访问控制和系统审计ppt课件.ppt

HenricJohnson 1 第9章访问控制和系统审计 HenricJohnson 2 9 1计算机安全等级的划分 JamesP Anderson在1972年提出的参考监视器 TheReferenceMonitor 的概念是经典安全模型 如图9 1所示 的最初雏形 在这里 参考监视器是个抽象的概念 可以说是安全机制的代名词 HenricJohnson 3 图9 1经典安全模型 身份识别与验证子系统 HenricJohnson 4 9 1计算机安全等级的划分 经典安全模型包含如下基本要素 1 明确定义的主体和客体 2 描述主体如何访问客体的一个授权数据库 3 约束主体对客体访问尝试的参考监视器 4 识别和验证主体和客体的可信子系统 5 审计参考监视器活动的审计子系统 安全机制有身份认证 访问控制和审计 HenricJohnson 5 图9 2安全机制 HenricJohnson 6 9 1计算机安全等级的划分 1985年 美国国防部发表了 可信计算机评估准则 缩写为TCSEC 6 它依据处理的信息等级采取的相应对策 划分了四类七个安全等级 依照各类 级的安全要求从低到高 依次是D C1 C2 B1 B2 B3和A1级 HenricJohnson 7 9 1计算机安全等级的划分 D级 最低安全保护 MinimalProtection 没有任何安全性防护 如DOS和Windows95 98等操作系统C1级 自主安全保护 DiscretionarySecurityProtection 这一级的系统必须对所有的用户进行分组 每个用户必须注册后才能使用 系统必须记录每个用户的注册活动 系统对可能破坏自身的操作将发出警告 HenricJohnson 8 9 1计算机安全等级的划分 C2级 可控访问保护 ControledAccessProtection 在C1级基础上 增加了以下要求 所有的客体都只有一个主体 对于每个试图访问客体的操作 都必须检验权限 有且仅有主体和主体指定的用户可以更改权限 管理员可以取得客体的所有权 系统必须保证自身不能被管理员以外的用户改变 系统必须有能力对所有的操作进行记录 并且只有管理员和由管理员指定的用户可以访问该记录 SCOUNIX和WindowsNT属于C2级 HenricJohnson 9 9 1计算机安全等级的划分 B1级 标识的安全保护 LabeledSecurityProtection 在C2的基础上 增加以下几条要求 不同组的成员不能访问对方创建的客体 但管理员许可的除外 管理员不能取得客体的所有权 WindowsNT的定制版本可以达到B1级 B2级 结构化保护 StructuredProtection 在B1的基础上 增加以下几条要求 所有的用户都被授予一个安全等级 安全等级较低的用户不能访问高等级用户创建的客体 银行的金融系统通常达到B2级 HenricJohnson 10 9 1计算机安全等级的划分 B3级 安全域保护 SecurityDomain 在B2的基础上 增加以下要求 系统有自己的执行域 不受外界干扰或篡改 系统进程运行在不同的地址空间从而实现隔离 A1级 可验证设计 VerifiedDesign 在B3的基础上 增加以下要求 系统的整体安全策略一经建立便不能修改 HenricJohnson 11 9 1计算机安全等级的划分 1999年9月13日 我国颁布了 计算机信息系统安全保护等级划分准则 GB17859 1999 定义了计算机信息系统安全保护能力的五个等级第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级 HenricJohnson 12 9 2访问控制 9 2 1基本概念访问控制 AccessControl 是指对主体访问客体的权限或能力的限制 以及限制进入物理区域 出入控制 和限制使用计算机系统和计算机存储数据的过程 存取控制 在访问控制中 主体是指必须被控制对客体的访问的活动资源 它是访问的发起者 通常为进程 程序或用户 客体则是指对其访问必须进行控制的资源 客体一般包括各种资源 如文件 设备 信号量等 保护规则 它定义了主体与客体之间可能的相互作用途径 HenricJohnson 13 9 2访问控制 9 2 1基本概念保护域每一主体 进程 都在一特定的保护域下工作 保护域规定了进程可以访问的资源 每一域定义了一组客体及可以对客体采取的操作 可对客体操作的能力称为访问权 AccessRight 访问权定义为有序对的形式 一个域是访问权的集合 HenricJohnson 14 图9 3有重叠的保护域 HenricJohnson 15 9 2访问控制 9 2 1基本概念访问控制自主访问控制强制访问控制基于角色的访问控制 HenricJohnson 16 9 2访问控制 9 2 1基本概念访问控制自主访问控制根据访问者的身份和授权来决定访问模式的强制访问控制将主体和客体分级 然后根据主体和客体的级别标记来决定访问模式 强制 主要体现在系统强制主体服从访问控制策略上 基于角色的访问控制授权给用户的访问权限通常由用户在一个组织中担当的角色来确定 它根据用户在组织内所处的角色作出访问授权和控制 但用户不能自主地将访问权限传给他人 HenricJohnson 17 9 2访问控制 9 2 2自主访问控制自主 是指具有授与某种访问权力的主体 用户 能够自己决定是否将访问权限授予其它的主体 安全操作系统需要具备的特征之一就是自主访问控制 它基于对主体及主体所属的主体组的识别来限制对客体的存取 在大多数的操作系统中 自主访问控制的客体不仅仅是文件 还包括邮箱 通信信道 终端设备等 HenricJohnson 18 9 2访问控制 9 2 2自主访问控制存取模式主要有 读 read 即允许主体对客体进行读和拷贝的操作 写 write 即允许主体写入或修改信息 包括扩展 压缩及删除等 执行 execute 就是允许将客体作为一种可执行文件运行 HenricJohnson 19 9 2访问控制 9 2 2自主访问控制在许多操作系统当中 对文件或者目录的访问控制是通过把各种用户分成三类来实施的 属主 self 同组的其它用户 group 和其它用户 public 每个文件或者目录都同几个称为文件许可 FilePermissions 的控制比特位相关联 各个文件许可位的含义通常如图9 4所示 HenricJohnson 20 图9 4self group public访问控制 HenricJohnson 21 9 2访问控制 9 2 2自主访问控制具体实施1 目录表 DirectoryList 在目录表访问控制方法中借用了系统对文件的目录管理机制 为每一个欲实施访问操作的主体 建立一个能被其访问的 客体目录表 文件目录表 例如某个主体的客体目录表可能为 HenricJohnson 22 9 2访问控制 9 2 2自主访问控制具体实施1 目录表 DirectoryList 目录表访问控制机制的优点是容易实现 每个主体拥有一张客体目录表 这样主体能访问的客体及权限就一目了然了 依据该表对主体和客体的访问与被访问进行监督比较简便 缺点之一是系统开销 浪费较大 这是由于每个用户都有一张目录表 如果某个客体允许所有用户访问 则将给每个用户逐一填写文件目录表 因此会造成系统额外开销 二是由于这种机制允许客体属主用户对访问权限实施传递并可多次进行 造成同一文件可能有多个属主的情形 各属主每次传递的访问权限也难以相同 甚至可能会把客体改用别名 因此使得能越权访问的用户大量存在 在管理上繁乱易错 HenricJohnson 23 9 2访问控制 9 2 2自主访问控制具体实施2 访问控制列表 AccessControlList 从客体角度进行设置的 面向客体的访问控制 每个客体有一个访问控制列表 用来说明有权访问该客体的所有主体及其访问权限 HenricJohnson 24 图9 5访问控制列表的DAC HenricJohnson 25 9 2访问控制 9 2 2自主访问控制具体实施2 访问控制列表 AccessControlList 优点就是能较好地解决多个主体访问一个客体的问题 不会像目录表访问控制那样因授权繁乱而出现越权访问 缺点是由于访问控制列表需占用存储空间 并且由于各个客体的长度不同而出现存放空间碎片 造成浪费 每个客体被访问时都需要对访问控制列表从头到尾扫描一遍 影响系统运行速度和浪费了存储空间 HenricJohnson 26 9 2访问控制 9 2 2自主访问控制具体实施3 访问控制矩阵 AccessControlMatrix 访问控制矩阵是对上述两种方法的综合 存取控制矩阵模型是用状态和状态转换进行定义的 系统和状态用矩阵表示 状态的转换则用命令来进行描述 直观地看 访问控制矩阵是一张表格 每行代表一个用户 即主体 每列代表一个存取目标 即客体 表中纵横对应的项是该用户对该存取客体的访问权集合 权集 图9 6是访问控制矩阵原理的简单示意图 HenricJohnson 27 图9 6访问控制矩阵原理示意图 HenricJohnson 28 9 2访问控制 9 2 2自主访问控制具体实施4 能力表 CapabilityList 能力表是访问控制矩阵的另一种表示方式 在访问控制矩阵表中可以看到 矩阵中存在一些空项 空集 这意味着有的用户对一些客体不具有任何访问或存取的权力 显然保存这些空集没有意义 能力表的方法是对存取矩阵的改进 错误 它将矩阵的每一列作为一个客体而形成一个存取表 每个存取表只由主体 权集组成 无空集出现 为了实现完善的自主访问控制系统 由访问控制矩阵提供的信息必须以某种形式保存在系统中 这种形式就是用访问控制表和能力表来实施的 HenricJohnson 29 9 2访问控制 9 2 2自主访问控制在自主访问控制中 具有某种访问权的主体能够自行决定将其访问权直接或间接地转交给其它主体 自主访问控制允许系统的用户对于属于自己的客体 按照自己的意愿 允许或者禁止其它用户访问 在基于DAC的系统中 主体的拥有者负责设置访问权限 也就是说 主体拥有者对访问的控制有一定权利 但正是这种权利使得信息在移动过程中 其访问权限关系会被改变 如用户A可以将其对客体目标O的访问权限传递给用户B 从而使不具备对O访问权限的B也可以访问O 这样做很容易产生安全漏洞 所以自主访问控制的安全级别很低 HenricJohnson 30 9 2访问控制 9 2 3强制访问控制强制访问控制 MandatoryAccessControl MAC 是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级 对客体的访问实行限制的一种方法 主要用于保护那些处理特别敏感数据 例如 政府保密信息或企业敏感数据 的系统 在强制访问控制中 用户的权限和客体的安全属性都是固定的 由系统决定一个用户对某个客体能否进行访问 所谓 强制 就是安全属性由系统管理员人为设置 或由操作系统自动地按照严格的安全策略与规则进行设置 用户和他们的进程不能修改这些属性 HenricJohnson 31 9 2访问控制 9 2 3强制访问控制所谓 强制访问控制 是指访问发生前 系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体 强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感标签 SensitivityLabel 用户的敏感标签指定了该用户的敏感等级或者信任等级 也被称为安全许可 Clearance 而文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级 HenricJohnson 32 9 2访问控制 9 2 3强制访问控制只要系统支持强制访问控制 那么系统中的每个客体和主体都有一个敏感标签同它相关联 敏感标签由两个部分组成 类别 Classification 和类集合 Compartments 有时也称为隔离间 例如 SECRET VENUS TANK ALPHA ClassificationCategories HenricJohnson 33 图9 7强制访问控制 HenricJohnson 34 9 2访问控制 9 2 3强制访问控制特点 强制性限制性 HenricJohnson 35 9 2访问控制 9 2 4基于角色的访问控制核心思想 授权给用户的访问权限通常由用户在一个组织中担当的角色来确定 如图9 8所示 在RBAC中 引入了 角色 这一重要的概念 所谓 角色 是指一个或一群用户在组织内可执行的操作的集合 这里的角色就充当着主体 用户 和客体之间的关系的桥梁 这是与传统的访问控制策略的最大区别所在 HenricJohnson 36 图9 8基于角色的访问控制 HenricJohnson 37 9 2访问控制 9 2 4基于角色的访问控制五个特点 1 以角色作为访问控制的主体2 角色继承 HenricJohnson 38 图9 9角色继承 HenricJohnson 39 9 2访问控制 9 2 4基于角色的访问控制五个特点 3 最小特权原则 LeastPrivilegeTheorem 最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限 最小特权原则一方面给予主体 必不可少 的特权 这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作 另一方面 它只给予主体 必不可少 的特权 这就限制了每个主体所能进行的操作 4 职责分离 主体与角色的分离 对于某些特定的操作集 某一个角色或用户不可能同时独立地完成所有这些操作 职责分离 可以有静态和动态两种实现方式 静态职责分离 只有当一个角色与用户所属的其它角色彼此不互斥时 这个角色才能授权给该用户 动态职责分离 只有当一个角色与一主体的任何一个当前活跃角色都不互斥时 该角色才能成为该主体的另一个活跃角色 HenricJohnson 40 9 2访问控制 9 2 4基于角色的访问控制五个特点 5 角色容量在一个特定的时间段内 有一些角色只能由一定人数的用户占用 优点便于授权管理 便于根据工作需要分级 便于赋于最小特权 便于任务分担 便于文件分级管理 便于大规模实现 HenricJohnson 41 9 3系统审计 可信系统定义为 能够提供足够的硬件和软件 以确保系统同时处理一定范围内的敏感或分级信息 因此 可信系统主要是为军事和情报组织在同一计算机系统中存放不同敏感级别 通常对应于相应的分级 信息而提出的 审计机制被纳入 可信计算机系统评估准则 橙皮书 中 作为对C2及C2以上级系统的要求的一部分 HenricJohnson 42 9 3系统审计 9 3 1审计及审计跟踪审计 Audit 是指产生 记录并检查按时间顺序排列的系统事件记录的过程 是计算机系统安全机制的一个不可或缺的部分 对于C2及其以上安全级别的计算机系统来讲 审计功能是其必备的安全机制 审计是其它安全机制的有力补充 它贯穿计算机安全机制实现的整个过程 从身份认证到访问控制这些都离不开审计 同时 审计还是后来人们研究的入侵检测系统的前提 HenricJohnson 43 9 3系统审计 9 3 1审计及审计跟踪计算机系统的审计机制的安全目标审查基于每个目标或每个用户的访问模式 并使用系统的保护机制 发现试图绕过保护机制的外部人员和内部人员 发现用户从低等级到高等级的访问权限转移 制止用户企图绕过系统保护机制的尝试 作为另一种机制确保记录并发现用户企图绕过保护的尝试 为损失控制提供足够的信息 HenricJohnson 44 9 3系统审计 9 3 2安全审计安全审计跟踪机制的价值在于 经过事后的安全审计可以检测和调查安全漏洞 1 它不仅能够识别谁访问了系统 还能指出系统正被怎样的使用 发现试图绕过保护机制的外部