系统访问控制与审计技术(ppt 33页).pptx

《系统访问控制与审计技术(ppt 33页).pptx》由会员分享，可在线阅读，更多相关《系统访问控制与审计技术(ppt 33页).pptx（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络与信息安全技术教学课件 V08.081系统访问控制与审计技术系统访问控制与审计技术第第 11 章章2基本内容u除了加强网络安全技术外，一般需要对系统的资源进行访问控制，根据用户需求设置相应的访问权限，并对使用情况进行审计。本章介绍访问控制与审计相关的知识。311.1 11.1 访问控制技术访问控制技术 访问控制是在保障授权用户能获取所需资源的同时拒绝访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户的安全机制。 访问控制也是信息安全理论基础的重要组成部分。访问控制也是信息安全理论基础的重要组成部分。 本章讲述访问控制的原理、作用、分类和研究前沿，重本章讲

2、述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。访问控制。 11.1.1 11.1.1 访问控制技术的概念访问控制技术的概念 411.1 11.1 访问控制技术访问控制技术 访问控制与其他安全措施之间的关系可以用图访问控制与其他安全措施之间的关系可以用图11-111-1来简来简要说明。要说明。 在用户身份认证在用户身份认证( (如果必要如果必要) )和授权之后，访问控制机制和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源将根据预先设定的规则对用户访问某项资源( (目标目标)

3、 )进行控制，进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。将被拒绝。 资源可以是信息资源、处理资源、通信资源或者物理资资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。一般情况可以理解为读、写或者执行。 11.1.2 11.1.2 访问控制原理访问控制原理 511.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 访问控制的目的是为了

4、限制访问主体对访问客体的访问权限，从而访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型：定用户身份的进程能做什么。访问控制一般包括三种类型：自主访问控自主访问控制制、强制访问控制强制访问控制和和基于角色的访问控制基于角色的访问控制。 611.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 自主访问控制（自主访问控制（Discretionary Access Contr

5、olDiscretionary Access Control，DACDAC）是一种常）是一种常用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的客体的访问，这种控制是自主的。自主是指主体能够自主的( (可能是间接可能是间接的的) )将访问权或访问权的某个子集授予其他主体。将访问权或访问权的某个子集授予其他主体。 1 1自主访问控制自主访问控制 自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具有传递性。传

6、递可能会给系统带来安全隐患，某个主体通过继承其他主有传递性。传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。性。这是自主访问控制方式的缺点。 为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对

7、应的权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问控制信息。控制信息。 711.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 访问控制表访问控制表(Access Control List(Access Control List，ACL)ACL)是基于访问控制矩阵中列是基于访问控制矩阵中列的自主访问控制。的自主访问控制。 1 1自主访问控制自主访问控制( (续续) )（1 1）访问控制表）访问控制表 对系统中一

8、个需要保护的客体对系统中一个需要保护的客体O Oj j附加的访问控制表的结构如附加的访问控制表的结构如下下图所示图所示 在上图的例子中，对于客体在上图的例子中，对于客体O Oj j, ,主体主体S S0 0具有读具有读(r)(r)和执行和执行(e)(e)的权利；的权利；主体主体S S1 1只有读的权利；主体只有读的权利；主体S S2 2只有执行的权利；主体只有执行的权利；主体S Sm m具有读、写具有读、写(w)(w)和和执行的权利。执行的权利。811.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 1 1自主访问控制自主访问控制( (续续) )

9、(2) (2) 访问能力表访问能力表 访问能力表访问能力表(Access Capabilities List)(Access Capabilities List)是最常用的基于行的自主访是最常用的基于行的自主访问控制。能力问控制。能力(capability) (capability) 是为主体提供的、对客体具有特定访问权限是为主体提供的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以体。主体可以将能力转移给为自己工作的进程，在进

10、程运行期间，还可以添加或者修改能力。添加或者修改能力。 能力的转移不受任何策略的限制，所以对于一个特定的客体，不能确能力的转移不受任何策略的限制，所以对于一个特定的客体，不能确定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。制，而访问控制表是可以实现的。 911.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 2 2强制访问控制强制访问控制 强制访问控制系统为所有的主体和客体指定安全级别强制访问控制系统为所有的主体和客体指定安全级别，比如绝

11、密级、，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级，也可以规定低级别可以单向访问高级别。别。这种访问可以是读，也可以是写或修改。这种访问可以是读，也可以是写或修

12、改。 1 1）保障信息完整性策略。）保障信息完整性策略。 2 2）保障信息机密性策略。）保障信息机密性策略。 自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作为增强的、更加严格的控制手段。为增强的、更加严格的控制手段。 1011.1 11.1 访问控制技术访问控制技术 11.1.2

13、11.1.2 访问控制原理访问控制原理 3 3基于角色的访问控制基于角色的访问控制 基于角色的访问控制模式基于角色的访问控制模式(Role Based Access Control(Role Based Access Control，RBAC)RBAC)中，中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应到角色，而看不到用户。用户在

14、访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。访问控制机制控制角色的访问能力。 （1 1）角色的概念）角色的概念 在基于角色的访问控制中，角色在基于角色的访问控制中，角色(role)(role)定义为与一个特定活动相关定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是具有角色拥有的权限。一个主体

15、可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限配授权来尽可能实现主体的最小权限( (最小授权指主体在能够完成所有必最小授权指主体在能够完成所有必需的访问工作基础上的最小权限需的访问工作基础上的最小权限) )。1111.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 3 3基于角色的访问控制基于角色的访问控制 （2 2）基于角色的访问控制）基于角色的访问控制 基于角色的访问控制就是通过定义角色的权限，为系统中

16、的主体分基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。色的权限，并决定是否允许访问。 这种访问控制方法的具体特点如下：这种访问控制方法的具体特点如下： 1 1）提供了三种授权管理的控制途径）提供了三种授权管理的控制途径 2 2）系统中所有角色的关系结构可以是层次化的，便于管理。）系统中所有角色的关系结构可以是

17、层次化的，便于管理。 3 3）具有较好的提供最小权利的能力，从而提高了安全性。）具有较好的提供最小权利的能力，从而提高了安全性。 4 4）具有责任分离的能力。）具有责任分离的能力。 1211.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本概念 1 1安全模型安全模型 WindowsWindows的安全模型由以下几个关键部分构成：的安全模型由以下几个关键部分构成： 1 1）登录过程）登录过程(Logon Process(Logon Process，LP)LP)。接受本

18、地用户或者远程用户的。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。登录请求，处理用户信息，为用户做一些初始化工作。 2 2）本地安全授权机构）本地安全授权机构(Local Security Authority(Local Security Authority，LSA)LSA)。根据安。根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。和日志。这是整个安全子系统的核心。 3 3）安全账号管理器）安全账号管理器(Security Account Manag

19、er(Security Account Manager，SAM)SAM)。维护账号。维护账号的安全性管理数据库的安全性管理数据库(SAM(SAM数据库，又称目录数据库数据库，又称目录数据库) )。 4 4）安全引用监视器）安全引用监视器(Security Reference Monitor(Security Reference Monitor，SRM)SRM)。检查存。检查存取合法性，防止非法存取和修改。取合法性，防止非法存取和修改。 这几部分在访问控制的不同阶段发挥了各自的作用。这几部分在访问控制的不同阶段发挥了各自的作用。 1311.2 Windows 200011.2 Windows 2

20、000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本概念 2 2安全概念安全概念 1 1）安全标识）安全标识(Security Identifier(Security Identifier，SID)SID)：安全标识和账号唯一对：安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在对应的用户和组的账号信息一起存储在SAMSAM数据库里。数据库里。 2 2）访问令牌）访问令牌(Access Token)(

21、Access Token)。当用户登录时，本地安全授权机构为。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。 3 3）主体）主体。用户登录到系统之后，本地安全授权机构为用户构造一个。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个主体。问令牌一起构成一个主体。 4 4）对象、资源、共享资源）对象、资源、共享资源。对象的实质是封装了数据和处理过程的。对象

22、的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。共享的对象。 5 5）安全描述符）安全描述符（Security DescriptSecurity Descript）。）。WindowsWindows系统会为共享资源系统会为共享资源创建安全描述符，包含了该对象的一组安全属性创建安全描述符，包含了该对象的一组安全属性。14 安全描述符分为四个部分：安全描述符分为四个部分： 所有者安全标识所有者安全标识(Owner SecurityID)(Owner SecurityID)。拥有该对

23、象的用户或者用户。拥有该对象的用户或者用户组的组的SDSD。 组安全标识组安全标识(GroupSecurity)(GroupSecurity)。 自主访问控制表自主访问控制表(Discretionary Access Control List(Discretionary Access Control List，DAC)DAC)。该对象的访问控制表，由对象的所有者控制。该对象的访问控制表，由对象的所有者控制。 系统访问控制表系统访问控制表(System Access Control List(System Access Control List，ACL)ACL)。定义操作。定义操作系统将产生何种

24、类型的审计信息，由系统的安全管理员控制。系统将产生何种类型的审计信息，由系统的安全管理员控制。 其中，安全描述符中的每一个访问控制表其中，安全描述符中的每一个访问控制表(ACL)(ACL)都由访问控制项都由访问控制项(Access Control Entries(Access Control Entries，ACEs)ACEs)组成，用来描述用户或者组对对象的访组成，用来描述用户或者组对对象的访问或审计权限。问或审计权限。ACEsACEs有三种类型：有三种类型：Access AllowedAccess Allowed、Access DeniedAccess Denied和和System Aud

25、itSystem Audit。前两种用于自主访问控制；后一种用于记录安全日志。前两种用于自主访问控制；后一种用于记录安全日志。 11.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本概念 2 2安全概念安全概念( (续续) ) Cacls命令15 当一个账号被创建时，当一个账号被创建时，WindowsWindows系统为它分配一个系统为它分配一个SIDSID，并与其他账号，并与其他账号信息一起存入信息一起存入SAMSAM数据库。数据库。 每次用户登录时，登录主机每次用

26、户登录时，登录主机( (通常为工作站通常为工作站) )的系统首先把用户输入的的系统首先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安全账号管理器将这些信息与全账号管理器将这些信息与SAMSAM数据库中的信息进行比较，如果匹配，服数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的安全标识，工作站系统为用户生成一个进程。服务器还要记录

27、用户账号的特权、主目录位置、工作站参数等信息。特权、主目录位置、工作站参数等信息。 然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。程的访问令牌。 当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户进程的访问令牌中的户进程的访问令牌中的SIDSID与对象安全描述符中的自主访问控制表进行与对象安全描述符中的自主

28、访问控制表进行比较，从而决定用户是否有权访问对象。比较，从而决定用户是否有权访问对象。 11.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.2 Windows11.2.2 Windows的访问控制过程的访问控制过程 1611.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.2 Windows11.2.2 Windows的访问控制过程的访问控制过程 资源的资源的本地本地访问权限访问权限共有以下共有以下六六种种，每一种权限都可设置，每一种权限都可设置为允许或拒绝。为允许或拒绝。 1 1）完全控制）完全控制

29、 2 2）修改修改 3 3）读）读取及运行取及运行 4 4）列出文件夹目录列出文件夹目录 5 5）读取读取 6 6）写入写入 资源的共享访问权限资源的共享访问权限共有以下四种：共有以下四种： 1 1）完全控制）完全控制 2 2）读）读取取 3 3）更改）更改 4 4）拒绝访问）拒绝访问1711.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置 1 1用户管理用户管理 删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用删除所有不

30、需要的账号，禁用所有暂时不用的账号。一定要禁用“guestguest”用户。用户。重命名重命名系统默认的管理员系统默认的管理员“AdministratorAdministrator”，然后然后再创建一个名为再创建一个名为“AdministratorAdministrator”的用户，并分配给这个新用户一的用户，并分配给这个新用户一个复杂无比的口令，最后不让它属于任何组。个复杂无比的口令，最后不让它属于任何组。 2 2使用使用NTFSNTFS文件系统文件系统 FAT32FAT32无法提供用户所需的针对于本地的单个文件与目录的权限无法提供用户所需的针对于本地的单个文件与目录的权限设置。设置。NTF

31、SNTFS格式是服务器必须的，使用格式是服务器必须的，使用FAT32FAT32文件系统没有安全性可文件系统没有安全性可言。言。 3 3不让系统显示上次登录的用户名不让系统显示上次登录的用户名 通过修改通过修改“管理工具管理工具”中的中的“本地安全策略本地安全策略”的相应选项的相应选项或修改系或修改系统注册表来统注册表来实现实现。 1811.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置( (续续) )4 4禁止建立空连接禁止建立空

32、连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。通过修改测密码。通过修改“管理工具管理工具”中的中的“本地安全策略本地安全策略”的相应选项的相应选项或修或修改系统注册表来改系统注册表来实现实现。 5 5打开安全审核打开安全审核 Windows 2000Windows 2000的安全审计功能在默认安装时是关闭的。激活此功的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻

33、击、非法的文件访问等。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。 设置设置“本地安全策略本地安全策略”中中“本地策略本地策略”的的“审核策略审核策略”，建议设，建议设置如下：置如下： 审核策略审核策略设置设置账户登录事件账户登录事件成功，失败成功，失败账户管理账户管理成功，失败成功，失败登录事件登录事件成功，失败成功，失败对象访问对象访问失败失败策略更改策略更改成功，失败成功，失败特权使用特权使用成功，失败成功，失败系统事件系统事件失败失败1911.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Se

34、rver11.2.3 Windows 2000 Server系统安全设置系统安全设置( (续续) ) 6 6关闭不必要和危险的系统服务关闭不必要和危险的系统服务 安装好安装好Windows 2000Windows 2000后，一般开放了数十项系统或应用服务，做后，一般开放了数十项系统或应用服务，做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。管理方法是打开须及时发现是否运行了一些入侵者留下的服务。管理方法是打开“管管理工具理工具” “服务服务”，根据要求启动，根据要求启动/ /停

35、止相应的服务。停止相应的服务。可参照附录可参照附录1 1。7 7修改终端服务的默认端口修改终端服务的默认端口 如有必要才需要此操作，默认为如有必要才需要此操作，默认为33893389，可随意修改为，可随意修改为1 16553565535的的端口。端口。键值：键值：“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin StationsHKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 。 8 8网卡的端口筛选网卡的端口筛选 具体情况配置具体情况配置。通过。通过网卡网

36、卡“属性属性”-“”-“TCP/IPTCP/IP协议属性协议属性”-“”-“高高级级”-“”-“选项选项”-“”-“TCP/IPTCP/IP筛选属性筛选属性”来设置来设置。 根据服务器开启的应用服务，添加相应的根据服务器开启的应用服务，添加相应的TCPTCP、UDPUDP端口或端口或IPIP协议。协议。如一台服务器只作如一台服务器只作WebWeb和和EmailEmail服务器，则可只允许服务器，则可只允许8080、110110和和2525端口。端口。2011.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server

37、11.2.3 Windows 2000 Server系统安全设置系统安全设置( (续续) ) 9 9IISIIS安全配置安全配置 IISIIS安全操作步骤：配置安全操作步骤：配置“开始开始”“程序程序”- -“管理工具管理工具”- -“Internet Internet 服务管理器服务管理器”。删除删除“默认站点默认站点”的站点的站点。默认的默认的IISIIS发布发布目录为目录为C:InetpubC:Inetpub，请将这个目录删除。在，请将这个目录删除。在d d盘或盘或e e盘新建一个目录盘新建一个目录( (目录名随意目录名随意) )，然后新建一个站点，将主目录指向你新建的目录。，然后新建一

38、个站点，将主目录指向你新建的目录。1010禁用不必要的网络协议与网络共享禁用不必要的网络协议与网络共享 建议在网络属性中关闭建议在网络属性中关闭“MicrosoftMicrosoft网络客户端网络客户端”和和“MicrosoftMicrosoft网络文件与打印机共享网络文件与打印机共享”的选项。的选项。 建议去掉建议去掉系统的默认共享。可通过系统的默认共享。可通过NetNet命令、命令、“计算机管理计算机管理”或或修改注册表实现。修改注册表实现。1111其它其它 建议仔细查看建议仔细查看“本地安全策略本地安全策略”、“计算机管理计算机管理”及及“组策略组策略”等相关组件的功能，了解这些组件对系

39、统安全的影响。等相关组件的功能，了解这些组件对系统安全的影响。2111.3 11.3 安全审计技术安全审计技术 11.3.1 11.3.1 安全审计概述安全审计概述 审计是对访问控制的必要补充，是访问控制的一个重审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间，要内容。审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这

40、对于责任追查审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。和数据恢复非常有必要。 审计跟踪是系统活动的流水记录。该记录按事件从始审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及的错误。审计跟踪不但有助于帮助系统管理员确保系统及

41、其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。 2211.3 11.3 安全审计技术安全审计技术 11.3.2 11.3.2 审计内容审计内容 审计跟踪可以实现多种安全相关目标，包括个人职能、审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。事件重建、入侵检测和故障分析。 1 1）个人职能（）个人职能（individual accountabilityindividual accountability） 审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知审计跟踪是管理人员用来维护个人职能的技术手段。如

42、果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。负责，他们就不太会违反安全策略和绕过安全控制措施。 2 2）事件重建（）事件重建（reconstruction of eventsreconstruction of events） 在发生故障后，审计跟踪可以用于重建事件和数据恢复。在发生故障后，审计跟踪可以用于重建事件和数据恢复。 3 3）入侵检测（）入侵检测（intrusion detectionintrusion detection） 审计跟踪记录可以用来协

43、助入侵检测工作。如果将审计的每一笔审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。 4 4）故障分析（）故障分析（problem analysisproblem analysis）审计跟踪可以用于实时审计或监控。审计跟踪可以用于实时审计或监控。2311.3 11.3 安全审计技术安全审计技术 11.3.3 11.3.3 安全审计的目标安全审计的目标 计算机安全审计机制的目标如下：计算机安全审计机制的目标如下： 1)1)应为安全人员提供足够多的信息，使他们能够定位问

44、题所在；应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应不足以使他们自己也能够进行攻击。但另一方面，提供的信息应不足以使他们自己也能够进行攻击。 2)2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集信息。同的系统资源收集信息。 3)3)应能够对一个给定的资源应能够对一个给定的资源( (其他用户也被视为资源其他用户也被视为资源) )进行审计分进行审计分析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；析，分辨看似正常的活动，以发现内部计算机系统的不正当使用； 4)4)设计审计机制

45、时，应将系统攻击者的策略也考虑在内。设计审计机制时，应将系统攻击者的策略也考虑在内。 概括而言，审计系统的目标至少包括：概括而言，审计系统的目标至少包括：确定和保持系统活动中每确定和保持系统活动中每个人的责任个人的责任；确认重建事件的发生确认重建事件的发生；评估损失评估损失；临测系统问题区临测系统问题区；提；提供有效的灾难恢复依据；供有效的灾难恢复依据；提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据；提供；提供案件侦破证据。案件侦破证据。 2411.3 11.3 安全审计技术安全审计技术 11.3.4 11.3.4 安全审计系统安全审计系统 审计通过对所关心的事件进行记录和分

46、析来实现审计通过对所关心的事件进行记录和分析来实现。因因此审计过程包括审计发生器、日志记录器、日志分析器和此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分。报告机制几部分。 1 1日志的内容日志的内容 通常，对于一个事件，日志应包括事件发生的日期和时间、引发事通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户件的用户( (地址地址) )、事件和源和目的的位置、事件类型、事件成败等。、事件和源和目的的位置、事件类型、事件成败等。2 2安全审计的记录机制安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可能由操作系不同的系统可采用不同的机制记录日志。

47、日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用况都可用系统调用SyslogSyslog来记录日志，也可以用来记录日志，也可以用SNMPSNMP记录。记录。 2511.3 11.3 安全审计技术安全审计技术 11.3.4 11.3.4 安全审计系统安全审计系统( (续续) )3 3安全审计分析安全审计分析 通过对日志进行分析，发现所需事件信息和规律是安全审计的根本通过对日志进行分析，发现所需事件信息和规律是安全审计的根本目的。主要内容目的。主要内容有有：1 1）潜在侵害分析）潜在侵

48、害分析；2 2）基于异常检测的轮廓）基于异常检测的轮廓；3 3）简单攻击探测简单攻击探测；4 4）复杂攻击探测。）复杂攻击探测。 4 4审计事件查阅审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。计事件的查阅应该受到严格的限制，不能篡改日志。 5 5审计事件存储审计事件存储 审计事件的存储也有安全要求审计事件的存储也有安全要求，主要有：，主要有：

49、1 1）受保护的审计踪迹存）受保护的审计踪迹存储储；2 2）审计数据的可用性保证）审计数据的可用性保证；3 3）防止审计数据丢失。）防止审计数据丢失。 2611.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 流行的操作系统都提供审计的功能。下面以流行的操作系统都提供审计的功能。下面以Windows Windows 2000 Server2000 Server操作系统为例，在操作系统为例，在NTFSNTFS格式的支持下，说明安格式的支持下，说明安全审计的应用实例。全审计的应用实例。 1 1审计子系统结构审计子系统结构 在在“资源管理器资源管

50、理器”中，选择中，选择右键菜单中的属性右键菜单中的属性安全安全高高级，再选择级，再选择“审核审核”以激活目录以激活目录审核对话框，系统管理员可以审核对话框，系统管理员可以在这个窗口选择跟踪有效和无在这个窗口选择跟踪有效和无效的文件访问。效的文件访问。 2711.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 在在“本地安全策本地安全策”中，系统管理员可以根据各种用户事件的成功和失败中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。选择审计策略，如登录和退出、文件访问、权限非法和关闭系统