访问控制和系统审计

1、广州大学1第9章 访问控制和系统审计广州大学29.1 计算机安全等级的划分 James P. Anderson在1972年提出的参考监视器(The Reference Monitor)的概念是经典安全模型(如图9-1所示)的最初雏形。 在这里，参考监视器是个抽象的概念，可以说是安全机制的代名词。广州大学3参考监视器主体访问请求客体允许的访问I&A子系统审计子系统授权数据库图9-1 经典安全模型 身份识别与验证子系统广州大学49.1 计算机安全等级的划分 经典安全模型包含如下基本要素： (1) 明确定义的主体和客体； (2) 描述主体如何访问客体的一个授权数据库； (3) 约束主体对客体

2、访问尝试的参考监视器； (4) 识别和验证主体和客体的可信子系统； (5) 审计参考监视器活动的审计子系统。 安全机制有身份认证、访问控制和审计广州大学5安全管理员安全策略参考监视器主体/角色认证授权客体审计图9-2 安全机制广州大学69.1 计算机安全等级的划分 1985年，美国国防部发表了可信计算机评估准则(缩写为TCSEC)6，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级。依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。广州大学79.1 计算机安全等级的划分 D级最低安全保护(Minimal Protection)。没有任何安全性防护，如DO

3、S和Windows 95/98等操作系统 C1级自主安全保护(Discretionary Security Protection)。这一级的系统必须对所有的用户进行分组；每个用户必须注册后才能使用；系统必须记录每个用户的注册活动；系统对可能破坏自身的操作将发出警告。广州大学89.1 计算机安全等级的划分 C2级可控访问保护(Controled Access Protection)。在C1级基础上，增加了以下要求：所有的客体都只有一个主体；对于每个试图访问客体的操作，都必须检验权限；有且仅有主体和主体指定的用户可以更改权限；管理员可以取得客体的所有权；系统必须保证自身不能被管理员以外的用户改变；

4、系统必须有能力对所有的操作进行记录，并且只有管理员和由管理员指定的用户可以访问该记录。SCO UNIX 和 Windows NT 属于C2级。广州大学99.1 计算机安全等级的划分 B1级标识的安全保护(Labeled Security Protection)。在C2的基础上，增加以下几条要求：不同组的成员不能访问对方创建的客体，但管理员许可的除外；管理员不能取得客体的所有权。Windows NT的定制版本可以达到B1级。 B2级结构化保护(Structured Protection)。在B1的基础上，增加以下几条要求：所有的用户都被授予一个安全等级；安全等级较低的用户不能访问高等级用户创建的

5、客体。银行的金融系统通常达到B2级。广州大学109.1 计算机安全等级的划分 B3级安全域保护(Security Domain)。在B2的基础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。 A1级可验证设计(Verified Design)。在B3的基础上，增加以下要求：系统的整体安全策略一经建立便不能修改。广州大学119.1 计算机安全等级的划分 1999年9月13日，我国颁布了计算机信息系统安全保护等级划分准则(GB178591999)，定义了计算机信息系统安全保护能力的五个等级 第一级：用户自主保护级； 第二级：系统审计保护级； 第三

6、级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。广州大学129.2 访 问 控 制 9.2.1 基本概念 访问控制(Access Control)是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 在访问控制中，主体是指必须被控制对客体的访问的活动资源，它是访问的发起者，通常为进程、程序或用户。 客体则是指对其访问必须进行控制的资源，客体一般包括各种资源，如文件、设备、信号量等。 保护规则，它定义了主体与客体之间可能的相互作用途径。广州大学139.2 访 问 控 制 9.2.1 基本概念 保护域

7、每一主体(进程)都在一特定的保护域下工作，保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。可对客体操作的能力称为访问权(Access Right)，访问权定义为有序对的形式。 一个域是访问权的集合。广州大学14保护域 X保护域 Y图9-3 有重叠的保护域广州大学159.2 访 问 控 制 9.2.1 基本概念 访问控制 自主访问控制 强制访问控制 基于角色的访问控制广州大学169.2 访 问 控 制 9.2.1 基本概念 访问控制 自主访问控制 根据访问者的身份和授权来决定访问模式的 强制访问控制 将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式。“强制

8、”主要体现在系统强制主体服从访问控制策略上。 基于角色的访问控制 授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。它根据用户在组织内所处的角色作出访问授权和控制，但用户不能自主地将访问权限传给他人。广州大学179.2 访 问 控 制 9.2.2 自主访问控制 自主，是指具有授与某种访问权力的主体(用户)能够自己决定是否将访问权限授予其它的主体。 安全操作系统需要具备的特征之一就是自主访问控制，它基于对主体及主体所属的主体组的识别来限制对客体的存取。在大多数的操作系统中，自主访问控制的客体不仅仅是文件，还包括邮箱、通信信道、终端设备等。广州大学189.2 访 问 控 制 9.2.2

9、自主访问控制 存取模式主要有：读(read)，即允许主体对客体进行读和拷贝的操作；写(write)，即允许主体写入或修改信息，包括扩展、压缩及删除等；执行(execute)，就是允许将客体作为一种可执行文件运行.广州大学199.2 访 问 控 制 9.2.2 自主访问控制 在许多操作系统当中，对文件或者目录的访问控制是通过把各种用户分成三类来实施的：属主(self)、同组的其它用户(group)和其它用户(public)。 每个文件或者目录都同几个称为文件许可(File Permissions)的控制比特位相关联。各个文件许可位的含义通常如图9-4所示。广州大学20r读wx写执行r读wx写执行

10、r读wx写执行属主组内其它图9-4 self/group/public访问控制广州大学219.2 访 问 控 制 9.2.2 自主访问控制 具体实施 1) 目录表(Directory List) 在目录表访问控制方法中借用了系统对文件的目录管理机制，为每一个欲实施访问操作的主体，建立一个能被其访问的“客体目录表(文件目录表)”。例如某个主体的客体目录表可能为客体1:权限客体2:权限客体i:权限客体j:权限客体n:权限广州大学229.2 访 问 控 制 9.2.2 自主访问控制 具体实施 1) 目录表(Directory List) 目录表访问控制机制的优点是容易实现，每个主体拥有一张客体目录表

11、，这样主体能访问的客体及权限就一目了然了，依据该表对主体和客体的访问与被访问进行监督比较简便。 缺点之一是系统开销、浪费较大，这是由于每个用户都有一张目录表，如果某个客体允许所有用户访问，则将给每个用户逐一填写文件目录表，因此会造成系统额外开销；二是由于这种机制允许客体属主用户对访问权限实施传递并可多次进行，造成同一文件可能有多个属主的情形，各属主每次传递的访问权限也难以相同，甚至可能会把客体改用别名，因此使得能越权访问的用户大量存在，在管理上繁乱易错。广州大学239.2 访 问 控 制 9.2.2 自主访问控制 具体实施 2) 访问控制列表(Access Control List) 从客体角

12、度进行设置的、面向客体的访问控制。每个客体有一个访问控制列表，用来说明有权访问该客体的所有主体及其访问权限。广州大学24Jane可以读文件可以写文件PAYROLL文件访问控制列表:jane可以读和写john可以读不能读文件不能写文件Sam可以读文件不能写文件John图9-5 访问控制列表的DAC广州大学259.2 访 问 控 制 9.2.2 自主访问控制 具体实施 2) 访问控制列表(Access Control List) 优点就是能较好地解决多个主体访问一个客体的问题，不会像目录表访问控制那样因授权繁乱而出现越权访问。 缺点是由于访问控制列表需占用存储空间，并且由于各个客体的长度不同而出现

13、存放空间碎片，造成浪费；每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，影响系统运行速度和浪费了存储空间。广州大学269.2 访 问 控 制 9.2.2 自主访问控制 具体实施 3) 访问控制矩阵(Access Control Matrix) 访问控制矩阵是对上述两种方法的综合。存取控制矩阵模型是用状态和状态转换进行定义的，系统和状态用矩阵表示，状态的转换则用命令来进行描述。直观地看，访问控制矩阵是一张表格，每行代表一个用户(即主体)，每列代表一个存取目标(即客体)，表中纵横对应的项是该用户对该存取客体的访问权集合(权集)。图9-6是访问控制矩阵原理的简单示意图。 广州大学27目标3读写

14、目标1读执行目标2读写用户1用户2用户3目标主体图9-6 访问控制矩阵原理示意图广州大学289.2 访 问 控 制 9.2.2 自主访问控制 具体实施 4) 能力表(Capability List) 能力表是访问控制矩阵的另一种表示方式。在访问控制矩阵表中可以看到，矩阵中存在一些空项(空集)，这意味着有的用户对一些客体不具有任何访问或存取的权力，显然保存这些空集没有意义。能力表的方法是对存取矩阵的改进，（错误），（错误）它将矩阵的每一列作为一个客体而形成一个存取表。每个存取表只由主体、权集组成，无空集出现。为了实现完善的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式保存在系统中，这种

15、形式就是用访问控制表和能力表来实施的。广州大学299.2 访 问 控 制 9.2.2 自主访问控制 在自主访问控制中，具有某种访问权的主体能够自行决定将其访问权直接或间接地转交给其它主体。自主访问控制允许系统的用户对于属于自己的客体，按照自己的意愿，允许或者禁止其它用户访问。在基于DAC的系统中，主体的拥有者负责设置访问权限。也就是说，主体拥有者对访问的控制有一定权利。但正是这种权利使得信息在移动过程中，其访问权限关系会被改变。如用户A可以将其对客体目标O的访问权限传递给用户B，从而使不具备对O访问权限的B也可以访问O，这样做很容易产生安全漏洞，所以自主访问控制的安全级别很低。广州大学309.

16、2 访 问 控 制 9.2.3 强制访问控制 强制访问控制(Mandatory Access Control，MAC)是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级，对客体的访问实行限制的一种方法。 主要用于保护那些处理特别敏感数据(例如，政府保密信息或企业敏感数据)的系统。在强制访问控制中，用户的权限和客体的安全属性都是固定的，由系统决定一个用户对某个客体能否进行访问。所谓“强制”，就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。广州大学319.2 访 问 控 制 9.2.3 强制访问控制 所谓“强制访问控制”

17、，是指访问发生前，系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体。 强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感标签(Sensitivity Label)。用户的敏感标签指定了该用户的敏感等级或者信任等级，也被称为安全许可(Clearance)；而文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。广州大学329.2 访 问 控 制 9.2.3 强制访问控制 只要系统支持强制访问控制，那么系统中的每个客体和主体都有一个敏感标签同它相关联。敏感标签由两个部分组成：类别(Classification)和类集合(Compartments)(有时也

18、称为隔离间)。例如:SECRET VENUS, TANK, ALPHAClassification Categories广州大学33敏感标签：SECRETVENUS ALPHAJaneSECRETALPHA不能读文件可以写文件TOP SECRETVENUS TANK ALPHA可以读文件不能写文件JohnLOGISTIC文件图9-7 强制访问控制广州大学349.2 访 问 控 制 9.2.3 强制访问控制 特点： 强制性 限制性广州大学359.2 访 问 控 制 9.2.4 基于角色的访问控制 核心思想： 授权给用户的访问权限通常由用户在一个组织中担当的角色来确定，如图9-8所示。在RBAC中

19、，引入了“角色”这一重要的概念，所谓“角色”，是指一个或一群用户在组织内可执行的操作的集合。这里的角色就充当着主体(用户)和客体之间的关系的桥梁。这是与传统的访问控制策略的最大区别所在。广州大学36主体角色客体图9-8 基于角色的访问控制广州大学379.2 访 问 控 制 9.2.4 基于角色的访问控制 五个特点： 1) 以角色作为访问控制的主体 2) 角色继承广州大学38角色3角色4角色2角色1包含包含包含图9-9 角色继承广州大学399.2 访 问 控 制 9.2.4 基于角色的访问控制 五个特点： 3) 最小特权原则(Least Privilege Theorem) 最小特权原则是指用户

20、所拥有的权利不能超过他执行工作时所需的权限。 最小特权原则一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。 4) 职责分离(主体与角色的分离) 对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这些操作。“职责分离”可以有静态和动态两种实现方式。 静态职责分离：只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。 动态职责分离：只有当一个角色与一主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。广州大学4

21、09.2 访 问 控 制 9.2.4 基于角色的访问控制 五个特点： 5) 角色容量 在一个特定的时间段内，有一些角色只能由一定人数的用户占用。 优点 便于授权管理、便于根据工作需要分级、便于赋于最小特权、便于任务分担、便于文件分级管理、便于大规模实现。广州大学419.3 系 统 审 计 可信系统定义为：“能够提供足够的硬件和软件，以确保系统同时处理一定范围内的敏感或分级信息”。因此，可信系统主要是为军事和情报组织在同一计算机系统中存放不同敏感级别(通常对应于相应的分级)信息而提出的。 审计机制被纳入可信计算机系统评估准则(“橙皮书”)中，作为对C2及C2以上级系统的要求的一部分。广州大学42

22、9.3 系 统 审 计 9.3.1 审计及审计跟踪 审计(Audit)是指产生、记录并检查按时间顺序排列的系统事件记录的过程。 是计算机系统安全机制的一个不可或缺的部分，对于C2及其以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。 审计是其它安全机制的有力补充，它贯穿计算机安全机制实现的整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是后来人们研究的入侵检测系统的前提。广州大学439.3 系 统 审 计 9.3.1 审计及审计跟踪 计算机系统的审计机制的安全目标 审查基于每个目标或每个用户的访问模式，并使用系统的保护机制。 发现试图绕过保护机制的外部人员和内部人员。 发现用户从低等级到高等级的访问权限转移。 制止用户企图绕过系统保护机制的尝试。 作为另一种机制确保记录并发现用户企图绕过保护的尝试，为损失控制提供足够的信息。广州大学449.3 系 统 审 计 9.3.2 安全审计 安全审计跟踪机制的价值在于：经过事后的安全审计可以检测和调查安全漏洞。 (1) 它不仅能