訪問控制和系統(tǒng)審計

1、1第第7章章 訪問控制和系統(tǒng)審計訪問控制和系統(tǒng)審計 7.1 計算機安全等級的劃分計算機安全等級的劃分 7.2 訪問控制訪問控制 7.3 系統(tǒng)審計系統(tǒng)審計2（ITSEC）（TCSEC）（CTCPEC）FC3除了國際除了國際通用準則通用準則cccc外外, , 國際標準化組織和國際國際標準化組織和國際電工委也已經(jīng)制訂了上百項安全標準，其中包電工委也已經(jīng)制訂了上百項安全標準，其中包括專門針對銀行業(yè)務制訂的信息安全標準。國括專門針對銀行業(yè)務制訂的信息安全標準。國際電信聯(lián)盟和歐洲計算機制造商協(xié)會也推出了際電信聯(lián)盟和歐洲計算機制造商協(xié)會也推出了許多安全標準。許多安全標準。 47.1 計算機安全等級的劃分計算

2、機安全等級的劃分CCCCTCSECTCSECITSECITSEC- -D DE0E0EAL1EAL1- - -EAL2EAL2C1C1E1E1EAL3EAL3C2C2E2E2EAL4EAL4B1B1E3E3EAL5EAL5B2B2E4E4EAL6EAL6B3B3E5E5EAL7EAL7A1A1E6E651985年，美國國防部發(fā)表了年，美國國防部發(fā)表了可信計算機評估準可信計算機評估準則則(縮寫為縮寫為TCSEC) ，它依據(jù)處理的信息等級，它依據(jù)處理的信息等級采取的相應對策，劃分了采取的相應對策，劃分了四類七個四類七個安全等級安全等級（從低到高，依次是（從低到高，依次是D、C1、C2、B1、B2、

3、B3和和A1級。）級。）,隨著安全等級的提高，系統(tǒng)的隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。可信度隨之增加，風險逐漸減少。6七個七個安全等級安全等級四個安全等級：四個安全等級：無保護級無保護級(D1)自主保護級自主保護級(C1,C2)強制保護級強制保護級(B1,B2 ,B3)驗證保護級驗證保護級(A1)7 D級級最低安全保護最低安全保護(Minimal Protection)。沒有任何沒有任何安全性防護，整個系統(tǒng)不可信。安全性防護，整個系統(tǒng)不可信。對于硬件來說，無任何保對于硬件來說，無任何保護；對于操作系統(tǒng)來說，容易受到損害；對于用戶及其訪護；對于操作系統(tǒng)來說，容易受到損害；對

4、于用戶及其訪問權限來說，沒有身份認證。例：問權限來說，沒有身份認證。例：如如DOS和和Windows 95/98等操作系統(tǒng)。等操作系統(tǒng)。 8C1C1級級自主安全保護自主安全保護(Discretionary Security (Discretionary Security Protection)Protection)。通過隔離用戶與數(shù)據(jù)，使用戶具備自主安通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力全保護的能力, ,是一種粗粒度安全保護是一種粗粒度安全保護, , 具有以下特點：具有以下特點：用戶與數(shù)據(jù)分離；用戶與數(shù)據(jù)分離；有效的任意訪問控制機制，以便用戶保護自己的有效的任意訪問控制機制，以便用

5、戶保護自己的數(shù)據(jù)，但是這種訪問控制較粗，一般以數(shù)據(jù)，但是這種訪問控制較粗，一般以組組為單位為單位進行，進行，用戶進行分組并注冊后才能使用用戶進行分組并注冊后才能使用, ,而且對而且對這種訪問控制機制并這種訪問控制機制并不不進行進行嚴格的檢驗評估嚴格的檢驗評估；防止對訪問控制機制進行纂改的能力；防止對訪問控制機制進行纂改的能力；允許用戶決定何時使用訪問控制機制，何時不用，允許用戶決定何時使用訪問控制機制，何時不用，以及允許用戶決定對哪個客體或哪組客體進行訪以及允許用戶決定對哪個客體或哪組客體進行訪問問. .該安全級別典型的有該安全級別典型的有 標準標準UnixUnix9 C2級級可控訪問保護可控

6、訪問保護(Controled Access Protection)。比比C1C1級具有級具有更細粒度更細粒度的自主訪問控制的自主訪問控制, C2, C2級計算機系統(tǒng)通過注級計算機系統(tǒng)通過注冊過程控制、冊過程控制、審計審計安全相關事件以及安全相關事件以及資源隔離資源隔離，使，使單個用戶單個用戶為其行為負責為其行為負責，每個主體對每個客體的每次訪問或訪問企圖每個主體對每個客體的每次訪問或訪問企圖都必須能予以審計跟蹤；都必須能予以審計跟蹤；達到達到C2級的常見操作系統(tǒng)有：級的常見操作系統(tǒng)有：UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。 10所有的所有的B B

7、級級(B1(B1、B2B2、B3)B3)系統(tǒng)都應具有系統(tǒng)都應具有強制訪問控強制訪問控制制機制。機制。 B1級級標識的安全保護標識的安全保護(Labeled Security Protection)。在在C2的基礎上，的基礎上，支持多級安全，可以使一個處于強制性訪支持多級安全，可以使一個處于強制性訪問控制下的對象，不允許其所有者改變其權限。問控制下的對象，不允許其所有者改變其權限。如如為每個為每個控制主體和客體分配了一個相應的安全級別控制主體和客體分配了一個相應的安全級別,不同組的成員不同組的成員不能訪問對方創(chuàng)建的客體，但管理員許可的除外不能訪問對方創(chuàng)建的客體，但管理員許可的除外,管理員不管理員

8、不能取得客體的所有權。能取得客體的所有權。Windows NT的定制版本可以達到的定制版本可以達到B1級。級。政府機構與防御系統(tǒng)是政府機構與防御系統(tǒng)是B1級計算機系統(tǒng)的主要擁有級計算機系統(tǒng)的主要擁有者。者。11 B2級級結構化保護結構化保護(Structured Protection)。在。在B1的基礎上，的基礎上，要求計要求計算機系統(tǒng)中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終算機系統(tǒng)中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終端）分配單個或多個安全級別。端）分配單個或多個安全級別。它是提供較高安全級別的對象與較低它是提供較高安全級別的對象與較低安全級別的對象相通信的第一個級

9、別。安全級別的對象相通信的第一個級別。 在設計在設計B2級系統(tǒng)時，應提出一個合理的總體設計方案，設計方級系統(tǒng)時，應提出一個合理的總體設計方案，設計方案應具有明確的模塊化和結構化特征；案應具有明確的模塊化和結構化特征； 系統(tǒng)設計應遵循最小授權原則；系統(tǒng)設計應遵循最小授權原則； 訪問控制機制應對所有主體和客體予以保護；訪問控制機制應對所有主體和客體予以保護； 應對系統(tǒng)進行隱秘通道分析，并堵塞所有發(fā)現(xiàn)的隱秘通道；應對系統(tǒng)進行隱秘通道分析，并堵塞所有發(fā)現(xiàn)的隱秘通道； 系統(tǒng)應具有完整性訪問控制機制；系統(tǒng)應具有完整性訪問控制機制； 系統(tǒng)的設計及代碼實現(xiàn)必須完全通過檢驗和測試，測試的結果系統(tǒng)的設計及代碼實現(xiàn)

10、必須完全通過檢驗和測試，測試的結果必須保證系統(tǒng)完全實現(xiàn)了總體設計方案；必須保證系統(tǒng)完全實現(xiàn)了總體設計方案； 在系統(tǒng)運行過程中，應有專人負責系統(tǒng)中訪問控制策略的設置在系統(tǒng)運行過程中，應有專人負責系統(tǒng)中訪問控制策略的設置和實施，而系統(tǒng)的操作員僅僅承擔與系統(tǒng)后續(xù)操作有關的職責。和實施，而系統(tǒng)的操作員僅僅承擔與系統(tǒng)后續(xù)操作有關的職責。銀行的金融系統(tǒng)通常達到銀行的金融系統(tǒng)通常達到B2級。級。12 B3級級安全域保護安全域保護(Security Domain)。在。在B2的基的基礎上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外礎上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進程運行在不同的地

11、址空間從而界干擾或篡改。系統(tǒng)進程運行在不同的地址空間從而實現(xiàn)隔離。實現(xiàn)隔離。13 A1級級驗證設計驗證設計(Verified Design)。最高級別，包含較低級別的所有特性。最高級別，包含較低級別的所有特性。包含一個嚴格的設計、控制和驗證過程。包含一個嚴格的設計、控制和驗證過程。設計必須經(jīng)過數(shù)學上的理論驗證，而且設計必須經(jīng)過數(shù)學上的理論驗證，而且必須對加密通道和可信任分布進行分析。必須對加密通道和可信任分布進行分析。14我國的安全等級劃分我國的安全等級劃分 1999年年9月月13日，我國頒布了日，我國頒布了計算機信息系統(tǒng)安全保護等級計算機信息系統(tǒng)安全保護等級劃分準則劃分準則(GB178591

12、999)，定義了計算機信息系統(tǒng)安全保，定義了計算機信息系統(tǒng)安全保護能力的護能力的五個等級五個等級(第一級到第五級第一級到第五級)。實際上，國標中將國。實際上，國標中將國外的最低級外的最低級D級和最高級級和最高級A1級取消，余下的分為五級。級取消，余下的分為五級。TCSEC中的中的B1級與級與GB17859的第三級對應。的第三級對應。 第一級：用戶自主保護級；第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級；第二級：系統(tǒng)審計保護級； 第三級：安全標記保護級；第三級：安全標記保護級； 第四級：結構化保護級；第四級：結構化保護級； 第五級：訪問驗證保護級。第五級：訪問驗證保護級。157.2 訪訪 問

13、問 控控 制制7.2.1 訪問控制的概念訪問控制的概念原始概念原始概念是對進入系統(tǒng)的控制是對進入系統(tǒng)的控制( (用戶標識用戶標識+ +口令口令/ /生生物特性物特性/ /訪問卡訪問卡) )一般概念一般概念是針對越權使用資源的防御措施是針對越權使用資源的防御措施16訪問控制的目的訪問控制的目的 是為了限制是為了限制訪問主體訪問主體（用戶、進程、服務等）（用戶、進程、服務等）對對訪問客體訪問客體（文件、系統(tǒng)等）（文件、系統(tǒng)等）的訪問權限，從的訪問權限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用而使計算機系統(tǒng)在合法范圍內(nèi)使用, ,決定用戶決定用戶能做什么，也決定代表一定用戶利益的程序能能做什么，也決定代表一定

14、用戶利益的程序能做什么。做什么。1718保護域保護域 X 保護域保護域 Y 圖圖 有重疊的保護域有重疊的保護域保護域保護域每一主體每一主體( (進程進程) )都在一特定的都在一特定的保護域保護域下工作，下工作，保護域規(guī)定保護域規(guī)定了進程可以訪問的資源。了進程可以訪問的資源。每一域定義了一組客體及可以每一域定義了一組客體及可以對客體采取的操作。對客體采取的操作?？蓪腕w操作的能力稱為訪問權可對客體操作的能力稱為訪問權(Access Right),(Access Right),訪問權定訪問權定義為有序?qū)Φ男问搅x為有序?qū)Φ男问?97.2.2 訪問控制的一般策略訪問控制的一般策略20 訪問控制的策略訪

15、問控制的策略 自主訪問控制自主訪問控制（Discretionary Access Control ,DAC,Discretionary Access Control ,DAC,又稱任意訪問控制又稱任意訪問控制) )特點：特點： 根據(jù)主體的身份和授權來決定訪問模式。根據(jù)主體的身份和授權來決定訪問模式。具有某具有某種訪問權限主體種訪問權限主體( (用戶用戶) )能夠能夠自主自主地將訪問權限授予地將訪問權限授予其它的主體。其它的主體。缺點：缺點： 信息在移動過程中其訪問權限關系會被改變。如用戶信息在移動過程中其訪問權限關系會被改變。如用戶A A可可將其對目標將其對目標O O的訪問權限傳遞給用戶的訪問

16、權限傳遞給用戶B,B,從而使不具備對從而使不具備對O O訪問訪問權限的權限的B B可訪問可訪問O O。21 在各種以自主訪問控制機制進行訪問控制的系統(tǒng)中，在各種以自主訪問控制機制進行訪問控制的系統(tǒng)中，存存取模式主要有：取模式主要有： 讀讀(read)，即允許主體對客體進行即允許主體對客體進行讀和拷貝讀和拷貝的操作；的操作； 寫寫(write)，即允許主體即允許主體寫入或修改寫入或修改信息，包信息，包括擴展、壓縮及刪除等；括擴展、壓縮及刪除等； 執(zhí)行執(zhí)行(execute)，就是允許將客體作為一種可就是允許將客體作為一種可執(zhí)行文件執(zhí)行文件運行運行,在一些系統(tǒng)中該模式還需要同在一些系統(tǒng)中該模式還需要

17、同時擁有時擁有讀讀模式；模式； 空模式空模式(null)，即主體對客體即主體對客體不具有任何不具有任何的存的存取權。取權。 22r讀讀wx寫寫執(zhí)行執(zhí)行r讀讀wx寫寫執(zhí)行執(zhí)行r讀讀wx寫寫執(zhí)行執(zhí)行屬主屬主組內(nèi)組內(nèi)其它其它 在許多操作系統(tǒng)當中，對文件或者目錄的訪問控制是通在許多操作系統(tǒng)當中，對文件或者目錄的訪問控制是通過把各種用戶分成三類來實施的：過把各種用戶分成三類來實施的：屬主屬主(self)、同組的、同組的其它用戶其它用戶(group)和其它用戶和其它用戶(public)。23訪問控制的策略訪問控制的策略強制訪問控制強制訪問控制 (Mandatory Access Control,MAC)(

18、Mandatory Access Control,MAC)特點：特點： 1.將主體和客體分級，根據(jù)主體和客體的級別標記來決定將主體和客體分級，根據(jù)主體和客體的級別標記來決定 訪問模式。訪問模式。如，絕密級，機密級，秘密級，無密級。如，絕密級，機密級，秘密級，無密級。 2.強制：強制：系統(tǒng)強制主體服從訪問控制策略上。即系統(tǒng)強制主體服從訪問控制策略上。即由由系統(tǒng)（系系統(tǒng)（系統(tǒng)管理員）統(tǒng)管理員）決定一個用戶對某個客體能否進行訪問。用戶和決定一個用戶對某個客體能否進行訪問。用戶和他們的進程不能修改這些屬性。只有當主體的敏感等級高于他們的進程不能修改這些屬性。只有當主體的敏感等級高于或者等于客體的等級時

19、，訪問才是允許，否則將拒絕訪問?；蛘叩扔诳腕w的等級時，訪問才是允許，否則將拒絕訪問。24在在MAC系統(tǒng)當中，系統(tǒng)當中，所有的訪問決策都是由系統(tǒng)作出，而所有的訪問決策都是由系統(tǒng)作出，而不像自由訪問控制當中由用戶自行決定不像自由訪問控制當中由用戶自行決定。25 用戶的用戶的敏感標簽敏感標簽指定了該用戶的敏感等級或者信任等指定了該用戶的敏感等級或者信任等級，也被稱為級，也被稱為安全許可安全許可(Clearance)； 文件的敏感標簽則說明了要訪問該文件的用戶所必須文件的敏感標簽則說明了要訪問該文件的用戶所必須具備的信任等級。具備的信任等級。 敏感標簽由兩個部分組成：敏感標簽由兩個部分組成：類別類別(

20、Classification)和和類集類集合合(Compartments)(有時也稱為隔離間有時也稱為隔離間)。例如。例如:SECRET VENUS, TANK, ALPHAClassification Categories26對某個客體是否允許訪問的決策將由以下三個因素決定：對某個客體是否允許訪問的決策將由以下三個因素決定： (1) 主體的標簽主體的標簽，即你的安全許可：，即你的安全許可： TOP SECRET VENUS TANK ALPHA (2) 客體的標簽客體的標簽，例如文件，例如文件LOGISTIC的敏感標簽如下：的敏感標簽如下： SECRET VENUS ALPHA (3) 訪問

21、請求訪問請求，例如你試圖讀該文件。，例如你試圖讀該文件。 當你試圖訪問當你試圖訪問LOGISTIC文件時，系統(tǒng)會比較你的安全許可和文件文件時，系統(tǒng)會比較你的安全許可和文件的標簽從而決定是否允許你讀該文件。的標簽從而決定是否允許你讀該文件。27強制訪問控制系統(tǒng)確定讀和寫規(guī)則的強制訪問控制系統(tǒng)確定讀和寫規(guī)則的判斷準則判斷準則：只有當主體的只有當主體的敏感等級高于或等于客體的等級時，訪問才是允許的，否則敏感等級高于或等于客體的等級時，訪問才是允許的，否則將拒絕訪問。將拒絕訪問。根據(jù)主體和客體的敏感等級和讀寫關系可以有以下根據(jù)主體和客體的敏感等級和讀寫關系可以有以下四種組合四種組合：(1) 下讀下讀(

22、Read Down)：主體級別大于客體級別的讀操作；：主體級別大于客體級別的讀操作；(2) 上寫上寫(Write Up)：主體級別低于客體級別的寫操作；：主體級別低于客體級別的寫操作；(3) 下寫下寫(Write Down)：主體級別大于客體級別的寫操作；：主體級別大于客體級別的寫操作；(4) 上讀上讀(Read Up)：主體級別低于客體級別的讀操作。：主體級別低于客體級別的讀操作。 28訪問控制的策略訪問控制的策略 基于角色的訪問控制基于角色的訪問控制 (Role-Based Access Control,RBAC)(Role-Based Access Control,RBAC)基于角色的訪

23、問控制的核心思想：基于角色的訪問控制的核心思想：授權給用戶的訪問權限通授權給用戶的訪問權限通常由用戶在一個組織中擔當?shù)慕巧珌泶_定，常由用戶在一個組織中擔當?shù)慕巧珌泶_定，所謂所謂“角色角色”，是指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。是指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色與組的區(qū)別角色與組的區(qū)別組組：用戶集用戶集角色角色 ： 用戶集權限集用戶集權限集主體主體角色角色客體客體29基于角色的訪問控制有以下五個特點基于角色的訪問控制有以下五個特點: 1) 以角色作為訪問控制的主體以角色作為訪問控制的主體 用戶以什么樣的角色對資源進行訪問，決用戶以什么樣的角色對資源進行訪問，決定了用戶擁

24、有的權限以及可執(zhí)行何種操作。定了用戶擁有的權限以及可執(zhí)行何種操作。 302) 角色繼承角色繼承 “ “角色繼承角色繼承”: : 定義的各類角色，它們都有定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和自己的屬性，但可能還繼承其它角色的屬性和權限。角色繼承把角色組織起來，能夠很自然權限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權、責任關系。地反映組織內(nèi)部人員之間的職權、責任關系。 31角色繼承可以用角色繼承可以用祖先關系圖祖先關系圖來表示，圖中角色來表示，圖中角色2是角是角色色1的的“父親父親”，它包含角色，它包含角色1的屬性和權限。的屬性和權限。處處于最上面

25、的角色擁有最大的訪問權限，越下端的于最上面的角色擁有最大的訪問權限，越下端的角色擁有的權限越小。角色擁有的權限越小。角色角色3角色角色4角色角色2角色角色1包含包含包含包含包含包含32 3) 最小特權原則最小特權原則(Least Privilege Theorem)最小特權原則最小特權原則是系統(tǒng)安全中是系統(tǒng)安全中最基本的原則最基本的原則之一。之一。最小特權最小特權: “在完成某種操作時所賦予網(wǎng)絡中每個主在完成某種操作時所賦予網(wǎng)絡中每個主體體(用戶或進程用戶或進程)的必不可少的特權的必不可少的特權”。最小特權原則最小特權原則: “應限定網(wǎng)絡中每個主體所必須的最應限定網(wǎng)絡中每個主體所必須的最小特權

26、，確保由于可能的事故、錯誤、網(wǎng)絡部件小特權，確保由于可能的事故、錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小的篡改等原因造成的損失最小”。也就是說也就是說, 最小特權原則是指用戶所擁有的權利不最小特權原則是指用戶所擁有的權利不能超過他執(zhí)行工作時所需的權限。能超過他執(zhí)行工作時所需的權限。 33 實現(xiàn)最小權限原則，需分清用戶的工作內(nèi)容，確定執(zhí)實現(xiàn)最小權限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項工作的行該項工作的最小權限集最小權限集，然后將用戶限制在這些權，然后將用戶限制在這些權限范圍之內(nèi)。限范圍之內(nèi)。 在在基于角色的訪問控制基于角色的訪問控制中，可以根據(jù)組織內(nèi)的規(guī)章制中，可以根據(jù)組織內(nèi)的規(guī)章制度、度、

27、職員的分工等職員的分工等設計擁有不同權限的角色設計擁有不同權限的角色，只有角，只有角色執(zhí)行所需要的才授權給角色。色執(zhí)行所需要的才授權給角色。 當一個主體需訪問某資源時，如果該操作不在主體當一個主體需訪問某資源時，如果該操作不在主體當當前前所扮演的角色授權操作之內(nèi)，該訪問將被拒絕。所扮演的角色授權操作之內(nèi)，該訪問將被拒絕。34q 最小特權原則最小特權原則:v 一方面一方面給予給予主體主體“必不可少必不可少”的特權，這就的特權，這就保證保證了所有的主體都能在所賦予的特權之下完成所需了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；要完成的任務或操作；v另一方面，它另一方面，它只給予只給

28、予主體主體“必不可少必不可少”的特權，的特權，這就這就限制限制了每個主體所能進行的操作。了每個主體所能進行的操作。35 4) 職責分離職責分離(主體與角色的分離主體與角色的分離)“職責分離職責分離”可以有可以有靜態(tài)和動態(tài)靜態(tài)和動態(tài)兩種實現(xiàn)方式兩種實現(xiàn)方式: 靜態(tài)職責分離：靜態(tài)職責分離：只有當一個角色與用戶所屬的其它只有當一個角色與用戶所屬的其它角色彼此不互斥時，這個角色才能授權給該用戶。角色彼此不互斥時，這個角色才能授權給該用戶。 動態(tài)職責分離：動態(tài)職責分離：只有當一個角色與一主體的任何一只有當一個角色與一主體的任何一個個當前活躍角色當前活躍角色都不互斥時，該角色才能成為該主體都不互斥時，該角

29、色才能成為該主體的另一個活躍角色。的另一個活躍角色。36 5) 角色容量角色容量在創(chuàng)建新的角色時，要指定角色的容量在創(chuàng)建新的角色時，要指定角色的容量: 在在一個特定的時間段內(nèi)，有一些角色只能由一個特定的時間段內(nèi)，有一些角色只能由一定人數(shù)的用戶一定人數(shù)的用戶占用。占用。377.2.3 訪問控制的一般實現(xiàn)機制和方法訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制一般實現(xiàn)機制 基于訪問控制屬性基于訪問控制屬性 訪問控制表訪問控制表/矩陣矩陣 基于用戶和資源分級（基于用戶和資源分級（“安全標簽安全標簽”） 多級訪問控制多級訪問控制常見實現(xiàn)方法常見實現(xiàn)方法 訪問控制表（訪問控制表（ACL)ACL) 訪問能力表（

30、訪問能力表（Capabilities)Capabilities) 授權關系表授權關系表38SubjectsObjectsS1S2S3O1O2O3 Read/writeWriteRead Execute訪問控制實現(xiàn)方法訪問控制實現(xiàn)方法訪問控制矩陣訪問控制矩陣 按列看是按列看是訪問控制表訪問控制表內(nèi)容內(nèi)容 按行看是按行看是訪問能力訪問能力表內(nèi)容表內(nèi)容39userAOwnRWOuserB R OuserCRWOObj1訪問控制實現(xiàn)方法訪問控制實現(xiàn)方法訪問控制表訪問控制表(ACL)(ACL)40訪問控制實現(xiàn)方法訪問控制實現(xiàn)方法訪問能力表訪問能力表(CL)(CL)Obj1OwnRWOObj2 R OOb

31、j3 RWOUserA41訪問控制實現(xiàn)方法訪問控制實現(xiàn)方法授權關系表授權關系表UserA Own Obj1UserA R Obj1UserA W Obj1UserA W Obj2UserA R Obj2427.3 系系 統(tǒng)統(tǒng) 審審 計計 審計及審計跟蹤審計及審計跟蹤 審計審計(Audit)是指是指產(chǎn)生、記錄并檢查產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記按時間順序排列的系統(tǒng)事件記錄的過程，它是一個被信任的機制，也是計算機系統(tǒng)安全機制的一錄的過程，它是一個被信任的機制，也是計算機系統(tǒng)安全機制的一個不可或缺的部分，對于個不可或缺的部分，對于C2及其以上安全級別及其以上安全級別的計算機系統(tǒng)來講，的計

32、算機系統(tǒng)來講，審計功能是其必備的安全機制。審計功能是其必備的安全機制。審計是其它安全機制的有力補充，審計是其它安全機制的有力補充，它貫穿計算機安全機制實現(xiàn)的整個它貫穿計算機安全機制實現(xiàn)的整個過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是后來人們研究的入侵檢測系統(tǒng)的前提。后來人們研究的入侵檢測系統(tǒng)的前提。43 審計跟蹤審計跟蹤(Audit Trail) 是系統(tǒng)活動的記錄。即它是運用操作系統(tǒng)、是系統(tǒng)活動的記錄。即它是運用操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡管理系統(tǒng)提供的審計模塊的功能或其它專數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡管理系統(tǒng)提供的審計模塊的

33、功能或其它專門程序，門程序，對系統(tǒng)的使用情況建立日志記錄對系統(tǒng)的使用情況建立日志記錄，以便實時地監(jiān)控、報，以便實時地監(jiān)控、報警或事后分析、統(tǒng)計、報告，是一種通過事后追查來保證系統(tǒng)安警或事后分析、統(tǒng)計、報告，是一種通過事后追查來保證系統(tǒng)安全的技術手段。全的技術手段。審計跟蹤可用來實現(xiàn)：審計跟蹤可用來實現(xiàn)： 確定和保持系統(tǒng)活動中每個人的責任；確定和保持系統(tǒng)活動中每個人的責任； 重建事件；重建事件； 評估損失；評估損失； 監(jiān)測系統(tǒng)問題區(qū)；監(jiān)測系統(tǒng)問題區(qū)； 提供有效的災難恢復；提供有效的災難恢復； 阻止系統(tǒng)的不正當使用等。阻止系統(tǒng)的不正當使用等。44 審計過程的實現(xiàn)：審計過程的實現(xiàn)： 第一步，收集并判

34、斷事件是否是審計事件，產(chǎn)第一步，收集并判斷事件是否是審計事件，產(chǎn)生審計記錄；生審計記錄； 第二步，根據(jù)記錄進行安全事件的分析；第二步，根據(jù)記錄進行安全事件的分析； 第三步，采取處理措施第三步，采取處理措施（報警并記錄，逐出系（報警并記錄，逐出系統(tǒng)并記錄其內(nèi)容，生成記錄報告等）統(tǒng)并記錄其內(nèi)容，生成記錄報告等）。45安全審計分類安全審計分類1、按照審計對象分類，安全審計可分為三種：、按照審計對象分類，安全審計可分為三種：(1) 網(wǎng)絡審計。網(wǎng)絡審計。包括對網(wǎng)絡信息內(nèi)容和協(xié)議的分析；包括對網(wǎng)絡信息內(nèi)容和協(xié)議的分析；(2) 主機審計。主機審計。包括對系統(tǒng)資源，如打印機、包括對系統(tǒng)資源，如打印機、Modem、系統(tǒng)文件、注冊表文件等的使用進行事前控制和事后系統(tǒng)文件、注冊表文件等的使用進行事前控制和事后取證，形成重要的日志文件。取證，形成重要的日志文件。(3) 應用系統(tǒng)審計。應用系統(tǒng)審計。對各類應用系統(tǒng)的審計，如對各類對各類應用系統(tǒng)的審計，如對各類數(shù)據(jù)庫系統(tǒng)進行審計。數(shù)據(jù)庫系統(tǒng)進行審計。462、按照審計方式分類，安全審計可分為三種：、按照審計方式分類，安全審計可分為三種：(1) 人工審計：人工審計：由由審計員