網(wǎng)絡(luò)安全11-訪問控制.ppt

網(wǎng)絡(luò)安全 訪問控制 審計和備份 網(wǎng)絡(luò)安全的構(gòu)成 物理安全性設(shè)備的物理安全 防火 防盜 防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計算機系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制 阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整 可用數(shù)據(jù)保密性信息的加密存儲和傳輸 安全的分層結(jié)構(gòu)和主要技術(shù) 物理安全層 網(wǎng)絡(luò)安全層 系統(tǒng)安全層 用戶安全層 應(yīng)用安全層 數(shù)據(jù)安全層 加密 訪問控制 授權(quán) 用戶 組管理 單機登錄 身份認證 反病毒 風(fēng)險評估 入侵檢測 審計分析 安全的通信協(xié)議 VPN 防火墻 存儲備份 系統(tǒng)安全 保護計算機和網(wǎng)絡(luò)系統(tǒng)中的資源計算機網(wǎng)絡(luò)設(shè)備存儲介質(zhì)軟件和程序數(shù)據(jù)和數(shù)據(jù)庫通信資源 端口 帶寬等 最終目標是保護系統(tǒng)中的信息安全 計算機系統(tǒng)安全技術(shù) 訪問控制和授權(quán)安全審計安全風(fēng)險分析和評估隔離和阻斷 防火墻 入侵檢測災(zāi)難預(yù)防和恢復(fù) 用戶帳戶管理 帳戶 用于管理訪問計算機系統(tǒng)的實體人軟件實體其它計算機 用戶登錄系統(tǒng)時 確定每個用戶訪問系統(tǒng)資源的權(quán)限登錄計算機訪問文件系統(tǒng)執(zhí)行系統(tǒng)命令系統(tǒng)管理 用戶登錄 用戶只有登錄才能訪問系統(tǒng)用戶身份識別用戶名 口令智能卡身份認證協(xié)議 PAP CHAP Kerberos 對用戶的訪問授權(quán)根據(jù)用戶帳戶數(shù)據(jù)庫中的信息對登錄用戶授權(quán)存在多種訪問控制方法 相應(yīng)的授權(quán)和管理方法也不同 訪問控制 訪問控制 訪問控制為了安全目的 依據(jù)策略或權(quán)限機制 控制對資源進行的不同授權(quán)訪問保障授權(quán)用戶能獲取所需資源拒絕非授權(quán)用戶的資源訪問請求身份認證是訪問控制的前提條件訪問控制是應(yīng)用系統(tǒng)不可缺少的重要部分訪問控制包含3個要素 主體 客體和控制策略 訪問控制的相關(guān)概念 主體 Subject 是指一個提出請求或要求的實體 是動作的發(fā)起者 但不一定是動作的執(zhí)行者 通常指用戶或代表用戶執(zhí)行的程序客體 Object 是指接受其它實體訪問的被動實體 是規(guī)定需要保護的資源 又稱作目標 既可以是信息 文件 記錄 也可以是硬件設(shè)備控制策略是主體對客體的操作行為集和約束條件集 簡單講 控制策略是主體對客體的訪問規(guī)則集 體現(xiàn)了一種授權(quán)行為 也就是客體對主體的權(quán)限允許 這種允許不得超過規(guī)則集 訪問控制的目的 通過訪問控制策略顯式地準許或限制主體的訪問能力及范圍限制和管理合法用戶對關(guān)鍵資源的訪問 使得資源的使用在合法范圍內(nèi)進行防止和追蹤非法用戶的侵入 以及合法用戶的不慎操作等行為對權(quán)威機構(gòu)造成的破壞 用戶認證 授權(quán)和訪問控制 計算機系統(tǒng)中 用戶對數(shù)據(jù)的訪問必須在系統(tǒng)的控制之下進行 以保證計算機系統(tǒng)的安全性訪問控制一般通過設(shè)置訪問權(quán)限而實現(xiàn)訪問控制功能一般集成在操作系統(tǒng)中訪問控制建立在用戶身份認證基礎(chǔ)之上訪問控制是審計和計費的前提 訪問控制的一般模型 引用監(jiān)視器 認證 訪問控制 授權(quán)數(shù)據(jù)庫 用戶 目標 目標 目標 目標 目標 審計 安全管理員 訪問控制模型基本組成 訪問控制決策單元 訪問控制策略的分類 自主訪問控制 DiscretionaryAccessControl 簡稱DAC強制訪問控制 MandatoryAccessControl 簡稱MAC基于角色的訪問控制 RoleBasedAccessControl 簡稱RBAC 訪問控制策略 自主訪問控制 強制訪問控制 基于角色訪問控制 訪問控制 自主訪問控制 根據(jù)用戶的身份或組成員身份 允許合法用戶訪問策略規(guī)定的客體 同時阻止非授權(quán)用戶訪問客體用戶還可以把自己所擁有的客體的訪問權(quán)限授予其它用戶 自主是指用戶有權(quán)對自身所創(chuàng)建的訪問對象 文件 數(shù)據(jù)庫表等 進行訪問 有權(quán)將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限 自主訪問控制模型的應(yīng)用 自主訪問控制又稱為任意訪問控制 是一種常用的訪問控制方式 UNIX WindowsSERVER版本的操作系統(tǒng)都提供自主訪問控制的功能 在實現(xiàn)上 首先要對用戶的身份進行鑒別 然后按照訪問控制列表所賦予用戶的權(quán)限 允許和限制用戶使用客體的資源 主體控制權(quán)限的修改通常由特權(quán)用戶 管理員 或是特權(quán)用戶組實現(xiàn) 訪問控制表 AcessControlList 以客體為中心建立的訪問權(quán)限表 根據(jù)訪問者 主體 的請求 客體信息 結(jié)合訪問者身份在訪問控制表中查找訪問者的權(quán)限 判斷訪問者是否具有操作客體的能力 userAORWO userBRO userCRWO Obj1 訪問能力表 AcessCapabilitiesList 以主體為中心建立訪問權(quán)限表根據(jù)訪問者 主體 的身份 結(jié)合請求 客體信息 信息在訪問能力表中查找訪問者的權(quán)限 判斷訪問者是否具有操作客體的能力 Obj1ORWO Obj2RO Obj3RWO UserA 實現(xiàn)舉例 通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法 對每個主體而言 都擁有對哪些客體的哪些訪問權(quán)限 而對客體而言 又有哪些主體對他可以實施訪問 將這種關(guān)連關(guān)系加以闡述 就形成了控制矩陣 如果主體和客體很多 控制矩陣將會成幾何級數(shù)增長 會有大量的空余空間 Subjects Objects S1 S2 S3 O1 O2 O3 Read write Write Read Execute 按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容 自主訪問控制的特點 特點根據(jù)主體的身份和授權(quán)來決定訪問模式缺點信息在移動過程中其訪問權(quán)限關(guān)系會被改變?nèi)缬脩鬉可將其對目標O的訪問權(quán)限傳遞給用戶B 從而使不具備對O訪問權(quán)限的B可訪問O 強制訪問控制 主體和客體都被賦予一定的安全級別 如 絕密級 機密級 秘密級 無密級用戶不能改變自身和客體的安全級別 只有管理員才能夠確定用戶和組的訪問權(quán)限根據(jù)主體和客體的級別標記來決定訪問模式在實施訪問控制時 系統(tǒng)先對訪問主體和受控客體的安全級別屬性進行比較 再決定訪問主體能否訪問該客體強制訪問控制是指系統(tǒng)對用戶所創(chuàng)建的對象進行統(tǒng)一的強制性控制 按照確定的規(guī)則決定哪些用戶可以對哪些對象進行哪些操作類型的訪問即使是創(chuàng)建者用戶 在創(chuàng)建一個對象后 也可能無權(quán)訪問該對象 強制訪問控制模型的應(yīng)用 下讀 上寫策略低級用戶和進程不能訪問安全級別比他們高的信息資源 無上讀安全級別高的用戶和進程也不能向比他安全級別低的用戶和進程寫入數(shù)據(jù) 無下寫保障信息機密性上讀 下寫策略用戶只能向比自己安全級別低的客體寫入信息 從而防止非法用戶創(chuàng)建安全級別高的客體信息 避免越權(quán) 篡改等行為的產(chǎn)生完整性級別高的文件是一定由完整性高的進程所產(chǎn)生的 從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋保障信息完整性兩個相互對立的模型 自主 強制訪問的問題 自主訪問控制配置的粒度小配置的工作量大 效率低強制訪問控制配置的粒度大缺乏靈活性例 1000主體訪問10000客體須1000萬次配置 如每次配置需1秒 每天工作8小時 就需10 000 000 3600 8 347 2天 基于角色的訪問控制 RBAC 根據(jù)分配給主體的角色來管理訪問和權(quán)限的處理過程 角色是與一個特定活動相關(guān)聯(lián)的一組動作和責(zé)任 系統(tǒng)中主體擔(dān)任角色 完成角色規(guī)定的責(zé)任 具有角色擁有的權(quán)利 一個主體可以同時擔(dān)任多個角色 它的權(quán)限就是多個角色權(quán)限的總和 基于角色的訪問控制就是通過各種角色的不同搭配授權(quán)來盡可能實現(xiàn)主體的最小權(quán)限 系統(tǒng)的訪問控制機制只看到角色 而看不到用戶 RBAC實現(xiàn)過程 基于角色訪問控制的特點 提供靈活的授權(quán)管理途徑 改變客體的訪問權(quán)限改變角色的訪問權(quán)限改變主體所擔(dān)任的角色靈活 高效的授權(quán)管理 企業(yè)的組織結(jié)構(gòu)或系統(tǒng)的安全需求有變化 系統(tǒng)管理員只變更角色權(quán)限即可 角色的關(guān)系可以實現(xiàn)層次化 便于管理 主體與客體無直接聯(lián)系角色由系統(tǒng)管理員定義 角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行 主體只有通過角色才享有的權(quán)限 從而訪問相應(yīng)的客體 審計 審計 審計 根據(jù)一定的策略 通過記錄 分析歷史操作事件發(fā)現(xiàn)和改進系統(tǒng)性能和安全審計的需求幾乎所有的安全事件的查處和追蹤依賴系統(tǒng)歷史事件記錄系統(tǒng)資源的改善需要歷史經(jīng)驗審計是對訪問控制的必要補充 是訪問控制的一個重要內(nèi)容 審計是實現(xiàn)系統(tǒng)安全的最后一道防線 審計的作用 對潛在的攻擊者起到震攝或警告 對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù) 為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞 有助于提供對數(shù)據(jù)恢復(fù)的幫助 審計過程 審計的基礎(chǔ)在于事件記錄 系統(tǒng)活動記錄 用戶活動記錄 收集審計事件 產(chǎn)生審計記錄 根據(jù)記錄進行安全事件的分析 采取處理措施 應(yīng)用舉例 1 確定記錄事件類型 登錄及注銷 文件及對象訪問 用戶權(quán)力的使用 用戶及組管理 安全性規(guī)則更改 重新啟動關(guān)機及系統(tǒng) 進程追蹤等 應(yīng)用舉例 2 確定記錄事件內(nèi)容 時間 來源 狀態(tài) 成功 失敗 類型 用戶 對象等 應(yīng)用舉例 3 Windows日志文件 WINNT SYSTEM32 CONFIG AppEvent evt 應(yīng)用程序 SecEvent evt 安全性 SysEvent evt 系統(tǒng) 控制面板 管理工具 計算機管理 事件查看器 備份 備份的原因災(zāi)難事故 如火災(zāi) 地震 洪水等重大意外事故 系統(tǒng)故障 包括軟硬件故障 誤操作或病毒等引起的故障 人為的破壞 例如 黑客 惡意員工等的破壞 備份的理解 備份是系統(tǒng)不可缺少的部分 備份需要代價的 有時影響系統(tǒng)正常運行 備份貴在堅持 尤其系統(tǒng)一直穩(wěn)定運行時 一旦出現(xiàn)故障 備份能使損失降到最少 備份是為恢復(fù)做準備 備份要有專人負責(zé) 備份計劃依賴備份策略 備份策略依賴系統(tǒng)的功能 備份策略 1 備份的范圍是多少 數(shù)據(jù) 應(yīng)用程序 操作系統(tǒng) 硬件設(shè)備 雙機熱備份 等備份執(zhí)行的頻率是多少 自動還是手工 一般選擇系統(tǒng)最閑時執(zhí)行備份的過程是怎樣的 誰將負責(zé)生成正確的備份 由專人或小組負責(zé) 檢查 管理 備份策略 2 備份儲存在哪里 切忌存放在同一物理設(shè)備上 同時要求防竊 防磁 防火 防泄密 異地 備份需要維護多長時間 考慮介質(zhì)老化和兼容問題 需要維護多少份副本 多種方式存儲 提高備份數(shù)據(jù)的安全性 數(shù)據(jù)備份類型 完全備份所有數(shù)據(jù)被復(fù)制到存儲介質(zhì)中 差量備份只有從上一次完全備份之后改變的數(shù)據(jù)才需要完整地存儲 增量備份僅僅復(fù)制那些在最后一次完全備份或增量備份之后改變的數(shù)據(jù) 不同數(shù)據(jù)備份類型對比 恢復(fù) 稱為重載或重入 是指當(dāng)磁盤損壞或系統(tǒng)崩潰時 通過轉(zhuǎn)儲或卸載的備份重新安裝數(shù)據(jù)或系統(tǒng)的過程 恢復(fù)技術(shù)依賴于備份技術(shù) 計算機系統(tǒng)的安全級別 依據(jù)身份認證 訪問控制 審計以及備份等安全機制 計算機系統(tǒng)的安全級別一般分為 DC C1 C2 B B1 B2 B3 A D級 不可信的安全最低的安全級別 對系統(tǒng)提供最小的安全防護 硬件和操作系統(tǒng)不提供任何保護 沒有用戶身份認證 沒有訪問控制這個級別的系統(tǒng)包括DOS WINDOWS98等 C級 C1 選擇性的安全保護提供某種程度的硬件保護支持帳戶管理 用戶授權(quán)和訪問控制早期的UnixC2 受控的訪問環(huán)境能夠?qū)崿F(xiàn)受控安全保護 個人帳戶管理 審計和資源隔離UNIX LINUX和WindowsNT系統(tǒng) B級 B1 標記的安