網(wǎng)絡(luò)安全11-訪問(wèn)控制.ppt

網(wǎng)絡(luò)安全 訪問(wèn)控制 審計(jì)和備份 網(wǎng)絡(luò)安全的構(gòu)成 物理安全性設(shè)備的物理安全 防火 防盜 防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問(wèn)安全性通過(guò)身份鑒別和訪問(wèn)控制 阻止資源被非法用戶訪問(wèn)數(shù)據(jù)安全性數(shù)據(jù)的完整 可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸 安全的分層結(jié)構(gòu)和主要技術(shù) 物理安全層 網(wǎng)絡(luò)安全層 系統(tǒng)安全層 用戶安全層 應(yīng)用安全層 數(shù)據(jù)安全層 加密 訪問(wèn)控制 授權(quán) 用戶 組管理 單機(jī)登錄 身份認(rèn)證 反病毒 風(fēng)險(xiǎn)評(píng)估 入侵檢測(cè) 審計(jì)分析 安全的通信協(xié)議 VPN 防火墻 存儲(chǔ)備份 系統(tǒng)安全 保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中的資源計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備存儲(chǔ)介質(zhì)軟件和程序數(shù)據(jù)和數(shù)據(jù)庫(kù)通信資源 端口 帶寬等 最終目標(biāo)是保護(hù)系統(tǒng)中的信息安全 計(jì)算機(jī)系統(tǒng)安全技術(shù) 訪問(wèn)控制和授權(quán)安全審計(jì)安全風(fēng)險(xiǎn)分析和評(píng)估隔離和阻斷 防火墻 入侵檢測(cè)災(zāi)難預(yù)防和恢復(fù) 用戶帳戶管理 帳戶 用于管理訪問(wèn)計(jì)算機(jī)系統(tǒng)的實(shí)體人軟件實(shí)體其它計(jì)算機(jī) 用戶登錄系統(tǒng)時(shí) 確定每個(gè)用戶訪問(wèn)系統(tǒng)資源的權(quán)限登錄計(jì)算機(jī)訪問(wèn)文件系統(tǒng)執(zhí)行系統(tǒng)命令系統(tǒng)管理 用戶登錄 用戶只有登錄才能訪問(wèn)系統(tǒng)用戶身份識(shí)別用戶名 口令智能卡身份認(rèn)證協(xié)議 PAP CHAP Kerberos 對(duì)用戶的訪問(wèn)授權(quán)根據(jù)用戶帳戶數(shù)據(jù)庫(kù)中的信息對(duì)登錄用戶授權(quán)存在多種訪問(wèn)控制方法 相應(yīng)的授權(quán)和管理方法也不同 訪問(wèn)控制 訪問(wèn)控制 訪問(wèn)控制為了安全目的 依據(jù)策略或權(quán)限機(jī)制 控制對(duì)資源進(jìn)行的不同授權(quán)訪問(wèn)保障授權(quán)用戶能獲取所需資源拒絕非授權(quán)用戶的資源訪問(wèn)請(qǐng)求身份認(rèn)證是訪問(wèn)控制的前提條件訪問(wèn)控制是應(yīng)用系統(tǒng)不可缺少的重要部分訪問(wèn)控制包含3個(gè)要素 主體 客體和控制策略 訪問(wèn)控制的相關(guān)概念 主體 Subject 是指一個(gè)提出請(qǐng)求或要求的實(shí)體 是動(dòng)作的發(fā)起者 但不一定是動(dòng)作的執(zhí)行者 通常指用戶或代表用戶執(zhí)行的程序客體 Object 是指接受其它實(shí)體訪問(wèn)的被動(dòng)實(shí)體 是規(guī)定需要保護(hù)的資源 又稱(chēng)作目標(biāo) 既可以是信息 文件 記錄 也可以是硬件設(shè)備控制策略是主體對(duì)客體的操作行為集和約束條件集 簡(jiǎn)單講 控制策略是主體對(duì)客體的訪問(wèn)規(guī)則集 體現(xiàn)了一種授權(quán)行為 也就是客體對(duì)主體的權(quán)限允許 這種允許不得超過(guò)規(guī)則集 訪問(wèn)控制的目的 通過(guò)訪問(wèn)控制策略顯式地準(zhǔn)許或限制主體的訪問(wèn)能力及范圍限制和管理合法用戶對(duì)關(guān)鍵資源的訪問(wèn) 使得資源的使用在合法范圍內(nèi)進(jìn)行防止和追蹤非法用戶的侵入 以及合法用戶的不慎操作等行為對(duì)權(quán)威機(jī)構(gòu)造成的破壞 用戶認(rèn)證 授權(quán)和訪問(wèn)控制 計(jì)算機(jī)系統(tǒng)中 用戶對(duì)數(shù)據(jù)的訪問(wèn)必須在系統(tǒng)的控制之下進(jìn)行 以保證計(jì)算機(jī)系統(tǒng)的安全性訪問(wèn)控制一般通過(guò)設(shè)置訪問(wèn)權(quán)限而實(shí)現(xiàn)訪問(wèn)控制功能一般集成在操作系統(tǒng)中訪問(wèn)控制建立在用戶身份認(rèn)證基礎(chǔ)之上訪問(wèn)控制是審計(jì)和計(jì)費(fèi)的前提 訪問(wèn)控制的一般模型 引用監(jiān)視器 認(rèn)證 訪問(wèn)控制 授權(quán)數(shù)據(jù)庫(kù) 用戶 目標(biāo) 目標(biāo) 目標(biāo) 目標(biāo) 目標(biāo) 審計(jì) 安全管理員 訪問(wèn)控制模型基本組成 訪問(wèn)控制決策單元 訪問(wèn)控制策略的分類(lèi) 自主訪問(wèn)控制 DiscretionaryAccessControl 簡(jiǎn)稱(chēng)DAC強(qiáng)制訪問(wèn)控制 MandatoryAccessControl 簡(jiǎn)稱(chēng)MAC基于角色的訪問(wèn)控制 RoleBasedAccessControl 簡(jiǎn)稱(chēng)RBAC 訪問(wèn)控制策略 自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制 基于角色訪問(wèn)控制 訪問(wèn)控制 自主訪問(wèn)控制 根據(jù)用戶的身份或組成員身份 允許合法用戶訪問(wèn)策略規(guī)定的客體 同時(shí)阻止非授權(quán)用戶訪問(wèn)客體用戶還可以把自己所擁有的客體的訪問(wèn)權(quán)限授予其它用戶 自主是指用戶有權(quán)對(duì)自身所創(chuàng)建的訪問(wèn)對(duì)象 文件 數(shù)據(jù)庫(kù)表等 進(jìn)行訪問(wèn) 有權(quán)將對(duì)這些對(duì)象的訪問(wèn)權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問(wèn)權(quán)限 自主訪問(wèn)控制模型的應(yīng)用 自主訪問(wèn)控制又稱(chēng)為任意訪問(wèn)控制 是一種常用的訪問(wèn)控制方式 UNIX WindowsSERVER版本的操作系統(tǒng)都提供自主訪問(wèn)控制的功能 在實(shí)現(xiàn)上 首先要對(duì)用戶的身份進(jìn)行鑒別 然后按照訪問(wèn)控制列表所賦予用戶的權(quán)限 允許和限制用戶使用客體的資源 主體控制權(quán)限的修改通常由特權(quán)用戶 管理員 或是特權(quán)用戶組實(shí)現(xiàn) 訪問(wèn)控制表 AcessControlList 以客體為中心建立的訪問(wèn)權(quán)限表 根據(jù)訪問(wèn)者 主體 的請(qǐng)求 客體信息 結(jié)合訪問(wèn)者身份在訪問(wèn)控制表中查找訪問(wèn)者的權(quán)限 判斷訪問(wèn)者是否具有操作客體的能力 userAORWO userBRO userCRWO Obj1 訪問(wèn)能力表 AcessCapabilitiesList 以主體為中心建立訪問(wèn)權(quán)限表根據(jù)訪問(wèn)者 主體 的身份 結(jié)合請(qǐng)求 客體信息 信息在訪問(wèn)能力表中查找訪問(wèn)者的權(quán)限 判斷訪問(wèn)者是否具有操作客體的能力 Obj1ORWO Obj2RO Obj3RWO UserA 實(shí)現(xiàn)舉例 通過(guò)矩陣形式表示訪問(wèn)控制規(guī)則和授權(quán)用戶權(quán)限的方法 對(duì)每個(gè)主體而言 都擁有對(duì)哪些客體的哪些訪問(wèn)權(quán)限 而對(duì)客體而言 又有哪些主體對(duì)他可以實(shí)施訪問(wèn) 將這種關(guān)連關(guān)系加以闡述 就形成了控制矩陣 如果主體和客體很多 控制矩陣將會(huì)成幾何級(jí)數(shù)增長(zhǎng) 會(huì)有大量的空余空間 Subjects Objects S1 S2 S3 O1 O2 O3 Read write Write Read Execute 按列看是訪問(wèn)控制表內(nèi)容按行看是訪問(wèn)能力表內(nèi)容 自主訪問(wèn)控制的特點(diǎn) 特點(diǎn)根據(jù)主體的身份和授權(quán)來(lái)決定訪問(wèn)模式缺點(diǎn)信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變?nèi)缬脩鬉可將其對(duì)目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶B 從而使不具備對(duì)O訪問(wèn)權(quán)限的B可訪問(wèn)O 強(qiáng)制訪問(wèn)控制 主體和客體都被賦予一定的安全級(jí)別 如 絕密級(jí) 機(jī)密級(jí) 秘密級(jí) 無(wú)密級(jí)用戶不能改變自身和客體的安全級(jí)別 只有管理員才能夠確定用戶和組的訪問(wèn)權(quán)限根據(jù)主體和客體的級(jí)別標(biāo)記來(lái)決定訪問(wèn)模式在實(shí)施訪問(wèn)控制時(shí) 系統(tǒng)先對(duì)訪問(wèn)主體和受控客體的安全級(jí)別屬性進(jìn)行比較 再?zèng)Q定訪問(wèn)主體能否訪問(wèn)該客體強(qiáng)制訪問(wèn)控制是指系統(tǒng)對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制 按照確定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象進(jìn)行哪些操作類(lèi)型的訪問(wèn)即使是創(chuàng)建者用戶 在創(chuàng)建一個(gè)對(duì)象后 也可能無(wú)權(quán)訪問(wèn)該對(duì)象 強(qiáng)制訪問(wèn)控制模型的應(yīng)用 下讀 上寫(xiě)策略低級(jí)用戶和進(jìn)程不能訪問(wèn)安全級(jí)別比他們高的信息資源 無(wú)上讀安全級(jí)別高的用戶和進(jìn)程也不能向比他安全級(jí)別低的用戶和進(jìn)程寫(xiě)入數(shù)據(jù) 無(wú)下寫(xiě)保障信息機(jī)密性上讀 下寫(xiě)策略用戶只能向比自己安全級(jí)別低的客體寫(xiě)入信息 從而防止非法用戶創(chuàng)建安全級(jí)別高的客體信息 避免越權(quán) 篡改等行為的產(chǎn)生完整性級(jí)別高的文件是一定由完整性高的進(jìn)程所產(chǎn)生的 從而保證了完整性級(jí)別高的文件不會(huì)被完整性低的文件或完整性低的進(jìn)程中的信息所覆蓋保障信息完整性兩個(gè)相互對(duì)立的模型 自主 強(qiáng)制訪問(wèn)的問(wèn)題 自主訪問(wèn)控制配置的粒度小配置的工作量大 效率低強(qiáng)制訪問(wèn)控制配置的粒度大缺乏靈活性例 1000主體訪問(wèn)10000客體須1000萬(wàn)次配置 如每次配置需1秒 每天工作8小時(shí) 就需10 000 000 3600 8 347 2天 基于角色的訪問(wèn)控制 RBAC 根據(jù)分配給主體的角色來(lái)管理訪問(wèn)和權(quán)限的處理過(guò)程 角色是與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任 系統(tǒng)中主體擔(dān)任角色 完成角色規(guī)定的責(zé)任 具有角色擁有的權(quán)利 一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色 它的權(quán)限就是多個(gè)角色權(quán)限的總和 基于角色的訪問(wèn)控制就是通過(guò)各種角色的不同搭配授權(quán)來(lái)盡可能實(shí)現(xiàn)主體的最小權(quán)限 系統(tǒng)的訪問(wèn)控制機(jī)制只看到角色 而看不到用戶 RBAC實(shí)現(xiàn)過(guò)程 基于角色訪問(wèn)控制的特點(diǎn) 提供靈活的授權(quán)管理途徑 改變客體的訪問(wèn)權(quán)限改變角色的訪問(wèn)權(quán)限改變主體所擔(dān)任的角色靈活 高效的授權(quán)管理 企業(yè)的組織結(jié)構(gòu)或系統(tǒng)的安全需求有變化 系統(tǒng)管理員只變更角色權(quán)限即可 角色的關(guān)系可以實(shí)現(xiàn)層次化 便于管理 主體與客體無(wú)直接聯(lián)系角色由系統(tǒng)管理員定義 角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行 主體只有通過(guò)角色才享有的權(quán)限 從而訪問(wèn)相應(yīng)的客體 審計(jì) 審計(jì) 審計(jì) 根據(jù)一定的策略 通過(guò)記錄 分析歷史操作事件發(fā)現(xiàn)和改進(jìn)系統(tǒng)性能和安全審計(jì)的需求幾乎所有的安全事件的查處和追蹤依賴(lài)系統(tǒng)歷史事件記錄系統(tǒng)資源的改善需要?dú)v史經(jīng)驗(yàn)審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充 是訪問(wèn)控制的一個(gè)重要內(nèi)容 審計(jì)是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線 審計(jì)的作用 對(duì)潛在的攻擊者起到震攝或警告 對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù) 為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞 有助于提供對(duì)數(shù)據(jù)恢復(fù)的幫助 審計(jì)過(guò)程 審計(jì)的基礎(chǔ)在于事件記錄 系統(tǒng)活動(dòng)記錄 用戶活動(dòng)記錄 收集審計(jì)事件 產(chǎn)生審計(jì)記錄 根據(jù)記錄進(jìn)行安全事件的分析 采取處理措施 應(yīng)用舉例 1 確定記錄事件類(lèi)型 登錄及注銷(xiāo) 文件及對(duì)象訪問(wèn) 用戶權(quán)力的使用 用戶及組管理 安全性規(guī)則更改 重新啟動(dòng)關(guān)機(jī)及系統(tǒng) 進(jìn)程追蹤等 應(yīng)用舉例 2 確定記錄事件內(nèi)容 時(shí)間 來(lái)源 狀態(tài) 成功 失敗 類(lèi)型 用戶 對(duì)象等 應(yīng)用舉例 3 Windows日志文件 WINNT SYSTEM32 CONFIG AppEvent evt 應(yīng)用程序 SecEvent evt 安全性 SysEvent evt 系統(tǒng) 控制面板 管理工具 計(jì)算機(jī)管理 事件查看器 備份 備份的原因?yàn)?zāi)難事故 如火災(zāi) 地震 洪水等重大意外事故 系統(tǒng)故障 包括軟硬件故障 誤操作或病毒等引起的故障 人為的破壞 例如 黑客 惡意員工等的破壞 備份的理解 備份是系統(tǒng)不可缺少的部分 備份需要代價(jià)的 有時(shí)影響系統(tǒng)正常運(yùn)行 備份貴在堅(jiān)持 尤其系統(tǒng)一直穩(wěn)定運(yùn)行時(shí) 一旦出現(xiàn)故障 備份能使損失降到最少 備份是為恢復(fù)做準(zhǔn)備 備份要有專(zhuān)人負(fù)責(zé) 備份計(jì)劃依賴(lài)備份策略 備份策略依賴(lài)系統(tǒng)的功能 備份策略 1 備份的范圍是多少 數(shù)據(jù) 應(yīng)用程序 操作系統(tǒng) 硬件設(shè)備 雙機(jī)熱備份 等備份執(zhí)行的頻率是多少 自動(dòng)還是手工 一般選擇系統(tǒng)最閑時(shí)執(zhí)行備份的過(guò)程是怎樣的 誰(shuí)將負(fù)責(zé)生成正確的備份 由專(zhuān)人或小組負(fù)責(zé) 檢查 管理 備份策略 2 備份儲(chǔ)存在哪里 切忌存放在同一物理設(shè)備上 同時(shí)要求防竊 防磁 防火 防泄密 異地 備份需要維護(hù)多長(zhǎng)時(shí)間 考慮介質(zhì)老化和兼容問(wèn)題 需要維護(hù)多少份副本 多種方式存儲(chǔ) 提高備份數(shù)據(jù)的安全性 數(shù)據(jù)備份類(lèi)型 完全備份所有數(shù)據(jù)被復(fù)制到存儲(chǔ)介質(zhì)中 差量備份只有從上一次完全備份之后改變的數(shù)據(jù)才需要完整地存儲(chǔ) 增量備份僅僅復(fù)制那些在最后一次完全備份或增量備份之后改變的數(shù)據(jù) 不同數(shù)據(jù)備份類(lèi)型對(duì)比 恢復(fù) 稱(chēng)為重載或重入 是指當(dāng)磁盤(pán)損壞或系統(tǒng)崩潰時(shí) 通過(guò)轉(zhuǎn)儲(chǔ)或卸載的備份重新安裝數(shù)據(jù)或系統(tǒng)的過(guò)程 恢復(fù)技術(shù)依賴(lài)于備份技術(shù) 計(jì)算機(jī)系統(tǒng)的安全級(jí)別 依據(jù)身份認(rèn)證 訪問(wèn)控制 審計(jì)以及備份等安全機(jī)制 計(jì)算機(jī)系統(tǒng)的安全級(jí)別一般分為 DC C1 C2 B B1 B2 B3 A D級(jí) 不可信的安全最低的安全級(jí)別 對(duì)系統(tǒng)提供最小的安全防護(hù) 硬件和操作系統(tǒng)不提供任何保護(hù) 沒(méi)有用戶身份認(rèn)證 沒(méi)有訪問(wèn)控制這個(gè)級(jí)別的系統(tǒng)包括DOS WINDOWS98等 C級(jí) C1 選擇性的安全保護(hù)提供某種程度的硬件保護(hù)支持帳戶管理 用戶授權(quán)和訪問(wèn)控制早期的UnixC2 受控的訪問(wèn)環(huán)境能夠?qū)崿F(xiàn)受控安全保護(hù) 個(gè)人帳戶管理 審計(jì)和資源隔離UNIX LINUX和WindowsNT系統(tǒng) B級(jí) B1 標(biāo)記的安