访问控制审计备.ppt

上节的主要内容 认证的简介口令认证认证令牌X 509认证生物特征认证消息认证码 第七讲访问控制 审计 备份 主要内容 访问控制的简介访问控制的模型安全审计数据备份和恢复安全级别 访问控制的简介 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制 访问控制是指主体依据某种控制策略或权限对客体或资源进行的不同授权访问 身份认证是访问控制的前提条件 访问控制是应用系统不可缺少的重要部分 访问控制包含3个要素 主体 客体和控制策略 访问控制的相关概念 主体 Subject 是指一个提出请求或要求的实体 是动作的发起者 但不一定是动作的执行者 通常指用户或代表用户执行的程序 客体 Object 是指接受其它实体访问的被动实体 是规定需要保护的资源 又称作目标 既可以是信息 文件 记录 也可以是硬件设备 控制策略 是主体对客体的操作行为集和约束条件集 简单讲 控制策略是主体对客体的访问规则集 体现了一种授权行为 也就是客体对主体的权限允许 这种允许不得超过规则集 访问控制的目的 通过访问控制策略显式地准许或限制主体的访问能力及范围 从而有效的限制和管理合法用户对关键资源的访问 防止和追踪非法用户的侵入 以及合法用户的不慎操作等行为所对权威机构造成的破坏 访问控制是一个二元函数f 主体 客体 授权 访问控制与其他安全措施的关系模型 引用监视器 认证 访问控制 授权数据库 用户 目标 目标 目标 目标 目标 审计 安全管理员 访问控制模型基本组成 访问控制决策单元 访问控制分类 自主访问控制 DiscretionaryAccessControl 简称DAC 强制10访问控制 MandatoryAccessControl 简称MAC 基于角色的访问控制 RoleBasedAccessControl 简称RBAC 访问控制模型 自主访问控制 强制访问控制 基于角色访问控制 访问控制 自主访问控制简介 自主访问控制是指根据用户的身份或组成员身份 允许合法用户访问策略规定的客体 同时阻止非授权用户访问客体 某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户 根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 自主访问控制模型的应用 自主访问控制又称为任意访问控制 是一种常用的访问控制方式 UNIX WindowsSERVER版本的操作系统都提供自主访问控制的功能 在实现上 首先要对用户的身份进行鉴别 然后按照访问控制列表所赋予用户的权限 允许和限制用户使用客体的资源 主体控制权限的修改通常由特权用户 管理员 或是特权用户组实现 访问控制表 AcessControlList 以客体为中心建立的访问权限表 根据访问者 主体 的请求 客体信息 结合访问者身份在访问控制表中查找访问者的权限 判断访问者是否具有操作客体的能力 userAORWO userBRO userCRWO Obj1 访问能力表 AcessCapabilitiesList 以主体为中心建立访问权限表根据访问者 主体 的身份 结合请求 客体信息 信息在访问能力表中查找访问者的权限 判断访问者是否具有操作客体的能力 Obj1ORWO Obj2RO Obj3RWO UserA 实现举例 通过矩阵形式表示访问控制规则和授权用户权限的方法 对每个主体而言 都拥有对哪些客体的哪些访问权限 而对客体而言 又有哪些主体对他可以实施访问 将这种关连关系加以阐述 就形成了控制矩阵 特权用户或特权用户组可以修改主体的访问控制权限 如果主体和客体很多 控制矩阵将会成几何级数增长 会有大量的空余空间 Subjects Objects S1 S2 S3 O1 O2 O3 Read write Write Read Execute 按列看是访问控制表内容按行看是访问能力表内容 强制访问控制 根据客体的敏感度 用户是否在合适的安全级别进行操作和用户是否有访问客体的权限实现对客体的访问控制 主体和客体都被赋予一定的安全级别 如 绝密级 机密级 秘密级 无密级 用户不能改变自身和客体的安全级别 只有管理员才能够确定用户和组的访问权限 在实施访问控制时 系统先对访问主体和受控客体的安全级别属性进行比较 再决定访问主体能否访问该受控客体 强制访问控制模型的应用 强访问控制将安全级别进行排序 规定高级别可以单项访问低级别 也可以规定低级别单项访问高级别 下读 上写策略 保障信息机密性 上读 下写策略 保障信息完整性 自主 强制访问的问题 自主访问控制配置的粒度小配置的工作量大 效率低强制访问控制配置的粒度大缺乏灵活性例 1000主体访问10000客体须1000万次配置 如每次配置需1秒 每天工作8小时 就需10 000 000 3600 8 347 2天 基于角色的访问控制 RBAC 根据分配给主体的角色来管理访问和权限的处理过程 角色是与一个特定活动相关联的一组动作和责任 系统中主体担任角色 完成角色规定的责任 具有角色拥有的权利 一个主体可以同时担任多个角色 它的权限就是多个角色权限的总和 基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限 系统的访问控制机制只看到角色 而看不到用户 RBAC实现过程 基于角色访问控制的特点 提供灵活的授权管理途径 即改变客体的访问权限 改变角色的访问权限以及改变主体所担任的角色 灵活 高效的授权管理 企业的组织结构或系统的安全需求有变化 系统管理员只变更角色权限即可 角色的关系可以实现层次化 便于管理 可以用面向对象的方法 类和继承等概念 来表示角色之间层次关系 主体与客体无直接联系 角色由系统管理员定义 角色成员的增减也只能由系统管理员来执行 主体只有通过角色才享有的权限 从而访问相应的客体 安全审计 审计的简介审计跟踪概述审计内容 审计的需求 几乎所有的安全事件的查处和追踪依赖系统历史事件记录 系统资源的改善需要历史经验 审计的简介 根据一定的策略 通过记录 分析历史操作事件发现和改进系统性能和安全 审计的基础在于事件记录 系统活动记录 用户活动记录 审计是对访问控制的必要补充 是访问控制的一个重要内容 审计是实现系统安全的最后一道防线 审计的作用 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为提供有效的追纠证据 为系统管理员提供有价值的系统使用日志从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 有助于提供对数据恢复的帮助 审计过程 收集审计事件 产生审计记录 根据记录进行安全事件的分析 采取处理措施 应用举例 确定记录事件类型 登录及注销 文件及对象访问 用户权力的使用 用户及组管理 安全性规则更改 重新启动关机及系统 进程追踪等 应用举例 续 确定记录事件内容 时间 来源 状态 成功 失败 类型 用户 对象等 应用举例 续 Windows日志文件 WINNT SYSTEM32 CONFIG AppEvent evt 应用程序 SecEvent evt 安全性 SysEvent evt 系统 控制面板 管理工具 计算机管理 事件查看器 备份 备份的简介备份方式恢复 备份的原因 灾难事故 如火灾 地震 洪水等重大意外事故 系统故障 包括软硬件故障 误操作或病毒等引起的故障 人为的破坏 例如 黑客 恶意员工等的破坏 备份的理解 备份是系统不可缺少的部分 备份需要代价的 有时影响系统正常运行 备份贵在坚持 尤其系统一直稳定运行时 一旦出现故障 备份能使损失降到最少 备份是为恢复做准备 备份要有专人负责 备份计划依赖备份策略 备份策略依赖系统的功能 备份策略 备份的范围是多少 数据 应用程序 操作系统 硬件设备 双机热备份 等备份执行的频率是多少 自动还是手工 一般选择系统最闲时 如下半夜两点 执行备份的过程是怎样的 谁将负责生成正确的备份 由专人或小组负责 检查 管理 备份策略 续 备份储存在哪里 切忌存放在同一物理设备上 同时要求防窃 防磁 防火 防泄密 异地 备份需要维护多长时间 考虑介质老化和兼容问题 需要维护多少份副本 多种方式存储 提高备份数据的安全性 数据备份类型 完全备份所有数据被复制到存储介质中 差量备份只有从上一次完全备份之后改变的数据才需要完整地存储 增量备份仅仅复制那些在最后一次完全备份或增量备份之后改变的数据 不同数据备份类型对比 恢复 恢复也称为重载或重入 是指当磁盘损坏或系统崩溃时 通过转储或卸载的备份重新安装数据或系统的过程 恢复技术依赖于备份技术 安全级别 依据身份认证 访问控制 审计以及备份等安全机制 计算机系统的安全级别一般分为 DC C1 C2 B B1 B2 B3 A D级 D级别是最低的安全级别 对系统提供最小的安全防护 系统的访问控制没有限制 无需登陆系统就可以访问数据 这个级别的系统包括DOS WINDOWS98等 C级 C级有两个安全子级别 C1和C2 C1级称为选择性保护级 可以实现自主安全防护 对用户和数据的分离 保护或限制用户权限的传播 C2级具有访问控制环境的权力比C1的访问控制划分的更为详细 能够实现受控安全保护 个人帐户管理 审计和资源隔离这个级别的系统包括UNIX LINUX和WindowsNT系统 B级 B1级即标志安全保护 labeledsecurityprotection 是支持多级安全 例如秘密和绝密 的第一个级别 这个级别说明处于强制性访问控制之下的对象 系统不允许文件的拥有者改变其许可权限 B2级称为结构保护级别 要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息 对于设备 端口等也应标注安全级别 B3级别称为安全域保护级别 这个级别使用安装硬件的方式来加强域的安全 比如用硬件来防止无授权访问 B3级别可以实现引用监视器参与所有主体对客体的存取 以保证不存在旁路 审计跟踪能力强 可以提供系统恢复过程 支持安全管理员角色 用户终端必须通过可信话通道才能实现对系统的访问 防止篡改 A级 验证设计级 目前最高的安全级别在A级别中 安全的设计必须给出形式化设计说明和验证 需要有严格的数学推导过程 同时应该包含秘密信道和可信可信分布的分析 也就是说要保证系统的部件来源有安全保证 例如