访问控制技术讲解.ppt

5.3.1 安全策略 实施原则：访问控制安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开。 最小特权原则。是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权主体的危险。也就是说，为了达到一定目的，主体必须执行一定操作，但他只能做他所被允许做的，其他除外。 最小泄漏原则。是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。 多级安全策略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源，只有安全级别比它高的主体才能够访问。 基于身份的安全策略 基于身份的安全策略是过滤对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略，主要有两种基本的实现方法，分别为能力表和访问控制表。 基于个人的策略。基于个人的策略是指以用户个人为中心建立的一种策略，由一些列表组成。这些列表针对特定的客体，限定了哪些用户可以实现何种安全策略的操作行为。 基于组的策略。基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样的访问控制规则访问同样的客体。 基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。在实现上，由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。 5.3.2 安全级别 安全级别有两个含义，一个是主、客体系统资源的安全级别，分为有层次的安全级别和无层次的安全级别；另一个是访问控制系统实现的安全级别，这和《可信计算机系统评估标准》的安全级别是一样的，分为D，C（C1，C2），B（B1，B2，B3）和A共4类7级，由低到高。 5.4 安全审计 计算机网络安全审计是通过一定的策略，利用记录和分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面，发现系统的漏洞并改进系统的性能和安全。审计是计算机网络安全的重要组成部分。 5.4.1 安全审计概述 安全审计的目标：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为，提供有效的追究责任的证据，评估损失，提供有效的灾难恢复依据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 安全审计的类型 有三种：系统级审计、应用级审计和用户级审计。 系统级审计。系统级审计的内容主要包括登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。 应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。 用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。 安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图所示。 系统事件 安全事件 应用事件 网络事件 其他事件 审计发生器 审计发生器 审计发生器 审计发生器 审计发生器 日志记录器 日志分析器 审计分析报告 日志文件 审计策略和规则 … 5.4.2 日志的审计 日志的内容：日志系统可根据安全要求的强度选择记录下列事件的部分或全部： 审计功能的启动和关闭。 使用身份验证机制。 将客体引入主体的地址空间。 删除客体。 管理员、安全员、审计员和一般操作人员的操作。 其他专门定义的可审计事件。 通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）、事件和源及目的的位置、事件类型、事件成败等。 安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。Syslog由Syslog守护程序、Sys