統(tǒng)或其他公用記錄系統(tǒng)完成。

24、但是，大部分情況都可用系統(tǒng)調(diào)用Syslog來記錄日志，也可以用SNMP記錄。 11.3 平安審計技術(shù) 11.3.4 平安審計系統(tǒng)(續(xù))3平安審計分析 經(jīng)過對日志進展分析，發(fā)現(xiàn)所需事件信息和規(guī)律是平安審計的根本目的。主要內(nèi)容有：1潛在損害分析；2基于異常檢測的輪廓；3簡單攻擊探測；4復雜攻擊探測。 4審計事件查閱 由于審計系統(tǒng)是追蹤、恢復的直接根據(jù)，甚至是司法根據(jù)，因此其本身的平安性非常重要。審計系統(tǒng)的平安主要是查閱和存儲的平安。審計事件的查閱應(yīng)該遭到嚴厲的限制，不能篡改日志。 5審計事件存儲 審計事件的存儲也有平安要求，主要有：1受維護的審計蹤跡存儲；2審計數(shù)據(jù)的可用性保證；3防止審計數(shù)據(jù)喪失

25、。 11.3 平安審計技術(shù) 11.3.5 平安審計運用實例 流行的操作系統(tǒng)都提供審計的功能。下面以Windows 2000 Server操作系統(tǒng)為例，在NTFS格式的支持下，闡明平安審計的運用實例。 1審計子系統(tǒng)構(gòu)造 在“資源管理器中，選擇右鍵菜單中的屬性平安高級，再選擇“審核以激活目錄審核對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。 11.3 平安審計技術(shù) 11.3.5 平安審計運用實例 在“本地平安策中，系統(tǒng)管理員可以根據(jù)各種用戶事件的勝利和失敗選擇審計戰(zhàn)略，如登錄和退出、文件訪問、權(quán)限非法和封鎖系統(tǒng)等。 11.3 平安審計技術(shù) 11.3.5 平安審計運用實例 系統(tǒng)管理員可以運用事件查看器的挑選選項根據(jù)一定條件選擇要查看的日志條目。查看條件包括類別、用戶和音訊類型。 11.3 平安審計技術(shù) 11.3.5 平安審計運用實例 Windows的日志文件很多，但主要是系統(tǒng)日志、運用程序日志和平安日志三個。 1系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的缺點。 2運用程序日志。跟蹤運用程序關(guān)聯(lián)的事件，