網(wǎng)絡(luò)安全11-訪問(wèn)控制

1、網(wǎng)絡(luò)安全訪問(wèn)控制、審計(jì)和備份1網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問(wèn)安全性通過(guò)身份鑒別和訪問(wèn)控制，阻止資源被非法用戶訪問(wèn)數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸2安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問(wèn)控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份3系統(tǒng)安全保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中的資源計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備存儲(chǔ)介質(zhì)軟件和程序數(shù)據(jù)和數(shù)據(jù)庫(kù)通信資源：端口、帶寬等最終目標(biāo)是保護(hù)系統(tǒng)中的信息安全

2、4計(jì)算機(jī)系統(tǒng)安全技術(shù)訪問(wèn)控制和授權(quán)安全審計(jì)安全風(fēng)險(xiǎn)分析和評(píng)估隔離和阻斷（防火墻）入侵檢測(cè)災(zāi)難預(yù)防和恢復(fù)5用戶帳戶管理帳戶：用于管理訪問(wèn)計(jì)算機(jī)系統(tǒng)的實(shí)體人軟件實(shí)體其它計(jì)算機(jī)用戶登錄系統(tǒng)時(shí)，確定每個(gè)用戶訪問(wèn)系統(tǒng)資源的權(quán)限登錄計(jì)算機(jī)訪問(wèn)文件系統(tǒng)執(zhí)行系統(tǒng)命令系統(tǒng)管理6用戶登錄用戶只有登錄才能訪問(wèn)系統(tǒng)用戶身份識(shí)別用戶名/口令智能卡身份認(rèn)證協(xié)議：PAP、CHAP、Kerberos、對(duì)用戶的訪問(wèn)授權(quán)根據(jù)用戶帳戶數(shù)據(jù)庫(kù)中的信息對(duì)登錄用戶授權(quán)存在多種訪問(wèn)控制方法，相應(yīng)的授權(quán)和管理方法也不同7訪問(wèn)控制8訪問(wèn)控制訪問(wèn)控制為了安全目的，依據(jù)策略或權(quán)限機(jī)制，控制對(duì)資源進(jìn)行的不同授權(quán)訪問(wèn)保障授權(quán)用戶能獲取所需資源拒絕非授

3、權(quán)用戶的資源訪問(wèn)請(qǐng)求身份認(rèn)證是訪問(wèn)控制的前提條件訪問(wèn)控制是應(yīng)用系統(tǒng)不可缺少的重要部分訪問(wèn)控制包含3個(gè)要素：主體、客體和控制策略。9訪問(wèn)控制的相關(guān)概念主體（Subject）是指一個(gè)提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。通常指用戶或代表用戶執(zhí)行的程序客體（Object）是指接受其它實(shí)體訪問(wèn)的被動(dòng)實(shí)體，是規(guī)定需要保護(hù)的資源，又稱作目標(biāo)。既可以是信息、文件、記錄，也可以是硬件設(shè)備控制策略是主體對(duì)客體的操作行為集和約束條件集。簡(jiǎn)單講，控制策略是主體對(duì)客體的訪問(wèn)規(guī)則集，體現(xiàn)了一種授權(quán)行為，也就是客體對(duì)主體的權(quán)限允許，這種允許不得超過(guò)規(guī)則集10訪問(wèn)控制的目的通過(guò)訪問(wèn)控制策略顯式地準(zhǔn)許

4、或限制主體的訪問(wèn)能力及范圍限制和管理合法用戶對(duì)關(guān)鍵資源的訪問(wèn)，使得資源的使用在合法范圍內(nèi)進(jìn)行防止和追蹤非法用戶的侵入，以及合法用戶的不慎操作等行為對(duì)權(quán)威機(jī)構(gòu)造成的破壞11用戶認(rèn)證、授權(quán)和訪問(wèn)控制計(jì)算機(jī)系統(tǒng)中，用戶對(duì)數(shù)據(jù)的訪問(wèn)必須在系統(tǒng)的控制之下進(jìn)行，以保證計(jì)算機(jī)系統(tǒng)的安全性訪問(wèn)控制一般通過(guò)設(shè)置訪問(wèn)權(quán)限而實(shí)現(xiàn)訪問(wèn)控制功能一般集成在操作系統(tǒng)中訪問(wèn)控制建立在用戶身份認(rèn)證基礎(chǔ)之上訪問(wèn)控制是審計(jì)和計(jì)費(fèi)的前提12訪問(wèn)控制的一般模型引用監(jiān)視器認(rèn)證訪問(wèn)控制授權(quán)數(shù)據(jù)庫(kù)用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審 計(jì)安全管理員13訪問(wèn)控制模型基本組成14訪問(wèn)控制決策單元15訪問(wèn)控制策略的分類自主訪問(wèn)控制（Discretionary

5、 Access Control)簡(jiǎn)稱DAC強(qiáng)制訪問(wèn)控制(Mandatory Access Control）簡(jiǎn)稱MAC基于角色的訪問(wèn)控制(Role Based Access Control)簡(jiǎn)稱RBAC16訪問(wèn)控制策略自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制17自主訪問(wèn)控制根據(jù)用戶的身份或組成員身份，允許合法用戶訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問(wèn)客體用戶還可以把自己所擁有的客體的訪問(wèn)權(quán)限授予其它用戶。自主是指用戶有權(quán)對(duì)自身所創(chuàng)建的訪問(wèn)對(duì)象(文件、數(shù)據(jù)庫(kù)表等)進(jìn)行訪問(wèn)，有權(quán)將對(duì)這些對(duì)象的訪問(wèn)權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問(wèn)權(quán)限。18自主訪問(wèn)控制模型的應(yīng)用自主訪問(wèn)控制又稱為

6、任意訪問(wèn)控制，是一種常用的訪問(wèn)控制方式。UNIX、Windows SERVER版本的操作系統(tǒng)都提供自主訪問(wèn)控制的功能。在實(shí)現(xiàn)上，首先要對(duì)用戶的身份進(jìn)行鑒別，然后按照訪問(wèn)控制列表所賦予用戶的權(quán)限,允許和限制用戶使用客體的資源。主體控制權(quán)限的修改通常由特權(quán)用戶（管理員）或是特權(quán)用戶組實(shí)現(xiàn)。19訪問(wèn)控制表（Acess Control List）以客體為中心建立的訪問(wèn)權(quán)限表。根據(jù)訪問(wèn)者（主體）的請(qǐng)求（客體信息），結(jié)合訪問(wèn)者身份在訪問(wèn)控制表中查找訪問(wèn)者的權(quán)限，判斷訪問(wèn)者是否具有操作客體的能力。userAORWOuserB R OuserCRWOObj120訪問(wèn)能力表（Acess Capabilities

7、 List）以主體為中心建立訪問(wèn)權(quán)限表根據(jù)訪問(wèn)者（主體）的身份，結(jié)合請(qǐng)求（客體信息）信息在訪問(wèn)能力表中查找訪問(wèn)者的權(quán)限，判斷訪問(wèn)者是否具有操作客體的能力。Obj1ORWOObj2 R OObj3 RWOUserA21實(shí)現(xiàn)舉例通過(guò)矩陣形式表示訪問(wèn)控制規(guī)則和授權(quán)用戶權(quán)限的方法。對(duì)每個(gè)主體而言，都擁有對(duì)哪些客體的哪些訪問(wèn)權(quán)限；而對(duì)客體而言，又有哪些主體對(duì)他可以實(shí)施訪問(wèn)；將這種關(guān)連關(guān)系加以闡述，就形成了控制矩陣。如果主體和客體很多，控制矩陣將會(huì)成幾何級(jí)數(shù)增長(zhǎng)，會(huì)有大量的空余空間。SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute按列看是訪問(wèn)控制表

8、內(nèi)容按行看是訪問(wèn)能力表內(nèi)容22自主訪問(wèn)控制的特點(diǎn)特點(diǎn)根據(jù)主體的身份和授權(quán)來(lái)決定訪問(wèn)模式缺點(diǎn)信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變?nèi)缬脩鬉可將其對(duì)目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問(wèn)權(quán)限的B可訪問(wèn)O23強(qiáng)制訪問(wèn)控制主體和客體都被賦予一定的安全級(jí)別，如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí)用戶不能改變自身和客體的安全級(jí)別，只有管理員才能夠確定用戶和組的訪問(wèn)權(quán)限根據(jù)主體和客體的級(jí)別標(biāo)記來(lái)決定訪問(wèn)模式在實(shí)施訪問(wèn)控制時(shí)，系統(tǒng)先對(duì)訪問(wèn)主體和受控客體的安全級(jí)別屬性進(jìn)行比較，再?zèng)Q定訪問(wèn)主體能否訪問(wèn)該客體強(qiáng)制訪問(wèn)控制是指系統(tǒng)對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照確定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象

9、進(jìn)行哪些操作類型的訪問(wèn)即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對(duì)象后也可能無(wú)權(quán)訪問(wèn)該對(duì)象24強(qiáng)制訪問(wèn)控制模型的應(yīng)用下讀/上寫策略低級(jí)用戶和進(jìn)程不能訪問(wèn)安全級(jí)別比他們高的信息資源 -無(wú)上讀安全級(jí)別高的用戶和進(jìn)程也不能向比他安全級(jí)別低的用戶和進(jìn)程寫入數(shù)據(jù) -無(wú)下寫保障信息機(jī)密性上讀/下寫策略用戶只能向比自己安全級(jí)別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級(jí)別高的客體信息，避免越權(quán)、篡改等行為的產(chǎn)生完整性級(jí)別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的，從而保證了完整性級(jí)別高的文件不會(huì)被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋保障信息完整性兩個(gè)相互對(duì)立的模型25自主/強(qiáng)制訪問(wèn)的問(wèn)題自主訪問(wèn)控制配置的粒度小配置的

10、工作量大，效率低強(qiáng)制訪問(wèn)控制配置的粒度大缺乏靈活性例：1000主體訪問(wèn)10000客體須1000萬(wàn)次配置，如每次配置需1秒，每天工作8小時(shí)，就需10,000,000/ 3600*8 =347.2天。26基于角色的訪問(wèn)控制（RBAC）根據(jù)分配給主體的角色來(lái)管理訪問(wèn)和權(quán)限的處理過(guò)程。角色是與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)利。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和。基于角色的訪問(wèn)控制就是通過(guò)各種角色的不同搭配授權(quán)來(lái)盡可能實(shí)現(xiàn)主體的最小權(quán)限。系統(tǒng)的訪問(wèn)控制機(jī)制只看到角色，而看不到用戶。27RBAC實(shí)現(xiàn)過(guò)程28基于角色訪問(wèn)

11、控制的特點(diǎn)提供靈活的授權(quán)管理途徑。改變客體的訪問(wèn)權(quán)限改變角色的訪問(wèn)權(quán)限改變主體所擔(dān)任的角色靈活、高效的授權(quán)管理。企業(yè)的組織結(jié)構(gòu)或系統(tǒng)的安全需求有變化，系統(tǒng)管理員只變更角色權(quán)限即可。角色的關(guān)系可以實(shí)現(xiàn)層次化，便于管理。主體與客體無(wú)直接聯(lián)系角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，主體只有通過(guò)角色才享有的權(quán)限，從而訪問(wèn)相應(yīng)的客體。29審計(jì)30審計(jì)審計(jì)：根據(jù)一定的策略，通過(guò)記錄、分析歷史操作事件發(fā)現(xiàn)和改進(jìn)系統(tǒng)性能和安全審計(jì)的需求幾乎所有的安全事件的查處和追蹤依賴系統(tǒng)歷史事件記錄系統(tǒng)資源的改善需要?dú)v史經(jīng)驗(yàn)審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充，是訪問(wèn)控制的一個(gè)重要內(nèi)容，審計(jì)是實(shí)現(xiàn)系統(tǒng)安全的最后

12、一道防線31審計(jì)的作用對(duì)潛在的攻擊者起到震攝或警告。對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)。為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。有助于提供對(duì)數(shù)據(jù)恢復(fù)的幫助。32審計(jì)過(guò)程審計(jì)的基礎(chǔ)在于事件記錄：系統(tǒng)活動(dòng)記錄；用戶活動(dòng)記錄；收集審計(jì)事件，產(chǎn)生審計(jì)記錄；根據(jù)記錄進(jìn)行安全事件的分析；采取處理措施；33應(yīng)用舉例（1）確定記錄事件類型：登錄及注銷；文件及對(duì)象訪問(wèn)；用戶權(quán)力的使用，用戶及組管理；安全性規(guī)則更改；重新啟動(dòng)關(guān)機(jī)及系統(tǒng)；進(jìn)程追蹤等34應(yīng)用舉例（2）確定記錄事件內(nèi)容：時(shí)間；來(lái)源；狀態(tài)（成功、失敗）；類型；用戶；對(duì)象等35應(yīng)用舉例（3）Wi

13、ndows日志文件（ /WINNT/SYSTEM32/CONFIG/ ）：AppEvent.evt（應(yīng)用程序）SecEvent.evt（安全性）SysEvent.evt（系統(tǒng)）控制面板/管理工具/計(jì)算機(jī)管理/事件查看器36備份備份的原因?yàn)?zāi)難事故，如火災(zāi)、地震、洪水等重大意外事故；系統(tǒng)故障，包括軟硬件故障；誤操作或病毒等引起的故障；人為的破壞，例如，黑客、惡意員工等的破壞。37備份的理解備份是系統(tǒng)不可缺少的部分；備份需要代價(jià)的，有時(shí)影響系統(tǒng)正常運(yùn)行；備份貴在堅(jiān)持，尤其系統(tǒng)一直穩(wěn)定運(yùn)行時(shí)，一旦出現(xiàn)故障，備份能使損失降到最少；備份是為恢復(fù)做準(zhǔn)備；備份要有專人負(fù)責(zé)；備份計(jì)劃依賴備份策略，備份策略依賴系

14、統(tǒng)的功能；38備份策略（1）備份的范圍是多少？數(shù)據(jù)、應(yīng)用程序、操作系統(tǒng)、硬件設(shè)備（雙機(jī)熱備份）等備份執(zhí)行的頻率是多少？自動(dòng)還是手工，一般選擇系統(tǒng)最閑時(shí)執(zhí)行備份的過(guò)程是怎樣的？誰(shuí)將負(fù)責(zé)生成正確的備份？由專人或小組負(fù)責(zé)、檢查、管理。39備份策略（2）備份儲(chǔ)存在哪里？切忌存放在同一物理設(shè)備上，同時(shí)要求防竊、防磁、防火、防泄密，異地。備份需要維護(hù)多長(zhǎng)時(shí)間？考慮介質(zhì)老化和兼容問(wèn)題。需要維護(hù)多少份副本？多種方式存儲(chǔ)，提高備份數(shù)據(jù)的安全性。40數(shù)據(jù)備份類型完全備份所有數(shù)據(jù)被復(fù)制到存儲(chǔ)介質(zhì)中。差量備份只有從上一次完全備份之后改變的數(shù)據(jù)才需要完整地存儲(chǔ)。增量備份僅僅復(fù)制那些在最后一次完全備份或增量備份之后改變的

15、數(shù)據(jù)。41不同數(shù)據(jù)備份類型對(duì)比42恢復(fù)稱為重載或重入，是指當(dāng)磁盤損壞或系統(tǒng)崩潰時(shí)，通過(guò)轉(zhuǎn)儲(chǔ)或卸載的備份重新安裝數(shù)據(jù)或系統(tǒng)的過(guò)程。 恢復(fù)技術(shù)依賴于備份技術(shù)； 43計(jì)算機(jī)系統(tǒng)的安全級(jí)別依據(jù)身份認(rèn)證、訪問(wèn)控制、審計(jì)以及備份等安全機(jī)制，計(jì)算機(jī)系統(tǒng)的安全級(jí)別一般分為： DC（C1、C2）B（B1、B2、B3）A44D級(jí)不可信的安全最低的安全級(jí)別，對(duì)系統(tǒng)提供最小的安全防護(hù)。硬件和操作系統(tǒng)不提供任何保護(hù)，沒(méi)有用戶身份認(rèn)證，沒(méi)有訪問(wèn)控制這個(gè)級(jí)別的系統(tǒng)包括DOS，WINDOWS98等 45C級(jí)C1：選擇性的安全保護(hù)提供某種程度的硬件保護(hù)支持帳戶管理、用戶授權(quán)和訪問(wèn)控制早期的UnixC2：受控的訪問(wèn)環(huán)境能夠?qū)崿F(xiàn)受控安全保護(hù)、個(gè)人帳戶管理、審計(jì)和資源隔離UNIX、LINUX和WindowsNT系統(tǒng)46B級(jí)B1：標(biāo)記的安全保護(hù)