访问控制和系统审计

1、1第第7章章 访问控制和系统审计访问控制和系统审计 7.1 计算机安全等级的划分计算机安全等级的划分 7.2 访问控制访问控制 7.3 系统审计系统审计2（ITSEC）（TCSEC）（CTCPEC）FC3除了国际除了国际通用准则通用准则cccc外外, , 国际标准化组织和国际国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。许多安全标准。 47.1 计算机安全等级的划分计算

2、机安全等级的划分CCCCTCSECTCSECITSECITSEC- -D DE0E0EAL1EAL1- - -EAL2EAL2C1C1E1E1EAL3EAL3C2C2E2E2EAL4EAL4B1B1E3E3EAL5EAL5B2B2E4E4EAL6EAL6B3B3E5E5EAL7EAL7A1A1E6E651985年，美国国防部发表了年，美国国防部发表了可信计算机评估准可信计算机评估准则则(缩写为缩写为TCSEC) ，它依据处理的信息等级，它依据处理的信息等级采取的相应对策，划分了采取的相应对策，划分了四类七个四类七个安全等级安全等级（从低到高，依次是（从低到高，依次是D、C1、C2、B1、B2、

3、B3和和A1级。）级。）,随着安全等级的提高，系统的随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。可信度随之增加，风险逐渐减少。6七个七个安全等级安全等级四个安全等级：四个安全等级：无保护级无保护级(D1)自主保护级自主保护级(C1,C2)强制保护级强制保护级(B1,B2 ,B3)验证保护级验证保护级(A1)7 D级级最低安全保护最低安全保护(Minimal Protection)。没有任何没有任何安全性防护，整个系统不可信。安全性防护，整个系统不可信。对于硬件来说，无任何保对于硬件来说，无任何保护；对于操作系统来说，容易受到损害；对于用户及其访护；对于操作系统来说，容易受到损害；对

4、于用户及其访问权限来说，没有身份认证。例：问权限来说，没有身份认证。例：如如DOS和和Windows 95/98等操作系统。等操作系统。 8C1C1级级自主安全保护自主安全保护(Discretionary Security (Discretionary Security Protection)Protection)。通过隔离用户与数据，使用户具备自主安通过隔离用户与数据，使用户具备自主安全保护的能力全保护的能力, ,是一种粗粒度安全保护是一种粗粒度安全保护, , 具有以下特点：具有以下特点：用户与数据分离；用户与数据分离；有效的任意访问控制机制，以便用户保护自己的有效的任意访问控制机制，以便用

5、户保护自己的数据，但是这种访问控制较粗，一般以数据，但是这种访问控制较粗，一般以组组为单位为单位进行，进行，用户进行分组并注册后才能使用用户进行分组并注册后才能使用, ,而且对而且对这种访问控制机制并这种访问控制机制并不不进行进行严格的检验评估严格的检验评估；防止对访问控制机制进行纂改的能力；防止对访问控制机制进行纂改的能力；允许用户决定何时使用访问控制机制，何时不用，允许用户决定何时使用访问控制机制，何时不用，以及允许用户决定对哪个客体或哪组客体进行访以及允许用户决定对哪个客体或哪组客体进行访问问. .该安全级别典型的有该安全级别典型的有 标准标准UnixUnix9 C2级级可控访问保护可控

6、访问保护(Controled Access Protection)。比比C1C1级具有级具有更细粒度更细粒度的自主访问控制的自主访问控制, C2, C2级计算机系统通过注级计算机系统通过注册过程控制、册过程控制、审计审计安全相关事件以及安全相关事件以及资源隔离资源隔离，使，使单个用户单个用户为其行为负责为其行为负责，每个主体对每个客体的每次访问或访问企图每个主体对每个客体的每次访问或访问企图都必须能予以审计跟踪；都必须能予以审计跟踪；达到达到C2级的常见操作系统有：级的常见操作系统有：UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。 10所有的所有的B B

7、级级(B1(B1、B2B2、B3)B3)系统都应具有系统都应具有强制访问控强制访问控制制机制。机制。 B1级级标识的安全保护标识的安全保护(Labeled Security Protection)。在在C2的基础上，的基础上，支持多级安全，可以使一个处于强制性访支持多级安全，可以使一个处于强制性访问控制下的对象，不允许其所有者改变其权限。问控制下的对象，不允许其所有者改变其权限。如如为每个为每个控制主体和客体分配了一个相应的安全级别控制主体和客体分配了一个相应的安全级别,不同组的成员不同组的成员不能访问对方创建的客体，但管理员许可的除外不能访问对方创建的客体，但管理员许可的除外,管理员不管理员

8、不能取得客体的所有权。能取得客体的所有权。Windows NT的定制版本可以达到的定制版本可以达到B1级。级。政府机构与防御系统是政府机构与防御系统是B1级计算机系统的主要拥有级计算机系统的主要拥有者。者。11 B2级级结构化保护结构化保护(Structured Protection)。在。在B1的基础上，的基础上，要求计要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级

9、别。安全级别的对象相通信的第一个级别。 在设计在设计B2级系统时，应提出一个合理的总体设计方案，设计方级系统时，应提出一个合理的总体设计方案，设计方案应具有明确的模块化和结构化特征；案应具有明确的模块化和结构化特征； 系统设计应遵循最小授权原则；系统设计应遵循最小授权原则； 访问控制机制应对所有主体和客体予以保护；访问控制机制应对所有主体和客体予以保护； 应对系统进行隐秘通道分析，并堵塞所有发现的隐秘通道；应对系统进行隐秘通道分析，并堵塞所有发现的隐秘通道； 系统应具有完整性访问控制机制；系统应具有完整性访问控制机制； 系统的设计及代码实现必须完全通过检验和测试，测试的结果系统的设计及代码实现

10、必须完全通过检验和测试，测试的结果必须保证系统完全实现了总体设计方案；必须保证系统完全实现了总体设计方案； 在系统运行过程中，应有专人负责系统中访问控制策略的设置在系统运行过程中，应有专人负责系统中访问控制策略的设置和实施，而系统的操作员仅仅承担与系统后续操作有关的职责。和实施，而系统的操作员仅仅承担与系统后续操作有关的职责。银行的金融系统通常达到银行的金融系统通常达到B2级。级。12 B3级级安全域保护安全域保护(Security Domain)。在。在B2的基的基础上，增加以下要求：系统有自己的执行域，不受外础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地

11、址空间从而界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。实现隔离。13 A1级级验证设计验证设计(Verified Design)。最高级别，包含较低级别的所有特性。最高级别，包含较低级别的所有特性。包含一个严格的设计、控制和验证过程。包含一个严格的设计、控制和验证过程。设计必须经过数学上的理论验证，而且设计必须经过数学上的理论验证，而且必须对加密通道和可信任分布进行分析。必须对加密通道和可信任分布进行分析。14我国的安全等级划分我国的安全等级划分 1999年年9月月13日，我国颁布了日，我国颁布了计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则(GB178591

12、999)，定义了计算机信息系统安全保，定义了计算机信息系统安全保护能力的护能力的五个等级五个等级(第一级到第五级第一级到第五级)。实际上，国标中将国。实际上，国标中将国外的最低级外的最低级D级和最高级级和最高级A1级取消，余下的分为五级。级取消，余下的分为五级。TCSEC中的中的B1级与级与GB17859的第三级对应。的第三级对应。 第一级：用户自主保护级；第一级：用户自主保护级； 第二级：系统审计保护级；第二级：系统审计保护级； 第三级：安全标记保护级；第三级：安全标记保护级； 第四级：结构化保护级；第四级：结构化保护级； 第五级：访问验证保护级。第五级：访问验证保护级。157.2 访访 问

13、问 控控 制制7.2.1 访问控制的概念访问控制的概念原始概念原始概念是对进入系统的控制是对进入系统的控制( (用户标识用户标识+ +口令口令/ /生生物特性物特性/ /访问卡访问卡) )一般概念一般概念是针对越权使用资源的防御措施是针对越权使用资源的防御措施16访问控制的目的访问控制的目的 是为了限制是为了限制访问主体访问主体（用户、进程、服务等）（用户、进程、服务等）对对访问客体访问客体（文件、系统等）（文件、系统等）的访问权限，从的访问权限，从而使计算机系统在合法范围内使用而使计算机系统在合法范围内使用, ,决定用户决定用户能做什么，也决定代表一定用户利益的程序能能做什么，也决定代表一定

14、用户利益的程序能做什么。做什么。1718保护域保护域 X 保护域保护域 Y 图图 有重叠的保护域有重叠的保护域保护域保护域每一主体每一主体( (进程进程) )都在一特定的都在一特定的保护域保护域下工作，下工作，保护域规定保护域规定了进程可以访问的资源。了进程可以访问的资源。每一域定义了一组客体及可以每一域定义了一组客体及可以对客体采取的操作。对客体采取的操作。可对客体操作的能力称为访问权可对客体操作的能力称为访问权(Access Right),(Access Right),访问权定访问权定义为有序对的形式义为有序对的形式197.2.2 访问控制的一般策略访问控制的一般策略20 访问控制的策略访

15、问控制的策略 自主访问控制自主访问控制（Discretionary Access Control ,DAC,Discretionary Access Control ,DAC,又称任意访问控制又称任意访问控制) )特点：特点： 根据主体的身份和授权来决定访问模式。根据主体的身份和授权来决定访问模式。具有某具有某种访问权限主体种访问权限主体( (用户用户) )能够能够自主自主地将访问权限授予地将访问权限授予其它的主体。其它的主体。缺点：缺点： 信息在移动过程中其访问权限关系会被改变。如用户信息在移动过程中其访问权限关系会被改变。如用户A A可可将其对目标将其对目标O O的访问权限传递给用户的访问

16、权限传递给用户B,B,从而使不具备对从而使不具备对O O访问访问权限的权限的B B可访问可访问O O。21 在各种以自主访问控制机制进行访问控制的系统中，在各种以自主访问控制机制进行访问控制的系统中，存存取模式主要有：取模式主要有： 读读(read)，即允许主体对客体进行即允许主体对客体进行读和拷贝读和拷贝的操作；的操作； 写写(write)，即允许主体即允许主体写入或修改写入或修改信息，包信息，包括扩展、压缩及删除等；括扩展、压缩及删除等； 执行执行(execute)，就是允许将客体作为一种可就是允许将客体作为一种可执行文件执行文件运行运行,在一些系统中该模式还需要同在一些系统中该模式还需要

17、同时拥有时拥有读读模式；模式； 空模式空模式(null)，即主体对客体即主体对客体不具有任何不具有任何的存的存取权。取权。 22r读读wx写写执行执行r读读wx写写执行执行r读读wx写写执行执行属主属主组内组内其它其它 在许多操作系统当中，对文件或者目录的访问控制是通在许多操作系统当中，对文件或者目录的访问控制是通过把各种用户分成三类来实施的：过把各种用户分成三类来实施的：属主属主(self)、同组的、同组的其它用户其它用户(group)和其它用户和其它用户(public)。23访问控制的策略访问控制的策略强制访问控制强制访问控制 (Mandatory Access Control,MAC)(

18、Mandatory Access Control,MAC)特点：特点： 1.将主体和客体分级，根据主体和客体的级别标记来决定将主体和客体分级，根据主体和客体的级别标记来决定 访问模式。访问模式。如，绝密级，机密级，秘密级，无密级。如，绝密级，机密级，秘密级，无密级。 2.强制：强制：系统强制主体服从访问控制策略上。即系统强制主体服从访问控制策略上。即由由系统（系系统（系统管理员）统管理员）决定一个用户对某个客体能否进行访问。用户和决定一个用户对某个客体能否进行访问。用户和他们的进程不能修改这些属性。只有当主体的敏感等级高于他们的进程不能修改这些属性。只有当主体的敏感等级高于或者等于客体的等级时

19、，访问才是允许，否则将拒绝访问。或者等于客体的等级时，访问才是允许，否则将拒绝访问。24在在MAC系统当中，系统当中，所有的访问决策都是由系统作出，而所有的访问决策都是由系统作出，而不像自由访问控制当中由用户自行决定不像自由访问控制当中由用户自行决定。25 用户的用户的敏感标签敏感标签指定了该用户的敏感等级或者信任等指定了该用户的敏感等级或者信任等级，也被称为级，也被称为安全许可安全许可(Clearance)； 文件的敏感标签则说明了要访问该文件的用户所必须文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。具备的信任等级。 敏感标签由两个部分组成：敏感标签由两个部分组成：类别类别(

20、Classification)和和类集类集合合(Compartments)(有时也称为隔离间有时也称为隔离间)。例如。例如:SECRET VENUS, TANK, ALPHAClassification Categories26对某个客体是否允许访问的决策将由以下三个因素决定：对某个客体是否允许访问的决策将由以下三个因素决定： (1) 主体的标签主体的标签，即你的安全许可：，即你的安全许可： TOP SECRET VENUS TANK ALPHA (2) 客体的标签客体的标签，例如文件，例如文件LOGISTIC的敏感标签如下：的敏感标签如下： SECRET VENUS ALPHA (3) 访问

21、请求访问请求，例如你试图读该文件。，例如你试图读该文件。 当你试图访问当你试图访问LOGISTIC文件时，系统会比较你的安全许可和文件文件时，系统会比较你的安全许可和文件的标签从而决定是否允许你读该文件。的标签从而决定是否允许你读该文件。27强制访问控制系统确定读和写规则的强制访问控制系统确定读和写规则的判断准则判断准则：只有当主体的只有当主体的敏感等级高于或等于客体的等级时，访问才是允许的，否则敏感等级高于或等于客体的等级时，访问才是允许的，否则将拒绝访问。将拒绝访问。根据主体和客体的敏感等级和读写关系可以有以下根据主体和客体的敏感等级和读写关系可以有以下四种组合四种组合：(1) 下读下读(

22、Read Down)：主体级别大于客体级别的读操作；：主体级别大于客体级别的读操作；(2) 上写上写(Write Up)：主体级别低于客体级别的写操作；：主体级别低于客体级别的写操作；(3) 下写下写(Write Down)：主体级别大于客体级别的写操作；：主体级别大于客体级别的写操作；(4) 上读上读(Read Up)：主体级别低于客体级别的读操作。：主体级别低于客体级别的读操作。 28访问控制的策略访问控制的策略 基于角色的访问控制基于角色的访问控制 (Role-Based Access Control,RBAC)(Role-Based Access Control,RBAC)基于角色的访

23、问控制的核心思想：基于角色的访问控制的核心思想：授权给用户的访问权限通授权给用户的访问权限通常由用户在一个组织中担当的角色来确定，常由用户在一个组织中担当的角色来确定，所谓所谓“角色角色”，是指一个或一群用户在组织内可执行的操作的集合。是指一个或一群用户在组织内可执行的操作的集合。角色与组的区别角色与组的区别组组：用户集用户集角色角色 ： 用户集权限集用户集权限集主体主体角色角色客体客体29基于角色的访问控制有以下五个特点基于角色的访问控制有以下五个特点: 1) 以角色作为访问控制的主体以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决用户以什么样的角色对资源进行访问，决定了用户拥

24、有的权限以及可执行何种操作。定了用户拥有的权限以及可执行何种操作。 302) 角色继承角色继承 “ “角色继承角色继承”: : 定义的各类角色，它们都有定义的各类角色，它们都有自己的属性，但可能还继承其它角色的属性和自己的属性，但可能还继承其它角色的属性和权限。角色继承把角色组织起来，能够很自然权限。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。地反映组织内部人员之间的职权、责任关系。 31角色继承可以用角色继承可以用祖先关系图祖先关系图来表示，图中角色来表示，图中角色2是角是角色色1的的“父亲父亲”，它包含角色，它包含角色1的属性和权限。的属性和权限。处处于最上面

25、的角色拥有最大的访问权限，越下端的于最上面的角色拥有最大的访问权限，越下端的角色拥有的权限越小。角色拥有的权限越小。角色角色3角色角色4角色角色2角色角色1包含包含包含包含包含包含32 3) 最小特权原则最小特权原则(Least Privilege Theorem)最小特权原则最小特权原则是系统安全中是系统安全中最基本的原则最基本的原则之一。之一。最小特权最小特权: “在完成某种操作时所赋予网络中每个主在完成某种操作时所赋予网络中每个主体体(用户或进程用户或进程)的必不可少的特权的必不可少的特权”。最小特权原则最小特权原则: “应限定网络中每个主体所必须的最应限定网络中每个主体所必须的最小特权

26、，确保由于可能的事故、错误、网络部件小特权，确保由于可能的事故、错误、网络部件的篡改等原因造成的损失最小的篡改等原因造成的损失最小”。也就是说也就是说, 最小特权原则是指用户所拥有的权利不最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限。能超过他执行工作时所需的权限。 33 实现最小权限原则，需分清用户的工作内容，确定执实现最小权限原则，需分清用户的工作内容，确定执行该项工作的行该项工作的最小权限集最小权限集，然后将用户限制在这些权，然后将用户限制在这些权限范围之内。限范围之内。 在在基于角色的访问控制基于角色的访问控制中，可以根据组织内的规章制中，可以根据组织内的规章制度、度、

27、职员的分工等职员的分工等设计拥有不同权限的角色设计拥有不同权限的角色，只有角，只有角色执行所需要的才授权给角色。色执行所需要的才授权给角色。 当一个主体需访问某资源时，如果该操作不在主体当一个主体需访问某资源时，如果该操作不在主体当当前前所扮演的角色授权操作之内，该访问将被拒绝。所扮演的角色授权操作之内，该访问将被拒绝。34q 最小特权原则最小特权原则:v 一方面一方面给予给予主体主体“必不可少必不可少”的特权，这就的特权，这就保证保证了所有的主体都能在所赋予的特权之下完成所需了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；要完成的任务或操作；v另一方面，它另一方面，它只给予只给

28、予主体主体“必不可少必不可少”的特权，的特权，这就这就限制限制了每个主体所能进行的操作。了每个主体所能进行的操作。35 4) 职责分离职责分离(主体与角色的分离主体与角色的分离)“职责分离职责分离”可以有可以有静态和动态静态和动态两种实现方式两种实现方式: 静态职责分离：静态职责分离：只有当一个角色与用户所属的其它只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。角色彼此不互斥时，这个角色才能授权给该用户。 动态职责分离：动态职责分离：只有当一个角色与一主体的任何一只有当一个角色与一主体的任何一个个当前活跃角色当前活跃角色都不互斥时，该角色才能成为该主体都不互斥时，该角

29、色才能成为该主体的另一个活跃角色。的另一个活跃角色。36 5) 角色容量角色容量在创建新的角色时，要指定角色的容量在创建新的角色时，要指定角色的容量: 在在一个特定的时间段内，有一些角色只能由一个特定的时间段内，有一些角色只能由一定人数的用户一定人数的用户占用。占用。377.2.3 访问控制的一般实现机制和方法访问控制的一般实现机制和方法一般实现机制一般实现机制 基于访问控制属性基于访问控制属性 访问控制表访问控制表/矩阵矩阵 基于用户和资源分级（基于用户和资源分级（“安全标签安全标签”） 多级访问控制多级访问控制常见实现方法常见实现方法 访问控制表（访问控制表（ACL)ACL) 访问能力表（

30、访问能力表（Capabilities)Capabilities) 授权关系表授权关系表38SubjectsObjectsS1S2S3O1O2O3 Read/writeWriteRead Execute访问控制实现方法访问控制实现方法访问控制矩阵访问控制矩阵 按列看是按列看是访问控制表访问控制表内容内容 按行看是按行看是访问能力访问能力表内容表内容39userAOwnRWOuserB R OuserCRWOObj1访问控制实现方法访问控制实现方法访问控制表访问控制表(ACL)(ACL)40访问控制实现方法访问控制实现方法访问能力表访问能力表(CL)(CL)Obj1OwnRWOObj2 R OOb

31、j3 RWOUserA41访问控制实现方法访问控制实现方法授权关系表授权关系表UserA Own Obj1UserA R Obj1UserA W Obj1UserA W Obj2UserA R Obj2427.3 系系 统统 审审 计计 审计及审计跟踪审计及审计跟踪 审计审计(Audit)是指是指产生、记录并检查产生、记录并检查按时间顺序排列的系统事件记按时间顺序排列的系统事件记录的过程，它是一个被信任的机制，也是计算机系统安全机制的一录的过程，它是一个被信任的机制，也是计算机系统安全机制的一个不可或缺的部分，对于个不可或缺的部分，对于C2及其以上安全级别及其以上安全级别的计算机系统来讲，的计

32、算机系统来讲，审计功能是其必备的安全机制。审计功能是其必备的安全机制。审计是其它安全机制的有力补充，审计是其它安全机制的有力补充，它贯穿计算机安全机制实现的整个它贯穿计算机安全机制实现的整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是过程，从身份认证到访问控制这些都离不开审计。同时，审计还是后来人们研究的入侵检测系统的前提。后来人们研究的入侵检测系统的前提。43 审计跟踪审计跟踪(Audit Trail) 是系统活动的记录。即它是运用操作系统、是系统活动的记录。即它是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专数据库管理系统、网络管理系统提供的审计模块的

33、功能或其它专门程序，门程序，对系统的使用情况建立日志记录对系统的使用情况建立日志记录，以便实时地监控、报，以便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统安警或事后分析、统计、报告，是一种通过事后追查来保证系统安全的技术手段。全的技术手段。审计跟踪可用来实现：审计跟踪可用来实现： 确定和保持系统活动中每个人的责任；确定和保持系统活动中每个人的责任； 重建事件；重建事件； 评估损失；评估损失； 监测系统问题区；监测系统问题区； 提供有效的灾难恢复；提供有效的灾难恢复； 阻止系统的不正当使用等。阻止系统的不正当使用等。44 审计过程的实现：审计过程的实现： 第一步，收集并判

34、断事件是否是审计事件，产第一步，收集并判断事件是否是审计事件，产生审计记录；生审计记录； 第二步，根据记录进行安全事件的分析；第二步，根据记录进行安全事件的分析； 第三步，采取处理措施第三步，采取处理措施（报警并记录，逐出系（报警并记录，逐出系统并记录其内容，生成记录报告等）统并记录其内容，生成记录报告等）。45安全审计分类安全审计分类1、按照审计对象分类，安全审计可分为三种：、按照审计对象分类，安全审计可分为三种：(1) 网络审计。网络审计。包括对网络信息内容和协议的分析；包括对网络信息内容和协议的分析；(2) 主机审计。主机审计。包括对系统资源，如打印机、包括对系统资源，如打印机、Modem、系统文件、注册表文件等的使用进行事前控制和事后系统文件、注册表文件等的使用进行事前控制和事后取证，形成重要的日志文件。取证，形成重要的日志文件。(3) 应用系统审计。应用系统审计。对各类应用系统的审计，如对各类对各类应用系统的审计，如对各类数据库系统进行审计。数据库系统进行审计。462、按照审计方式分类，安全审计可分为三种：、按照审计方式分类，安全审计可分为三种：(1) 人工审计：人工审计：由由审计员