訪問控制和系統(tǒng)審計(jì)

第7章訪問控制和系統(tǒng)審計(jì)7.1計(jì)算機(jī)安全等級(jí)的劃分7.2訪問控制7.3系統(tǒng)審計(jì)1（ITSEC）（TCSEC）（CTCPEC）FC2除了國(guó)際通用準(zhǔn)則cc外,國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委也已經(jīng)制訂了上百項(xiàng)安全標(biāo)準(zhǔn)，其中包括專門針對(duì)銀行業(yè)務(wù)制訂的信息安全標(biāo)準(zhǔn)。國(guó)際電信聯(lián)盟和歐洲計(jì)算機(jī)制造商協(xié)會(huì)也推出了許多安全標(biāo)準(zhǔn)。

37.1計(jì)算機(jī)安全等級(jí)的劃分

CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E641985年，美國(guó)國(guó)防部發(fā)表了《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》(縮寫為TCSEC)

，它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了四類七個(gè)安全等級(jí)（從低到高，依次是D、C1、C2、B1、B2、B3和A1級(jí)。）,隨著安全等級(jí)的提高，系統(tǒng)的可信度隨之增加，風(fēng)險(xiǎn)逐漸減少。5七個(gè)安全等級(jí)四個(gè)安全等級(jí)：無(wú)保護(hù)級(jí)(D1)自主保護(hù)級(jí)(C1,C2)強(qiáng)制保護(hù)級(jí)(B1,B2,B3)驗(yàn)證保護(hù)級(jí)(A1)6

●D級(jí)——最低安全保護(hù)(MinimalProtection)。沒有任何安全性防護(hù)，整個(gè)系統(tǒng)不可信。對(duì)于硬件來(lái)說(shuō)，無(wú)任何保護(hù)；對(duì)于操作系統(tǒng)來(lái)說(shuō)，容易受到損害；對(duì)于用戶及其訪問權(quán)限來(lái)說(shuō)，沒有身份認(rèn)證。例：如DOS和Windows95/98等操作系統(tǒng)。

7●C1級(jí)——自主安全保護(hù)(DiscretionarySecurityProtection)。通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力,是一種粗粒度安全保護(hù),具有以下特點(diǎn)：用戶與數(shù)據(jù)分離；有效的任意訪問控制機(jī)制，以便用戶保護(hù)自己的數(shù)據(jù)，但是這種訪問控制較粗，一般以組為單位進(jìn)行，用戶進(jìn)行分組并注冊(cè)后才能使用,而且對(duì)這種訪問控制機(jī)制并不進(jìn)行嚴(yán)格的檢驗(yàn)評(píng)估；防止對(duì)訪問控制機(jī)制進(jìn)行纂改的能力；允許用戶決定何時(shí)使用訪問控制機(jī)制，何時(shí)不用，以及允許用戶決定對(duì)哪個(gè)客體或哪組客體進(jìn)行訪問.該安全級(jí)別典型的有標(biāo)準(zhǔn)Unix8

●?C2級(jí)——可控訪問保護(hù)(ControledAccessProtection)。比C1級(jí)具有更細(xì)粒度的自主訪問控制,C2級(jí)計(jì)算機(jī)系統(tǒng)通過(guò)注冊(cè)過(guò)程控制、審計(jì)安全相關(guān)事件以及資源隔離，使單個(gè)用戶為其行為負(fù)責(zé)，每個(gè)主體對(duì)每個(gè)客體的每次訪問或訪問企圖都必須能予以審計(jì)跟蹤；達(dá)到C2級(jí)的常見操作系統(tǒng)有：UNIX、SCOUNIX、XENIX、Novell3.X、WindowsNT。

9所有的B級(jí)(B1、B2、B3)系統(tǒng)都應(yīng)具有強(qiáng)制訪問控制機(jī)制?！?/p>

B1級(jí)——標(biāo)識(shí)的安全保護(hù)(LabeledSecurityProtection)。在C2的基礎(chǔ)上，支持多級(jí)安全，可以使一個(gè)處于強(qiáng)制性訪問控制下的對(duì)象，不允許其所有者改變其權(quán)限。如為每個(gè)控制主體和客體分配了一個(gè)相應(yīng)的安全級(jí)別,不同組的成員不能訪問對(duì)方創(chuàng)建的客體，但管理員許可的除外,管理員不能取得客體的所有權(quán)。WindowsNT的定制版本可以達(dá)到B1級(jí)。政府機(jī)構(gòu)與防御系統(tǒng)是B1級(jí)計(jì)算機(jī)系統(tǒng)的主要擁有者。10●?B2級(jí)——結(jié)構(gòu)化保護(hù)(StructuredProtection)。在B1的基礎(chǔ)上，要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個(gè)或多個(gè)安全級(jí)別。它是提供較高安全級(jí)別的對(duì)象與較低安全級(jí)別的對(duì)象相通信的第一個(gè)級(jí)別。在設(shè)計(jì)B2級(jí)系統(tǒng)時(shí)，應(yīng)提出一個(gè)合理的總體設(shè)計(jì)方案，設(shè)計(jì)方案應(yīng)具有明確的模塊化和結(jié)構(gòu)化特征；系統(tǒng)設(shè)計(jì)應(yīng)遵循最小授權(quán)原則；訪問控制機(jī)制應(yīng)對(duì)所有主體和客體予以保護(hù)；應(yīng)對(duì)系統(tǒng)進(jìn)行隱秘通道分析，并堵塞所有發(fā)現(xiàn)的隱秘通道；系統(tǒng)應(yīng)具有完整性訪問控制機(jī)制；系統(tǒng)的設(shè)計(jì)及代碼實(shí)現(xiàn)必須完全通過(guò)檢驗(yàn)和測(cè)試，測(cè)試的結(jié)果必須保證系統(tǒng)完全實(shí)現(xiàn)了總體設(shè)計(jì)方案；在系統(tǒng)運(yùn)行過(guò)程中，應(yīng)有專人負(fù)責(zé)系統(tǒng)中訪問控制策略的設(shè)置和實(shí)施，而系統(tǒng)的操作員僅僅承擔(dān)與系統(tǒng)后續(xù)操作有關(guān)的職責(zé)。

銀行的金融系統(tǒng)通常達(dá)到B2級(jí)。11

●?B3級(jí)——安全域保護(hù)(SecurityDomain)。在B2的基礎(chǔ)上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。12●?A1級(jí)——驗(yàn)證設(shè)計(jì)(VerifiedDesign)。最高級(jí)別，包含較低級(jí)別的所有特性。包含一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。設(shè)計(jì)必須經(jīng)過(guò)數(shù)學(xué)上的理論驗(yàn)證，而且必須對(duì)加密通道和可信任分布進(jìn)行分析。13我國(guó)的安全等級(jí)劃分1999年9月13日，我國(guó)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859–1999)，定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)(第一級(jí)到第五級(jí))。實(shí)際上，國(guó)標(biāo)中將國(guó)外的最低級(jí)D級(jí)和最高級(jí)A1級(jí)取消，余下的分為五級(jí)。TCSEC中的B1級(jí)與GB17859的第三級(jí)對(duì)應(yīng)。●第一級(jí)：用戶自主保護(hù)級(jí)；●第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；●第三級(jí)：安全標(biāo)記保護(hù)級(jí)；●第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；●第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。147.2訪問控制

7.2.1訪問控制的概念

原始概念——

是對(duì)進(jìn)入系統(tǒng)的控制(用戶標(biāo)識(shí)+口令/生物特性/訪問卡)

一般概念——

是針對(duì)越權(quán)使用資源的防御措施

15訪問控制的目的是為了限制訪問主體（用戶、進(jìn)程、服務(wù)等）對(duì)訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用,決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。1617保護(hù)域X<文件A，{讀，寫}><文件B，{讀，寫}><打印機(jī)，{寫}>保護(hù)域Y<文件C，{讀}>圖有重疊的保護(hù)域保護(hù)域每一主體(進(jìn)程)都在一特定的保護(hù)域下工作，保護(hù)域規(guī)定了進(jìn)程可以訪問的資源。每一域定義了一組客體及可以對(duì)客體采取的操作。可對(duì)客體操作的能力稱為訪問權(quán)(AccessRight),訪問權(quán)定義為有序?qū)Φ男问?87.2.2訪問控制的一般策略19

訪問控制的策略

—自主訪問控制

（DiscretionaryAccessControl,DAC,又稱任意訪問控制)

特點(diǎn)：

根據(jù)主體的身份和授權(quán)來(lái)決定訪問模式。具有某種訪問權(quán)限主體(用戶)能夠自主地將訪問權(quán)限授予其它的主體。缺點(diǎn)：信息在移動(dòng)過(guò)程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。20在各種以自主訪問控制機(jī)制進(jìn)行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對(duì)客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行,在一些系統(tǒng)中該模式還需要同時(shí)擁有讀模式；空模式(null)，即主體對(duì)客體不具有任何的存取權(quán)。21r讀wx寫執(zhí)行r讀wx寫執(zhí)行r讀wx寫執(zhí)行屬主組內(nèi)其它在許多操作系統(tǒng)當(dāng)中，對(duì)文件或者目錄的訪問控制是通過(guò)把各種用戶分成三類來(lái)實(shí)施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)。22訪問控制的策略

—強(qiáng)制訪問控制

(MandatoryAccessControl,MAC)

特點(diǎn)：

1.將主體和客體分級(jí)，根據(jù)主體和客體的級(jí)別標(biāo)記來(lái)決定訪問模式。如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí)。2.強(qiáng)制：系統(tǒng)強(qiáng)制主體服從訪問控制策略上。即由系統(tǒng)（系統(tǒng)管理員）決定一個(gè)用戶對(duì)某個(gè)客體能否進(jìn)行訪問。用戶和他們的進(jìn)程不能修改這些屬性。只有當(dāng)主體的敏感等級(jí)高于或者等于客體的等級(jí)時(shí)，訪問才是允許，否則將拒絕訪問。23在MAC系統(tǒng)當(dāng)中，所有的訪問決策都是由系統(tǒng)作出，而不像自由訪問控制當(dāng)中由用戶自行決定。24用戶的敏感標(biāo)簽指定了該用戶的敏感等級(jí)或者信任等級(jí)，也被稱為安全許可(Clearance)；文件的敏感標(biāo)簽則說(shuō)明了要訪問該文件的用戶所必須具備的信任等級(jí)。敏感標(biāo)簽由兩個(gè)部分組成：類別(Classification)和類集合(Compartments)(有時(shí)也稱為隔離間)。例如:SECRET[VENUS,TANK,ALPHA]Classification

Categories25對(duì)某個(gè)客體是否允許訪問的決策將由以下三個(gè)因素決定：(1)主體的標(biāo)簽，即你的安全許可：TOPSECRET[VENUSTANKALPHA](2)客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下：SECRET[VENUSALPHA](3)訪問請(qǐng)求，例如你試圖讀該文件。當(dāng)你試圖訪問LOGISTIC文件時(shí)，系統(tǒng)會(huì)比較你的安全許可和文件的標(biāo)簽從而決定是否允許你讀該文件。26強(qiáng)制訪問控制系統(tǒng)確定讀和寫規(guī)則的判斷準(zhǔn)則：只有當(dāng)主體的敏感等級(jí)高于或等于客體的等級(jí)時(shí)，訪問才是允許的，否則將拒絕訪問。根據(jù)主體和客體的敏感等級(jí)和讀寫關(guān)系可以有以下四種組合：(1)下讀(ReadDown)：主體級(jí)別大于客體級(jí)別的讀操作；(2)上寫(WriteUp)：主體級(jí)別低于客體級(jí)別的寫操作；(3)下寫(WriteDown)：主體級(jí)別大于客體級(jí)別的寫操作；(4)上讀(ReadUp)：主體級(jí)別低于客體級(jí)別的讀操作。

27訪問控制的策略 —基于角色的訪問控制(Role-BasedAccessControl,RBAC)基于角色的訪問控制的核心思想：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定，所謂“角色”，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色與組的區(qū)別

組 ： 用戶集 角色 ： 用戶集＋權(quán)限集主體角色客體28基于角色的訪問控制有以下五個(gè)特點(diǎn):

1)以角色作為訪問控制的主體用戶以什么樣的角色對(duì)資源進(jìn)行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。

292)角色繼承

“角色繼承”:定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色繼承把角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。

30角色繼承可以用祖先關(guān)系圖來(lái)表示，圖中角色2是角色1的“父親”，它包含角色1的屬性和權(quán)限。處于最上面的角色擁有最大的訪問權(quán)限，越下端的角色擁有的權(quán)限越小。角色3角色4角色2角色1包含包含包含313)最小特權(quán)原則(LeastPrivilegeTheorem)最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。最小特權(quán):“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)的必不可少的特權(quán)”。最小特權(quán)原則:“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確保由于可能的事故、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。也就是說(shuō),

最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。

32實(shí)現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項(xiàng)工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。在基于角色的訪問控制中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當(dāng)一個(gè)主體需訪問某資源時(shí)，如果該操作不在主體當(dāng)前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。33最小特權(quán)原則:

一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。344)職責(zé)分離(主體與角色的分離)

“職責(zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式:

靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。

動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。355)角色容量在創(chuàng)建新的角色時(shí)，要指定角色的容量:在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。367.2.3訪問控制的一般實(shí)現(xiàn)機(jī)制和方法一般實(shí)現(xiàn)機(jī)制——基于訪問控制屬性

——〉訪問控制表/矩陣

基于用戶和資源分級(jí)（“安全標(biāo)簽”） ——〉多級(jí)訪問控制常見實(shí)現(xiàn)方法——訪問控制表（ACL)訪問能力表（Capabilities)授權(quán)關(guān)系表37SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute訪問控制實(shí)現(xiàn)方法

——訪問控制矩陣

按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容38userAOwnRWOuserB

R

OuserCRWOObj1訪問控制實(shí)現(xiàn)方法

——訪問控制表(ACL)39訪問控制實(shí)現(xiàn)方法

——訪問能力表(CL)Obj1OwnRWOObj2

R

OObj3

RWOUserA40訪問控制實(shí)現(xiàn)方法

——授權(quán)關(guān)系表UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2417.3系統(tǒng)審計(jì)審計(jì)及審計(jì)跟蹤

審計(jì)(Audit)是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程，它是一個(gè)被信任的機(jī)制，也是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及其以上安全級(jí)別的計(jì)算機(jī)系統(tǒng)來(lái)講，審計(jì)功能是其必備的安全機(jī)制。審計(jì)是其它安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過(guò)程，從身份認(rèn)證到訪問控制這些都離不開審計(jì)。同時(shí)，審計(jì)還是后來(lái)人們研究的入侵檢測(cè)系統(tǒng)的前提。42

審計(jì)跟蹤(AuditTrail)是系統(tǒng)活動(dòng)的記錄。即它是運(yùn)用操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)提供的審計(jì)模塊的功能或其它專門程序，對(duì)系統(tǒng)的使用情況建立日志記錄，以便實(shí)時(shí)地監(jiān)控、報(bào)警或事后分析、統(tǒng)計(jì)、報(bào)告，是一種通過(guò)事后追查來(lái)保證系統(tǒng)安全的技術(shù)手段。審計(jì)跟蹤可用來(lái)實(shí)現(xiàn)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)問題區(qū)；提供有效的災(zāi)難恢復(fù)；阻止系統(tǒng)的不正當(dāng)使用等。43審計(jì)過(guò)程的實(shí)現(xiàn)：第一步，收集并判斷事件是否是審計(jì)事件，產(chǎn)生審計(jì)記錄；第二步，根據(jù)記錄進(jìn)行安全事件的分析；第三步，采取處理措施（報(bào)警并記錄，逐出系統(tǒng)并記錄其內(nèi)容，生成記錄報(bào)告等）。44安全審計(jì)分類

1、按照審計(jì)對(duì)象分類，安全審計(jì)可分為三種：

(1)網(wǎng)絡(luò)審計(jì)。包括對(duì)網(wǎng)絡(luò)信息內(nèi)容和協(xié)議的分析；

(2)主機(jī)審計(jì)。包括對(duì)系統(tǒng)資源，如打印機(jī)、Modem、系統(tǒng)文件、注冊(cè)表文件等的使用進(jìn)行事前控制和事后取證，形成重要的日志文件。

(3)應(yīng)用系統(tǒng)審計(jì)。對(duì)各類應(yīng)用系統(tǒng)的審計(jì)，如對(duì)各類數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行審計(jì)。

452、按照審計(jì)方式分類，安全審計(jì)可分為三種：

(1)人工審計(jì)：由審計(jì)員查看審計(jì)記錄