网络安全11-访问控制

网络安全访问控制、审计和备份网络安全的构成物理安全性设备的物理安全：防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份系统安全保护计算机和网络系统中的资源计算机网络设备存储介质软件和程序数据和数据库通信资源：端口、带宽等……最终目标是保护系统中的信息安全计算机系统安全技术访问控制和授权安全审计安全风险分析和评估隔离和阻断（防火墙）入侵检测灾难预防和恢复用户帐户管理帐户：用于管理访问计算机系统的实体人软件实体其它计算机……用户登录系统时，确定每个用户访问系统资源的权限登录计算机访问文件系统执行系统命令系统管理……用户登录用户只有登录才能访问系统用户身份识别用户名/口令智能卡身份认证协议：PAP、CHAP、Kerberos、………对用户的访问授权根据用户帐户数据库中的信息对登录用户授权存在多种访问控制方法，相应的授权和管理方法也不同访问控制访问控制访问控制为了安全目的，依据策略或权限机制，控制对资源进行的不同授权访问保障授权用户能获取所需资源拒绝非授权用户的资源访问请求身份认证是访问控制的前提条件访问控制是应用系统不可缺少的重要部分访问控制包含3个要素：主体、客体和控制策略。访问控制的相关概念主体（Subject）是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。通常指用户或代表用户执行的程序客体（Object）是指接受其它实体访问的被动实体，是规定需要保护的资源，又称作目标。既可以是信息、文件、记录，也可以是硬件设备控制策略是主体对客体的操作行为集和约束条件集。简单讲，控制策略是主体对客体的访问规则集，体现了一种授权行为，也就是客体对主体的权限允许，这种允许不得超过规则集访问控制的目的通过访问控制策略显式地准许或限制主体的访问能力及范围限制和管理合法用户对关键资源的访问，使得资源的使用在合法范围内进行防止和追踪非法用户的侵入，以及合法用户的不慎操作等行为对权威机构造成的破坏用户认证、授权和访问控制计算机系统中，用户对数据的访问必须在系统的控制之下进行，以保证计算机系统的安全性访问控制一般通过设置访问权限而实现访问控制功能一般集成在操作系统中访问控制建立在用户身份认证基础之上访问控制是审计和计费的前提访问控制的一般模型引用监视器认证访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制模型基本组成访问者访问控制执行单元(AEF,AcessControlEnforcementFunction)访问控制决策单元(ADF,AcessControlDecisionFunction)目标提交访问请求决策请求决策结果执行访问请求访问控制决策单元访问控制决策单元(AEF,AcessControlDecisionFunction)保留信息决策请求决策结果访问者信息访问请求信息目标信息上下文信息访问控制策略规则访问控制策略的分类自主访问控制（DiscretionaryAccessControl)简称DAC强制访问控制(MandatoryAccessControl）简称MAC基于角色的访问控制(RoleBasedAccessControl)简称RBAC访问控制策略自主访问控制强制访问控制基于角色访问控制访问控制自主访问控制根据用户的身份或组成员身份，允许合法用户访问策略规定的客体，同时阻止非授权用户访问客体用户还可以把自己所拥有的客体的访问权限授予其它用户。自主是指用户有权对自身所创建的访问对象(文件、数据库表等)进行访问，有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。自主访问控制模型的应用自主访问控制又称为任意访问控制，是一种常用的访问控制方式。UNIX、WindowsSERVER版本的操作系统都提供自主访问控制的功能。在实现上，首先要对用户的身份进行鉴别，然后按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。访问控制表（AcessControlList）以客体为中心建立的访问权限表。根据访问者（主体）的请求（客体信息），结合访问者身份在访问控制表中查找访问者的权限，判断访问者是否具有操作客体的能力。userAORWOuserBROuserCRWOObj1访问能力表（AcessCapabilitiesList）以主体为中心建立访问权限表根据访问者（主体）的身份，结合请求（客体信息）信息在访问能力表中查找访问者的权限，判断访问者是否具有操作客体的能力。Obj1ORWOObj2ROObj3RWOUserA实现举例通过矩阵形式表示访问控制规则和授权用户权限的方法。对每个主体而言，都拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实施访问；将这种关连关系加以阐述，就形成了控制矩阵。如果主体和客体很多，控制矩阵将会成几何级数增长，会有大量的空余空间。SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute按列看是访问控制表内容按行看是访问能力表内容自主访问控制的特点特点根据主体的身份和授权来决定访问模式缺点信息在移动过程中其访问权限关系会被改变如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O强制访问控制主体和客体都被赋予一定的安全级别，如，绝密级，机密级，秘密级，无密级用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限根据主体和客体的级别标记来决定访问模式在实施访问控制时，系统先对访问主体和受控客体的安全级别属性进行比较，再决定访问主体能否访问该客体强制访问控制是指系统对用户所创建的对象进行统一的强制性控制，按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问即使是创建者用户，在创建一个对象后．也可能无权访问该对象强制访问控制模型的应用下读/上写策略低级用户和进程不能访问安全级别比他们高的信息资源-无上读安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据-无下写保障信息机密性上读/下写策略用户只能向比自己安全级别低的客体写入信息，从而防止非法用户创建安全级别高的客体信息，避免越权、篡改等行为的产生完整性级别高的文件是一定由完整性高的进程所产生的，从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖保障信息完整性两个相互对立的模型自主/强制访问的问题自主访问控制配置的粒度小配置的工作量大，效率低强制访问控制配置的粒度大缺乏灵活性例：1000主体访问10000客体须1000万次配置，如每次配置需1秒，每天工作8小时，就需10,000,000/3600*8=347.2天。基于角色的访问控制（RBAC）根据分配给主体的角色来管理访问和权限的处理过程。角色是与一个特定活动相关联的一组动作和责任。系统中主体担任角色，完成角色规定的责任，具有角色拥有的权利。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。系统的访问控制机制只看到角色，而看不到用户。RBAC实现过程用户角色权限访问控制资源1.认证3.请求6.访问2.分派4.分派5.请求访问基于角色访问控制的特点提供灵活的授权管理途径。改变客体的访问权限改变角色的访问权限改变主体所担任的角色灵活、高效的授权管理。企业的组织结构或系统的安全需求有变化，系统管理员只变更角色权限即可。角色的关系可以实现层次化，便于管理。主体与客体无直接联系角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，主体只有通过角色才享有的权限，从而访问相应的客体。审计审计审计：根据一定的策略，通过记录、分析历史操作事件发现和改进系统性能和安全审计的需求几乎所有的安全事件的查处和追踪依赖系统历史事件记录系统资源的改善需要历史经验审计是对访问控制的必要补充，是访问控制的一个重要内容，审计是实现系统安全的最后一道防线审计的作用对潜在的攻击者起到震摄或警告。对于已经发生的系统破坏行为提供有效的追纠证据。为系统管理员提供有价值的系统使用日志从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。有助于提供对数据恢复的帮助。审计过程审计的基础在于事件记录：系统活动记录；用户活动记录；收集审计事件，产生审计记录；根据记录进行安全事件的分析；采取处理措施；应用举例（1）确定记录事件类型：登录及注销；文件及对象访问；用户权力的使用，用户及组管理；安全性规则更改；重新启动关机及系统；进程追踪等应用举例（2）确定记录事件内容：时间；来源；状态（成功、失败）；类型；用户；对象等应用举例（3）Windows日志文件（/WINNT/SYSTEM32/CONFIG/）：AppEvent.evt（应用程序）SecEvent.evt（安全性）SysEvent.evt（系统）控制面板/管理工具/计算机管理/事件查看器备份备份的原因灾难事故，如火灾、地震、洪水等重大意外事故；系统故障，包括软硬件故障；误操作或病毒等引起的故障；人为的破坏，例如，黑客、恶意员工等的破坏。备份的理解备份是系统不可缺少的部分；备份需要代价的，有时影响系统正常运行；备份贵在坚持，尤其系统一直稳定运行时，一旦出现故障，备份能使损失降到最少；备份是为恢复做准备；备份要有专人负责；备份计划依赖备份策略，备份策略依赖系统的功能；备份策略（1）备份的范围是多少？数据、应用程序、操作系统、硬件设备（双机热备份）等备份执行的频率是多少？自动还是手工，一般选择系统最闲时执行备份的过程是怎样的？谁将负责生成正确的备份？由专人或小组负责、检查、管理。备份策略（2）备份储存在哪里？切忌存放在同一物理设备上，同时要求防窃、防磁、防火、防泄密，异地。备份需要维护多长时间？考虑介质老化和兼容问题。需要维护多少份副本？多种方式存储，提高备份数据的安全性。数据备份类型完全备份所有数据被复制到存储介质中。差量备份只有从上一次完全备份之后改变的数据才需要完整地存储。增量备份仅仅复制那些在最后一次完全备份或增量备份之后改变的数据。不同数据备份类型对比完全备份差量备份增量备份存储空间大中等小消耗时间长中等短执行频率长中等短恢复过程简单简单复杂恢复称为重载或重入，是指当磁盘损坏或系统崩溃时，通过转储或卸载的备份重新安装数据或系统的过程。恢复技术依赖于备份技术；计算机系统的安全级别依据身份认证、访问控制、审计以及备份等安全机制，计算机系统的安全级别一般分为：DC（C1、C2）B（B1、B2、B3）AD级不可信的安全最低的安全级别，对系统提供最小的安全防护。硬件和操作系统不提供任何保护，没有用户身份认证，没有访问控制这个级别的系统包括DOS，WINDOWS98等C级C1：选择性的安全保护提供某种程度的硬件保护支持帐户管理、用户授权和访问控制早期的UnixC2：受控的访问环境能够实现受控安全保护、个人帐户管理、审计和资源隔离UNIX、LINUX和WindowsNT系统B级B1：标记的安全保护支持多种安全级别，如秘密、机密、绝密强制访问控制B2：结构化保护系统所有对象须分配安全标签，资源