計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)講義

1、計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制的三個(gè)要素、7種策略、內(nèi)容、模型l訪問控制的安全策略與安全級(jí)別l安全審計(jì)的類型、與實(shí)施有關(guān)的問題l日志的審計(jì)lWindows NT操作系統(tǒng)中的訪問控制與安全審計(jì) 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。網(wǎng)絡(luò)的訪問控制技術(shù)是通過對(duì)訪問的申請(qǐng)、批準(zhǔn)和撤銷的全過程進(jìn)行有效的控制，從而確保只有合法用戶的合法訪問才能給予批準(zhǔn)，而且相應(yīng)的訪問只能執(zhí)行授權(quán)的操作。l訪問控制是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的重要手段

2、，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，也是計(jì)算機(jī)網(wǎng)絡(luò)安全理論基礎(chǔ)重要組成部分。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問。訪問控制包括三個(gè)要素，即主體、客體和控制策略。l主體主體S（Subject）是指一個(gè)提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。主體可以是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備。l客體客體O（Object）是接受其他實(shí)體訪問的被動(dòng)實(shí)體?？腕w的概念也很廣泛，凡是可以被操作的信息、資源、對(duì)象都可以認(rèn)為是客體。在信息社會(huì)中，客體可以是信息、文件、記錄等的集合體，也可以是

3、網(wǎng)路上的硬件設(shè)施，無線通信中的終端，甚至一個(gè)客體可以包含另外一個(gè)客體。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l控制策略控制策略A（Attribution）是主體對(duì)客體的訪問規(guī)則集，即屬性集合。訪問策略實(shí)際上體現(xiàn)了一種授權(quán)行為，也就是客體對(duì)主體的權(quán)限允許。l訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。為達(dá)到上述目的，訪問控制需要完成以下兩個(gè)任務(wù)：識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l入網(wǎng)訪問

4、控制。 l網(wǎng)絡(luò)的權(quán)限控制。 l目錄級(jí)安全控制。 l屬性安全控制。 l網(wǎng)絡(luò)服務(wù)器安全控制。 l網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。 l網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制系統(tǒng)三個(gè)要素之間的行為關(guān)系可以用一個(gè)訪問控制矩陣來表示。對(duì)于任意一個(gè)siS，ojO，都存在相應(yīng)的一個(gè)aijA，且aij=P（si，oj），其中P是訪問權(quán)限的函數(shù)。aij代表si可以對(duì)oj執(zhí)行什么樣的操作。訪問控制矩陣如下：其中，Si（i=0，1，m）是主體對(duì)所有客體的權(quán)限集合，Oj（j=0，1，n）是客體對(duì)所有主體的訪問權(quán)限集合計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制的

5、實(shí)現(xiàn)首先要考慮對(duì)合法用戶進(jìn)行驗(yàn)證，然后是對(duì)控制策略的選用與管理，最后要對(duì)非法用戶或是越權(quán)操作進(jìn)行管理。所以，訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計(jì)三個(gè)方面的內(nèi)容。l認(rèn)證：認(rèn)證：包括主體對(duì)客體的識(shí)別認(rèn)證和客體對(duì)主體檢驗(yàn)認(rèn)證。l控制策略的具體實(shí)現(xiàn)：控制策略的具體實(shí)現(xiàn)：如何設(shè)定規(guī)則集合從而確保正常用戶對(duì)信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對(duì)于合法用戶而言，更不能越權(quán)行使控制策略所賦予其權(quán)利以外的功能。l安全審計(jì)：安全審計(jì)：使系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)中的“正?！辈僮?、“非正?！辈僮饕约笆褂脮r(shí)間、敏感信息等。審計(jì)類似于飛機(jī)上的“黑匣子”，它為系統(tǒng)進(jìn)行事故原因查詢、定位、事故發(fā)生前的預(yù)測(cè)、

6、報(bào)警以及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l自主訪問控制模型 l強(qiáng)制訪問控制模型 l基于角色的訪問控制模型 l其他訪問控制模型基于任務(wù)的訪問控制模型基于對(duì)象的訪問控制模型 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l自主訪問控制模型（Discretionary Access Control Model，DAC Model）是根據(jù)自主訪問控制策略建立的一種模型，它基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問，也就是由擁有資源的用戶自己來決定其他一個(gè)或一些主體可以在什么程度上訪問哪些資源。l自主訪問控制又稱為任意訪

7、問控制，一個(gè)主體的訪問權(quán)限具有傳遞性。 l為了實(shí)現(xiàn)完整的自主訪問系統(tǒng)，DAC模型一般采用訪問控制表來表達(dá)訪問控制信息。l訪問控制表（Access Control List，ACL）是基于訪問控制矩陣中列的自主訪問控制。它在一個(gè)客體上附加一個(gè)主體明細(xì)表，來表示各個(gè)主體對(duì)這個(gè)客體的訪問權(quán)限。明細(xì)表中的每一項(xiàng)都包括主體的身份和主體對(duì)這個(gè)客體的訪問權(quán)限。對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體oj附加的訪問控制表的結(jié)構(gòu)如圖所示。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)Ojs0rs1ws2esxrwe對(duì)于客體oj，主體s0只有讀（r）的權(quán)限；主體s1只有寫（w）的權(quán)限；主體s2只有執(zhí)行（e）的權(quán)限；主體s

8、x具有讀（r）、寫（w）和執(zhí)行（e）的權(quán)限。但是，在一個(gè)很大的系統(tǒng)中，可能會(huì)有非常多的主體和客體，這就導(dǎo)致訪問控制表非常長(zhǎng)，占用很多的存儲(chǔ)空間，而且訪問時(shí)效率下降。使用組（group）或者通配符可以有效地縮短表的長(zhǎng)度。用戶可以根據(jù)部門結(jié)構(gòu)或者工作性質(zhì)被分為有限的幾類。同一類用戶使用的資源基本上是相同的。因此，可以把一類用戶作為一個(gè)組，分配一個(gè)組名，簡(jiǎn)稱“GN”，訪問時(shí)可以按照組名判斷。通配符“*”可以代替任何組名或者主體標(biāo)識(shí)符。這時(shí)，訪問控制表中的主體標(biāo)識(shí)為：主體標(biāo)識(shí)=IDGN。其中，ID是主體標(biāo)識(shí)符，GN是主體所在組的組名。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l上圖的第二列表

9、示，屬于TEACH組的所有主體都對(duì)客體oj具有讀和寫的權(quán)限；但是只有TEACH組中的主體Cai才額外具有執(zhí)行的權(quán)限（第一列）；無論是哪一組中的Li都可以讀客體oj（第三列）；最后一個(gè)表項(xiàng)（第四列）說明所有其他的主體，無論屬于哪個(gè)組，都不具備對(duì)oj有任何訪問權(quán)限。 Oj CaiTEACHrwe *TEACHrw Li*r *n 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l自主訪問控制的最大特點(diǎn)是自主，即資源的擁有者對(duì)資源的訪問策略具有決策權(quán)，因此是一種限制比較弱的訪問控制策略。這種方式給用戶帶來靈活性的同時(shí)，也帶來了安全隱患。l和DAC模型不同的是，強(qiáng)制訪問控制模型（Mandatory

10、 Access Control Model，MAC Model）是一種多級(jí)訪問控制策略，它的主要特點(diǎn)是系統(tǒng)對(duì)主體和客體實(shí)行強(qiáng)制訪問控制：系統(tǒng)事先給所有的主體和客體指定不同的安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和無密級(jí)。在實(shí)施訪問控制時(shí)，系統(tǒng)先對(duì)主體和客體的安全級(jí)別進(jìn)行比較，再?zèng)Q定主體能否訪問該客體。所以，不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l在強(qiáng)制訪問控制模型中，將安全級(jí)別進(jìn)行排序，如按照從高到低排列，規(guī)定高級(jí)別可以單向訪問低級(jí)別，也可以規(guī)定低級(jí)別可以單向訪問高級(jí)別。這種訪問可以是讀，也可以是寫或修改。主體對(duì)客體的

11、訪問主要有4種方式：向下讀（rd，read down）。主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許查閱的讀操作。向上讀（ru，read up）。主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許的讀操作。向下寫（wd，write down）。主體安全級(jí)別高于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。向上寫（wu，write up）。主體安全級(jí)別低于客體信息資源的安全級(jí)別時(shí)允許執(zhí)行的動(dòng)作或是寫操作。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l由于MAC通過將安全級(jí)別進(jìn)行排序?qū)崿F(xiàn)了信息的單向流通，因此它一直被軍方采用。MAC模型中最主要的三種模型為：Lattice模型、Bell La

12、Padula模型（BLP Model）和Biba模型（Biba Model）。在這些模型中，信息的完整性和保密性是分別考慮的，因而對(duì)讀、寫的方向進(jìn)行了反向規(guī)定。l保障信息完整性策略。為了保障信息的完整性，低級(jí)別的主體可以讀高級(jí)別客體的信息（不保密），但低級(jí)別的主體不能寫高級(jí)別的客體（保障信息完整），因此采用的是上讀/下寫策略。 l保障信息機(jī)密性策略。與保障完整性策略相反，為了保障信息的保密性，低級(jí)別的主體不可以讀高級(jí)別的信息（保密），但低級(jí)別的主體可以寫高級(jí)別的客體（完整性可能破壞），因此采用的是下讀/上寫策略。 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l在上述兩種訪問控制模型中，

13、用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進(jìn)行。然而在具體實(shí)現(xiàn)時(shí)，往往不能滿足實(shí)際需求。主要問題在于：同一用戶在不同的場(chǎng)合需要以不同的權(quán)限訪問系統(tǒng)，而變更權(quán)限必須經(jīng)系統(tǒng)管理員授權(quán)修改，因此很不方便。當(dāng)用戶量大量增加時(shí)，系統(tǒng)管理將變得復(fù)雜、工作量急劇增加，容易出錯(cuò)。不容易實(shí)現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當(dāng)同一用戶在不同場(chǎng)合處在不同的權(quán)限層次時(shí)，系統(tǒng)管理很難實(shí)現(xiàn)。除非同一用戶以多個(gè)用戶名注冊(cè)。l但是如果企業(yè)的組織結(jié)構(gòu)或是系統(tǒng)的安全需求出于變化的過程中時(shí)，那么就需要進(jìn)行大量繁瑣的授權(quán)變動(dòng)，系統(tǒng)管理員的工作將變得非常繁重，更主要的是容易發(fā)生錯(cuò)誤造成一些意想不到的安全漏洞。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng)

14、 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l在基于角色的訪問控制模型中，角色（role）定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中的主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)限。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和。基于角色的訪問控制就是通過各種角色的不同搭配授權(quán)來盡可能實(shí)現(xiàn)主體的最小權(quán)限。最小權(quán)限指主體在能夠完成所有必需的訪問工作基礎(chǔ)上的最小權(quán)限。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l基于角色的訪問控制就是通過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實(shí)現(xiàn)訪問控制的，如圖所示。l用戶先經(jīng)認(rèn)證后獲得一個(gè)角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問

15、系統(tǒng)資源，訪問控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l1、基于任務(wù)的訪問控制模型、基于任務(wù)的訪問控制模型（Task based Access Control Model，TBAC Model）。 lTBAC是從應(yīng)用和企業(yè)層角度來解決安全問題，以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動(dòng)）的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。其訪問控制策略及其內(nèi)部組件關(guān)系一般由系統(tǒng)管理員直接配置，支持最小特權(quán)原則和最小泄漏原則，在執(zhí)行任務(wù)時(shí)只給用戶分配所需的權(quán)限，未執(zhí)行任務(wù)或任務(wù)終止后用戶不再擁有所分配的權(quán)限；而且在執(zhí)行任務(wù)過程

16、中，當(dāng)某一權(quán)限不再使用時(shí)，將自動(dòng)收回該權(quán)限。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l基于對(duì)象的訪問控制模型（Object Based Access Control Model，OBAC Model）。lOBAC模型從受控對(duì)象的角度出發(fā)，將主體的訪問權(quán)限直接與受控對(duì)象相關(guān)聯(lián)，一方面定義對(duì)象的訪問控制表，增、刪、修改訪問控制項(xiàng)易于操作；另一方面，當(dāng)受控對(duì)象的屬性發(fā)生改變，或者受控對(duì)象發(fā)生繼承和派生行為時(shí)，無須更新訪問主體的權(quán)限，只需要修改受控對(duì)象的相應(yīng)訪問控制項(xiàng)即可，從而減少了主體的權(quán)限管理，減輕了由于信息資源的派生、演化和重組等帶來的分配、設(shè)定角色權(quán)限等的工作量。計(jì)計(jì) 算算 機(jī)機(jī)

17、網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問控制的安全策略有以下兩種實(shí)現(xiàn)方式：基于身份的安全策略和基于規(guī)則的安全策略。l這兩種安全策略建立的基礎(chǔ)都是授權(quán)行為。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于規(guī)則的安全策略等同于MAC安全策略。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l實(shí)施原則：訪問控制安全策略的實(shí)施原則圍繞主體、客體和安全控制規(guī)則集三者之間的關(guān)系展開。l最小特權(quán)原則。最小特權(quán)原則。是指主體執(zhí)行操作時(shí)，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。最小特權(quán)原則的優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可以避免來自突發(fā)事件、錯(cuò)誤和未授權(quán)主體的危險(xiǎn)。也就是說，為了達(dá)到

18、一定目的，主體必須執(zhí)行一定操作，但他只能做他所被允許做的，其他除外。l最小泄漏原則。最小泄漏原則。是指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。l多級(jí)安全策略。多級(jí)安全策略。是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別的絕密（TS）、秘密（S）、機(jī)密（C）、限制（RS）和無級(jí)別（U）5級(jí)來劃分。多級(jí)安全策略的優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散。具有安全級(jí)別的信息資源，只有安全級(jí)別比它高的主體才能夠訪問。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l基于身份的安全策略是過濾對(duì)數(shù)據(jù)或資源的訪問，只有能通過認(rèn)證的那些主體才有可能正常使用客體的資源。基于身份的安全策略包括基

19、于個(gè)人的策略和基于組的策略，主要有兩種基本的實(shí)現(xiàn)方法，分別為能力表和訪問控制表。l基于個(gè)人的策略?；趥€(gè)人的策略。基于個(gè)人的策略是指以用戶個(gè)人為中心建立的一種策略，由一些列表組成。這些列表針對(duì)特定的客體，限定了哪些用戶可以實(shí)現(xiàn)何種安全策略的操作行為。l基于組的策略?；诮M的策略?；诮M的策略是基于個(gè)人的策略的擴(kuò)充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l基于規(guī)則的安全策略中的授權(quán)通常依賴于敏感性。在一個(gè)安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記。代表用戶進(jìn)行活動(dòng)的進(jìn)程可以得到與其原發(fā)者相應(yīng)的安全標(biāo)記。在實(shí)現(xiàn)上，由系統(tǒng)通過比較用戶的

20、安全級(jí)別和客體資源的安全級(jí)別來判斷是否允許用戶進(jìn)行訪問。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l安全級(jí)別有兩個(gè)含義，一個(gè)是主、客體系統(tǒng)資源的安全級(jí)別，分為有層次的安全級(jí)別和無層次的安全級(jí)別；另一個(gè)是訪問控制系統(tǒng)實(shí)現(xiàn)的安全級(jí)別，這和可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)的安全級(jí)別是一樣的，分為D，C（C1，C2），B（B1，B2，B3）和A共4類7級(jí)，由低到高。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)是通過一定的策略，利用記錄和分析系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)，其中系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包

21、括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)，如用戶使用何種資源、使用的時(shí)間、執(zhí)行何種操作等方面，發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全。審計(jì)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l安全審計(jì)的目標(biāo)：對(duì)潛在的攻擊者起到震懾和警告的作用；對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追究責(zé)任的證據(jù)，評(píng)估損失，提供有效的災(zāi)難恢復(fù)依據(jù)；為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l有三種：系統(tǒng)級(jí)審計(jì)、應(yīng)用級(jí)審計(jì)和用戶級(jí)審計(jì)。l系統(tǒng)級(jí)審計(jì)。系統(tǒng)級(jí)審計(jì)。系統(tǒng)級(jí)審計(jì)的內(nèi)容主要包括登錄

22、（成功和失敗）、登錄識(shí)別號(hào)、每次登錄嘗試的日期和時(shí)間、每次退出的日期和時(shí)間、所使用的設(shè)備、登錄后運(yùn)行的內(nèi)容（如用戶啟動(dòng)應(yīng)用的嘗試，無論成功或失?。５湫偷南到y(tǒng)級(jí)日志還包括和安全無關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。l應(yīng)用級(jí)審計(jì)。應(yīng)用級(jí)審計(jì)。系統(tǒng)級(jí)審計(jì)可能無法跟蹤和記錄應(yīng)用中的事件，也可能無法提供應(yīng)用和數(shù)據(jù)擁有者需要的足夠的細(xì)節(jié)信息。通常，應(yīng)用級(jí)審計(jì)的內(nèi)容包括打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類的用戶活動(dòng)。l用戶級(jí)審計(jì)。用戶級(jí)審計(jì)。用戶級(jí)審計(jì)的內(nèi)容通常包括：用戶直接啟動(dòng)的所有命令、用戶所有的鑒別和認(rèn)證嘗試、用戶所訪問的文件和資源等方面。計(jì)計(jì) 算算 機(jī)機(jī)

23、網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l安全審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和分析來實(shí)現(xiàn)的，因此審計(jì)過程包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制幾部分，如圖所示。系統(tǒng)事件安全事件應(yīng)用事件網(wǎng)絡(luò)事件其他事件審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器日志記錄器日志分析器審計(jì)分析報(bào)告日志文件審計(jì)策略和規(guī)則計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l日志的內(nèi)容：日志系統(tǒng)可根據(jù)安全要求的強(qiáng)度選擇記錄下列事件的部分或全部：審計(jì)功能的啟動(dòng)和關(guān)閉。使用身份驗(yàn)證機(jī)制。將客體引入主體的地址空間。刪除客體。管理員、安全員、審計(jì)員和一般操作人員的操作。其他專門定義的可審計(jì)事件。l通常，對(duì)于一個(gè)事件

24、，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶（地址）、事件和源及目的的位置、事件類型、事件成敗等。 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l不同的系統(tǒng)可采用不同的機(jī)制記錄日志。日志的記錄可以由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調(diào)用Syslog來記錄日志，也可以用SNMP記錄。Syslog由Syslog守護(hù)程序、Syslog規(guī)則集及Syslog系統(tǒng)調(diào)用三部分組成。日志素材Syslog系統(tǒng)調(diào)用Syslog守護(hù)程序Syslog規(guī)則集日志記錄系統(tǒng)計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l日志分析就是在日志中尋找模式，主要內(nèi)容如

25、下：l潛在侵害分析。潛在侵害分析。日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵。這種規(guī)則可以是由己定義的可審計(jì)事件的子集所指示的潛在安全攻擊的積累或組合，或者其他規(guī)則。l基于異常檢測(cè)的輪廓。基于異常檢測(cè)的輪廓。日志分析應(yīng)確定用戶正常行為的輪廓，當(dāng)日志中的事件違反正常訪問行為的輪廓，或超出正常輪廓一定的門限時(shí)，能指出將要發(fā)生的威脅。l簡(jiǎn)單攻擊探測(cè)。簡(jiǎn)單攻擊探測(cè)。日志分析應(yīng)對(duì)重大威脅事件的特征有明確的描述，當(dāng)這些攻擊現(xiàn)象出現(xiàn)時(shí)，能及時(shí)指出。l復(fù)雜攻擊探測(cè)。復(fù)雜攻擊探測(cè)。要求高的日志分析系統(tǒng)還應(yīng)能檢測(cè)到多步入侵序列，當(dāng)攻擊序列出現(xiàn)時(shí)，能預(yù)測(cè)其發(fā)生步驟計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安

26、安 全全 技技 術(shù)術(shù)l由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全主要是查閱和存儲(chǔ)的安全。l審計(jì)事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。通常通過以下不同的層次保證查閱的安全：審計(jì)查閱。審計(jì)系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。有限審計(jì)查閱。審計(jì)系統(tǒng)只能提供對(duì)內(nèi)容的讀權(quán)限，因此應(yīng)拒絕具有讀以外權(quán)限的用戶訪問審計(jì)系統(tǒng)可選審計(jì)查閱。在有限審計(jì)查閱的基礎(chǔ)上限制查閱的范圍。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l審計(jì)事件的存儲(chǔ)也有安全要求，具體有如下幾種情況。受保護(hù)的審計(jì)蹤跡存儲(chǔ)。即要求存儲(chǔ)系統(tǒng)對(duì)日志事件具有保護(hù)功能

27、，防止未授權(quán)的修改和刪除，并具有檢測(cè)修改/刪除的能力。審計(jì)數(shù)據(jù)的可用性保證。在審計(jì)存儲(chǔ)系統(tǒng)遭受意外時(shí)，能防止或檢測(cè)審計(jì)記錄的修改，在存儲(chǔ)介質(zhì)存滿或存儲(chǔ)失敗時(shí)，能確保記錄不被破壞。防止審計(jì)數(shù)據(jù)丟失。在審計(jì)蹤跡超過預(yù)定的門限或記滿時(shí)，應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計(jì)事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l為了確保審計(jì)數(shù)據(jù)的可用性和正確性，審計(jì)數(shù)據(jù)需要受到保護(hù)，因?yàn)椴徽_的數(shù)據(jù)也是沒用的。而且，如果不對(duì)日志數(shù)據(jù)進(jìn)行及時(shí)審查，規(guī)劃和實(shí)施得再好的審計(jì)也會(huì)失去價(jià)值。審計(jì)應(yīng)該根據(jù)需要（經(jīng)常由安全事件觸發(fā)）定期審查

28、、自動(dòng)實(shí)時(shí)審查或兩者兼而有之。系統(tǒng)管理人員和系統(tǒng)管理員應(yīng)該根據(jù)計(jì)算機(jī)安全管理的要求確定需要維護(hù)多長(zhǎng)時(shí)間的審計(jì)數(shù)據(jù)，其中包括系統(tǒng)內(nèi)保存的和歸檔保存的數(shù)據(jù)。l與實(shí)施有關(guān)的問題包括：保護(hù)審計(jì)數(shù)據(jù)、審查審計(jì)數(shù)據(jù)和用于審計(jì)分析的工具。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l訪問在線審計(jì)日志必須受到嚴(yán)格限制。計(jì)算機(jī)安全管理人員和系統(tǒng)管理員或職能部門經(jīng)理出于檢查的目的可以訪問，但是維護(hù)邏輯訪問功能的安全管理人員沒有必要訪問審計(jì)日志。l防止非法修改以確保審計(jì)跟蹤數(shù)據(jù)的完整性尤其重要。使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑。另一類方法是使用只讀設(shè)備。入侵者會(huì)試圖修改審計(jì)跟蹤記錄以掩蓋自己的蹤跡是審計(jì)

29、跟蹤文件需要保護(hù)的原因之一。使用強(qiáng)訪問控制是保護(hù)審計(jì)跟蹤記錄免受非法訪問的有效措施。當(dāng)牽涉到法律問題時(shí)，審計(jì)跟蹤信息的完整性尤為重要（這可能需要每天打印和簽署日志）。此類法律問題應(yīng)該直接咨詢相關(guān)法律顧問。l審計(jì)跟蹤信息的機(jī)密性也需要受到保護(hù)，如審計(jì)跟蹤所記錄的用戶信息可能包含諸如交易記錄等不宜披露的個(gè)人信息。強(qiáng)訪問控制和加密在保護(hù)機(jī)密性方面非常有效計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l審計(jì)跟蹤的審查和分析可以分為在事后檢查、定期檢查或?qū)崟r(shí)檢查。審查人員應(yīng)該知道如何發(fā)現(xiàn)異?；顒?dòng)。如果可以通過用戶識(shí)別碼、終端識(shí)別碼、應(yīng)用程序名、日期時(shí)間或其他參數(shù)組來檢索審計(jì)跟蹤記錄并生成所需的報(bào)告

30、，那么審計(jì)跟蹤檢查就會(huì)比較容易。l事后檢查。l定期檢查。l實(shí)時(shí)檢查。 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l審計(jì)精選工具。此類工具用于從大量的數(shù)據(jù)中精選出有用的信息以協(xié)助人工檢查。在安全檢查前，此類工具可以剔除大量對(duì)安全影響不大的信息。這類工具通?？梢蕴蕹商囟愋褪录a(chǎn)生的記錄，如由夜間備份產(chǎn)生的記錄將被剔除。l趨勢(shì)/差別探測(cè)工具。此類工具用于發(fā)現(xiàn)系統(tǒng)或用戶的異常活動(dòng)。可以建立較復(fù)雜的處理機(jī)制以監(jiān)控系統(tǒng)使用趨勢(shì)和探測(cè)各種異?；顒?dòng)。例如，如果用戶通常在上午9點(diǎn)登錄，但卻有一天在凌晨4點(diǎn)半登錄，這可能是一件值得調(diào)查的安全事件。l攻擊特征探測(cè)工具。此類工具用于查找攻擊特征，通常一系

31、列特定的事件表明有可能發(fā)生了非法訪問嘗試。一個(gè)簡(jiǎn)單的例子是反復(fù)進(jìn)行失敗的登錄嘗試。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l 5.5.1 Windows NT中的訪問控制l 1Windows NT的安全模型Windows NT采用的是微內(nèi)核（Microkernel）結(jié)構(gòu)和模塊化的系統(tǒng)設(shè)計(jì)。有的模塊運(yùn)行在底層的內(nèi)核模式上，有的模塊則運(yùn)行在受內(nèi)核保護(hù)的用戶模式上。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l登錄過程（Logon Process，LP）：接受本地用戶或者遠(yuǎn)程用戶的登錄請(qǐng)求，處理用戶信息，為用戶做一些初始化工作。l本地安全授權(quán)機(jī)構(gòu)（Local Security A

32、uthority，LSA）：根據(jù)安全賬號(hào)管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶的登錄信息，并控制審計(jì)和日志。這是整個(gè)安全子系統(tǒng)的核心。l安全賬號(hào)管理器（Security Account Manager，SAM）：維護(hù)賬號(hào)的安全性管理的數(shù)據(jù)庫。l安全引用監(jiān)視器（Security Reference Monitor，SRM）：檢查存取合法性，防止非法存取和修改。l這4部分在訪問控制的不同階段發(fā)揮各自不同的作用。 計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l（1）創(chuàng)建賬號(hào)。當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows NT系統(tǒng)為它分配一個(gè)安全標(biāo)識(shí)（SID）。安全標(biāo)識(shí)和賬號(hào)惟一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)

33、刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫里。l（2）登錄過程（LP）控制。每次用戶登錄時(shí)，用戶應(yīng)輸入用戶名、口令和用戶希望登錄的服務(wù)器/域等信息，登錄主機(jī)把這些信息傳送給系統(tǒng)的安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給客戶機(jī)或工作站允許訪問的信息，記錄用戶賬號(hào)的特權(quán)、主目錄位置、工作站參數(shù)等信息，并返回用戶的安全標(biāo)識(shí)和用戶所在組的安全標(biāo)識(shí)。工作站為用戶生成一個(gè)進(jìn)程。l（3）創(chuàng)建訪問令牌。當(dāng)用戶登錄成功后，本地安全授權(quán)機(jī)構(gòu)（LSA）為用戶創(chuàng)建一個(gè)訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。以后用戶每新建

34、一個(gè)進(jìn)程，都將訪問并復(fù)制令牌作為該進(jìn)程的訪問令牌。l（4）訪問對(duì)象控制。當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器（SRM）將用戶/進(jìn)程的訪問令牌中的安全標(biāo)識(shí)（SID）與對(duì)象安全描述符（是NT為共享資源創(chuàng)建的一組安全屬性，包括所有者安全標(biāo)識(shí)、組安全標(biāo)識(shí)、自主訪問控制表、系統(tǒng)訪問控制表和訪問控制項(xiàng)）中的自主訪問控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問該對(duì)象。l在這個(gè)過程中應(yīng)該注意：安全標(biāo)識(shí)（SID）對(duì)應(yīng)賬號(hào)的整個(gè)有效期，而訪問令牌只對(duì)應(yīng)某一次賬號(hào)登錄。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)lWindows NT的三個(gè)日志文件的物理位置如下：l系統(tǒng)日志：系統(tǒng)日志：包含所

35、有系統(tǒng)相關(guān)事件的信息。 %systemroot%system32configsysevent.evtl安全日志：安全日志：包括有關(guān)通過NT可識(shí)別安全提供者和客戶的系統(tǒng)訪問信息。 %systemroot%system32configsecevent.evtl應(yīng)用程序日志：應(yīng)用程序日志：包括用NT Security authority注冊(cè)的應(yīng)用程序產(chǎn)生的信息。 %systemroot%system32configappevent.evt計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)l幾乎Windows NT系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)，在Windows NT中可以在Explor

36、er和User manager兩個(gè)地方打開審計(jì)。l在Explorer中，選擇Security，再選擇Auditing以激活Directory Auditing對(duì)話框，系統(tǒng)管理員可以在這個(gè)窗口選擇跟蹤有效和無效的文件訪問。l在User manager中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登錄和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。lWindows NT使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件瀏覽器（Event viewer）讀取。事件瀏覽器可以在Administrative tool程序組中找到。系統(tǒng)管理員可以使用事件瀏覽器的Filter選項(xiàng)根據(jù)一定條件選擇要查看的日志條目。查看條件包括類別、用戶和消息類型。計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)lWindows NT的審計(jì)日志由一系列的事件記錄組成。每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。下圖顯示了一個(gè)事件記錄的結(jié)構(gòu)。記錄頭數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型種類事件描述可變內(nèi)容，依賴于事件，可以是問題的文本解釋和糾正措施的建議附加數(shù)據(jù)附加域。如果采用的話，包含以字節(jié)或字顯示的二進(jìn)制數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息計(jì)計(jì) 算算 機(jī)機(jī) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 技技 術(shù)術(shù)lWindows NT提供了大量特征給