訪問控制技術(shù)

第5章訪問控制技術(shù)第一頁，共六十一頁。本章學習目標訪問控制的三個要素、7種策略、內(nèi)容、模型訪問控制的安全策略與安全級別安全審計的類型、與實施有關的問題日志的審計WindowsNT操作系統(tǒng)中的訪問控制與安全審計第二頁，共六十一頁。5.1訪問控制概述訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。網(wǎng)絡的訪問控制技術(shù)是通過對訪問的申請、批準和撤銷的全過程進行有效的控制，從而確保只有合法用戶的合法訪問才能給予批準，而且相應的訪問只能執(zhí)行授權(quán)的操作。訪問控制是計算機網(wǎng)絡系統(tǒng)安全防范和保護的重要手段，是保證網(wǎng)絡安全最重要的核心策略之一，也是計算機網(wǎng)絡安全理論基礎重要組成部分。第三頁，共六十一頁。5.1.1訪問控制的定義訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問。訪問控制包括三個要素，即主體、客體和控制策略。主體S（Subject）是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是某個用戶，也可以是用戶啟動的進程、服務和設備?？腕wO（Object）是接受其他實體訪問的被動實體?？腕w的概念也很廣泛，凡是可以被操作的信息、資源、對象都可以認為是客體。在信息社會中，客體可以是信息、文件、記錄等的集合體，也可以是網(wǎng)路上的硬件設施，無線通信中的終端，甚至一個客體可以包含另外一個客體。第四頁，共六十一頁。控制策略控制策略A（Attribution）是主體對客體的訪問規(guī)則集，即屬性集合。訪問策略實際上體現(xiàn)了一種授權(quán)行為，也就是客體對主體的權(quán)限允許。訪問控制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機網(wǎng)絡系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。為達到上述目的，訪問控制需要完成以下兩個任務：識別和確認訪問系統(tǒng)的用戶。決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問第五頁，共六十一頁。7種訪問控制策略入網(wǎng)訪問控制。網(wǎng)絡的權(quán)限控制。目錄級安全控制。屬性安全控制。網(wǎng)絡服務器安全控制。網(wǎng)絡監(jiān)測和鎖定控制。網(wǎng)絡端口和節(jié)點的安全控制。第六頁，共六十一頁。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。用戶口令應是每用戶訪問網(wǎng)絡所必須提交的“證件”、用戶可以修改自己的口令，用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網(wǎng)絡應能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡的訪問“資費”用盡時，網(wǎng)絡還應能對用戶的賬號加以限制，用戶此時應無法進入網(wǎng)絡訪問網(wǎng)絡資源。網(wǎng)絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

第七頁，共六十一頁。PPT內(nèi)容概述第5章訪問控制技術(shù)。當用戶對交費網(wǎng)絡的訪問“資費”用盡時，網(wǎng)絡還應能對用戶的賬號加以限制，用戶此時應無法進入網(wǎng)絡訪問網(wǎng)絡資源。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。一個網(wǎng)絡管理員應當為用戶指定適當?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務器的訪問。屬性安全控制

當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。用戶對網(wǎng)絡資源的訪問權(quán)限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。這種措施可以是忽略可審計事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等第八頁，共六十一頁。權(quán)限控制

網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（irm）可作為兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡服務器的目錄、文件和設備。繼承權(quán)限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權(quán)限可以用訪問控制表來描述。第九頁，共六十一頁。目錄級安全控制

網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對文件或目標的有效權(quán)限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡管理員應當為用戶指定適當?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。第十頁，共六十一頁。屬性安全控制

當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權(quán)限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力。屬性設置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。

第十一頁，共六十一頁。服務器安全控制

網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。第十二頁，共六十一頁。網(wǎng)絡監(jiān)測和鎖定控制網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡，網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該帳戶將被自動鎖定。(守護神：★在管理者與被管理者之間建立監(jiān)控關系★全屏幕及多畫面實時在線跟蹤

★類似監(jiān)控錄象機制的增量圖象過程監(jiān)控，能夠?qū)⑷勘槐O(jiān)控端的活動記錄用錄象的形式保存下來，以便管理者進行分析查找?！镙斎朐O備的鎖定控制，管理者可以通過對鍵盤、鼠標等計算機輸入設備的鎖定來限制被監(jiān)控端的活動★遠程文件管理管理者能夠通過NUMEN系統(tǒng)對任何計算機上的任何文件進行操作★發(fā)送/廣播消息管理者能夠通過NUMEN向全部或部分計算機發(fā)送消息信息★管理數(shù)據(jù)分析體系通過NUMEN的管理數(shù)據(jù)分析體系，可以將所有被監(jiān)控端的計算機活動進行數(shù)字量化，從而可以掌握一個時間段內(nèi)的被監(jiān)控段的活動狀態(tài)?。?/p>

第十三頁，共六十一頁。網(wǎng)絡端口和節(jié)點的安全控制

網(wǎng)絡中服務器的端口往往使用自動回呼設備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證。

第十四頁，共六十一頁。5.1.2訪問控制矩陣訪問控制系統(tǒng)三個要素之間的行為關系可以用一個訪問控制矩陣來表示。對于任意一個si∈S，oj∈O，都存在相應的一個aij∈A，且aij=P（si，oj），其中P是訪問權(quán)限的函數(shù)。aij代表si可以對oj執(zhí)行什么樣的操作。訪問控制矩陣如下：其中，Si（i=0，1，…，m）是主體對所有客體的權(quán)限集合，Oj（j=0，1，…，n）是客體對所有主體的訪問權(quán)限集合第十五頁，共六十一頁。5.1.3訪問控制的內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權(quán)操作進行管理。所以，訪問控制包括認證、控制策略實現(xiàn)和審計三個方面的內(nèi)容。認證：包括主體對客體的識別認證和客體對主體檢驗認證?？刂撇呗缘木唧w實現(xiàn)：如何設定規(guī)則集合從而確保正常用戶對信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對于合法用戶而言，更不能越權(quán)行使控制策略所賦予其權(quán)利以外的功能。安全審計：使系統(tǒng)自動記錄網(wǎng)絡中的“正?！辈僮?、“非正?！辈僮饕约笆褂脮r間、敏感信息等。審計類似于飛機上的“黑匣子”，它為系統(tǒng)進行事故原因查詢、定位、事故發(fā)生前的預測、報警以及為事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。第十六頁，共六十一頁。5.2訪問控制模型自主訪問控制模型強制訪問控制模型基于角色的訪問控制模型其他訪問控制模型基于任務的訪問控制模型基于對象的訪問控制模型第十七頁，共六十一頁。5.2.1自主訪問控制模型自主訪問控制模型（DiscretionaryAccessControlModel，DACModel）是根據(jù)自主訪問控制策略建立的一種模型，它基于對主體或主體所屬的主體組的識別來限制對客體的訪問，也就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。自主訪問控制又稱為任意訪問控制，一個主體的訪問權(quán)限具有傳遞性。為了實現(xiàn)完整的自主訪問系統(tǒng)，DAC模型一般采用訪問控制表來表達訪問控制信息。訪問控制表（AccessControlList，ACL）是基于訪問控制矩陣中列的自主訪問控制。它在一個客體上附加一個主體明細表，來表示各個主體對這個客體的訪問權(quán)限。明細表中的每一項都包括主體的身份和主體對這個客體的訪問權(quán)限。對系統(tǒng)中一個需要保護的客體oj附加的訪問控制表的結(jié)構(gòu)如圖所示。第十八頁，共六十一頁。Ojs0rs1ws2e……sxrwe對于客體oj，主體s0只有讀（r）的權(quán)限；主體s1只有寫（w）的權(quán)限；主體s2只有執(zhí)行（e）的權(quán)限；主體sx具有讀（r）、寫（w）和執(zhí)行（e）的權(quán)限。但是，在一個很大的系統(tǒng)中，可能會有非常多的主體和客體，這就導致訪問控制表非常長，占用很多的存儲空間，而且訪問時效率下降。使用組（group）或者通配符可以有效地縮短表的長度。用戶可以根據(jù)部門結(jié)構(gòu)或者工作性質(zhì)被分為有限的幾類。同一類用戶使用的資源基本上是相同的。因此，可以把一類用戶作為一個組，分配一個組名，簡稱“GN”，訪問時可以按照組名判斷。通配符“*”可以代替任何組名或者主體標識符。這時，訪問控制表中的主體標識為：主體標識=ID?GN。其中，ID是主體標識符，GN是主體所在組的組名。第十九頁，共六十一頁。帶有組和通配符的訪問控制表示例上圖的第二列表示，屬于TEACH組的所有主體都對客體oj具有讀和寫的權(quán)限；但是只有TEACH組中的主體Cai才額外具有執(zhí)行的權(quán)限（第一列）；無論是哪一組中的Li都可以讀客體oj（第三列）；最后一個表項（第四列）說明所有其他的主體，無論屬于哪個組，都不具備對oj有任何訪問權(quán)限。第二十頁，共六十一頁。5.2.2強制訪問控制模型自主訪問控制的最大特點是自主，即資源的擁有者對資源的訪問策略具有決策權(quán)，因此是一種限制比較弱的訪問控制策略。這種方式給用戶帶來靈活性的同時，也帶來了安全隱患。和DAC模型不同的是，強制訪問控制模型（MandatoryAccessControlModel，MACModel）是一種多級訪問控制策略，它的主要特點是系統(tǒng)對主體和客體實行強制訪問控制：系統(tǒng)事先給所有的主體和客體指定不同的安全級別，比如絕密級、機密級、秘密級和無密級。在實施訪問控制時，系統(tǒng)先對主體和客體的安全級別進行比較，再決定主體能否訪問該客體。所以，不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。第二十一頁，共六十一頁。

在強制訪問控制模型中，將安全級別進行排序，如按照從高到低排列，規(guī)定高級別可以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。這種訪問可以是讀，也可以是寫或修改。主體對客體的訪問主要有4種方式：向下讀（rd，readdown）。主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作。向上讀（ru，readup）。主體安全級別低于客體信息資源的安全級別時允許的讀操作。向下寫（wd，writedown）。主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。向上寫（wu，writeup）。主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。第二十二頁，共六十一頁。由于MAC通過將安全級別進行排序?qū)崿F(xiàn)了信息的單向流通，因此它一直被軍方采用。MAC模型中最主要的三種模型為：Lattice模型、BellLaPadula模型（BLPModel）和Biba模型（BibaModel）。在這些模型中，信息的完整性和保密性是分別考慮的，因而對讀、寫的方向進行了反向規(guī)定。保障信息完整性策略。為了保障信息的完整性，低級別的主體可以讀高級別客體的信息（不保密），但低級別的主體不能寫高級別的客體（保障信息完整），因此采用的是上讀/下寫策略。保障信息機密性策略。與保障完整性策略相反，為了保障信息的保密性，低級別的主體不可以讀高級別的信息（保密），但低級別的主體可以寫高級別的客體（完整性可能破壞），因此采用的是下讀/上寫策略。第二十三頁，共六十一頁。5.2.3基于角色的訪問控制模型在上述兩種訪問控制模型中，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進行。然而在具體實現(xiàn)時，往往不能滿足實際需求。主要問題在于：同一用戶在不同的場合需要以不同的權(quán)限訪問系統(tǒng)，而變更權(quán)限必須經(jīng)系統(tǒng)管理員授權(quán)修改，因此很不方便。當用戶量大量增加時，系統(tǒng)管理將變得復雜、工作量急劇增加，容易出錯。不容易實現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當同一用戶在不同場合處在不同的權(quán)限層次時，系統(tǒng)管理很難實現(xiàn)。除非同一用戶以多個用戶名注冊。但是如果企業(yè)的組織結(jié)構(gòu)或是系統(tǒng)的安全需求出于變化的過程中時，那么就需要進行大量繁瑣的授權(quán)變動，系統(tǒng)管理員的工作將變得非常繁重，更主要的是容易發(fā)生錯誤造成一些意想不到的安全漏洞。第二十四頁，共六十一頁。角色的概念在基于角色的訪問控制模型中，角色（role）定義為與一個特定活動相關聯(lián)的一組動作和責任。系統(tǒng)中的主體擔任角色，完成角色規(guī)定的責任，具有角色擁有的權(quán)限。一個主體可以同時擔任多個角色，它的權(quán)限就是多個角色權(quán)限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權(quán)來盡可能實現(xiàn)主體的最小權(quán)限。最小權(quán)限指主體在能夠完成所有必需的訪問工作基礎上的最小權(quán)限。第二十五頁，共六十一頁。基于角色的訪問控制原理基于角色的訪問控制就是通過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制的，如圖所示。用戶先經(jīng)認證后獲得一個角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機制檢查角色的權(quán)限，并決定是否允許訪問。第二十六頁，共六十一頁。5.2.4其他訪問控制模型1、基于任務的訪問控制模型（TaskbasedAccessControlModel，TBACModel）。TBAC是從應用和企業(yè)層角度來解決安全問題，以面向任務的觀點，從任務（活動）的角度來建立安全模型和實現(xiàn)安全機制，在任務處理的過程中提供動態(tài)實時的安全管理。其訪問控制策略及其內(nèi)部組件關系一般由系統(tǒng)管理員直接配置，支持最小特權(quán)原則和最小泄漏原則，在執(zhí)行任務時只給用戶分配所需的權(quán)限，未執(zhí)行任務或任務終止后用戶不再擁有所分配的權(quán)限；而且在執(zhí)行任務過程中，當某一權(quán)限不再使用時，將自動收回該權(quán)限。第二十七頁，共六十一頁。2．基于對象的訪問控制模型基于對象的訪問控制模型（ObjectBasedAccessControlModel，OBACModel）。OBAC模型從受控對象的角度出發(fā)，將主體的訪問權(quán)限直接與受控對象相關聯(lián)，一方面定義對象的訪問控制表，增、刪、修改訪問控制項易于操作；另一方面，當受控對象的屬性發(fā)生改變，或者受控對象發(fā)生繼承和派生行為時，無須更新訪問主體的權(quán)限，只需要修改受控對象的相應訪問控制項即可，從而減少了主體的權(quán)限管理，減輕了由于信息資源的派生、演化和重組等帶來的分配、設定角色權(quán)限等的工作量。第二十八頁，共六十一頁。5.3訪問控制的安全策略

與安全級別訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略和基于規(guī)則的安全策略。這兩種安全策略建立的基礎都是授權(quán)行為。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于規(guī)則的安全策略等同于MAC安全策略。第二十九頁，共六十一頁。5.3.1安全策略實施原則：訪問控制安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開。最小特權(quán)原則。是指主體執(zhí)行操作時，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。最小特權(quán)原則的優(yōu)點是最大限度地限制了主體實施授權(quán)行為，可以避免來自突發(fā)事件、錯誤和未授權(quán)主體的危險。也就是說，為了達到一定目的，主體必須執(zhí)行一定操作，但他只能做他所被允許做的，其他除外。最小泄漏原則。是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。多級安全策略。是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級別的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級別（U）5級來劃分。多級安全策略的優(yōu)點是避免敏感信息的擴散。具有安全級別的信息資源，只有安全級別比它高的主體才能夠訪問。第三十頁，共六十一頁?；谏矸莸陌踩呗曰谏矸莸陌踩呗允沁^濾對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體的資源?；谏矸莸陌踩呗园ɑ趥€人的策略和基于組的策略，主要有兩種基本的實現(xiàn)方法，分別為能力表和訪問控制表?；趥€人的策略?；趥€人的策略是指以用戶個人為中心建立的一種策略，由一些列表組成。這些列表針對特定的客體，限定了哪些用戶可以實現(xiàn)何種安全策略的操作行為?；诮M的策略?；诮M的策略是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。第三十一頁，共六十一頁?；谝?guī)則的安全策略基于規(guī)則的安全策略中的授權(quán)通常依賴于敏感性。在一個安全系統(tǒng)中，數(shù)據(jù)或資源應該標注安全標記。代表用戶進行活動的進程可以得到與其原發(fā)者相應的安全標記。在實現(xiàn)上，由系統(tǒng)通過比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶進行訪問。第三十二頁，共六十一頁。5.3.2安全級別安全級別有兩個含義，一個是主、客體系統(tǒng)資源的安全級別，分為有層次的安全級別和無層次的安全級別；另一個是訪問控制系統(tǒng)實現(xiàn)的安全級別，這和《可信計算機系統(tǒng)評估標準》的安全級別是一樣的，分為D，C（C1，C2），B（B1，B2，B3）和A共4類7級，由低到高。第三十三頁，共六十一頁。5.4安全審計計算機網(wǎng)絡安全審計是通過一定的策略，利用記錄和分析系統(tǒng)活動和用戶活動的歷史操作事件，按照順序檢查、審查和檢驗每個事件的環(huán)境及活動，其中系統(tǒng)活動包括操作系統(tǒng)和應用程序進程的活動；用戶活動包括用戶在操作系統(tǒng)中和應用程序中的活動，如用戶使用何種資源、使用的時間、執(zhí)行何種操作等方面，發(fā)現(xiàn)系統(tǒng)的漏洞并改進系統(tǒng)的性能和安全。審計是計算機網(wǎng)絡安全的重要組成部分。第三十四頁，共六十一頁。5.4.1安全審計概述安全審計的目標：對潛在的攻擊者起到震懾和警告的作用；對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追究責任的證據(jù)，評估損失，提供有效的災難恢復依據(jù)；為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。第三十五頁，共六十一頁。安全審計的類型有三種：系統(tǒng)級審計、應用級審計和用戶級審計。系統(tǒng)級審計。系統(tǒng)級審計的內(nèi)容主要包括登錄（成功和失?。?、登錄識別號、每次登錄嘗試的日期和時間、每次退出的日期和時間、所使用的設備、登錄后運行的內(nèi)容（如用戶啟動應用的嘗試，無論成功或失?。５湫偷南到y(tǒng)級日志還包括和安全無關的信息，如系統(tǒng)操作、費用記賬和網(wǎng)絡性能。應用級審計。系統(tǒng)級審計可能無法跟蹤和記錄應用中的事件，也可能無法提供應用和數(shù)據(jù)擁有者需要的足夠的細節(jié)信息。通常，應用級審計的內(nèi)容包括打開和關閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。用戶級審計。用戶級審計的內(nèi)容通常包括：用戶直接啟動的所有命令、用戶所有的鑒別和認證嘗試、用戶所訪問的文件和資源等方面。第三十六頁，共六十一頁。安全審計系統(tǒng)的基本結(jié)構(gòu)安全審計是通過對所關心的事件進行記錄和分析來實現(xiàn)的，因此審計過程包括審計發(fā)生器、日志記錄器、日志分析器和報告機制幾部分，如圖所示。系統(tǒng)事件安全事件應用事件網(wǎng)絡事件其他事件審計發(fā)生器審計發(fā)生器審計發(fā)生器審計發(fā)生器審計發(fā)生器日志

記錄器日志

分析器審計分析報告日志文件審計策略

和規(guī)則…第三十七頁，共六十一頁。5.4.2日志的審計日志的內(nèi)容：日志系統(tǒng)可根據(jù)安全要求的強度選擇記錄下列事件的部分或全部：審計功能的啟動和關閉。使用身份驗證機制。將客體引入主體的地址空間。刪除客體。管理員、安全員、審計員和一般操作人員的操作。其他專門定義的可審計事件。通常，對于一個事件，日志應包括事件發(fā)生的日期和時間、引發(fā)事件的用戶（地址）、事件和源及目的的位置、事件類型、事件成敗等。第三十八頁，共六十一頁。安全審計的記錄機制不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可以由操作系統(tǒng)完成，也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調(diào)用Syslog來記錄日志，也可以用SNMP記錄。Syslog由Syslog守護程序、Syslog規(guī)則集及Syslog系統(tǒng)調(diào)用三部分組成。日志素材Syslog系統(tǒng)調(diào)用Syslog守護程序Syslog規(guī)則集日志記錄

系統(tǒng)第三十九頁，共六十一頁。日志分析日志分析就是在日志中尋找模式，主要內(nèi)容如下：潛在侵害分析。日志分析應能用一些規(guī)則去監(jiān)控審計事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵。這種規(guī)則可以是由己定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合，或者其他規(guī)則。基于異常檢測的輪廓。日志分析應確定用戶正常行為的輪廓，當日志中的事件違反正常訪問行為的輪廓，或超出正常輪廓一定的門限時，能指出將要發(fā)生的威脅。簡單攻擊探測。日志分析應對重大威脅事件的特征有明確的描述，當這些攻擊現(xiàn)象出現(xiàn)時，能及時指出。復雜攻擊探測。要求高的日志分析系統(tǒng)還應能檢測到多步入侵序列，當攻擊序列出現(xiàn)時，能預測其發(fā)生步驟第四十頁，共六十一頁。審計事件查閱由于審計系統(tǒng)是追蹤、恢復的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計系統(tǒng)的安全主要是查閱和存儲的安全。審計事件的查閱應該受到嚴格的限制，不能篡改日志。通常通過以下不同的層次保證查閱的安全：審計查閱。審計系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。有限審計查閱。審計系統(tǒng)只能提供對內(nèi)容的讀權(quán)限，因此應拒絕具有讀以外權(quán)限的用戶訪問審計系統(tǒng)可選審計查閱。在有限審計查閱的基礎上限制查閱的范圍。第四十一頁，共六十一頁。審計事件存儲審計事件的存儲也有安全要求，具體有如下幾種情況。受保護的審計蹤跡存儲。即要求存儲系統(tǒng)對日志事件具有保護功能，防止未授權(quán)的修改和刪除，并具有檢測修改/刪除的能力。審計數(shù)據(jù)的可用性保證。在審計存儲系統(tǒng)遭受意外時，能防止或檢測審計記錄的修改，在存儲介質(zhì)存滿或存儲失敗時，能確保記錄不被破壞。防止審計數(shù)據(jù)丟失。在審計蹤跡超過預定的門限或記滿時，應采取相應的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等。第四十二頁，共六十一頁。5.4.3安全審計的實施為了確保審計數(shù)據(jù)的可用性和正確性，審計數(shù)據(jù)需要受到保護，因為不正確的數(shù)據(jù)也是沒用的。而且，如果不對日志數(shù)據(jù)進行及時審查，規(guī)劃和實施得再好的審計也會失去價值。審計應該根據(jù)需要（經(jīng)常由安全事件觸發(fā)）定期審查、自動實時審查或兩者兼而有之。系統(tǒng)管理人員和系統(tǒng)管理員應該根據(jù)計算機安全管理的要求確定需要維護多長時間的審計數(shù)據(jù)，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。與實施有關的問題包括：保護審計數(shù)據(jù)、審查審計數(shù)據(jù)和用于審計分析的工具。第四十三頁，共六十一頁。1．保護審計數(shù)據(jù)訪問在線審計日志必須受到嚴格限制。計算機安全管理人員和系統(tǒng)管理員或職能部門經(jīng)理出于檢查的目的可以訪問，但是維護邏輯訪問功能的安全管理人員沒有必要訪問審計日志。防止非法修改以確保審計跟蹤數(shù)據(jù)的完整性尤其重要。使用數(shù)字簽名是實現(xiàn)這一目標的一種途徑。另一類方法是使用只讀設備。入侵者會試圖修改審計跟蹤記錄以掩蓋自己的蹤跡是審計跟蹤文件需要保護的原因之一。使用強訪問控制是保護審計跟蹤記錄免受非法訪問的有效措施。當牽涉到法律問題時，審計跟蹤信息的完整性尤為重要（這可能需要每天打印和簽署日志）。此類法律問題應該直接咨詢相關法律顧問。審計跟蹤信息的機密性也需要受到保護，如審計跟蹤所記錄的用戶信息可能包含諸如交易記錄等不宜披露的個人信息。強訪問控制和加密在保護機密性方面非常有效第四十四頁，共六十一頁。2．審查審計數(shù)據(jù)審計跟蹤的審查和分析可以分為在事后檢查、定期檢查或?qū)崟r檢查。審查人員應該知道如何發(fā)現(xiàn)異?；顒?。如果可以通過用戶識別碼、終端識別碼、應用程序名、日期時間或其他參數(shù)組來檢索審計跟蹤記錄并生成所需的報告，那么審計跟蹤檢查就會比較容易。事后檢查。定期檢查。實時檢查。第四十五頁，共六十一頁。3．審計工具審計精選工具。此類工具用于從大量的數(shù)據(jù)中精選出有用的信息以協(xié)助人工檢查。在安全檢查前，此類工具可以剔除大量對安全影響不大的信息。這類工具通?？梢蕴蕹商囟愋褪录a(chǎn)生的記錄，如由夜間備份產(chǎn)生的記錄將被剔除。趨勢/差別探測工具。此類工具用于發(fā)現(xiàn)系統(tǒng)或用戶的異?；顒印？梢越⑤^復雜的處理機制以監(jiān)控系統(tǒng)使用趨勢和探測各種異?；顒?。例如，如果用戶通常在上午9點登錄，但卻有一天在凌晨4點半登錄，這可能是一件值得調(diào)查的安全事件。攻擊特征探測工具。此類工具用于查找攻擊特征，通常一系列特定的事件表明有可能發(fā)生了非法訪問嘗試。一個簡單的例子是反復進行失敗的登錄嘗試。第四十六頁，共六十一頁。5.5WindowsNT中的訪問控制

與安全審計5.5.1WindowsNT中的訪問控制1．WindowsNT的安全模型WindowsNT采用的是微內(nèi)核（Microkernel）結(jié)構(gòu)和模塊化的系統(tǒng)設計。有的模塊運行在底層的內(nèi)核模式上，有的模塊則運行在受內(nèi)核保護的用戶模式上。第四十七頁，共六十一頁。WindowsNT的安全模型

由4部分構(gòu)成登錄過程（LogonProcess，LP）：接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。本地安全授權(quán)機構(gòu)（LocalSecurityAuthority，LSA）：根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個安全子系統(tǒng)的核心。安全賬號管理器（SecurityAccountManager，SAM）：維護賬號的安全性管理的數(shù)據(jù)庫。安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）：檢查存取合法性，防止非法存取和修改。這4部分在訪問控制的不同階段發(fā)揮各自不同的作用。第四十八頁，共六十一頁。2．WindowsNT的訪問控制過程（1）創(chuàng)建賬號。當一個賬號被創(chuàng)建時，WindowsNT系統(tǒng)為它分配一個安全標識（SID）。安全標識和賬號惟一對應，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。安全標識與對應的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。（2）登錄過程（LP）控制。每次用戶登錄時，用戶應輸入用戶名、口令和用戶希望登錄的服務器/域等信息，登錄主機把這些信息傳送給系統(tǒng)的安全賬號管理器，安全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進行比較，如果匹配，服務器發(fā)給客戶機或工作站允許訪問的信息，記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息，并返回用戶的安全標識和用戶所在組的安全標識。工作站為用戶生成一個進程。（3）創(chuàng)建訪問令牌。當用戶登錄成功后，本地安全授權(quán)機構(gòu)（LSA）為用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標識等信息。以后用戶每新建一個進程，都將訪問并復制令牌作為該進程的訪問令牌。（4）訪問對象控制。當用戶或者用戶生成的進程要訪問某個對象時，安全引用監(jiān)視器（SRM）將用戶/進程的訪問令牌中的安全標識（SID）與對象安全描述符（是NT為共享資源創(chuàng)建的一組安全屬性，包括所有者安全標識、組安全標識、自主訪問控制表、系統(tǒng)訪問控制表和訪問控制項）中的自主訪問控制表進行比較，從而決定用戶是否有權(quán)訪問該對象。在這個過程中應該注意：安全標識（SID）對應賬號的整個有效期，而訪問令牌只對應某一次賬號登錄。第四十九頁，共六十一頁。5.5.2WindowsNT中的安全審計WindowsNT的三個日志文件的物理位置如下：系統(tǒng)日志：包含所有系統(tǒng)相關事件的信息。%systemroot%\system32\config\sysevent.evt安全日志：包括有關通過NT可識別安全提供者和客戶的系統(tǒng)訪問信息。%systemroot%\system32\config\secevent.evt應用程序日志：包括用NTSecurityauthority注冊的應用程序產(chǎn)生的信息。%systemroot%\system32\config\appevent.evt第五十頁，共六十一頁。NT審計子系統(tǒng)結(jié)構(gòu)幾乎WindowsNT系統(tǒng)中的每一項事務都可以在一定程度上被審計，在WindowsNT中可以在Explorer和Usermanager兩個地方打開審計。在Explorer中，選擇Security，再選擇Auditing以激活DirectoryAuditing對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。在Usermanager中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略，如登錄和退出、文件訪問、權(quán)限非法和關閉系統(tǒng)等。WindowsNT使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件瀏覽器（Eventviewer）讀取。事件瀏覽器可以在Administrativetool程序組中找到。系統(tǒng)管理員可以使用事件瀏覽器的Filter選項根據(jù)一定條件選擇要查看的日志條目。查看條件包括類別、用戶和消息類型。第五十一頁，共六十一頁。審計日志的記錄格式WindowsNT的審計日志由一系列的事件記錄組成。每一個事件記錄分為三個功能部分：頭、事件描述和可選的附加數(shù)據(jù)項。下圖顯示了一個事件記錄的結(jié)構(gòu)。記錄頭數(shù)據(jù)時間用戶名計算機名事件ID源類型種類事件描述可變內(nèi)容，依賴于事件，可以是問題的文本解釋和糾正措施的建議附加數(shù)據(jù)附加域。如果采用的話，包含以字節(jié)或字顯示的二進制數(shù)據(jù)及事件記錄的源應用產(chǎn)生的信息第五十二頁，共六十一頁。NT事件日志管理特征WindowsNT提供了大量特征給系統(tǒng)管理員去管理操作系統(tǒng)事件日志機制。例如，管理員能限制日志的大小并規(guī)定當文件達到容量上限時，如何去處理這些文件。選項包括：用新記錄去沖掉最老的記錄，停止系統(tǒng)直到事件日志被手工清除。當系統(tǒng)開始運行時，系統(tǒng)和應用事件日志也自動開始。當日志文件滿并且系統(tǒng)配置規(guī)定它們必須被手工清除時，日志停止。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動。利用NT的用戶管理器，可以設置安全審計規(guī)則。要啟用安全審計的功能，只需在“規(guī)則”菜單下選擇“審計”，然后通過查看NT記錄的安全事件日志中的安全性事件，即可以跟蹤所選用戶的操作。第五十三頁，共六十一頁。NT安全日志的審計策略NT的審計規(guī)則如下（既可以審計成功的操作，又可以審計失敗的操作）：（l）登錄及注銷。登錄及注銷或連接到網(wǎng)絡。（2）用戶及組管理。創(chuàng)建、更改或刪除用戶賬號或組，重命名、禁止或啟用用戶號，設置和更改密碼。（3）文件及對象訪問。對訪問的用戶，訪問的文件、目錄、對象進行審計。如果設置用于打印審計的系統(tǒng)發(fā)送打印用戶及打印作業(yè)的消息，審計通過后才能打印。（4）安全性規(guī)則更改。對用戶權(quán)利、審計或委托關系規(guī)則的改動。（5）重新啟動、關機及系統(tǒng)級事件。（6）進程跟蹤。這些事件提供了關于事件的詳細跟蹤信息，如程序活動、某些形式句柄的復制、間接對象的訪問和退出進程。對于“文