网络安全11访问控制课件

网络安全访问控制、审计和备份网络安全的构成物理安全性l设备的物理安全：防火、防盗、防破坏等通信网络安全性l防止入侵和信息泄露系统安全性l计算机系统不被入侵和破坏用户访问安全性l通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性l数据的完整、可用数据保密性l信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份系统安全保护计算机和网络系统中的资源l计算机l网络设备l存储介质l软件和程序l数据和数据库l通信资源：端口、带宽等l最终目标是保护系统中的信息安全计算机系统安全技术访问控制和授权安全审计安全风险分析和评估隔离和阻断（防火墙）入侵检测灾难预防和恢复用户帐户管理帐户：用于管理访问计算机系统的实体l人l软件实体l其它计算机l用户登录系统时，确定每个用户访问系统资源的权限l登录计算机l访问文件系统l执行系统命令l系统管理l用户登录用户只有登录才能访问系统用户身份识别l用户名/口令l智能卡l身份认证协议：PAP、CHAP、Kerberos、l对用户的访问授权l根据用户帐户数据库中的信息对登录用户授权l存在多种访问控制方法，相应的授权和管理方法也不同访问控制访问控制访问控制l为了安全目的，依据策略或权限机制，控制对资源进行的不同授权访问l保障授权用户能获取所需资源l拒绝非授权用户的资源访问请求身份认证是访问控制的前提条件访问控制是应用系统不可缺少的重要部分访问控制包含3个要素：主体、客体和控制策略。访问控制的相关概念主体（Subject）l是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。通常指用户或代表用户执行的程序客体（Object）l是指接受其它实体访问的被动实体，是规定需要保护的资源，又称作目标。既可以是信息、文件、记录，也可以是硬件设备控制策略l是主体对客体的操作行为集和约束条件集。简单讲，控制策略是主体对客体的访问规则集，体现了一种授权行为，也就是客体对主体的权限允许，这种允许不得超过规则集访问控制的目的通过访问控制策略显式地准许或限制主体的访问能力及范围限制和管理合法用户对关键资源的访问，使得资源的使用在合法范围内进行防止和追踪非法用户的侵入，以及合法用户的不慎操作等行为对权威机构造成的破坏用户认证、授权和访问控制计算机系统中，用户对数据的访问必须在系统的控制之下进行，以保证计算机系统的安全性访问控制一般通过设置访问权限而实现访问控制功能一般集成在操作系统中访问控制建立在用户身份认证基础之上访问控制是审计和计费的前提访问控制的一般模型引用监引用监引用监引用监视器视器视器视器认证认证认证认证访问控制访问控制访问控制访问控制授权数据库授权数据库授权数据库授权数据库用户用户用户用户目标目标目标目标目目目目标标标标审审审审 计计计计安全管理员安全管理员安全管理员安全管理员访问控制模型基本组成访问控制决策单元访问控制策略的分类自主访问控制（Discretionary Access Control)简称DAC强制访问控制(Mandatory Access Control）简称MAC基于角色的访问控制(Role Based Access Control)简称RBAC访问控制策略自主自主访问控制访问控制强制强制访问控制访问控制基于角色基于角色访问控制访问控制访问控制访问控制自主访问控制根据用户的身份或组成员身份，允许合法用户访问策略规定的客体，同时阻止非授权用户访问客体用户还可以把自己所拥有的客体的访问权限授予其它用户。自主是指l用户有权对自身所创建的访问对象(文件、数据库表等)进行访问，l有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。自主访问控制模型的应用自主访问控制又称为任意访问控制，是一种常用的访问控制方式。lUNIX、Windows SERVER版本的操作系统都提供自主访问控制的功能。在实现上，首先要对用户的身份进行鉴别，然后按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。访问控制表（Acess Control List）以客体为中心建立的访问权限表。根据访问者（主体）的请求（客体信息），结合访问者身份在访问控制表中查找访问者的权限，判断访问者是否具有操作客体的能力。userAORWOuserB R OuserCRWOObj1访问能力表（Acess Capabilities List）以主体为中心建立访问权限表根据访问者（主体）的身份，结合请求（客体信息）信息在访问能力表中查找访问者的权限，判断访问者是否具有操作客体的能力。Obj1ORWOObj2 R OObj3 RWOUserA实现举例通过矩阵形式表示访问控制规则和授权用户权限的方法。l对每个主体而言，都拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实施访问；将这种关连关系加以阐述，就形成了控制矩阵。如果主体和客体很多，控制矩阵将会成几何级数增长，会有大量的空余空间。SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute按列看是访问控制表内容按行看是访问能力表内容自主访问控制的特点特点l根据主体的身份和授权来决定访问模式缺点l信息在移动过程中其访问权限关系会被改变l如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O强制访问控制主体和客体都被赋予一定的安全级别，如，绝密级，机密级，秘密级，无密级l用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限根据主体和客体的级别标记来决定访问模式l在实施访问控制时，系统先对访问主体和受控客体的安全级别属性进行比较，再决定访问主体能否访问该客体强制访问控制是指l系统对用户所创建的对象进行统一的强制性控制，按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问l即使是创建者用户，在创建一个对象后也可能无权访问该对象强制访问控制模型的应用下读/上写策略l低级用户和进程不能访问安全级别比他们高的信息资源-无上读l安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据-无下写l保障信息机密性上读/下写策略l用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生l完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖l保障信息完整性两个相互对立的模型自主/强制访问的问题自主访问控制l配置的粒度小l配置的工作量大，效率低强制访问控制l配置的粒度大l缺乏灵活性例：1000主体访问10000客体须1000万次配置，如每次配置需1秒，每天工作8小时，就需10,000,000/3600*8=347.2天。基于角色的访问控制（RBAC）根据分配给主体的角色来管理访问和权限的处理过程。l角色是与一个特定活动相关联的一组动作和责任。l系统中主体担任角色，完成角色规定的责任，具有角色拥有的权利。l一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。l基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。l系统的访问控制机制只看到角色，而看不到用户。RBAC实现过程基于角色访问控制的特点提供灵活的授权管理途径。l改变客体的访问权限l改变角色的访问权限l改变主体所担任的角色灵活、高效的授权管理。l企业的组织结构或系统的安全需求有变化，系统管理员只变更角色权限即可。角色的关系可以实现层次化，便于管理。主体与客体无直接联系l角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，主体只有通过角色才享有的权限，从而访问相应的客体。审计审计审计：根据一定的策略，通过记录、分析历史操作事件发现和改进系统性能和安全审计的需求l几乎所有的安全事件的查处和追踪依赖系统历史事件记录l系统资源的改善需要历史经验审计是对访问控制的必要补充，是访问控制的一个重要内容，审计是实现系统安全的最后一道防线审计的作用对潜在的攻击者起到震摄或警告。对于已经发生的系统破坏行为提供有效的追纠证据。为系统管理员提供有价值的系统使用日志从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。有助于提供对数据恢复的帮助。审计过程审计的基础在于事件记录：l系统活动记录；l用户活动记录；收集审计事件，产生审计记录；根据记录进行安全事件的分析；采取处理措施；应用举例（1）确定记录事件类型：l登录及注销；l文件及对象访问；l用户权力的使用，用户及组管理；l安全性规则更改；l重新启动关机及系统；l进程追踪等应用举例（2）确定记录事件内容：l时间；l来源；l状态（成功、失败）；l类型；l用户；l对象等应用举例（3）Windows日志文件（/WINNT/SYSTEM32/CONFIG/）：lAppEvent.evt（应用程序）lSecEvent.evt（安全性）lSysEvent.evt（系统）控制面板/管理工具/计算机管理/事件查看器备份备份的原因l灾难事故，如火灾、地震、洪水等重大意外事故；l系统故障，包括软硬件故障；l误操作或病毒等引起的故障；l人为的破坏，例如，黑客、恶意员工等的破坏。备份的理解备份是系统不可缺少的部分；备份需要代价的，有时影响系统正常运行；备份贵在坚持，尤其系统一直稳定运行时，一旦出现故障，备份能使损失降到最少；备份是为恢复做准备；备份要有专人负责；备份计划依赖备份策略，备份策略依赖系统的功能；备份策略（1）备份的范围是多少？l数据、应用程序、操作系统、硬件设备（双机热备份）等备份执行的频率是多少？l自动还是手工，一般选择系统最闲时执行备份的过程是怎样的？谁将负责生成正确的备份？l由专人或小组负责、检查、管理。备份策略（2）备份储存在哪里？l切忌存放在同一物理设备上，同时要求防窃、防磁、防火、防泄密，异地。备份需要维护多长时间？l考虑介质老化和兼容问题。需要维护多少份副本？l多种方式存储，提高备份数据的安全性。数据备份类型完全备份l所有数据被复制到存储介质中。差量备份l只有从上一次完全备份之后改变的数据才需要完整地存储。增量备份l仅仅复制那些在最后一次完全备份或增量备份之后改变的数据。不同数据备份类型对比完全备份完全备份差量备份差量备份增量备份增量备份存储空间存储空间大大中等中等小小消耗时间消耗时间长长中等中等短短执行频率执行频率长长中等中等短短恢复过程恢复过程简单简单简单简单复杂复杂恢复称为重载或重入，是指当磁盘损坏或系统崩溃时，通过转储或卸载的备份重新安装数据或系统的过程。恢复技术依赖于备份技术；计算机系统的安全级别依据身份认证、访问控制、审计以及备份等安全机制，计算机系统的安全级别一般分为：lDlC（C1、C2）lB（B1、B2、B3）lAD级不可信的安全l最低的安全级别，对系统提供最小的安全防护。硬件和操作系统不提供任何保护，没有用户身份认证，没有访问控制这个级别的系统包括DOS，WINDOWS98等 C级C1：选择性的安全保护l提供某种程度的硬件保护l支持帐户管理、用户授权和访问控制l早期的UnixC2：受控的访问环境l能够实现受控安全保护、个人帐户管理、审计和资源隔离lUNIX、LINUX和WindowsNT系统B级B1：标记的安全保护l支持多种安全级别，如秘密、机密、绝密l强制访问控制B2：结构化保护l系统所有对象须分配安全标签，资源须分配安全级别l资源访问受安全级别的约束B3级：安全域l通过硬件手段加强系统中被保护域的安全性l如用内存管理硬件保护特定内存域不被破坏A级A级：验证设计最高级别，软件和硬件都得到了保护安全的设计必须给出形式化设计说明和验证，需要有严格的数学推导过程，要保证系统的部件来源有安全保证，例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，以避免出现