访问控制和系统审计.ppt

Henric Johnson 第9章 访问控制和系统审计 9.1 计算机安全等级的划分 James P. Anderson在1972年提出的参考监视器(The Reference Monitor)的概念是经典安全模型(如图9-1所示)的最初雏形。 在这里，参考监视器是个抽象的概念，可以说是安全机制的代名词。 9.1 计算机安全等级的划分 经典安全模型包含如下基本要素： (1) 明确定义的主体和客体； (2) 描述主体如何访问客体的一个授权数据库； (3) 约束主体对客体访问尝试的参考监视器； (4) 识别和验证主体和客体的可信子系统； (5) 审计参考监视器活动的审计子系统。 安全机制有身份认证、访问控制和审计 9.1 计算机安全等级的划分 1985年，美国国防部发表了《可信计算机评估准则》(缩写为TCSEC)[6]，它依据处理的信息等级采取的相应对策，划分了四类七个安全等级。依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。 9.1 计算机安全等级的划分 D级——最低安全保护(Minimal Protection)。没有任何安全性防护，如DOS和Windows 95/98等操作系统 C1级——自主安全保护(Discretionary Security Protection)。这一级的系统必须对所有的用户进行分组；每个用户必须注册后才能使用；系统必须记录每个用户的注册活动；系统对可能破坏自身的操作将发出警告。 9.1 计算机安全等级的划分 C2级——可控访问保护(Controled Access Protection)。在C1级基础上，增加了以下要求：所有的客体都只有一个主体；对于每个试图访问客体的操作，都必须检验权限；有且仅有主体和主体指定的用户可以更改权限；管理员可以取得客体的所有权；系统必须保证自身不能被管理员以外的用户改变；系统必须有能力对所有的操作进行记录，并且只有管理员和由管理员指定的用户可以访问该记录。SCO UNIX 和 Windows NT 属于C2级。 9.1 计算机安全等级的划分 B1级——标识的安全保护(Labeled Security Protection)。在C2的基础上，增加以下几条要求：不同组的成员不能访问对方创建的客体，但管理员许可的除外；管理员不能取得客体的所有权。Windows NT的定制版本可以达到B1级。 ?B2级——结构化保护(Structured Protection)。在B1的基础上，增加以下几条要求：所有的用户都被授予一个安全等级；安全等级较低的用户不能访问高等级用户创建的客体。银行的金融系统通常达到B2级。 9.1 计算机安全等级的划分 B3级——安全域保护(Security Domain)。在B2的基础上，增加以下要求：系统有自己的执行域，不受外界干扰或篡改。系统进程运行在不同的地址空间从而实现隔离。 ?A1级——可验证设计(Verified Design)。在B3的基础上，增加以下要求：系统的整体安全策略一经建立便不能修改。 9.1 计算机安全等级的划分 1999年9月13日，我国颁布了《计算机信息系统安全保护等级划分准则》(GB17859–1999)，定义了计算机信息系统安全保护能力的五个等级 第一级：用户自主保护级； 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 9.2 访 问 控 制 9.2.1 基本概念 访问控制(Access Control)是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 在访问控制中，主体是指必须被控制对客体的访问的活动资源，它是访问的发起者，通常为进程、程序或用户。 客体则是指对其访问必须进行控制的资源，客体一般包括各种资源，如文件、设备、信号量等。 保护规则，它定义了主体与客体之间可能的相互作用途径。 9.2 访 问 控 制 9.2.1 基本概念 保护域 每一主体(进程)都在一特定的保护域下工作，保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。可对客体操作的能力称为访问权(Access Right)，访问权定义为有序对的形式。 一个域是访问权的集合。 9.2 访 问 控 制 9.2.1 基本概念 访问控制 自主访问控制 强制访问控制 基于角色的访问控制 9.2 访 问 控 制 9.2.1 基本概念 访问控制 自主访问控制 根据访问者的身份和授权来决定访问模式的 强制访问控制 将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式。“强制”主要体现在系统强制主体服从访问控制策略上。 基于角色的访问控制 授权