网络安全与保密第9章访问控制和系统审计教案分析.ppt

第9章 访问控制和系统审计 9.1 计算机安全等级的划分 9.2 访问控制 9.3 系统审计 习 题 9.1 计算机安全等级的划分 James P. Anderson在1972年提出的参考监视器(The Reference Monitor)的概念是经典安全模型(如图9-1所示)的最初雏形。在这里，参考监视器是个抽象的概念，可以说是安全机制的代名词。 经典安全模型包含如下基本要素： (1) 明确定义的主体和客体； (2) 描述主体如何访问客体的一个授权数据库； (3) 约束主体对客体访问尝试的参考监视器； (4) 识别和验证主体和客体的可信子系统； (5) 审计参考监视器活动的审计子系统。 可以看出，这里为了实现计算机系统安全所采取的基本安全措施，即安全机制有身份认证、访问控制和审计。 通常，我们用图9-2来表示这三者之间的关系。从该示意图可以看出，参考监视器是主体/角色对客体进行访问的桥梁，身份识别与验证，即身份认证是主体/角色获得访问授权的第一步，这也是早期黑客入侵系统的突破口。 访问控制是在主体身份得到认证后，根据安全策略对主体行为进行限制的机制和手段。审计作为一种安全机制，它在主体访问客体的整个过程中都发挥着作用，为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。同时，身份认证、访问控制为审计的正确性提供保障。它们之间是互为制约、相互促进的。 为了加强计算机系统的信息安全，1985年，美国国防部发表了《可信计算机评估准则》(缩写为TCSEC)[6]，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级。依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。 ● D级——最低安全保护(Minimal Protection)。没有任何安全性防护，如DOS和Windows 95/98等操作系统。 ● ?C1级——自主安全保护(Discretionary Security Protection)。这一级的系统必须对所有的用户进行分组；每个用户必须注册后才能使用；系统必须记录每个用户的注册活动；系统对可能破坏自身的操作将发出警告。 ● ?C2级——可控访问保护(Controled Access Protection)。在C1级基础上，增加了以下要求：所有的客体都只有一个主体；对于每个试图访问客体的操作，都必须检验权限；有且仅有主体和主体指定的用户可以更改权限；管理员可以取得客体的所有权，但不能再归还；系统必须保证自身不能被管理员以外的用户改变；系统必须有能力对所有的操作进行记录，并且只有管理员和由管理员指定的用户可以访问该记录。SCO UNIX 和 Windows NT 属于C2级。 ● ?B1级——标识的安全保护(Labeled Security Protection)。在C2的基础上，增加以下几条要求：不同组的成员不能访问对方创建的客体，但管理员许可的除外；管理员不能取得客体的所有权。Windows NT的定制版本可以达到B1级。 ● ?B2级——结构化保护(Structured Protection)。在B1的基础上，增加以下几条要求：所有的用户都被授予一个安全等级；安全等级较低的用户不能访问高等级用户创建的客体。银行的金融系统通常达到B2级。 ● ?B3级——安全域保护(Security Domain)。在B2的基础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。 ● ?A1级——可验证设计(Verified Design)。在B3的基础上，增加以下要求：系统的整体安全策略一经建立便不能修改。 1999年9月13日，我国颁布了《计算机信息系统安全保护等级划分准则》(GB17859–1999)，定义了计算机信息系统安全保护能力的五个等级(第一级到第五级)。实际上，国标中将国外的最低级D级和最高级A1级取消，余下的分为五级。TCSEC中的B1级与GB17859的第三级对应。 ● 第一级：用户自主保护级； ● 第二级：系统审计保护级； ● 第三级：安全标记保护级； ● 第四级：结构化保护级； ● 第五级：访问验证保护级。 9.2 访 问 控 制 在计算机安全防御措施中，访问控制是极其重要的一环，它是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制。访问控制是现代操作系统常用的安全控制方式之一。本节对