第8章访问控制与系统审计.ppt
《第8章访问控制与系统审计.ppt》由会员分享,可在线阅读,更多相关《第8章访问控制与系统审计.ppt(97页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第8章 访问控制与系统审计访问控制与系统审计8 访问控制访问控制8.1访问控制基本概念访问控制基本概念 广义地讲,广义地讲, 所有的计算机安全都与访问控制有关所有的计算机安全都与访问控制有关。 安全处处皆控制?安全处处皆控制? RFC 2828 定义计算机安全如下:用来实现和保证计算机系定义计算机安全如下:用来实现和保证计算机系统的安全服务的措施,统的安全服务的措施,特别是保证访问控制服务的措施。特别是保证访问控制服务的措施。 访问控制是指对访问控制是指对主体访问客体的权限或能力的限制主体访问客体的权限或能力的限制,以及,以及限限制进入物理区域(出入控制)和限制使用计算机系统和计算制进入物理区
2、域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)机存储数据的过程(存取控制)。在访问控制中,必须控制。在访问控制中,必须控制主体对客体的访问活动主体对客体的访问活动。 访问控制也可以定义为:访问控制也可以定义为:主体主体依据某些控制策略或权限依据某些控制策略或权限对客对客体本身或是其资源进行的不同授权访问。体本身或是其资源进行的不同授权访问。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 主体(主体(Subject):是指一个:是指一个提出请求或要求的实体提出请求或要求的实体,是,是动作的动作的发起者发起者,但不
3、一定是动作的执行者,简记为,但不一定是动作的执行者,简记为S。有时我们也称。有时我们也称为为用户或访问者用户或访问者,简记为,简记为U。 主体可以是用户所在的组织(用户组)、用户本身,也可以是主体可以是用户所在的组织(用户组)、用户本身,也可以是用户使用的用户使用的计算机终端、手持终端计算机终端、手持终端等,甚至可以是等,甚至可以是应用服务程应用服务程序或进程。序或进程。 客体(客体(Object):):是是接受其他实体访问的被动实体接受其他实体访问的被动实体, 简记为简记为O。被被 操作的信息、资源、对象都可以认为是客体操作的信息、资源、对象都可以认为是客体。甚至。甚至一个客一个客体可以包含
4、另外一个客体。体可以包含另外一个客体。 一个实体可以在某一时刻是主体,而在另一时刻是客体,这取一个实体可以在某一时刻是主体,而在另一时刻是客体,这取决于当前实体的功能是决于当前实体的功能是动作的执行者还是动作的被执行者动作的执行者还是动作的被执行者。 动作的执行者动作的执行者是主体,动作的是主体,动作的被执行者被执行者是客体。是客体。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计控制策略:控制策略:是主体对客体的是主体对客体的操作行为集和约束条操作行为集和约束条件集件集。控制策略是。控制策略是主体对客体的访问规则集主体对客体的访问规
5、则集,这,这个规则集直接定义了个规则集直接定义了主体对客体主体对客体的的作用行为作用行为和和客客体对主体体对主体的的条件约束条件约束。访问控制策略访问控制策略体现了一种授权行为,也就是客体体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集。对主体的权限允许,这种允许不超越规则集。访问控制包括三个要素访问控制包括三个要素:主体、客体和控制策略。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计授权授权 授权:授权:是是资源的所有者或者控制者准许他人访问资源的所有者或者控制者准许他人访问资源资源,这是实现访问控制的前提。对
6、于简单的个,这是实现访问控制的前提。对于简单的个体和不太复杂的群体,我们可以考虑体和不太复杂的群体,我们可以考虑基于个人和基于个人和组的授权组的授权。 让让不合法的用户不合法的用户不能得到访问控制的权限不能得到访问控制的权限,这是,这是一个复杂的问题。一个复杂的问题。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计域域 域:域:每一域定义了一组客体及可以对客体采取的操作。每一域定义了一组客体及可以对客体采取的操作。一个域是访问权的集合。一个域是访问权的集合。 每一主体每一主体(进程)都在(进程)都在一特定的保护域下工作一特定的保护域下
7、工作,保护域保护域规定了进程可以访问的资源。规定了进程可以访问的资源。 如域如域X有访问权,则在域有访问权,则在域X下运行的进程可对文件下运行的进程可对文件A执行执行读写,但不能执行任何其他的操作。读写,但不能执行任何其他的操作。 保护域可以有交叉保护域可以有交叉,即它们可以共享权限。,即它们可以共享权限。 域域X和域和域Y对打印机都有写的权限对打印机都有写的权限,从而产生了访问权,从而产生了访问权交叉现象。交叉现象。Network and Information Security 保护域 X 保护域 Y 第8章 访问控制与系统审计访问控制与系统审计Network and Informatio
8、n Security 经典安全模型 8.2 计算机安全计算机安全模型模型 经典安全模型包含如下基本要素:(1) 明确定义的主体和客体;(2) 描述主体如何访问客体的一个授权数据库;(3) 约束主体对客体访问尝试的引用监控器(又叫参考监视器);(4) 识别和验证主体和客体的可信子系统;(5) 审计引用监控器活动的审计子系统。 引用监控器 主体 访问请求 客体 允许的访问 I&A 子系统 审计子系统 授权数据库 第8章 访问控制与系统审计访问控制与系统审计Network and Information Security 访问控制是访问控制是 是在是在身份识别的基础上身份识别的基础上,根据身份根据身
9、份对提出的对提出的资源访问请求资源访问请求加以控制加以控制。 访问控制的目的是为了访问控制的目的是为了保证网络资源受控、合法地使用保证网络资源受控、合法地使用。 用户只能根据自己的权限大小来访问系统资源,用户只能根据自己的权限大小来访问系统资源,不能越权不能越权访问访问。 访问控制也是记账、审计的前提。访问控制也是记账、审计的前提。 第8章 访问控制与系统审计访问控制与系统审计访问控制的访问控制的前驱是身份认证前驱是身份认证,访问控制的,访问控制的后继是审计后继是审计。从访问控制完整性角度讲,访问控制应包括从访问控制完整性角度讲,访问控制应包括认证、控制策略认证、控制策略实现和审计实现和审计三
10、方面的内容:三方面的内容: 1 认证:认证:主体对客体的主体对客体的识别认证识别认证和客体对主体和客体对主体检验认证检验认证。2 控制策略的具体实现:控制策略的具体实现:如何如何设定规则集合设定规则集合从而确保正常用从而确保正常用户对信息资源的户对信息资源的合法使用合法使用 。3 审计审计:审计的重要意义是通过:审计的重要意义是通过记录主体的所有活动记录主体的所有活动,使,使主主体的行为有案可稽体的行为有案可稽,从而达到威慑和保证访问控制正常实,从而达到威慑和保证访问控制正常实现的目的。现的目的。Network and Information Security第8章 访问控制与系统审计访问控制
11、与系统审计Network and Information Security安全机制 引用监控器引用监控器是主体是主体/角色对客体进行访问的桥梁角色对客体进行访问的桥梁和监视者和监视者; 身份识别与验证身份识别与验证是主体是主体/角色获得访问授权的第一步;角色获得访问授权的第一步; 访问控制是根据访问控制是根据安全策略安全策略对主体行为进行限制的机制和手段;对主体行为进行限制的机制和手段; 审计审计在主体访问客体的整个过程中都发挥着作用,为安全分析在主体访问客体的整个过程中都发挥着作用,为安全分析提供了有利的证据支持。提供了有利的证据支持。 身份认证、访问控制为审计身份认证、访问控制为审计的正确
12、性提供保障。它们之间是的正确性提供保障。它们之间是互互为制约、相互促进的。为制约、相互促进的。 安全管理员 安全策略 引用监控器 主体/角色 认证 授权 客体 审计 第8章 访问控制与系统审计访问控制与系统审计8.3安全策略安全策略 能够提供恰当的、符合安全需求的能够提供恰当的、符合安全需求的整体方案整体方案就是就是安全策略安全策略。 一种安全策略应表明:在安全领域的范围内,一种安全策略应表明:在安全领域的范围内,什么操作是明什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。允许的,什么操作是默认
13、不允许的。 按照按照ISO 7498-2中中OSI安全体系结构中的定义,访问控制的安全体系结构中的定义,访问控制的安全策略有以下两种实现方式:安全策略有以下两种实现方式:基于身份的安全策略基于身份的安全策略和和基于基于规则的安全策略。规则的安全策略。 目前使用的两种安全策略,建立的基础都是授权行为。目前使用的两种安全策略,建立的基础都是授权行为。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.3.1基于身份的安全策略基于身份的安全策略 基于身份的安全策略基于身份的安全策略(IDBACP:Identification-based A
14、ccess Control Policies)的目的是的目的是过滤过滤对数据或资源的访问,只有能对数据或资源的访问,只有能通过认证的那些通过认证的那些主体才有可能正常使用客体资源。主体才有可能正常使用客体资源。1基于个人的安全策略基于个人的安全策略 (IDLBACP:Individual-based Access Control Policies) 基于个人的安全策略是指基于个人的安全策略是指以用户为中心建立的一种策略以用户为中心建立的一种策略, 哪哪些用户可以实现何种操作行为。些用户可以实现何种操作行为。2基于组的安全策略基于组的安全策略 (GBACP:Group-based Access
15、Control Policies) 基于组的策略是基于个人的策略的扩充,指基于组的策略是基于个人的策略的扩充,指一组用户被允许一组用户被允许使用同样的访问控制规则访问同样的客体使用同样的访问控制规则访问同样的客体。 Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.3.2基于规则的安全策略基于规则的安全策略基于规则的安全策略中的授权通常依赖于敏感性。基于规则的安全策略中的授权通常依赖于敏感性。主体和客体主体和客体应该标注安全标记。应该标注安全标记。通过通过比较用户和客体资源的安全级别比较用户和客体资源的安全级别来判断是否来判断是否允
16、许用户进行访问。允许用户进行访问。安全级别一般分多级,对应的安全策略为安全级别一般分多级,对应的安全策略为多级安全策略多级安全策略。安全属性分级考虑,安全属性分级考虑, 如层次安全级别(如层次安全级别(Hierarchical Classification),),分为分为TS、S、C、RS和和U五个安全等级五个安全等级。TS代表绝密级别(代表绝密级别(Top Secret),),S代表秘密级别(代表秘密级别(Secret),), C代表机密级别(代表机密级别(Confidential),),RS代表限制级别(代表限制级别(Restricted),),U代表无级别级(代表无级别级(Unclass
17、ified)。)。TS、S、C、RS和和U这五个安全级别从前往后依次降低,即这五个安全级别从前往后依次降低,即安全级别的关安全级别的关系为系为TSSCRSU。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计 多级安全策略的多级安全策略的优点是避免敏感信息的扩散优点是避免敏感信息的扩散。 具有安全级别的信息资源,只有具有安全级别的信息资源,只有安全级别相匹配的主安全级别相匹配的主体才能够访问。体才能够访问。 同样地,同样地, 也可以对主体按这样的安全级别划分,当然也可以对主体按这样的安全级别划分,当然也可以有另外的安全级别划分。也可以有
18、另外的安全级别划分。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.4 访问控制实现方法访问控制实现方法 通过什么样的方法才能实现访问控制的这些要求?通过什么样的方法才能实现访问控制的这些要求? 存取许可存取许可是一种权力,允许主体修改客体的是一种权力,允许主体修改客体的访问控制表访问控制表。 存取模式存取模式是经过存取许可是经过存取许可确定后确定后,对客体进行的各种不同的,对客体进行的各种不同的存取操作。存取操作。 存取许可的作用存取许可的作用在于在于定义或改变存取模式定义或改变存取模式; 存取模式的作用存取模式的作用是规定主体
19、对客体可进行是规定主体对客体可进行何种存取操作何种存取操作。 存取模式主要有:存取模式主要有:读(读(Read,R);写(;写(Write,W;执行(;执行(Execute,E);拥有(;拥有(Own,O);空模式();空模式(Null,N)。 与存取模式对应的权限集与存取模式对应的权限集为为 Read, Write, Execute, Own,Null,简写为,简写为R, W, E, O,N。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计8.4.1 目录表目录表 在目录表(在目录表(Directory List)访问控制方法中)访
20、问控制方法中 ,为每一个欲,为每一个欲实施实施访问操作的主体访问操作的主体,建立一个能被其访问的,建立一个能被其访问的“客体目录表客体目录表 ”。 主体主体A的客体目录表的客体目录表Network and Information Security客体客体1: R客体客体2: W 客体客体n:E客体目录表中各个客体的访问权限的修改只能由该客体的客体目录表中各个客体的访问权限的修改只能由该客体的合法属合法属主主或具有或具有存取许可权限的主体存取许可权限的主体确定。确定。客体资源的拥有者客体资源的拥有者称为称为属主属主。目录表访问控制机制的优点是目录表访问控制机制的优点是容易实现容易实现,每个主体拥
21、有一张客体,每个主体拥有一张客体目录表,一目了然,目录表,一目了然,监督主体对客体的访问比较简便监督主体对客体的访问比较简便。缺点是系统缺点是系统开销、浪费较大开销、浪费较大,这是由于每个用户都有一张目录表。,这是由于每个用户都有一张目录表。第8章 访问控制与系统审计访问控制与系统审计8.4.2 访问控制列表访问控制列表 访问控制列表访问控制列表(简称访问控制表,(简称访问控制表,Access Control List , ACL)。 访问控制列表的策略正好访问控制列表的策略正好与目录表访问控制相反与目录表访问控制相反,它是,它是从客从客体角度进行设置的、面向客体的访问控制。体角度进行设置的、
22、面向客体的访问控制。 每个客体有一个访问控制列表每个客体有一个访问控制列表,用来说明有权访问该客体的,用来说明有权访问该客体的所有主体及其访问权限。所有主体及其访问权限。 当一个用户参与组成一个用户组时(系统中的一个或多个用当一个用户参与组成一个用户组时(系统中的一个或多个用户可以组成一个用户组),该用户就是该用户组的成员,该户可以组成一个用户组),该用户就是该用户组的成员,该用户组可以称为该用户的用户组可以称为该用户的属组属组。Network and Information Security第8章 访问控制与系统审计访问控制与系统审计客体客体PAYROLL的访问控制列表的访问控制列表 左:左
23、: john和和jane表示表示用户标识用户标识UID;acct和和pay表示用户所表示用户所属的组属的组ID。如果。如果john属于属于acct组,则他只能读文件;如果组,则他只能读文件;如果他不属于任何组,则缺省情况下他没有任何访问权限。他不属于任何组,则缺省情况下他没有任何访问权限。 如如果果jane属于属于pay组,则她可以读和写文件。组,则她可以读和写文件。 访问控制列表通常还支持访问控制列表通常还支持通配符通配符,从而可以制定更一般的,从而可以制定更一般的访问规则。访问规则。 中:中: 表示表示任何组当中的任何用户任何组当中的任何用户都可以读文件。都可以读文件。 右右 :表示组表示
24、组pay中的任何用户中的任何用户都能读和写文件。都能读和写文件。Network and Information Securityjohn.acctRjane.payRW*.*R*.pay RW第8章 访问控制与系统审计访问控制与系统审计访问控制列表访问控制列表优缺点优缺点 访问控制列表方式的缺点访问控制列表方式的缺点: 任何得到授权的客体都有一个访问控制列表,当授权客体数量多任何得到授权的客体都有一个访问控制列表,当授权客体数量多时,每个表时,每个表单独存放会产生大量的表单独存放会产生大量的表,若,若集中存放集中存放会因会因各个客体各个客体的的访问控制列表长度不同访问控制列表长度不同而出现而出
25、现存放空间碎片,造成浪费;存放空间碎片,造成浪费; 其次,每个客体被访问时都需要对访问控制列表从头到尾扫描一其次,每个客体被访问时都需要对访问控制列表从头到尾扫描一遍,遍,影响系统运行速度影响系统运行速度 。 访问控制表是以访问控制表是以客体为中心建立的访问权限表客体为中心建立的访问权限表。 访问控制表的优点在于访问控制表的优点在于实现简单、不会出现越权访问实现简单、不会出现越权访问,任何得到任何得到授权的客体都可以有一个访问表授权的客体都可以有一个访问表。 目前,大多数目前,大多数PC、服务器和防火墙、服务器和防火墙都使用都使用ACL作为访问控制的实作为访问控制的实现机制。现机制。Netwo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问 控制 系统 审计
限制150内