系統(tǒng)訪問控制與審計技術課件

系統(tǒng)訪問控制與審計技術

本章學習目標：了解幾種基本的訪問控制技術熟悉常用操作系統(tǒng)的安全技術了解操作系統(tǒng)的審計技術系統(tǒng)訪問控制與審計技術本章學習目標：11.1訪問控制技術訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。訪問控制也是信息安全理論基礎的重要組成部分。本章講述訪問控制的原理、作用、分類和研究前沿，重點介紹較典型的自主訪問控制、強制訪問控制和基于角色的訪問控制。

11.1.1訪問控制技術的概念

11.1訪問控制技術訪問控制是在保障授權用戶能獲取11.1訪問控制技術

訪問控制與其他安全措施之間的關系可以用圖11-1來簡要說明。在用戶身份認證(如果必要)和授權之后，訪問控制機制將根據(jù)預先設定的規(guī)則對用戶訪問某項資源(目標)進行控制，只有規(guī)則允許時才能訪問，違反預定的安全規(guī)則的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫或者執(zhí)行。

11.1.2訪問控制原理11.1訪問控制技術訪問控制與其他安全措施之間的關11.1訪問控制技術11.1.2訪問控制原理訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統(tǒng)在合法范圍內使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。訪問控制一般包括三種類型：自主訪問控制、強制訪問控制和基于角色的訪問控制。

11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理自主訪問控制（DiscretionaryAccessControl，DAC）是一種常用的訪問控制方式，它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主是指主體能夠自主的(可能是間接的)將訪問權或訪問權的某個子集授予其他主體。

1．自主訪問控制自主訪問控制是一種比較寬松的訪問控制，一個主體的訪問權限具有傳遞性。傳遞可能會給系統(tǒng)帶來安全隱患，某個主體通過繼承其他主體的權限而得到了它本身不應具有的訪問權限，就可能破壞系統(tǒng)的安全性。這是自主訪問控制方式的缺點。

為了實現(xiàn)完整的自主訪問系統(tǒng)，訪問控制一般由一個矩陣來表示。矩陣中的一行表示一個主體的所有權限；一列則是關于一個客體的所有權限；矩陣中的元素是該元素所在行對應的主體對該元素所在列對應的客體的訪問權限。具體實現(xiàn)時，往往是基于矩陣的行或者列來表達訪問控制信息。

11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理訪問控制表(AccessControlList，ACL)是基于訪問控制矩陣中列的自主訪問控制。

1．自主訪問控制(續(xù))（1）訪問控制表

對系統(tǒng)中一個需要保護的客體Oj附加的訪問控制表的結構如下圖所示

在上圖的例子中，對于客體Oj,主體S0具有讀(r)和執(zhí)行(e)的權利；主體S1只有讀的權利；主體S2只有執(zhí)行的權利；主體Sm具有讀、寫(w)和執(zhí)行的權利。11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理1．自主訪問控制(續(xù))

(2)訪問能力表

訪問能力表(AccessCapabilitiesList)是最常用的基于行的自主訪問控制。能力(capability)是為主體提供的、對客體具有特定訪問權限的不可偽造的標志，它決定主體是否可以訪問客體以及以什么方式訪問客體。主體可以將能力轉移給為自己工作的進程，在進程運行期間，還可以添加或者修改能力。

能力的轉移不受任何策略的限制，所以對于一個特定的客體，不能確定所有有權訪問它的主體。因此，訪問能力表不能實現(xiàn)完備的自主訪問控制，而訪問控制表是可以實現(xiàn)的。11.1訪問控制技術11.1.2訪問控制原理1．11.1訪問控制技術11.1.2訪問控制原理2．強制訪問控制

強制訪問控制系統(tǒng)為所有的主體和客體指定安全級別，比如絕密級、機密級、秘密級和無密級。不同級別標記了不同重要程度和能力的實體。不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。在強制訪問控制機制中，將安全級別進行排序，如按照從高到低排列，規(guī)定高級別可以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。這種訪問可以是讀，也可以是寫或修改。

1）保障信息完整性策略。2）保障信息機密性策略。

自主訪問控制較弱，而強制訪問控制又太強，會給用戶帶來許多不便。因此，實際應用中，往往將自主訪問控制和強制訪問控制結合在一起使用。自主訪問控制作為基礎的、常用的控制手段；強制訪問控制作為增強的、更加嚴格的控制手段。11.1訪問控制技術11.1.2訪問控制原理2．11.1訪問控制技術11.1.2訪問控制原理3．基于角色的訪問控制

基于角色的訪問控制模式(RoleBasedAccessControl，RBAC)中，用戶不是自始至終以同樣的注冊身份和權限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經過角色認證而充當相應的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。

（1）角色的概念

在基于角色的訪問控制中，角色(role)定義為與一個特定活動相關聯(lián)的一組動作和責任。系統(tǒng)中的主體擔任角色，完成角色規(guī)定的責任，具有角色擁有的權限。一個主體可以同時擔任多個角色，它的權限就是多個角色權限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權來盡可能實現(xiàn)主體的最小權限(最小授權指主體在能夠完成所有必需的訪問工作基礎上的最小權限)。11.1訪問控制技術11.1.2訪問控制原理3．11.1訪問控制技術11.1.2訪問控制原理3．基于角色的訪問控制

（2）基于角色的訪問控制

基于角色的訪問控制就是通過定義角色的權限，為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制的。用戶先經認證后獲得一定角色，該角色被分派了一定的權限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機制檢查角色的權限，并決定是否允許訪問。這種訪問控制方法的具體特點如下：1）提供了三種授權管理的控制途徑2）系統(tǒng)中所有角色的關系結構可以是層次化的，便于管理。3）具有較好的提供最小權利的能力，從而提高了安全性。4）具有責任分離的能力。11.1訪問控制技術11.1.2訪問控制原理3．11.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念1．安全模型

Windows的安全模型由以下幾個關鍵部分構成：

1）登錄過程(LogonProcess，LP)。接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。

2）本地安全授權機構(LocalSecurityAuthority，LSA)。根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個安全子系統(tǒng)的核心。

3）安全賬號管理器(SecurityAccountManager，SAM)。維護賬號的安全性管理數(shù)據(jù)庫(SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫)。

4）安全引用監(jiān)視器(SecurityReferenceMonitor，SRM)。檢查存取合法性，防止非法存取和修改。

這幾部分在訪問控制的不同階段發(fā)揮了各自的作用。11.2Windows2000的訪問控制11.2.111.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念2．安全概念

1）安全標識(SecurityIdentifier，SID)：安全標識和賬號唯一對應，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。安全標識與對應的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。

2）訪問令牌(AccessToken)。當用戶登錄時，本地安全授權機構為用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標識等信息。

3）主體。用戶登錄到系統(tǒng)之后，本地安全授權機構為用戶構造一個訪問令牌，這個令牌與該用戶所有的操作相聯(lián)系，用戶進行的操作和訪問令牌一起構成一個主體。

4）對象、資源、共享資源。對象的實質是封裝了數(shù)據(jù)和處理過程的一系列信息集合體。資源是用于網(wǎng)絡環(huán)境的對象。共享資源是在網(wǎng)絡上共享的對象。

5）安全描述符（SecurityDescript）。Windows系統(tǒng)會為共享資源創(chuàng)建安全描述符，包含了該對象的一組安全屬性。11.2Windows2000的訪問控制11.2.1

安全描述符分為四個部分：

①所有者安全標識(OwnerSecurityID)。擁有該對象的用戶或者用戶組的SD。

②組安全標識(GroupSecurity)。

③自主訪問控制表(DiscretionaryAccessControlList，DAC)。該對象的訪問控制表，由對象的所有者控制。

④系統(tǒng)訪問控制表(SystemAccessControlList，ACL)。定義操作系統(tǒng)將產生何種類型的審計信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個訪問控制表(ACL)都由訪問控制項(AccessControlEntries，ACEs)組成，用來描述用戶或者組對對象的訪問或審計權限。ACEs有三種類型：AccessAllowed、AccessDenied和SystemAudit。前兩種用于自主訪問控制；后一種用于記錄安全日志。

11.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念2．安全概念(續(xù))

Cacls命令安全描述符分為四個部分：11.2Windows20

當一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID，并與其他賬號信息一起存入SAM數(shù)據(jù)庫。

每次用戶登錄時，登錄主機(通常為工作站)的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的服務器／域信息送給安全賬號管理器，安全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進行比較，如果匹配，服務器發(fā)給工作站允許訪問的信息，并返回用戶的安全標識和用戶所在組的安全標識，工作站系統(tǒng)為用戶生成一個進程。服務器還要記錄用戶賬號的特權、主目錄位置、工作站參數(shù)等信息。

然后，本地安全授權機構為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、安全標識等信息。此后用戶每新建一個進程，都將訪問令牌復制作為該進程的訪問令牌。

當用戶或者用戶生成的進程要訪問某個對象時，安全引用監(jiān)視器將用戶／進程的訪問令牌中的SID與對象安全描述符中的自主訪問控制表進行比較，從而決定用戶是否有權訪問對象。11.2Windows2000的訪問控制11.2.2Windows的訪問控制過程當一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID11.2Windows2000的訪問控制11.2.2Windows的訪問控制過程

資源的本地訪問權限共有以下六種，每一種權限都可設置為允許或拒絕。1）完全控制2）修改3）讀取及運行4）列出文件夾目錄5）讀取6）寫入

資源的共享訪問權限共有以下四種：1）完全控制2）讀取3）更改4）拒絕訪問11.2Windows2000的訪問控制11.2.211.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置1．用戶管理

刪除所有不需要的賬號，禁用所有暫時不用的賬號。一定要禁用“guest”用戶。重命名系統(tǒng)默認的管理員“Administrator”，然后再創(chuàng)建一個名為“Administrator”的用戶，并分配給這個新用戶一個復雜無比的口令，最后不讓它屬于任何組。2．使用NTFS文件系統(tǒng)

FAT32無法提供用戶所需的針對于本地的單個文件與目錄的權限設置。NTFS格式是服務器必須的，使用FAT32文件系統(tǒng)沒有安全性可言。3．不讓系統(tǒng)顯示上次登錄的用戶名

通過修改“管理工具”中的“本地安全策略”的相應選項或修改系統(tǒng)注冊表來實現(xiàn)。

11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))4．禁止建立空連接

默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。通過修改“管理工具”中的“本地安全策略”的相應選項或修改系統(tǒng)注冊表來實現(xiàn)。

5．打開安全審核

Windows2000的安全審計功能在默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等。設置“本地安全策略”中“本地策略”的“審核策略”，建議設置如下：審核策略設置賬戶登錄事件成功，失敗賬戶管理成功，失敗登錄事件成功，失敗對象訪問失敗策略更改成功，失敗特權使用成功，失敗系統(tǒng)事件失敗11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))

6．關閉不必要和危險的系統(tǒng)服務

安裝好Windows2000后，一般開放了數(shù)十項系統(tǒng)或應用服務，做為一個管理員，應該知道各種服務都是做什么用的，例如有人入侵后須及時發(fā)現(xiàn)是否運行了一些入侵者留下的服務。管理方法是打開“管理工具”>“服務”，根據(jù)要求啟動/停止相應的服務。可參照附錄1。7．修改終端服務的默認端口

如有必要才需要此操作，默認為3389，可隨意修改為1～65535的端口。鍵值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．網(wǎng)卡的端口篩選

具體情況配置。通過網(wǎng)卡“屬性”-“TCP/IP協(xié)議屬性”-“高級”-“選項”-“TCP/IP篩選屬性”來設置。根據(jù)服務器開啟的應用服務，添加相應的TCP、UDP端口或IP協(xié)議。如一臺服務器只作Web和Email服務器，則可只允許80、110和25端口。11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))

9．IIS安全配置

IIS安全操作步驟：配置“開始”—“程序”-“管理工具”-“Internet服務管理器”。刪除“默認站點”的站點。默認的IIS發(fā)布目錄為C:\Inetpub，請將這個目錄刪除。在d盤或e盤新建一個目錄(目錄名隨意)，然后新建一個站點，將主目錄指向你新建的目錄。10．禁用不必要的網(wǎng)絡協(xié)議與網(wǎng)絡共享

建議在網(wǎng)絡屬性中關閉“Microsoft網(wǎng)絡客戶端”和“Microsoft網(wǎng)絡文件與打印機共享”的選項。

建議去掉系統(tǒng)的默認共享?？赏ㄟ^Net命令、“計算機管理”或修改注冊表實現(xiàn)。11．其它建議仔細查看“本地安全策略”、“計算機管理”及“組策略”等相關組件的功能，了解這些組件對系統(tǒng)安全的影響。11.2Windows2000的訪問控制11.2.311.3安全審計技術11.3.1安全審計概述

審計是對訪問控制的必要補充，是訪問控制的一個重要內容。審計會對用戶使用何種信息資源、使用的時間，以及如何使用（執(zhí)行何種操作）進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責任追查和數(shù)據(jù)恢復非常有必要。

審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權用戶的侵害，同時還能幫助恢復數(shù)據(jù)。11.3安全審計技術11.3.1安全審計概述11.3安全審計技術11.3.2審計內容

審計跟蹤可以實現(xiàn)多種安全相關目標，包括個人職能、事件重建、入侵檢測和故障分析。

1）個人職能（individualaccountability）

審計跟蹤是管理人員用來維護個人職能的技術手段。如果用戶被知道他們的行為活動被記錄在審計日志中，相應的人員需要為自己的行為負責，他們就不太會違反安全策略和繞過安全控制措施。

2）事件重建（reconstructionofevents）

在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。

3）入侵檢測（intrusiondetection）

審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預防入侵檢測活動。4）故障分析（problemanalysis）審計跟蹤可以用于實時審計或監(jiān)控。11.3安全審計技術11.3.2審計內容11.3安全審計技術11.3.3安全審計的目標

計算機安全審計機制的目標如下：

1)應為安全人員提供足夠多的信息，使他們能夠定位問題所在；但另一方面，提供的信息應不足以使他們自己也能夠進行攻擊。

2)應優(yōu)化審計追蹤的內容，以檢測發(fā)現(xiàn)的問題，而且必須能從不同的系統(tǒng)資源收集信息。

3)應能夠對一個給定的資源(其他用戶也被視為資源)進行審計分析，分辨看似正常的活動，以發(fā)現(xiàn)內部計算機系統(tǒng)的不正當使用；

4)設計審計機制時，應將系統(tǒng)攻擊者的策略也考慮在內。

概括而言，審計系統(tǒng)的目標至少包括：確定和保持系統(tǒng)活動中每個人的責任；確認重建事件的發(fā)生；評估損失；臨測系統(tǒng)問題區(qū)；提供有效的災難恢復依據(jù)；提供阻止不正當使用系統(tǒng)行為的依據(jù)；提供案件偵破證據(jù)。

11.3安全審計技術11.3.3安全審計的目標11.3安全審計技術11.3.4安全審計系統(tǒng)

審計通過對所關心的事件進行記錄和分析來實現(xiàn)。因此審計過程包括審計發(fā)生器、日志記錄器、日志分析器和報告機制幾部分。1．日志的內容

通常，對于一個事件，日志應包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)、事件和源和目的的位置、事件類型、事件成敗等。2．安全審計的記錄機制

不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調用Syslog來記錄日志，也可以用SNMP記錄。11.3安全審計技術11.3.4安全審計系統(tǒng)11.3安全審計技術11.3.4安全審計系統(tǒng)(續(xù))3．安全審計分析

通過對日志進行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計的根本目的。主要內容有：1）潛在侵害分析；2）基于異常檢測的輪廓；3）簡單攻擊探測；4）復雜攻擊探測。

4．審計事件查閱

由于審計系統(tǒng)是追蹤、恢復的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計系統(tǒng)的安全主要是查閱和存儲的安全。審計事件的查閱應該受到嚴格的限制，不能篡改日志。5．審計事件存儲

審計事件的存儲也有安全要求，主要有：1）受保護的審計蹤跡存儲；2）審計數(shù)據(jù)的可用性保證；3）防止審計數(shù)據(jù)丟失。

11.3安全審計技術11.3.4安全審計系統(tǒng)(續(xù))11.3安全審計技術11.3.5安全審計應用實例

流行的操作系統(tǒng)都提供審計的功能。下面以Windows2000Server操作系統(tǒng)為例，在NTFS格式的支持下，說明安全審計的應用實例。

1．審計子系統(tǒng)結構

在“資源管理器”中，選擇右鍵菜單中的屬性—安全—高級，再選擇“審核”以激活目錄審核對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。11.3安全審計技術11.3.5安全審計應用實例11.3安全審計技術11.3.5安全審計應用實例

在“本地安全策”中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略，如登錄和退出、文件訪問、權限非法和關閉系統(tǒng)等。11.3安全審計技術11.3.5安全審計應用實例11.3安全審計技術11.3.5安全審計應用實例

系統(tǒng)管理員可以使用事件查看器的篩選選項根據(jù)一定條件選擇要查看的日志條目。查看條件包括類別、用戶和消息類型。11.3安全審計技術11.3.5安全審計應用實例11.3安全審計技術11.3.5安全審計應用實例

Windows的日志文件很多，但主要是系統(tǒng)日志、應用程序日志和安全日志三個。

1）系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。

2）應用程序日志。跟蹤應用程序關聯(lián)的事件，比如應用程序產生的象裝載dll（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。

3）安全日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權限以及系統(tǒng)啟動和關閉。注意：安全日志的默認狀態(tài)是關閉的。

11.3安全審計技術11.3.5安全審計應用實例11.3安全審計技術11.3.5安全審計應用實例

2．審計日志和記錄格式

Windows的審計日志由一系列的事件記錄組成。每一個事件記錄分為三個功能部分：頭、事件描述和可選的附加數(shù)據(jù)項。

事件記錄頭的“源”指用來響應產生事件記錄的軟件。源可以是一個應用程序、一個系統(tǒng)服務或一個設備驅動程序。

“類型”是事件嚴重性指示器。在系統(tǒng)和應用日志中，類型可以是錯誤、警告或信息。在安全日志中，類型可能是成功審計或失敗審計。

“種類”指觸發(fā)事件類型，主要用在安全日志中指示該類事件的成功或失敗審計已經被許可。

11.3安全審計技術11.3.5安全審計應用實例11.3安全審計技術11.3.5安全審計應用實例

3．事件日志管理特征

Windows提供了大量特征給系統(tǒng)管理員去管理系統(tǒng)事件日志機制。當系統(tǒng)開始運行時，系統(tǒng)和應用事件日志也自動開始。當日志文件滿并且系統(tǒng)配置規(guī)定它們必須被手工清除時，日志停止。

4．安全日志的審計策略

審計規(guī)則既可以審計成功操作，又可以審計失敗操作。包括：1）登錄及注銷；2）用戶及組管理；3）文件及對象訪問；4）安全性規(guī)則更改；5）重新啟動、關機及系統(tǒng)級事件；6）進程追蹤；7）文件和目錄審計。

5．管理和維護審計

通常情況下，Windows不是將所有的事件都記錄日志，而需要手動啟動審計的功能。選擇“本地安全策略”，選擇設置相應的項目即可。

當需要審查審計日志以跟蹤網(wǎng)絡或機器上的異常事件時，采用一些第三方提供的工具是一個較有效率的選擇。

11.3安全審計技術11.3.5安全審計應用實例本章小結

訪問控制分自主訪問控制、強制訪問控制和基于角色的訪問控制三類。

針對Windows2000Server操作系統(tǒng)，介紹了訪問控制和安全審計的實現(xiàn)過程。

本章小結訪問控制分自主訪問控制、強制訪問控制和基于作業(yè)及實驗作業(yè)：P2401、2、3、5、7推薦實驗：Windows2000Server的訪問控制和審計實現(xiàn)。(含Net、Cacls、Gpedit等命令的應用。)作業(yè)及實驗作業(yè)：系統(tǒng)訪問控制與審計技術

本章學習目標：了解幾種基本的訪問控制技術熟悉常用操作系統(tǒng)的安全技術了解操作系統(tǒng)的審計技術系統(tǒng)訪問控制與審計技術本章學習目標：11.1訪問控制技術訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。訪問控制也是信息安全理論基礎的重要組成部分。本章講述訪問控制的原理、作用、分類和研究前沿，重點介紹較典型的自主訪問控制、強制訪問控制和基于角色的訪問控制。

11.1.1訪問控制技術的概念

11.1訪問控制技術訪問控制是在保障授權用戶能獲取11.1訪問控制技術

訪問控制與其他安全措施之間的關系可以用圖11-1來簡要說明。在用戶身份認證(如果必要)和授權之后，訪問控制機制將根據(jù)預先設定的規(guī)則對用戶訪問某項資源(目標)進行控制，只有規(guī)則允許時才能訪問，違反預定的安全規(guī)則的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫或者執(zhí)行。

11.1.2訪問控制原理11.1訪問控制技術訪問控制與其他安全措施之間的關11.1訪問控制技術11.1.2訪問控制原理訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統(tǒng)在合法范圍內使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。訪問控制一般包括三種類型：自主訪問控制、強制訪問控制和基于角色的訪問控制。

11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理自主訪問控制（DiscretionaryAccessControl，DAC）是一種常用的訪問控制方式，它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主是指主體能夠自主的(可能是間接的)將訪問權或訪問權的某個子集授予其他主體。

1．自主訪問控制自主訪問控制是一種比較寬松的訪問控制，一個主體的訪問權限具有傳遞性。傳遞可能會給系統(tǒng)帶來安全隱患，某個主體通過繼承其他主體的權限而得到了它本身不應具有的訪問權限，就可能破壞系統(tǒng)的安全性。這是自主訪問控制方式的缺點。

為了實現(xiàn)完整的自主訪問系統(tǒng)，訪問控制一般由一個矩陣來表示。矩陣中的一行表示一個主體的所有權限；一列則是關于一個客體的所有權限；矩陣中的元素是該元素所在行對應的主體對該元素所在列對應的客體的訪問權限。具體實現(xiàn)時，往往是基于矩陣的行或者列來表達訪問控制信息。

11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理訪問控制表(AccessControlList，ACL)是基于訪問控制矩陣中列的自主訪問控制。

1．自主訪問控制(續(xù))（1）訪問控制表

對系統(tǒng)中一個需要保護的客體Oj附加的訪問控制表的結構如下圖所示

在上圖的例子中，對于客體Oj,主體S0具有讀(r)和執(zhí)行(e)的權利；主體S1只有讀的權利；主體S2只有執(zhí)行的權利；主體Sm具有讀、寫(w)和執(zhí)行的權利。11.1訪問控制技術11.1.2訪問控制原理11.1訪問控制技術11.1.2訪問控制原理1．自主訪問控制(續(xù))

(2)訪問能力表

訪問能力表(AccessCapabilitiesList)是最常用的基于行的自主訪問控制。能力(capability)是為主體提供的、對客體具有特定訪問權限的不可偽造的標志，它決定主體是否可以訪問客體以及以什么方式訪問客體。主體可以將能力轉移給為自己工作的進程，在進程運行期間，還可以添加或者修改能力。

能力的轉移不受任何策略的限制，所以對于一個特定的客體，不能確定所有有權訪問它的主體。因此，訪問能力表不能實現(xiàn)完備的自主訪問控制，而訪問控制表是可以實現(xiàn)的。11.1訪問控制技術11.1.2訪問控制原理1．11.1訪問控制技術11.1.2訪問控制原理2．強制訪問控制

強制訪問控制系統(tǒng)為所有的主體和客體指定安全級別，比如絕密級、機密級、秘密級和無密級。不同級別標記了不同重要程度和能力的實體。不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。在強制訪問控制機制中，將安全級別進行排序，如按照從高到低排列，規(guī)定高級別可以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。這種訪問可以是讀，也可以是寫或修改。

1）保障信息完整性策略。2）保障信息機密性策略。

自主訪問控制較弱，而強制訪問控制又太強，會給用戶帶來許多不便。因此，實際應用中，往往將自主訪問控制和強制訪問控制結合在一起使用。自主訪問控制作為基礎的、常用的控制手段；強制訪問控制作為增強的、更加嚴格的控制手段。11.1訪問控制技術11.1.2訪問控制原理2．11.1訪問控制技術11.1.2訪問控制原理3．基于角色的訪問控制

基于角色的訪問控制模式(RoleBasedAccessControl，RBAC)中，用戶不是自始至終以同樣的注冊身份和權限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經過角色認證而充當相應的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。

（1）角色的概念

在基于角色的訪問控制中，角色(role)定義為與一個特定活動相關聯(lián)的一組動作和責任。系統(tǒng)中的主體擔任角色，完成角色規(guī)定的責任，具有角色擁有的權限。一個主體可以同時擔任多個角色，它的權限就是多個角色權限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權來盡可能實現(xiàn)主體的最小權限(最小授權指主體在能夠完成所有必需的訪問工作基礎上的最小權限)。11.1訪問控制技術11.1.2訪問控制原理3．11.1訪問控制技術11.1.2訪問控制原理3．基于角色的訪問控制

（2）基于角色的訪問控制

基于角色的訪問控制就是通過定義角色的權限，為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制的。用戶先經認證后獲得一定角色，該角色被分派了一定的權限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機制檢查角色的權限，并決定是否允許訪問。這種訪問控制方法的具體特點如下：1）提供了三種授權管理的控制途徑2）系統(tǒng)中所有角色的關系結構可以是層次化的，便于管理。3）具有較好的提供最小權利的能力，從而提高了安全性。4）具有責任分離的能力。11.1訪問控制技術11.1.2訪問控制原理3．11.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念1．安全模型

Windows的安全模型由以下幾個關鍵部分構成：

1）登錄過程(LogonProcess，LP)。接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。

2）本地安全授權機構(LocalSecurityAuthority，LSA)。根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個安全子系統(tǒng)的核心。

3）安全賬號管理器(SecurityAccountManager，SAM)。維護賬號的安全性管理數(shù)據(jù)庫(SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫)。

4）安全引用監(jiān)視器(SecurityReferenceMonitor，SRM)。檢查存取合法性，防止非法存取和修改。

這幾部分在訪問控制的不同階段發(fā)揮了各自的作用。11.2Windows2000的訪問控制11.2.111.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念2．安全概念

1）安全標識(SecurityIdentifier，SID)：安全標識和賬號唯一對應，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。安全標識與對應的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。

2）訪問令牌(AccessToken)。當用戶登錄時，本地安全授權機構為用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標識等信息。

3）主體。用戶登錄到系統(tǒng)之后，本地安全授權機構為用戶構造一個訪問令牌，這個令牌與該用戶所有的操作相聯(lián)系，用戶進行的操作和訪問令牌一起構成一個主體。

4）對象、資源、共享資源。對象的實質是封裝了數(shù)據(jù)和處理過程的一系列信息集合體。資源是用于網(wǎng)絡環(huán)境的對象。共享資源是在網(wǎng)絡上共享的對象。

5）安全描述符（SecurityDescript）。Windows系統(tǒng)會為共享資源創(chuàng)建安全描述符，包含了該對象的一組安全屬性。11.2Windows2000的訪問控制11.2.1

安全描述符分為四個部分：

①所有者安全標識(OwnerSecurityID)。擁有該對象的用戶或者用戶組的SD。

②組安全標識(GroupSecurity)。

③自主訪問控制表(DiscretionaryAccessControlList，DAC)。該對象的訪問控制表，由對象的所有者控制。

④系統(tǒng)訪問控制表(SystemAccessControlList，ACL)。定義操作系統(tǒng)將產生何種類型的審計信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個訪問控制表(ACL)都由訪問控制項(AccessControlEntries，ACEs)組成，用來描述用戶或者組對對象的訪問或審計權限。ACEs有三種類型：AccessAllowed、AccessDenied和SystemAudit。前兩種用于自主訪問控制；后一種用于記錄安全日志。

11.2Windows2000的訪問控制11.2.1Windows的安全模型與基本概念2．安全概念(續(xù))

Cacls命令安全描述符分為四個部分：11.2Windows20

當一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID，并與其他賬號信息一起存入SAM數(shù)據(jù)庫。

每次用戶登錄時，登錄主機(通常為工作站)的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的服務器／域信息送給安全賬號管理器，安全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進行比較，如果匹配，服務器發(fā)給工作站允許訪問的信息，并返回用戶的安全標識和用戶所在組的安全標識，工作站系統(tǒng)為用戶生成一個進程。服務器還要記錄用戶賬號的特權、主目錄位置、工作站參數(shù)等信息。

然后，本地安全授權機構為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、安全標識等信息。此后用戶每新建一個進程，都將訪問令牌復制作為該進程的訪問令牌。

當用戶或者用戶生成的進程要訪問某個對象時，安全引用監(jiān)視器將用戶／進程的訪問令牌中的SID與對象安全描述符中的自主訪問控制表進行比較，從而決定用戶是否有權訪問對象。11.2Windows2000的訪問控制11.2.2Windows的訪問控制過程當一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個SID11.2Windows2000的訪問控制11.2.2Windows的訪問控制過程

資源的本地訪問權限共有以下六種，每一種權限都可設置為允許或拒絕。1）完全控制2）修改3）讀取及運行4）列出文件夾目錄5）讀取6）寫入

資源的共享訪問權限共有以下四種：1）完全控制2）讀取3）更改4）拒絕訪問11.2Windows2000的訪問控制11.2.211.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置1．用戶管理

刪除所有不需要的賬號，禁用所有暫時不用的賬號。一定要禁用“guest”用戶。重命名系統(tǒng)默認的管理員“Administrator”，然后再創(chuàng)建一個名為“Administrator”的用戶，并分配給這個新用戶一個復雜無比的口令，最后不讓它屬于任何組。2．使用NTFS文件系統(tǒng)

FAT32無法提供用戶所需的針對于本地的單個文件與目錄的權限設置。NTFS格式是服務器必須的，使用FAT32文件系統(tǒng)沒有安全性可言。3．不讓系統(tǒng)顯示上次登錄的用戶名

通過修改“管理工具”中的“本地安全策略”的相應選項或修改系統(tǒng)注冊表來實現(xiàn)。

11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))4．禁止建立空連接

默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。通過修改“管理工具”中的“本地安全策略”的相應選項或修改系統(tǒng)注冊表來實現(xiàn)。

5．打開安全審核

Windows2000的安全審計功能在默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等。設置“本地安全策略”中“本地策略”的“審核策略”，建議設置如下：審核策略設置賬戶登錄事件成功，失敗賬戶管理成功，失敗登錄事件成功，失敗對象訪問失敗策略更改成功，失敗特權使用成功，失敗系統(tǒng)事件失敗11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))

6．關閉不必要和危險的系統(tǒng)服務

安裝好Windows2000后，一般開放了數(shù)十項系統(tǒng)或應用服務，做為一個管理員，應該知道各種服務都是做什么用的，例如有人入侵后須及時發(fā)現(xiàn)是否運行了一些入侵者留下的服務。管理方法是打開“管理工具”>“服務”，根據(jù)要求啟動/停止相應的服務?？蓞⒄崭戒?。7．修改終端服務的默認端口

如有必要才需要此操作，默認為3389，可隨意修改為1～65535的端口。鍵值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．網(wǎng)卡的端口篩選

具體情況配置。通過網(wǎng)卡“屬性”-“TCP/IP協(xié)議屬性”-“高級”-“選項”-“TCP/IP篩選屬性”來設置。根據(jù)服務器開啟的應用服務，添加相應的TCP、UDP端口或IP協(xié)議。如一臺服務器只作Web和Email服務器，則可只允許80、110和25端口。11.2Windows2000的訪問控制11.2.311.2Windows2000的訪問控制11.2.3Windows2000Server系統(tǒng)安全設置(續(xù))

9．IIS安全配置

IIS安全操作步驟：配置“開始”—“程序”-“管理工具”-“Internet服務管理器”。刪除“默認站點”的站點。默認的IIS發(fā)布目錄為C:\Inetpub，請將這個目錄刪除。在d盤或e盤新建一個目錄(目錄名隨意)，然后新建一個站點，將主目錄指向你新建的目錄。10．禁用不必要的網(wǎng)絡協(xié)議與網(wǎng)絡共享

建議在網(wǎng)絡屬性中關閉“Microsoft網(wǎng)絡客戶端”和“Microsoft網(wǎng)絡文件與打印機共享”的選項。

建議去掉系統(tǒng)的默認共享?？赏ㄟ^Net命令、“計算機管理”或修改注冊表實現(xiàn)。11．其它建議仔細查看“本地安全策略”、“計算機管理”及“組策略”等相關組件的功能，了解這些組件對系統(tǒng)安全的影響。11.2Windows2000的訪問控制11.2.311.3安全審計技術11.3.1安全審計概述

審計是對訪問控制的必要補充，是訪問控制的一個重要內容。審計會對用戶使用何種信息資源、使用的時間，以及如何使用（執(zhí)行何種操作）進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責任追查和數(shù)據(jù)恢復非常有必要。

審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權用戶的侵害，同時還能幫助恢復數(shù)據(jù)。11.3安全審計技術11.3.1安全審計概述11.3安全審計技術11.3.2審計內容

審計跟蹤可以實現(xiàn)多種安全相關目標，包括個人職能、事件重建、入侵檢測和故障分析。

1）個人職能（individualaccountability）

審計跟蹤是管理人員用來維護個人職能的技術手段。如果用戶被知道他們的行為活動被記錄在審計日志中，相應的人員需要為自己的行為負責，他們就不太會違反安全策略和繞過安全控制措施。

2）事件重建（reconstructionofevents）

在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。

3）入侵檢測（intrusiondetection）

審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預防入侵檢測活動。4）故障分析（problemanalysis）審計跟蹤可以用于實時審計或監(jiān)控。11.3安全審計技術11.3.2審計內容11.3安全審計技術11.3.3安全審計的目標

計算機安全審計機制的目標如下：

1)應為安全人員提供足夠多的信息，使他們能夠定位問題所在；但另一方面，提供的信息應不足以使他們自己也能夠進行攻擊。

2)應優(yōu)化審計追蹤的內容，以檢測發(fā)現(xiàn)的問題，而且必須能從不同的系統(tǒng)資源收集信息。

3)應能夠對一個給定的資源(其他用戶也被視為資源)進行審計分析，分辨看似正常的活動，以發(fā)現(xiàn)內部計算機系統(tǒng)的不正當使用；

4)設計審計機制時，應將系統(tǒng)攻擊者的策略也考慮在內。

概括而言，審計系統(tǒng)的目標至少包括：確定和保持系統(tǒng)活動中每個人的責任；確認重建事件的發(fā)生；評估損失；臨測系統(tǒng)問題區(qū)；提供有效的災難恢復依據(jù)；提供阻止不正當使用系統(tǒng)行為的依據(jù)；提供案件偵破證據(jù)。

11.3安全審計技術11.3.3安全審計的目標11.3安全審計技術11.3.4安全審計系統(tǒng)

審計通過對所關心的事件進行記錄和分析來實現(xiàn)。因此審計過程包括審計發(fā)生器、日志記錄器、日志分析器和報告機制幾部分。1．日志的內容

通常，對于一個事件，日志應包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)、事件和源和目的的位置、事件類型、事件成敗等。2．安全審計的記錄機制

不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調用Syslog來記錄日志，也可以用SNMP記錄。11.3安全審計技術11.3.4安全審計系統(tǒng)11.3安全審計技術11.3.4安全審計