访问控制和系统审计

AccessandInformationFlowControls第9章：访问控制和系统审计第一页，共四十八页。经典安全模型的雏形第二页，共四十八页。基本组成要素（1）明确定义的主体和客体；（2）描述主体如何访问客体的一个授权数据库；（3）约束主体对客体访问尝试的参考监视器；（4）识别和验证主体和客体的可信子系统；（5）审计参考监视器活动的可信子系统。第三页，共四十八页。三种安全机制的关系第四页，共四十八页。计算机安全等级划分为了加强计算机系统的信息安全，1985年美国国防部发表了《可信计算机评估准则》（缩写为TCSEC），它依据处理的信息等级采取的相应对策，划分了4类7个安全等级。依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级第五页，共四十八页。计算机安全等级划分D级：（MinimalProtection）最低安全保护。没有任何安全性防护。C1级：（DiscretionarySecurityProtection）自主安全保护。这一级的系统必须对所有的用户进行分组；对于每个用户必须注册后才能使用；系统必须记录每个用户的注册活动；系统对可能破坏自身的操作发出警告。第六页，共四十八页。计算机安全等级划分C2级：（ControledAccessProtection）可控访问保护。在C1级基础上，增加了以下要求：所有的客体都只有一个主体；对于每个试图访问客体的操作，都必须检验权限；有且仅有主体和主体指定的用户可以更改权限；管理员可以取得客体的所有权，但不能再归还；系统必须保证自身不能被管理员以外的用户改变；系统必须有能力对所有的操作进行记录，并且只有管理员和由管理员指定的用户可以访问该记录。SCOUNIX和WindowsNT属于C2级第七页，共四十八页。计算机安全等级划分B1级：（LabeledSecurityProtection）标识的安全保护。增加：不同的组成员不能访问对方创建的客体，但管理员许可的除外；管理员不能取得客体的所有权。WindowsNT的定制版本可以达到B1级。第八页，共四十八页。计算机安全等级划分B2级：（StructuredProtection）结构化保护。增加：所有的用户都被授予一个安全等级；安全等级较低的用户不能访问高等级用户创建的客体。银行的金融系统通常达到B2级。第九页，共四十八页。计算机安全等级划分B3级：（SecurityDomain）安全域保护。增加：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。第十页，共四十八页。计算机安全等级划分A1级：（VerifiedDesign）可验证设计。在B3的基础上，增加：系统的整体安全策略一经建立便不能修改。第十一页，共四十八页。AccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(resource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilitytickets第十二页，共四十八页。AccessControlMatrixObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWrite第十三页，共四十八页。AccessModesReadallowstheusertoreadtheviewthe.Writeallowstheusertowritetothemayincludecreating,modifying,orappendingontothefile.Executetheusermayloadtheexecuteit.Deletetheusermayremovethisthesystem.Listallowstheusertoviewthefile’sattributes.第十四页，共四十八页。AccessControlTechniquesDiscretionaryAccessControlsMandatoryAccessControlsRole-BasedAccessControls第十五页，共四十八页。Inordertogainaccesstoausermustpresentthesystemwiththefile’spassword.Differenttopasswordusedtogainaccesstothesystem.Eachassigneda(multiple)password(s).Assignmentsystemmanagerortheownerofthefile.Forexample:oneforreading,oneforwriting.第十六页，共四十八页。Easytoimplementandunderstand.Problem:1:passwordsthemselves,alargenumberofpasswordstoremember.2:noeasywaytokeeptrackofwhohasaccesstoafile.3:aaccesstootherfiles.EmbedthepasswordsSpecifyallupfrontSupplythepasswordforeachadditionalfile第十七页，共四十八页。DiscretionaryAccessControls自主访问控制任意访问控制：根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。最常用的一种方法，这种方法允许用户自主地在系统中规定谁可以存取它的资源实体，即用户（包括用户程序和用户进程）可选择同其他用户一起共享某个文件。自主：指具有授与某种访问权力的主体能够自己决定是否将访问权限授予其他的主体。安全操作系统需要具备的特征之一就是自主访问控制，它基于对主体或主体所属的主体组的识别来限制对客体的存取。客体：文件，邮箱、通信信道、终端设备等。第十八页，共四十八页。第十九页，共四十八页。方法1：Directorylist为每一个欲实施访问操作的主体，建立一个能被其访问的“客体目录表（文件目录表）”第二十页，共四十八页。DiscretionaryAccessControls

:AccessControlListsObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWrite第二十一页，共四十八页。AccessControlLists<jane.pay,rw><john.acct,r>第二十二页，共四十八页。DiscretionaryAccessControls

:AccessControlLists第二十三页，共四十八页。DiscretionaryAccessControls

:AccessControlListsItiseasytodeterminealistofallsubjectsgrantedaccesstoaspecificobject.Theeasewithwhichaccesscanberevoked.Storagespaceissaved.Implementfinegranularity:time,location…Difficultyinlistingallobjectsaspecificsubjecthasaccessto.第二十四页，共四十八页。DiscretionaryAccessControls

:CapabilitiesBasedObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWrite第二十五页，共四十八页。DiscretionaryAccessControls

:CapabilitiesBased(Ticket)Ticketpossessedbythesubjectwhichwillgrantaspecifiedmodeofaccessforaspecificobject.Thesystemmaintainsalistoftheseticketsforeachsubject.Passingcopiesoftheticket==giveaccesstoanobjecttoanotheruser.Revokeaccesstofilesbyrecallingthetickets.第二十六页，共四十八页。MandatoryAccessControls根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制用户的权限和客体的安全属性都是固定的所谓“强制”就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。所谓“强制访问控制”是指访问发生前，系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体。第二十七页，共四十八页。SensitivityLabelSECRET[VENUS,TANK,ALPHA]Classification

categories第二十八页，共四十八页。MandatoryAccessControls在强制访问控制中，它将每个用户及文件赋于一个访问级别，如：绝密级（TopSecret）、机密级（Secret）、秘密级（Confidential）及普通级（Unclassified）。其级别为T>Ｓ>Ｃ>Ｕ，实现四种访问控制读写关系：下读(readdown)：用户级别大于文件级别的读操作；上写(Writeup)：用户级别低于文件级别的写操作；下写(Writedown)：用户级别大于文件级别的写操作；上读(readup)：用户级别低于文件级别的读操作；第二十九页，共四十八页。Rules三个因素主体的标签，即你的安全许可TOPSECRET[VENUSTANKALPHA]客体的标签，例如文件LOGISTIC的敏感标签如下：SECRET[VENUSALPHA]访问请求，例如你试图读该文件第三十页，共四十八页。examples第三十一页，共四十八页。Role-BasedAccessControls授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。“角色”指一个或一群用户在组织内可执行的操作的集合。角色就充当着主体（用户）和客体之间的关联的桥梁。这是与传统的访问控制策略的最大的区别所在。主体角色客体第三十二页，共四十八页。FEATURES:以角色作为访问控制的主体用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。

角色继承最小权限原则一方面给予主体“必不可少”的特权；另一方面，它只给予主体“必不可少”的特权。第三十三页，共四十八页。FEATURES职责分离?对于某些特定的操作集，某一个角色或用户不可能同时独立地完成所有这些操作。“职责分离”可以有静态和动态两种实现方式。静态职责分离：只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。动态职责分离：只有当一个角色与一主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。角色容量在创建新的角色时，要指定角色的容量。在一个特定的时间段内，有一些角色只能由一定人数的用户占用。第三十四页，共四十八页。系统审计第三十五页，共四十八页。TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

可信计算机系统第三十六页，共四十八页。BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asubjectcanonlyappend/writetoanobjectifthecurrentsecuritylevelofthesubjectisdominatedby(<=)theclassificationoftheobject第三十七页，共四十八页。ReferenceMonitorCompletemediationIsolationVerifiability第三十八页，共四十八页。TheConceptof

TrustedSystemsReferenceMonitorControllingelementinthehardwareandoperatingsystemofacomputerthatregulatestheaccessofsubjectstoobjectsonbasisofsecurityparametersThemonitorhasaccesstoafile(securitykerneldatabase)Themonitorenforcesthesecurityrules(noreadup,nowritedown)第三十九页，共四十八页。TheConceptof

TrustedSystemsPropertiesoftheReferenceMonitorCompletemediation:SecurityrulesareenforcedoneveryaccessIsolation:ThereferencemonitoranddatabaseareprotectedfromunauthorizedmodificationVerifiability:Thereferencemonitor’scorrectnessmustbeprovable(mathematically)第四十页，共四十八页。TheConceptof

TrustedSystemsAsystemthatcanprovidesuchverifications(properties)isreferredtoasatrustedsystemThatis,itmustbepossibletodemonstratemathematicallythatthereferencemonitorenforcesthesecurityrulesandprovidescompletemediationandisolation.第四十一页，共四十八页。EvaluatedComputerSystemsgovernmentscanevaluateITsystemsagainstarangeofstandards:TCSEC,IPSECandnowCommonCri