網(wǎng)絡(luò)安全與保密課件第9章 訪問控制和系統(tǒng)審計(jì)

第9章訪問控制和系統(tǒng)審計(jì)9.1計(jì)算機(jī)安全等級(jí)的劃分9.2訪問控制9.3系統(tǒng)審計(jì)習(xí)題9.1計(jì)算機(jī)安全等級(jí)的劃分JamesP.Anderson在1972年提出的參考監(jiān)視器(TheReferenceMonitor)的概念是經(jīng)典安全模型(如圖9-1所示)的最初雛形。在這里，參考監(jiān)視器是個(gè)抽象的概念，可以說是安全機(jī)制的代名詞。圖9-1經(jīng)典安全模型經(jīng)典安全模型包含如下基本要素：(1)明確定義的主體和客體；(2)描述主體如何訪問客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)；(3)約束主體對(duì)客體訪問嘗試的參考監(jiān)視器；(4)識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；(5)審計(jì)參考監(jiān)視器活動(dòng)的審計(jì)子系統(tǒng)?？梢钥闯?，這里為了實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全所采取的基本安全措施，即安全機(jī)制有身份認(rèn)證、訪問控制和審計(jì)。通常，我們用圖9-2來表示這三者之間的關(guān)系。從該示意圖可以看出，參考監(jiān)視器是主體/角色對(duì)客體進(jìn)行訪問的橋梁，身份識(shí)別與驗(yàn)證，即身份認(rèn)證是主體/角色獲得訪問授權(quán)的第一步，這也是早期黑客入侵系統(tǒng)的突破口。訪問控制是在主體身份得到認(rèn)證后，根據(jù)安全策略對(duì)主體行為進(jìn)行限制的機(jī)制和手段。審計(jì)作為一種安全機(jī)制，它在主體訪問客體的整個(gè)過程中都發(fā)揮著作用，為安全分析提供了有利的證據(jù)支持。它貫穿于身份認(rèn)證、訪問控制的前前后后。同時(shí)，身份認(rèn)證、訪問控制為審計(jì)的正確性提供保障。它們之間是互為制約、相互促進(jìn)的。圖9-2安全機(jī)制為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年，美國(guó)國(guó)防部發(fā)表了《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》(縮寫為TCSEC)[6]，它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了四類七個(gè)安全等級(jí)。依照各類、級(jí)的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級(jí)?！馜級(jí)——最低安全保護(hù)(MinimalProtection)。沒有任何安全性防護(hù)，如DOS和Windows95/98等操作系統(tǒng)。●?C1級(jí)——自主安全保護(hù)(DiscretionarySecurityProtection)。這一級(jí)的系統(tǒng)必須對(duì)所有的用戶進(jìn)行分組；每個(gè)用戶必須注冊(cè)后才能使用；系統(tǒng)必須記錄每個(gè)用戶的注冊(cè)活動(dòng)；系統(tǒng)對(duì)可能破壞自身的操作將發(fā)出警告。●?C2級(jí)——可控訪問保護(hù)(ControledAccessProtection)。在C1級(jí)基礎(chǔ)上，增加了以下要求：所有的客體都只有一個(gè)主體；對(duì)于每個(gè)試圖訪問客體的操作，都必須檢驗(yàn)權(quán)限；有且僅有主體和主體指定的用戶可以更改權(quán)限；管理員可以取得客體的所有權(quán)，但不能再歸還；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對(duì)所有的操作進(jìn)行記錄，并且只有管理員和由管理員指定的用戶可以訪問該記錄。SCOUNIX和WindowsNT屬于C2級(jí)?！?B1級(jí)——標(biāo)識(shí)的安全保護(hù)(LabeledSecurityProtection)。在C2的基礎(chǔ)上，增加以下幾條要求：不同組的成員不能訪問對(duì)方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權(quán)。WindowsNT的定制版本可以達(dá)到B1級(jí)。●?B2級(jí)——結(jié)構(gòu)化保護(hù)(StructuredProtection)。在B1的基礎(chǔ)上，增加以下幾條要求：所有的用戶都被授予一個(gè)安全等級(jí)；安全等級(jí)較低的用戶不能訪問高等級(jí)用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達(dá)到B2級(jí)?！?B3級(jí)——安全域保護(hù)(SecurityDomain)。在B2的基礎(chǔ)上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。●?A1級(jí)——可驗(yàn)證設(shè)計(jì)(VerifiedDesign)。在B3的基礎(chǔ)上，增加以下要求：系統(tǒng)的整體安全策略一經(jīng)建立便不能修改。1999年9月13日，我國(guó)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859–1999)，定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)(第一級(jí)到第五級(jí))。實(shí)際上，國(guó)標(biāo)中將國(guó)外的最低級(jí)D級(jí)和最高級(jí)A1級(jí)取消，余下的分為五級(jí)。TCSEC中的B1級(jí)與GB17859的第三級(jí)對(duì)應(yīng)?！竦谝患?jí)：用戶自主保護(hù)級(jí)；●第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；●第三級(jí)：安全標(biāo)記保護(hù)級(jí)；●第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；●第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。9.2訪

問

控

制在計(jì)算機(jī)安全防御措施中，訪問控制是極其重要的一環(huán)，它是在身份認(rèn)證的基礎(chǔ)上，根據(jù)身份的合法性對(duì)提出的資源訪問請(qǐng)求加以控制。訪問控制是現(xiàn)代操作系統(tǒng)常用的安全控制方式之一。本節(jié)對(duì)訪問控制進(jìn)行討論。9.2.1基本概念從廣義的角度來看，訪問控制(AccessControl)是指對(duì)主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過程(存取控制)。在訪問控制中，主體是指必須被控制對(duì)客體的訪問的活動(dòng)資源，它是訪問的發(fā)起者，通常為進(jìn)程、程序或用戶?？腕w則是指對(duì)其訪問必須進(jìn)行控制的資源，客體一般包括各種資源，如文件、設(shè)備、信號(hào)量等。訪問控制中的第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體之間可能的相互作用途徑。訪問控制是計(jì)算機(jī)保護(hù)中極其重要的一環(huán)。它是在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對(duì)提出的資源訪問請(qǐng)求加以控制。訪問控制的目的是為了保證網(wǎng)絡(luò)資源受控、合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不能越權(quán)訪問。同時(shí)，訪問控制也是記賬、審計(jì)的前提。首先引入保護(hù)域的概念。每一主體(進(jìn)程)都在一特定的保護(hù)域下工作，保護(hù)域規(guī)定了進(jìn)程可以訪問的資源。每一域定義了一組客體及可以對(duì)客體采取的操作。可對(duì)客體操作的能力稱為訪問權(quán)(AccessRight)，訪問權(quán)定義為有序?qū)Φ男问健Ｒ粋€(gè)域是訪問權(quán)的集合。如域X有訪問權(quán)，則在域X下運(yùn)行的進(jìn)程可對(duì)文件A執(zhí)行讀寫，但不能執(zhí)行任何其它的操作。保護(hù)域并不是彼此獨(dú)立的。它們可以有交叉，即它們可以共享權(quán)限。如圖9-3所示，域X和域Y對(duì)打印機(jī)都有寫的權(quán)限，從而產(chǎn)生了訪問權(quán)交叉現(xiàn)象。圖9-3有重疊的保護(hù)域主體(進(jìn)程)在某一特定時(shí)刻可以訪問的實(shí)體(軟件，硬件)的集合稱為客體。根據(jù)系統(tǒng)復(fù)雜度不同，客體可以是靜態(tài)的，即在進(jìn)程生命周期中保持不變，或是動(dòng)態(tài)改變的。為使進(jìn)程對(duì)自身或他人可能造成的危害最小，最好在所有時(shí)間里進(jìn)程都運(yùn)行在最小客體下。根據(jù)訪問控制策略的不同，訪問控制一般分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制三種。自主訪問控制是目前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)最多的訪問控制機(jī)制，它是根據(jù)訪問者的身份和授權(quán)來決定訪問模式的。強(qiáng)制訪問控制是將主體和客體分級(jí)，然后根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式。“強(qiáng)制”主要體現(xiàn)在系統(tǒng)強(qiáng)制主體服從訪問控制策略上?；诮巧脑L問控制的基本思想是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。它根據(jù)用戶在組織內(nèi)所處的角色作出訪問授權(quán)和控制，但用戶不能自主地將訪問權(quán)限傳給他人。這一點(diǎn)是基于角色訪問控制和自主訪問控制的最基本區(qū)別。

9.2.2自主訪問控制自主訪問控制又稱任意訪問控制(DiscretionaryAccessControl，DAC)，是指根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合，對(duì)客體訪問進(jìn)行限制的一種方法。它是訪問控制措施中最常用的一種方法，這種訪問控制方法允許用戶可以自主地在系統(tǒng)中規(guī)定誰可以存取它的資源實(shí)體，即用戶(包括用戶程序和用戶進(jìn)程)可選擇同其它用戶一起共享某個(gè)文件。所謂自主，是指具有授與某種訪問權(quán)力的主體(用戶)能夠自己決定是否將訪問權(quán)限授予其它的主體。安全操作系統(tǒng)需要具備的特征之一就是自主訪問控制，它基于對(duì)主體及主體所屬的主體組的識(shí)別來限制對(duì)客體的存取。在大多數(shù)的操作系統(tǒng)中，自主訪問控制的客體不僅僅是文件，還包括郵箱、通信信道、終端設(shè)備等。存取許可與存取模式是自主訪問控制機(jī)制中的兩個(gè)重要概念，決定著能否正確理解對(duì)客體的控制和對(duì)客體的存取。存取許可是一種權(quán)力，即存取許可能夠允許主體修改客體的訪問控制表，因此可以利用存取許可實(shí)現(xiàn)自主訪問控制機(jī)制的控制。在自主訪問控制方式中，有等級(jí)型、擁有型和自由型三種控制模式。存取模式是經(jīng)過存取許可的確定后，對(duì)客體進(jìn)行的各種不同的存取操作。存取許可的作用在于定義或改變存取模式；存取模式的作用是規(guī)定主體對(duì)客體可以進(jìn)行何種形式的存取操作。在各種以自主訪問控制機(jī)制進(jìn)行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對(duì)客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時(shí)擁有讀模式；空模式(null)，即主體對(duì)客體不具有任何的存取權(quán)。在許多操作系統(tǒng)當(dāng)中，對(duì)文件或者目錄的訪問控制是通過把各種用戶分成三類來實(shí)施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)。每個(gè)文件或者目錄都同幾個(gè)稱為文件許可(FilePermissions)的控制比特位相關(guān)聯(lián)。各個(gè)文件許可位的含義通常如圖9-4所示。圖9-4self/group/public訪問控制自主訪問控制的具體實(shí)施可采用以下四種方法。1)目錄表(DirectoryList)在目錄表訪問控制方法中借用了系統(tǒng)對(duì)文件的目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪問操作的主體，建立一個(gè)能被其訪問的“客體目錄表(文件目錄表)”。例如某個(gè)主體的客體目錄表可能為客體1:權(quán)限客體2:權(quán)限客體i:權(quán)限客體j:權(quán)限客體n:權(quán)限當(dāng)然，客體目錄表中各個(gè)客體的訪問權(quán)限的修改只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進(jìn)行寫操作，否則將可能出現(xiàn)對(duì)客體訪問權(quán)的偽造。因此，操作系統(tǒng)必須在客體的擁有者控制下維護(hù)所有的客體目錄。目錄表訪問控制機(jī)制的優(yōu)點(diǎn)是容易實(shí)現(xiàn)，每個(gè)主體擁有一張客體目錄表，這樣主體能訪問的客體及權(quán)限就一目了然了，依據(jù)該表對(duì)主體和客體的訪問與被訪問進(jìn)行監(jiān)督比較簡(jiǎn)便。缺點(diǎn)之一是系統(tǒng)開銷、浪費(fèi)較大，這是由于每個(gè)用戶都有一張目錄表，如果某個(gè)客體允許所有用戶訪問，則將給每個(gè)用戶逐一填寫文件目錄表，因此會(huì)造成系統(tǒng)額外開銷；二是由于這種機(jī)制允許客體屬主用戶對(duì)訪問權(quán)限實(shí)施傳遞并可多次進(jìn)行，造成同一文件可能有多個(gè)屬主的情形，各屬主每次傳遞的訪問權(quán)限也難以相同，甚至可能會(huì)把客體改用別名，因此使得能越權(quán)訪問的用戶大量存在，在管理上繁亂易錯(cuò)。2)訪問控制列表(AccessControlList)訪問控制列表的策略正好與目錄表訪問控制相反，它是從客體角度進(jìn)行設(shè)置的、面向客體的訪問控制。每個(gè)客體有一個(gè)訪問控制列表，用來說明有權(quán)訪問該客體的所有主體及其訪問權(quán)限，如圖9-5所示。圖中說明了不同主體對(duì)客體(PAYROLL文件)的訪問權(quán)限。其中，PAYROLL的訪問控制列表如下：圖9-5訪問控制列表的DAC<jane.pay,rw>其中，john和jane表示用戶的注冊(cè)ID；acct和pay表示用戶所屬的組ID；r和w表示所允許的訪問類型。如果john屬于acct組，則他只能閱讀文件；如果他不屬于任何組，則缺省情況下他沒有任何訪問權(quán)限。類似的，如果jane屬于pay組，則她可以閱讀和修改文件。訪問控制列表通常還支持統(tǒng)配符，從而可以制定更一般的訪問規(guī)則。例如，我們可以制定：<*.*,r>表示任何組當(dāng)中的任何用戶都可以讀文件。也可以制定如下規(guī)則：<@.*,rw>表示只有文件的屬主(@)才能讀和寫文件。訪問控制列表方式的最大優(yōu)點(diǎn)就是能較好地解決多個(gè)主體訪問一個(gè)客體的問題，不會(huì)像目錄表訪問控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪問。缺點(diǎn)是由于訪問控制列表需占用存儲(chǔ)空間，并且由于各個(gè)客體的長(zhǎng)度不同而出現(xiàn)存放空間碎片，造成浪費(fèi)；每個(gè)客體被訪問時(shí)都需要對(duì)訪問控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)行速度和浪費(fèi)了存儲(chǔ)空間。3)訪問控制矩陣(AccessControlMatrix)訪問控制矩陣是對(duì)上述兩種方法的綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換進(jìn)行定義的，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)的轉(zhuǎn)換則用命令來進(jìn)行描述。直觀地看，訪問控制矩陣是一張表格，每行代表一個(gè)用戶(即主體)，每列代表一個(gè)存取目標(biāo)(即客體)，表中縱橫對(duì)應(yīng)的項(xiàng)是該用戶對(duì)該存取客體的訪問權(quán)集合(權(quán)集)。圖9-6是訪問控制矩陣原理的簡(jiǎn)單示意圖。抽象地說，系統(tǒng)的訪問控制矩陣表示了系統(tǒng)的一種保護(hù)狀態(tài)，如果系統(tǒng)中用戶發(fā)生了變化，訪問對(duì)象發(fā)生了變化，或者某一用戶對(duì)某個(gè)對(duì)象的訪問權(quán)限發(fā)生了變化，都可以看作是系統(tǒng)的保護(hù)狀態(tài)發(fā)生了變化。由于訪問控制矩陣模型只規(guī)定了系統(tǒng)狀態(tài)的遷移必須有規(guī)則，而沒有規(guī)定是什么規(guī)則，因此該模型的靈活性很大，但卻給系統(tǒng)埋下了潛在的安全隱患。圖9-6訪問控制矩陣原理示意圖4)能力表(CapabilityList)能力表是訪問控制矩陣的另一種表示方式。在訪問控制矩陣表中可以看到，矩陣中存在一些空項(xiàng)(空集)，這意味著有的用戶對(duì)一些客體不具有任何訪問或存取的權(quán)力，顯然保存這些空集沒有意義。能力表的方法是對(duì)存取矩陣的改進(jìn)，它將矩陣的每一列作為一個(gè)客體而形成一個(gè)存取表。每個(gè)存取表只由主體、權(quán)集組成，無空集出現(xiàn)。為了實(shí)現(xiàn)完善的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息必須以某種形式保存在系統(tǒng)中，這種形式就是用訪問控制表和能力表來實(shí)施的。自主訪問控制面臨的最大問題是：在自主訪問控制中，具有某種訪問權(quán)的主體能夠自行決定將其訪問權(quán)直接或間接地轉(zhuǎn)交給其它主體。自主訪問控制允許系統(tǒng)的用戶對(duì)于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問。在基于DAC的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問權(quán)限。也就是說，主體擁有者對(duì)訪問的控制有一定權(quán)利。但正是這種權(quán)利使得信息在移動(dòng)過程中，其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可以將其對(duì)客體目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問權(quán)限的B也可以訪問O，這樣做很容易產(chǎn)生安全漏洞，所以自主訪問控制的安全級(jí)別很低。9.2.3強(qiáng)制訪問控制強(qiáng)制訪問控制(MandatoryAccessControl，MAC)是根據(jù)客體中信息的敏感標(biāo)簽和訪問敏感信息的主體的訪問等級(jí)，對(duì)客體的訪問實(shí)行限制的一種方法。它主要用于保護(hù)那些處理特別敏感數(shù)據(jù)(例如，政府保密信息或企業(yè)敏感數(shù)據(jù))的系統(tǒng)。在強(qiáng)制訪問控制中，用戶的權(quán)限和客體的安全屬性都是固定的，由系統(tǒng)決定一個(gè)用戶對(duì)某個(gè)客體能否進(jìn)行訪問。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。所謂“強(qiáng)制訪問控制”，是指訪問發(fā)生前，系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個(gè)客體。強(qiáng)制訪問控制的實(shí)質(zhì)是對(duì)系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感標(biāo)簽(SensitivityLabel)。用戶的敏感標(biāo)簽指定了該用戶的敏感等級(jí)或者信任等級(jí)，也被稱為安全許可(Clearance)；而文件的敏感標(biāo)簽則說明了要訪問該文件的用戶所必須具備的信任等級(jí)。強(qiáng)制訪問控制就是利用敏感標(biāo)簽來確定誰可以訪問系統(tǒng)中的特定信息的。貼標(biāo)簽和強(qiáng)制訪問控制可以實(shí)現(xiàn)多級(jí)安全策略(Multi-levelSecurityPolicy)。這種策略可以在單個(gè)計(jì)算機(jī)系統(tǒng)中處理不同安全等級(jí)的信息。只要系統(tǒng)支持強(qiáng)制訪問控制，那么系統(tǒng)中的每個(gè)客體和主體都有一個(gè)敏感標(biāo)簽同它相關(guān)聯(lián)。敏感標(biāo)簽由兩個(gè)部分組成：類別(Classification)和類集合(Compartments)(有時(shí)也稱為隔離間)。例如:SECRET[VENUS,TANK,ALPHA]ClassificationCategories類別是單一的、層次結(jié)構(gòu)的。在軍用安全模型(基于美國(guó)國(guó)防部的多級(jí)安全策略)中，有四種不同的等級(jí)：絕密級(jí)(TopSecret)、機(jī)密級(jí)(Secret)、秘密級(jí)(Confidential)及普通級(jí)(Unclassified)，其級(jí)別為T>S>C>U。類集合或者隔離間是非層次的，表示了系統(tǒng)當(dāng)中信息的不同區(qū)域。類當(dāng)中可以包含任意數(shù)量的項(xiàng)。在軍事環(huán)境下，類集合可以是：情報(bào)、坦克、潛艇、秘密行動(dòng)組等。在強(qiáng)制訪問控制系統(tǒng)當(dāng)中，控制系統(tǒng)之間的信息輸入和輸出是非常重要的。MAC系統(tǒng)有大量的規(guī)則用于數(shù)據(jù)輸入和輸出。在MAC系統(tǒng)當(dāng)中，所有的訪問決策都是由系統(tǒng)作出，而不像自由訪問控制當(dāng)中由用戶自行決定。對(duì)某個(gè)客體是否允許訪問的決策將由以下三個(gè)因素決定：(1)主體的標(biāo)簽，即你的安全許可：TOPSECRET[VENUSTANKALPHA](2)客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下：SECRET[VENUSALPHA]

(3)訪問請(qǐng)求，例如你試圖讀該文件。當(dāng)你試圖訪問LOGISTIC文件時(shí)，系統(tǒng)會(huì)比較你的安全許可和文件的標(biāo)簽從而決定是否允許你讀該文件。圖9-7顯示了強(qiáng)制訪問控制是如何工作的。圖9-7強(qiáng)制訪問控制基本上，強(qiáng)制訪問控制系統(tǒng)根據(jù)如下判斷準(zhǔn)則來確定讀和寫規(guī)則：只有當(dāng)主體的敏感等級(jí)高于或等于客體的等級(jí)時(shí)，訪問才是允許的，否則將拒絕訪問。根據(jù)主體和客體的敏感等級(jí)和讀寫關(guān)系可以有以下四種組合：(1)下讀(ReadDown)：主體級(jí)別大于客體級(jí)別的讀操作；(2)上寫(WriteUp)：主體級(jí)別低于客體級(jí)別的寫操作；(3)下寫(WriteDown)：主體級(jí)別大于客體級(jí)別的寫操作；(4)上讀(ReadUp)：主體級(jí)別低于客體級(jí)別的讀操作。這些讀寫方式保證了信息流的單向性。顯然，上讀—下寫方式只能保證數(shù)據(jù)的完整性，而上寫—下讀方式則保證了信息的安全性，也是多級(jí)安全系統(tǒng)必須實(shí)現(xiàn)的。以圖9-7為例，客體LOGISTIC文件的敏感標(biāo)簽為SECRET[VENUSALPHA]，主體Jane的敏感標(biāo)簽為SECRET[ALPHA]。雖然主體的敏感等級(jí)滿足上述讀寫規(guī)則，但是由于主體Jane的類集合當(dāng)中沒有VENUS，所以不能讀此文件，而寫則允許，因?yàn)榭腕wLOGISTIC的敏感等級(jí)不低于主體Jane的敏感等級(jí)，寫了以后不會(huì)降低敏感等級(jí)。強(qiáng)制訪問控制機(jī)制的特點(diǎn)主要有：一是強(qiáng)制性，這是強(qiáng)制訪問控制的突出特點(diǎn)，除了代表系統(tǒng)的管理員以外，任何主體、客體都不能直接或間接地改變它們的安全屬性。二是限制性，即系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以它所希望的模式訪問一個(gè)客體，這種無法回避的比較限制，將防止某些非法入侵，同時(shí)，也不可避免地要對(duì)用戶自己的客體施加一些嚴(yán)格的限制。9.2.4基于角色的訪問控制基于角色的訪問控制(Role-BasedAccessControl，RBAC)的核心思想就是：授權(quán)給用戶的訪問權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌泶_定，如圖9-8所示。在RBAC中，引入了“角色”這一重要的概念，所謂“角色”，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁。這是與傳統(tǒng)的訪問控制策略的最大區(qū)別所在。圖9-8基于角色的訪問控制基于角色的訪問控制有以下五個(gè)特點(diǎn)。1)以角色作為訪問控制的主體用戶以什么樣的角色對(duì)資源進(jìn)行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。2)角色繼承為了提高效率，避免相同權(quán)限的重復(fù)設(shè)置，RBAC采用了“角色繼承”的概念，定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。角色繼承可以用祖先關(guān)系來表示，如圖9-9所示，角色2是角色1的“父親”，它包含角色1的屬性和權(quán)限。在角色繼承關(guān)系圖中，處于最上面的角色擁有最大的訪問權(quán)限，越下端的角色擁有的權(quán)限越小。圖9-9角色繼承3)最小特權(quán)原則(LeastPrivilegeTheorem)最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)，是指“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)的必不可少的特權(quán)”。最小特權(quán)原則則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確保由于可能的事故、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。換句話說，最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過他執(zhí)行工作時(shí)所需的權(quán)限。實(shí)現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項(xiàng)工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。在RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當(dāng)一個(gè)主體需訪問某資源時(shí)，如果該操作不在主體當(dāng)前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當(dāng)一個(gè)主體需訪問某資源時(shí)，如果該操作不在主體當(dāng)前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。最小特權(quán)原則要求每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去控制(Sign)系統(tǒng)。特別是被授權(quán)擁有高特權(quán)角色(PowerfulRoles)的主體，不需要?jiǎng)虞m使用到其所有的特權(quán)，只有在那些特權(quán)有實(shí)際需求時(shí)，主體才會(huì)運(yùn)用它們。如此一來，可減少由于無意的錯(cuò)誤或是入侵者假裝合法主體所造成的安全事故。另外它還減少了特權(quán)程序之間潛在的相互作用，從而盡量避免對(duì)特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂?。這種機(jī)制還可以用于計(jì)算機(jī)程序：只有程序中需要特權(quán)的代碼才能擁有特權(quán)。4)職責(zé)分離(主體與角色的分離)對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作?！奥氊?zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。5)角色容量在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用?；诮巧脑L問控制是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的，這種活動(dòng)性質(zhì)表明用戶充當(dāng)了一定的角色。用戶訪問系統(tǒng)時(shí)，系統(tǒng)必須先檢查用戶的角色，一個(gè)用戶可以充當(dāng)多個(gè)角色，一個(gè)角色也可以由多個(gè)用戶擔(dān)任?；诮巧脑L問控制機(jī)制有幾個(gè)優(yōu)點(diǎn)：便于授權(quán)管理、便于根據(jù)工作需要分級(jí)、便于賦于最小特權(quán)、便于任務(wù)分擔(dān)、便于文件分級(jí)管理、便于大規(guī)模實(shí)現(xiàn)?；诮巧脑L問控制是一種有效而靈活的安全措施，目前仍處在深入研究之中。9.2.5總結(jié)訪問控制作為安全防御措施的一個(gè)重要環(huán)節(jié)，其作用是舉足輕重的。自主訪問控制機(jī)制雖然有著很大的靈活性，但同時(shí)也存在著安全隱患；強(qiáng)制訪問控制機(jī)制雖然大大提高了安全性，但是在靈活性上就會(huì)大打折扣。這兩種傳統(tǒng)的訪問控制機(jī)制存在的問題使得訪問控制的研究向著新的方向發(fā)展，基于角色的訪問控制機(jī)制就是在這種形勢(shì)下的產(chǎn)物，它克服了傳統(tǒng)的訪問控制機(jī)制的不足，是一種有效而靈活的安全策略，它是未來訪問控制的發(fā)展趨勢(shì)。9.3系統(tǒng)審計(jì)計(jì)算機(jī)的出現(xiàn)，尤其是計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，使得安全問題備受人們關(guān)注，而且人們?cè)跒閷?shí)現(xiàn)計(jì)算機(jī)安全的征程中經(jīng)歷著不斷的探索。最為引人注目的應(yīng)該是美國(guó)國(guó)防部(DOD)在20世紀(jì)70年代支持的一項(xiàng)內(nèi)容廣泛的研究計(jì)劃，該計(jì)劃研究安全策略、安全指南和“可信系統(tǒng)”的控制?？尚畔到y(tǒng)定義為：“能夠提供足夠的硬件和軟件，以確保系統(tǒng)同時(shí)處理一定范圍內(nèi)的敏感或分級(jí)信息”。因此，可信系統(tǒng)主要是為軍事和情報(bào)組織在同一計(jì)算機(jī)系統(tǒng)中存放不同敏感級(jí)別(通常對(duì)應(yīng)于相應(yīng)的分級(jí))信息而提出的。在最初的研究中，研究人員爭(zhēng)論安全審計(jì)機(jī)制是否對(duì)可信系統(tǒng)的安全級(jí)別有幫助，最終，審計(jì)機(jī)制被納入《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(“橙皮書”)中，作為對(duì)C2及C2以上級(jí)系統(tǒng)的要求的一部分。概括了DOD的可信計(jì)算機(jī)系統(tǒng)研究成果的這一系列文檔通常被稱為“彩虹系列”(RainbowSeries)?！安屎缦盗小敝械囊环菸臋n“褐皮書”(TanBook)就是說明可信系統(tǒng)中的審計(jì)的，標(biāo)題是《理解可信系統(tǒng)中的審計(jì)指南》。彩虹系列文檔可在網(wǎng)站/rainbow_series/下載。9.3.1審計(jì)及審計(jì)跟蹤審計(jì)(Audit)是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過程，它是一個(gè)被信任的機(jī)制，是TCB的一部分。同時(shí)，它也是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及其以上安全級(jí)別的計(jì)算機(jī)系統(tǒng)來講，審計(jì)功能是其必備的安全機(jī)制。而且，審計(jì)是其它安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過程，從身份認(rèn)證到訪問控制這些都離不開審計(jì)。同時(shí)，審計(jì)還是后來人們研究的入侵檢測(cè)系統(tǒng)的前提。審計(jì)跟蹤(AuditTrail)(“褐皮書”)是系統(tǒng)活動(dòng)的記錄，這些記錄足以重構(gòu)、評(píng)估、審查環(huán)境和活動(dòng)的次序，這些環(huán)境和活動(dòng)是同一項(xiàng)事務(wù)的開始到最后結(jié)束期間圍繞或?qū)е乱豁?xiàng)操作、一個(gè)過程或一個(gè)事件相關(guān)的。從這個(gè)意義來講，審計(jì)跟蹤可用來實(shí)現(xiàn)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)問題區(qū)；提供有效的災(zāi)難恢復(fù)；阻止系統(tǒng)的不正當(dāng)使用等。作為一種安全機(jī)制，計(jì)算機(jī)系統(tǒng)的審計(jì)機(jī)制的安全目標(biāo)有(“褐皮書”)：●審查基于每個(gè)目標(biāo)或每個(gè)用戶的訪問模式，并使用系統(tǒng)的保護(hù)機(jī)制。●發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的外部人員和內(nèi)部人員?！癜l(fā)現(xiàn)用戶從低等級(jí)到高等級(jí)的訪問權(quán)限轉(zhuǎn)移?！?/p>