《访问控制与审计监控》由会员分享,可在线阅读,更多相关《访问控制与审计监控(130页珍藏版)》请在金锄头文库上搜索。
1、访问控制与审计监控培训机构名称 讲师名字课程内容2访问控制与 审计监控知识体知识域访问控制模型访问控制技术审计和 监控技术知识子域标识和鉴别技术典型访问控制方法和实现强制访问控制模型访问控制模型基本概念自主访问控制模型信息安全审计安全监控知识域:访问控制模型v知识子域:访问控制基本概念 理解标识、鉴别和授权等访问控制的基本概念 理解各种安全模型的分类和关系3访问控制的概念和目标v访问控制:针对越权使用资源的防御措施 v目标:防止对任何资源(如计算资源、通信资源 或信息资源)进行未授权的访问,从而使资源在 授权范围内使用,决定用户能做什么,也决定代 表一定用户利益的程序能做什么。4访问控制的作用
2、v未授权访问:包括未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。 非法用户对系统资源的使用 合法用户对系统资源的非法使用 v作用:机密性、完整性和可用性5主体与客体v主体 发起者,是一个主动的实体,可以操作被动实体的 相关信息或数据 用户、程序、进程等 v客体 一种被动实体,被操作的对象,规定需要保护的资 源 文件、存储介质、程序、进程等6主体与客体之间的关系v主体:接收客体相关信息和数据,也可能改变客体 相关信息 v一个主体为了完成任务,可以创建另外的主体,这 些子主体可以在网络上不同的计算机上运行,并由 父主体控制它们 v客体:始终是提供、驻留信息或数据的实体 v主体和客体的关系是
3、相对的,角色可以互换7授 权 v规定主体可以对客体执行的操作: 读 写 执行 拒绝访问 8标 识v标识是实体身份的一种计算机表达,每个实体与计算 机内部的一个身份表达绑定 v标识的主要作用:访问控制和审计 访问控制:标识用于控制是否允许特定的操作 审计:标识用于跟踪所有操作的参与者,参与者的任 何操作都能被明确地标识出来9主体标识的实例v主体的标识 在UNIX中,主体(用户)的身份标识为0-65535之间 的一个整数,称为用户身份号(UID) 常见的主体标识还包括用户名、卡、令牌等,也可 以是指纹、虹膜等生物特征10客体标识的实例v客体的标识 文件名 文件描述符或句柄 文件分配表的条目 UNI
4、X中提供了四种不同的文件标识: inode 文件描述符 绝对路径文件名 相对路径文件名11鉴 别v确认实体是它所声明的,提供了关于某个实体身份的 保证,某一实体确信与之打交道的实体正是所需要的 实体 口令、挑战-应答、生物特征鉴别 v所有其它的安全服务都依赖于该服务 v需求:某一成员(声称者)提交一个主体的身份并声 称它是那个主体 v目的:使别的成员(验证者)获得对声称者所声称的 事实的信任12访问控制的两个重要过程v第一步:鉴别 检验主体的合法身份 v第二步:授权 限制用户对资源的访问权限13访问控制模型主 体客 体访问控制 实施访问控制 决策提交访问请求请求决策决 策提出访问请求14v什么
5、是访问控制模型 对一系列访问控制规则集合的描述,可以是非形式化 的,也可以是形式化的。 v组成访问控制模型的分类访问控制 模型强制访问控制模型 (MAC)自主访问控制模型 (DAC)访问矩阵 模型访问控制列表 (ACL)权能列表 (Capacity List)Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性模型完整性模型基于角色访问控制模型 (RBAC)混合策 略模型15知识域:访问控制模型v知识子域:自主访问控制模型 理解自主访问控制的含义 了解访问矩阵模型,理解和分析应用访问矩阵模型的实现 (访问控制列表、权能列表) 理解基于
6、角色的访问控制模型(RBAC)的特点和优势16自主访问控制的含义v允许客体的属主(创建者)决定主体对该客体的 访问权限 灵活地调整安全策略 具有较好的易用性和可扩展性 常用于商业系统 安全性不高17自主访问控制的实现机制和方法v实现机制访问控制表/矩阵 v实现方法访问控制表(Access Control Lists)访问能力表(Capacity List)18访问许可与访问模式v访问许可: 描述主体对客体所具有的控制权 定义了改变访问模式的能力或向其它主体传送这种能力 的能力 v访问模式: 描述主体对客体所具有的访问权 指明主体对客体可进行何种形式的特定访问操作:读/ 写/运行 19访问许可的
7、类型v等级型(Hierarchical)v有主型(Owner)每个客体设置一个拥有者(一般是客体的生成者), 拥有者是唯一有权修改客体访问控制表的主体,拥有者 对其客体具有全部控制权 v自由型(Laissez-faire)20访问模式的类型v对文件的访问模式设置如下: 读-拷贝 写-删除/更改 运行 无效21访问控制矩阵v行:主体(用户) v列:客体(文件) v矩阵元素:规定了相应用户对应于相应的文件被准予 的访问许可、实施行为客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W22访问控制表v访问控制矩阵按列:访问控制表 v访问控制表:每个客体可以被访
8、问的主体及权限客体y主体b主体dR W OwnR W23访问能力表v访问控制矩阵按行:访问能力表 v访问能力表:每个主体可访问的客体及权限主体b客体x客体yRR W Own24访问控制表与访问能力表的比较ACLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统25自主访问控制的特点 v优点: 根据主体的身份和访问权限进行决策 具有某种访问能力的主体能够自主地将访问权的某个 子集授予其它主体 灵活性高,被大量采用 v缺点: 信息在传递过程中其访问权限关系会被改变26知识域:访问控制模型v知识子域:强制访问控制模型 理解强制访问控制的分类和含义
9、 掌握典型强制访问控制模型:Bell-Lapudula模型、 Biba模型、Chinese Wall模型和Clark-Wilson模型27强制访问控制的含义v主体对客体的所有访问请求按照强制访问控制策略进 行控制,客体的属主无权控制客体的访问权限,以防 止对信息的非法和越权访问 主体和客体分配有一个安全属性 应用于军事等安全要求较高的系统 可与自主访问控制结合使用28常见强制访问控制模型vBLP模型 1973年提出的多级安全模型,影响了许多其他模型的发展 ,甚至很大程度上影响了计算机安全技术的发展 vBiba模型 1977年,Biba提出的一种在数学上与BLP模型对偶的完整性 保护模型 vCl
10、ark-Wilson模型 1987年,David Clark和David Wilson开发的以事物处理为 基本操作的完整性模型,该模型应用于多种商业系统 vChinese Wall模型 1989年,D. Brewer和M. Nash提出的同等考虑保密性与完 整性的安全策略模型,主要用于解决商业中的利益冲突29BLP模型的组成v主体集:S v客体集:O v安全级:密级和范畴 密级:绝密、机密、秘密、公开 范畴:NUC、EUR、US v偏序关系:支配 安全级L=(C,S)高于安全级L=(C,S),当且仅当 满足以下关系:C C,S S30BLP模型规则(一)v简单安全特性: S可以读O,当且仅当S
11、的安全级可以支配O的安全级, 且S对O具有自主型读权限 向下读 v*特性: S可以写O,当且仅当O的安全级可以支配S的安全级, 且S对O具有自主型写权限 向上写31BLP模型规则(二)v当一个高等级的主体必须与另一个低等级的主体通 信,即高等级的主体写信息到低等级的客体,以便 低等级的主体可以读 主体有一个最高安全等级和一个当前安全等级,最高 安全等级必须支配当前等级 主体可以从最高安全等级降低下来,以便与低安全等 级的实体通信32BLP模型实例33Biba模型的组成v主体集:S v客体集:O v完整级:完整级和范畴 完整等级:Crucial,Very Important,Important
12、范畴:NUC、EUR、US v偏序关系:支配 完整级L=(C,S)高于完整级L=(C,S),当且仅当 满足以下关系:C C,S S34Biba模型规则与实例vS可以读O,当且仅当O的完整级支配S的完整级 vS可以写O,当且仅当S的完整级支配O的完整级35Clark-Wilson模型的目标v解决商业系统最关心的问题:系统数据的完整性以及 对这些操作的完整性 v一致性状态:数据满足给定属性,就称数据处于一个 一致性状态n实例: 今天到目前为止存入金额的总数:D 今天到目前为止提取金额的总数:W 昨天为止所有账户的金额总数:YB 今天到目前为止所有账户的金额总数:TB 一致性属性:D+YB-W=TB
13、36Clark-Wilson模型的组成v约束型数据项(CDI):所有从属于完整性控制的数 据,如:账户结算 v非约束型数据项(UDI):不从属于完整性控制的数 据 vCDI集合和UDI集合是模型中所有数据集合的划分 v完整性验证过程(IVP):检验CDI是否符合完整性 约束,如果符合,则称系统处于一个有效状态,如 :检查账户的结算 v转换过程(TP):将系统数据从一个有效状态转换 为另一个有效状态,实现良定义的事物处理,如: 存钱、取钱、转账37Clark-Wilson模型规则(一)v证明规则1(CR1):当任意一个IVP在运行时,它必 须保证所有的CDI都处于有效状态 v证明规则2(CR2)
14、 :对于某些相关联的CDI集合,TP 必须将那些CDI从一个有效状态转换到另一个有效状 态 v实施规则1(ER1):系统必须维护所有的证明关系, 且必须保证只有经过证明可以运行该CDI的TP才能操 作该CDI38Clark-Wilson模型规则(二)v实施规则2(ER2):系统必须将用户与每个TP及一组 相关的CDI关联起来。TP可以代表相关用户来访问这 些CDI。如果用户没有与特定的TP及CDI相关联,那么 这个TP将不能代表那个用户对CDI进行访问 v证明规则3(CR3):被允许的关系必须满足职责分离 原则所提出的要求 v实施规则3(ER3):系统必须对每一个试图执行TP的 用户进行认证3
15、9Clark-Wilson模型规则(三)v证明规则4(CR4):所有的TP必须添加足够多的信息 来重构对一个只允许添加的CDI的操作 v证明规则5(CR5):任何以UDI为输入的TP,对于该 UDI的所有可能值,只能执行有效的转换,或者不进行 转换。这种转换要么是拒绝该UDI,要么是将其转化为 一个CDI v实施规则4(ER4):只有TP的证明者可以改变与该TP 相关的一个实体列表。TP的证明者,或与TP相关的实 体的证明者都不会对该实体的执行许可40Chinese Wall模型的组成(一)v主体集:S v客体集:O 无害客体:可以公开的数据 有害客体:会产生利益冲突,需要限制的数据 vPR(S)表示S曾经读取过的客体集合41Chinese Wall模型的组成(二)v公司数据集CD:与某家公司相关的若干客体 v利益冲突COI:若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x42Chinese Wall模型规则v CW-简单安全特性:S能读取O,当且仅当以下任一条件满足:(1)存在一个O,它是S曾经访问过的客体,并且CD(O)= CD(O) (2)对于所有的客体O, O PR(S),则COI(O) COI(O) (3)O是无害客体 v CW-*-特性: S能写O,当且仅当以下任两个条件同时满足:(1)CW-简单安全特性允许S读O(
