网络对抗7-访问控制与安全等级

7-1第13章授权与访问控制7-213.1概念原理访问控制服务访问控制服务--确定身份+授予访问权限访问控制器权限库审计库对象用户身份认证受限访问安全访问策略7-3访问控制访问包括读取数据、更改数据、运行程序、发起连接等对各种对象的“操作”。访问控制用于限制访问主体（或称为发起者，如用户、进程、服务等）对访问对象（需要保护的资源）的访问权限；访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。例：当一个用户通过身份认证机制登陆到某一WINDOWS系统时，WINDOWS文件访问控制机制将检查系统中哪些文件该用户可以访问。7-4访问控制的两个重要过程通过“鉴别（authentication）”来检验主体的合法身份（认证）通过授权（authorization）来限制用户对资源的访问7-5访问控制的应用类型主机、操作系统访问控制网络访问控制应用程序访问控制7-6主机、操作系统访问控制操作系统借助访问控制机制来限制对文件及系统设备的访问。例：WindowsNT/2000用访问控制列表来对本地文件进行保护，访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。7-7应用程序访问控制当访问控制需要基于数据记录或更小的数据单元实现时，应用程序将提供其内置的访问控制模型。例：大多数数据库（如Oracle）都提供独立于操作系统的访问控制机制，Oracle使用其内部用户数据库，且数据库中的每个表都有自己的访问控制策略来支配对其记录的访问。例：电子商务应用程序，该程序认证用户的身份并将其置于特定的组中，这些组对应用程序中的某一部分数据拥有访问权限。7-813.2常用实现方法访问控制矩阵稀疏,浪费存储空间为压缩存储空间访问能力表描述每个用户可以访问哪些对象访问控制表描述每个对象可被哪些对象访问改进:用户分组,描述描述每个用户组可以访问哪些对象描述每个用户属于哪些组7-9为检索和分类方便授权关系表描述每个用户对每个对象的访问权限(R-W-Own)改进:用户分组,描述描述每个用户组对每个对象的访问权限描述每个用户属于哪些组7-1013.3访问控制的策略自主访问控制DAC（Discretionaryaccesscontrol）强制访问控制MAC（Mandatoryaccesscontrol）基于角色的访问控制RBAC(Role-basedAccessControl)7-11自主访问控制DAC自主访问控制机制允许对象的属主自主制定该对象的保护策略(决定谁可访问)。用户之间可授权通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体对哪些对象可以执行哪些操作。o每个主体拥有一个用户名并属于一个组或具有一个角色o每个对象都拥有一个限定主体对其访问权限的访问控制列表（ACL）o每次访问发生时都会依据用户角色和ACL确定访问权限7-12强制访问控制MAC系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或所属对象的安全属性。通常对数据和用户按照安全等级来划分标记，访问控制机制通过比较安全标记来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。在MAC系统中，所有主体（用户，进程）和对象客体（文件，数据）都被分配了安全标记，安全标记标识一个安全等级。安全标签7-13MAC中的标签o主体(用户,进程)被分配一个安全等级o客体(文件,数据)也被分配一个安全等级o访问控制执行时对主体和客体的安全级别进行比较，只允许访问同级或低级的客体例：如用户以“秘密”的安全级别注册，他将不能访问系统中安全级为“机密”及“高密”的数据。安全模型：规定标签的分级和访问限制策略7-14基于角色的访问控制RBAC根据用户的角色来确定访问权限系统管理员指定用户的角色、分配角色的权限对象对象对象角色角色用户用户用户权限角色分配7-15基于角色的访问控制续RBAC是一个成熟的方法，同时也在不断改进安全模型•RBAC96，设计了4个不同的安全模型•研究中的模型RBAC优势明显7-16第4章安全等级与标准7-17信息安全评价标准TCSEC：可信计算机系统评估准则（橙皮书）o1985年美国国防部制定ITSEC：信息技术安全评估准则o1990年代西欧四国联合提出CTCPEC：加拿大可信计算机评估准则o1993年加拿大发布FC：信息技术安全性评估联邦准则o1993年美国发布，补充TCSEC、吸收ITSEC优点CC：信息技术安全评估通用准则o1993年6国7方提出，1999年成为国际标准ISO/IEC15408BS7799：可信计算机系统评价准则（橙皮书）o英国标准协会制定，2000年成为国际标准ISO17799国标17859：计算机信息系统安全保护等级划分准则o公安部制定，国家标准，1999年发布7-181、美国TCSEC系统安全5要素：o安全策略、审计机制、可操作性o生命周期、保证文档四大（7细）安全级：o无安全D级o自主安全C1、C2级o强制保护B1、B2、B3级o验证设计A1级（很难达到）7-19D级o没有安全措施，不可信赖C1级o实现自主访问控制DACC2级oC1级+审计功能，纪录审计跟踪信息o对象属主自己决定和控制允许被哪些用户共享7-20对象删除事件将对象引入用户空间（如打开文件）事件确认和识别等安全机制使用事件用户进行的安全相关活动与网络安全策略有关的事件审计跟踪信息纪录以下事件7-21每种访问事件及其主要参数，如建连、断连及其双方标识每个访问事件的开始和结束时间主机间传输中与安全有关的特殊条件的确认加密变量的选用网络结构变化审计数据不能存在被审计的部件中！与网络安全策略有关的事件7-22B1级oC2级全部功能+强制访问控制+强制完整性其中强制完整性标签表示信息提交的可信度B2级o对网络可信计算基（Base）有明确定义o对安全策略模型有形式化证明o把B1中实现的DAC和MAC扩展到所有主体和客体o把强制完整性应用到“不可有任何修改”o能够自动测试、检验、报告网络完整性的错误和威胁o坚持最小特权原则，分配的权限能完成任务即可7-23B3级o所有信道和部件标明为单级安全和多级安全，单级设备只能连接单级信道，不能串用o能够监视安全审计事件并给出报告o网络可信计算基的语法简单准确，便于验证o大部分安全有关功能和数据驻留在网络可信计算基中（数据完整性和拒绝服务等除外）o具有恢复进程，能够隔离故障部分7-24A1级o功能要求与B3级基本相同o系统设计说明必须形式化o安全功能经过形式化证明二个形式化的目的是安全功能实现更有保证7-252、欧洲ITSEC安全功能和安全保证分开评估o安全功能：F1-F1010个安全功能等级F1-F10：oF1-F5类似于C1-B3oF6-F10用于描述是否具备数据和程序的完整性，系统的可用性，数据通信的完整性、保密性7个安全保证等级E0-E6：oE0级无法验证/证明oE6级有形式化验证7-26我国的安全评价标准（GB17859-1999）o第一级，系统自主保护级（C1）o第二级，系统审计保护级（C2）o第三级，安全标记保护级（B1）o第四级，结构化保护级（B2）o第五级，访问验证保护级（B3）3、国家标准7-27习题•强制访问控制与自主访问控制的主要区别在哪里？•我们常见的操作系统的安全等级（按TCSEC）属于哪级？与A1的差距在哪些方面？•ITSEC中将安全等级用安全功能和安全保证2个方面来分别描述的原因是什么？7-28网络实体的安全性7-291、操作系统的安全现在几乎所有的常见网络设备都有操作系统（集线器没有，交换机、路由器、防火墙、主机……都有）常见操作系统•DOS•WINDOWS（WIN32）•WINDOWS9*•WINDOWSNT/2000•UNIX版本众多、大同小异•Linux7-30UNIX的安全性用户口令安全o超级用户：所有权限，ROOT，ADMINISTRATORo普通用户：指定的权限o口令存放：/etc/passwd文件用户名、加密后的口令、用户号、用户组……o安全隐患：如果口令空或有规律，便于猜测获取passwd文件进行破解（加密算法是众知的）一旦获得超级用户的权限就可以设置新用户并拥有最高权限7-31UNIX的安全性用户权限o文件访问权限rwx：属主、同组、其他o目录访问权限o权限设置命令：unmask,chmod安全使用o文件加密：crypt用于对文件加密or命令：通过网络进行的操作，传用户名和口令容易被黑客利用：窃取密码、远程盗用o.profile文件：自动执行，要别人不可写7-32UNIX的安全性安全使用o自己的文件和目录不让他人可写o谨慎运行他人的可执行文件（包括下载）总之，避免使用有潜在漏洞的操作7-33LINUX类似Unix，但完全运行在保护模式下开放源码、自由软件精通Linux源码的高手多潜在漏洞被人掌握多可以修改源码堵塞漏洞派生的版本多，易置人为漏洞7-34LINUX的安全性启动安全性采用DOS、Win98的主引导纪录方式，利用主引导病毒的机理就可攻击Linux口令安全性passwd存放口令指针，真正口令在shadow中口令至少6字符，口令选取有限制口令加密是公开的、放心的，无后门7-35LINUX的安全性审计跟踪机制每个用户最近一次登录时间当前登录到系统中的用户每个用户的登录时间和离开时间每个用户执行命令情况系统完整性源码公开，系统完整性是已知和放心的文件系统具有自动修复功能，减少错误7-36网络安全性内嵌网络防火墙，源码可改装，漏洞少严格的网络登录控制，非安全终端不能用root登录NFS文件系统采用强制访问控制（MAC）不安全因素超级用户的操作没有限制系统文档、系统进程系统文档保护不够，容易被修改、破坏系统内核容易插入模块，模块具有系统权限进程没有保护，很容易被终止LINUX的安全性7-37WindowsNT的安全性功能类似Unix，多任务、多用户对事件的审核为C2级用户账号和密码规则限制：长度、有效期、登录失败时锁定、登录纪录用户账号的权限划分比较细基于域的网络共享安全域像虚拟主机，域控制器负责登录和权限控制采用NT自己的协议，非TCP/IP单域模型、单主控域模型、多主控域模型、完全信任的多主控域，域间访问要委托7-38WindowsNT的安全性用户组权限按“组”进行权限分配，组=角色用户账号的权限划分比较细资源共享权限权限保护的对象：文件、目录、网络主机文件属性：是否-只读、隐藏、存档、系统资源共享权限：不共享、只读、安全、根据口令访问、Web共享7-39WindowsNT的安全性网上NT结点的安全不提供服务（共享、应用）则安全提供服务则允许其他主机访问，访问方式：用终端方式通过用户注册登录到服务器通过（域）资源共享方式访问NT的安全工具、服务事件查看器（日志中纪录事件）网络监视器系统性能监视器账号锁定控制7-40其他操作系统NetWareMS-DOSFreeBSDVMS……7-41应用程序的缺陷获得数据时不检查数据长度超长数据使缓冲区溢出，数据覆盖到堆栈如果覆盖到堆栈的数据是一个程序入口，程序就转移到相应地址执行（拥有原应用程序的权限）利用了不可控数据的程序是不太安全的2、应用程序的安全7-42部分函数存在安全缺陷程序运行环境不确定存在安全缺陷o当前目录优先o最后在运行环境指定的默认目录下搜索o临时文件目录大家都可访问o剪切板用于数据通信System(“XX”),执行程序XXOpen(“YY”)，打开文件（可执行文件）运行函数和运行环境的安全缺陷7-43数据库是存放数据的仓库，仓库被盗或被毁其后果是灾难性的，是不可估量的。数据库安全的内容：o数据不丢失-可靠备份来解决o数据不被非法修改o数据不被非法增加o数据不被非法删除o数据不被非法读取3、数据库的安全7-44数据库的可靠性和备份双机+磁盘阵列异地同步备份应用层数据