身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述

第8章

身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第1頁(yè)圖8-1經(jīng)典安全模型8.1計(jì)算機(jī)安全模型NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第2頁(yè)經(jīng)典安全模型包含以下基本要素：(1)明確定義主體和客體；(2)描述主體怎樣訪(fǎng)問(wèn)客體一個(gè)授權(quán)數(shù)據(jù)庫(kù)；(3)約束主體對(duì)客體訪(fǎng)問(wèn)嘗試參考監(jiān)視器；(4)識(shí)別和驗(yàn)證主體和客體可信子系統(tǒng)；(5)審計(jì)參考監(jiān)視器活動(dòng)審計(jì)子系統(tǒng)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第3頁(yè)能夠看出，這里為了實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全所采取基本安全辦法，即安全機(jī)制有身份認(rèn)證、訪(fǎng)問(wèn)控制和審計(jì)。

參考監(jiān)視器是主體/角色對(duì)客體進(jìn)行訪(fǎng)問(wèn)橋梁.身份識(shí)別與驗(yàn)證，即身份認(rèn)證是主體/角色取得訪(fǎng)問(wèn)授權(quán)第一步，這也是早期黑客入侵系統(tǒng)突破口。訪(fǎng)問(wèn)控制是在主體身份得到認(rèn)證后，依據(jù)安全策略對(duì)主體行為進(jìn)行限制機(jī)制和伎倆。審計(jì)作為一個(gè)安全機(jī)制，它在主體訪(fǎng)問(wèn)客體整個(gè)過(guò)程中都發(fā)揮著作用，為安全分析提供了有利證據(jù)支持。它貫通于身份認(rèn)證、訪(fǎng)問(wèn)控制前前后后。同時(shí)，身份認(rèn)證、訪(fǎng)問(wèn)控制為審計(jì)正確性提供保障。它們之間是互為制約、相互促進(jìn)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第4頁(yè)圖8-2安全機(jī)制NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第5頁(yè)訪(fǎng)問(wèn)控制模型基本結(jié)構(gòu)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第6頁(yè)8.2身份認(rèn)證在有安全需求應(yīng)用系統(tǒng)中，識(shí)別用戶(hù)身份是系統(tǒng)基本要求，身份認(rèn)證是安全系統(tǒng)中不可缺乏一部分，也是防范入侵第一道防線(xiàn)。身份認(rèn)證方法各種多樣，其安全強(qiáng)度也各不相同，詳細(xì)方法可歸結(jié)為3類(lèi)：依據(jù)用戶(hù)知道什么,擁有什么,是什么來(lái)進(jìn)行認(rèn)證。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第7頁(yè)8.2.1用戶(hù)名和口令認(rèn)證

經(jīng)過(guò)用戶(hù)名和口令進(jìn)行身份認(rèn)證是最簡(jiǎn)單，也是最常見(jiàn)認(rèn)證方式，不過(guò)認(rèn)證安全強(qiáng)度不高。全部多用戶(hù)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、Web電子商務(wù)等系統(tǒng)都要求提供用戶(hù)名或標(biāo)識(shí)符（ID），還要求提供口令。系統(tǒng)將用戶(hù)輸入口令與以前保留在系統(tǒng)中該用戶(hù)口令進(jìn)行比較，若完全一致則認(rèn)為認(rèn)證經(jīng)過(guò)，不然不能經(jīng)過(guò)認(rèn)證。依據(jù)處理方式不一樣，有3種方式：口令明文傳送、利用單向散列函數(shù)處理口令、利用單向散列函數(shù)和隨機(jī)數(shù)處理口令，這3種方式安全強(qiáng)度依次增高，處理復(fù)雜度也依次增大。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第8頁(yè)1口令以明文形式傳送時(shí)，沒(méi)有任何保護(hù)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第9頁(yè)2為預(yù)防口令被竊聽(tīng)，可用單向散列函數(shù)處理口令，傳輸口令散列值，而不傳輸口令本身。傳輸口令散列值也存在不安全原因，黑客即使不知道口令原文，不過(guò)他能夠截獲口令散列值，直接把散列值發(fā)送給驗(yàn)證服務(wù)器，也能驗(yàn)證經(jīng)過(guò)，這是一個(gè)重放攻擊。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第10頁(yè)3為處理重放攻擊，服務(wù)器首先生成一個(gè)隨機(jī)數(shù)并發(fā)給用戶(hù)，用戶(hù)把口令散列值與該隨機(jī)數(shù)連接或異或后再用單向散列函數(shù)處理一遍，把最終散列值發(fā)給服務(wù)器。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第11頁(yè)8.2.2令牌和USBkey認(rèn)證令牌實(shí)際上就是一個(gè)智能卡，私鑰存放在令牌中，對(duì)私鑰訪(fǎng)問(wèn)用口令進(jìn)行控制。令牌沒(méi)有物理接口，無(wú)法與計(jì)算機(jī)連接，使用總是不方便.

能夠用USBkey代替。USBkey經(jīng)過(guò)USB接口直接連接在計(jì)算機(jī)上，不需要用戶(hù)手動(dòng)鍵入數(shù)據(jù)，比令牌方便得多。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第12頁(yè)8.2.3生物識(shí)別認(rèn)證

使用生物識(shí)別技術(shù)身份認(rèn)證方法，主要是依據(jù)用戶(hù)圖像、指紋、氣味、聲音等作為認(rèn)證數(shù)據(jù)。在安全性要求很高系統(tǒng)中，能夠把這3種認(rèn)證方法結(jié)合起來(lái)，到達(dá)最高安全性。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第13頁(yè)8.3訪(fǎng)

問(wèn)

控

制

在計(jì)算機(jī)安全防御辦法中，訪(fǎng)問(wèn)控制是極其主要一環(huán)，它是在身份認(rèn)證基礎(chǔ)上，依據(jù)身份正當(dāng)性對(duì)提出資源訪(fǎng)問(wèn)請(qǐng)求加以控制。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第14頁(yè)

8.3.1基本概念廣義地講，全部計(jì)算機(jī)安全都與訪(fǎng)問(wèn)控制相關(guān)。實(shí)際上RFC2828定義計(jì)算機(jī)安全以下：用來(lái)實(shí)現(xiàn)和確保計(jì)算機(jī)系統(tǒng)安全服務(wù)辦法，尤其是確保訪(fǎng)問(wèn)控制服務(wù)辦法。訪(fǎng)問(wèn)控制(AccessControl)是指主體訪(fǎng)問(wèn)客體權(quán)限或能力限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存放數(shù)據(jù)過(guò)程(存取控制)。在訪(fǎng)問(wèn)控制中，主體是訪(fǎng)問(wèn)發(fā)起者，訪(fǎng)問(wèn)客體活動(dòng)資源，通常為進(jìn)程、程序或用戶(hù)?？腕w則是指對(duì)其訪(fǎng)問(wèn)必須進(jìn)行控制資源，客體普通包含各種資源，如文件、設(shè)備、信號(hào)量等。訪(fǎng)問(wèn)控制中第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體之間可能相互作用路徑。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第15頁(yè)保護(hù)域概念。每一主體(進(jìn)程)都在一特定保護(hù)域下工作，保護(hù)域要求了進(jìn)程能夠訪(fǎng)問(wèn)資源。每一域定義了一組客體及能夠?qū)腕w采取操作。可對(duì)客體操作能力稱(chēng)為訪(fǎng)問(wèn)權(quán)(AccessRight)，訪(fǎng)問(wèn)權(quán)定義為有序正確形式。一個(gè)域是訪(fǎng)問(wèn)權(quán)集合。如域X有訪(fǎng)問(wèn)權(quán)，則在域X下運(yùn)行進(jìn)程可對(duì)文件A執(zhí)行讀寫(xiě)，但不能執(zhí)行任何其它操作。保護(hù)域并不是彼此獨(dú)立。它們能夠有交叉，即它們能夠共享權(quán)限。域X和域Y對(duì)打印機(jī)都有寫(xiě)權(quán)限，從而產(chǎn)生了訪(fǎng)問(wèn)權(quán)交叉現(xiàn)象。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第16頁(yè)圖8-3有重合保護(hù)域NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第17頁(yè)

依據(jù)訪(fǎng)問(wèn)控制策略不一樣，訪(fǎng)問(wèn)控制普通分為自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制、基于角色訪(fǎng)問(wèn)控制、基于任務(wù)訪(fǎng)問(wèn)控制、使用控制等。自主訪(fǎng)問(wèn)控制是以前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)較多訪(fǎng)問(wèn)控制機(jī)制，它是依據(jù)訪(fǎng)問(wèn)者身份和授權(quán)來(lái)決定訪(fǎng)問(wèn)模式。強(qiáng)制訪(fǎng)問(wèn)控制是將主體和客體分級(jí)，然后依據(jù)主體和客體級(jí)別標(biāo)識(shí)來(lái)決定訪(fǎng)問(wèn)模式?！皬?qiáng)制”主要表達(dá)在系統(tǒng)強(qiáng)制主體服從訪(fǎng)問(wèn)控制策略上?；诮巧L(fǎng)問(wèn)控制基本思想是：授權(quán)給用戶(hù)訪(fǎng)問(wèn)權(quán)限通常由用戶(hù)在一個(gè)組織中擔(dān)當(dāng)角色來(lái)確定。它依據(jù)用戶(hù)在組織內(nèi)所處角色作出訪(fǎng)問(wèn)授權(quán)和控制，但用戶(hù)不能自主地將訪(fǎng)問(wèn)權(quán)限傳給他人。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第18頁(yè)

8.3.2自主訪(fǎng)問(wèn)控制

自主訪(fǎng)問(wèn)控制又稱(chēng)任意訪(fǎng)問(wèn)控制(DiscretionaryAccessControl，DAC)，是指依據(jù)主體身份或者主體所屬組身份或者二者結(jié)合，對(duì)客體訪(fǎng)問(wèn)進(jìn)行限制一個(gè)方法。它是訪(fǎng)問(wèn)控制辦法中慣用一個(gè)方法，這種訪(fǎng)問(wèn)控制方法允許用戶(hù)能夠自主地在系統(tǒng)中要求誰(shuí)能夠存取它資源實(shí)體，即用戶(hù)(包含用戶(hù)程序和用戶(hù)進(jìn)程)可選擇同其它用戶(hù)一起共享某個(gè)文件。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第19頁(yè)

在各種以自主訪(fǎng)問(wèn)控制機(jī)制進(jìn)行訪(fǎng)問(wèn)控制系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對(duì)客體進(jìn)行讀和拷貝操作；寫(xiě)(write)，即允許主體寫(xiě)入或修改信息，包含擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一個(gè)可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時(shí)擁有讀模式；空模式(null)，即主體對(duì)客體不含有任何存取權(quán)。

自主訪(fǎng)問(wèn)控制缺點(diǎn)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第20頁(yè)自主訪(fǎng)問(wèn)控制詳細(xì)實(shí)施可采取以下四種方法。(1)目錄表(DirectoryList)在目錄表訪(fǎng)問(wèn)控制方法中借用了系統(tǒng)對(duì)文件目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪(fǎng)問(wèn)操作主體，建立一個(gè)能被其訪(fǎng)問(wèn)“客體目錄表(文件目錄表)”。比如某個(gè)主體客體目錄表可能為：客體1:權(quán)限1客體2:權(quán)限2……客體n:權(quán)限n。當(dāng)然，客體目錄表中各個(gè)客體訪(fǎng)問(wèn)權(quán)限修改只能由該客體正當(dāng)屬主確定，不允許其它任何用戶(hù)在客體目錄表中進(jìn)行寫(xiě)操作，不然將可能出現(xiàn)對(duì)客體訪(fǎng)問(wèn)權(quán)偽造。操作系統(tǒng)必須在客體擁有者控制下維護(hù)全部客體目錄。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第21頁(yè)目錄表訪(fǎng)問(wèn)控制機(jī)制優(yōu)點(diǎn)是輕易實(shí)現(xiàn)，每個(gè)主體擁有一張客體目錄表，這么主體能訪(fǎng)問(wèn)客體及權(quán)限就一目了然了，依據(jù)該表對(duì)主體和客體訪(fǎng)問(wèn)與被訪(fǎng)問(wèn)進(jìn)行監(jiān)督比較簡(jiǎn)便。缺點(diǎn)之一是系統(tǒng)開(kāi)銷(xiāo)、浪費(fèi)較大，這是因?yàn)槊總€(gè)用戶(hù)都有一張目錄表，假如某個(gè)客體允許全部用戶(hù)訪(fǎng)問(wèn)，則將給每個(gè)用戶(hù)逐一填寫(xiě)文件目錄表，所以會(huì)造成系統(tǒng)額外開(kāi)銷(xiāo)；二是因?yàn)檫@種機(jī)制允許客體屬主用戶(hù)對(duì)訪(fǎng)問(wèn)權(quán)限實(shí)施傳遞并可屢次進(jìn)行，造成同一文件可能有多個(gè)屬主情形，各屬主每次傳遞訪(fǎng)問(wèn)權(quán)限也難以相同，甚至可能會(huì)把客體改用別名，所以使得能越權(quán)訪(fǎng)問(wèn)用戶(hù)大量存在，在管理上繁亂易錯(cuò)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第22頁(yè)(2)訪(fǎng)問(wèn)控制列表(AccessControlList)訪(fǎng)問(wèn)控制列表策略恰好與目錄表訪(fǎng)問(wèn)控制相反，它是從客體角度進(jìn)行設(shè)置、面向客體訪(fǎng)問(wèn)控制。每個(gè)客體有一個(gè)訪(fǎng)問(wèn)控制列表，用來(lái)說(shuō)明有權(quán)訪(fǎng)問(wèn)該客體全部主體及其訪(fǎng)問(wèn)權(quán)限。訪(fǎng)問(wèn)控制列表方式最大優(yōu)點(diǎn)就是能很好地處理多個(gè)主體訪(fǎng)問(wèn)一個(gè)客體問(wèn)題，不會(huì)像目錄表訪(fǎng)問(wèn)控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪(fǎng)問(wèn)。缺點(diǎn)是因?yàn)樵L(fǎng)問(wèn)控制列表需占用存放空間，而且因?yàn)楦鱾€(gè)客體長(zhǎng)度不一樣而出現(xiàn)存放空間碎片，造成浪費(fèi)；每個(gè)客體被訪(fǎng)問(wèn)時(shí)都需要對(duì)訪(fǎng)問(wèn)控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)行速度和浪費(fèi)了存放空間。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第23頁(yè)(3)訪(fǎng)問(wèn)控制矩陣(AccessControlMatrix)

訪(fǎng)問(wèn)控制矩陣是對(duì)上述兩種方法綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換進(jìn)行定義，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)轉(zhuǎn)換則用命令來(lái)進(jìn)行描述。直觀地看，訪(fǎng)問(wèn)控制矩陣是一張表格，每行代表一個(gè)用戶(hù)(即主體)，每列代表一個(gè)存取目標(biāo)(即客體)，表中縱橫對(duì)應(yīng)項(xiàng)是該用戶(hù)對(duì)該存取客體訪(fǎng)問(wèn)權(quán)集合(權(quán)集)。訪(fǎng)問(wèn)控制矩陣原理示意圖

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第24頁(yè)抽象地說(shuō)，系統(tǒng)訪(fǎng)問(wèn)控制矩陣表示了系統(tǒng)一個(gè)保護(hù)狀態(tài)，假如系統(tǒng)中用戶(hù)發(fā)生了改變，訪(fǎng)問(wèn)對(duì)象發(fā)生了改變，或者某一用戶(hù)對(duì)某個(gè)對(duì)象訪(fǎng)問(wèn)權(quán)限發(fā)生了改變，都能夠看作是系統(tǒng)保護(hù)狀態(tài)發(fā)生了改變。因?yàn)樵L(fǎng)問(wèn)控制矩陣模型只要求了系統(tǒng)狀態(tài)遷移必須有規(guī)則，而沒(méi)有要求是什么規(guī)則，所以該模型靈活性很大，但卻給系統(tǒng)埋下了潛在安全隱患。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第25頁(yè)強(qiáng)制訪(fǎng)問(wèn)控制(MandatoryAccessControl，MAC)是依據(jù)客體中信息敏感標(biāo)簽和訪(fǎng)問(wèn)敏感信息主體訪(fǎng)問(wèn)等級(jí)，對(duì)客體訪(fǎng)問(wèn)實(shí)施限制一個(gè)方法。它主要用于保護(hù)那些處理尤其敏感數(shù)據(jù)(比如，政府保密信息或企業(yè)敏感數(shù)據(jù))系統(tǒng)。在強(qiáng)制訪(fǎng)問(wèn)控制中，用戶(hù)權(quán)限和客體安全屬性都是固定，由系統(tǒng)決定一個(gè)用戶(hù)對(duì)某個(gè)客體能否進(jìn)行訪(fǎng)問(wèn)。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格安全策略與規(guī)則進(jìn)行設(shè)置，用戶(hù)和他們進(jìn)程不能修改這些屬性。8.3.3強(qiáng)制訪(fǎng)問(wèn)控制NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第26頁(yè)圖8-7強(qiáng)制訪(fǎng)問(wèn)控制NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第27頁(yè)8.3.4基于角色訪(fǎng)問(wèn)控制基于角色訪(fǎng)問(wèn)控制(Role-BasedAccessControl，RBAC)關(guān)鍵思想就是：授權(quán)給用戶(hù)訪(fǎng)問(wèn)權(quán)限通常由用戶(hù)在一個(gè)組織中擔(dān)當(dāng)角色來(lái)確定。引入了“角色”這一主要概念，所謂“角色”，是指一個(gè)或一群用戶(hù)在組織內(nèi)可執(zhí)行操作集合。這里角色就充當(dāng)著主體(用戶(hù))和客體之間關(guān)系橋梁。這是與傳統(tǒng)訪(fǎng)問(wèn)控制策略最大區(qū)分所在。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第28頁(yè)圖8-8基于角色訪(fǎng)問(wèn)控制一個(gè)主體能夠含有多個(gè)角色，一個(gè)角色能夠分給多個(gè)主體；一個(gè)角色能夠訪(fǎng)問(wèn)多個(gè)客體，一個(gè)客體能夠被多個(gè)角色訪(fǎng)問(wèn)

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第29頁(yè)

基于角色訪(fǎng)問(wèn)控制有以下五個(gè)特點(diǎn)。

1)以角色作為訪(fǎng)問(wèn)控制主體用戶(hù)以什么樣角色對(duì)資源進(jìn)行訪(fǎng)問(wèn)，決定了用戶(hù)擁有權(quán)限以及可執(zhí)行何種操作。

2)角色繼承為了提升效率，防止相同權(quán)限重復(fù)設(shè)置，RBAC采取了“角色繼承”概念，定義各類(lèi)角色，它們都有自己屬性，但可能還繼承其它角色屬性和權(quán)限。角色繼承把角色組織起來(lái)，能夠很自然地反應(yīng)組織內(nèi)部人員之間職權(quán)、責(zé)任關(guān)系。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第30頁(yè)圖8-8角色繼承NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第31頁(yè)3)最小特權(quán)標(biāo)準(zhǔn)(LeastPrivilegeTheorem)

最小特權(quán)標(biāo)準(zhǔn)是系統(tǒng)安全中最基本標(biāo)準(zhǔn)之一。所謂最小特權(quán)，是指“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶(hù)或進(jìn)程)必不可少特權(quán)”。最小特權(quán)標(biāo)準(zhǔn)則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須最小特權(quán)，確保因?yàn)榭赡苁鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件篡改等原因造成損失最小”。換句話(huà)說(shuō)，最小特權(quán)標(biāo)準(zhǔn)是指用戶(hù)所擁有權(quán)利不能超出他執(zhí)行工作時(shí)所需權(quán)限。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第32頁(yè)在RBAC中，可以根據(jù)組織內(nèi)規(guī)章制度、職員分工等設(shè)計(jì)擁有不一樣權(quán)限角色，只有角色執(zhí)行所需要才授權(quán)給角色。當(dāng)一個(gè)主體需訪(fǎng)問(wèn)某資源時(shí)，如果該操作不在主體當(dāng)前所扮演角色授權(quán)操作之內(nèi)，該訪(fǎng)問(wèn)將被拒絕。最小特權(quán)原則一方面給予主體“必不可少”特權(quán)，這就保證了全部主體都能在所賦予特權(quán)之下完成所需要完成任務(wù)或操作；其次，它只給予主體“必不可少”特權(quán)，這就限制了每個(gè)主體所能進(jìn)行操作。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第33頁(yè)

4)職責(zé)分離（主體與角色分離）對(duì)于一些特定操作集，某一個(gè)角色或用戶(hù)不可能同時(shí)獨(dú)立地完成全部這些操作。“職責(zé)分離”能夠有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶(hù)所屬其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶(hù)。動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體另一個(gè)活躍角色。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第34頁(yè)

5)角色容量在創(chuàng)建新角色時(shí)，要指定角色容量。在一個(gè)特定時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)用戶(hù)占用。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第35頁(yè)

基于角色訪(fǎng)問(wèn)控制是依據(jù)用戶(hù)在系統(tǒng)里表現(xiàn)活動(dòng)性質(zhì)而定，這種活動(dòng)性質(zhì)表明用戶(hù)充當(dāng)了一定角色。用戶(hù)訪(fǎng)問(wèn)系統(tǒng)時(shí)，系統(tǒng)必須先檢驗(yàn)用戶(hù)角色，一個(gè)用戶(hù)能夠充當(dāng)多個(gè)角色，一個(gè)角色也能夠由多個(gè)用戶(hù)擔(dān)任。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第36頁(yè)基于角色訪(fǎng)問(wèn)控制機(jī)制優(yōu)缺點(diǎn)：

模型優(yōu)點(diǎn)在于便于授權(quán)管理、角色劃分、RBAC能夠很輕易地將組織安全策略映射到信息系統(tǒng)中，簡(jiǎn)化安全策略實(shí)施、含有自我管理能力、支持?jǐn)?shù)據(jù)抽象和最小特權(quán)標(biāo)準(zhǔn)等。

基于角色訪(fǎng)問(wèn)控制是一個(gè)有效而靈活安全辦法，當(dāng)前仍處于深入研究和廣泛使用之中。但也存在缺點(diǎn)，RBAC模型是基于主體－客體觀點(diǎn)被動(dòng)安全模型,它是從系統(tǒng)角度(控制環(huán)境是靜態(tài))出發(fā)保護(hù)資源。授權(quán)是靜態(tài),不具備動(dòng)態(tài)適應(yīng)性，這顯然使系統(tǒng)面臨極大安全威脅，難以適應(yīng)動(dòng)態(tài)開(kāi)放網(wǎng)絡(luò)環(huán)境。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第37頁(yè)8.3.5基于任務(wù)訪(fǎng)問(wèn)控制(Task-BasedAccessControl)

TBAC模型是一個(gè)基于任務(wù)、采取動(dòng)態(tài)授權(quán)主動(dòng)安全模型。它從應(yīng)用和企業(yè)角度來(lái)處理安全問(wèn)題。TBAC模型采取面向任務(wù)觀點(diǎn),從任務(wù)角度來(lái)建立安全模型和實(shí)現(xiàn)安全機(jī)制,在任務(wù)處理過(guò)程中提供實(shí)時(shí)安全管理。它將訪(fǎng)問(wèn)權(quán)限與任務(wù)相結(jié)合,客體訪(fǎng)問(wèn)控制權(quán)限并不是靜止不變,而是伴隨執(zhí)行任務(wù)上下文環(huán)境改變而改變。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第38頁(yè)TBAC基本概念以下(1)(1)授權(quán)步驟（AuthorizationStep）：是指在一個(gè)工作流程中對(duì)處理對(duì)象(如辦公流程中原文檔)一次處理過(guò)程。它是訪(fǎng)問(wèn)控制所能控制最小單元。授權(quán)步由受托人集（TrusteeSet）和多個(gè)許可集（PermissionsSet）組成。受托人集是可被授予執(zhí)行授權(quán)步用戶(hù)集合，許可集則是受托人集組員被授予授權(quán)步時(shí)擁有訪(fǎng)問(wèn)許可。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第39頁(yè)(2)授權(quán)單元（AuthorizationUnit）：授權(quán)單元是由一個(gè)或多個(gè)授權(quán)步驟組成單元，它們?cè)谶壿嬌鲜窍嗷ヂ?lián)絡(luò)。授權(quán)單元分為普通授權(quán)單元和復(fù)合授權(quán)單元。普通授權(quán)單元內(nèi)授權(quán)步驟按次序依次執(zhí)行;復(fù)合授權(quán)單元內(nèi)部每個(gè)授權(quán)步驟緊密聯(lián)絡(luò)，其中任何一個(gè)授權(quán)步驟失敗都會(huì)造成整個(gè)單元失敗。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第40頁(yè)TBAC基本概念以下(2)(3)任務(wù)（Task）：任務(wù)是工作流程中一個(gè)邏輯單元。它是一個(gè)可區(qū)分動(dòng)作，可能與多個(gè)用戶(hù)相關(guān)，也可能包含幾個(gè)子任務(wù)。一個(gè)任務(wù)包含以下特征：①長(zhǎng)久存在；②可能包含多個(gè)子任務(wù)；③完成一個(gè)子任務(wù)可能需要不一樣人。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第41頁(yè)(4)依賴(lài)（Dependency）：依賴(lài)是指授權(quán)步驟之間或授權(quán)單元之間相互關(guān)系，包含次序依賴(lài)、失敗依賴(lài)、分權(quán)依賴(lài)和代理依賴(lài)。依賴(lài)反應(yīng)了基于任務(wù)訪(fǎng)問(wèn)控制標(biāo)準(zhǔn)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第42頁(yè)圖3-3TBAC模型NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第43頁(yè)TBAC優(yōu)缺點(diǎn)TBAC主動(dòng)、動(dòng)態(tài)等特征,使其廣泛應(yīng)用于工作流、分布式處理、多點(diǎn)訪(fǎng)問(wèn)控制信息處理和事務(wù)管理系統(tǒng)決議制訂等方面。盡管TBAC具備許多特點(diǎn),但當(dāng)應(yīng)用于復(fù)雜企業(yè)環(huán)境時(shí),就會(huì)暴露出本身缺點(diǎn)。比如在實(shí)際企業(yè)環(huán)境中,角色是一個(gè)非常主要概念,但TBAC中并沒(méi)有將角色與任務(wù)清楚地分離開(kāi)來(lái),也不支持角色層次等級(jí)，也無(wú)法表示職責(zé)分離約束；另外,訪(fǎng)問(wèn)控制并非都是主動(dòng),也有屬于被動(dòng)形式,但TBAC并不支持被動(dòng)訪(fǎng)問(wèn)控制，同時(shí)，任務(wù)劃分也不明確。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第44頁(yè)2.3.6基于任務(wù)和角色訪(fǎng)問(wèn)控制模型（T－RBAC）

T－RBAC是一個(gè)動(dòng)態(tài)授權(quán)主動(dòng)安全模型，它將從系統(tǒng)角度出發(fā)保護(hù)資源RBAC模型和從應(yīng)用和企業(yè)層角度出發(fā)處理安全問(wèn)題TBAC模型結(jié)合在一起，結(jié)合二者優(yōu)點(diǎn)而構(gòu)建訪(fǎng)問(wèn)控制模型。其主要思想是將角色與任務(wù)相關(guān)聯(lián),然后再給任務(wù)賦予相關(guān)權(quán)限。這么,在工作流應(yīng)用訪(fǎng)問(wèn)控制時(shí),權(quán)限與任務(wù)相關(guān)聯(lián)主要目標(biāo)是實(shí)現(xiàn)對(duì)權(quán)限動(dòng)態(tài)管理,而將角色與任務(wù)相關(guān)聯(lián)有利于管理人員掌握角色所執(zhí)行任務(wù)和客體之間相關(guān)信息。在更新角色權(quán)限時(shí),以任務(wù)為中介十分便于管理人員對(duì)角色管理。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第45頁(yè)T－RBAC同時(shí)擁有角色與任務(wù)兩個(gè)同等主要元素，符合企業(yè)環(huán)境中職員經(jīng)過(guò)接收任務(wù)而進(jìn)行工作思想。一定程度上實(shí)現(xiàn)了動(dòng)靜結(jié)合訪(fǎng)問(wèn)控制，使角色操作、維護(hù)和任務(wù)管理變得簡(jiǎn)單方便,也使得系統(tǒng)變得更為安全。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第46頁(yè)TRBAC基于任務(wù)-角色層次模型NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第47頁(yè)但T－RBAC模型也存在其不足，其授權(quán)策略大都是基于工作流應(yīng)用環(huán)境出發(fā)考慮訪(fǎng)問(wèn)控制。即使改進(jìn)了TRBAC模型滿(mǎn)足了有效性，但對(duì)于現(xiàn)今高動(dòng)態(tài)、開(kāi)放式網(wǎng)絡(luò)環(huán)境還存在很多不足，比如客體屬性更新不但可能發(fā)生在主體訪(fǎng)問(wèn)客體前，而且可能在整個(gè)訪(fǎng)問(wèn)過(guò)程中和訪(fǎng)問(wèn)后也需要更新。主體在訪(fǎng)問(wèn)客體時(shí)需要完成一定操作行為，系統(tǒng)才允許訪(fǎng)問(wèn)?；蛘咴L(fǎng)問(wèn)需要滿(mǎn)足執(zhí)行環(huán)境和系統(tǒng)狀態(tài)才能夠進(jìn)行。而這些需求在TRBAC模型中還不能完全處理，缺乏對(duì)當(dāng)代訪(fǎng)問(wèn)控制領(lǐng)域若干新概念支持。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第48頁(yè)8.3.8訪(fǎng)問(wèn)控制小結(jié)

訪(fǎng)問(wèn)控制主要優(yōu)點(diǎn)主要缺點(diǎn)DAC是基于授權(quán)者訪(fǎng)問(wèn)控制伎倆，訪(fǎng)問(wèn)控制靈活安全可靠性低，會(huì)造成存放空間和查找時(shí)間浪費(fèi)MAC基于管理信息流控制標(biāo)準(zhǔn)，支持各種級(jí)別安全梯度，含有高安全性授權(quán)方式不太靈活，安全級(jí)別劃分困難RBAC是一個(gè)策略中立訪(fǎng)問(wèn)控制方式，授權(quán)靈活，使用繼承和約束概念，能輕易融合新技術(shù)最小權(quán)限約束還不夠細(xì)化，效率低且動(dòng)態(tài)適應(yīng)性差，只能用于被動(dòng)訪(fǎng)問(wèn)控制TBAC基于活動(dòng)動(dòng)態(tài)安全模型，訪(fǎng)問(wèn)控制客體是動(dòng)態(tài)改變，且權(quán)限使用也是有時(shí)效角色和任務(wù)沒(méi)有分離，且只能進(jìn)行主動(dòng)訪(fǎng)問(wèn)控制TRBAC是一個(gè)動(dòng)態(tài)授權(quán)主動(dòng)安全模型，同時(shí)擁有角色與任務(wù)兩個(gè)同等主要元素，實(shí)現(xiàn)了動(dòng)靜結(jié)合訪(fǎng)問(wèn)控制思想只針對(duì)于工作流來(lái)考慮，缺乏對(duì)任務(wù)特征細(xì)化，以及不能適應(yīng)系統(tǒng)多樣性訪(fǎng)問(wèn)控制需求UCON是一個(gè)將傳統(tǒng)訪(fǎng)問(wèn)控制、信任管理和數(shù)字版權(quán)管理集成一個(gè)訪(fǎng)問(wèn)控制框架。在定義了授權(quán)、義務(wù)、和條件同時(shí)提出了連續(xù)性易變性?xún)纱筇卣?。豐富和完善了訪(fǎng)問(wèn)控制，適適用于當(dāng)代開(kāi)放式網(wǎng)絡(luò)環(huán)境。還只是一個(gè)高度抽象參考性基本框架模型，它闡述了使用控制中最基本問(wèn)題，不過(guò)不包括到管理，委托授權(quán)，以及其它后期工作中出現(xiàn)諸如并發(fā)性等主要問(wèn)題NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第49頁(yè)8.4案例：企業(yè)Web系統(tǒng)中RBAC

這個(gè)簡(jiǎn)單例子包含3個(gè)模塊：模塊管理、角色管理和用戶(hù)管理，采取以角色為中心安全模型。此模型將系統(tǒng)模塊權(quán)限和用戶(hù)分開(kāi)，使用角色作為一個(gè)中間層。用戶(hù)訪(fǎng)問(wèn)模塊時(shí)，經(jīng)過(guò)其所對(duì)應(yīng)角色對(duì)該模塊訪(fǎng)問(wèn)權(quán)限來(lái)取得訪(fǎng)問(wèn)模塊權(quán)限，經(jīng)過(guò)這種分層管理模式能夠?qū)崿F(xiàn)有效訪(fǎng)問(wèn)控制。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第50頁(yè)角色1角色2部門(mén)1部門(mén)2部門(mén)3部門(mén)4……用戶(hù)1用戶(hù)2用戶(hù)3…………模塊1模塊2模塊3模塊4……圖8-10用戶(hù)、角色和模塊間關(guān)系NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第51頁(yè)說(shuō)明角色是為系統(tǒng)安全而設(shè)計(jì)抽象層，同一角色里組員含有相同模塊操作權(quán)限。不過(guò)角色不像機(jī)構(gòu)部門(mén)那樣有固定組員和組織結(jié)構(gòu)，并非真正實(shí)體，能夠依據(jù)需求任意地建立和刪除角色。角色組員為部門(mén)員工，角色組員也能夠不受限制進(jìn)行任意組合。經(jīng)過(guò)這種設(shè)計(jì)思想形成三層安全模型，第一層為用戶(hù)，第二層為角色，第三層為系統(tǒng)模塊。用戶(hù)和角色之間建立關(guān)系，角色和模塊權(quán)限之間建立關(guān)系，而用戶(hù)和模塊權(quán)限之間沒(méi)有直接關(guān)系。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第52頁(yè)用戶(hù)、角色和模塊數(shù)據(jù)訪(fǎng)問(wèn)結(jié)構(gòu)圖用戶(hù)信息用戶(hù)角色關(guān)系信息角色信息角色模塊信息模塊信息數(shù)據(jù)庫(kù)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第53頁(yè)8.5系統(tǒng)審計(jì)

美國(guó)國(guó)防部(DOD)在20世紀(jì)70年代支持一項(xiàng)內(nèi)容廣泛研究計(jì)劃，該計(jì)劃研究安全策略、安全指南和“可信系統(tǒng)”控制?？尚畔到y(tǒng)定義為：“能夠提供足夠硬件和軟件，以確保系統(tǒng)同時(shí)處理一定范圍內(nèi)敏感或分級(jí)信息”。審計(jì)機(jī)制被納入《可信計(jì)算機(jī)系統(tǒng)評(píng)定準(zhǔn)則》(“橙皮書(shū)”)中。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第54頁(yè)

8.5.1審計(jì)及審計(jì)跟蹤

審計(jì)(Audit)是指產(chǎn)生、統(tǒng)計(jì)并檢驗(yàn)按時(shí)間次序排列系統(tǒng)事件統(tǒng)計(jì)過(guò)程，它是一個(gè)被信任機(jī)制。同時(shí)，它也是計(jì)算機(jī)系統(tǒng)安全機(jī)制一個(gè)不可或缺部分，對(duì)于C2及其以上安全級(jí)別計(jì)算機(jī)系統(tǒng)來(lái)講，審計(jì)功效是其必備安全機(jī)制。而且，審計(jì)是其它安全機(jī)制有力補(bǔ)充，它貫通計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)整個(gè)過(guò)程，從身份認(rèn)證到訪(fǎng)問(wèn)控制這些都離不開(kāi)審計(jì)。同時(shí)，審計(jì)還是以后人們研究入侵檢測(cè)系統(tǒng)前提。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第55頁(yè)

審計(jì)跟蹤(AuditTrail）是系統(tǒng)活動(dòng)統(tǒng)計(jì)，這些統(tǒng)計(jì)足以重構(gòu)、評(píng)定、審查環(huán)境和活動(dòng)次序，這些環(huán)境和活動(dòng)是同一項(xiàng)事務(wù)開(kāi)始到最終結(jié)束期間圍繞或造成一項(xiàng)操作、一個(gè)過(guò)程或一個(gè)事件相關(guān)。從這個(gè)意義來(lái)講，審計(jì)跟蹤可用來(lái)實(shí)現(xiàn)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人責(zé)任；重建事件；評(píng)定損失；監(jiān)測(cè)系統(tǒng)問(wèn)題區(qū)；提供有效災(zāi)難恢復(fù)；阻止系統(tǒng)不正當(dāng)使用等。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第56頁(yè)

作為一個(gè)安全機(jī)制，計(jì)算機(jī)系統(tǒng)審計(jì)機(jī)制安全目標(biāo)有：●審查基于每個(gè)目標(biāo)或每個(gè)用戶(hù)訪(fǎng)問(wèn)模式，并使用系統(tǒng)保護(hù)機(jī)制?！癜l(fā)覺(jué)試圖繞過(guò)保護(hù)機(jī)制外部人員和內(nèi)部人員?！癜l(fā)覺(jué)用戶(hù)從低等級(jí)到高等級(jí)訪(fǎng)問(wèn)權(quán)限轉(zhuǎn)移?！褡柚褂脩?hù)企圖繞過(guò)系統(tǒng)保護(hù)機(jī)制嘗試?！褡鳛榱硪粋€(gè)機(jī)制確保統(tǒng)計(jì)并發(fā)覺(jué)用戶(hù)企圖繞過(guò)保護(hù)嘗試，為損失控制提供足夠信息。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第57頁(yè)

8.5.2安全審計(jì)審計(jì)是統(tǒng)計(jì)用戶(hù)使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全部活動(dòng)過(guò)程，它是提升安全性主要工具。安全審計(jì)跟蹤機(jī)制價(jià)值在于：經(jīng)過(guò)事后安全審計(jì)能夠檢測(cè)和調(diào)查安全漏洞。

(1)它不但能夠識(shí)別誰(shuí)訪(fǎng)問(wèn)了系統(tǒng)，還能指出系統(tǒng)正被怎樣使用。

(2)對(duì)于確定是否有網(wǎng)絡(luò)攻擊情況，審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很主要。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第58頁(yè)

(3)系統(tǒng)事件統(tǒng)計(jì)能夠更快速和系統(tǒng)地識(shí)別問(wèn)題，而且它是后面階段事故處理主要依據(jù)。

(4)經(jīng)過(guò)對(duì)安全事件不停搜集與積累而且加以分析，有選擇性地對(duì)其中一些站點(diǎn)或用戶(hù)進(jìn)行審計(jì)跟蹤，以提供發(fā)覺(jué)可能產(chǎn)生破壞性行為有力證據(jù)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第59頁(yè)

安全審計(jì)就是對(duì)系統(tǒng)統(tǒng)計(jì)與行為進(jìn)行獨(dú)立品評(píng)考查，目標(biāo)是：

(1)測(cè)試系統(tǒng)控制是否恰當(dāng)，確保與既定安全策略和操作能夠協(xié)調(diào)一致。

(2)有利于作出損害評(píng)定。

(3)對(duì)控制、策略與規(guī)程中特定改變作出評(píng)價(jià)。

NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第60頁(yè)

安全審計(jì)跟蹤將考慮：

1)要選擇統(tǒng)計(jì)什么信息審計(jì)統(tǒng)計(jì)必須包含網(wǎng)絡(luò)中任何用戶(hù)、進(jìn)程、實(shí)體取得某一級(jí)別安全等級(jí)嘗試：包含注冊(cè)、注銷(xiāo)，超級(jí)用戶(hù)訪(fǎng)問(wèn)，產(chǎn)生各種票據(jù)，其它各種訪(fǎng)問(wèn)狀態(tài)改變，并尤其注意公共服務(wù)器上匿名或客人賬號(hào)。實(shí)際搜集數(shù)據(jù)隨站點(diǎn)和訪(fǎng)問(wèn)類(lèi)型不一樣而不一樣。通常要搜集數(shù)據(jù)包含：用戶(hù)名和主機(jī)名，權(quán)限變更情況，時(shí)間戳，被訪(fǎng)問(wèn)對(duì)象和資源。當(dāng)然這也依賴(lài)于系統(tǒng)空間。(注意不要搜集口令信息)NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第61頁(yè)2)在什么條件下統(tǒng)計(jì)信息

3)為了交換安全審計(jì)跟蹤信息所采取語(yǔ)法和語(yǔ)義定義搜集審計(jì)跟蹤信息，經(jīng)過(guò)列舉被統(tǒng)計(jì)安全事件類(lèi)別(比如顯著違反安全要求或成功完成操作)，應(yīng)能適應(yīng)各種不一樣需要。已知安全審計(jì)存在可對(duì)一些潛在侵犯安全攻擊源起到威攝作用。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第62頁(yè)

審計(jì)是系統(tǒng)安全策略一個(gè)主要組成部分，它貫通整個(gè)系統(tǒng)不一樣安全機(jī)制實(shí)現(xiàn)過(guò)程，它為其它安全策略改進(jìn)和完善提供了必要信息。而且，它深入研究為以后一些安全策略誕生和發(fā)展提供了契機(jī)。以后發(fā)展起來(lái)入侵檢測(cè)系統(tǒng)就是在審計(jì)機(jī)制基礎(chǔ)上得到啟示而快速發(fā)展起來(lái)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第63頁(yè)8.6

PMI

訪(fǎng)問(wèn)控制就是控制用戶(hù)訪(fǎng)問(wèn)資源權(quán)限，怎樣證實(shí)用戶(hù)所含有權(quán)限正是PMI要做事情。8.6.1PMI概述授權(quán)管理基礎(chǔ)設(shè)施PMI(PrivilegeManagementInfrastructure)是國(guó)家信息安全基礎(chǔ)設(shè)施(NationalInformationSecurityInfrastructure，NISI)一個(gè)主要組成部分。目標(biāo)是：向用戶(hù)和應(yīng)用程序提供授權(quán)管理服務(wù)

提供用戶(hù)身份到應(yīng)用授權(quán)映射功效提供與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)、與詳細(xì)應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)授權(quán)和訪(fǎng)問(wèn)控制機(jī)制簡(jiǎn)化詳細(xì)應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第64頁(yè)屬性證書(shū)授權(quán)管理基礎(chǔ)設(shè)施PMI是一個(gè)由屬性證書(shū)(AttributeCertificate,AC)、屬性權(quán)威(AttributeAuthority,AA)、屬性證書(shū)庫(kù)等部件組成綜合系統(tǒng)，用來(lái)實(shí)現(xiàn)權(quán)限和證書(shū)產(chǎn)生、管理、存放、分發(fā)和撤消等功效。PMI使用屬性證書(shū)表示和容納權(quán)限信息，經(jīng)過(guò)管理證書(shū)生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期管理。屬性證書(shū)申請(qǐng)、簽發(fā)、撤消、驗(yàn)證流程對(duì)應(yīng)著權(quán)限申請(qǐng)、發(fā)放、撤消、使用和驗(yàn)證過(guò)程。而且，使用屬性證書(shū)進(jìn)行權(quán)限管理使得權(quán)限管理無(wú)須依賴(lài)某個(gè)詳細(xì)應(yīng)用，而且利于權(quán)限安全分布式應(yīng)用。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第65頁(yè)P(yáng)MI與PKI比較授權(quán)管理基礎(chǔ)設(shè)施PMI以資源管理為關(guān)鍵，對(duì)資源訪(fǎng)問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一處理。同公鑰基礎(chǔ)設(shè)施PKI相比，二者主要區(qū)分在于：PKI證實(shí)用戶(hù)是誰(shuí)，而PMI證實(shí)這個(gè)用戶(hù)有什么權(quán)限，能干什么，而且授權(quán)管理基礎(chǔ)設(shè)施PMI需要公鑰基礎(chǔ)設(shè)施PKI為其提供身份認(rèn)證。PMI與PKI在結(jié)構(gòu)上是非常相同。信任基礎(chǔ)都是相關(guān)權(quán)威機(jī)構(gòu)，由他們決定建立身份認(rèn)證系統(tǒng)和屬性特權(quán)機(jī)構(gòu)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第66頁(yè)在PKI中，由相關(guān)部門(mén)建立并管理根CA，下設(shè)各級(jí)CA、RA和其它機(jī)構(gòu)；在PMI中，由相關(guān)部門(mén)建立權(quán)威源點(diǎn)SOA(SourceOfAuthority)，下設(shè)分布式AA和其它機(jī)構(gòu)。PMI實(shí)際上提出了一個(gè)新信息保護(hù)基礎(chǔ)設(shè)施，能夠與PKI和目錄服務(wù)緊密地集成，并系統(tǒng)地建立起對(duì)認(rèn)可用戶(hù)特定授權(quán)，對(duì)權(quán)限管理進(jìn)行了系統(tǒng)定義和描述，完整地提供了授權(quán)服務(wù)所需過(guò)程。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第67頁(yè)8.6.2PMI技術(shù)授權(quán)管理模式及其優(yōu)點(diǎn)

授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶(hù)操作授權(quán)管理，即在虛擬網(wǎng)絡(luò)空間中用戶(hù)角色與最終應(yīng)用系統(tǒng)中用戶(hù)操作權(quán)限之間建立一個(gè)映射關(guān)系。當(dāng)前建立授權(quán)服務(wù)體系關(guān)鍵技術(shù)主要是授權(quán)管理基礎(chǔ)設(shè)施PMI技術(shù)。PMI技術(shù)經(jīng)過(guò)數(shù)字證書(shū)機(jī)制來(lái)管理用戶(hù)授權(quán)信息，并將授權(quán)管理功效從傳統(tǒng)應(yīng)用系統(tǒng)中分離出來(lái)，以獨(dú)立服務(wù)方式面向應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第68頁(yè)因?yàn)閿?shù)字證書(shū)機(jī)制提供了對(duì)授權(quán)信息安全保護(hù)功效，所以，作為用戶(hù)授權(quán)信息存放載體屬性證書(shū)一樣能夠經(jīng)過(guò)公開(kāi)方式對(duì)外公布。在PMI中主要使用基于角色訪(fǎng)問(wèn)控制。其中角色提供了間接分配權(quán)限方法。在實(shí)際應(yīng)用中，個(gè)人被簽發(fā)角色分配證書(shū)使之含有一個(gè)或多個(gè)對(duì)應(yīng)角色，而每個(gè)角色含有權(quán)限經(jīng)過(guò)角色定義來(lái)說(shuō)明，而不是將權(quán)限放在屬性證書(shū)中分配給個(gè)人。這種間接權(quán)限分配方式使得角色權(quán)限更新時(shí)，無(wú)須撤消每一個(gè)屬性證書(shū)，極大地減小了管理開(kāi)銷(xiāo)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第69頁(yè)基于PMI技術(shù)授權(quán)管理模式主要存在以下三個(gè)方面優(yōu)勢(shì)：

1.授權(quán)管理靈活性基于PMI技術(shù)授權(quán)管理模式能夠經(jīng)過(guò)屬性證書(shū)使用期以及委托授權(quán)機(jī)制來(lái)靈活地進(jìn)行授權(quán)管理，從而實(shí)現(xiàn)了傳統(tǒng)訪(fǎng)問(wèn)控制技術(shù)領(lǐng)域中強(qiáng)制訪(fǎng)問(wèn)控制模式與自主訪(fǎng)問(wèn)控制模式有機(jī)結(jié)合，其靈活性是傳統(tǒng)授權(quán)管理模式所無(wú)法比擬。2.授權(quán)操作與業(yè)務(wù)操作相分離基于授權(quán)服務(wù)體系授權(quán)管理模式將業(yè)務(wù)管理工作與授權(quán)管理工作完全分離，愈加明確了業(yè)務(wù)管理員和安全管理員之間職責(zé)分工，能夠有效地防止因?yàn)闃I(yè)務(wù)管理人員參加到授權(quán)管理活動(dòng)中而可能帶來(lái)一些問(wèn)題。加強(qiáng)了授權(quán)管理可信度。3.多授權(quán)模型靈活支持基于PMI技術(shù)授權(quán)管理模式將整個(gè)授權(quán)管理體系從應(yīng)用系統(tǒng)中分離出來(lái)，授權(quán)管理模塊本身維護(hù)和更新操作將與詳細(xì)應(yīng)用系統(tǒng)無(wú)關(guān)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第70頁(yè)8.6.3PMI系統(tǒng)架構(gòu)

PMI授權(quán)服務(wù)體系以高度集中方式管理用戶(hù)和為用戶(hù)授權(quán)，而且采取適當(dāng)用戶(hù)身份信息來(lái)實(shí)現(xiàn)用戶(hù)認(rèn)證，主要是PKI體系下數(shù)字證書(shū)，也包含動(dòng)態(tài)口令或者指紋認(rèn)證技術(shù)。安全平臺(tái)將授權(quán)管理功效從應(yīng)用系統(tǒng)中分離出來(lái)，以獨(dú)立和集中服務(wù)方式面向整個(gè)網(wǎng)絡(luò)，統(tǒng)一為各應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)。PMI在體系上能夠分為三級(jí)，分別是信任源點(diǎn)SOA中心、屬性權(quán)威機(jī)構(gòu)AA中心和AA代理點(diǎn)。在實(shí)際應(yīng)用中，這種分級(jí)體系能夠依據(jù)需要進(jìn)行靈活配置，能夠是三級(jí)、二級(jí)或一級(jí)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第71頁(yè)圖8.18授權(quán)管理系統(tǒng)總體架構(gòu)示意圖SOAAAAAAA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)AA代理點(diǎn)訪(fǎng)問(wèn)控制執(zhí)行者…………………NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第72頁(yè)授權(quán)管理系統(tǒng)說(shuō)明1.權(quán)威源點(diǎn)SOA權(quán)威源點(diǎn)(SOA中心)是整個(gè)授權(quán)管理體系中心業(yè)務(wù)節(jié)點(diǎn)，也是整個(gè)PMI最終信任源和最高管理機(jī)構(gòu)。SOA中心職責(zé)主要包含：授權(quán)管理策略管理、應(yīng)用授權(quán)受理、AA中心設(shè)置審核及管理和授權(quán)管理體系業(yè)務(wù)規(guī)范化等。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第73頁(yè)授權(quán)管理系統(tǒng)說(shuō)明2.屬性權(quán)威機(jī)構(gòu)AA屬性權(quán)威機(jī)構(gòu)AA中心是PMI關(guān)鍵服務(wù)節(jié)點(diǎn)，是對(duì)應(yīng)于詳細(xì)應(yīng)用系統(tǒng)授權(quán)管理分系統(tǒng)，由含有設(shè)置AA中心業(yè)務(wù)需求各應(yīng)用單位負(fù)責(zé)建設(shè)，并與SOA中心經(jīng)過(guò)業(yè)務(wù)協(xié)議達(dá)成相互信任關(guān)系。AA中心職責(zé)主要包含：應(yīng)用授權(quán)受理、屬性證書(shū)發(fā)放和管理，以及AA代理點(diǎn)設(shè)置審核和管理等。AA中心需要為其所發(fā)放全部屬性證書(shū)維持一個(gè)歷史統(tǒng)計(jì)和更新統(tǒng)計(jì)。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第74頁(yè)授權(quán)管理系統(tǒng)說(shuō)明3.AA代理點(diǎn)AA代理點(diǎn)是PMI用戶(hù)代理節(jié)點(diǎn)，也稱(chēng)為資源管理中心，是詳細(xì)應(yīng)用用戶(hù)接口。是對(duì)應(yīng)AA中心從屬機(jī)構(gòu)，接收AA中心直接管理，由各AA中心負(fù)責(zé)建設(shè)，報(bào)經(jīng)主管SOA中心同意，并簽發(fā)對(duì)應(yīng)證書(shū)。AA代理點(diǎn)職責(zé)主要包含:應(yīng)用授權(quán)服務(wù)代理和應(yīng)用授權(quán)審核代理等，負(fù)責(zé)對(duì)詳細(xì)用戶(hù)應(yīng)用資源進(jìn)行授權(quán)審核，并將屬性證書(shū)操作請(qǐng)求提交到AA進(jìn)行處理。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第75頁(yè)授權(quán)管理系統(tǒng)說(shuō)明4.訪(fǎng)問(wèn)控制執(zhí)行者訪(fǎng)問(wèn)控制執(zhí)行者是指用戶(hù)應(yīng)用系統(tǒng)中詳細(xì)對(duì)授權(quán)驗(yàn)證服務(wù)調(diào)用模塊，所以，實(shí)際上并不屬于PMI，但卻是授權(quán)管理體系主要組成部分。訪(fǎng)問(wèn)控制執(zhí)行者主要職責(zé)是：將最終用戶(hù)針對(duì)特定操作授權(quán)所提交授權(quán)信息(屬性證書(shū))連同對(duì)應(yīng)身份驗(yàn)證信息(公鑰證書(shū))一起提交到授權(quán)服務(wù)代理點(diǎn)，并依據(jù)授權(quán)服務(wù)中心返回授權(quán)結(jié)果，進(jìn)行詳細(xì)應(yīng)用授權(quán)處理。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述第76頁(yè)8.6.4對(duì)PMI系統(tǒng)要求

PMI經(jīng)過(guò)結(jié)合授權(quán)管理系統(tǒng)和身份認(rèn)證系統(tǒng)補(bǔ)充了PKI弱點(diǎn)，提供了將PKI集成到應(yīng)用計(jì)算環(huán)境模型。PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺(tái)應(yīng)該滿(mǎn)足下面要求：平臺(tái)策略定制應(yīng)該靈活，能夠依據(jù)不一樣情況定制出不一樣策略。平臺(tái)管理功效操作應(yīng)該簡(jiǎn)單。平臺(tái)應(yīng)該含有很好擴(kuò)展能力。平臺(tái)應(yīng)該含有很好效率，防止決議過(guò)程顯著地影響訪(fǎng)問(wèn)速度。平臺(tái)應(yīng)該獨(dú)立于任何應(yīng)用。NetworkandInformationSecurity身份認(rèn)證、訪(fǎng)問(wèn)控制與系統(tǒng)審計(jì)概述