《信息安全理論與技術(shù)》課件第8章 訪問(wèn)控制技術(shù)

第8章訪問(wèn)控制技術(shù)第8章訪問(wèn)控制技術(shù)8.1訪問(wèn)控制技術(shù)概述8.2訪問(wèn)控制策略8.3訪問(wèn)控制的常用實(shí)現(xiàn)方法8.4防火墻技術(shù)基礎(chǔ)8.5入侵檢測(cè)技術(shù)8.1訪問(wèn)控制技術(shù)概述訪問(wèn)控制的定義：訪問(wèn)控制是針對(duì)越權(quán)使用資源的防御措施，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。基本目標(biāo)：防止對(duì)任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問(wèn)，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。8.1訪問(wèn)控制技術(shù)概述訪問(wèn)控制的作用：訪問(wèn)控制對(duì)機(jī)密性、完整性起直接的作用。對(duì)于可用性，訪問(wèn)控制通過(guò)對(duì)以下信息的有效控制來(lái)實(shí)現(xiàn)：誰(shuí)可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令；誰(shuí)能夠?yàn)E用資源以達(dá)到占用資源的目的；誰(shuí)能夠獲得可以用于拒絕服務(wù)攻擊的信息。8.2訪問(wèn)控制策略自主訪問(wèn)控制：是針對(duì)訪問(wèn)資源的用戶或者應(yīng)用設(shè)置訪問(wèn)控制權(quán)限；根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策；自主是指具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體，訪問(wèn)信息的決定權(quán)在于信息的創(chuàng)建者。特點(diǎn)：靈活性高，被大量采用。缺點(diǎn)：安全性最低。信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變8.2訪問(wèn)控制策略強(qiáng)制訪問(wèn)控制：在自主訪問(wèn)控制的基礎(chǔ)上，增加了對(duì)資源的屬性（安全屬性）劃分，規(guī)定不同屬性下的訪問(wèn)權(quán)限。對(duì)一個(gè)安全區(qū)域的強(qiáng)制式策略被最終的權(quán)威機(jī)構(gòu)采用和執(zhí)行，它基于能自動(dòng)實(shí)施的規(guī)則。將主體和客體分為不同的級(jí)別，所有對(duì)信息的控制權(quán)都由系統(tǒng)管理員來(lái)決定。8.2訪問(wèn)控制策略基于角色的訪問(wèn)控制：同時(shí)具有基于身份策略的特征，也具有基于規(guī)則策略的特征，可以看作是基于組的策略的變種，根據(jù)用戶所屬的角色做出授權(quán)決定與訪問(wèn)者的身份認(rèn)證密切相關(guān)，通過(guò)確定該合法訪問(wèn)者的身份來(lái)確定訪問(wèn)者在系統(tǒng)中對(duì)哪類信息有什么樣的訪問(wèn)權(quán)限角色與組的區(qū)別是：組，代表一組用戶的集合；角色，則是一組用戶的集合＋一組操作權(quán)限的集合。8.3訪問(wèn)控制的常用實(shí)現(xiàn)方法訪問(wèn)控制表（ACL）對(duì)應(yīng)于訪問(wèn)控制矩陣中的一列內(nèi)容，基于身份的訪問(wèn)控制策略和基于角色的訪問(wèn)控制策略都可以用ACL來(lái)實(shí)現(xiàn)。優(yōu)點(diǎn)：控制粒度比較小，適用于被區(qū)分的用戶數(shù)比較小的情況，并且這些用戶的授權(quán)情況相對(duì)比較穩(wěn)定的情形。8.3訪問(wèn)控制的常用實(shí)現(xiàn)方法訪問(wèn)能力表：授權(quán)機(jī)構(gòu)針對(duì)每個(gè)限制區(qū)域，都為用戶維護(hù)它的訪問(wèn)控制能力。它與ACL相比較，在每個(gè)受限制的區(qū)域，都維護(hù)一個(gè)ACL表。安全標(biāo)簽：發(fā)起請(qǐng)求時(shí)，附屬一個(gè)安全標(biāo)簽，在目標(biāo)的屬性中，也有一個(gè)相應(yīng)的安全標(biāo)簽。在做出授權(quán)決定時(shí)，目標(biāo)環(huán)境根據(jù)這兩個(gè)標(biāo)簽決定是允許還是拒絕訪問(wèn)，常常用于多級(jí)訪問(wèn)策略。8.3訪問(wèn)控制的常用實(shí)現(xiàn)方法基于口令的機(jī)制:與目標(biāo)的內(nèi)容相關(guān)的訪問(wèn)控制：動(dòng)態(tài)訪問(wèn)控制。多用戶訪問(wèn)控制：當(dāng)多個(gè)用戶同時(shí)提出請(qǐng)求時(shí)，如何做出授權(quán)決定?；谏舷挛牡目刂疲涸谧龀鰧?duì)一個(gè)目標(biāo)的授權(quán)決定時(shí)依賴于外界的因素，比如時(shí)間、用戶的位置等。8.4防火墻技術(shù)基礎(chǔ)8.4.1防火墻的基本概念8.4.2防火墻的功能8.4.3防火墻的缺點(diǎn)8.4.4防火墻的基本結(jié)構(gòu)8.4.5防火墻的類型8.4.6防火墻安全設(shè)計(jì)策略8.4.7防火墻攻擊策略8.4.8第四代防火墻的主要技術(shù)8.4.9防火墻發(fā)展的新方向8.4.1防火墻的基本概念內(nèi)網(wǎng)（受信網(wǎng)絡(luò)）：防火墻內(nèi)的網(wǎng)絡(luò)。外網(wǎng)（非受信網(wǎng)絡(luò)）：防火墻外的網(wǎng)絡(luò)，一般指Internet。受信主機(jī)和非受信主機(jī)分別對(duì)照內(nèi)網(wǎng)和外網(wǎng)的主機(jī)。非軍事區(qū)（DMZ）：為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)。防火墻一般配置三塊網(wǎng)卡，分別連接內(nèi)部網(wǎng)、Internet和DMZ。8.4.1防火墻的基本概念防火墻的定義:防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力8.4.2防火墻的功能基本功能:是網(wǎng)絡(luò)安全的屏障控制對(duì)主機(jī)系統(tǒng)的訪問(wèn)可以強(qiáng)化網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)附加功能網(wǎng)絡(luò)地址翻譯虛擬專用網(wǎng)絡(luò)8.4.3防火墻的缺點(diǎn)不能防范來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊不能防范不經(jīng)由防火墻的攻擊不能防范感染了病毒的軟件或文件的傳輸不能防范利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊不能防范利用服務(wù)器系統(tǒng)漏洞進(jìn)行的攻擊不能防范新的網(wǎng)絡(luò)安全問(wèn)題限制了有用的網(wǎng)絡(luò)服務(wù)8.4.4防火墻的基本結(jié)構(gòu)屏蔽路由器雙宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻其他的防火墻結(jié)構(gòu)一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)兩個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)8.4.5防火墻的類型數(shù)據(jù)包過(guò)濾路由器為系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（即訪問(wèn)控制表），只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除代理網(wǎng)關(guān)針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序，在應(yīng)用層實(shí)現(xiàn)防火墻的功能，主要特點(diǎn)是有狀態(tài)性。狀態(tài)檢測(cè)在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀8.4.6防火墻安全設(shè)計(jì)策略網(wǎng)絡(luò)服務(wù)訪問(wèn)權(quán)限策略:網(wǎng)絡(luò)服務(wù)訪問(wèn)策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，而且還包括對(duì)撥號(hào)訪問(wèn)以及SLIP/PPP連接的限制一個(gè)防火墻執(zhí)行兩個(gè)通用網(wǎng)絡(luò)服務(wù)訪問(wèn)策略中的一個(gè)：允許從內(nèi)部站點(diǎn)訪問(wèn)Internet而不允許從Internet訪問(wèn)內(nèi)部站點(diǎn)；只允許從Internet訪問(wèn)特定的系統(tǒng)，如信息服務(wù)器和電子郵件服務(wù)器8.4.6防火墻安全設(shè)計(jì)策略防火墻設(shè)計(jì)策略及要求:防火墻一般執(zhí)行以下兩種基本設(shè)計(jì)策略中的一種：第一種，除非明確不允許，否則允許某種服務(wù)；第二種，除非明確允許，否則將禁止某種服務(wù)防火墻與加密機(jī)制早期的防火墻主要起屏蔽主機(jī)和加強(qiáng)訪問(wèn)控制的作用，現(xiàn)在的防火墻則一般都具有加密、解密和壓縮、解壓等功能8.4.7防火墻攻擊策略掃描防火墻策略方法是探測(cè)在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)，通常稱之為對(duì)防火墻的探測(cè)攻擊通過(guò)防火墻認(rèn)證機(jī)制策略IP地址欺騙TCP序號(hào)攻擊利用防火墻漏洞策略尋找、利用防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計(jì)上的安全漏洞，從而有針對(duì)性地發(fā)動(dòng)攻擊8.4.8第四代防火墻的主要技術(shù)防火墻技術(shù)的發(fā)展經(jīng)歷了基于路由器的防火墻、用戶化的防火墻工具套裝、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻四個(gè)階段雙端口或三端口的結(jié)構(gòu)透明的訪問(wèn)方式靈活的代理系統(tǒng)多級(jí)的過(guò)濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)8.4.8第四代防火墻的主要技術(shù)Internet網(wǎng)關(guān)技術(shù)安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計(jì)和告警功能8.4.8第四代防火墻的主要技術(shù)第四代防火墻技術(shù)的實(shí)現(xiàn)方法：安全內(nèi)核的實(shí)現(xiàn)代理系統(tǒng)的建立分組過(guò)濾器的設(shè)計(jì)安全服務(wù)器的設(shè)計(jì)鑒別與加密的考慮8.4.8第四代防火墻的主要技術(shù)第四代防火墻抗攻擊能力分析：抗IP假冒攻擊抗特洛伊木馬攻擊抗口令字探尋攻擊抗網(wǎng)絡(luò)安全性分析抗郵件詐騙攻擊8.4.9防火墻發(fā)展的新方向透明接入技術(shù)透明模式：對(duì)用戶是透明的,沒(méi)有IP地址透明代理：代理服務(wù)器建立透明的通道，讓用戶直接與外界通信兩者之間的區(qū)別：工作于透明模式的防火墻使用了透明代理的技術(shù)，但透明代理并不是透明模式的全部，防火墻在非透明模式中也可以使用透明代理分布式防火墻技術(shù)分布式防火墻技術(shù)分布式防火墻的產(chǎn)生背景：網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制內(nèi)部安全隱患依然存在效率較低和故障率高分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核適用于服務(wù)器托管分布式防火墻技術(shù)分布式防火墻的主要優(yōu)勢(shì)增強(qiáng)的系統(tǒng)安全性提高了系統(tǒng)性能系統(tǒng)的擴(kuò)展性實(shí)施主機(jī)策略應(yīng)用更為廣泛，支持VPN通信分布式防火墻技術(shù)分布式防火墻的基本原理：首先由制定防火墻接入控制策略的中心通過(guò)編譯器將策略語(yǔ)言描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件；然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺(tái)“內(nèi)部”主機(jī)；“內(nèi)部”主機(jī)將從兩方面來(lái)判定是否接受收到的包，一方面是根據(jù)IP安全協(xié)議，另一方面是根據(jù)服務(wù)器端的策略文件分布式防火墻技術(shù)分布式防火墻的主要功能Internet訪問(wèn)控制應(yīng)用訪問(wèn)控制網(wǎng)絡(luò)狀態(tài)監(jiān)控黑客攻擊的防御日志管理系統(tǒng)工具8.5入侵檢測(cè)技術(shù)8.5.1入侵檢測(cè)概念8.5.2入侵檢測(cè)系統(tǒng)模型8.5.3入侵檢測(cè)技術(shù)分類8.5.4入侵檢測(cè)系統(tǒng)的組成與分類8.5.1入侵檢測(cè)概念入侵是指違背訪問(wèn)目標(biāo)的安全策略的行為。入侵檢測(cè)通過(guò)收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為。具有入侵檢測(cè)功能的系統(tǒng)稱為入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱IDS入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊8.5.1入侵檢測(cè)概念I(lǐng)DS的功能：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為8.5.2入侵檢測(cè)系統(tǒng)模型通用的入侵檢測(cè)框架模型（簡(jiǎn)稱CIDF）該模型認(rèn)為入侵檢測(cè)系統(tǒng)由事件產(chǎn)生器（eventgenerators）、事件分析器（eventanalyzers）、響應(yīng)單元（responseunits）和事件數(shù)據(jù)庫(kù)（eventdatabases）組成8.5.3入侵檢測(cè)技術(shù)分類基于誤用的入侵檢測(cè)技術(shù)通常稱為基于特征的入侵檢測(cè)方法，指根據(jù)已知的入侵模式檢測(cè)入侵行為誤用入侵檢測(cè)依賴于攻擊模式庫(kù)入侵檢測(cè)的過(guò)程實(shí)際上就是模式匹配的過(guò)程基于異常的入侵檢測(cè)技術(shù)異常檢測(cè)方法