06访问控制和系统审计研究.ppt

第7章 访问控制和系统审计 7.1 计算机安全等级的划分 7.2 访问控制 7.3 系统审计 除了国际通用准则cc外, 国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。? 7.1 计算机安全等级的划分 1985年，美国国防部发表了《可信计算机评估准则》(缩写为TCSEC) ，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级（从低到高，依次是D、C1、C2、B1、B2、B3和A1级。）,随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。 七个安全等级 四个安全等级： 无保护级(D1) 自主保护级(C1,C2) 强制保护级(B1,B2 ,B3) 验证保护级(A1) ●D级——最低安全保护(Minimal Protection)。没有任何安全性防护，整个系统不可信。对于硬件来说，无任何保护；对于操作系统来说，容易受到损害；对于用户及其访问权限来说，没有身份认证。例：如DOS和Windows 95/98等操作系统。 ●C1级——自主安全保护(Discretionary Security Protection)。通过隔离用户与数据，使用户具备自主安全保护的能力,是一种粗粒度安全保护, 具有以下特点： 用户与数据分离； 有效的任意访问控制机制，以便用户保护自己的数据，但是这种访问控制较粗，一般以组为单位进行，用户进行分组并注册后才能使用,而且对这种访问控制机制并不进行严格的检验评估； 防止对访问控制机制进行纂改的能力； 允许用户决定何时使用访问控制机制，何时不用，以及允许用户决定对哪个客体或哪组客体进行访问. 该安全级别典型的有 标准Unix ● ?C2级——可控访问保护(Controled Access Protection)。比C1级具有更细粒度的自主访问控制, C2级计算机系统通过注册过程控制、审计安全相关事件以及资源隔离，使单个用户为其行为负责，每个主体对每个客体的每次访问或访问企图都必须能予以审计跟踪；达到C2级的常见操作系统有：UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。 所有的B级(B1、B2、B3)系统都应具有强制访问控制机制。 ● ?B1级——标识的安全保护(Labeled Security Protection)。在C2的基础上，支持多级安全，可以使一个处于强制性访问控制下的对象，不允许其所有者改变其权限。如为每个控制主体和客体分配了一个相应的安全级别,不同组的成员不能访问对方创建的客体，但管理员许可的除外,管理员不能取得客体的所有权。Windows NT的定制版本可以达到B1级。政府机构与防御系统是B1级计算机系统的主要拥有者。 ● ?B2级——结构化保护(Structured Protection)。在B1的基础上，要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。 在设计B2级系统时，应提出一个合理的总体设计方案，设计方案应具有明确的模块化和结构化特征； 系统设计应遵循最小授权原则； 访问控制机制应对所有主体和客体予以保护； 应对系统进行隐秘通道分析，并堵塞所有发现的隐秘通道； 系统应具有完整性访问控制机制； 系统的设计及代码实现必须完全通过检验和测试，测试的结果必须保证系统完全实现了总体设计方案； 在系统运行过程中，应有专人负责系统中访问控制策略的设置和实施，而系统的操作员仅仅承担与系统后续操作有关的职责。银行的金融系统通常达到B2级。 ● ?B3级——安全域保护(Security Domain)。在B2的基础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。 ● ?A1级——验证设计(Verified Design)。最高级别，包含较低级别的所有特性。包含一个严格的设计、控制和验证过程。设计必须经过数学上的理论验证，而且必须对加密通道和可信任分布进行分析。 我国的安全等级划分 1999年9月13日，我国颁布了《计算机信息系统安全保护等级划分准则》(GB17859–1999)，定义了计算机信息系统安全保护能力的五个等级(第一级到第五级)。实际上，国标中将国外的最低级D级和最高级A1级取消，余下的分为五级。TCSEC中的B1级与GB17859的第三级对应。 ● 第一级：用户自主保护级； ● 第二级：系统审计保护级； ● 第三级：安全标记保护级； ● 第四级：结构化保护级； ● 第五级：访问验证保护级。 7.2 访