訪問控制和系統(tǒng)審計

第7章訪問控制和系統(tǒng)審計7.1計算機安全等級的劃分7.2訪問控制7.3系統(tǒng)審計1（ITSEC）（TCSEC）（CTCPEC）FC2除了國際通用準則cc外,國際標準化組織和國際電工委也已經(jīng)制訂了上百項安全標準，其中包括專門針對銀行業(yè)務制訂的信息安全標準。國際電信聯(lián)盟和歐洲計算機制造商協(xié)會也推出了許多安全標準。

37.1計算機安全等級的劃分

CCTCSECITSEC-DE0EAL1--EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E641985年，美國國防部發(fā)表了《可信計算機評估準則》(縮寫為TCSEC)

，它依據(jù)處理的信息等級采取的相應對策，劃分了四類七個安全等級（從低到高，依次是D、C1、C2、B1、B2、B3和A1級。）,隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。5七個安全等級四個安全等級：無保護級(D1)自主保護級(C1,C2)強制保護級(B1,B2,B3)驗證保護級(A1)6

●D級——最低安全保護(MinimalProtection)。沒有任何安全性防護，整個系統(tǒng)不可信。對于硬件來說，無任何保護；對于操作系統(tǒng)來說，容易受到損害；對于用戶及其訪問權限來說，沒有身份認證。例：如DOS和Windows95/98等操作系統(tǒng)。

7●C1級——自主安全保護(DiscretionarySecurityProtection)。通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力,是一種粗粒度安全保護,具有以下特點：用戶與數(shù)據(jù)分離；有效的任意訪問控制機制，以便用戶保護自己的數(shù)據(jù)，但是這種訪問控制較粗，一般以組為單位進行，用戶進行分組并注冊后才能使用,而且對這種訪問控制機制并不進行嚴格的檢驗評估；防止對訪問控制機制進行纂改的能力；允許用戶決定何時使用訪問控制機制，何時不用，以及允許用戶決定對哪個客體或哪組客體進行訪問.該安全級別典型的有標準Unix8

●?C2級——可控訪問保護(ControledAccessProtection)。比C1級具有更細粒度的自主訪問控制,C2級計算機系統(tǒng)通過注冊過程控制、審計安全相關事件以及資源隔離，使單個用戶為其行為負責，每個主體對每個客體的每次訪問或訪問企圖都必須能予以審計跟蹤；達到C2級的常見操作系統(tǒng)有：UNIX、SCOUNIX、XENIX、Novell3.X、WindowsNT。

9所有的B級(B1、B2、B3)系統(tǒng)都應具有強制訪問控制機制?！?/p>

B1級——標識的安全保護(LabeledSecurityProtection)。在C2的基礎上，支持多級安全，可以使一個處于強制性訪問控制下的對象，不允許其所有者改變其權限。如為每個控制主體和客體分配了一個相應的安全級別,不同組的成員不能訪問對方創(chuàng)建的客體，但管理員許可的除外,管理員不能取得客體的所有權。WindowsNT的定制版本可以達到B1級。政府機構(gòu)與防御系統(tǒng)是B1級計算機系統(tǒng)的主要擁有者。10●?B2級——結(jié)構(gòu)化保護(StructuredProtection)。在B1的基礎上，要求計算機系統(tǒng)中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終端）分配單個或多個安全級別。它是提供較高安全級別的對象與較低安全級別的對象相通信的第一個級別。在設計B2級系統(tǒng)時，應提出一個合理的總體設計方案，設計方案應具有明確的模塊化和結(jié)構(gòu)化特征；系統(tǒng)設計應遵循最小授權原則；訪問控制機制應對所有主體和客體予以保護；應對系統(tǒng)進行隱秘通道分析，并堵塞所有發(fā)現(xiàn)的隱秘通道；系統(tǒng)應具有完整性訪問控制機制；系統(tǒng)的設計及代碼實現(xiàn)必須完全通過檢驗和測試，測試的結(jié)果必須保證系統(tǒng)完全實現(xiàn)了總體設計方案；在系統(tǒng)運行過程中，應有專人負責系統(tǒng)中訪問控制策略的設置和實施，而系統(tǒng)的操作員僅僅承擔與系統(tǒng)后續(xù)操作有關的職責。

銀行的金融系統(tǒng)通常達到B2級。11

●?B3級——安全域保護(SecurityDomain)。在B2的基礎上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進程運行在不同的地址空間從而實現(xiàn)隔離。12●?A1級——驗證設計(VerifiedDesign)。最高級別，包含較低級別的所有特性。包含一個嚴格的設計、控制和驗證過程。設計必須經(jīng)過數(shù)學上的理論驗證，而且必須對加密通道和可信任分布進行分析。13我國的安全等級劃分1999年9月13日，我國頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859–1999)，定義了計算機信息系統(tǒng)安全保護能力的五個等級(第一級到第五級)。實際上，國標中將國外的最低級D級和最高級A1級取消，余下的分為五級。TCSEC中的B1級與GB17859的第三級對應?！竦谝患墸河脩糇灾鞅Ｗo級；●第二級：系統(tǒng)審計保護級；●第三級：安全標記保護級；●第四級：結(jié)構(gòu)化保護級；●第五級：訪問驗證保護級。147.2訪問控制

7.2.1訪問控制的概念

原始概念——

是對進入系統(tǒng)的控制(用戶標識+口令/生物特性/訪問卡)

一般概念——

是針對越權使用資源的防御措施

15訪問控制的目的是為了限制訪問主體（用戶、進程、服務等）對訪問客體（文件、系統(tǒng)等）的訪問權限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用,決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。1617保護域X<文件A，{讀，寫}><文件B，{讀，寫}><打印機，{寫}>保護域Y<文件C，{讀}>圖有重疊的保護域保護域每一主體(進程)都在一特定的保護域下工作，保護域規(guī)定了進程可以訪問的資源。每一域定義了一組客體及可以對客體采取的操作?？蓪腕w操作的能力稱為訪問權(AccessRight),訪問權定義為有序?qū)Φ男问?87.2.2訪問控制的一般策略19

訪問控制的策略

—自主訪問控制

（DiscretionaryAccessControl,DAC,又稱任意訪問控制)

特點：

根據(jù)主體的身份和授權來決定訪問模式。具有某種訪問權限主體(用戶)能夠自主地將訪問權限授予其它的主體。缺點：信息在移動過程中其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O。20在各種以自主訪問控制機制進行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對客體進行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運行,在一些系統(tǒng)中該模式還需要同時擁有讀模式；空模式(null)，即主體對客體不具有任何的存取權。21r讀wx寫執(zhí)行r讀wx寫執(zhí)行r讀wx寫執(zhí)行屬主組內(nèi)其它在許多操作系統(tǒng)當中，對文件或者目錄的訪問控制是通過把各種用戶分成三類來實施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)。22訪問控制的策略

—強制訪問控制

(MandatoryAccessControl,MAC)

特點：

1.將主體和客體分級，根據(jù)主體和客體的級別標記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。2.強制：系統(tǒng)強制主體服從訪問控制策略上。即由系統(tǒng)（系統(tǒng)管理員）決定一個用戶對某個客體能否進行訪問。用戶和他們的進程不能修改這些屬性。只有當主體的敏感等級高于或者等于客體的等級時，訪問才是允許，否則將拒絕訪問。23在MAC系統(tǒng)當中，所有的訪問決策都是由系統(tǒng)作出，而不像自由訪問控制當中由用戶自行決定。24用戶的敏感標簽指定了該用戶的敏感等級或者信任等級，也被稱為安全許可(Clearance)；文件的敏感標簽則說明了要訪問該文件的用戶所必須具備的信任等級。敏感標簽由兩個部分組成：類別(Classification)和類集合(Compartments)(有時也稱為隔離間)。例如:SECRET[VENUS,TANK,ALPHA]Classification

Categories25對某個客體是否允許訪問的決策將由以下三個因素決定：(1)主體的標簽，即你的安全許可：TOPSECRET[VENUSTANKALPHA](2)客體的標簽，例如文件LOGISTIC的敏感標簽如下：SECRET[VENUSALPHA](3)訪問請求，例如你試圖讀該文件。當你試圖訪問LOGISTIC文件時，系統(tǒng)會比較你的安全許可和文件的標簽從而決定是否允許你讀該文件。26強制訪問控制系統(tǒng)確定讀和寫規(guī)則的判斷準則：只有當主體的敏感等級高于或等于客體的等級時，訪問才是允許的，否則將拒絕訪問。根據(jù)主體和客體的敏感等級和讀寫關系可以有以下四種組合：(1)下讀(ReadDown)：主體級別大于客體級別的讀操作；(2)上寫(WriteUp)：主體級別低于客體級別的寫操作；(3)下寫(WriteDown)：主體級別大于客體級別的寫操作；(4)上讀(ReadUp)：主體級別低于客體級別的讀操作。

27訪問控制的策略 —基于角色的訪問控制(Role-BasedAccessControl,RBAC)基于角色的訪問控制的核心思想：授權給用戶的訪問權限通常由用戶在一個組織中擔當?shù)慕巧珌泶_定，所謂“角色”，是指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色與組的區(qū)別

組 ： 用戶集 角色 ： 用戶集＋權限集主體角色客體28基于角色的訪問控制有以下五個特點:

1)以角色作為訪問控制的主體用戶以什么樣的角色對資源進行訪問，決定了用戶擁有的權限以及可執(zhí)行何種操作。

292)角色繼承

“角色繼承”:定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權、責任關系。

30角色繼承可以用祖先關系圖來表示，圖中角色2是角色1的“父親”，它包含角色1的屬性和權限。處于最上面的角色擁有最大的訪問權限，越下端的角色擁有的權限越小。角色3角色4角色2角色1包含包含包含313)最小特權原則(LeastPrivilegeTheorem)最小特權原則是系統(tǒng)安全中最基本的原則之一。最小特權:“在完成某種操作時所賦予網(wǎng)絡中每個主體(用戶或進程)的必不可少的特權”。最小特權原則:“應限定網(wǎng)絡中每個主體所必須的最小特權，確保由于可能的事故、錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小”。也就是說,

最小特權原則是指用戶所擁有的權利不能超過他執(zhí)行工作時所需的權限。

32實現(xiàn)最小權限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項工作的最小權限集，然后將用戶限制在這些權限范圍之內(nèi)。在基于角色的訪問控制中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設計擁有不同權限的角色，只有角色執(zhí)行所需要的才授權給角色。當一個主體需訪問某資源時，如果該操作不在主體當前所扮演的角色授權操作之內(nèi)，該訪問將被拒絕。33最小特權原則:

一方面給予主體“必不可少”的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，這就限制了每個主體所能進行的操作。344)職責分離(主體與角色的分離)

“職責分離”可以有靜態(tài)和動態(tài)兩種實現(xiàn)方式:

靜態(tài)職責分離：只有當一個角色與用戶所屬的其它角色彼此不互斥時，這個角色才能授權給該用戶。

動態(tài)職責分離：只有當一個角色與一主體的任何一個當前活躍角色都不互斥時，該角色才能成為該主體的另一個活躍角色。355)角色容量在創(chuàng)建新的角色時，要指定角色的容量:在一個特定的時間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。367.2.3訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制——基于訪問控制屬性

——〉訪問控制表/矩陣

基于用戶和資源分級（“安全標簽”） ——〉多級訪問控制常見實現(xiàn)方法——訪問控制表（ACL)訪問能力表（Capabilities)授權關系表37SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute訪問控制實現(xiàn)方法

——訪問控制矩陣

按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容38userAOwnRWOuserB

R

OuserCRWOObj1訪問控制實現(xiàn)方法

——訪問控制表(ACL)39訪問控制實現(xiàn)方法

——訪問能力表(CL)Obj1OwnRWOObj2

R

OObj3

RWOUserA40訪問控制實現(xiàn)方法

——授權關系表UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2417.3系統(tǒng)審計審計及審計跟蹤

審計(Audit)是指產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程，它是一個被信任的機制，也是計算機系統(tǒng)安全機制的一個不可或缺的部分，對于C2及其以上安全級別的計算機系統(tǒng)來講，審計功能是其必備的安全機制。審計是其它安全機制的有力補充，它貫穿計算機安全機制實現(xiàn)的整個過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是后來人們研究的入侵檢測系統(tǒng)的前提。42

審計跟蹤(AuditTrail)是系統(tǒng)活動的記錄。即它是運用操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡管理系統(tǒng)提供的審計模塊的功能或其它專門程序，對系統(tǒng)的使用情況建立日志記錄，以便實時地監(jiān)控、報警或事后分析、統(tǒng)計、報告，是一種通過事后追查來保證系統(tǒng)安全的技術手段。審計跟蹤可用來實現(xiàn)：確定和保持系統(tǒng)活動中每個人的責任；重建事件；評估損失；監(jiān)測系統(tǒng)問題區(qū)；提供有效的災難恢復；阻止系統(tǒng)的不正當使用等。43審計過程的實現(xiàn)：第一步，收集并判斷事件是否是審計事件，產(chǎn)生審計記錄；第二步，根據(jù)記錄進行安全事件的分析；第三步，采取處理措施（報警并記錄，逐出系統(tǒng)并記錄其內(nèi)容，生成記錄報告等）。44安全審計分類

1、按照審計對象分類，安全審計可分為三種：

(1)網(wǎng)絡審計。包括對網(wǎng)絡信息內(nèi)容和協(xié)議的分析；

(2)主機審計。包括對系統(tǒng)資源，如打印機、Modem、系統(tǒng)文件、注冊表文件等的使用進行事前控制和事后取證，形成重要的日志文件。

(3)應用系統(tǒng)審計。對各類應用系統(tǒng)的審計，如對各類數(shù)據(jù)庫系統(tǒng)進行審計。

452、按照審計方式分類，安全審計可分為三種：

(1)人工審計：由審計員查看審計記錄