访问控制和系统审计

第7章访问控制和系统审计7.1计算机安全等级的划分7.2访问控制7.3系统审计1（ITSEC）（TCSEC）（CTCPEC）FC2除了国际通用准则cc外,国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。

37.1计算机安全等级的划分

CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E641985年，美国国防部发表了《可信计算机评估准则》(缩写为TCSEC)

，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级（从低到高，依次是D、C1、C2、B1、B2、B3和A1级。）,随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。5七个安全等级四个安全等级：无保护级(D1)自主保护级(C1,C2)强制保护级(B1,B2,B3)验证保护级(A1)6

●D级——最低安全保护(MinimalProtection)。没有任何安全性防护，整个系统不可信。对于硬件来说，无任何保护；对于操作系统来说，容易受到损害；对于用户及其访问权限来说，没有身份认证。例：如DOS和Windows95/98等操作系统。

7●C1级——自主安全保护(DiscretionarySecurityProtection)。通过隔离用户与数据，使用户具备自主安全保护的能力,是一种粗粒度安全保护,具有以下特点：用户与数据分离；有效的任意访问控制机制，以便用户保护自己的数据，但是这种访问控制较粗，一般以组为单位进行，用户进行分组并注册后才能使用,而且对这种访问控制机制并不进行严格的检验评估；防止对访问控制机制进行纂改的能力；允许用户决定何时使用访问控制机制，何时不用，以及允许用户决定对哪个客体或哪组客体进行访问.该安全级别典型的有标准Unix8

● C2级——可控访问保护(ControledAccessProtection)。比C1级具有更细粒度的自主访问控制,C2级计算机系统通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责，每个主体对每个客体的每次访问或访问企图都必须能予以审计跟踪；达到C2级的常见操作系统有：UNIX、SCOUNIX、XENIX、Novell3.X、WindowsNT。

9所有的B级(B1、B2、B3)系统都应具有强制访问控制机制。●

B1级——标识的安全保护(LabeledSecurityProtection)。在C2的基础上，支持多级安全，可以使一个处于强制性访问控制下的对象，不允许其所有者改变其权限。如为每个控制主体和客体分配了一个相应的安全级别,不同组的成员不能访问对方创建的客体，但管理员许可的除外,管理员不能取得客体的所有权。WindowsNT的定制版本可以达到B1级。政府机构与防御系统是B1级计算机系统的主要拥有者。10● B2级——结构化保护(StructuredProtection)。在B1的基础上，要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。在设计B2级系统时，应提出一个合理的总体设计方案，设计方案应具有明确的模块化和结构化特征；系统设计应遵循最小授权原则；访问控制机制应对所有主体和客体予以保护；应对系统进行隐秘通道分析，并堵塞所有发现的隐秘通道；系统应具有完整性访问控制机制；系统的设计及代码实现必须完全通过检验和测试，测试的结果必须保证系统完全实现了总体设计方案；在系统运行过程中，应有专人负责系统中访问控制策略的设置和实施，而系统的操作员仅仅承担与系统后续操作有关的职责。

银行的金融系统通常达到B2级。11

● B3级——安全域保护(SecurityDomain)。在B2的基础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。12● A1级——验证设计(VerifiedDesign)。最高级别，包含较低级别的所有特性。包含一个严格的设计、控制和验证过程。设计必须经过数学上的理论验证，而且必须对加密通道和可信任分布进行分析。13我国的安全等级划分1999年9月13日，我国颁布了《计算机信息系统安全保护等级划分准则》(GB17859–1999)，定义了计算机信息系统安全保护能力的五个等级(第一级到第五级)。实际上，国标中将国外的最低级D级和最高级A1级取消，余下的分为五级。TCSEC中的B1级与GB17859的第三级对应。●第一级：用户自主保护级；●第二级：系统审计保护级；●第三级：安全标记保护级；●第四级：结构化保护级；●第五级：访问验证保护级。147.2访问控制

7.2.1访问控制的概念

原始概念——

是对进入系统的控制(用户标识+口令/生物特性/访问卡)

一般概念——

是针对越权使用资源的防御措施

15访问控制的目的是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用,决定用户能做什么，也决定代表一定用户利益的程序能做什么。1617保护域X<文件A，{读，写}><文件B，{读，写}><打印机，{写}>保护域Y<文件C，{读}>图有重叠的保护域保护域每一主体(进程)都在一特定的保护域下工作，保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。可对客体操作的能力称为访问权(AccessRight),访问权定义为有序对的形式187.2.2访问控制的一般策略19

访问控制的策略

—自主访问控制

（DiscretionaryAccessControl,DAC,又称任意访问控制)

特点：

根据主体的身份和授权来决定访问模式。具有某种访问权限主体(用户)能够自主地将访问权限授予其它的主体。缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。20在各种以自主访问控制机制进行访问控制的系统中，存取模式主要有：读(read)，即允许主体对客体进行读和拷贝的操作；写(write)，即允许主体写入或修改信息，包括扩展、压缩及删除等；执行(execute)，就是允许将客体作为一种可执行文件运行,在一些系统中该模式还需要同时拥有读模式；空模式(null)，即主体对客体不具有任何的存取权。21r读wx写执行r读wx写执行r读wx写执行属主组内其它在许多操作系统当中，对文件或者目录的访问控制是通过把各种用户分成三类来实施的：属主(self)、同组的其它用户(group)和其它用户(public)。22访问控制的策略

—强制访问控制

(MandatoryAccessControl,MAC)

特点：

1.将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2.强制：系统强制主体服从访问控制策略上。即由系统（系统管理员）决定一个用户对某个客体能否进行访问。用户和他们的进程不能修改这些属性。只有当主体的敏感等级高于或者等于客体的等级时，访问才是允许，否则将拒绝访问。23在MAC系统当中，所有的访问决策都是由系统作出，而不像自由访问控制当中由用户自行决定。24用户的敏感标签指定了该用户的敏感等级或者信任等级，也被称为安全许可(Clearance)；文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。敏感标签由两个部分组成：类别(Classification)和类集合(Compartments)(有时也称为隔离间)。例如:SECRET[VENUS,TANK,ALPHA]Classification

Categories25对某个客体是否允许访问的决策将由以下三个因素决定：(1)主体的标签，即你的安全许可：TOPSECRET[VENUSTANKALPHA](2)客体的标签，例如文件LOGISTIC的敏感标签如下：SECRET[VENUSALPHA](3)访问请求，例如你试图读该文件。当你试图访问LOGISTIC文件时，系统会比较你的安全许可和文件的标签从而决定是否允许你读该文件。26强制访问控制系统确定读和写规则的判断准则：只有当主体的敏感等级高于或等于客体的等级时，访问才是允许的，否则将拒绝访问。根据主体和客体的敏感等级和读写关系可以有以下四种组合：(1)下读(ReadDown)：主体级别大于客体级别的读操作；(2)上写(WriteUp)：主体级别低于客体级别的写操作；(3)下写(WriteDown)：主体级别大于客体级别的写操作；(4)上读(ReadUp)：主体级别低于客体级别的读操作。

27访问控制的策略 —基于角色的访问控制(Role-BasedAccessControl,RBAC)基于角色的访问控制的核心思想：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定，所谓“角色”，是指一个或一群用户在组织内可执行的操作的集合。角色与组的区别

组 ： 用户集 角色 ： 用户集＋权限集主体角色客体28基于角色的访问控制有以下五个特点:

1)以角色作为访问控制的主体用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。

292)角色继承

“角色继承”:定义的各类角色，它们都有自己的属性，但可能还继承其它角色的属性和权限。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。

30角色继承可以用祖先关系图来表示，图中角色2是角色1的“父亲”，它包含角色1的属性和权限。处于最上面的角色拥有最大的访问权限，越下端的角色拥有的权限越小。角色3角色4角色2角色1包含包含包含313)最小特权原则(LeastPrivilegeTheorem)最小特权原则是系统安全中最基本的原则之一。最小特权:“在完成某种操作时所赋予网络中每个主体(用户或进程)的必不可少的特权”。最小特权原则:“应限定网络中每个主体所必须的最小特权，确保由于可能的事故、错误、网络部件的篡改等原因造成的损失最小”。也就是说,

最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限。

32实现最小权限原则，需分清用户的工作内容，确定执行该项工作的最小权限集，然后将用户限制在这些权限范围之内。在基于角色的访问控制中，可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色执行所需要的才授权给角色。当一个主体需访问某资源时，如果该操作不在主体当前所扮演的角色授权操作之内，该访问将被拒绝。33最小特权原则:

一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。344)职责分离(主体与角色的分离)

“职责分离”可以有静态和动态两种实现方式:

静态职责分离：只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。

动态职责分离：只有当一个角色与一主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。355)角色容量在创建新的角色时，要指定角色的容量:在一个特定的时间段内，有一些角色只能由一定人数的用户占用。367.2.3访问控制的一般实现机制和方法一般实现机制——基于访问控制属性

——〉访问控制表/矩阵

基于用户和资源分级（“安全标签”） ——〉多级访问控制常见实现方法——访问控制表（ACL)访问能力表（Capabilities)授权关系表37SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute访问控制实现方法

——访问控制矩阵

按列看是访问控制表内容按行看是访问能力表内容38userAOwnRWOuserB

R

OuserCRWOObj1访问控制实现方法

——访问控制表(ACL)39访问控制实现方法

——访问能力表(CL)Obj1OwnRWOObj2

R

OObj3

RWOUserA40访问控制实现方法

——授权关系表UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2417.3系统审计审计及审计跟踪

审计(Audit)是指产生、记录并检查按时间顺序排列的系统事件记录的过程，它是一个被信任的机制，也是计算机系统安全机制的一个不可或缺的部分，对于C2及其以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。审计是其它安全机制的有力补充，它贯穿计算机安全机制实现的整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是后来人们研究的入侵检测系统的前提。42

审计跟踪(AuditTrail)是系统活动的记录。即它是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序，对系统的使用情况建立日志记录，以便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统安全的技术手段。审计跟踪可用来实现：确定和保持系统活动中每个人的责任；重建事件；评估损失；监测系统问题区；提供有效的灾难恢复；阻止系统的不正当使用等。43审计过程的实现：第一步，收集并判断事件是否是审计事件，产生审计记录；第二步，根据记录进行安全事件的分析；第三步，采取处理措施（报警并记录，逐出系统并记录其内容，生成记录报告等）。44安全审计分类

1、按照审计对象分类，安全审计可分为三种：

(1)网络审计。包括对网络信息内容和协议的分析；

(2)主机审计。包括对系统资源，如打印机、Modem、系统文件、注册表文件等的使用进行事前控制和事后取证，形成重要的日志文件。

(3)应用系统审计。对各类应用系统的审计，如对各类数据库系统进行审计。

452、按照审计方式分类，安全审计可分为三种：

(1)人工审计：由审计员查看审计记录