網絡安全11-訪問控制

1、網絡安全訪問控制、審計和備份1網絡安全的構成物理安全性設備的物理安全：防火、防盜、防破壞等通信網絡安全性防止入侵和信息泄露系統(tǒng)安全性計算機系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據安全性數(shù)據的完整、可用數(shù)據保密性信息的加密存儲和傳輸2安全的分層結構和主要技術物理安全層網絡安全層系統(tǒng)安全層用戶安全層應用安全層數(shù)據安全層加密訪問控制授權用戶/組管理單機登錄身份認證反病毒風險評估入侵檢測審計分析安全的通信協(xié)議VPN防火墻存儲備份3系統(tǒng)安全保護計算機和網絡系統(tǒng)中的資源計算機網絡設備存儲介質軟件和程序數(shù)據和數(shù)據庫通信資源：端口、帶寬等最終目標是保護系統(tǒng)中的信息安全

2、4計算機系統(tǒng)安全技術訪問控制和授權安全審計安全風險分析和評估隔離和阻斷（防火墻）入侵檢測災難預防和恢復5用戶帳戶管理帳戶：用于管理訪問計算機系統(tǒng)的實體人軟件實體其它計算機用戶登錄系統(tǒng)時，確定每個用戶訪問系統(tǒng)資源的權限登錄計算機訪問文件系統(tǒng)執(zhí)行系統(tǒng)命令系統(tǒng)管理6用戶登錄用戶只有登錄才能訪問系統(tǒng)用戶身份識別用戶名/口令智能卡身份認證協(xié)議：PAP、CHAP、Kerberos、對用戶的訪問授權根據用戶帳戶數(shù)據庫中的信息對登錄用戶授權存在多種訪問控制方法，相應的授權和管理方法也不同7訪問控制8訪問控制訪問控制為了安全目的，依據策略或權限機制，控制對資源進行的不同授權訪問保障授權用戶能獲取所需資源拒絕非授

3、權用戶的資源訪問請求身份認證是訪問控制的前提條件訪問控制是應用系統(tǒng)不可缺少的重要部分訪問控制包含3個要素：主體、客體和控制策略。9訪問控制的相關概念主體（Subject）是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。通常指用戶或代表用戶執(zhí)行的程序客體（Object）是指接受其它實體訪問的被動實體，是規(guī)定需要保護的資源，又稱作目標。既可以是信息、文件、記錄，也可以是硬件設備控制策略是主體對客體的操作行為集和約束條件集。簡單講，控制策略是主體對客體的訪問規(guī)則集，體現(xiàn)了一種授權行為，也就是客體對主體的權限允許，這種允許不得超過規(guī)則集10訪問控制的目的通過訪問控制策略顯式地準許

4、或限制主體的訪問能力及范圍限制和管理合法用戶對關鍵資源的訪問，使得資源的使用在合法范圍內進行防止和追蹤非法用戶的侵入，以及合法用戶的不慎操作等行為對權威機構造成的破壞11用戶認證、授權和訪問控制計算機系統(tǒng)中，用戶對數(shù)據的訪問必須在系統(tǒng)的控制之下進行，以保證計算機系統(tǒng)的安全性訪問控制一般通過設置訪問權限而實現(xiàn)訪問控制功能一般集成在操作系統(tǒng)中訪問控制建立在用戶身份認證基礎之上訪問控制是審計和計費的前提12訪問控制的一般模型引用監(jiān)視器認證訪問控制授權數(shù)據庫用戶目標目標目標目標目標審 計安全管理員13訪問控制模型基本組成14訪問控制決策單元15訪問控制策略的分類自主訪問控制（Discretionary

5、 Access Control)簡稱DAC強制訪問控制(Mandatory Access Control）簡稱MAC基于角色的訪問控制(Role Based Access Control)簡稱RBAC16訪問控制策略自主訪問控制強制訪問控制基于角色訪問控制訪問控制17自主訪問控制根據用戶的身份或組成員身份，允許合法用戶訪問策略規(guī)定的客體，同時阻止非授權用戶訪問客體用戶還可以把自己所擁有的客體的訪問權限授予其它用戶。自主是指用戶有權對自身所創(chuàng)建的訪問對象(文件、數(shù)據庫表等)進行訪問，有權將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。18自主訪問控制模型的應用自主訪問控制又稱為

6、任意訪問控制，是一種常用的訪問控制方式。UNIX、Windows SERVER版本的操作系統(tǒng)都提供自主訪問控制的功能。在實現(xiàn)上，首先要對用戶的身份進行鑒別，然后按照訪問控制列表所賦予用戶的權限,允許和限制用戶使用客體的資源。主體控制權限的修改通常由特權用戶（管理員）或是特權用戶組實現(xiàn)。19訪問控制表（Acess Control List）以客體為中心建立的訪問權限表。根據訪問者（主體）的請求（客體信息），結合訪問者身份在訪問控制表中查找訪問者的權限，判斷訪問者是否具有操作客體的能力。userAORWOuserB R OuserCRWOObj120訪問能力表（Acess Capabilities

7、 List）以主體為中心建立訪問權限表根據訪問者（主體）的身份，結合請求（客體信息）信息在訪問能力表中查找訪問者的權限，判斷訪問者是否具有操作客體的能力。Obj1ORWOObj2 R OObj3 RWOUserA21實現(xiàn)舉例通過矩陣形式表示訪問控制規(guī)則和授權用戶權限的方法。對每個主體而言，都擁有對哪些客體的哪些訪問權限；而對客體而言，又有哪些主體對他可以實施訪問；將這種關連關系加以闡述，就形成了控制矩陣。如果主體和客體很多，控制矩陣將會成幾何級數(shù)增長，會有大量的空余空間。SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute按列看是訪問控制表

8、內容按行看是訪問能力表內容22自主訪問控制的特點特點根據主體的身份和授權來決定訪問模式缺點信息在移動過程中其訪問權限關系會被改變如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O23強制訪問控制主體和客體都被賦予一定的安全級別，如，絕密級，機密級，秘密級，無密級用戶不能改變自身和客體的安全級別，只有管理員才能夠確定用戶和組的訪問權限根據主體和客體的級別標記來決定訪問模式在實施訪問控制時，系統(tǒng)先對訪問主體和受控客體的安全級別屬性進行比較，再決定訪問主體能否訪問該客體強制訪問控制是指系統(tǒng)對用戶所創(chuàng)建的對象進行統(tǒng)一的強制性控制，按照確定的規(guī)則決定哪些用戶可以對哪些對象

9、進行哪些操作類型的訪問即使是創(chuàng)建者用戶，在創(chuàng)建一個對象后也可能無權訪問該對象24強制訪問控制模型的應用下讀/上寫策略低級用戶和進程不能訪問安全級別比他們高的信息資源 -無上讀安全級別高的用戶和進程也不能向比他安全級別低的用戶和進程寫入數(shù)據 -無下寫保障信息機密性上讀/下寫策略用戶只能向比自己安全級別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級別高的客體信息，避免越權、篡改等行為的產生完整性級別高的文件是一定由完整性高的進程所產生的，從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋保障信息完整性兩個相互對立的模型25自主/強制訪問的問題自主訪問控制配置的粒度小配置的

10、工作量大，效率低強制訪問控制配置的粒度大缺乏靈活性例：1000主體訪問10000客體須1000萬次配置，如每次配置需1秒，每天工作8小時，就需10,000,000/ 3600*8 =347.2天。26基于角色的訪問控制（RBAC）根據分配給主體的角色來管理訪問和權限的處理過程。角色是與一個特定活動相關聯(lián)的一組動作和責任。系統(tǒng)中主體擔任角色，完成角色規(guī)定的責任，具有角色擁有的權利。一個主體可以同時擔任多個角色，它的權限就是多個角色權限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權來盡可能實現(xiàn)主體的最小權限。系統(tǒng)的訪問控制機制只看到角色，而看不到用戶。27RBAC實現(xiàn)過程28基于角色訪問

11、控制的特點提供靈活的授權管理途徑。改變客體的訪問權限改變角色的訪問權限改變主體所擔任的角色靈活、高效的授權管理。企業(yè)的組織結構或系統(tǒng)的安全需求有變化，系統(tǒng)管理員只變更角色權限即可。角色的關系可以實現(xiàn)層次化，便于管理。主體與客體無直接聯(lián)系角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，主體只有通過角色才享有的權限，從而訪問相應的客體。29審計30審計審計：根據一定的策略，通過記錄、分析歷史操作事件發(fā)現(xiàn)和改進系統(tǒng)性能和安全審計的需求幾乎所有的安全事件的查處和追蹤依賴系統(tǒng)歷史事件記錄系統(tǒng)資源的改善需要歷史經驗審計是對訪問控制的必要補充，是訪問控制的一個重要內容，審計是實現(xiàn)系統(tǒng)安全的最后

12、一道防線31審計的作用對潛在的攻擊者起到震攝或警告。對于已經發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據。為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。有助于提供對數(shù)據恢復的幫助。32審計過程審計的基礎在于事件記錄：系統(tǒng)活動記錄；用戶活動記錄；收集審計事件，產生審計記錄；根據記錄進行安全事件的分析；采取處理措施；33應用舉例（1）確定記錄事件類型：登錄及注銷；文件及對象訪問；用戶權力的使用，用戶及組管理；安全性規(guī)則更改；重新啟動關機及系統(tǒng)；進程追蹤等34應用舉例（2）確定記錄事件內容：時間；來源；狀態(tài)（成功、失?。?；類型；用戶；對象等35應用舉例（3）Wi

13、ndows日志文件（ /WINNT/SYSTEM32/CONFIG/ ）：AppEvent.evt（應用程序）SecEvent.evt（安全性）SysEvent.evt（系統(tǒng)）控制面板/管理工具/計算機管理/事件查看器36備份備份的原因災難事故，如火災、地震、洪水等重大意外事故；系統(tǒng)故障，包括軟硬件故障；誤操作或病毒等引起的故障；人為的破壞，例如，黑客、惡意員工等的破壞。37備份的理解備份是系統(tǒng)不可缺少的部分；備份需要代價的，有時影響系統(tǒng)正常運行；備份貴在堅持，尤其系統(tǒng)一直穩(wěn)定運行時，一旦出現(xiàn)故障，備份能使損失降到最少；備份是為恢復做準備；備份要有專人負責；備份計劃依賴備份策略，備份策略依賴系

14、統(tǒng)的功能；38備份策略（1）備份的范圍是多少？數(shù)據、應用程序、操作系統(tǒng)、硬件設備（雙機熱備份）等備份執(zhí)行的頻率是多少？自動還是手工，一般選擇系統(tǒng)最閑時執(zhí)行備份的過程是怎樣的？誰將負責生成正確的備份？由專人或小組負責、檢查、管理。39備份策略（2）備份儲存在哪里？切忌存放在同一物理設備上，同時要求防竊、防磁、防火、防泄密，異地。備份需要維護多長時間？考慮介質老化和兼容問題。需要維護多少份副本？多種方式存儲，提高備份數(shù)據的安全性。40數(shù)據備份類型完全備份所有數(shù)據被復制到存儲介質中。差量備份只有從上一次完全備份之后改變的數(shù)據才需要完整地存儲。增量備份僅僅復制那些在最后一次完全備份或增量備份之后改變的

15、數(shù)據。41不同數(shù)據備份類型對比42恢復稱為重載或重入，是指當磁盤損壞或系統(tǒng)崩潰時，通過轉儲或卸載的備份重新安裝數(shù)據或系統(tǒng)的過程。 恢復技術依賴于備份技術； 43計算機系統(tǒng)的安全級別依據身份認證、訪問控制、審計以及備份等安全機制，計算機系統(tǒng)的安全級別一般分為： DC（C1、C2）B（B1、B2、B3）A44D級不可信的安全最低的安全級別，對系統(tǒng)提供最小的安全防護。硬件和操作系統(tǒng)不提供任何保護，沒有用戶身份認證，沒有訪問控制這個級別的系統(tǒng)包括DOS，WINDOWS98等 45C級C1：選擇性的安全保護提供某種程度的硬件保護支持帳戶管理、用戶授權和訪問控制早期的UnixC2：受控的訪問環(huán)境能夠實現(xiàn)受控安全保護、個人帳戶管理、審計和資源隔離UNIX、LINUX和WindowsNT系統(tǒng)46B級B1：標記的安全保護