06访问控制和系统审计教程.ppt

第7章 访问控制和系统审计 ;;;7.1 计算机安全等级的划分;;七个安全等级; ●D级——最低安全保护(Minimal Protection)。没有任何安全性防护，整个系统不可信。对于硬件来说，无任何保护；对于操作系统来说，容易受到损害；对于用户及其访问权限来说，没有身份认证。例：如DOS和Windows 95/98等操作系统。 ;●C1级——自主安全保护(Discretionary Security Protection)。通过隔离用户与数据，使用户具备自主安全保护的能力,是一种粗粒度安全保护, 具有以下特点： 用户与数据分离； 有效的任意访问控制机制，以便用户保护自己的数据，但是这种访问控制较粗，一般以组为单位进行，用户进行分组并注册后才能使用,而且对这种访问控制机制并不进行严格的检验评估； 防止对访问控制机制进行纂改的能力； 允许用户决定何时使用访问控制机制，何时不用，以及允许用户决定对哪个客体或哪组客体进行访问. 该安全级别典型的有 标准Unix; ● ?C2级——可控访问保护(Controled Access Protection)。比C1级具有更细粒度的自主访问控制, C2级计算机系统通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责，每个主体对每个客体的每次访问或访问企图都必须能予以审计跟踪；达到C2级的常见操作系统有：UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。 ;所有的B级(B1、B2、B3)系统都应具有强制访问控制机制。;● ?B2级——结构化保护(Structured Protection)。在B1的基础上，要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。 在设计B2级系统时，应提出一个合理的总体设计方案，设计方案应具有明确的模块化和结构化特征； 系统设计应遵循最小授权原则； 访问控制机制应对所有主体和客体予以保护； 应对系统进行隐秘通道分析，并堵塞所有发现的隐秘通道； 系统应具有完整性访问控制机制； 系统的设计及代码实现必须完全通过检验和测试，测试的结果必须保证系统完全实现了总体设计方案； 在系统运行过程中，应有专人负责系统中访问控制策略的设置和实施，而系统的操作员仅仅承担与系统后续操作有关的职责。银行的金融系统通常达到B2级。 ;;● ?A1级——验证设计(Verified Design)。最高级别，包含较低级别的所有特性。包含一个严格的设计、控制和验证过程。设计必须经过数学上的理论验证，而且必须对加密通道和可信任分布进行分析。 ;我国的安全等级划分;7.2 访 问 控 制;访问控制的目的;;保护域 ;; ; 在各种以自主访问控制机制进行访问控制的系统中，存取模式主要有： 读(read)，即允许主体对客体进行读和拷贝的操作； 写(write)，即允许主体写入或修改信息，包括扩展、压缩及删除等； 执行(execute)，就是允许将客体作为一种可执行文件运行,在一些系统中该模式还需要同时拥有读模式； 空模式(null)，即主体对客体不具有任何的存取权。 ;r;访问控制的策略 —强制访问控制 (Mandatory Access Control,MAC);;;;;访问控制的策略 —基于角色的访问控制 (Role-Based Access Control,RBAC);基于角色的访问控制有以下五个特点: 1) 以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。 ;2) 角色继承;角色继承可以用祖先关系图来表示，图中角色2是角色1的“父亲”，它包含角色1的属性和权限。处于最上面的角色拥有最大的访问权限，越下端的角色拥有的权限越小。 ;;;; 4) 职责分离(主体与角色的分离);;7.2.3 访问控制的一般实现机制和方法;Subjects;userA Own R W O;访问控制实现方法 ——访问能力表(CL);访问控制实现方法 ——授权关系表;7.3 系 统 审 计; 审计跟踪(Audit Trail) 是系统活动的记录。即它是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序，对系统的使用情况建立日志记录，以便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统安全的技术手段。 审计跟踪可用来实现： 确定和保持系统活动中每个人的责任； 重建事件； 评估损失； 监测系统问题区；