1、Henric Johnson1第9章 訪問控制和系統審計Henric Johnson29.1 計算機安全等級的劃分 James P. Anderson在1972年提出的參考監視器(The Reference Monitor)的概念是經典安全模型(如圖9-1所示)的最初雛形。 在這里，參考監視器是個抽象的概念，可以說是安全機制的代名詞。Henric Johnson3參考監視器主體訪問請求客體允許的訪問I&A子系統審計子系統授權數據庫圖9-1 經典安全模型 身份識別與驗證子系統Henric Johnson49.1 計算機安全等級的劃分 經典安全模型包含如下基本要素： (1) 明確定義的主體

2、和客體； (2) 描述主體如何訪問客體的一個授權數據庫； (3) 約束主體對客體訪問嘗試的參考監視器； (4) 識別和驗證主體和客體的可信子系統； (5) 審計參考監視器活動的審計子系統。 安全機制有身份認證、訪問控制和審計Henric Johnson5安全管理員安全策略參考監視器主體/角色認證授權客體審計圖9-2 安全機制Henric Johnson69.1 計算機安全等級的劃分 1985年，美國國防部發表了可信計算機評估準則(縮寫為TCSEC)6，它依據處理的信息等級采取的相應對策，劃分了四類七個安全等級。依照各類、級的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級。He

3、nric Johnson79.1 計算機安全等級的劃分 D級最低安全保護(Minimal Protection)。沒有任何安全性防護，如DOS和Windows 95/98等操作系統 C1級自主安全保護(Discretionary Security Protection)。這一級的系統必須對所有的用戶進行分組；每個用戶必須注冊后才能使用；系統必須記錄每個用戶的注冊活動；系統對可能破壞自身的操作將發出警告。Henric Johnson89.1 計算機安全等級的劃分 C2級可控訪問保護(Controled Access Protection)。在C1級基礎上，增加了以下要求：所有的客體都只有一個主體

4、；對于每個試圖訪問客體的操作，都必須檢驗權限；有且僅有主體和主體指定的用戶可以更改權限；管理員可以取得客體的所有權；系統必須保證自身不能被管理員以外的用戶改變；系統必須有能力對所有的操作進行記錄，并且只有管理員和由管理員指定的用戶可以訪問該記錄。SCO UNIX 和 Windows NT 屬于C2級。Henric Johnson99.1 計算機安全等級的劃分 B1級標識的安全保護(Labeled Security Protection)。在C2的基礎上，增加以下幾條要求：不同組的成員不能訪問對方創建的客體，但管理員許可的除外；管理員不能取得客體的所有權。Windows NT的定制版本可以達到B

5、1級。 B2級結構化保護(Structured Protection)。在B1的基礎上，增加以下幾條要求：所有的用戶都被授予一個安全等級；安全等級較低的用戶不能訪問高等級用戶創建的客體。銀行的金融系統通常達到B2級。Henric Johnson109.1 計算機安全等級的劃分 B3級安全域保護(Security Domain)。在B2的基礎上，增加以下要求：系統有自己的執行域，不受外界干擾或篡改。系統進程運行在不同的地址空間從而實現隔離。 A1級可驗證設計(Verified Design)。在B3的基礎上，增加以下要求：系統的整體安全策略一經建立便不能修改。Henric Johnson119.

6、1 計算機安全等級的劃分 1999年9月13日，我國頒布了計算機信息系統安全保護等級劃分準則(GB178591999)，定義了計算機信息系統安全保護能力的五個等級 第一級：用戶自主保護級； 第二級：系統審計保護級； 第三級：安全標記保護級； 第四級：結構化保護級； 第五級：訪問驗證保護級。Henric Johnson129.2 訪 問 控 制 9.2.1 基本概念 訪問控制(Access Control)是指對主體訪問客體的權限或能力的限制，以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。 在訪問控制中，主體是指必須被控制對客體的訪問的活動資源，它是訪問

7、的發起者，通常為進程、程序或用戶。 客體則是指對其訪問必須進行控制的資源，客體一般包括各種資源，如文件、設備、信號量等。 保護規則，它定義了主體與客體之間可能的相互作用途徑。Henric Johnson139.2 訪 問 控 制 9.2.1 基本概念 保護域 每一主體(進程)都在一特定的保護域下工作，保護域規定了進程可以訪問的資源。每一域定義了一組客體及可以對客體采取的操作?？蓪腕w操作的能力稱為訪問權(Access Right)，訪問權定義為有序對的形式。 一個域是訪問權的集合。Henric Johnson14保護域 X保護域 Y圖9-3 有重疊的保護域Henric Johnson159.2

8、 訪 問 控 制 9.2.1 基本概念 訪問控制 自主訪問控制 強制訪問控制 基于角色的訪問控制Henric Johnson169.2 訪 問 控 制 9.2.1 基本概念 訪問控制 自主訪問控制 根據訪問者的身份和授權來決定訪問模式的 強制訪問控制 將主體和客體分級，然后根據主體和客體的級別標記來決定訪問模式?！皬娭啤敝饕w現在系統強制主體服從訪問控制策略上。 基于角色的訪問控制 授權給用戶的訪問權限通常由用戶在一個組織中擔當的角色來確定。它根據用戶在組織內所處的角色作出訪問授權和控制，但用戶不能自主地將訪問權限傳給他人。Henric Johnson179.2 訪 問 控 制 9.2.2 自

9、主訪問控制 自主，是指具有授與某種訪問權力的主體(用戶)能夠自己決定是否將訪問權限授予其它的主體。 安全操作系統需要具備的特征之一就是自主訪問控制，它基于對主體及主體所屬的主體組的識別來限制對客體的存取。在大多數的操作系統中，自主訪問控制的客體不僅僅是文件，還包括郵箱、通信信道、終端設備等。Henric Johnson189.2 訪 問 控 制 9.2.2 自主訪問控制 存取模式主要有：讀(read)，即允許主體對客體進行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴展、壓縮及刪除等；執行(execute)，就是允許將客體作為一種可執行文件運行.Henric Johnson

10、199.2 訪 問 控 制 9.2.2 自主訪問控制 在許多操作系統當中，對文件或者目錄的訪問控制是通過把各種用戶分成三類來實施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)。 每個文件或者目錄都同幾個稱為文件許可(File Permissions)的控制比特位相關聯。各個文件許可位的含義通常如圖9-4所示。Henric Johnson20r讀wx寫執行r讀wx寫執行r讀wx寫執行屬主組內其它圖9-4 self/group/public訪問控制Henric Johnson219.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 1) 目錄表(Director

11、y List) 在目錄表訪問控制方法中借用了系統對文件的目錄管理機制，為每一個欲實施訪問操作的主體，建立一個能被其訪問的“客體目錄表(文件目錄表)”。例如某個主體的客體目錄表可能為客體1:權限客體2:權限客體i:權限客體j:權限客體n:權限Henric Johnson229.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 1) 目錄表(Directory List) 目錄表訪問控制機制的優點是容易實現，每個主體擁有一張客體目錄表，這樣主體能訪問的客體及權限就一目了然了，依據該表對主體和客體的訪問與被訪問進行監督比較簡便。 缺點之一是系統開銷、浪費較大，這是由于每個用戶都有一張目錄表，如

12、果某個客體允許所有用戶訪問，則將給每個用戶逐一填寫文件目錄表，因此會造成系統額外開銷；二是由于這種機制允許客體屬主用戶對訪問權限實施傳遞并可多次進行，造成同一文件可能有多個屬主的情形，各屬主每次傳遞的訪問權限也難以相同，甚至可能會把客體改用別名，因此使得能越權訪問的用戶大量存在，在管理上繁亂易錯。Henric Johnson239.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 2) 訪問控制列表(Access Control List) 從客體角度進行設置的、面向客體的訪問控制。每個客體有一個訪問控制列表，用來說明有權訪問該客體的所有主體及其訪問權限。Henric Johnson24

13、Jane可以讀文件可以寫文件PAYROLL文件訪問控制列表:jane可以讀和寫john可以讀不能讀文件不能寫文件Sam可以讀文件不能寫文件John圖9-5 訪問控制列表的DACHenric Johnson259.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 2) 訪問控制列表(Access Control List) 優點就是能較好地解決多個主體訪問一個客體的問題，不會像目錄表訪問控制那樣因授權繁亂而出現越權訪問。 缺點是由于訪問控制列表需占用存儲空間，并且由于各個客體的長度不同而出現存放空間碎片，造成浪費；每個客體被訪問時都需要對訪問控制列表從頭到尾掃描一遍，影響系統運行速度和浪費

14、了存儲空間。Henric Johnson269.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 3) 訪問控制矩陣(Access Control Matrix) 訪問控制矩陣是對上述兩種方法的綜合。存取控制矩陣模型是用狀態和狀態轉換進行定義的，系統和狀態用矩陣表示，狀態的轉換則用命令來進行描述。直觀地看，訪問控制矩陣是一張表格，每行代表一個用戶(即主體)，每列代表一個存取目標(即客體)，表中縱橫對應的項是該用戶對該存取客體的訪問權集合(權集)。圖9-6是訪問控制矩陣原理的簡單示意圖。 Henric Johnson27目標3讀寫目標1讀執行目標2讀寫用戶1用戶2用戶3目標主體圖9-6 訪

15、問控制矩陣原理示意圖Henric Johnson289.2 訪 問 控 制 9.2.2 自主訪問控制 具體實施 4) 能力表(Capability List) 能力表是訪問控制矩陣的另一種表示方式。在訪問控制矩陣表中可以看到，矩陣中存在一些空項(空集)，這意味著有的用戶對一些客體不具有任何訪問或存取的權力，顯然保存這些空集沒有意義。能力表的方法是對存取矩陣的改進，（錯誤），（錯誤）它將矩陣的每一列作為一個客體而形成一個存取表。每個存取表只由主體、權集組成，無空集出現。為了實現完善的自主訪問控制系統，由訪問控制矩陣提供的信息必須以某種形式保存在系統中，這種形式就是用訪問控制表和能力表來實施的。H

16、enric Johnson299.2 訪 問 控 制 9.2.2 自主訪問控制 在自主訪問控制中，具有某種訪問權的主體能夠自行決定將其訪問權直接或間接地轉交給其它主體。自主訪問控制允許系統的用戶對于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問。在基于DAC的系統中，主體的擁有者負責設置訪問權限。也就是說，主體擁有者對訪問的控制有一定權利。但正是這種權利使得信息在移動過程中，其訪問權限關系會被改變。如用戶A可以將其對客體目標O的訪問權限傳遞給用戶B，從而使不具備對O訪問權限的B也可以訪問O，這樣做很容易產生安全漏洞，所以自主訪問控制的安全級別很低。Henric Johnson309.

17、2 訪 問 控 制 9.2.3 強制訪問控制 強制訪問控制(Mandatory Access Control，MAC)是根據客體中信息的敏感標簽和訪問敏感信息的主體的訪問等級，對客體的訪問實行限制的一種方法。 主要用于保護那些處理特別敏感數據(例如，政府保密信息或企業敏感數據)的系統。在強制訪問控制中，用戶的權限和客體的安全屬性都是固定的，由系統決定一個用戶對某個客體能否進行訪問。所謂“強制”，就是安全屬性由系統管理員人為設置，或由操作系統自動地按照嚴格的安全策略與規則進行設置，用戶和他們的進程不能修改這些屬性。Henric Johnson319.2 訪 問 控 制 9.2.3 強制訪問控制

18、所謂“強制訪問控制”，是指訪問發生前，系統通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。 強制訪問控制的實質是對系統當中所有的客體和所有的主體分配敏感標簽(Sensitivity Label)。用戶的敏感標簽指定了該用戶的敏感等級或者信任等級，也被稱為安全許可(Clearance)；而文件的敏感標簽則說明了要訪問該文件的用戶所必須具備的信任等級。Henric Johnson329.2 訪 問 控 制 9.2.3 強制訪問控制 只要系統支持強制訪問控制，那么系統中的每個客體和主體都有一個敏感標簽同它相關聯。敏感標簽由兩個部分組成：類別(Classification)和類

19、集合(Compartments)(有時也稱為隔離間)。例如:SECRET VENUS, TANK, ALPHAClassification CategoriesHenric Johnson33敏感標簽：SECRETVENUS ALPHAJaneSECRETALPHA不能讀文件可以寫文件TOP SECRETVENUS TANK ALPHA可以讀文件不能寫文件JohnLOGISTIC文件圖9-7 強制訪問控制Henric Johnson349.2 訪 問 控 制 9.2.3 強制訪問控制 特點： 強制性 限制性Henric Johnson359.2 訪 問 控 制 9.2.4 基于角色的訪問控制

20、核心思想： 授權給用戶的訪問權限通常由用戶在一個組織中擔當的角色來確定，如圖9-8所示。在RBAC中，引入了“角色”這一重要的概念，所謂“角色”，是指一個或一群用戶在組織內可執行的操作的集合。這里的角色就充當著主體(用戶)和客體之間的關系的橋梁。這是與傳統的訪問控制策略的最大區別所在。Henric Johnson36主體角色客體圖9-8 基于角色的訪問控制Henric Johnson379.2 訪 問 控 制 9.2.4 基于角色的訪問控制 五個特點： 1) 以角色作為訪問控制的主體 2) 角色繼承Henric Johnson38角色3角色4角色2角色1包含包含包含圖9-9 角色繼承Henri

21、c Johnson399.2 訪 問 控 制 9.2.4 基于角色的訪問控制 五個特點： 3) 最小特權原則(Least Privilege Theorem) 最小特權原則是指用戶所擁有的權利不能超過他執行工作時所需的權限。 最小特權原則一方面給予主體“必不可少”的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，這就限制了每個主體所能進行的操作。 4) 職責分離(主體與角色的分離) 對于某些特定的操作集，某一個角色或用戶不可能同時獨立地完成所有這些操作?！奥氊煼蛛x”可以有靜態和動態兩種實現方式。 靜態職責分離：只有當一個角色

22、與用戶所屬的其它角色彼此不互斥時，這個角色才能授權給該用戶。 動態職責分離：只有當一個角色與一主體的任何一個當前活躍角色都不互斥時，該角色才能成為該主體的另一個活躍角色。Henric Johnson409.2 訪 問 控 制 9.2.4 基于角色的訪問控制 五個特點： 5) 角色容量 在一個特定的時間段內，有一些角色只能由一定人數的用戶占用。 優點 便于授權管理、便于根據工作需要分級、便于賦于最小特權、便于任務分擔、便于文件分級管理、便于大規模實現。Henric Johnson419.3 系 統 審 計 可信系統定義為：“能夠提供足夠的硬件和軟件，以確保系統同時處理一定范圍內的敏感或分級信息”

23、。因此，可信系統主要是為軍事和情報組織在同一計算機系統中存放不同敏感級別(通常對應于相應的分級)信息而提出的。 審計機制被納入可信計算機系統評估準則(“橙皮書”)中，作為對C2及C2以上級系統的要求的一部分。Henric Johnson429.3 系 統 審 計 9.3.1 審計及審計跟蹤 審計(Audit)是指產生、記錄并檢查按時間順序排列的系統事件記錄的過程。 是計算機系統安全機制的一個不可或缺的部分，對于C2及其以上安全級別的計算機系統來講，審計功能是其必備的安全機制。 審計是其它安全機制的有力補充，它貫穿計算機安全機制實現的整個過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是后來人們研究的入侵檢測系統的前提。Henric Johnson439.3 系 統 審 計 9.3.1 審計及審計跟蹤 計算機系統的審計機制的安全目標 審查基于每個目標或每個用戶的訪問模式，并使用系統的保護機制。 發現試圖繞過保護機制的外部人員和內部人員。 發現用戶從低等級到高等級的訪問權限轉移。 制止用戶企圖繞過系統保護機制的嘗試。 作為另一種機制確保記錄并發現用戶企圖繞過保護的嘗試，為損失控制提供足夠的信息。Henric Johnson449.3 系 統 審 計 9.3.2 安全審計 安全審計跟蹤機制的價值在于：經過事后的安全審計可以檢測