访问控制与审计监控贵州亨达集团信息安全技术有限公司课程内容2访问控制与审计监控知识体知识域访问控制模型访问控制技术审计和监控技术知识子域标识和鉴别技术典型访问控制方法和实现强制访问控制模型访问控制模型基本概念自主访问控制模型信息安全审计安全监控知识域:访问控制模型知识子域:访问控制基本概念理解标识、鉴别和授权等访问控制的基本概念理解各种安全模型的分类和关系3访问控制的概念和目标访问控制:针对越权使用资源的防御措施目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。资源不是无限开放的,在一定约束条件下使用网络及信息具有价值,难免会受到各种意外的或者蓄意的未授权的使用和破坏必须授权才可以访问4Window7中的自主访问控制5访问控制的作用未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用:机密性、完整性和可用性6术语:主体与客体主体发起者,是一个主动的实体,可以操作被动实体的相关信息或数据用户、程序、进程等客体一种被动实体,被操作的对象,规定需要保护的资源文件、存储介质、程序、进程等7主体与客体之间的关系主体:接收客体相关信息和数据,也可能改变客体相关信息一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们客体:始终是提供、驻留信息或数据的实体主体和客体的关系是相对的,角色可以互换8授权规定主体可以对客体执行的操作:读写执行拒绝访问…910标识标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定标识的主要作用:访问控制和审计访问控制:标识用于控制是否允许特定的操作审计:标识用于跟踪所有操作的参与者,参与者的任何操作都能被明确地标识出来11主体标识的实例主体的标识在UNIX中,主体(用户)的身份标识为0-65535之间的一个整数,称为用户身份号(UID)用户登录时的UID可以改变,有效UID是用于访问控制的用户身份•UID=22permitread•If登录uid=22and有效uid=35,thenread?•If登录uid=35and有效uid=22,thenread?常见的主体标识还包括用户名、卡、令牌等,也可以是指纹、虹膜等生物特征12客体标识的实例客体的标识文件名UNIX中提供不同的文件标识:•绝对路径文件名•相对路径文件名13鉴别确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求:某一成员(声称者)提交一个主体的身份并声称它是那个主体目的:使别的成员(验证者)获得对声称者所声称的事实的信任14访问控制的两个重要过程第一步:鉴别检验主体的合法身份第二步:授权限制用户对资源的访问权限15访问控制模型主体客体访问控制实施访问控制决策提交访问请求请求决策决策提出访问请求16什么是访问控制模型对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。组成访问控制模型的分类访问控制模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(CapacityList)Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型保密性模型完整性模型基于角色访问控制模型(RBAC)混合策略模型17知识域:访问控制模型知识子域:自主访问控制模型理解自主访问控制的含义了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)18自主访问控制的含义允许客体的属主(创建者)决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高19访问许可访问许可:描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力20访问许可的类型有主型(Owner)每个客体设置一个拥有者(一般是客体的生成者),拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权等级型(Hierarchical)自由型(Laissez-faire)21自主访问控制的实现机制和方法实现机制访问控制表/矩阵实现方法访问控制表(AccessControlLists)访问能力表(CapacityList)22访问控制矩阵行:主体(用户)列:客体(文件)矩阵元素:规定了相应用户对应于相应的文件被准予的访问许可、实施行为客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W23访问控制表访问控制矩阵按列:访问控制表访问控制表:每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW24权能表访问控制矩阵按行:访问能力表访问能力表:每个主体可访问的客体及权限主体b客体x客体yRRWOwn25访问控制表与访问能力表的比较ACLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统26自主访问控制的特点优点:根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高,被大量采用缺点:安全性较弱信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标C的访问权限传递给用户B,从而使不具备对C访问权限的B可访问C。27知识域:访问控制模型知识子域:强制访问控制模型理解强制访问控制的分类和含义掌握典型强制访问控制模型:Bell-Lapudula模型、Biba模型、ChineseWall模型和Clark-Wilson模型28强制访问控制的含义主体对客体的所有访问请求按照强制访问控制策略进行控制,客体的属主无权控制客体的访问权限,以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用29常见强制访问控制模型BLP模型1973年提出的多级安全模型,影响了许多其他模型的发展,甚至很大程度上影响了计算机安全技术的发展Biba模型1977年,Biba提出的一种在数学上与BLP模型对偶的完整性保护模型Clark-Wilson模型1987年,DavidClark和DavidWilson开发的以事物处理为基本操作的完整性模型,该模型应用于多种商业系统ChineseWall模型1989年,D.Brewer和M.Nash提出的同等考虑保密性与完整性的安全策略模型,主要用于解决商业中的利益冲突30BLP模型的组成主体集:S客体集:O安全级:密级和范畴密级:绝密、机密、秘密、公开范畴:NUC、EUR、US偏序关系:支配≥安全级L=(C,S)高于安全级L’=(C’,S’),当且仅当满足以下关系:C≥C’,SS’31BLP模型规则(一)简单安全特性:S可以读O,当且仅当S的安全级可以支配O的安全级向下读*—特性:S可以写O,当且仅当O的安全级可以支配S的安全级向上写32BLP模型规则(二)当一个高等级的主体必须与另一个低等级的主体通信,即高等级的主体写信息到低等级的客体,以便低等级的主体可以读主体有一个最高安全等级和一个当前安全等级,最高安全等级必须支配当前等级主体可以从最高安全等级降低下来,以便与低安全等级的实体通信33BLP模型实例34Biba模型的组成主体集:S客体集:O完整级:完整级和范畴完整等级:Crucial,VeryImportant,Important范畴:NUC、EUR、US偏序关系:支配≥安全级L=(C,S)高于安全级L’=(C’,S’),当且仅当满足以下关系:C≥C’,SS’35Biba模型规则与实例S可以读O,当且仅当O的安全级支配S的安全级S可以写O,当且仅当S的安全级支配O的安全级36Clark-Wilson模型的目标解决商业系统最关心的问题:系统数据的完整性以及对这些操作的完整性一致性状态:数据满足给定属性,就称数据处于一个一致性状态实例:今天到目前为止存入金额的总数:D今天到目前为止提取金额的总数:W昨天为止所有账户的金额总数:YB今天到目前为止所有账户的金额总数:TB一致性属性:D+YB-W=TB37ChineseWall模型的组成(一)主体集:S客体集:O无害客体:可以公开的数据有害客体:会产生利益冲突,需要限制的数据PR(S)表示S曾经读取过的客体集合最早来源主要是指金融投资银行业需要将投资决策人和了解非公开的能够影响投资决策的信息的人隔开,类似于避免内幕交易。38ChineseWall模型的组成(二)公司数据集CD:与某家公司相关的若干客体利益冲突COI:若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x39ChineseWall模型实例40自主访问控制与强制访问控制的比较自主访问控制细粒度灵活性高配置效率低强制访问控制控制粒度大灵活性不高安全性强41基于角色的访问控制由Ferraiolo等人在90年代提出美国国家标准与技术研究院NIST成立专门机构进行研究1996年提出一个较完善的基于角色的访问控制参考模型RBAC9642RBAC模型的基本思想RBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。一个用户必须扮演某种角色,而且还必须激活这一角色,才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活43RBAC96的组成RBAC0:含有RBAC核心部分RBAC1:包含RBAC0,另含角色继承关系(RH)RBAC2:包含RBAC0,另含限制(Constraints)RBAC3:包含所有层次内容,是一个完整模型44RBAC模型的组成(一)用户(User):访问计算机资源的主体,用户集合为U角色(role):一种岗位,代表一种资格、权利和责任,角色集合为R权限(permission):对客体的操作权力,权限集合为P用户分配(UserAssignment)将用户与角色关联。用户u与角色r关联后,将拥有r的权限45RBAC模型的组成(二)权限分配(PermissionAssignment)将角色与权限关联权限p与角色r关联后,角色r将拥有权限p激活角色(ActiveRole)角色只有激活才能起作用,否则不起作用通过会话激活角色会话(Session)用户要访问系统资源时,必须先建立一个会话一次会话仅对应一个用户,一次会话可激活几个角色46RBAC模型的基本机制权限角色指派角色层次用户角色指派限制会话用户角色权限47RBAC模型实例48RBAC模型的特点便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,增强了安全性便于处理工作分级,如文件等资源分级管理利用安全约束,容易实现各种安全策略,如最小特权、职责分离等便于任务分担,不同角色完成不同的任务49知识域:访问控制技术知识子域:标识和鉴别技术理解账号和口令管理的基本原则了解生物识别技术及其实现(虹膜、指纹、掌纹等)了解其他鉴别技术(令牌、票据等)了解单点登录技术(SSO)及其实现(Kerberos等)50标识和鉴别的作用作为访问控制的一种必要支持,访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持作为数据源认证的一种方法与数据完整性机制结合起来使用作为审计追踪的支持在审计追踪记录时,提供与某一活动关联的确知身份51鉴别的分类本地鉴别和远程鉴别本地鉴别:实体在本地环境的初始化鉴别远程鉴别:连接远程设备