计算机网络安全技术ch

第5章访问控制技术本章学习目标访问控制的三个要素、7种策略、内容、模型访问控制的安全策略与安全级别安全审计的类型、与实施有关的问题日志的审计WindowsNT操作系统中的访问控制与安全审计5.1访问控制概述访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制，从而确保只有合法用户的合法访问才能给予批准，而且相应的访问只能执行授权的操作。访问控制是计算机网络系统安全防范和保护的重要手段，是保证网络安全最重要的核心策略之一，也是计算机网络安全理论基础重要组成部分。5.1.1访问控制的定义访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。主体S（Subject）是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是某个用户，也可以是用户启动的进程、服务和设备。客体O（Object）是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。控制策略控制策略A（Attribution）是主体对客体的访问规则集，即属性集合。访问策略实际上体现了一种授权行为，也就是客体对主体的权限允许。访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机网络系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。为达到上述目的，访问控制需要完成以下两个任务：识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问7种访问控制策略入网访问控制。网络的权限控制。目录级安全控制。属性安全控制。网络服务器安全控制。网络监测和锁定控制。网络端口和节点的安全控制。5.1.2访问控制矩阵访问控制系统三个要素之间的行为关系可以用一个访问控制矩阵来表示。对于任意一个si∈S，oj∈O，都存在相应的一个aij∈A，且aij=P（si，oj），其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下：其中，Si（i=0，1，…，m）是主体对所有客体的权限集合，Oj（j=0，1，…，n）是客体对所有主体的访问权限集合5.1.3访问控制的内容访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计三个方面的内容。认证：包括主体对客体的识别认证和客体对主体检验认证。控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”，它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。5.2访问控制模型自主访问控制模型强制访问控制模型基于角色的访问控制模型其他访问控制模型基于任务的访问控制模型基于对象的访问控制模型5.2.1自主访问控制模型自主访问控制模型（DiscretionaryAccessControlModel，DACModel）是根据自主访问控制策略建立的一种模型，它基于对主体或主体所属的主体组的识别来限制对客体的访问，也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。自主访问控制又称为任意访问控制，一个主体的访问权限具有传递性。为了实现完整的自主访问系统，DAC模型一般采用访问控制表来表达访问控制信息。访问控制表（AccessControlList，ACL）是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表，来表示各个主体对这个客体的访问权限。明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的客体oj附加的访问控制表的结构如图所示。Ojs0rs1ws2e……sxrwe对于客体oj，主体s0只有读（r）的权限；主主体s1只有写（w）的权限；主主体s2只有执行（e）的权限；主主体sx具有读（r）、写（w）和执行（e）的权限。但是，在一个个很大的系统统中，可能会会有非常多的的主体和客体体，这就导致致访问控制表表非常长，占占用很多的存存储空间，而而且访问时效效率下降。使使用组（group）或者通配符符可以有效地地缩短表的长长度。用户可以根据据部门结构或或者工作性质质被分为有限限的几类。同同一类用户使使用的资源基基本上是相同同的。因此，，可以把一类类用户作为一一个组，分配配一个组名，，简称“GN”，访问时可以以按照组名判判断。通配符符“*”可以以代替任何组组名或者主体体标识符。这这时，访问控控制表中的主主体标识为：：主体标识=ID•GN。其中，ID是主体标识符符，GN是主体所在组组的组名。带有组和通配配符的访问控控制表示例上图的第二列列表示，属于于TEACH组的所有主体体都对客体oj具有读和写的的权限；但是是只有TEACH组中的主体Cai才额外具有执执行的权限（（第一列）；；无论是哪一一组中的Li都可以读客体体oj（第三列）；；最后一个表表项（第四列列）说明所有有其他的主体体，无论属于于哪个组，都都不具备对oj有任何访问权权限。5.2.2强制访问控制制模型自主访问控制制的最大特点点是自主，即即资源的拥有有者对资源的的访问策略具具有决策权，，因此是一种种限制比较弱弱的访问控制制策略。这种种方式给用户户带来灵活性性的同时，也也带来了安全全隐患。和DAC模型不同的是是，强制访问问控制模型（（MandatoryAccessControlModel，MACModel）是一种多级级访问控制策策略，它的主主要特点是系系统对主体和和客体实行强强制访问控制制：系统事先先给所有的主主体和客体指指定不同的安安全级别，比比如绝密级、、机密级、秘秘密级和无密密级。在实施施访问控制时时，系统先对对主体和客体体的安全级别别进行比较，，再决定主体体能否访问该该客体。所以以，不同级别别的主体对不不同级别的客客体的访问是是在强制的安安全策略下实实现的。在强制访问控控制模型中，，将安全级别别进行排序，，如按照从高高到低排列，，规定高级别别可以单向访访问低级别，，也可以规定定低级别可以以单向访问高高级别。这种种访问可以是是读，也可以以是写或修改改。主体对客客体的访问主主要有4种方式：向下读（rd，readdown）。主体安全全级别高于客客体信息资源源的安全级别别时允许查阅阅的读操作。。向上读（ru，readup）。主体安全全级别低于客客体信息资源源的安全级别别时允许的读读操作。向下写（wd，writedown）。主体安全全级别高于客客体信息资源源的安全级别别时允许执行行的动作或是是写操作。向上写（wu，writeup）。主体安全全级别低于客客体信息资源源的安全级别别时允许执行行的动作或是是写操作。由于MAC通过将安全级级别进行排序序实现了信息息的单向流通通，因此它一一直被军方采采用。MAC模型中最主要要的三种模型型为：Lattice模型、BellLaPadula模型（BLPModel）和Biba模型（BibaModel）。在这些模模型中，信息息的完整性和和保密性是分分别考虑的，，因而对读、、写的方向进进行了反向规规定。保障信息完整整性策略。为为了保障信息息的完整性，，低级别的主主体可以读高高级别客体的的信息（不保保密），但低低级别的主体体不能写高级级别的客体（（保障信息完完整），因此此采用的是上上读/下写策略。保障信息机密密性策略。与与保障完整性性策略相反，，为了保障信信息的保密性性，低级别的的主体不可以以读高级别的的信息（保密密），但低级级别的主体可可以写高级别别的客体（完完整性可能破破坏），因此此采用的是下下读/上写策策略。。5.2.3基于角角色的的访问问控制制模型型在上述述两种种访问问控制制模型型中，，用户户的权权限可可以变变更，，但必必须在在系统统管理理员的的授权权下才才能进进行。。然而而在具具体实实现时时，往往往不不能满满足实实际需需求。。主要要问题题在于于：同一用用户在在不同同的场场合需需要以以不同同的权权限访访问系系统，，而变变更权权限必必须经经系统统管理理员授授权修修改，，因此此很不不方便便。当用户户量大大量增增加时时，系系统管管理将将变得得复杂杂、工工作量量急剧剧增加加，容容易出出错。。不容易易实现现系统统的层层次化化分权权管理理，尤尤其是是当同同一用用户在在不同同场合合处在在不同同的权权限层层次时时，系系统管管理很很难实实现。。除非非同一一用户户以多多个用用户名名注册册。但是如如果企企业的的组织织结构构或是是系统统的安安全需需求出出于变变化的的过程程中时时，那那么就就需要要进行行大量量繁琐琐的授授权变变动，，系统统管理理员的的工作作将变变得非非常繁繁重，，更主主要的的是容容易发发生错错误造造成一一些意意想不不到的的安全全漏洞洞。角色的的概念念在基于于角色色的访访问控控制模模型中中，角角色（（role）定义义为与与一个个特定定活动动相关关联的的一组组动作作和责责任。。系统统中的的主体体担任任角色色，完完成角角色规规定的的责任任，具具有角角色拥拥有的的权限限。一一个主主体可可以同同时担担任多多个角角色，，它的的权限限就是是多个个角色色权限限的总总和。。基于于角色色的访访问控控制就就是通通过各各种角角色的的不同同搭配配授权权来尽尽可能能实现现主体体的最最小权权限。。最小小权限限指主主体在在能够够完成成所有有必需需的访访问工工作基基础上上的最最小权权限。。基于角角色的的访问问控制制原理理基于角角色的的访问问控制制就是是通过过定义义角色色的权权限，，为系系统中中的主主体分分配角角色来来实现现访问问控制制的，，如图图所示示。用户先先经认认证后后获得得一个个角色色，该该角色色被分分派了了一定定的权权限，，用户户以特特定角角色访访问系系统资资源，，访问问控制制机制制检查查角色色的权权限，，并决决定是是否允允许访访问。。5.2.4其他访访问控控制模模型1、基于于任务务的访访问控控制模模型（TaskbasedAccessControlModel，TBACModel）。TBAC是从应应用和和企业业层角角度来来解决决安全全问题题，以以面向向任务务的观观点，，从任任务（（活动动）的的角度度来建建立安安全模模型和和实现现安全全机制制，在在任务务处理理的过过程中中提供供动态态实时时的安安全管管理。。其访访问控控制策策略及及其内内部组组件关关系一一般由由系统统管理理员直直接配配置，，支持持最小小特权权原则则和最最小泄泄漏原原则，，在执执行任任务时时只给给用户户分配配所需需的权权限，，未执执行任任务或或任务务终止止后用用户不不再拥拥有所所分配配的权权限；；而且且在执执行任任务过过程中中，当当某一一权限限不再再使用用时，，将自自动收收回该该权限限。2．基于于对象象的访访问控控制模模型基于对对象的的访问问控制制模型型（ObjectBasedAccessControlModel，OBACModel）。OBAC模型从从受控控对象象的角角度出出发，，将主主体的的访问问权限限直接接与受受控对对象相相关联联，一一方面面定义义对象象的访访问控控制表表，增增、删删、修修改访访问控控制项项易于于操作作；另另一方方面，，当受受控对对象的的属性性发生生改变变，或或者受受控对对象发发生继继承和和派生生行为为时，，无须须更新新访问问主体体的权权限，，只需需要修修改受受控对对象的的相应应访问问控制制项即即可，，从而而减少少了主主体的的权限限管理理，减减轻了了由于于信息息资源源的派派生、、演化化和重重组等等带来来的分分配、、设定定角色色权限限等的的工作作量。。5.3访问问控控制制的的安安全全策策略略与与安安全全级级别别访问问控控制制的的安安全全策策略略有有以以下下两两种种实实现现方方式式：：基基于于身身份份的的安安全全策策略略和和基基于于规规则则的的安安全全策策略略。。这两两种种安安全全策策略略建建立立的的基基础础都都是是授授权权行行为为。。就就其其形形式式而而言言，，基基于于身身份份的的安安全全策策略略等等同同于于DAC安安全全策策略略，，基基于于规规则则的的安安全全策策略略等等同同于于MAC安安全全策策略略。。5.3.1安全全策策略略实施施原原则则：：访访问问控控制制安安全全策策略略的的实实施施原原则则围围绕绕主主体体、、客客体体和和安安全全控控制制规规则则集集三三者者之之间间的的关关系系展展开开。。最小小特特权权原原则则。。是指指主主体体执执行行操操作作时时，，按按照照主主体体所所需需权权利利的的最最小小化化原原则则分分配配给给主主体体权权力力。。最最小小特特权权原原则则的的优优点点是是最最大大限限度度地地限限制制了了主主体体实实施施授授权权行行为为，，可可以以避避免免来来自自突突发发事事件件、、错错误误和和未未授授权权主主体体的的危危险险。。也也就就是是说说，，为为了了达达到到一一定定目目的的，，主主体体必必须须执执行行一一定定操操作作，，但但他他只只能能做做他他所所被被允允许许做做的的，，其其他他除除外外。。最小泄漏漏原则。。是指主体体执行任任务时，，按照主主体所需需要知道道的信息息最小化化的原则则分配给给主体权权力。多级安全全策略。。是指主体体和客体体间的数数据流向向和权限限控制按按照安全全级别的的绝密（（TS）、秘密密（S）、机密密（C）、限制制（RS）和无级级别（U）5级来划分分。多级级安全策策略的优优点是避避免敏感感信息的的扩散。。具有安安全级别别的信息息资源，，只有安安全级别别比它高高的主体体才能够够访问。。基于身份份的安全全策略基于身份份的安全全策略是是过滤对对数据或或资源的的访问，，只有能能通过认认证的那那些主体体才有可可能正常常使用客客体的资资源。基基于身份份的安全全策略包包括基于于个人的的策略和和基于组组的策略略，主要要有两种种基本的的实现方方法，分分别为能能力表和和访问控控制表。。基于个人人的策略略。基于个人人的策略略是指以以用户个个人为中中心建立立的一种种策略，，由一些些列表组组成。这这些列表表针对特特定的客客体，限限定了哪哪些用户户可以实实现何种种安全策策略的操操作行为为。基于组的的策略。。基于组的的策略是是基于个个人的策策略的扩扩充，指指一些用用户被允允许使用用同样的的访问控控制规则则访问同同样的客客体。基于规则则的安全全策略基于规则则的安全全策略中中的授权权通常依依赖于敏敏感性。。在一个个安全系系统中，，数据或或资源应应该标注注安全标标记。代代表用户户进行活活动的进进程可以以得到与与其原发发者相应应的安全全标记。。在实现现上，由由系统通通过比较较用户的的安全级级别和客客体资源源的安全全级别来来判断是是否允许许用户进进行访问问。5.3.2安全级别别安全级别别有两个个含义，，一个是是主、客客体系统统资源的的安全级级别，分分为有层层次的安安全级别别和无层层次的安安全级别别；另一一个是访访问控制制系统实实现的安安全级别别，这和和《可信信计算机机系统评评估标准准》的安安全级别别是一样样的，分分为D，，C（C1，C2），，B（B1，B2，B3）和和A共4类7级级，由低低到高。。5.4安全审计计计算机网网络安全全审计是是通过一一定的策策略，利利用记录录和分析析系统活活动和用用户活动动的历史史操作事事件，按按照顺序序检查、、审查和和检验每每个事件件的环境境及活动动，其中中系统活活动包括括操作系系统和应应用程序序进程的的活动；；用户活活动包括括用户在在操作系系统中和和应用程程序中的的活动，，如用户户使用何何种资源源、使用用的时间间、执行行何种操操作等方方面，发发现系统统的漏洞洞并改进进系统的的性能和和安全。。审计是是计算机机网络安安全的重重要组成成部分。。5.4.1安全审计计概述安全审计计的目标标：对潜在的的攻击者者起到震震慑和警警告的作作用；对对于已经经发生的的系统破破坏行为为，提供供有效的的追究责责任的证证据，评评估损失失，提供供有效的的灾难恢恢复依据据；为系系统管理理员提供供有价值值的系统统使用日日志，帮帮助系统统管理员员及时发发现系统统入侵行行为或潜潜在的系系统漏洞洞。安全审计计的类型型有三种：：系统级级审计、、应用级级审计和和用户级级审计。。系统级审审计。系统级审审计的内内容主要要包括登登录（成成功和失失败）、、登录识识别号、、每次登登录尝试试的日期期和时间间、每次次退出的的日期和和时间、、所使用用的设备备、登录录后运行行的内容容（如用用户启动动应用的的尝试，，无论成成功或失失败）。。典型的的系统级级日志还还包括和和安全无无关的信信息，如如系统操操作、费费用记账账和网络络性能。。应用级审审计。系统级审审计可能能无法跟跟踪和记记录应用用中的事事件，也也可能无无法提供供应用和和数据拥拥有者需需要的足足够的细细节信息息。通常常，应用用级审计计的内容容包括打打开和关关闭数据据文件，，读取、、编辑和和删除记记录或字字段的特特定操作作以及打打印报告告之类的的用户活活动。用户级审审计。用户级审审计的内内容通常常包括：：用户直直接启动动的所有有命令、、用户所所有的鉴鉴别和认认证尝试试、用户户所访问问的文件件和资源源等方面面。安全审计计系统的的基本结结构安全审计计是通过过对所关关心的事事件进行行记录和和分析来来实现的的，因此此审计过过程包括括审计发发生器、、日志记记录器、、日志分分析器和和报告机机制几部部分，如如图所示示。系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志

记录器日志

分析器审计分析报告日志文件审计策略

和规则…5.4.2日志的的审计计日志的的内容容：日日志系系统可可根据据安全全要求求的强强度选选择记记录下下列事事件的的部分分或全全部：：审计功功能的的启动动和关关闭。。使用身身份验验证机机制。。将客体体引入入主体体的地地址空空间。。删除客客体。。管理员员、安安全员员、审审计员员和一一般操操作人人员的的操作作。其他专专门定定义的的可审审计事事件。。通常，，对于于一个个事件件，日日志应应包括括事件件发生生的日日期和和时间间、引引发事事件的的用户户（地地址））、事事件和和源及及目的的的位位置、、事件件类型型、事事件成成败等等。安全审审计的的记录录机制制不同的的系统统可采采用不不同的的机制制记录录日志志。日日志的的记录录可以以由操操作系系统完完成，，也可可以由由应用用系统统或其其他专专用记记录系系统完完成。。但是是，大大部分分情况况都可可用系系统调调用Syslog来记录录日志志，也也可以以用SNMP记录。。Syslog由Syslog守护程程序、、Syslog规则集集及Syslog系统调调用三三部分分组成成。日志素材Syslog系统调用Syslog守护程序Syslog规则集日志记录

系统日志分分析日志分分析就就是在在日志志中寻寻找模模式，，主要要内容容如下下：潜在侵侵害分分析。。日志分分析应应能用用一些些规则则去监监控审审计事事件，，并根根据规规则发发现潜潜在的的入侵侵。这这种规规则可可以是是由己己定义义的可可审计计事件件的子子集所所指示示的潜潜在安安全攻攻击的的积累累或组组合，，或者者其他他规则则。基于异异常检检测的的轮廓廓。日志分分析应应确定定用户户正常常行为为的轮轮廓，，当日日志中中的事事件违违反正正常访访问行行为的的轮廓廓，或或超出出正常常轮廓廓一定定的门门限时时，能能指出出将要要发生生的威威胁。。简单攻攻击探探测。。日志分分析应应对重重大威威胁事事件的的特征征有明明确的的描述述，当当这些些攻击击现象象出现现时，，能及及时指指出。。复杂攻攻击探探测。。要求高高的日日志分分析系系统还还应能能检测测到多多步入入侵序序列，，当攻攻击序序列出出现时时，能能预测测其发发生步步骤审计事事件查查阅由于审审计系系统是是追踪踪、恢恢复的的直接接依据据，甚甚至是是司法法依据据，因因此其其自身身的安安全性性十分分重要要。审审计系系统的的安全全主要要是查查阅和和存储储的安安全。。审计事事件的的查阅阅应该该受到到严格格的限限制，，不能能篡改改日志志。通通常通通过以以下不不同的的层次次保证证查阅阅的安安全：：审计查查阅。。审计计系统统以可可理解解的方方式为为授权权用户户提供供查阅阅日志志和分分析结结果的的功能能。有限审审计查查阅。。审计计系统统只能能提供供对内内容的的读权权限，，因此此应拒拒绝具具有读读以外外权限限的用用户访访问审审计系系统可选审计查查阅。在有有限审计查查阅的基础础上限制查查阅的范围围。审计事件存存储审计事件的的存储也有有安全要求求，具体有有如下几种种情况。受保护的审审计踪迹存存储。即要要求存储系系统对日志志事件具有有保护功能能，防止未未授权的修修改和删除除，并具有有检测修改改/删除的能力力。审计数据的的可用性保保证。在审审计存储系系统遭受意意外时，能能防止或检检测审计记记录的修改改，在存储储介质存满满或存储失失败时，能能确保记录录不被破坏坏。防止审计数数据丢失。。在审计踪踪迹超过预预定的门限限或记满时时，应采取取相应的措措施防止数数据丢失。。这种措施施可以是忽忽略可审计计事件、只只允许记录录有特殊权权限的事件件、覆盖以以前记录、、停止工作作等。5.4.3安全审计的的实施为了确保审审计数据的的可用性和和正确性，，审计数据据需要受到到保护，因因为不正确确的数据也也是没用的的。而且，，如果不对对日志数据据进行及时时审查，规规划和实施施得再好的的审计也会会失去价值值。审计应应该根据需需要（经常常由安全事事件触发））定期审查查、自动实实时审查或或两者兼而而有之。系系统管理人人员和系统统管理员应应该根据计计算机安全全管理的要要求确定需需要维护多多长时间的的审计数据据，其中包包括系统内内保存的和和归档保存存的数据。。与实施有关关的问题包包括：保护护审计数据据、审查审审计数据和和用于审计计分析的工工具。1．保护审计计数据访问在线审审计日志必必须受到严严格限制。。计算机安安全管理人人员和系统统管理员或或职能部门门经理出于于检查的目目的可以访访问，但是是维护逻辑辑访问功能能的安全管管理人员没没有必要访访问审计日日志。防止非法修修改以确保保审计跟踪踪数据的完完整性尤其其重要。使使用数字签签名是实现现这一目标标的一种途途径。另一一类方法是是使用只读读设备。入入侵者会试试图修改审审计跟踪记记录以掩盖盖自己的踪踪迹是审计计跟踪文件件需要保护护的原因之之一。使用用强访问控控制是保护护审计跟踪踪记录免受受非法访问问的有效措措施。当牵牵涉到法律律问题时，，审计跟踪踪信息的完完整性尤为为重要（这这可能需要要每天打印印和签署日日志）。此此类法律问问题应该直直接咨询相相关法律顾顾问。审计跟踪信信息的机密密性也需要要受到保护护，如审计计跟踪所记记录的用户户信息可能能包含诸如如交易记录录等不宜披披露的个人人信息。强强访问控制制和加密在在保护机密密性方面非非常有效2．审查审计计数据审计跟踪的的审查和分分析可以分分为在事后后检查、定定期检查或或实时检查查。审查人人员应该知知道如何发发现异常活活动。如果果可以通过过用户识别别码、终端端识别码、、应用程序序名、日期期时间或其其他参数组组来检索审审计跟踪记记录并生成成所需的报报告，那么么审计跟踪踪检查就会会比较容易易。事后检查。。定期检查。。实时检查。。3．审计工具具审计精选工工具。此类类工具用于于从大量的的数据中精精选出有用用的信息以以协助人工工检查。在在安全检查查前，此类类工具可以以剔除大量量对安全影影响不大的的信息。这这类工具通通常可以剔剔除由特定定类型事件件产生的记记录，如由由夜间备份份产生的记记录将被剔剔除。趋势/差别探测工工具。此类类工具用于于发现系统统或用户的的异常活动动。可以建建立较复杂杂的处理机机制以监控控系统使用用趋势和探探测各种异异常活动。。例如，如如果用户通通常在上午午9点登录，但但却有一天天在凌晨4点半登录，，这可能是是一件值得得调查的安安全事件。。攻击特征探探测工具。。此类工具具用于查找找攻击特征征，通常一一系列特定定的事件表表明有可能能发生了非非法访问尝尝试。一个个简单的例例子是反复复进行失败败的登录尝尝试。5.5WindowsNT中的访问控控制

与安安全审计5.5.1WindowsNT中的访问控控制1．WindowsNT的安全模型WindowsNT采用的是微内内核（Microkernel）结构和模块块化的系统设设计。有的模模块运行在底底层的内核模模式上，有的的模块则运行行在受内核保保护的用户模模式上。WindowsNT的安全模型由由4部分构成登录过程（LogonProcess，LP）：接受本地地用户或者远远程用户的登登录请求，处处理用户信息息，为用户做做一些初始化化工作。本地安全授权权机构（LocalSecurityAuthority，LSA）：根据安全全账号管理器器中的数据处处理本地或者者远程用户的的登录信息，，并控制审计计和日志。这这是整个安全全子系统的核核心。安全账号管理理器（SecurityAccountManager，SAM）：维护账号号的安全性管管理的数据库库。安全引用监视视器（SecurityReferenceMonitor，SRM）：检查存取取合法性，防防止非法存取取和修改。这4部分在访问控控制的不同阶阶段发挥各自自不同的作用用。2．WindowsNT的访问控制过过程（1）创建账号。。当一个账号号被创建时，，WindowsNT系统为它分配配一个安全标标识（SID）。安全标识识和账号惟一一对应，在账账号创建时创创建，账号删删除时删除，，而且永不再再用。安全标标识与对应的的用户和组的的账号信息一一起存储在SAM数据库里。（2）登录过程（（LP）控制。每次次用户登录时时，用户应输输入用户名、、口令和用户户希望登录的的服务器/域等信息，登登录主机把这这些信息传送送给系统的安安全账号管理理器，安全账账号管理器将将这些信息与与SAM数据库中的信信息进行比较较，如果匹配配，服务器发发给客户机或或工作站允许许访问的信息息，记录用户户账号的特权权、主目录位位置、工作站站参数等信息息，并返回用用户的安全标标识和用户所所在组的安全全标识。工作作站为用户生生成一个进程程。（3）创建访问令令牌。当用户户登录成功后后，本地安全全授权机构（（LSA）为用户创建建一个访问令令牌，包括用用户名、所在在组、安全标标识等信息。。以后用户每每新建一个进进程，都将访访问并复制令令牌作为该进进程的访问令令牌。（4）访问对象控控制。当用户户或者用户生生成的进程要要访问某个对对象时，安全全引用监视器器（SRM）将用户/进程的访问令令牌中的安全全标识（SID）与对象安全全描述符（是是NT为共享资源创创建的一组安安全属性，包包括所有者安安全标识、组组安全标识、、自主访问控控制表、系统统访问控制表表和访问控制制项）中的自自主访问控制制表进行比较较，从而决定定用户是否有有权访问该对对象。在这个过程中中应该注意：：安全标识（（SID）对应账号的的整个有效期期，而访问令令牌只对应某某一次账号登登录。5.5.2WindowsNT中的安全审计计WindowsNT的三个日志文文件的物理位位置如下：系统日志：包含所有系统统相关事件的的信息。%systemroot%\system32\config\sysevent.evt安全日志：包括有关通过过NT可识别安全提提供者和客户户的系统访问问信息。%systemroot%\system32\config\secevent.evt应用程序日志志：包括用NTSecurityauthority注册的应用程程序产生的信信息。%systemroot%\system32\config\appevent.evtNT审计子系系统结构几乎WindowsNT系统中的每一一项事务都可可以在一定程程度上被审计计，在WindowsNT中可以在Explorer和Usermanager两个地方打开开审计。在Explorer中，选择Security，再选择Auditing以激活DirectoryAuditing对话框，系统统管理员可以以在这个窗口口选择跟踪有有效和无效的的文件访问。。在Usermanager中，系统管理理员可以根据据各种用户事事件的成功和和失败选择审审计策略，如如登录和退出出、文件访问问、权限非法法和关闭系统统等。WindowsNT使用一种特殊殊的格式存放放它的日志文文件，这种格格式的文件可可以被事件浏浏览器（Eventviewer）读取。事件件浏览器可以以在Administrativetool程序组中找到到。系统管理理员可以使用用事件浏览器器的Filter选项根据一定定条件选择要要查看的日志志条目。查看看条件包括类类别、用户和和消息类型。。审计日志的记记录格式WindowsNT的审计日志由由一系列的事事件记录组成成。每一个事事件记录分为为三个功能部部分：头、事事件描述和可可选的附加数数据项。下图图显示了一个个事件记录的的结构。记录头数据时间用户名计算机名事件ID源类型种类事件描述可变内容，依赖于事件，可以是问题的文本解释和纠正措施的建议附加数据附加域。如果采用的话，包含以字节或字显示的二进制数据及事件记录的源应用产生的信息NT事件日志志管理特征WindowsNT提供了大量特特征给系统管管理员去管理理操作系统事事件日志机制制。例如，管管理员能限制制日志的大小小并规定当文文件达到容量量上限时，如如何去处理这这些文件。选选项包括：用用新记录去冲冲掉最老的记记录，停止系系统直到事件件日志被手工工清除。当系统开始运运行时，系统统和应用事件件日志也自动动开始。当日日志文件满并并且系统配置置规定它们必必须被手工清清除时，日志志停止。另一一方面，安全全事件日志必必须由具有管管理者权限的的人启动。利利用NT的用户管理器器，可以设置置安全审计规规则。要启用用安全审计的的功能，只需需在“规则””菜单下选择择“审计”，，然后通过查查看NT记录的安全事事件日志中的的安全性事件件，即可以跟跟踪所选用户户的操作。NT安全日志志的审计策略略NT的审计规则如如下（既可以以审计成功的的操作，又可可以审计失败败的操作）：：（l）登录及注销销。登录及注注销或连接到到网络。（2）用户及组管管理。创建、、更改或删除除用户账号或或组，重命名名、禁止或启启用用户号，，设置和更改改密码。（3）文件及对象象访问。对访访问的用户，，访问的文件件、目录、对对象进行审计计。如果设置置用于打印审审计的系统发发送打印用户户及打印作业业的消息，审审计通过后才才能打印。（4）安全性规则则更改。对用用户权利、审审计或委托关关系规则的改改动。（5）重新启动、、关机及系统统级事件。（6）进程跟踪。。这些事件提提供了关于事事件的详细跟跟踪信息，如如程序活动、、某些形式句句柄的复制、、间接对象的的访问和退出出进程。对于于“文件及对对象访问”中中的文件和目目录的审计还还需要在资源源管理器中对对要审计的目目录或文件进进行具体设置置。（7）文件和目录录审计。管理和维护NT审计通常情况下，，WindowsNT不是将所有的的事件都记录录日志，而需需要手动启动动审计的功能能。这时需要要首先从“开开始”菜单中中选择“程序序”，然后再再选择“管理理工具”。从从“管理工具具”子菜单选选择“用户管管理器”，显显示出“用户户管理器”窗窗口。然后从从“用户管理理器”菜单中中单击Policies（策略），再再单击audit（审计），““审计策略””窗口就出现现了。接着选选择audittheseevents单选框（审计计这些事件））。最后选择择需要启动的的事件按OK，然后关闭““用户管理器器”。值得注注意的是，在在启动WindowsNT的审计功能时时，需要仔细细选择审计的的内容。审计计日志将产生生大量的数据据，因此较为为合理的方法法是首先设置置进行简单的的审计，然后后在监视系统统性能的情况况下逐步增加加复杂的审计计要求。当需需要审查审计计日志以跟踪踪网络或机器器上的异常事事件时，采用用一些第三方方提供的工具具是一个较有有效率的选择择。习题五简述访问控制制的三个要素素、7种策略。简述访问控制制的内容。简述自主访问问控制模型、、强制访问控控制模型、基基于角色的访访问控制模型型。试述访问控制制的安全策略略以及实施原原则。简述安全审计计的类型。简述日志内容容。日志分析析的主要内容容是什么？简述WindowsNT的访问控制过过程。Windows的审计系统是是如何实现的的？采用什么么策略？基于角色的访访问控制是如如何实现的？？有什么优点点？9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。20:49:4420:49:4420:4912/29/20228:49:44PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2220:49:4420:49Dec-2229-Dec-2212、故人江江海别，，几度隔隔山川。。。20:49:4420:49:4420:49Thursday,December29,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2220:49:4420:49:44December29,202214、他乡生生白发，，旧国