第六章訪問控制與審計(jì)技術(shù)第六章訪問控制與審計(jì)技術(shù)第6章訪問控制與審計(jì)技術(shù)訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制，也是信息安全理論基礎(chǔ)的重要組成部分。審計(jì)則是對(duì)信息系統(tǒng)訪問控制的必要補(bǔ)充，它會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間，以及如何使用

(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。第6章訪問控制與審計(jì)技術(shù)訪問控制是在保障授權(quán)用戶能獲取所第6章訪問控制與審計(jì)技術(shù)6.1訪問控制技術(shù)與Windows訪問控制6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能第6章訪問控制與審計(jì)技術(shù)6.1訪問控制技術(shù)與Wind6.1訪問控制技術(shù)與Windows訪問控制在用戶身份認(rèn)證(如果必要)和授權(quán)之后，訪問控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶訪問某項(xiàng)資源(目標(biāo))進(jìn)行控制，只有規(guī)則允許時(shí)才能訪問，違反預(yù)定的安全規(guī)則的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能(例如可以是讀、寫或者執(zhí)行等)。6.1訪問控制技術(shù)與Windows訪問控制在用戶身份認(rèn)證6.1.1訪問控制的基本概念訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。其中主體可以是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程和服務(wù)。6.1.1訪問控制的基本概念訪問控制的目的是為了限制訪問6.1.1訪問控制的基本概念為達(dá)到此目的，訪問控制需要完成以下兩個(gè)任務(wù)：1)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。2)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問。訪問控制一般包括3種類型：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制等。6.1.1訪問控制的基本概念為達(dá)到此目的，訪問控制需要完6.1.1訪問控制的基本概念(1)自主訪問控制(DAC，discretionaryaccesscontrol)這是常用的訪問控制方式，它基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問。自主是指主體能夠自主地(可能是間接的)將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體。6.1.1訪問控制的基本概念(1)自主訪問控制(DA6.1.1訪問控制的基本概念簡單來說，就是由擁有資源的用戶自己來決定其他一個(gè)或一些主體可以在什么程度上訪問哪些資源。即資源的擁有者對(duì)資源的訪問策略具有決策權(quán)，這是一種限制比較弱的訪問控制策略。6.1.1訪問控制的基本概念簡單來說，就是由擁有資源的用6.1.1訪問控制的基本概念自主訪問控制是一種比較寬松的訪問控制機(jī)制。一個(gè)主體的訪問權(quán)限具有傳遞性，比如大多數(shù)交互系統(tǒng)的工作流程是這樣的：用戶首先登錄，然后啟動(dòng)某個(gè)進(jìn)程為該用戶做某項(xiàng)工作，這個(gè)進(jìn)程就繼承了該用戶的屬性，包括訪問權(quán)限。這種權(quán)限的傳遞可能會(huì)給系統(tǒng)帶來安全隱患，某個(gè)主體通過繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問權(quán)限，就可能破壞系統(tǒng)的安全性。這是自主訪問控制方式的缺點(diǎn)。6.1.1訪問控制的基本概念自主訪問控制是一種比較寬松的6.1.1訪問控制的基本概念(2)強(qiáng)制訪問控制(MAC，mandatoryaccesscontrol)這是一種較強(qiáng)硬的控制機(jī)制，系統(tǒng)為所有的主體和客體指定安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和無密級(jí)等。不同級(jí)別標(biāo)記了不同重要程度和能力的實(shí)體，不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。6.1.1訪問控制的基本概念(2)強(qiáng)制訪問控制(MA6.1.1訪問控制的基本概念在強(qiáng)制訪問控制機(jī)制中，將安全級(jí)別進(jìn)行排序，如按照從高到低排列，規(guī)定高級(jí)別可以單向訪問低級(jí)別，也可以規(guī)定低級(jí)別可以單向訪問高級(jí)別。6.1.1訪問控制的基本概念在強(qiáng)制訪問控制機(jī)制中，將安全6.1.1訪問控制的基本概念(3)基于角色的訪問控制(RBAC，rolebasedaccesscontrol)在傳統(tǒng)的訪問控制中，主體始終和特定的實(shí)體相對(duì)應(yīng)。例如，用戶以固定的用戶名注冊(cè)，系統(tǒng)分配一定的權(quán)限，該用戶將始終以其用戶名訪問系統(tǒng)，直至銷戶。其間，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進(jìn)行。然而，在現(xiàn)實(shí)社會(huì)中，這樣的訪問控制方式表現(xiàn)出很多弱點(diǎn)，不能滿足實(shí)際需求。6.1.1訪問控制的基本概念(3)基于角色的訪問控制6.1.1訪問控制的基本概念主要問題在于：1)同一用戶在不同場合應(yīng)該以不同的權(quán)限訪問系統(tǒng)。而按傳統(tǒng)的做法，變更權(quán)限必須經(jīng)系統(tǒng)管理員授權(quán)修改，因此很不方便。2)當(dāng)用戶大量增加時(shí)，按每用戶一個(gè)注冊(cè)賬號(hào)的方式將使得系統(tǒng)管理變得復(fù)雜、工作量急劇增加，也容易出錯(cuò)。6.1.1訪問控制的基本概念主要問題在于：6.1.1訪問控制的基本概念3)傳統(tǒng)訪問控制模式不容易實(shí)現(xiàn)層次化管理。即按每用戶一個(gè)注冊(cè)賬號(hào)的方式很難實(shí)現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當(dāng)同一用戶在不同場合處在不同的權(quán)限層次時(shí)，系統(tǒng)管理很難實(shí)現(xiàn)。除非同一用戶以多個(gè)用戶名注冊(cè)。6.1.1訪問控制的基本概念3)傳統(tǒng)訪問控制模式不容易6.1.1訪問控制的基本概念基于角色的訪問控制模式就是為了克服以上問題而提出來的。在基于角色的訪問控制模式中，用戶不是自始至終以同樣的注冊(cè)身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機(jī)制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強(qiáng)制訪問控制機(jī)制控制角色的訪問能力。6.1.1訪問控制的基本概念基于角色的訪問控制模式就是為6.1.1訪問控制的基本概念1)角色(role)的概念。角色定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中的主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)限。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權(quán)來盡可能實(shí)現(xiàn)主體的最小權(quán)限(最小授權(quán)指主體在能夠完成所有必需的訪問工作基礎(chǔ)上的最小權(quán)限)。6.1.1訪問控制的基本概念1)角色(role)的6.1.1訪問控制的基本概念例如，在一個(gè)銀行系統(tǒng)中，可以定義出納員、分行管理者、系統(tǒng)管理員、顧客、審計(jì)員等角色。其中，擔(dān)任系統(tǒng)管理員的用戶具有維護(hù)系統(tǒng)文件的責(zé)任和權(quán)限，無論這個(gè)用戶具體是誰。系統(tǒng)管理員可能是由某個(gè)出納員兼任，他就具有兩種角色。但是出于責(zé)任分離的考慮，需要對(duì)一些權(quán)利集中的角色組合進(jìn)行限制，比如規(guī)定分行管理者和審計(jì)員不能由同一個(gè)用戶擔(dān)任等。6.1.1訪問控制的基本概念例如，在一個(gè)銀行系統(tǒng)中，可以6.1.1訪問控制的基本概念基于角色的訪問控制可以看作是基于組的自主訪問控制的一種變體，一個(gè)角色對(duì)應(yīng)一個(gè)組。2)基于角色的訪問控制。就是通過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實(shí)現(xiàn)訪問控制的。用戶先經(jīng)認(rèn)證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問。6.1.1訪問控制的基本概念基于角色的訪問控制可以看作是6.1.1訪問控制的基本概念3)基于角色訪問控制方法的特點(diǎn)。基于角色訪問控制的方法有如下特點(diǎn)：①提供了3種授權(quán)管理的控制途徑，即：改變客體的訪問權(quán)限，即修改客體可以由哪些角色訪問以及具體的訪問方式；改變角色的訪問權(quán)限；改變主體所擔(dān)任的角色。6.1.1訪問控制的基本概念3)基于角色訪問控制方法的6.1.1訪問控制的基本概念②系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，便于管理。角色的定義是從現(xiàn)實(shí)出發(fā)，所以可以用面向?qū)ο蟮姆椒▉韺?shí)現(xiàn)，運(yùn)用類和繼承等概念表示角色之間的層次關(guān)系非常自然而且實(shí)用。③具有較好的提供最小權(quán)利的能力，從而提高了安全性。由于對(duì)主體的授權(quán)是通過角色定義，因此，調(diào)整角色的權(quán)限粒度可以做到更有針對(duì)性，不容易出現(xiàn)多余權(quán)限。6.1.1訪問控制的基本概念②系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)6.1.1訪問控制的基本概念④具有責(zé)任分離的能力。定義角色的人不一定是擔(dān)任角色的人，這樣，不同角色的訪問權(quán)限可以相互制約，因而具有更高的安全性。6.1.1訪問控制的基本概念④具有責(zé)任分離的能力。定義6.1.2WindowsXP的訪問控制這里，我們來了解WindowsXP操作系統(tǒng)的訪問控制實(shí)現(xiàn)機(jī)制。6.1.2WindowsXP的訪問控制這里，我們來了解6.1.2WindowsXP的訪問控制(1)Windows的安全模型Windows采用的是微內(nèi)核(microkernel)結(jié)構(gòu)和模塊化的系統(tǒng)設(shè)計(jì)。有的模塊運(yùn)行在底層的內(nèi)核模式上，有的模塊則運(yùn)行在受內(nèi)核保護(hù)的用戶模式上。Windows的安全子系統(tǒng)置于核心(kernel)層。6.1.2WindowsXP的訪問控制(1)Wind6.1.2WindowsXP的訪問控制Windows的安全模型由以下幾個(gè)關(guān)鍵部分構(gòu)成，這幾部分在訪問控制的不同階段發(fā)揮了各自的作用。1)登錄過程(logonprocess，LP)。接受本地用戶或者遠(yuǎn)程用戶的登錄請(qǐng)求，處理用戶信息，為用戶做一些初始化工作。6.1.2WindowsXP的訪問控制Windows的6.1.2WindowsXP的訪問控制2)本地安全授權(quán)機(jī)構(gòu)(localsecurityauthority，LSA)。根據(jù)安全賬號(hào)管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶的登錄信息，并控制審計(jì)和日志。這是整個(gè)安全子系統(tǒng)的核心。3)安全賬號(hào)管理器(securityaccountmanager，SAM)。維護(hù)賬號(hào)的安全性管理數(shù)據(jù)庫(SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫)。4)安全引用監(jiān)視器(securityreferencemonitor，SRM)。檢查存取合法性，防止非法存取和修改。6.1.2WindowsXP的訪問控制2)本地安全授6.1.2WindowsXP的訪問控制(2)Windows的安全概念在Windows中，有關(guān)安全的概念主要有以下幾個(gè)：1)安全標(biāo)識(shí)(securityideniifier，SID)。安全標(biāo)識(shí)和賬號(hào)唯一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫里。6.1.2WindowsXP的訪問控制(2)Wind6.1.2WindowsXP的訪問控制2)訪問令牌(accesstoken)。當(dāng)用戶登錄時(shí)，本地安全授權(quán)機(jī)構(gòu)為用戶創(chuàng)建一個(gè)訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。以后，用戶的所有程序都將擁有訪問令牌的拷貝。3)主體。用戶登錄到系統(tǒng)之后，本地安全授權(quán)機(jī)構(gòu)為用戶構(gòu)造一個(gè)訪問令牌，這個(gè)令牌與該用戶所有的操作相聯(lián)系，用戶進(jìn)行的操作和訪問令牌一起構(gòu)成一個(gè)主體。6.1.2WindowsXP的訪問控制2)訪問令牌6.1.2WindowsXP的訪問控制4)對(duì)象、資源、共享資源。對(duì)象的實(shí)質(zhì)是封裝了數(shù)據(jù)和處理過程的一系列信息集合體；資源是用于網(wǎng)絡(luò)環(huán)境的對(duì)象；共享資源是在網(wǎng)絡(luò)上共享的對(duì)象。5)安全描述符(securitydescript)。Windows系統(tǒng)為共享資源創(chuàng)建的安全描述符包含了該對(duì)象的一組安全屬性，分為4個(gè)部分：6.1.2WindowsXP的訪問控制4)對(duì)象、資源6.1.2WindowsXP的訪問控制①所有者安全標(biāo)識(shí)(ownersecurityID)，擁有該對(duì)象的用戶或者用戶組的SID；②組安全標(biāo)識(shí)(groupsecurityID)；③自主訪問控制表(discretionaryaccesscontrollist，DAC)，該對(duì)象的訪問控制表，由對(duì)象的所有者控制；6.1.2WindowsXP的訪問控制①所有者安全標(biāo)6.1.2WindowsXP的訪問控制④系統(tǒng)訪問控制表(systemaccesscontrollist，ACL)，定義操作系統(tǒng)將產(chǎn)生何種類型的審計(jì)信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個(gè)訪問控制表(ACL)都由訪問控制項(xiàng)(accesscontrolentries，ACEs)組成，用來描述用戶或者組對(duì)象的訪問或?qū)徲?jì)權(quán)限。ACEs有3種類型：訪問允許(AccessAllowed)、訪問禁止(AccessDenied)和系統(tǒng)審記(SystemAudit)。前兩種用于自主訪問控制；后一種用于記錄安全日志。6.1.2WindowsXP的訪問控制④系統(tǒng)訪問控制6.1.2WindowsXP的訪問控制(3)Windows的訪問控制過程當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows為它分配一個(gè)SID，并與其他賬號(hào)信息一起存入SAM數(shù)據(jù)庫。6.1.2WindowsXP的訪問控制(3)Wind6.1.2WindowsXP的訪問控制每次用戶登錄時(shí)，登錄主機(jī)(通常為工作站)的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的服務(wù)器域信息送給安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問的信息，并返回用戶的安全標(biāo)識(shí)和用戶所在組的安全標(biāo)識(shí)，工作站系統(tǒng)為用戶生成一個(gè)進(jìn)程。服務(wù)器還要記錄用戶賬號(hào)的權(quán)限、主目錄位置、工作站參數(shù)等信息。6.1.2WindowsXP的訪問控制每次用戶登錄時(shí)，6.1.2WindowsXP的訪問控制然后，本地安全授權(quán)機(jī)構(gòu)為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。此后，用戶每新建一個(gè)進(jìn)程，都將訪問令牌復(fù)制作為該進(jìn)程的訪問令牌。6.1.2WindowsXP的訪問控制然后，本地安全授6.1.2WindowsXP的訪問控制當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器將用戶/進(jìn)程的訪問令牌中的SID與對(duì)象安全描述符中的自主訪問控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問對(duì)象。在這個(gè)過程中應(yīng)該注意SID對(duì)應(yīng)賬號(hào)的整個(gè)有效期，而訪問令牌只對(duì)應(yīng)某一次賬號(hào)登錄。6.1.2WindowsXP的訪問控制當(dāng)用戶或者用戶生6.1.2WindowsXP的訪問控制Windows系統(tǒng)中共享對(duì)象的訪問權(quán)限是由對(duì)象所有者決定。如果用戶想共享某個(gè)對(duì)象，他首先要為對(duì)象選擇唯一的名字，然后為其他的用戶和組分配訪問權(quán)限。然后，系統(tǒng)會(huì)以此為共享對(duì)象創(chuàng)建安全描述符。一個(gè)沒有訪問控制表的對(duì)象可以被任何用戶以任何方式訪問。共享資源的訪問權(quán)限共有4種，即完全控制(fullcontrol)、拒絕訪問(noAccess)、讀(read)和更改(change)。6.1.2WindowsXP的訪問控制Windows系實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：(1)熟悉訪問控制技術(shù)的基本概念，了解訪問控制技術(shù)的工作原理和基本內(nèi)容。(2)通過學(xué)習(xí)配置安全的Windows操作系統(tǒng)，來加深理解訪問控制技術(shù)，掌握Windows的訪問控制功能。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間，以及如何使用(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，它能夠再現(xiàn)原有的進(jìn)程和問題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)是非常必要的。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)會(huì)對(duì)用6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)跟蹤記錄按事件自始至終順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持訪問控制職能的實(shí)現(xiàn)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)跟蹤記6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，同時(shí)還能提供對(duì)數(shù)據(jù)恢復(fù)的幫助。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能通過借助適6.2.1審計(jì)內(nèi)容審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括個(gè)人職能、事件重建、入侵檢測和故障分析。1)個(gè)人職能。審計(jì)跟蹤是管理人員用來維護(hù)個(gè)人職能的技術(shù)手段。一般來說，如果用戶知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過安全控制措施。6.2.1審計(jì)內(nèi)容審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括6.2.1審計(jì)內(nèi)容例如，審計(jì)跟蹤可以保存改動(dòng)前和改動(dòng)后的記錄，以確定是哪個(gè)操作者在什么時(shí)候做了哪些實(shí)際的改動(dòng)，這可以幫助管理層確定錯(cuò)誤到底是由用戶、操作系統(tǒng)、應(yīng)用軟件還是由其他因素造成的。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權(quán)實(shí)現(xiàn)他們的訪問，被授權(quán)的訪問有可能會(huì)被濫用，導(dǎo)致敏感信息的擴(kuò)散，當(dāng)無法阻止用戶通過其合法身份訪問資源時(shí)，審計(jì)跟蹤就能發(fā)揮作用：審計(jì)跟蹤可以用于檢測他們的活動(dòng)。6.2.1審計(jì)內(nèi)容例如，審計(jì)跟蹤可以保存改動(dòng)前和改動(dòng)后的6.2.1審計(jì)內(nèi)容2)事件重建。在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。通過審查系統(tǒng)活動(dòng)的審計(jì)跟蹤可以比較容易地評(píng)估故障損失，確定故障發(fā)生的時(shí)間、原因和過程。通過對(duì)審計(jì)跟蹤的分析就可以重建系統(tǒng)和協(xié)助恢復(fù)數(shù)據(jù)文件；同時(shí)，還有可能避免下次發(fā)生此類故障的情況。6.2.1審計(jì)內(nèi)容2)事件重建。在發(fā)生故障后，審計(jì)跟蹤6.2.1審計(jì)內(nèi)容3)入侵檢測。審計(jì)跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或是過后預(yù)防入侵活動(dòng)。實(shí)時(shí)入侵檢測可以及時(shí)發(fā)現(xiàn)非法授權(quán)者對(duì)系統(tǒng)的非法訪問，也可以探測到病毒擴(kuò)散和網(wǎng)絡(luò)攻擊。4)故障分析。審計(jì)跟蹤可以用于實(shí)時(shí)監(jiān)控。6.2.1審計(jì)內(nèi)容3)入侵檢測。審計(jì)跟蹤記錄可以用來協(xié)6.2.2安全審計(jì)的目標(biāo)安全審計(jì)提供的功能服務(wù)于直接和間接兩個(gè)方面的安全目標(biāo)：直接目標(biāo)包括跟蹤和監(jiān)測系統(tǒng)中的異常事件，間接目標(biāo)是監(jiān)視系統(tǒng)中其他安全機(jī)制的運(yùn)行情況和可信度。6.2.2安全審計(jì)的目標(biāo)安全審計(jì)提供的功能服務(wù)于直接和間6.2.2安全審計(jì)的目標(biāo)所有審計(jì)的前提是有一個(gè)支配審計(jì)過程的規(guī)則集。規(guī)則的確切形式和內(nèi)容隨審計(jì)過程具體內(nèi)容的改變而改變。在商業(yè)與管理審計(jì)中，規(guī)則集包括對(duì)確保商業(yè)目標(biāo)的實(shí)現(xiàn)有重要意義的管理控制、過程和慣例。這些商業(yè)目標(biāo)包括資源的合理使用、利率最大化、費(fèi)用最小化、符合相應(yīng)的法律法規(guī)和適當(dāng)?shù)娘L(fēng)險(xiǎn)控制。在計(jì)算機(jī)安全審計(jì)的特殊情況下，規(guī)則集通常以安全策略的形式明確表述。6.2.2安全審計(jì)的目標(biāo)所有審計(jì)的前提是有一個(gè)支配審計(jì)過6.2.2安全審計(jì)的目標(biāo)從抽象意義上講，傳統(tǒng)的金融和管理審計(jì)與計(jì)算機(jī)安全審計(jì)的過程是完全相同的，但它們各自關(guān)注的問題有很大不同。計(jì)算機(jī)安全審計(jì)是通過一定的策略，利用記錄和分析歷史操作事件來發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全。6.2.2安全審計(jì)的目標(biāo)從抽象意義上講，傳統(tǒng)的金融和管理6.2.2安全審計(jì)的目標(biāo)計(jì)算機(jī)安全審計(jì)需要達(dá)到的目的包括：對(duì)潛在的攻擊者起到震懾和警告的作用；對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究責(zé)任的證據(jù)；為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。6.2.2安全審計(jì)的目標(biāo)計(jì)算機(jī)安全審計(jì)需要達(dá)到的目的包括6.2.3安全審計(jì)系統(tǒng)審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和分析來實(shí)現(xiàn)的，因此審計(jì)系統(tǒng)包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制等幾部分。6.2.3安全審計(jì)系統(tǒng)審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和6.2.3安全審計(jì)系統(tǒng)(1)日志的內(nèi)容在理想的情況下，日志應(yīng)該記錄每一個(gè)可能的事件，以便分析發(fā)生的所有事件，并恢復(fù)任何時(shí)刻進(jìn)行的歷史情況。然而，這樣做顯然是不現(xiàn)實(shí)的，因?yàn)橐涗浢恳粋€(gè)數(shù)據(jù)包、每一條命令和每一次存取操作，需要的存儲(chǔ)量將遠(yuǎn)遠(yuǎn)大于業(yè)務(wù)系統(tǒng)，并且將嚴(yán)重影響系統(tǒng)的性能。因此，日志的內(nèi)容應(yīng)該是有選擇的。6.2.3安全審計(jì)系統(tǒng)(1)日志的內(nèi)容6.2.3安全審計(jì)系統(tǒng)一般情況下，日志記錄的內(nèi)容應(yīng)該滿足以下原則：1)任何必要的事件，以檢測已知的攻擊模式。2)任何必要的事件，以檢測異常的攻擊模式。3)關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息。6.2.3安全審計(jì)系統(tǒng)一般情況下，日志記錄的內(nèi)容應(yīng)該滿足6.2.3安全審計(jì)系統(tǒng)在這些原則的指導(dǎo)下，日志系統(tǒng)可根據(jù)安全要求的強(qiáng)度選擇記錄下列事件的部分或全部：1)審計(jì)功能的啟動(dòng)和關(guān)閉。2)使用身份鑒別機(jī)制。3)將客體引入主體的地址空間。4)刪除客體。6.2.3安全審計(jì)系統(tǒng)在這些原則的指導(dǎo)下，日志系統(tǒng)可根據(jù)6.2.3安全審計(jì)系統(tǒng)5)管理員、安全員、審計(jì)員和一般操作人員的操作。6)其他專門定義的可審計(jì)事件。通常，對(duì)于一個(gè)事件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶(地址)、事件和源和目的的位置、事件類型、事件成敗等。6.2.3安全審計(jì)系統(tǒng)5)管理員、安全員、審計(jì)員和一般6.2.3安全審計(jì)系統(tǒng)(2)安全審計(jì)的記錄機(jī)制日志的記錄可能由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成，但是，大部分情況都可通過系統(tǒng)調(diào)用Syslog來記錄日志，也可以用SNMP記錄。6.2.3安全審計(jì)系統(tǒng)(2)安全審計(jì)的記錄機(jī)制6.2.3安全審計(jì)系統(tǒng)Syslog由Syslog守護(hù)程序、Syslog規(guī)則集及Syslog系統(tǒng)調(diào)用3部分組成。記錄日志時(shí)，系統(tǒng)調(diào)用Syslog將日志素材發(fā)送給Syslog守護(hù)程序，Syslog守護(hù)程序監(jiān)聽Syslog調(diào)用或Syslog端口(UDP514)的消息，然后根據(jù)Syslog規(guī)則集對(duì)收到的日志素材進(jìn)行處理。如果日志是記錄在其他計(jì)算機(jī)上，則Syslog守護(hù)程序?qū)⑷罩巨D(zhuǎn)發(fā)到相應(yīng)的日志服務(wù)器上。6.2.3安全審計(jì)系統(tǒng)Syslog由Syslog守護(hù)程序6.2.3安全審計(jì)系統(tǒng)(3)安全審計(jì)分析通過對(duì)日志進(jìn)行分析，從中發(fā)現(xiàn)相關(guān)事件信息及其規(guī)律是安全審計(jì)的根本目的。其主要內(nèi)容包括：1)潛在侵害分析。日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵。這種規(guī)則可以是由已定義的可審計(jì)事件的子集所指示的潛在安全攻擊的積累或組合，或者其他規(guī)則。6.2.3安全審計(jì)系統(tǒng)(3)安全審計(jì)分析6.2.3安全審計(jì)系統(tǒng)2)基于異常檢測的輪廓。日志分析應(yīng)確定用戶正常行為的輪廓，當(dāng)日志中的事件違反正常訪問行為的輪廓，或超出正常輪廓一定的門限時(shí)，能指出將要發(fā)生的威脅。3)簡單攻擊探測。日志分析應(yīng)對(duì)重大威脅事件的特征有明確的描述，當(dāng)這些攻擊現(xiàn)象出現(xiàn)時(shí)，能及時(shí)指出。4)復(fù)雜攻擊探測。要求高的日志分析系統(tǒng)還應(yīng)能檢測到多步入侵序列，當(dāng)攻擊序列出現(xiàn)時(shí)，能預(yù)測其發(fā)生的步驟。6.2.3安全審計(jì)系統(tǒng)2)基于異常檢測的輪廓。日志分析6.2.3安全審計(jì)系統(tǒng)(4)審計(jì)事件查閱由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全主要是查閱和存儲(chǔ)的安全。6.2.3安全審計(jì)系統(tǒng)(4)審計(jì)事件查閱6.2.3安全審計(jì)系統(tǒng)審計(jì)事件的查閱應(yīng)該受到嚴(yán)格限制，不能篡改日志。通常通過以下不同的層次來保證查閱的安全：1)審計(jì)查閱。審計(jì)系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。2)有限審計(jì)查閱。審計(jì)系統(tǒng)只提供對(duì)內(nèi)容的讀權(quán)限，拒絕具有讀以外權(quán)限的用戶訪問審計(jì)系統(tǒng)。3)可選審計(jì)查閱。在有限審計(jì)查閱的基礎(chǔ)上限制查閱的范圍。6.2.3安全審計(jì)系統(tǒng)審計(jì)事件的查閱應(yīng)該受到嚴(yán)格限制，不6.2.3安全審計(jì)系統(tǒng)(5)審計(jì)事件存儲(chǔ)審計(jì)事件的存儲(chǔ)也有安全要求，具體有如下幾種情況：1)受保護(hù)的審計(jì)蹤跡存儲(chǔ)。即要求存儲(chǔ)系統(tǒng)對(duì)日志事件具有保護(hù)功能，防止未授權(quán)的修改和刪除，并具有檢測修改刪除的能力。6.2.3安全審計(jì)系統(tǒng)(5)審計(jì)事件存儲(chǔ)6.2.3安全審計(jì)系統(tǒng)2)審計(jì)數(shù)據(jù)的可用性保證。在審計(jì)存儲(chǔ)系統(tǒng)遭受意外時(shí)，能防止或檢測審計(jì)記錄的修改，在存儲(chǔ)介質(zhì)存滿或存儲(chǔ)失敗時(shí)，能確保記錄不被破壞。3)防止審計(jì)數(shù)據(jù)丟失。在審計(jì)蹤跡超過預(yù)定的門限或記滿時(shí)，應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計(jì)事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等。6.2.3安全審計(jì)系統(tǒng)2)審計(jì)數(shù)據(jù)的可用性保證。在審計(jì)實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：(1)熟悉安全審計(jì)技術(shù)的基本概念和基本內(nèi)容。(2)通過深入了解和應(yīng)用Windows操作系統(tǒng)的審計(jì)追蹤功能，來加深理解安全審計(jì)技術(shù)，掌握Windows的安全審計(jì)功能。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：第六章訪問控制與審計(jì)技術(shù)第六章訪問控制與審計(jì)技術(shù)第6章訪問控制與審計(jì)技術(shù)訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制，也是信息安全理論基礎(chǔ)的重要組成部分。審計(jì)則是對(duì)信息系統(tǒng)訪問控制的必要補(bǔ)充，它會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間，以及如何使用

(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。第6章訪問控制與審計(jì)技術(shù)訪問控制是在保障授權(quán)用戶能獲取所第6章訪問控制與審計(jì)技術(shù)6.1訪問控制技術(shù)與Windows訪問控制6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能第6章訪問控制與審計(jì)技術(shù)6.1訪問控制技術(shù)與Wind6.1訪問控制技術(shù)與Windows訪問控制在用戶身份認(rèn)證(如果必要)和授權(quán)之后，訪問控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶訪問某項(xiàng)資源(目標(biāo))進(jìn)行控制，只有規(guī)則允許時(shí)才能訪問，違反預(yù)定的安全規(guī)則的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能(例如可以是讀、寫或者執(zhí)行等)。6.1訪問控制技術(shù)與Windows訪問控制在用戶身份認(rèn)證6.1.1訪問控制的基本概念訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。其中主體可以是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程和服務(wù)。6.1.1訪問控制的基本概念訪問控制的目的是為了限制訪問6.1.1訪問控制的基本概念為達(dá)到此目的，訪問控制需要完成以下兩個(gè)任務(wù)：1)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。2)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問。訪問控制一般包括3種類型：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制等。6.1.1訪問控制的基本概念為達(dá)到此目的，訪問控制需要完6.1.1訪問控制的基本概念(1)自主訪問控制(DAC，discretionaryaccesscontrol)這是常用的訪問控制方式，它基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問。自主是指主體能夠自主地(可能是間接的)將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體。6.1.1訪問控制的基本概念(1)自主訪問控制(DA6.1.1訪問控制的基本概念簡單來說，就是由擁有資源的用戶自己來決定其他一個(gè)或一些主體可以在什么程度上訪問哪些資源。即資源的擁有者對(duì)資源的訪問策略具有決策權(quán)，這是一種限制比較弱的訪問控制策略。6.1.1訪問控制的基本概念簡單來說，就是由擁有資源的用6.1.1訪問控制的基本概念自主訪問控制是一種比較寬松的訪問控制機(jī)制。一個(gè)主體的訪問權(quán)限具有傳遞性，比如大多數(shù)交互系統(tǒng)的工作流程是這樣的：用戶首先登錄，然后啟動(dòng)某個(gè)進(jìn)程為該用戶做某項(xiàng)工作，這個(gè)進(jìn)程就繼承了該用戶的屬性，包括訪問權(quán)限。這種權(quán)限的傳遞可能會(huì)給系統(tǒng)帶來安全隱患，某個(gè)主體通過繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問權(quán)限，就可能破壞系統(tǒng)的安全性。這是自主訪問控制方式的缺點(diǎn)。6.1.1訪問控制的基本概念自主訪問控制是一種比較寬松的6.1.1訪問控制的基本概念(2)強(qiáng)制訪問控制(MAC，mandatoryaccesscontrol)這是一種較強(qiáng)硬的控制機(jī)制，系統(tǒng)為所有的主體和客體指定安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和無密級(jí)等。不同級(jí)別標(biāo)記了不同重要程度和能力的實(shí)體，不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。6.1.1訪問控制的基本概念(2)強(qiáng)制訪問控制(MA6.1.1訪問控制的基本概念在強(qiáng)制訪問控制機(jī)制中，將安全級(jí)別進(jìn)行排序，如按照從高到低排列，規(guī)定高級(jí)別可以單向訪問低級(jí)別，也可以規(guī)定低級(jí)別可以單向訪問高級(jí)別。6.1.1訪問控制的基本概念在強(qiáng)制訪問控制機(jī)制中，將安全6.1.1訪問控制的基本概念(3)基于角色的訪問控制(RBAC，rolebasedaccesscontrol)在傳統(tǒng)的訪問控制中，主體始終和特定的實(shí)體相對(duì)應(yīng)。例如，用戶以固定的用戶名注冊(cè)，系統(tǒng)分配一定的權(quán)限，該用戶將始終以其用戶名訪問系統(tǒng)，直至銷戶。其間，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進(jìn)行。然而，在現(xiàn)實(shí)社會(huì)中，這樣的訪問控制方式表現(xiàn)出很多弱點(diǎn)，不能滿足實(shí)際需求。6.1.1訪問控制的基本概念(3)基于角色的訪問控制6.1.1訪問控制的基本概念主要問題在于：1)同一用戶在不同場合應(yīng)該以不同的權(quán)限訪問系統(tǒng)。而按傳統(tǒng)的做法，變更權(quán)限必須經(jīng)系統(tǒng)管理員授權(quán)修改，因此很不方便。2)當(dāng)用戶大量增加時(shí)，按每用戶一個(gè)注冊(cè)賬號(hào)的方式將使得系統(tǒng)管理變得復(fù)雜、工作量急劇增加，也容易出錯(cuò)。6.1.1訪問控制的基本概念主要問題在于：6.1.1訪問控制的基本概念3)傳統(tǒng)訪問控制模式不容易實(shí)現(xiàn)層次化管理。即按每用戶一個(gè)注冊(cè)賬號(hào)的方式很難實(shí)現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當(dāng)同一用戶在不同場合處在不同的權(quán)限層次時(shí)，系統(tǒng)管理很難實(shí)現(xiàn)。除非同一用戶以多個(gè)用戶名注冊(cè)。6.1.1訪問控制的基本概念3)傳統(tǒng)訪問控制模式不容易6.1.1訪問控制的基本概念基于角色的訪問控制模式就是為了克服以上問題而提出來的。在基于角色的訪問控制模式中，用戶不是自始至終以同樣的注冊(cè)身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機(jī)制只看到角色，而看不到用戶。用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照自主訪問控制或強(qiáng)制訪問控制機(jī)制控制角色的訪問能力。6.1.1訪問控制的基本概念基于角色的訪問控制模式就是為6.1.1訪問控制的基本概念1)角色(role)的概念。角色定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中的主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)限。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和?；诮巧脑L問控制就是通過各種角色的不同搭配授權(quán)來盡可能實(shí)現(xiàn)主體的最小權(quán)限(最小授權(quán)指主體在能夠完成所有必需的訪問工作基礎(chǔ)上的最小權(quán)限)。6.1.1訪問控制的基本概念1)角色(role)的6.1.1訪問控制的基本概念例如，在一個(gè)銀行系統(tǒng)中，可以定義出納員、分行管理者、系統(tǒng)管理員、顧客、審計(jì)員等角色。其中，擔(dān)任系統(tǒng)管理員的用戶具有維護(hù)系統(tǒng)文件的責(zé)任和權(quán)限，無論這個(gè)用戶具體是誰。系統(tǒng)管理員可能是由某個(gè)出納員兼任，他就具有兩種角色。但是出于責(zé)任分離的考慮，需要對(duì)一些權(quán)利集中的角色組合進(jìn)行限制，比如規(guī)定分行管理者和審計(jì)員不能由同一個(gè)用戶擔(dān)任等。6.1.1訪問控制的基本概念例如，在一個(gè)銀行系統(tǒng)中，可以6.1.1訪問控制的基本概念基于角色的訪問控制可以看作是基于組的自主訪問控制的一種變體，一個(gè)角色對(duì)應(yīng)一個(gè)組。2)基于角色的訪問控制。就是通過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實(shí)現(xiàn)訪問控制的。用戶先經(jīng)認(rèn)證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問。6.1.1訪問控制的基本概念基于角色的訪問控制可以看作是6.1.1訪問控制的基本概念3)基于角色訪問控制方法的特點(diǎn)?；诮巧L問控制的方法有如下特點(diǎn)：①提供了3種授權(quán)管理的控制途徑，即：改變客體的訪問權(quán)限，即修改客體可以由哪些角色訪問以及具體的訪問方式；改變角色的訪問權(quán)限；改變主體所擔(dān)任的角色。6.1.1訪問控制的基本概念3)基于角色訪問控制方法的6.1.1訪問控制的基本概念②系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，便于管理。角色的定義是從現(xiàn)實(shí)出發(fā)，所以可以用面向?qū)ο蟮姆椒▉韺?shí)現(xiàn)，運(yùn)用類和繼承等概念表示角色之間的層次關(guān)系非常自然而且實(shí)用。③具有較好的提供最小權(quán)利的能力，從而提高了安全性。由于對(duì)主體的授權(quán)是通過角色定義，因此，調(diào)整角色的權(quán)限粒度可以做到更有針對(duì)性，不容易出現(xiàn)多余權(quán)限。6.1.1訪問控制的基本概念②系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)6.1.1訪問控制的基本概念④具有責(zé)任分離的能力。定義角色的人不一定是擔(dān)任角色的人，這樣，不同角色的訪問權(quán)限可以相互制約，因而具有更高的安全性。6.1.1訪問控制的基本概念④具有責(zé)任分離的能力。定義6.1.2WindowsXP的訪問控制這里，我們來了解WindowsXP操作系統(tǒng)的訪問控制實(shí)現(xiàn)機(jī)制。6.1.2WindowsXP的訪問控制這里，我們來了解6.1.2WindowsXP的訪問控制(1)Windows的安全模型Windows采用的是微內(nèi)核(microkernel)結(jié)構(gòu)和模塊化的系統(tǒng)設(shè)計(jì)。有的模塊運(yùn)行在底層的內(nèi)核模式上，有的模塊則運(yùn)行在受內(nèi)核保護(hù)的用戶模式上。Windows的安全子系統(tǒng)置于核心(kernel)層。6.1.2WindowsXP的訪問控制(1)Wind6.1.2WindowsXP的訪問控制Windows的安全模型由以下幾個(gè)關(guān)鍵部分構(gòu)成，這幾部分在訪問控制的不同階段發(fā)揮了各自的作用。1)登錄過程(logonprocess，LP)。接受本地用戶或者遠(yuǎn)程用戶的登錄請(qǐng)求，處理用戶信息，為用戶做一些初始化工作。6.1.2WindowsXP的訪問控制Windows的6.1.2WindowsXP的訪問控制2)本地安全授權(quán)機(jī)構(gòu)(localsecurityauthority，LSA)。根據(jù)安全賬號(hào)管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶的登錄信息，并控制審計(jì)和日志。這是整個(gè)安全子系統(tǒng)的核心。3)安全賬號(hào)管理器(securityaccountmanager，SAM)。維護(hù)賬號(hào)的安全性管理數(shù)據(jù)庫(SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫)。4)安全引用監(jiān)視器(securityreferencemonitor，SRM)。檢查存取合法性，防止非法存取和修改。6.1.2WindowsXP的訪問控制2)本地安全授6.1.2WindowsXP的訪問控制(2)Windows的安全概念在Windows中，有關(guān)安全的概念主要有以下幾個(gè)：1)安全標(biāo)識(shí)(securityideniifier，SID)。安全標(biāo)識(shí)和賬號(hào)唯一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫里。6.1.2WindowsXP的訪問控制(2)Wind6.1.2WindowsXP的訪問控制2)訪問令牌(accesstoken)。當(dāng)用戶登錄時(shí)，本地安全授權(quán)機(jī)構(gòu)為用戶創(chuàng)建一個(gè)訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。以后，用戶的所有程序都將擁有訪問令牌的拷貝。3)主體。用戶登錄到系統(tǒng)之后，本地安全授權(quán)機(jī)構(gòu)為用戶構(gòu)造一個(gè)訪問令牌，這個(gè)令牌與該用戶所有的操作相聯(lián)系，用戶進(jìn)行的操作和訪問令牌一起構(gòu)成一個(gè)主體。6.1.2WindowsXP的訪問控制2)訪問令牌6.1.2WindowsXP的訪問控制4)對(duì)象、資源、共享資源。對(duì)象的實(shí)質(zhì)是封裝了數(shù)據(jù)和處理過程的一系列信息集合體；資源是用于網(wǎng)絡(luò)環(huán)境的對(duì)象；共享資源是在網(wǎng)絡(luò)上共享的對(duì)象。5)安全描述符(securitydescript)。Windows系統(tǒng)為共享資源創(chuàng)建的安全描述符包含了該對(duì)象的一組安全屬性，分為4個(gè)部分：6.1.2WindowsXP的訪問控制4)對(duì)象、資源6.1.2WindowsXP的訪問控制①所有者安全標(biāo)識(shí)(ownersecurityID)，擁有該對(duì)象的用戶或者用戶組的SID；②組安全標(biāo)識(shí)(groupsecurityID)；③自主訪問控制表(discretionaryaccesscontrollist，DAC)，該對(duì)象的訪問控制表，由對(duì)象的所有者控制；6.1.2WindowsXP的訪問控制①所有者安全標(biāo)6.1.2WindowsXP的訪問控制④系統(tǒng)訪問控制表(systemaccesscontrollist，ACL)，定義操作系統(tǒng)將產(chǎn)生何種類型的審計(jì)信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個(gè)訪問控制表(ACL)都由訪問控制項(xiàng)(accesscontrolentries，ACEs)組成，用來描述用戶或者組對(duì)象的訪問或?qū)徲?jì)權(quán)限。ACEs有3種類型：訪問允許(AccessAllowed)、訪問禁止(AccessDenied)和系統(tǒng)審記(SystemAudit)。前兩種用于自主訪問控制；后一種用于記錄安全日志。6.1.2WindowsXP的訪問控制④系統(tǒng)訪問控制6.1.2WindowsXP的訪問控制(3)Windows的訪問控制過程當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows為它分配一個(gè)SID，并與其他賬號(hào)信息一起存入SAM數(shù)據(jù)庫。6.1.2WindowsXP的訪問控制(3)Wind6.1.2WindowsXP的訪問控制每次用戶登錄時(shí)，登錄主機(jī)(通常為工作站)的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的服務(wù)器域信息送給安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問的信息，并返回用戶的安全標(biāo)識(shí)和用戶所在組的安全標(biāo)識(shí)，工作站系統(tǒng)為用戶生成一個(gè)進(jìn)程。服務(wù)器還要記錄用戶賬號(hào)的權(quán)限、主目錄位置、工作站參數(shù)等信息。6.1.2WindowsXP的訪問控制每次用戶登錄時(shí)，6.1.2WindowsXP的訪問控制然后，本地安全授權(quán)機(jī)構(gòu)為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。此后，用戶每新建一個(gè)進(jìn)程，都將訪問令牌復(fù)制作為該進(jìn)程的訪問令牌。6.1.2WindowsXP的訪問控制然后，本地安全授6.1.2WindowsXP的訪問控制當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器將用戶/進(jìn)程的訪問令牌中的SID與對(duì)象安全描述符中的自主訪問控制表進(jìn)行比較，從而決定用戶是否有權(quán)訪問對(duì)象。在這個(gè)過程中應(yīng)該注意SID對(duì)應(yīng)賬號(hào)的整個(gè)有效期，而訪問令牌只對(duì)應(yīng)某一次賬號(hào)登錄。6.1.2WindowsXP的訪問控制當(dāng)用戶或者用戶生6.1.2WindowsXP的訪問控制Windows系統(tǒng)中共享對(duì)象的訪問權(quán)限是由對(duì)象所有者決定。如果用戶想共享某個(gè)對(duì)象，他首先要為對(duì)象選擇唯一的名字，然后為其他的用戶和組分配訪問權(quán)限。然后，系統(tǒng)會(huì)以此為共享對(duì)象創(chuàng)建安全描述符。一個(gè)沒有訪問控制表的對(duì)象可以被任何用戶以任何方式訪問。共享資源的訪問權(quán)限共有4種，即完全控制(fullcontrol)、拒絕訪問(noAccess)、讀(read)和更改(change)。6.1.2WindowsXP的訪問控制Windows系實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：(1)熟悉訪問控制技術(shù)的基本概念，了解訪問控制技術(shù)的工作原理和基本內(nèi)容。(2)通過學(xué)習(xí)配置安全的Windows操作系統(tǒng)，來加深理解訪問控制技術(shù)，掌握Windows的訪問控制功能。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間，以及如何使用(執(zhí)行何種操作)進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，它能夠再現(xiàn)原有的進(jìn)程和問題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)是非常必要的。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)會(huì)對(duì)用6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)跟蹤記錄按事件自始至終順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持訪問控制職能的實(shí)現(xiàn)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能審計(jì)跟蹤記6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，同時(shí)還能提供對(duì)數(shù)據(jù)恢復(fù)的幫助。6.2審計(jì)追蹤技術(shù)與Windows安全審計(jì)功能通過借助適6.2.1審計(jì)內(nèi)容審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括個(gè)人職能、事件重建、入侵檢測和故障分析。1)個(gè)人職能。審計(jì)跟蹤是管理人員用來維護(hù)個(gè)人職能的技術(shù)手段。一般來說，如果用戶知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過安全控制措施。6.2.1審計(jì)內(nèi)容審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括6.2.1審計(jì)內(nèi)容例如，審計(jì)跟蹤可以保存改動(dòng)前和改動(dòng)后的記錄，以確定是哪個(gè)操作者在什么時(shí)候做了哪些實(shí)際的改動(dòng)，這可以幫助管理層確定錯(cuò)誤到底是由用戶、操作系統(tǒng)、應(yīng)用軟件還是由其他因素造成的。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權(quán)實(shí)現(xiàn)他們的訪問，被授權(quán)的訪問有可能會(huì)被濫用，導(dǎo)致敏感信息的擴(kuò)散，當(dāng)無法阻止用戶通過其合法身份訪問資源時(shí)，審計(jì)跟蹤就能發(fā)揮作用：審計(jì)跟蹤可以用于檢測他們的活動(dòng)。6.2.1審計(jì)內(nèi)容例如，審計(jì)跟蹤可以保存改動(dòng)前和改動(dòng)后的6.2.1審計(jì)內(nèi)容2)事件重建。在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。通過審查系統(tǒng)活動(dòng)的審計(jì)跟蹤可以比較容易地評(píng)估故障損失，確定故障發(fā)生的時(shí)間、原因和過程。通過對(duì)審計(jì)跟蹤的分析就可以重建系統(tǒng)和協(xié)助恢復(fù)數(shù)據(jù)文件；同時(shí)，還有可能避免下次發(fā)生此類故障的情況。6.2.1審計(jì)內(nèi)容2)事件重建。在發(fā)生故障后，審計(jì)跟蹤6.2.1審計(jì)內(nèi)容3)入侵檢測。審計(jì)跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或是過后預(yù)防入侵活動(dòng)。實(shí)時(shí)入侵檢測可以及時(shí)發(fā)現(xiàn)非法授權(quán)者對(duì)系統(tǒng)的非法訪問，也可以探測到病毒擴(kuò)散和網(wǎng)絡(luò)攻擊。4)故障分析。審計(jì)跟蹤可以用于實(shí)時(shí)監(jiān)控。6.2.1審計(jì)內(nèi)容3)入侵檢測。審計(jì)跟蹤記錄可以用來協(xié)6.2.2安全審計(jì)的目標(biāo)安全審計(jì)提供的功能服務(wù)于直接和間接兩個(gè)方面的安全目標(biāo)：直接目標(biāo)包括跟蹤和監(jiān)測系統(tǒng)中的異常事件，間接目標(biāo)是監(jiān)視系統(tǒng)中其他安全機(jī)制的運(yùn)行情況和可信度。6.2.2安全審計(jì)的目標(biāo)安全審計(jì)提供的功能服務(wù)于直接和間6.2.2安全審計(jì)的目標(biāo)所有審計(jì)的前提是有一個(gè)支配審計(jì)過程的規(guī)則集。規(guī)則的確切形式和內(nèi)容隨審計(jì)過程具體內(nèi)容的改變而改變。在商業(yè)與管理審計(jì)中，規(guī)則集包括對(duì)確保商業(yè)目標(biāo)的實(shí)現(xiàn)有重要意義的管理控制、過程和慣例。這些商業(yè)目標(biāo)包括資源的合理使用、利率最大化、費(fèi)用最小化、符合相應(yīng)的法律法規(guī)和適當(dāng)?shù)娘L(fēng)險(xiǎn)控制。在計(jì)算機(jī)安全審計(jì)的特殊情況下，規(guī)則集通常以安全策略的形式明確表述。6.2.2安全審計(jì)的目標(biāo)所有審計(jì)的前提是有一個(gè)支配審計(jì)過6.2.2安全審計(jì)的目標(biāo)從抽象意義上講，傳統(tǒng)的金融和管理審計(jì)與計(jì)算機(jī)安全審計(jì)的過程是完全相同的，但它們各自關(guān)注的問題有很大不同。計(jì)算機(jī)安全審計(jì)是通過一定的策略，利用記錄和分析歷史操作事件來發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全。6.2.2安全審計(jì)的目標(biāo)從抽象意義上講，傳統(tǒng)的金融和管理6.2.2安全審計(jì)的目標(biāo)計(jì)算機(jī)安全審計(jì)需要達(dá)到的目的包括：對(duì)潛在的攻擊者起到震懾和警告的作用；對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究責(zé)任的證據(jù)；為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。6.2.2安全審計(jì)的目標(biāo)計(jì)算機(jī)安全審計(jì)需要達(dá)到的目的包括6.2.3安全審計(jì)系統(tǒng)審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和分析來實(shí)現(xiàn)的，因此審計(jì)系統(tǒng)包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制等幾部分。6.2.3安全審計(jì)系統(tǒng)審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和6.2.3安全審計(jì)系統(tǒng)(1)日志的內(nèi)容在理想的情況下，日志應(yīng)該記錄每一個(gè)