1、计计 算算 机机 网网 络络 安安 全全 技技 术术第第5章章 访问控制技术访问控制技术计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标访问控制的三个要素、7种策略、内容、模型访问控制的安全策略与安全级别安全审计的类型、与实施有关的问题日志的审计Windows NT操作系统中的访问控制与安全审计 计计 算算 机机 网网 络络 安安 全全 技技 术术5.1 访问控制概述访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制,从而确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的
2、操作。访问控制是计算机网络系统安全防范和保护的重要手段,是保证网络安全最重要的核心策略之一,也是计算机网络安全理论基础重要组成部分。计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.1 访问控制的定义访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即主体、客体和控制策略。主体主体S(Subject)是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以是某个用户,也可以是用户启动的进程、服务和设备。客体客体O(Object)是接受其他实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可
3、以认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。计计 算算 机机 网网 络络 安安 全全 技技 术术控制策略 控制策略控制策略A(Attribution)是主体对客体的访问规则集,即属性集合。访问策略实际上体现了一种授权行为,也就是客体对主体的权限允许。访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机网络系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。为达到上述目的,访问控制需要完成以下两个任务:识别和确认访问系统的用户。决定该用户可以对某一系统资源
4、进行何种类型的访问计计 算算 机机 网网 络络 安安 全全 技技 术术7种访问控制策略入网访问控制。网络的权限控制。目录级安全控制。属性安全控制。网络服务器安全控制。网络监测和锁定控制。网络端口和节点的安全控制。计计 算算 机机 网网 络络 安安 全全 技技 术术入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。用户口令应是每用户访问网络所必须提交的“证件
5、”、用户可以修改自己的口令,用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。计计 算算 机机 网网 络络 安安 全全 技技 术术权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些
6、文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。计计 算算 机机 网网 络络 安安 全全 技技 术术目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有
7、效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。计计 算算 机机 网网 络络 安安 全全 技技 术术属性安全控制 当用文件、目录和网络设备时,网络系统管
8、理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。计计 算算 机机 网网 络络 安安 全全 技技 术术服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器
9、控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。计计 算算 机机 网网 络络 安安 全全 技技 术术网络监测和锁定控制网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。(守护神:在管理者与被管理者之间建立监控关系 全屏幕及多画面实时在线跟踪 类似监控录象机制的增量图象过程监控,能够将全部被监控端的活动记录用录象的形
10、式保存下来,以便管理者进行分析查找。输入设备的锁定控制,管理者可以通过对键盘、鼠标等计算机输入设备的锁定来限制被监控端的活动 远程文件管理 管理者能够通过NUMEN系统对任何计算机上的任何文件进行操作 发送/广播消息 管理者能够通过NUMEN向全部或部分计算机发送消息信息 管理数据分析体系通过NUMEN的管理数据分析体系,可以将所有被监控端的计算机活动进行数字量化,从而可以掌握一个时间段内的被监控段的活动状态!)计计 算算 机机 网网 络络 安安 全全 技技 术术网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备
11、用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.2 访问控制矩阵访问控制系统三个要素之间的行为关系可以用一个访问控制矩阵来表示。对于任意一个siS,ojO,都存在相应的一个aijA,且aij=P(si,oj),其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下:其中,Si(i=0,1,m
12、)是主体对所有客体的权限集合,Oj(j=0,1,n)是客体对所有主体的访问权限集合计计 算算 机机 网网 络络 安安 全全 技技 术术5.1.3 访问控制的内容访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三个方面的内容。认证:认证:包括主体对客体的识别认证和客体对主体检验认证。控制策略的具体实现:控制策略的具体实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。安全审计:安
13、全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2 访问控制模型自主访问控制模型 强制访问控制模型 基于角色的访问控制模型 其他访问控制模型基于任务的访问控制模型基于对象的访问控制模型 计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.1 自主访问控制模型自主访问控制模型(Discretionary Access Control Model,DAC Model
14、)是根据自主访问控制策略建立的一种模型,它基于对主体或主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。自主访问控制又称为任意访问控制,一个主体的访问权限具有传递性。为了实现完整的自主访问系统,DAC模型一般采用访问控制表来表达访问控制信息。访问控制表(Access Control List,ACL)是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表,来表示各个主体对这个客体的访问权限。明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的客体oj附加的访问控制表的结构如图所
15、示。计计 算算 机机 网网 络络 安安 全全 技技 术术Ojs0rs1ws2esxrwe对于客体oj,主体s0只有读(r)的权限;主体s1只有写(w)的权限;主体s2只有执行(e)的权限;主体sx具有读(r)、写(w)和执行(e)的权限。但是,在一个很大的系统中,可能会有非常多的主体和客体,这就导致访问控制表非常长,占用很多的存储空间,而且访问时效率下降。使用组(group)或者通配符可以有效地缩短表的长度。用户可以根据部门结构或者工作性质被分为有限的几类。同一类用户使用的资源基本上是相同的。因此,可以把一类用户作为一个组,分配一个组名,简称“GN”,访问时可以按照组名判断。通配符“*”可以代
16、替任何组名或者主体标识符。这时,访问控制表中的主体标识为:主体标识=IDGN。其中,ID是主体标识符,GN是主体所在组的组名。计计 算算 机机 网网 络络 安安 全全 技技 术术带有组和通配符的访问控制表示例 上图的第二列表示,属于TEACH组的所有主体都对客体oj具有读和写的权限;但是只有TEACH组中的主体Cai才额外具有执行的权限(第一列);无论是哪一组中的Li都可以读客体oj(第三列);最后一个表项(第四列)说明所有其他的主体,无论属于哪个组,都不具备对oj有任何访问权限。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.2 强制访问控制模型自主访问控制的最大特点是自主,即资
17、源的拥有者对资源的访问策略具有决策权,因此是一种限制比较弱的访问控制策略。这种方式给用户带来灵活性的同时,也带来了安全隐患。和DAC模型不同的是,强制访问控制模型(Mandatory Access Control Model,MAC Model)是一种多级访问控制策略,它的主要特点是系统对主体和客体实行强制访问控制:系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。计计 算算 机机 网网 络络 安安 全全 技技
18、术术 在强制访问控制模型中,将安全级别进行排序,如按照从高到低排列,规定高级别可以单向访问低级别,也可以规定低级别可以单向访问高级别。这种访问可以是读,也可以是写或修改。主体对客体的访问主要有4种方式:向下读(rd,read down)。主体安全级别高于客体信息资源的安全级别时允许查阅的读操作。向上读(ru,read up)。主体安全级别低于客体信息资源的安全级别时允许的读操作。向下写(wd,write down)。主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作。向上写(wu,write up)。主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。计计 算算 机
19、机 网网 络络 安安 全全 技技 术术由于MAC通过将安全级别进行排序实现了信息的单向流通,因此它一直被军方采用。MAC模型中最主要的三种模型为:Lattice模型、Bell LaPadula模型(BLP Model)和Biba模型(Biba Model)。在这些模型中,信息的完整性和保密性是分别考虑的,因而对读、写的方向进行了反向规定。保障信息完整性策略。为了保障信息的完整性,低级别的主体可以读高级别客体的信息(不保密),但低级别的主体不能写高级别的客体(保障信息完整),因此采用的是上读/下写策略。保障信息机密性策略。与保障完整性策略相反,为了保障信息的保密性,低级别的主体不可以读高级别的信
20、息(保密),但低级别的主体可以写高级别的客体(完整性可能破坏),因此采用的是下读/上写策略。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.3 基于角色的访问控制模型在上述两种访问控制模型中,用户的权限可以变更,但必须在系统管理员的授权下才能进行。然而在具体实现时,往往不能满足实际需求。主要问题在于:同一用户在不同的场合需要以不同的权限访问系统,而变更权限必须经系统管理员授权修改,因此很不方便。当用户量大量增加时,系统管理将变得复杂、工作量急剧增加,容易出错。不容易实现系统的层次化分权管理,尤其是当同一用户在不同场合处在不同的权限层次时,系统管理很难实现。除非同一用户以多个用户名注
21、册。但是如果企业的组织结构或是系统的安全需求出于变化的过程中时,那么就需要进行大量繁琐的授权变动,系统管理员的工作将变得非常繁重,更主要的是容易发生错误造成一些意想不到的安全漏洞。计计 算算 机机 网网 络络 安安 全全 技技 术术角色的概念 在基于角色的访问控制模型中,角色(role)定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色,完成角色规定的责任,具有角色拥有的权限。一个主体可以同时担任多个角色,它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。最小权限指主体在能够完成所有必需的访问工作基础上的最小权限。计计 算
22、算 机机 网网 络络 安安 全全 技技 术术基于角色的访问控制原理 基于角色的访问控制就是通过定义角色的权限,为系统中的主体分配角色来实现访问控制的,如图所示。用户先经认证后获得一个角色,该角色被分派了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。计计 算算 机机 网网 络络 安安 全全 技技 术术5.2.4 其他访问控制模型1、基于任务的访问控制模型、基于任务的访问控制模型(Task based Access Control Model,TBAC Model)。TBAC是从应用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安
23、全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。其访问控制策略及其内部组件关系一般由系统管理员直接配置,支持最小特权原则和最小泄漏原则,在执行任务时只给用户分配所需的权限,未执行任务或任务终止后用户不再拥有所分配的权限;而且在执行任务过程中,当某一权限不再使用时,将自动收回该权限。计计 算算 机机 网网 络络 安安 全全 技技 术术2基于对象的访问控制模型基于对象的访问控制模型(Object Based Access Control Model,OBAC Model)。OBAC模型从受控对象的角度出发,将主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制表,增、删、修
24、改访问控制项易于操作;另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了主体的权限管理,减轻了由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。计计 算算 机机 网网 络络 安安 全全 技技 术术5.3 访问控制的安全策略与安全级别访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则的安全策略。这两种安全策略建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于DAC安全策略,基于规则的安全策略等同于MAC安全策略。计计 算算 机机 网网 络络 安安 全全 技技
25、 术术5.3.1 安全策略实施原则:访问控制安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开。最小特权原则。最小特权原则。是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其他除外。最小泄漏原则。最小泄漏原则。是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。多级安全策略。多级安全策略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、秘密(S)、机密(
26、C)、限制(RS)和无级别(U)5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比它高的主体才能够访问。计计 算算 机机 网网 络络 安安 全全 技技 术术基于身份的安全策略 基于身份的安全策略是过滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略,主要有两种基本的实现方法,分别为能力表和访问控制表。基于个人的策略。基于个人的策略。基于个人的策略是指以用户个人为中心建立的一种策略,由一些列表组成。这些列表针对特定的客体,限定了哪些用户可以实现何种安全策略的操作行为。基于组的策略。基
27、于组的策略。基于组的策略是基于个人的策略的扩充,指一些用户被允许使用同样的访问控制规则访问同样的客体。计计 算算 机机 网网 络络 安安 全全 技技 术术基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中,数据或资源应该标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。在实现上,由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。计计 算算 机机 网网 络络 安安 全全 技技 术术5.3.2 安全级别安全级别有两个含义,一个是主、客体系统资源的安全级别,分为有层次的安全级别和无层次的安全级别;另一个是访问控制系统实现的安
28、全级别,这和可信计算机系统评估标准的安全级别是一样的,分为D,C(C1,C2),B(B1,B2,B3)和A共4类7级,由低到高。计计 算算 机机 网网 络络 安安 全全 技技 术术5.4 安全审计计算机网络安全审计是通过一定的策略,利用记录和分析系统活动和用户活动的历史操作事件,按照顺序检查、审查和检验每个事件的环境及活动,其中系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动,如用户使用何种资源、使用的时间、执行何种操作等方面,发现系统的漏洞并改进系统的性能和安全。审计是计算机网络安全的重要组成部分。计计 算算 机机 网网 络络 安安 全全 技技 术术5
29、.4.1 安全审计概述安全审计的目标:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为,提供有效的追究责任的证据,评估损失,提供有效的灾难恢复依据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。计计 算算 机机 网网 络络 安安 全全 技技 术术安全审计的类型 有三种:系统级审计、应用级审计和用户级审计。系统级审计。系统级审计。系统级审计的内容主要包括登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括和安全无关的信
30、息,如系统操作、费用记账和网络性能。应用级审计。应用级审计。系统级审计可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计的内容包括打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。用户级审计。用户级审计。用户级审计的内容通常包括:用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。计计 算算 机机 网网 络络 安安 全全 技技 术术安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分,如图所示。
31、系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志记录器日志分析器审计分析报告日志文件审计策略和规则计计 算算 机机 网网 络络 安安 全全 技技 术术5.4.2 日志的审计日志的内容:日志系统可根据安全要求的强度选择记录下列事件的部分或全部:审计功能的启动和关闭。使用身份验证机制。将客体引入主体的地址空间。删除客体。管理员、安全员、审计员和一般操作人员的操作。其他专门定义的可审计事件。通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源及目的的位置、事件类型、事件成败等。计计 算算 机机 网网 络络 安安 全全 技技
32、 术术安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成,也可以由应用系统或其他专用记录系统完成。但是,大部分情况都可用系统调用Syslog来记录日志,也可以用SNMP记录。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成。日志素材Syslog系统调用Syslog守护程序Syslog规则集日志记录系统计计 算算 机机 网网 络络 安安 全全 技技 术术日志分析 日志分析就是在日志中寻找模式,主要内容如下:潜在侵害分析。潜在侵害分析。日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。这种规则可以是由己定义的可审
33、计事件的子集所指示的潜在安全攻击的积累或组合,或者其他规则。基于异常检测的轮廓。基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓,当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指出将要发生的威胁。简单攻击探测。简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。复杂攻击探测。复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测其发生步骤计计 算算 机机 网网 络络 安安 全全 技技 术术审计事件查阅 由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全主要
34、是查阅和存储的安全。审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过以下不同的层次保证查阅的安全:审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。有限审计查阅。审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的用户访问审计系统可选审计查阅。在有限审计查阅的基础上限制查阅的范围。计计 算算 机机 网网 络络 安安 全全 技技 术术审计事件存储审计事件的存储也有安全要求,具体有如下几种情况。受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能,防止未授权的修改和删除,并具有检测修改/删除的能力。审计数据的可用性保证。在审计存储系统遭受意外时,能防止或检
35、测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。防止审计数据丢失。在审计踪迹超过预定的门限或记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。计计 算算 机机 网网 络络 安安 全全 技技 术术5.4.3 安全审计的实施为了确保审计数据的可用性和正确性,审计数据需要受到保护,因为不正确的数据也是没用的。而且,如果不对日志数据进行及时审查,规划和实施得再好的审计也会失去价值。审计应该根据需要(经常由安全事件触发)定期审查、自动实时审查或两者兼而有之。系统管理人员和系统管理员应该根据计算机安全管理的要求确定需
36、要维护多长时间的审计数据,其中包括系统内保存的和归档保存的数据。与实施有关的问题包括:保护审计数据、审查审计数据和用于审计分析的工具。计计 算算 机机 网网 络络 安安 全全 技技 术术1保护审计数据访问在线审计日志必须受到严格限制。计算机安全管理人员和系统管理员或职能部门经理出于检查的目的可以访问,但是维护逻辑访问功能的安全管理人员没有必要访问审计日志。防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措
37、施。当牵涉到法律问题时,审计跟踪信息的完整性尤为重要(这可能需要每天打印和签署日志)。此类法律问题应该直接咨询相关法律顾问。审计跟踪信息的机密性也需要受到保护,如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效计计 算算 机机 网网 络络 安安 全全 技技 术术2审查审计数据审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其他参数组来检索审计跟踪记录并生成所需的报告,那么审计跟踪检查就会比较容易。事后检查。定期检查。实时检查。计计 算
38、算 机机 网网 络络 安安 全全 技技 术术3审计工具审计精选工具。此类工具用于从大量的数据中精选出有用的信息以协助人工检查。在安全检查前,此类工具可以剔除大量对安全影响不大的信息。这类工具通常可以剔除由特定类型事件产生的记录,如由夜间备份产生的记录将被剔除。趋势/差别探测工具。此类工具用于发现系统或用户的异常活动。可以建立较复杂的处理机制以监控系统使用趋势和探测各种异常活动。例如,如果用户通常在上午9点登录,但却有一天在凌晨4点半登录,这可能是一件值得调查的安全事件。攻击特征探测工具。此类工具用于查找攻击特征,通常一系列特定的事件表明有可能发生了非法访问尝试。一个简单的例子是反复进行失败的登
39、录尝试。计计 算算 机机 网网 络络 安安 全全 技技 术术5.5 Windows NT中的访问控制与安全审计 5.5.1 Windows NT中的访问控制 1Windows NT的安全模型Windows NT采用的是微内核(Microkernel)结构和模块化的系统设计。有的模块运行在底层的内核模式上,有的模块则运行在受内核保护的用户模式上。计计 算算 机机 网网 络络 安安 全全 技技 术术Windows NT的安全模型由4部分构成 登录过程(Logon Process,LP):接受本地用户或者远程用户的登录请求,处理用户信息,为用户做一些初始化工作。本地安全授权机构(Local Secu
40、rity Authority,LSA):根据安全账号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志。这是整个安全子系统的核心。安全账号管理器(Security Account Manager,SAM):维护账号的安全性管理的数据库。安全引用监视器(Security Reference Monitor,SRM):检查存取合法性,防止非法存取和修改。这4部分在访问控制的不同阶段发挥各自不同的作用。计计 算算 机机 网网 络络 安安 全全 技技 术术2Windows NT的访问控制过程(1)创建账号。当一个账号被创建时,Windows NT系统为它分配一个安全标识(SID)。安全标识
41、和账号惟一对应,在账号创建时创建,账号删除时删除,而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。(2)登录过程(LP)控制。每次用户登录时,用户应输入用户名、口令和用户希望登录的服务器/域等信息,登录主机把这些信息传送给系统的安全账号管理器,安全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,服务器发给客户机或工作站允许访问的信息,记录用户账号的特权、主目录位置、工作站参数等信息,并返回用户的安全标识和用户所在组的安全标识。工作站为用户生成一个进程。(3)创建访问令牌。当用户登录成功后,本地安全授权机构(LSA)为用户创建一个访问令牌,包括用户名、所在
42、组、安全标识等信息。以后用户每新建一个进程,都将访问并复制令牌作为该进程的访问令牌。(4)访问对象控制。当用户或者用户生成的进程要访问某个对象时,安全引用监视器(SRM)将用户/进程的访问令牌中的安全标识(SID)与对象安全描述符(是NT为共享资源创建的一组安全属性,包括所有者安全标识、组安全标识、自主访问控制表、系统访问控制表和访问控制项)中的自主访问控制表进行比较,从而决定用户是否有权访问该对象。在这个过程中应该注意:安全标识(SID)对应账号的整个有效期,而访问令牌只对应某一次账号登录。计计 算算 机机 网网 络络 安安 全全 技技 术术5.5.2 Windows NT中的安全审计Win
43、dows NT的三个日志文件的物理位置如下:系统日志:系统日志:包含所有系统相关事件的信息。%systemroot%system32configsysevent.evt安全日志:安全日志:包括有关通过NT可识别安全提供者和客户的系统访问信息。%systemroot%system32configsecevent.evt应用程序日志:应用程序日志:包括用NT Security authority注册的应用程序产生的信息。%systemroot%system32configappevent.evt计计 算算 机机 网网 络络 安安 全全 技技 术术NT审计子系统结构 几乎Windows NT系统中的
44、每一项事务都可以在一定程度上被审计,在Windows NT中可以在Explorer和User manager两个地方打开审计。在Explorer中,选择Security,再选择Auditing以激活Directory Auditing对话框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在User manager中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出、文件访问、权限非法和关闭系统等。Windows NT使用一种特殊的格式存放它的日志文件,这种格式的文件可以被事件浏览器(Event viewer)读取。事件浏览器可以在Administrative too
45、l程序组中找到。系统管理员可以使用事件浏览器的Filter选项根据一定条件选择要查看的日志条目。查看条件包括类别、用户和消息类型。计计 算算 机机 网网 络络 安安 全全 技技 术术审计日志的记录格式 Windows NT的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分:头、事件描述和可选的附加数据项。下图显示了一个事件记录的结构。记录头数据时间用户名计算机名事件ID源类型种类事件描述可变内容,依赖于事件,可以是问题的文本解释和纠正措施的建议附加数据附加域。如果采用的话,包含以字节或字显示的二进制数据及事件记录的源应用产生的信息计计 算算 机机 网网 络络 安安 全全 技技 术
46、术NT事件日志管理特征 Windows NT提供了大量特征给系统管理员去管理操作系统事件日志机制。例如,管理员能限制日志的大小并规定当文件达到容量上限时,如何去处理这些文件。选项包括:用新记录去冲掉最老的记录,停止系统直到事件日志被手工清除。当系统开始运行时,系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时,日志停止。另一方面,安全事件日志必须由具有管理者权限的人启动。利用NT的用户管理器,可以设置安全审计规则。要启用安全审计的功能,只需在“规则”菜单下选择“审计”,然后通过查看NT记录的安全事件日志中的安全性事件,即可以跟踪所选用户的操作。计计 算算 机机 网网
47、 络络 安安 全全 技技 术术NT安全日志的审计策略 NT的审计规则如下(既可以审计成功的操作,又可以审计失败的操作):(l)登录及注销。登录及注销或连接到网络。(2)用户及组管理。创建、更改或删除用户账号或组,重命名、禁止或启用用户号,设置和更改密码。(3)文件及对象访问。对访问的用户,访问的文件、目录、对象进行审计。如果设置用于打印审计的系统发送打印用户及打印作业的消息,审计通过后才能打印。(4)安全性规则更改。对用户权利、审计或委托关系规则的改动。(5)重新启动、关机及系统级事件。(6)进程跟踪。这些事件提供了关于事件的详细跟踪信息,如程序活动、某些形式句柄的复制、间接对象的访问和退出进
48、程。对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体设置。(7)文件和目录审计。计计 算算 机机 网网 络络 安安 全全 技技 术术管理和维护NT审计 通常情况下,Windows NT不是将所有的事件都记录日志,而需要手动启动审计的功能。这时需要首先从“开始”菜单中选择“程序”,然后再选择“管理工具”。从“管理工具”子菜单选择“用户管理器”,显示出“用户管理器”窗口。然后从“用户管理器”菜单中单击Policies(策略),再单击audit(审计),“审计策略”窗口就出现了。接着选择audit these events单选框(审计这些事件)。最后选择需要
49、启动的事件按OK,然后关闭“用户管理器”。值得注意的是,在启动Windows NT的审计功能时,需要仔细选择审计的内容。审计日志将产生大量的数据,因此较为合理的方法是首先设置进行简单的审计,然后在监视系统性能的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三方提供的工具是一个较有效率的选择。计计 算算 机机 网网 络络 安安 全全 技技 术术Windows NT用户权限Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受
50、信任的人员才可成为该组的成员。Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的计计 算算 机机 网网 络络 安安 全全 技技 术术 任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以计计 算算 机机 网网 络络 安安 全全