《课程06访问控制与审计技术》由会员分享,可在线阅读,更多相关《课程06访问控制与审计技术(61页珍藏版)》请在金锄头文库上搜索。
1、第六章访问控制与审计技术第六章访问控制与审计技术第第6 6章章 访问控制与审计技术访问控制与审计技术访问控制是在保障授权用户能获取所需资源的同访问控制是在保障授权用户能获取所需资源的同访问控制是在保障授权用户能获取所需资源的同访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制,也是信息安全理时拒绝非授权用户的安全机制,也是信息安全理时拒绝非授权用户的安全机制,也是信息安全理时拒绝非授权用户的安全机制,也是信息安全理论基础的重要组成部分。审计则是对信息系统访论基础的重要组成部分。审计则是对信息系统访论基础的重要组成部分。审计则是对信息系统访论基础的重要组成部分。审计则是对信息系
2、统访问控制的必要补充,它会对用户使用何种信息资问控制的必要补充,它会对用户使用何种信息资问控制的必要补充,它会对用户使用何种信息资问控制的必要补充,它会对用户使用何种信息资源、使用的时间,以及如何使用源、使用的时间,以及如何使用源、使用的时间,以及如何使用源、使用的时间,以及如何使用 ( (执行何种操作执行何种操作执行何种操作执行何种操作) ) 进行记录与监控。审计跟踪是系统活动的流水记进行记录与监控。审计跟踪是系统活动的流水记进行记录与监控。审计跟踪是系统活动的流水记进行记录与监控。审计跟踪是系统活动的流水记录。录。录。录。第第6 6章章 访问控制与审计技术访问控制与审计技术6.1 6.1
3、访问控制技术与访问控制技术与访问控制技术与访问控制技术与WindowsWindows访问控制访问控制访问控制访问控制6.2 6.2 审计追踪技术与审计追踪技术与审计追踪技术与审计追踪技术与WindowsWindows安全审计功能安全审计功能安全审计功能安全审计功能6.1 访问控制技术与访问控制技术与Windows访问控制访问控制在用户身份认证在用户身份认证在用户身份认证在用户身份认证 ( (如果必要如果必要如果必要如果必要) ) 和授权之后,访问控和授权之后,访问控和授权之后,访问控和授权之后,访问控制机制将根据预先设定的规则对用户访问某项资制机制将根据预先设定的规则对用户访问某项资制机制将根
4、据预先设定的规则对用户访问某项资制机制将根据预先设定的规则对用户访问某项资源源源源 ( (目标目标目标目标) ) 进行控制,只有规则允许时才能访问,进行控制,只有规则允许时才能访问,进行控制,只有规则允许时才能访问,进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。资源违反预定的安全规则的访问行为将被拒绝。资源违反预定的安全规则的访问行为将被拒绝。资源违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理可以是信息资源、处理资源、通信资源或者物理可以是信息资源、处理资源、通信资源或者物理可以是信息资源、处理资源、通信资源或者物理资源,访问方式
5、可以是获取信息、修改信息或者资源,访问方式可以是获取信息、修改信息或者资源,访问方式可以是获取信息、修改信息或者资源,访问方式可以是获取信息、修改信息或者完成某种功能完成某种功能完成某种功能完成某种功能 ( (例如可以是读、写或者执行等例如可以是读、写或者执行等例如可以是读、写或者执行等例如可以是读、写或者执行等) ) 。6.1.1 访问控制的基本概念访问控制的基本概念访问控制的目的是为了限制访问主体对访问客体访问控制的目的是为了限制访问主体对访问客体访问控制的目的是为了限制访问主体对访问客体访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使的访问权限,从而使
6、计算机系统在合法范围内使的访问权限,从而使计算机系统在合法范围内使的访问权限,从而使计算机系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户用;它决定用户能做什么,也决定代表一定用户用;它决定用户能做什么,也决定代表一定用户用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。其中主体可以是某个用户,身份的进程能做什么。其中主体可以是某个用户,身份的进程能做什么。其中主体可以是某个用户,身份的进程能做什么。其中主体可以是某个用户,也可以是用户启动的进程和服务。也可以是用户启动的进程和服务。也可以是用户启动的进程和服务。也可以是用户启动的进程和服务。6.1.1 访问控制的基本概
7、念访问控制的基本概念为达到此目的,访问控制需要完成以下两个任务:为达到此目的,访问控制需要完成以下两个任务:为达到此目的,访问控制需要完成以下两个任务:为达到此目的,访问控制需要完成以下两个任务: 1) 1) 识别和确认访问系统的用户。识别和确认访问系统的用户。识别和确认访问系统的用户。识别和确认访问系统的用户。 2) 2) 决定该用户可以对某一系统资源进行何种类型的访决定该用户可以对某一系统资源进行何种类型的访决定该用户可以对某一系统资源进行何种类型的访决定该用户可以对某一系统资源进行何种类型的访问。问。问。问。访问控制一般包括访问控制一般包括访问控制一般包括访问控制一般包括3 3种类型:自
8、主访问控制、强制种类型:自主访问控制、强制种类型:自主访问控制、强制种类型:自主访问控制、强制访问控制和基于角色的访问控制等。访问控制和基于角色的访问控制等。访问控制和基于角色的访问控制等。访问控制和基于角色的访问控制等。6.1.1 访问控制的基本概念访问控制的基本概念(1) (1) 自主访问控制自主访问控制自主访问控制自主访问控制 (DAC(DAC,discretionary access discretionary access control)control)这是常用的访问控制方式,它基于对主体或主体这是常用的访问控制方式,它基于对主体或主体这是常用的访问控制方式,它基于对主体或主体这是
9、常用的访问控制方式,它基于对主体或主体所属的主体组的识别来限制对客体的访问。自主所属的主体组的识别来限制对客体的访问。自主所属的主体组的识别来限制对客体的访问。自主所属的主体组的识别来限制对客体的访问。自主是指主体能够自主地是指主体能够自主地是指主体能够自主地是指主体能够自主地 ( (可能是间接的可能是间接的可能是间接的可能是间接的) ) 将访问权或将访问权或将访问权或将访问权或访问权的某个子集授予其他主体。访问权的某个子集授予其他主体。访问权的某个子集授予其他主体。访问权的某个子集授予其他主体。6.1.1 访问控制的基本概念访问控制的基本概念简单来说,就是由拥有资源的用户自己来决定其简单来说
10、,就是由拥有资源的用户自己来决定其简单来说,就是由拥有资源的用户自己来决定其简单来说,就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资他一个或一些主体可以在什么程度上访问哪些资他一个或一些主体可以在什么程度上访问哪些资他一个或一些主体可以在什么程度上访问哪些资源。即资源的拥有者对资源的访问策略具有决策源。即资源的拥有者对资源的访问策略具有决策源。即资源的拥有者对资源的访问策略具有决策源。即资源的拥有者对资源的访问策略具有决策权,这是一种限制比较弱的访问控制策略。权,这是一种限制比较弱的访问控制策略。权,这是一种限制比较弱的访问控制策略。权,这是一种限制比较弱的访问控制
11、策略。6.1.1 访问控制的基本概念访问控制的基本概念自主访问控制是一种比较宽松的访问控制机制。一个自主访问控制是一种比较宽松的访问控制机制。一个自主访问控制是一种比较宽松的访问控制机制。一个自主访问控制是一种比较宽松的访问控制机制。一个主体的访问权限具有传递性,比如大多数交互系统的主体的访问权限具有传递性,比如大多数交互系统的主体的访问权限具有传递性,比如大多数交互系统的主体的访问权限具有传递性,比如大多数交互系统的工作流程是这样的:用户首先登录,然后启动某个进工作流程是这样的:用户首先登录,然后启动某个进工作流程是这样的:用户首先登录,然后启动某个进工作流程是这样的:用户首先登录,然后启动
12、某个进程为该用户做某项工作,这个进程就继承了该用户的程为该用户做某项工作,这个进程就继承了该用户的程为该用户做某项工作,这个进程就继承了该用户的程为该用户做某项工作,这个进程就继承了该用户的属性,包括访问权限。这种权限的传递可能会给系统属性,包括访问权限。这种权限的传递可能会给系统属性,包括访问权限。这种权限的传递可能会给系统属性,包括访问权限。这种权限的传递可能会给系统带来安全隐患,某个主体通过继承其他主体的权限而带来安全隐患,某个主体通过继承其他主体的权限而带来安全隐患,某个主体通过继承其他主体的权限而带来安全隐患,某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限,就可能破坏
13、系统得到了它本身不应具有的访问权限,就可能破坏系统得到了它本身不应具有的访问权限,就可能破坏系统得到了它本身不应具有的访问权限,就可能破坏系统的安全性。这是自主访问控制方式的缺点。的安全性。这是自主访问控制方式的缺点。的安全性。这是自主访问控制方式的缺点。的安全性。这是自主访问控制方式的缺点。6.1.1 访问控制的基本概念访问控制的基本概念(2) (2) 强制访问控制强制访问控制强制访问控制强制访问控制 (MAC(MAC,mandatory access mandatory access control)control)这是一种较强硬的控制机制,系统为所有的主体这是一种较强硬的控制机制,系统为
14、所有的主体这是一种较强硬的控制机制,系统为所有的主体这是一种较强硬的控制机制,系统为所有的主体和客体指定安全级别,比如绝密级、机密级、秘和客体指定安全级别,比如绝密级、机密级、秘和客体指定安全级别,比如绝密级、机密级、秘和客体指定安全级别,比如绝密级、机密级、秘密级和无密级等。不同级别标记了不同重要程度密级和无密级等。不同级别标记了不同重要程度密级和无密级等。不同级别标记了不同重要程度密级和无密级等。不同级别标记了不同重要程度和能力的实体,不同级别的主体对不同级别的客和能力的实体,不同级别的主体对不同级别的客和能力的实体,不同级别的主体对不同级别的客和能力的实体,不同级别的主体对不同级别的客体
15、的访问是在强制的安全策略下实现的。体的访问是在强制的安全策略下实现的。体的访问是在强制的安全策略下实现的。体的访问是在强制的安全策略下实现的。6.1.1 访问控制的基本概念访问控制的基本概念在强制访问控制机制中,将安全级别进行排序,在强制访问控制机制中,将安全级别进行排序,在强制访问控制机制中,将安全级别进行排序,在强制访问控制机制中,将安全级别进行排序,如按照从高到低排列,规定高级别可以单向访问如按照从高到低排列,规定高级别可以单向访问如按照从高到低排列,规定高级别可以单向访问如按照从高到低排列,规定高级别可以单向访问低级别,也可以规定低级别可以单向访问高级别。低级别,也可以规定低级别可以单
16、向访问高级别。低级别,也可以规定低级别可以单向访问高级别。低级别,也可以规定低级别可以单向访问高级别。6.1.1 访问控制的基本概念访问控制的基本概念(3) (3) 基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问控制 (RBAC(RBAC,role based access role based access control)control)在传统的访问控制中,主体始终和特定的实体相对应。在传统的访问控制中,主体始终和特定的实体相对应。在传统的访问控制中,主体始终和特定的实体相对应。在传统的访问控制中,主体始终和特定的实体相对应。例如,用户以固定的用户名注册,系统分配一定
17、的权例如,用户以固定的用户名注册,系统分配一定的权例如,用户以固定的用户名注册,系统分配一定的权例如,用户以固定的用户名注册,系统分配一定的权限,该用户将始终以其用户名访问系统,直至销户。限,该用户将始终以其用户名访问系统,直至销户。限,该用户将始终以其用户名访问系统,直至销户。限,该用户将始终以其用户名访问系统,直至销户。其间,用户的权限可以变更,但必须在系统管理员的其间,用户的权限可以变更,但必须在系统管理员的其间,用户的权限可以变更,但必须在系统管理员的其间,用户的权限可以变更,但必须在系统管理员的授权下才能进行。然而,在现实社会中,这样的访问授权下才能进行。然而,在现实社会中,这样的访
18、问授权下才能进行。然而,在现实社会中,这样的访问授权下才能进行。然而,在现实社会中,这样的访问控制方式表现出很多弱点,不能满足实际需求。控制方式表现出很多弱点,不能满足实际需求。控制方式表现出很多弱点,不能满足实际需求。控制方式表现出很多弱点,不能满足实际需求。6.1.1 访问控制的基本概念访问控制的基本概念主要问题在于:主要问题在于:主要问题在于:主要问题在于: 1) 1) 同一用户在不同场合应该以不同的权限访问系统。同一用户在不同场合应该以不同的权限访问系统。同一用户在不同场合应该以不同的权限访问系统。同一用户在不同场合应该以不同的权限访问系统。而按传统的做法,变更权限必须经系统管理员授权
19、修而按传统的做法,变更权限必须经系统管理员授权修而按传统的做法,变更权限必须经系统管理员授权修而按传统的做法,变更权限必须经系统管理员授权修改,因此很不方便。改,因此很不方便。改,因此很不方便。改,因此很不方便。 2) 2) 当用户大量增加时,按每用户一个注册账号的方式当用户大量增加时,按每用户一个注册账号的方式当用户大量增加时,按每用户一个注册账号的方式当用户大量增加时,按每用户一个注册账号的方式将使得系统管理变得复杂、工作量急剧增加,也容易将使得系统管理变得复杂、工作量急剧增加,也容易将使得系统管理变得复杂、工作量急剧增加,也容易将使得系统管理变得复杂、工作量急剧增加,也容易出错。出错。出
20、错。出错。6.1.1 访问控制的基本概念访问控制的基本概念 3) 3) 传统访问控制模式不容易实现层次化管理。即按每传统访问控制模式不容易实现层次化管理。即按每传统访问控制模式不容易实现层次化管理。即按每传统访问控制模式不容易实现层次化管理。即按每用户一个注册账号的方式很难实现系统的层次化分权用户一个注册账号的方式很难实现系统的层次化分权用户一个注册账号的方式很难实现系统的层次化分权用户一个注册账号的方式很难实现系统的层次化分权管理,尤其是当同一用户在不同场合处在不同的权限管理,尤其是当同一用户在不同场合处在不同的权限管理,尤其是当同一用户在不同场合处在不同的权限管理,尤其是当同一用户在不同场
21、合处在不同的权限层次时,系统管理很难实现。除非同一用户以多个用层次时,系统管理很难实现。除非同一用户以多个用层次时,系统管理很难实现。除非同一用户以多个用层次时,系统管理很难实现。除非同一用户以多个用户名注册。户名注册。户名注册。户名注册。6.1.1 访问控制的基本概念访问控制的基本概念基于角色的访问控制模式就是为了克服以上问题而提基于角色的访问控制模式就是为了克服以上问题而提基于角色的访问控制模式就是为了克服以上问题而提基于角色的访问控制模式就是为了克服以上问题而提出来的。在基于角色的访问控制模式中,用户不是自出来的。在基于角色的访问控制模式中,用户不是自出来的。在基于角色的访问控制模式中,
22、用户不是自出来的。在基于角色的访问控制模式中,用户不是自始至终以同样的注册身份和权限访问系统,而是以一始至终以同样的注册身份和权限访问系统,而是以一始至终以同样的注册身份和权限访问系统,而是以一始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限,定的角色访问,不同的角色被赋予不同的访问权限,定的角色访问,不同的角色被赋予不同的访问权限,定的角色访问,不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户。用系统的访问控制机制只看到角色,而看不到用户。用系统的访问控制机制只看到角色,而看不到用户。用系统的访问控制机制只看到角色,而看不到
23、用户。用户在访问系统前,经过角色认证而充当相应的角色。户在访问系统前,经过角色认证而充当相应的角色。户在访问系统前,经过角色认证而充当相应的角色。户在访问系统前,经过角色认证而充当相应的角色。用户获得特定角色后,系统依然可以按照自主访问控用户获得特定角色后,系统依然可以按照自主访问控用户获得特定角色后,系统依然可以按照自主访问控用户获得特定角色后,系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。制或强制访问控制机制控制角色的访问能力。制或强制访问控制机制控制角色的访问能力。制或强制访问控制机制控制角色的访问能力。6.1.1 访问控制的基本概念访问控制的基本概念 1) 1) 角
24、色角色角色角色 (role) (role) 的概念。角色定义为与一个特定活动相的概念。角色定义为与一个特定活动相的概念。角色定义为与一个特定活动相的概念。角色定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色,完关联的一组动作和责任。系统中的主体担任角色,完关联的一组动作和责任。系统中的主体担任角色,完关联的一组动作和责任。系统中的主体担任角色,完成角色规定的责任,具有角色拥有的权限。一个主体成角色规定的责任,具有角色拥有的权限。一个主体成角色规定的责任,具有角色拥有的权限。一个主体成角色规定的责任,具有角色拥有的权限。一个主体可以同时担任多个角色,它的权限就是多个角色权限可以同
25、时担任多个角色,它的权限就是多个角色权限可以同时担任多个角色,它的权限就是多个角色权限可以同时担任多个角色,它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不的总和。基于角色的访问控制就是通过各种角色的不的总和。基于角色的访问控制就是通过各种角色的不的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限同搭配授权来尽可能实现主体的最小权限同搭配授权来尽可能实现主体的最小权限同搭配授权来尽可能实现主体的最小权限 ( (最小授权最小授权最小授权最小授权指主体在能够完成所有必需的访问工作基础上的最小指主体在能够完成所有必需的访问工作基础上的最小指主体在
26、能够完成所有必需的访问工作基础上的最小指主体在能够完成所有必需的访问工作基础上的最小权限权限权限权限) ) 。6.1.1 访问控制的基本概念访问控制的基本概念 例如,在一个银行系统中,可以定义出纳员、分行管例如,在一个银行系统中,可以定义出纳员、分行管例如,在一个银行系统中,可以定义出纳员、分行管例如,在一个银行系统中,可以定义出纳员、分行管理者、系统管理员、顾客、审计员等角色。其中,担理者、系统管理员、顾客、审计员等角色。其中,担理者、系统管理员、顾客、审计员等角色。其中,担理者、系统管理员、顾客、审计员等角色。其中,担任系统管理员的用户具有维护系统文件的责任和权限,任系统管理员的用户具有维
27、护系统文件的责任和权限,任系统管理员的用户具有维护系统文件的责任和权限,任系统管理员的用户具有维护系统文件的责任和权限,无论这个用户具体是谁。系统管理员可能是由某个出无论这个用户具体是谁。系统管理员可能是由某个出无论这个用户具体是谁。系统管理员可能是由某个出无论这个用户具体是谁。系统管理员可能是由某个出纳员兼任,他就具有两种角色。但是出于责任分离的纳员兼任,他就具有两种角色。但是出于责任分离的纳员兼任,他就具有两种角色。但是出于责任分离的纳员兼任,他就具有两种角色。但是出于责任分离的考虑,需要对一些权利集中的角色组合进行限制,比考虑,需要对一些权利集中的角色组合进行限制,比考虑,需要对一些权利
28、集中的角色组合进行限制,比考虑,需要对一些权利集中的角色组合进行限制,比如规定分行管理者和审计员不能由同一个用户担任等。如规定分行管理者和审计员不能由同一个用户担任等。如规定分行管理者和审计员不能由同一个用户担任等。如规定分行管理者和审计员不能由同一个用户担任等。6.1.1 访问控制的基本概念访问控制的基本概念 基于角色的访问控制可以看作是基于组的自主访问控基于角色的访问控制可以看作是基于组的自主访问控基于角色的访问控制可以看作是基于组的自主访问控基于角色的访问控制可以看作是基于组的自主访问控制的一种变体,一个角色对应一个组。制的一种变体,一个角色对应一个组。制的一种变体,一个角色对应一个组。
29、制的一种变体,一个角色对应一个组。 2) 2) 基于角色的访问控制。就是通过定义角色的权限,基于角色的访问控制。就是通过定义角色的权限,基于角色的访问控制。就是通过定义角色的权限,基于角色的访问控制。就是通过定义角色的权限,为系统中的主体分配角色来实现访问控制的。用户先为系统中的主体分配角色来实现访问控制的。用户先为系统中的主体分配角色来实现访问控制的。用户先为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色,该角色被分派了一定的权限,经认证后获得一定角色,该角色被分派了一定的权限,经认证后获得一定角色,该角色被分派了一定的权限,经认证后获得一定角色,该角色被分派了一定的权限,
30、用户以特定角色访问系统资源,访问控制机制检查角用户以特定角色访问系统资源,访问控制机制检查角用户以特定角色访问系统资源,访问控制机制检查角用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。色的权限,并决定是否允许访问。色的权限,并决定是否允许访问。色的权限,并决定是否允许访问。6.1.1 访问控制的基本概念访问控制的基本概念3) 3) 基于角色访问控制方法的特点。基于角色访问基于角色访问控制方法的特点。基于角色访问基于角色访问控制方法的特点。基于角色访问基于角色访问控制方法的特点。基于角色访问控制的方法有如下特点:控制的方法有如下特点:控制的方法有如下特点:控制的方法
31、有如下特点: 提供了提供了提供了提供了3 3种授权管理的控制途径,即:改变客体的种授权管理的控制途径,即:改变客体的种授权管理的控制途径,即:改变客体的种授权管理的控制途径,即:改变客体的访问权限,即修改客体可以由哪些角色访问以及具体访问权限,即修改客体可以由哪些角色访问以及具体访问权限,即修改客体可以由哪些角色访问以及具体访问权限,即修改客体可以由哪些角色访问以及具体的访问方式;改变角色的访问权限;改变主体所担任的访问方式;改变角色的访问权限;改变主体所担任的访问方式;改变角色的访问权限;改变主体所担任的访问方式;改变角色的访问权限;改变主体所担任的角色。的角色。的角色。的角色。6.1.1
32、访问控制的基本概念访问控制的基本概念 系统中所有角色的关系结构可以是层次化的,便于系统中所有角色的关系结构可以是层次化的,便于系统中所有角色的关系结构可以是层次化的,便于系统中所有角色的关系结构可以是层次化的,便于管理。角色的定义是从现实出发,所以可以用面向对管理。角色的定义是从现实出发,所以可以用面向对管理。角色的定义是从现实出发,所以可以用面向对管理。角色的定义是从现实出发,所以可以用面向对象的方法来实现,运用类和继承等概念表示角色之间象的方法来实现,运用类和继承等概念表示角色之间象的方法来实现,运用类和继承等概念表示角色之间象的方法来实现,运用类和继承等概念表示角色之间的层次关系非常自然
33、而且实用。的层次关系非常自然而且实用。的层次关系非常自然而且实用。的层次关系非常自然而且实用。 具有较好的提供最小权利的能力,从而提高了安全具有较好的提供最小权利的能力,从而提高了安全具有较好的提供最小权利的能力,从而提高了安全具有较好的提供最小权利的能力,从而提高了安全性。由于对主体的授权是通过角色定义,因此,调整性。由于对主体的授权是通过角色定义,因此,调整性。由于对主体的授权是通过角色定义,因此,调整性。由于对主体的授权是通过角色定义,因此,调整角色的权限粒度可以做到更有针对性,不容易出现多角色的权限粒度可以做到更有针对性,不容易出现多角色的权限粒度可以做到更有针对性,不容易出现多角色的
34、权限粒度可以做到更有针对性,不容易出现多余权限。余权限。余权限。余权限。6.1.1 访问控制的基本概念访问控制的基本概念 具有责任分离的能力。定义角色的人不一定是担任具有责任分离的能力。定义角色的人不一定是担任具有责任分离的能力。定义角色的人不一定是担任具有责任分离的能力。定义角色的人不一定是担任角色的人,这样,不同角色的访问权限可以相互制约,角色的人,这样,不同角色的访问权限可以相互制约,角色的人,这样,不同角色的访问权限可以相互制约,角色的人,这样,不同角色的访问权限可以相互制约,因而具有更高的安全性。因而具有更高的安全性。因而具有更高的安全性。因而具有更高的安全性。6.1.2 Windo
35、ws XP的访问控制的访问控制这里,我们来了解这里,我们来了解这里,我们来了解这里,我们来了解Windows XPWindows XP操作系统的访问控操作系统的访问控操作系统的访问控操作系统的访问控制实现机制。制实现机制。制实现机制。制实现机制。6.1.2 Windows XP的访问控制的访问控制(1) Windows(1) Windows的安全模型的安全模型的安全模型的安全模型WindowsWindows采用的是微内核采用的是微内核采用的是微内核采用的是微内核 (microkernel) (microkernel) 结构和模结构和模结构和模结构和模块化的系统设计。有的模块运行在底层的内核模块
36、化的系统设计。有的模块运行在底层的内核模块化的系统设计。有的模块运行在底层的内核模块化的系统设计。有的模块运行在底层的内核模式上,有的模块则运行在受内核保护的用户模式式上,有的模块则运行在受内核保护的用户模式式上,有的模块则运行在受内核保护的用户模式式上,有的模块则运行在受内核保护的用户模式上。上。上。上。WindowsWindows的安全子系统置于核心的安全子系统置于核心的安全子系统置于核心的安全子系统置于核心 (kernel) (kernel) 层。层。层。层。6.1.2 Windows XP的访问控制的访问控制WindowsWindows的安全模型由以下几个关键部分构成,的安全模型由以下
37、几个关键部分构成,的安全模型由以下几个关键部分构成,的安全模型由以下几个关键部分构成,这几部分在访问控制的不同阶段发挥了各自的作这几部分在访问控制的不同阶段发挥了各自的作这几部分在访问控制的不同阶段发挥了各自的作这几部分在访问控制的不同阶段发挥了各自的作用。用。用。用。 1) 1) 登录过程登录过程登录过程登录过程 (logon process(logon process,LP)LP)。接受本地用户或者。接受本地用户或者。接受本地用户或者。接受本地用户或者远程用户的登录请求,处理用户信息,为用户做一些远程用户的登录请求,处理用户信息,为用户做一些远程用户的登录请求,处理用户信息,为用户做一些远
38、程用户的登录请求,处理用户信息,为用户做一些初始化工作。初始化工作。初始化工作。初始化工作。6.1.2 Windows XP的访问控制的访问控制 2) 2) 本地安全授权机构本地安全授权机构本地安全授权机构本地安全授权机构 (local security authority(local security authority,LSA)LSA)。根据安全账号管理器中的数据处理本地或者远程用户根据安全账号管理器中的数据处理本地或者远程用户根据安全账号管理器中的数据处理本地或者远程用户根据安全账号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志。这是整个安全子系的登录信息,并控制审计和日
39、志。这是整个安全子系的登录信息,并控制审计和日志。这是整个安全子系的登录信息,并控制审计和日志。这是整个安全子系统的核心。统的核心。统的核心。统的核心。 3) 3) 安全账号管理器安全账号管理器安全账号管理器安全账号管理器 (security account manager(security account manager,SAM)SAM)。维护账号的安全性管理数据库维护账号的安全性管理数据库维护账号的安全性管理数据库维护账号的安全性管理数据库 (SAM(SAM数据库,又称目数据库,又称目数据库,又称目数据库,又称目录数据库录数据库录数据库录数据库) ) 。 4) 4) 安全引用监视器安全引用
40、监视器安全引用监视器安全引用监视器 (security reference monitor(security reference monitor,SRM)SRM)。检查存取合法性,防止非法存取和修改。检查存取合法性,防止非法存取和修改。检查存取合法性,防止非法存取和修改。检查存取合法性,防止非法存取和修改。6.1.2 Windows XP的访问控制的访问控制(2) Windows(2) Windows的安全概念的安全概念的安全概念的安全概念在在在在WindowsWindows中,有关安全的概念主要有以下几个:中,有关安全的概念主要有以下几个:中,有关安全的概念主要有以下几个:中,有关安全的概念
41、主要有以下几个: 1) 1) 安全标识安全标识安全标识安全标识 (security ideniifier(security ideniifier,SID) SID) 。安全标识和。安全标识和。安全标识和。安全标识和账号唯一对应,在账号创建时创建,账号删除时删除,账号唯一对应,在账号创建时创建,账号删除时删除,账号唯一对应,在账号创建时创建,账号删除时删除,账号唯一对应,在账号创建时创建,账号删除时删除,而且永不再用。安全标识与对应的用户和组的账号信而且永不再用。安全标识与对应的用户和组的账号信而且永不再用。安全标识与对应的用户和组的账号信而且永不再用。安全标识与对应的用户和组的账号信息一起存储
42、在息一起存储在息一起存储在息一起存储在SAMSAM数据库里。数据库里。数据库里。数据库里。6.1.2 Windows XP的访问控制的访问控制 2) 2) 访问令牌访问令牌访问令牌访问令牌 (access token) (access token) 。当用户登录时,本地安。当用户登录时,本地安。当用户登录时,本地安。当用户登录时,本地安全授权机构为用户创建一个访问令牌,包括用户名、全授权机构为用户创建一个访问令牌,包括用户名、全授权机构为用户创建一个访问令牌,包括用户名、全授权机构为用户创建一个访问令牌,包括用户名、所在组、安全标识等信息。以后,用户的所有程序都所在组、安全标识等信息。以后,用
43、户的所有程序都所在组、安全标识等信息。以后,用户的所有程序都所在组、安全标识等信息。以后,用户的所有程序都将拥有访问令牌的拷贝。将拥有访问令牌的拷贝。将拥有访问令牌的拷贝。将拥有访问令牌的拷贝。 3) 3) 主体。用户登录到系统之后,本地安全授权机构为主体。用户登录到系统之后,本地安全授权机构为主体。用户登录到系统之后,本地安全授权机构为主体。用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,这个令牌与该用户所有的操用户构造一个访问令牌,这个令牌与该用户所有的操用户构造一个访问令牌,这个令牌与该用户所有的操用户构造一个访问令牌,这个令牌与该用户所有的操作相联系,用户进行的操作和访问令
44、牌一起构成一个作相联系,用户进行的操作和访问令牌一起构成一个作相联系,用户进行的操作和访问令牌一起构成一个作相联系,用户进行的操作和访问令牌一起构成一个主体。主体。主体。主体。6.1.2 Windows XP的访问控制的访问控制 4) 4) 对象、资源、共享资源。对象的实质是封装了数据对象、资源、共享资源。对象的实质是封装了数据对象、资源、共享资源。对象的实质是封装了数据对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息集合体;资源是用于网络环和处理过程的一系列信息集合体;资源是用于网络环和处理过程的一系列信息集合体;资源是用于网络环和处理过程的一系列信息集合体;资源是用于网络
45、环境的对象;共享资源是在网络上共享的对象。境的对象;共享资源是在网络上共享的对象。境的对象;共享资源是在网络上共享的对象。境的对象;共享资源是在网络上共享的对象。 5) 5) 安全描述符安全描述符安全描述符安全描述符 (security descript) (security descript) 。WindowsWindows系统为共系统为共系统为共系统为共享资源创建的安全描述符包含了该对象的一组安全属享资源创建的安全描述符包含了该对象的一组安全属享资源创建的安全描述符包含了该对象的一组安全属享资源创建的安全描述符包含了该对象的一组安全属性,分为性,分为性,分为性,分为4 4个部分:个部分:个
46、部分:个部分:6.1.2 Windows XP的访问控制的访问控制 所有者安全标识所有者安全标识所有者安全标识所有者安全标识 (owner security ID) (owner security ID) ,拥有该对象,拥有该对象,拥有该对象,拥有该对象的用户或者用户组的的用户或者用户组的的用户或者用户组的的用户或者用户组的SIDSID; 组安全标识组安全标识组安全标识组安全标识 (group security ID) (group security ID) ; 自主访问控制表自主访问控制表自主访问控制表自主访问控制表 (discretionary access control list(di
47、scretionary access control list,DAC) DAC) ,该对象的访问控制表,由对象的所有者控制;,该对象的访问控制表,由对象的所有者控制;,该对象的访问控制表,由对象的所有者控制;,该对象的访问控制表,由对象的所有者控制;6.1.2 Windows XP的访问控制的访问控制 系统访问控制表系统访问控制表系统访问控制表系统访问控制表 (system access control list(system access control list,ACL) ACL) ,定义操作系统将产生何种类型的审计信息,由系统,定义操作系统将产生何种类型的审计信息,由系统,定义操作系统
48、将产生何种类型的审计信息,由系统,定义操作系统将产生何种类型的审计信息,由系统的安全管理员控制。的安全管理员控制。的安全管理员控制。的安全管理员控制。 其中,安全描述符中的每一个访问控制表其中,安全描述符中的每一个访问控制表其中,安全描述符中的每一个访问控制表其中,安全描述符中的每一个访问控制表 (ACL) (ACL) 都由都由都由都由访问控制项访问控制项访问控制项访问控制项 (access control entries(access control entries,ACEs) ACEs) 组成,用组成,用组成,用组成,用来描述用户或者组对象的访问或审计权限。来描述用户或者组对象的访问或审计
49、权限。来描述用户或者组对象的访问或审计权限。来描述用户或者组对象的访问或审计权限。ACEsACEs有有有有3 3种类型:访问允许种类型:访问允许种类型:访问允许种类型:访问允许(Access Allowed)(Access Allowed)、访问禁止、访问禁止、访问禁止、访问禁止(Access (Access Denied)Denied)和系统审记和系统审记和系统审记和系统审记(System Audit)(System Audit)。前两种用于自主。前两种用于自主。前两种用于自主。前两种用于自主访问控制;后一种用于记录安全日志。访问控制;后一种用于记录安全日志。访问控制;后一种用于记录安全日志
50、。访问控制;后一种用于记录安全日志。6.1.2 Windows XP的访问控制的访问控制(3) Windows(3) Windows的访问控制过程的访问控制过程的访问控制过程的访问控制过程当一个账号被创建时,当一个账号被创建时,当一个账号被创建时,当一个账号被创建时,WindowsWindows为它分配一个为它分配一个为它分配一个为它分配一个SIDSID,并与其他账号信息一起存入,并与其他账号信息一起存入,并与其他账号信息一起存入,并与其他账号信息一起存入SAMSAM数据库。数据库。数据库。数据库。6.1.2 Windows XP的访问控制的访问控制每次用户登录时,登录主机每次用户登录时,登录
51、主机每次用户登录时,登录主机每次用户登录时,登录主机 ( (通常为工作站通常为工作站通常为工作站通常为工作站) ) 的系统首的系统首的系统首的系统首先把用户输入的用户名、口令和用户希望登录的服务先把用户输入的用户名、口令和用户希望登录的服务先把用户输入的用户名、口令和用户希望登录的服务先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器,安全账号管理器将这器域信息送给安全账号管理器,安全账号管理器将这器域信息送给安全账号管理器,安全账号管理器将这器域信息送给安全账号管理器,安全账号管理器将这些信息与些信息与些信息与些信息与SAMSAM数据库中的信息进行比较,如果匹配,数据库
52、中的信息进行比较,如果匹配,数据库中的信息进行比较,如果匹配,数据库中的信息进行比较,如果匹配,服务器发给工作站允许访问的信息,并返回用户的安服务器发给工作站允许访问的信息,并返回用户的安服务器发给工作站允许访问的信息,并返回用户的安服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在组的安全标识,工作站系统为用户全标识和用户所在组的安全标识,工作站系统为用户全标识和用户所在组的安全标识,工作站系统为用户全标识和用户所在组的安全标识,工作站系统为用户生成一个进程。服务器还要记录用户账号的权限、主生成一个进程。服务器还要记录用户账号的权限、主生成一个进程。服务器还要记录用户账号的权限、
53、主生成一个进程。服务器还要记录用户账号的权限、主目录位置、工作站参数等信息。目录位置、工作站参数等信息。目录位置、工作站参数等信息。目录位置、工作站参数等信息。6.1.2 Windows XP的访问控制的访问控制然后,本地安全授权机构为用户创建访问令牌,然后,本地安全授权机构为用户创建访问令牌,然后,本地安全授权机构为用户创建访问令牌,然后,本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标识等信息。此后,包括用户名、所在组、安全标识等信息。此后,包括用户名、所在组、安全标识等信息。此后,包括用户名、所在组、安全标识等信息。此后,用户每新建一个进程,都将访问令牌复制作为该用户每新建
54、一个进程,都将访问令牌复制作为该用户每新建一个进程,都将访问令牌复制作为该用户每新建一个进程,都将访问令牌复制作为该进程的访问令牌。进程的访问令牌。进程的访问令牌。进程的访问令牌。6.1.2 Windows XP的访问控制的访问控制当用户或者用户生成的进程要访问某个对象时,当用户或者用户生成的进程要访问某个对象时,当用户或者用户生成的进程要访问某个对象时,当用户或者用户生成的进程要访问某个对象时,安全引用监视器将用户安全引用监视器将用户安全引用监视器将用户安全引用监视器将用户/ /进程的访问令牌中的进程的访问令牌中的进程的访问令牌中的进程的访问令牌中的SIDSID与对象安全描述符中的自主访问控
55、制表进行比较,与对象安全描述符中的自主访问控制表进行比较,与对象安全描述符中的自主访问控制表进行比较,与对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权访问对象。从而决定用户是否有权访问对象。从而决定用户是否有权访问对象。从而决定用户是否有权访问对象。在这个过程中应该注意在这个过程中应该注意在这个过程中应该注意在这个过程中应该注意SIDSID对应账号的整个有效对应账号的整个有效对应账号的整个有效对应账号的整个有效期,而访问令牌只对应某一次账号登录。期,而访问令牌只对应某一次账号登录。期,而访问令牌只对应某一次账号登录。期,而访问令牌只对应某一次账号登录。6.1.2 Windows
56、 XP的访问控制的访问控制WindowsWindows系统中共享对象的访问权限是由对象所系统中共享对象的访问权限是由对象所系统中共享对象的访问权限是由对象所系统中共享对象的访问权限是由对象所有者决定。如果用户想共享某个对象,他首先要有者决定。如果用户想共享某个对象,他首先要有者决定。如果用户想共享某个对象,他首先要有者决定。如果用户想共享某个对象,他首先要为对象选择唯一的名字,然后为其他的用户和组为对象选择唯一的名字,然后为其他的用户和组为对象选择唯一的名字,然后为其他的用户和组为对象选择唯一的名字,然后为其他的用户和组分配访问权限。然后,系统会以此为共享对象创分配访问权限。然后,系统会以此为
57、共享对象创分配访问权限。然后,系统会以此为共享对象创分配访问权限。然后,系统会以此为共享对象创建安全描述符。一个没有访问控制表的对象可以建安全描述符。一个没有访问控制表的对象可以建安全描述符。一个没有访问控制表的对象可以建安全描述符。一个没有访问控制表的对象可以被任何用户以任何方式访问。共享资源的访问权被任何用户以任何方式访问。共享资源的访问权被任何用户以任何方式访问。共享资源的访问权被任何用户以任何方式访问。共享资源的访问权限共有限共有限共有限共有4 4种,即完全控制种,即完全控制种,即完全控制种,即完全控制 (fullcontrol) (fullcontrol) 、拒绝访问、拒绝访问、拒绝
58、访问、拒绝访问 (noAccess) (noAccess) 、读、读、读、读 (read) (read) 和更改和更改和更改和更改 (change) (change) 。实训与思考实训与思考本节本节本节本节“ “实训与思考实训与思考实训与思考实训与思考” ”的目的是:的目的是:的目的是:的目的是: (1) (1) 熟悉访问控制技术的基本概念,了解访问控制技术熟悉访问控制技术的基本概念,了解访问控制技术熟悉访问控制技术的基本概念,了解访问控制技术熟悉访问控制技术的基本概念,了解访问控制技术的工作原理和基本内容。的工作原理和基本内容。的工作原理和基本内容。的工作原理和基本内容。 (2) (2) 通
59、过学习配置安全的通过学习配置安全的通过学习配置安全的通过学习配置安全的WindowsWindows操作系统,来加深理操作系统,来加深理操作系统,来加深理操作系统,来加深理解访问控制技术,掌握解访问控制技术,掌握解访问控制技术,掌握解访问控制技术,掌握WindowsWindows的访问控制功能。的访问控制功能。的访问控制功能。的访问控制功能。6.2 审计追踪技术与审计追踪技术与Windows安全审计功能安全审计功能审计会对用户使用何种信息资源、使用的时间,审计会对用户使用何种信息资源、使用的时间,审计会对用户使用何种信息资源、使用的时间,审计会对用户使用何种信息资源、使用的时间,以及如何使用以及
60、如何使用以及如何使用以及如何使用 ( (执行何种操作执行何种操作执行何种操作执行何种操作) ) 进行记录与监控。进行记录与监控。进行记录与监控。进行记录与监控。审计和监控是实现系统安全的最后一道防线,它审计和监控是实现系统安全的最后一道防线,它审计和监控是实现系统安全的最后一道防线,它审计和监控是实现系统安全的最后一道防线,它能够再现原有的进程和问题,这对于责任追查和能够再现原有的进程和问题,这对于责任追查和能够再现原有的进程和问题,这对于责任追查和能够再现原有的进程和问题,这对于责任追查和数据恢复是非常必要的。数据恢复是非常必要的。数据恢复是非常必要的。数据恢复是非常必要的。6.2 审计追踪
61、技术与审计追踪技术与Windows安全审计功能安全审计功能审计跟踪记录按事件自始至终顺序检查、审查和审计跟踪记录按事件自始至终顺序检查、审查和审计跟踪记录按事件自始至终顺序检查、审查和审计跟踪记录按事件自始至终顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面检验每个事件的环境及活动。审计跟踪通过书面检验每个事件的环境及活动。审计跟踪通过书面检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控方式提供应负责任人员的活动证据以支持访问控方式提供应负责任人员的活动证据以支持访问控方式提供应负责任人员的活动证据以支持访问控制职能的实现。审计跟踪记录系统活动和用
62、户活制职能的实现。审计跟踪记录系统活动和用户活制职能的实现。审计跟踪记录系统活动和用户活制职能的实现。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动。系统活动包括操作系统和应用程序进程的活动。系统活动包括操作系统和应用程序进程的活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序动;用户活动包括用户在操作系统中和应用程序动;用户活动包括用户在操作系统中和应用程序动;用户活动包括用户在操作系统中和应用程序中的活动。中的活动。中的活动。中的活动。6.2 审计追踪技术与审计追踪技术与Windows安全审计功能安全审计功能通过借助适当的工具和
63、规程,审计跟踪可以发现通过借助适当的工具和规程,审计跟踪可以发现通过借助适当的工具和规程,审计跟踪可以发现通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及违反安全策略的活动、影响运行效率的问题以及违反安全策略的活动、影响运行效率的问题以及违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管程序中的错误。审计跟踪不但有助于帮助系统管程序中的错误。审计跟踪不但有助于帮助系统管程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,理员确保系统及其资源免遭非法授权用户的侵害,理员确保系统及其资源免遭非法
64、授权用户的侵害,理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。同时还能提供对数据恢复的帮助。同时还能提供对数据恢复的帮助。同时还能提供对数据恢复的帮助。6.2.1 审计内容审计内容审计跟踪可以实现多种安全相关目标,包括个人审计跟踪可以实现多种安全相关目标,包括个人审计跟踪可以实现多种安全相关目标,包括个人审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。职能、事件重建、入侵检测和故障分析。职能、事件重建、入侵检测和故障分析。职能、事件重建、入侵检测和故障分析。 1) 1) 个人职能。审计跟踪是管理人员用来维护个人职能个人职能。审计跟踪是管
65、理人员用来维护个人职能个人职能。审计跟踪是管理人员用来维护个人职能个人职能。审计跟踪是管理人员用来维护个人职能的技术手段。一般来说,如果用户知道他们的行为活的技术手段。一般来说,如果用户知道他们的行为活的技术手段。一般来说,如果用户知道他们的行为活的技术手段。一般来说,如果用户知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行动被记录在审计日志中,相应的人员需要为自己的行动被记录在审计日志中,相应的人员需要为自己的行动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制为负责,他们就不太会违反安全策略和绕过安全控制为负责,他们就不太会违反安全策
66、略和绕过安全控制为负责,他们就不太会违反安全策略和绕过安全控制措施。措施。措施。措施。6.2.1 审计内容审计内容 例如,审计跟踪可以保存改动前和改动后的记录,以例如,审计跟踪可以保存改动前和改动后的记录,以例如,审计跟踪可以保存改动前和改动后的记录,以例如,审计跟踪可以保存改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,确定是哪个操作者在什么时候做了哪些实际的改动,确定是哪个操作者在什么时候做了哪些实际的改动,确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、这可以帮助管理层确定错误到底是由用户、操作系统、这可以帮助管理层确定
67、错误到底是由用户、操作系统、这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。允许用户访问特定应用软件还是由其他因素造成的。允许用户访问特定应用软件还是由其他因素造成的。允许用户访问特定应用软件还是由其他因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访资源意味着用户要通过访问控制和授权实现他们的访资源意味着用户要通过访问控制和授权实现他们的访资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的问,被授权的访问有可能会被滥用,导致敏感信息的问,被授权的访问有可能会被滥用,导致敏感信息的问,被授权的访问有
68、可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,扩散,当无法阻止用户通过其合法身份访问资源时,扩散,当无法阻止用户通过其合法身份访问资源时,扩散,当无法阻止用户通过其合法身份访问资源时,审计跟踪就能发挥作用:审计跟踪可以用于检测他们审计跟踪就能发挥作用:审计跟踪可以用于检测他们审计跟踪就能发挥作用:审计跟踪可以用于检测他们审计跟踪就能发挥作用:审计跟踪可以用于检测他们的活动。的活动。的活动。的活动。6.2.1 审计内容审计内容 2) 2) 事件重建。在发生故障后,审计跟踪可以用于重建事件重建。在发生故障后,审计跟踪可以用于重建事件重建。在发生故障后,审计跟踪可以用于重
69、建事件重建。在发生故障后,审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以事件和数据恢复。通过审查系统活动的审计跟踪可以事件和数据恢复。通过审查系统活动的审计跟踪可以事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原比较容易地评估故障损失,确定故障发生的时间、原比较容易地评估故障损失,确定故障发生的时间、原比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和因和过程。通过对审计跟踪的分析就可以重建系统和因和过程。通过对审计跟踪的分析就可以重建系统和因和过程。通过对审计跟踪的分析就可以重建系统和协
70、助恢复数据文件;同时,还有可能避免下次发生此协助恢复数据文件;同时,还有可能避免下次发生此协助恢复数据文件;同时,还有可能避免下次发生此协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。类故障的情况。类故障的情况。类故障的情况。6.2.1 审计内容审计内容 3) 3) 入侵检测。审计跟踪记录可以用来协助入侵检测工入侵检测。审计跟踪记录可以用来协助入侵检测工入侵检测。审计跟踪记录可以用来协助入侵检测工入侵检测。审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就作。如果将审计的每一笔记录都进行上下文分析,就作。如果将审计的每一笔记录都进行上下文分析,就作。如
71、果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵活动。实时入侵检测可以实时发现或是过后预防入侵活动。实时入侵检测可以实时发现或是过后预防入侵活动。实时入侵检测可以实时发现或是过后预防入侵活动。实时入侵检测可以及时发现非法授权者对系统的非法访问,也可以可以及时发现非法授权者对系统的非法访问,也可以可以及时发现非法授权者对系统的非法访问,也可以可以及时发现非法授权者对系统的非法访问,也可以探测到病毒扩散和网络攻击。探测到病毒扩散和网络攻击。探测到病毒扩散和网络攻击。探测到病毒扩散和网络攻击。 4) 4) 故障分析。审计跟踪可以用于实时监控。故障分析。审计跟踪可以用于实时监控。故
72、障分析。审计跟踪可以用于实时监控。故障分析。审计跟踪可以用于实时监控。6.2.2 安全审计的目标安全审计的目标安全审计提供的功能服务于直接和间接两个方面安全审计提供的功能服务于直接和间接两个方面安全审计提供的功能服务于直接和间接两个方面安全审计提供的功能服务于直接和间接两个方面的安全目标:直接目标包括跟踪和监测系统中的的安全目标:直接目标包括跟踪和监测系统中的的安全目标:直接目标包括跟踪和监测系统中的的安全目标:直接目标包括跟踪和监测系统中的异常事件,间接目标是监视系统中其他安全机制异常事件,间接目标是监视系统中其他安全机制异常事件,间接目标是监视系统中其他安全机制异常事件,间接目标是监视系统
73、中其他安全机制的运行情况和可信度。的运行情况和可信度。的运行情况和可信度。的运行情况和可信度。6.2.2 安全审计的目标安全审计的目标所有审计的前提是有一个支配审计过程的规则集。所有审计的前提是有一个支配审计过程的规则集。所有审计的前提是有一个支配审计过程的规则集。所有审计的前提是有一个支配审计过程的规则集。规则的确切形式和内容随审计过程具体内容的改规则的确切形式和内容随审计过程具体内容的改规则的确切形式和内容随审计过程具体内容的改规则的确切形式和内容随审计过程具体内容的改变而改变。在商业与管理审计中,规则集包括对变而改变。在商业与管理审计中,规则集包括对变而改变。在商业与管理审计中,规则集包
74、括对变而改变。在商业与管理审计中,规则集包括对确保商业目标的实现有重要意义的管理控制、过确保商业目标的实现有重要意义的管理控制、过确保商业目标的实现有重要意义的管理控制、过确保商业目标的实现有重要意义的管理控制、过程和惯例。这些商业目标包括资源的合理使用、程和惯例。这些商业目标包括资源的合理使用、程和惯例。这些商业目标包括资源的合理使用、程和惯例。这些商业目标包括资源的合理使用、利率最大化、费用最小化、符合相应的法律法规利率最大化、费用最小化、符合相应的法律法规利率最大化、费用最小化、符合相应的法律法规利率最大化、费用最小化、符合相应的法律法规和适当的风险控制。在计算机安全审计的特殊情和适当的
75、风险控制。在计算机安全审计的特殊情和适当的风险控制。在计算机安全审计的特殊情和适当的风险控制。在计算机安全审计的特殊情况下,规则集通常以安全策略的形式明确表述。况下,规则集通常以安全策略的形式明确表述。况下,规则集通常以安全策略的形式明确表述。况下,规则集通常以安全策略的形式明确表述。6.2.2 安全审计的目标安全审计的目标从抽象意义上讲,传统的金融和管理审计与计算从抽象意义上讲,传统的金融和管理审计与计算从抽象意义上讲,传统的金融和管理审计与计算从抽象意义上讲,传统的金融和管理审计与计算机安全审计的过程是完全相同的,但它们各自关机安全审计的过程是完全相同的,但它们各自关机安全审计的过程是完全
76、相同的,但它们各自关机安全审计的过程是完全相同的,但它们各自关注的问题有很大不同。计算机安全审计是通过一注的问题有很大不同。计算机安全审计是通过一注的问题有很大不同。计算机安全审计是通过一注的问题有很大不同。计算机安全审计是通过一定的策略,利用记录和分析历史操作事件来发现定的策略,利用记录和分析历史操作事件来发现定的策略,利用记录和分析历史操作事件来发现定的策略,利用记录和分析历史操作事件来发现系统的漏洞并改进系统的性能和安全。系统的漏洞并改进系统的性能和安全。系统的漏洞并改进系统的性能和安全。系统的漏洞并改进系统的性能和安全。6.2.2 安全审计的目标安全审计的目标计算机安全审计需要达到的目
77、的包括:对潜在的计算机安全审计需要达到的目的包括:对潜在的计算机安全审计需要达到的目的包括:对潜在的计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的攻击者起到震慑和警告的作用;对于已经发生的攻击者起到震慑和警告的作用;对于已经发生的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系系统破坏行为提供有效的追究责任的证据;为系系统破坏行为提供有效的追究责任的证据;为系系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统统管理员提供有价值的系统使用日志,帮助系统统管理员提供有价值的系统使用日志,帮助
78、系统统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。管理员及时发现系统入侵行为或潜在的系统漏洞。管理员及时发现系统入侵行为或潜在的系统漏洞。管理员及时发现系统入侵行为或潜在的系统漏洞。6.2.3 安全审计系统安全审计系统审计是通过对所关心的事件进行记录和分析来实审计是通过对所关心的事件进行记录和分析来实审计是通过对所关心的事件进行记录和分析来实审计是通过对所关心的事件进行记录和分析来实现的,因此审计系统包括审计发生器、日志记录现的,因此审计系统包括审计发生器、日志记录现的,因此审计系统包括审计发生器、日志记录现的,因此审计系统包括审计发生器、日志记录器、日
79、志分析器和报告机制等几部分。器、日志分析器和报告机制等几部分。器、日志分析器和报告机制等几部分。器、日志分析器和报告机制等几部分。6.2.3 安全审计系统安全审计系统(1) (1) 日志的内容日志的内容日志的内容日志的内容在理想的情况下,日志应该记录每一个可能的事在理想的情况下,日志应该记录每一个可能的事在理想的情况下,日志应该记录每一个可能的事在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻件,以便分析发生的所有事件,并恢复任何时刻件,以便分析发生的所有事件,并恢复任何时刻件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。然而,这样做显然是不现实的
80、,进行的历史情况。然而,这样做显然是不现实的,进行的历史情况。然而,这样做显然是不现实的,进行的历史情况。然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次因为要记录每一个数据包、每一条命令和每一次因为要记录每一个数据包、每一条命令和每一次因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远大于业务系统,存取操作,需要的存储量将远远大于业务系统,存取操作,需要的存储量将远远大于业务系统,存取操作,需要的存储量将远远大于业务系统,并且将严重影响系统的性能。因此,日志的内容并且将严重影响系统的性能。因此,日志的内容并且将严重影响系统的性能。因此,日志的内容并且
81、将严重影响系统的性能。因此,日志的内容应该是有选择的。应该是有选择的。应该是有选择的。应该是有选择的。6.2.3 安全审计系统安全审计系统一般情况下,日志记录的内容应该满足以下原则:一般情况下,日志记录的内容应该满足以下原则:一般情况下,日志记录的内容应该满足以下原则:一般情况下,日志记录的内容应该满足以下原则: 1) 1) 任何必要的事件,以检测已知的攻击模式。任何必要的事件,以检测已知的攻击模式。任何必要的事件,以检测已知的攻击模式。任何必要的事件,以检测已知的攻击模式。 2) 2) 任何必要的事件,以检测异常的攻击模式。任何必要的事件,以检测异常的攻击模式。任何必要的事件,以检测异常的攻
82、击模式。任何必要的事件,以检测异常的攻击模式。 3) 3) 关于记录系统连续可靠工作的信息。关于记录系统连续可靠工作的信息。关于记录系统连续可靠工作的信息。关于记录系统连续可靠工作的信息。6.2.3 安全审计系统安全审计系统在这些原则的指导下,日志系统可根据安全要求在这些原则的指导下,日志系统可根据安全要求在这些原则的指导下,日志系统可根据安全要求在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:的强度选择记录下列事件的部分或全部:的强度选择记录下列事件的部分或全部:的强度选择记录下列事件的部分或全部: 1) 1) 审计功能的启动和关闭。审计功能的启动和关闭。审计功
83、能的启动和关闭。审计功能的启动和关闭。 2) 2) 使用身份鉴别机制。使用身份鉴别机制。使用身份鉴别机制。使用身份鉴别机制。 3) 3) 将客体引入主体的地址空间。将客体引入主体的地址空间。将客体引入主体的地址空间。将客体引入主体的地址空间。 4) 4) 删除客体。删除客体。删除客体。删除客体。6.2.3 安全审计系统安全审计系统 5) 5) 管理员、安全员、审计员和一般操作人员的操作。管理员、安全员、审计员和一般操作人员的操作。管理员、安全员、审计员和一般操作人员的操作。管理员、安全员、审计员和一般操作人员的操作。 6) 6) 其他专门定义的可审计事件。其他专门定义的可审计事件。其他专门定义
84、的可审计事件。其他专门定义的可审计事件。通常,对于一个事件,日志应包括事件发生的日通常,对于一个事件,日志应包括事件发生的日通常,对于一个事件,日志应包括事件发生的日通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户期和时间、引发事件的用户期和时间、引发事件的用户期和时间、引发事件的用户 ( (地址地址地址地址) ) 、事件和源和、事件和源和、事件和源和、事件和源和目的的位置、事件类型、事件成败等。目的的位置、事件类型、事件成败等。目的的位置、事件类型、事件成败等。目的的位置、事件类型、事件成败等。6.2.3 安全审计系统安全审计系统(2) (2) 安全审计的记录机制安全审计的
85、记录机制安全审计的记录机制安全审计的记录机制日志的记录可能由操作系统完成,也可以由应用日志的记录可能由操作系统完成,也可以由应用日志的记录可能由操作系统完成,也可以由应用日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成,但是,大部分情系统或其他专用记录系统完成,但是,大部分情系统或其他专用记录系统完成,但是,大部分情系统或其他专用记录系统完成,但是,大部分情况都可通过系统调用况都可通过系统调用况都可通过系统调用况都可通过系统调用SyslogSyslog来记录日志,也可以来记录日志,也可以来记录日志,也可以来记录日志,也可以用用用用SNMPSNMP记录。记录。记录。记录。6.
86、2.3 安全审计系统安全审计系统SyslogSyslog由由由由SyslogSyslog守护程序、守护程序、守护程序、守护程序、SyslogSyslog规则集及规则集及规则集及规则集及SyslogSyslog系统调用系统调用系统调用系统调用3 3部分组成。记录日志时,系统调用部分组成。记录日志时,系统调用部分组成。记录日志时,系统调用部分组成。记录日志时,系统调用SyslogSyslog将日志素材发送给将日志素材发送给将日志素材发送给将日志素材发送给SyslogSyslog守护程序,守护程序,守护程序,守护程序,SyslogSyslog守护程序监听守护程序监听守护程序监听守护程序监听Syslo
87、gSyslog调用或调用或调用或调用或SyslogSyslog端口端口端口端口 (UDP 514) (UDP 514) 的消息,然后根据的消息,然后根据的消息,然后根据的消息,然后根据SyslogSyslog规则集对收到的日志素规则集对收到的日志素规则集对收到的日志素规则集对收到的日志素材进行处理。如果日志是记录在其他计算机上,材进行处理。如果日志是记录在其他计算机上,材进行处理。如果日志是记录在其他计算机上,材进行处理。如果日志是记录在其他计算机上,则则则则SyslogSyslog守护程序将日志转发到相应的日志服务守护程序将日志转发到相应的日志服务守护程序将日志转发到相应的日志服务守护程序将
88、日志转发到相应的日志服务器上。器上。器上。器上。6.2.3 安全审计系统安全审计系统(3) (3) 安全审计分析安全审计分析安全审计分析安全审计分析通过对日志进行分析,从中发现相关事件信息及通过对日志进行分析,从中发现相关事件信息及通过对日志进行分析,从中发现相关事件信息及通过对日志进行分析,从中发现相关事件信息及其规律是安全审计的根本目的。其主要内容包括:其规律是安全审计的根本目的。其主要内容包括:其规律是安全审计的根本目的。其主要内容包括:其规律是安全审计的根本目的。其主要内容包括: 1) 1) 潜在侵害分析。日志分析应能用一些规则去监控审潜在侵害分析。日志分析应能用一些规则去监控审潜在侵
89、害分析。日志分析应能用一些规则去监控审潜在侵害分析。日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。这种规则可以计事件,并根据规则发现潜在的入侵。这种规则可以计事件,并根据规则发现潜在的入侵。这种规则可以计事件,并根据规则发现潜在的入侵。这种规则可以是由已定义的可审计事件的子集所指示的潜在安全攻是由已定义的可审计事件的子集所指示的潜在安全攻是由已定义的可审计事件的子集所指示的潜在安全攻是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合,或者其他规则。击的积累或组合,或者其他规则。击的积累或组合,或者其他规则。击的积累或组合,或者其他规则。6.2.3 安全审计系统安全审
90、计系统 2) 2) 基于异常检测的轮廓。日志分析应确定用户正常行基于异常检测的轮廓。日志分析应确定用户正常行基于异常检测的轮廓。日志分析应确定用户正常行基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓,当日志中的事件违反正常访问行为的轮廓,为的轮廓,当日志中的事件违反正常访问行为的轮廓,为的轮廓,当日志中的事件违反正常访问行为的轮廓,为的轮廓,当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指出将要发生的威或超出正常轮廓一定的门限时,能指出将要发生的威或超出正常轮廓一定的门限时,能指出将要发生的威或超出正常轮廓一定的门限时,能指出将要发生的威胁。胁。胁。胁。 3) 3)
91、 简单攻击探测。日志分析应对重大威胁事件的特征简单攻击探测。日志分析应对重大威胁事件的特征简单攻击探测。日志分析应对重大威胁事件的特征简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。有明确的描述,当这些攻击现象出现时,能及时指出。有明确的描述,当这些攻击现象出现时,能及时指出。有明确的描述,当这些攻击现象出现时,能及时指出。 4) 4) 复杂攻击探测。要求高的日志分析系统还应能检测复杂攻击探测。要求高的日志分析系统还应能检测复杂攻击探测。要求高的日志分析系统还应能检测复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测
92、其发生到多步入侵序列,当攻击序列出现时,能预测其发生到多步入侵序列,当攻击序列出现时,能预测其发生到多步入侵序列,当攻击序列出现时,能预测其发生的步骤。的步骤。的步骤。的步骤。6.2.3 安全审计系统安全审计系统(4) (4) 审计事件查阅审计事件查阅审计事件查阅审计事件查阅由于审计系统是追踪、恢复的直接依据,甚至是由于审计系统是追踪、恢复的直接依据,甚至是由于审计系统是追踪、恢复的直接依据,甚至是由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计司法依据,因此其自身的安全性十分重要。审计司法依据,因此其自身的安全性十分重要。审计司法依据,因此其自身的安全性十
93、分重要。审计系统的安全主要是查阅和存储的安全。系统的安全主要是查阅和存储的安全。系统的安全主要是查阅和存储的安全。系统的安全主要是查阅和存储的安全。6.2.3 安全审计系统安全审计系统审计事件的查阅应该受到严格限制,不能篡改日审计事件的查阅应该受到严格限制,不能篡改日审计事件的查阅应该受到严格限制,不能篡改日审计事件的查阅应该受到严格限制,不能篡改日志。通常通过以下不同的层次来保证查阅的安全:志。通常通过以下不同的层次来保证查阅的安全:志。通常通过以下不同的层次来保证查阅的安全:志。通常通过以下不同的层次来保证查阅的安全: 1) 1) 审计查阅。审计系统以可理解的方式为授权用户提审计查阅。审计
94、系统以可理解的方式为授权用户提审计查阅。审计系统以可理解的方式为授权用户提审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。供查阅日志和分析结果的功能。供查阅日志和分析结果的功能。供查阅日志和分析结果的功能。 2) 2) 有限审计查阅。审计系统只提供对内容的读权限,有限审计查阅。审计系统只提供对内容的读权限,有限审计查阅。审计系统只提供对内容的读权限,有限审计查阅。审计系统只提供对内容的读权限,拒绝具有读以外权限的用户访问审计系统。拒绝具有读以外权限的用户访问审计系统。拒绝具有读以外权限的用户访问审计系统。拒绝具有读以外权限的用户访问审计系统。 3) 3) 可选审计查阅。
95、在有限审计查阅的基础上限制查阅可选审计查阅。在有限审计查阅的基础上限制查阅可选审计查阅。在有限审计查阅的基础上限制查阅可选审计查阅。在有限审计查阅的基础上限制查阅的范围。的范围。的范围。的范围。6.2.3 安全审计系统安全审计系统(5) (5) 审计事件存储审计事件存储审计事件存储审计事件存储审计事件的存储也有安全要求,具体有如下几种审计事件的存储也有安全要求,具体有如下几种审计事件的存储也有安全要求,具体有如下几种审计事件的存储也有安全要求,具体有如下几种情况:情况:情况:情况: 1) 1) 受保护的审计踪迹存储。即要求存储系统对日志事受保护的审计踪迹存储。即要求存储系统对日志事受保护的审计
96、踪迹存储。即要求存储系统对日志事受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能,防止未授权的修改和删除,并具有件具有保护功能,防止未授权的修改和删除,并具有件具有保护功能,防止未授权的修改和删除,并具有件具有保护功能,防止未授权的修改和删除,并具有检测修改删除的能力。检测修改删除的能力。检测修改删除的能力。检测修改删除的能力。6.2.3 安全审计系统安全审计系统 2) 2) 审计数据的可用性保证。在审计存储系统遭受意外审计数据的可用性保证。在审计存储系统遭受意外审计数据的可用性保证。在审计存储系统遭受意外审计数据的可用性保证。在审计存储系统遭受意外时,能防止或检测审计记录的修改,在
97、存储介质存满时,能防止或检测审计记录的修改,在存储介质存满时,能防止或检测审计记录的修改,在存储介质存满时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。或存储失败时,能确保记录不被破坏。或存储失败时,能确保记录不被破坏。或存储失败时,能确保记录不被破坏。 3) 3) 防止审计数据丢失。在审计踪迹超过预定的门限或防止审计数据丢失。在审计踪迹超过预定的门限或防止审计数据丢失。在审计踪迹超过预定的门限或防止审计数据丢失。在审计踪迹超过预定的门限或记满时,应采取相应的措施防止数据丢失。这种措施记满时,应采取相应的措施防止数据丢失。这种措施记满时,应采取相应的措施防止数据
98、丢失。这种措施记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事可以是忽略可审计事件、只允许记录有特殊权限的事可以是忽略可审计事件、只允许记录有特殊权限的事可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。件、覆盖以前记录、停止工作等。件、覆盖以前记录、停止工作等。件、覆盖以前记录、停止工作等。实训与思考实训与思考本节本节本节本节“ “实训与思考实训与思考实训与思考实训与思考” ”的目的是:的目的是:的目的是:的目的是: (1) (1) 熟悉安全审计技术的基本概念和基本内容。熟悉安全审计技术的基本概念和基本内容。熟悉安全审计技术的基本概念和基本内容。熟悉安全审计技术的基本概念和基本内容。 (2) (2) 通过深入了解和应用通过深入了解和应用通过深入了解和应用通过深入了解和应用WindowsWindows操作系统的审计追踪操作系统的审计追踪操作系统的审计追踪操作系统的审计追踪功能,来加深理解安全审计技术,掌握功能,来加深理解安全审计技术,掌握功能,来加深理解安全审计技术,掌握功能,来加深理解安全审计技术,掌握WindowsWindows的安的安的安的安全审计功能。全审计功能。全审计功能。全审计功能。
