访问控制与审计技术概述.pptVIP

然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后，用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。 当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户/进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。 第 6-1讲 访问控制技术与Windows访问控制 第三十一页，共六十页。 在这个过程中应该注意SID对应账号的整个有效期，而访问令牌只对应某一次账号登录。 Windows系统中共享对象的访问权限是由对象所有者决定。如果用户想共享某个对象，他首先要为对象选择唯一的名字，然后为其他的用户和组分配访问权限。然后，系统会以此为共享对象创建安全描述符。一个没有访问控制表的对象可以被任何用户以任何方式访问。共享资源的访问权限共有4种，即完全控制、拒绝访问、读和更改。 第 6-1讲 访问控制技术与Windows访问控制 第三十二页，共六十页。 第三十三页，共六十页。 第 6 讲 访问控制与审计技术 6.1 访问控制技术与Windows访问控制 6.2 审计追踪技术与Windows安全审计功能 第三十四页，共六十页。 第 6-2 讲 审计追踪技术与Windows安全审计功能 审计是对信息系统访问控制的必要补充，它会对用户使用何种信息资源、使用的时间，以及如何使用 (执行何种操作) 进行记录与监控。审计和监控是实现系统安全的最后一道防线，它能够再现原有的进程和问题，这对于责任追查和数据恢复是非常必要的。 第三十五页，共六十页。 审计跟踪是系统活动的流水记录。该记录按事件自始至终顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控制职能的实现。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第三十六页，共六十页。 审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能提供对数据恢复的帮助。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第三十七页，共六十页。 1. 审计内容 审计跟踪可以实现多种安全相关目标，包括 个人职能 事件重建 入侵检测 故障分析 第 6-2 讲 审计追踪技术与Windows安全审计功能 第三十八页，共六十页。 1) 个人职能。 审计跟踪是管理人员用来维护个人职能的技术手段。一般来说，如果用户知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。 例如，审计跟踪可以保存改动前和改动后的记录，以确定是哪个操作者在什么时候做了哪些实际的改动，这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第三十九页，共六十页。 允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计跟踪就能发挥作用：审计跟踪可以用于检测他们的活动。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第四十页，共六十页。 2) 事件重建。 发生故障后，审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件；同时，还有可能避免下次发生此类故障的情况。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第四十一页，共六十页。 3) 入侵检测。 审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵活动。实时入侵检测可以及时发现非法授权者对系统的非法访问，也可以探测到病毒扩散和网络攻击。 4) 故障分析。 审计跟踪可以用于实时监控。 第 6-2 讲 审计追踪技术与Windows安全审计功能 第四十二页，共六十页。 信息安全技术 第一页，共六十页。 第 6 讲 访问控制与审计技术 6.1 访问控制技术与Windows访问控制 访问控制的基本概念 Windows XP的访问控制 6.2 审计追踪技术与Windows安全审计功能 第二页，共六十页。 第 6-1讲 访问控制技术与Windows访问控制 1. 访问控制的基本概念 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安