第5章訪(fǎng)問(wèn)控制技術(shù)本章學(xué)習(xí)目標(biāo)訪(fǎng)問(wèn)控制的三個(gè)要素、7種策略、內(nèi)容、模型訪(fǎng)問(wèn)控制的安全策略與安全級(jí)別安全審計(jì)的類(lèi)型、與實(shí)施有關(guān)的問(wèn)題日志的審計(jì)WindowsNT操作系統(tǒng)中的訪(fǎng)問(wèn)控制與安全審計(jì)5.1訪(fǎng)問(wèn)控制概述訪(fǎng)問(wèn)控制是在保障授權(quán)用戶(hù)能獲取所需資源的同時(shí)拒絕非授權(quán)用戶(hù)的安全機(jī)制。網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制技術(shù)是通過(guò)對(duì)訪(fǎng)問(wèn)的申請(qǐng)、批準(zhǔn)和撤銷(xiāo)的全過(guò)程進(jìn)行有效的控制，從而確保只有合法用戶(hù)的合法訪(fǎng)問(wèn)才能給予批準(zhǔn)，而且相應(yīng)的訪(fǎng)問(wèn)只能執(zhí)行授權(quán)的操作。訪(fǎng)問(wèn)控制是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，也是計(jì)算機(jī)網(wǎng)絡(luò)安全理論基礎(chǔ)重要組成部分。5.1.1訪(fǎng)問(wèn)控制的定義訪(fǎng)問(wèn)控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制包括三個(gè)要素，即主體、客體和控制策略。主體S（Subject）是指一個(gè)提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。主體可以是某個(gè)用戶(hù)，也可以是用戶(hù)啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備?？腕wO（Object）是接受其他實(shí)體訪(fǎng)問(wèn)的被動(dòng)實(shí)體?？腕w的概念也很廣泛，凡是可以被操作的信息、資源、對(duì)象都可以認(rèn)為是客體。在信息社會(huì)中，客體可以是信息、文件、記錄等的集合體，也可以是網(wǎng)路上的硬件設(shè)施，無(wú)線(xiàn)通信中的終端，甚至一個(gè)客體可以包含另外一個(gè)客體?？刂撇呗钥刂撇呗訟（Attribution）是主體對(duì)客體的訪(fǎng)問(wèn)規(guī)則集，即屬性集合。訪(fǎng)問(wèn)策略實(shí)際上體現(xiàn)了一種授權(quán)行為，也就是客體對(duì)主體的權(quán)限允許。訪(fǎng)問(wèn)控制的目的是為了限制訪(fǎng)問(wèn)主體對(duì)訪(fǎng)問(wèn)客體的訪(fǎng)問(wèn)權(quán)限，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶(hù)能做什么，也決定代表一定用戶(hù)身份的進(jìn)程能做什么。為達(dá)到上述目的，訪(fǎng)問(wèn)控制需要完成以下兩個(gè)任務(wù)：識(shí)別和確認(rèn)訪(fǎng)問(wèn)系統(tǒng)的用戶(hù)。決定該用戶(hù)可以對(duì)某一系統(tǒng)資源進(jìn)行何種類(lèi)型的訪(fǎng)問(wèn)7種訪(fǎng)問(wèn)控制策略入網(wǎng)訪(fǎng)問(wèn)控制。網(wǎng)絡(luò)的權(quán)限控制。目錄級(jí)安全控制。屬性安全控制。網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。5.1.2訪(fǎng)問(wèn)控制矩陣訪(fǎng)問(wèn)控制系統(tǒng)三個(gè)要素之間的行為關(guān)系可以用一個(gè)訪(fǎng)問(wèn)控制矩陣來(lái)表示。對(duì)于任意一個(gè)si∈S，oj∈O，都存在相應(yīng)的一個(gè)aij∈A，且aij=P（si，oj），其中P是訪(fǎng)問(wèn)權(quán)限的函數(shù)。aij代表si可以對(duì)oj執(zhí)行什么樣的操作。訪(fǎng)問(wèn)控制矩陣如下：其中，Si（i=0，1，…，m）是主體對(duì)所有客體的權(quán)限集合，Oj（j=0，1，…，n）是客體對(duì)所有主體的訪(fǎng)問(wèn)權(quán)限集合5.1.3訪(fǎng)問(wèn)控制的內(nèi)容訪(fǎng)問(wèn)控制的實(shí)現(xiàn)首先要考慮對(duì)合法用戶(hù)進(jìn)行驗(yàn)證，然后是對(duì)控制策略的選用與管理，最后要對(duì)非法用戶(hù)或是越權(quán)操作進(jìn)行管理。所以，訪(fǎng)問(wèn)控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計(jì)三個(gè)方面的內(nèi)容。認(rèn)證：包括主體對(duì)客體的識(shí)別認(rèn)證和客體對(duì)主體檢驗(yàn)認(rèn)證?？刂撇呗缘木唧w實(shí)現(xiàn)：如何設(shè)定規(guī)則集合從而確保正常用戶(hù)對(duì)信息資源的合法使用，既要防止非法用戶(hù)，也要考慮敏感資源的泄漏，對(duì)于合法用戶(hù)而言，更不能越權(quán)行使控制策略所賦予其權(quán)利以外的功能。安全審計(jì)：使系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)中的“正?！辈僮鳌ⅰ胺钦！辈僮饕约笆褂脮r(shí)間、敏感信息等。審計(jì)類(lèi)似于飛機(jī)上的“黑匣子”，它為系統(tǒng)進(jìn)行事故原因查詢(xún)、定位、事故發(fā)生前的預(yù)測(cè)、報(bào)警以及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。5.2訪(fǎng)問(wèn)控制模型自主訪(fǎng)問(wèn)控制模型強(qiáng)制訪(fǎng)問(wèn)控制模型基于角色的訪(fǎng)問(wèn)控制模型其他訪(fǎng)問(wèn)控制模型基于任務(wù)的訪(fǎng)問(wèn)控制模型基于對(duì)象的訪(fǎng)問(wèn)控制模型5.2.1自主訪(fǎng)問(wèn)控制模型自主訪(fǎng)問(wèn)控制模型（DiscretionaryAccessControlModel，DACModel）是根據(jù)自主訪(fǎng)問(wèn)控制策略建立的一種模型，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪(fǎng)問(wèn)，也就是由擁有資源的用戶(hù)自己來(lái)決定其他一個(gè)或一些主體可以在什么程度上訪(fǎng)問(wèn)哪些資源。自主訪(fǎng)問(wèn)控制又稱(chēng)為任意訪(fǎng)問(wèn)控制，一個(gè)主體的訪(fǎng)問(wèn)權(quán)限具有傳遞性。為了實(shí)現(xiàn)完整的自主訪(fǎng)問(wèn)系統(tǒng)，DAC模型一般采用訪(fǎng)問(wèn)控制表來(lái)表達(dá)訪(fǎng)問(wèn)控制信息。訪(fǎng)問(wèn)控制表（AccessControlList，ACL）是基于訪(fǎng)問(wèn)控制矩陣中列的自主訪(fǎng)問(wèn)控制。它在一個(gè)客體上附加一個(gè)主體明細(xì)表，來(lái)表示各個(gè)主體對(duì)這個(gè)客體的訪(fǎng)問(wèn)權(quán)限。明細(xì)表中的每一項(xiàng)都包括主體的身份和主體對(duì)這個(gè)客體的訪(fǎng)問(wèn)權(quán)限。對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體oj附加的訪(fǎng)問(wèn)控制表的結(jié)構(gòu)如圖所示。Ojs0rs1ws2e……sxrwe對(duì)于客體oj，主體s0只有讀（r）的權(quán)限；主主體s1只有寫(xiě)（w）的權(quán)限；主主體s2只有執(zhí)行（e）的權(quán)限；主主體sx具有讀（r）、寫(xiě)（w）和執(zhí)行（e）的權(quán)限。但是，在一個(gè)個(gè)很大的系統(tǒng)統(tǒng)中，可能會(huì)會(huì)有非常多的的主體和客體體，這就導(dǎo)致致訪(fǎng)問(wèn)控制表表非常長(zhǎng)，占占用很多的存存儲(chǔ)空間，而而且訪(fǎng)問(wèn)時(shí)效效率下降。使使用組（group）或者通配符符可以有效地地縮短表的長(zhǎng)長(zhǎng)度。用戶(hù)可以根據(jù)據(jù)部門(mén)結(jié)構(gòu)或或者工作性質(zhì)質(zhì)被分為有限限的幾類(lèi)。同同一類(lèi)用戶(hù)使使用的資源基基本上是相同同的。因此，，可以把一類(lèi)類(lèi)用戶(hù)作為一一個(gè)組，分配配一個(gè)組名，，簡(jiǎn)稱(chēng)“GN”，訪(fǎng)問(wèn)時(shí)可以以按照組名判判斷。通配符符“*”可以以代替任何組組名或者主體體標(biāo)識(shí)符。這這時(shí)，訪(fǎng)問(wèn)控控制表中的主主體標(biāo)識(shí)為：：主體標(biāo)識(shí)=ID?GN。其中，ID是主體標(biāo)識(shí)符符，GN是主體所在組組的組名。帶有組和通配配符的訪(fǎng)問(wèn)控控制表示例上圖的第二列列表示，屬于于TEACH組的所有主體體都對(duì)客體oj具有讀和寫(xiě)的的權(quán)限；但是是只有TEACH組中的主體Cai才額外具有執(zhí)執(zhí)行的權(quán)限（（第一列）；；無(wú)論是哪一一組中的Li都可以讀客體體oj（第三列）；；最后一個(gè)表表項(xiàng)（第四列列）說(shuō)明所有有其他的主體體，無(wú)論屬于于哪個(gè)組，都都不具備對(duì)oj有任何訪(fǎng)問(wèn)權(quán)權(quán)限。5.2.2強(qiáng)制訪(fǎng)問(wèn)控制制模型自主訪(fǎng)問(wèn)控制制的最大特點(diǎn)點(diǎn)是自主，即即資源的擁有有者對(duì)資源的的訪(fǎng)問(wèn)策略具具有決策權(quán)，，因此是一種種限制比較弱弱的訪(fǎng)問(wèn)控制制策略。這種種方式給用戶(hù)戶(hù)帶來(lái)靈活性性的同時(shí)，也也帶來(lái)了安全全隱患。和DAC模型不同的是是，強(qiáng)制訪(fǎng)問(wèn)問(wèn)控制模型（（MandatoryAccessControlModel，MACModel）是一種多級(jí)級(jí)訪(fǎng)問(wèn)控制策策略，它的主主要特點(diǎn)是系系統(tǒng)對(duì)主體和和客體實(shí)行強(qiáng)強(qiáng)制訪(fǎng)問(wèn)控制制：系統(tǒng)事先先給所有的主主體和客體指指定不同的安安全級(jí)別，比比如絕密級(jí)、、機(jī)密級(jí)、秘秘密級(jí)和無(wú)密密級(jí)。在實(shí)施施訪(fǎng)問(wèn)控制時(shí)時(shí)，系統(tǒng)先對(duì)對(duì)主體和客體體的安全級(jí)別別進(jìn)行比較，，再?zèng)Q定主體體能否訪(fǎng)問(wèn)該該客體。所以以，不同級(jí)別別的主體對(duì)不不同級(jí)別的客客體的訪(fǎng)問(wèn)是是在強(qiáng)制的安安全策略下實(shí)實(shí)現(xiàn)的。在強(qiáng)制訪(fǎng)問(wèn)控控制模型中，，將安全級(jí)別別進(jìn)行排序，，如按照從高高到低排列，，規(guī)定高級(jí)別別可以單向訪(fǎng)訪(fǎng)問(wèn)低級(jí)別，，也可以規(guī)定定低級(jí)別可以以單向訪(fǎng)問(wèn)高高級(jí)別。這種種訪(fǎng)問(wèn)可以是是讀，也可以以是寫(xiě)或修改改。主體對(duì)客客體的訪(fǎng)問(wèn)主主要有4種方式：向下讀（rd，readdown）。主體安全全級(jí)別高于客客體信息資源源的安全級(jí)別別時(shí)允許查閱閱的讀操作。。向上讀（ru，readup）。主體安全全級(jí)別低于客客體信息資源源的安全級(jí)別別時(shí)允許的讀讀操作。向下寫(xiě)（wd，writedown）。主體安全全級(jí)別高于客客體信息資源源的安全級(jí)別別時(shí)允許執(zhí)行行的動(dòng)作或是是寫(xiě)操作。向上寫(xiě)（wu，writeup）。主體安全全級(jí)別低于客客體信息資源源的安全級(jí)別別時(shí)允許執(zhí)行行的動(dòng)作或是是寫(xiě)操作。由于MAC通過(guò)將安全級(jí)級(jí)別進(jìn)行排序序?qū)崿F(xiàn)了信息息的單向流通通，因此它一一直被軍方采采用。MAC模型中最主要要的三種模型型為：Lattice模型、BellLaPadula模型（BLPModel）和Biba模型（BibaModel）。在這些模模型中，信息息的完整性和和保密性是分分別考慮的，，因而對(duì)讀、、寫(xiě)的方向進(jìn)進(jìn)行了反向規(guī)規(guī)定。保障信息完整整性策略。為為了保障信息息的完整性，，低級(jí)別的主主體可以讀高高級(jí)別客體的的信息（不保保密），但低低級(jí)別的主體體不能寫(xiě)高級(jí)級(jí)別的客體（（保障信息完完整），因此此采用的是上上讀/下寫(xiě)策略。保障信息機(jī)密密性策略。與與保障完整性性策略相反，，為了保障信信息的保密性性，低級(jí)別的的主體不可以以讀高級(jí)別的的信息（保密密），但低級(jí)級(jí)別的主體可可以寫(xiě)高級(jí)別別的客體（完完整性可能破破壞），因此此采用的是下下讀/上寫(xiě)策策略。。5.2.3基于角角色的的訪(fǎng)問(wèn)問(wèn)控制制模型型在上述述兩種種訪(fǎng)問(wèn)問(wèn)控制制模型型中，，用戶(hù)戶(hù)的權(quán)權(quán)限可可以變變更，，但必必須在在系統(tǒng)統(tǒng)管理理員的的授權(quán)權(quán)下才才能進(jìn)進(jìn)行。。然而而在具具體實(shí)實(shí)現(xiàn)時(shí)時(shí)，往往往不不能滿(mǎn)滿(mǎn)足實(shí)實(shí)際需需求。。主要要問(wèn)題題在于于：同一用用戶(hù)在在不同同的場(chǎng)場(chǎng)合需需要以以不同同的權(quán)權(quán)限訪(fǎng)訪(fǎng)問(wèn)系系統(tǒng)，，而變變更權(quán)權(quán)限必必須經(jīng)經(jīng)系統(tǒng)統(tǒng)管理理員授授權(quán)修修改，，因此此很不不方便便。當(dāng)用戶(hù)戶(hù)量大大量增增加時(shí)時(shí)，系系統(tǒng)管管理將將變得得復(fù)雜雜、工工作量量急劇劇增加加，容容易出出錯(cuò)。。不容易易實(shí)現(xiàn)現(xiàn)系統(tǒng)統(tǒng)的層層次化化分權(quán)權(quán)管理理，尤尤其是是當(dāng)同同一用用戶(hù)在在不同同場(chǎng)合合處在在不同同的權(quán)權(quán)限層層次時(shí)時(shí)，系系統(tǒng)管管理很很難實(shí)實(shí)現(xiàn)。。除非非同一一用戶(hù)戶(hù)以多多個(gè)用用戶(hù)名名注冊(cè)冊(cè)。但是如如果企企業(yè)的的組織織結(jié)構(gòu)構(gòu)或是是系統(tǒng)統(tǒng)的安安全需需求出出于變變化的的過(guò)程程中時(shí)時(shí)，那那么就就需要要進(jìn)行行大量量繁瑣瑣的授授權(quán)變變動(dòng)，，系統(tǒng)統(tǒng)管理理員的的工作作將變變得非非常繁繁重，，更主主要的的是容容易發(fā)發(fā)生錯(cuò)錯(cuò)誤造造成一一些意意想不不到的的安全全漏洞洞。角色的的概念念在基于于角色色的訪(fǎng)訪(fǎng)問(wèn)控控制模模型中中，角角色（（role）定義義為與與一個(gè)個(gè)特定定活動(dòng)動(dòng)相關(guān)關(guān)聯(lián)的的一組組動(dòng)作作和責(zé)責(zé)任。。系統(tǒng)統(tǒng)中的的主體體擔(dān)任任角色色，完完成角角色規(guī)規(guī)定的的責(zé)任任，具具有角角色擁?yè)碛械牡臋?quán)限限。一一個(gè)主主體可可以同同時(shí)擔(dān)擔(dān)任多多個(gè)角角色，，它的的權(quán)限限就是是多個(gè)個(gè)角色色權(quán)限限的總總和。?；谟诮巧脑L(fǎng)訪(fǎng)問(wèn)控控制就就是通通過(guò)各各種角角色的的不同同搭配配授權(quán)權(quán)來(lái)盡盡可能能實(shí)現(xiàn)現(xiàn)主體體的最最小權(quán)權(quán)限。。最小小權(quán)限限指主主體在在能夠夠完成成所有有必需需的訪(fǎng)訪(fǎng)問(wèn)工工作基基礎(chǔ)上上的最最小權(quán)權(quán)限。?；诮墙巧牡脑L(fǎng)問(wèn)問(wèn)控制制原理理基于角角色的的訪(fǎng)問(wèn)問(wèn)控制制就是是通過(guò)過(guò)定義義角色色的權(quán)權(quán)限，，為系系統(tǒng)中中的主主體分分配角角色來(lái)來(lái)實(shí)現(xiàn)現(xiàn)訪(fǎng)問(wèn)問(wèn)控制制的，，如圖圖所示示。用戶(hù)先先經(jīng)認(rèn)認(rèn)證后后獲得得一個(gè)個(gè)角色色，該該角色色被分分派了了一定定的權(quán)權(quán)限，，用戶(hù)戶(hù)以特特定角角色訪(fǎng)訪(fǎng)問(wèn)系系統(tǒng)資資源，，訪(fǎng)問(wèn)問(wèn)控制制機(jī)制制檢查查角色色的權(quán)權(quán)限，，并決決定是是否允允許訪(fǎng)訪(fǎng)問(wèn)。。5.2.4其他訪(fǎng)訪(fǎng)問(wèn)控控制模模型1、基于于任務(wù)務(wù)的訪(fǎng)訪(fǎng)問(wèn)控控制模模型（TaskbasedAccessControlModel，TBACModel）。TBAC是從應(yīng)應(yīng)用和和企業(yè)業(yè)層角角度來(lái)來(lái)解決決安全全問(wèn)題題，以以面向向任務(wù)務(wù)的觀觀點(diǎn)，，從任任務(wù)（（活動(dòng)動(dòng)）的的角度度來(lái)建建立安安全模模型和和實(shí)現(xiàn)現(xiàn)安全全機(jī)制制，在在任務(wù)務(wù)處理理的過(guò)過(guò)程中中提供供動(dòng)態(tài)態(tài)實(shí)時(shí)時(shí)的安安全管管理。。其訪(fǎng)訪(fǎng)問(wèn)控控制策策略及及其內(nèi)內(nèi)部組組件關(guān)關(guān)系一一般由由系統(tǒng)統(tǒng)管理理員直直接配配置，，支持持最小小特權(quán)權(quán)原則則和最最小泄泄漏原原則，，在執(zhí)執(zhí)行任任務(wù)時(shí)時(shí)只給給用戶(hù)戶(hù)分配配所需需的權(quán)權(quán)限，，未執(zhí)執(zhí)行任任務(wù)或或任務(wù)務(wù)終止止后用用戶(hù)不不再擁?yè)碛兴峙渑涞臋?quán)權(quán)限；；而且且在執(zhí)執(zhí)行任任務(wù)過(guò)過(guò)程中中，當(dāng)當(dāng)某一一權(quán)限限不再再使用用時(shí)，，將自自動(dòng)收收回該該權(quán)限限。2．基于于對(duì)象象的訪(fǎng)訪(fǎng)問(wèn)控控制模模型基于對(duì)對(duì)象的的訪(fǎng)問(wèn)問(wèn)控制制模型型（ObjectBasedAccessControlModel，OBACModel）。OBAC模型從從受控控對(duì)象象的角角度出出發(fā)，，將主主體的的訪(fǎng)問(wèn)問(wèn)權(quán)限限直接接與受受控對(duì)對(duì)象相相關(guān)聯(lián)聯(lián)，一一方面面定義義對(duì)象象的訪(fǎng)訪(fǎng)問(wèn)控控制表表，增增、刪刪、修修改訪(fǎng)訪(fǎng)問(wèn)控控制項(xiàng)項(xiàng)易于于操作作；另另一方方面，，當(dāng)受受控對(duì)對(duì)象的的屬性性發(fā)生生改變變，或或者受受控對(duì)對(duì)象發(fā)發(fā)生繼繼承和和派生生行為為時(shí)，，無(wú)須須更新新訪(fǎng)問(wèn)問(wèn)主體體的權(quán)權(quán)限，，只需需要修修改受受控對(duì)對(duì)象的的相應(yīng)應(yīng)訪(fǎng)問(wèn)問(wèn)控制制項(xiàng)即即可，，從而而減少少了主主體的的權(quán)限限管理理，減減輕了了由于于信息息資源源的派派生、、演化化和重重組等等帶來(lái)來(lái)的分分配、、設(shè)定定角色色權(quán)限限等的的工作作量。。5.3訪(fǎng)問(wèn)問(wèn)控控制制的的安安全全策策略略與與安安全全級(jí)級(jí)別別訪(fǎng)問(wèn)問(wèn)控控制制的的安安全全策策略略有有以以下下兩兩種種實(shí)實(shí)現(xiàn)現(xiàn)方方式式：：基基于于身身份份的的安安全全策策略略和和基基于于規(guī)規(guī)則則的的安安全全策策略略。。這兩兩種種安安全全策策略略建建立立的的基基礎(chǔ)礎(chǔ)都都是是授授權(quán)權(quán)行行為為。。就就其其形形式式而而言言，，基基于于身身份份的的安安全全策策略略等等同同于于DAC安安全全策策略略，，基基于于規(guī)規(guī)則則的的安安全全策策略略等等同同于于MAC安安全全策策略略。。5.3.1安全全策策略略實(shí)施施原原則則：：訪(fǎng)訪(fǎng)問(wèn)問(wèn)控控制制安安全全策策略略的的實(shí)實(shí)施施原原則則圍圍繞繞主主體體、、客客體體和和安安全全控控制制規(guī)規(guī)則則集集三三者者之之間間的的關(guān)關(guān)系系展展開(kāi)開(kāi)。。最小小特特權(quán)權(quán)原原則則。。是指指主主體體執(zhí)執(zhí)行行操操作作時(shí)時(shí)，，按按照照主主體體所所需需權(quán)權(quán)利利的的最最小小化化原原則則分分配配給給主主體體權(quán)權(quán)力力。。最最小小特特權(quán)權(quán)原原則則的的優(yōu)優(yōu)點(diǎn)點(diǎn)是是最最大大限限度度地地限限制制了了主主體體實(shí)實(shí)施施授授權(quán)權(quán)行行為為，，可可以以避避免免來(lái)來(lái)自自突突發(fā)發(fā)事事件件、、錯(cuò)錯(cuò)誤誤和和未未授授權(quán)權(quán)主主體體的的危危險(xiǎn)險(xiǎn)。。也也就就是是說(shuō)說(shuō)，，為為了了達(dá)達(dá)到到一一定定目目的的，，主主體體必必須須執(zhí)執(zhí)行行一一定定操操作作，，但但他他只只能能做做他他所所被被允允許許做做的的，，其其他他除除外外。。最小泄漏漏原則。。是指主體體執(zhí)行任任務(wù)時(shí)，，按照主主體所需需要知道道的信息息最小化化的原則則分配給給主體權(quán)權(quán)力。多級(jí)安全全策略。。是指主體體和客體體間的數(shù)數(shù)據(jù)流向向和權(quán)限限控制按按照安全全級(jí)別的的絕密（（TS）、秘密密（S）、機(jī)密密（C）、限制制（RS）和無(wú)級(jí)級(jí)別（U）5級(jí)來(lái)劃分分。多級(jí)級(jí)安全策策略的優(yōu)優(yōu)點(diǎn)是避避免敏感感信息的的擴(kuò)散。。具有安安全級(jí)別別的信息息資源，，只有安安全級(jí)別別比它高高的主體體才能夠夠訪(fǎng)問(wèn)。?；谏矸莘莸陌踩呗曰谏矸莘莸陌踩呗允鞘沁^(guò)濾對(duì)對(duì)數(shù)據(jù)或或資源的的訪(fǎng)問(wèn)，，只有能能通過(guò)認(rèn)認(rèn)證的那那些主體體才有可可能正常常使用客客體的資資源?；谏矸莘莸陌踩呗园ɑ谟趥€(gè)人的的策略和和基于組組的策略略，主要要有兩種種基本的的實(shí)現(xiàn)方方法，分分別為能能力表和和訪(fǎng)問(wèn)控控制表。?；趥€(gè)人人的策略略?；趥€(gè)人人的策略略是指以以用戶(hù)個(gè)個(gè)人為中中心建立立的一種種策略，，由一些些列表組組成。這這些列表表針對(duì)特特定的客客體，限限定了哪哪些用戶(hù)戶(hù)可以實(shí)實(shí)現(xiàn)何種種安全策策略的操操作行為為?；诮M的的策略。?；诮M的的策略是是基于個(gè)個(gè)人的策策略的擴(kuò)擴(kuò)充，指指一些用用戶(hù)被允允許使用用同樣的的訪(fǎng)問(wèn)控控制規(guī)則則訪(fǎng)問(wèn)同同樣的客客體?；谝?guī)則則的安全全策略基于規(guī)則則的安全全策略中中的授權(quán)權(quán)通常依依賴(lài)于敏敏感性。。在一個(gè)個(gè)安全系系統(tǒng)中，，數(shù)據(jù)或或資源應(yīng)應(yīng)該標(biāo)注注安全標(biāo)標(biāo)記。代代表用戶(hù)戶(hù)進(jìn)行活活動(dòng)的進(jìn)進(jìn)程可以以得到與與其原發(fā)發(fā)者相應(yīng)應(yīng)的安全全標(biāo)記。。在實(shí)現(xiàn)現(xiàn)上，由由系統(tǒng)通通過(guò)比較較用戶(hù)的的安全級(jí)級(jí)別和客客體資源源的安全全級(jí)別來(lái)來(lái)判斷是是否允許許用戶(hù)進(jìn)進(jìn)行訪(fǎng)問(wèn)問(wèn)。5.3.2安全級(jí)別別安全級(jí)別別有兩個(gè)個(gè)含義，，一個(gè)是是主、客客體系統(tǒng)統(tǒng)資源的的安全級(jí)級(jí)別，分分為有層層次的安安全級(jí)別別和無(wú)層層次的安安全級(jí)別別；另一一個(gè)是訪(fǎng)訪(fǎng)問(wèn)控制制系統(tǒng)實(shí)實(shí)現(xiàn)的安安全級(jí)別別，這和和《可信信計(jì)算機(jī)機(jī)系統(tǒng)評(píng)評(píng)估標(biāo)準(zhǔn)準(zhǔn)》的安安全級(jí)別別是一樣樣的，分分為D，，C（C1，C2），，B（B1，B2，B3）和和A共4類(lèi)7級(jí)級(jí)，由低低到高。。5.4安全審計(jì)計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全全審計(jì)是是通過(guò)一一定的策策略，利利用記錄錄和分析析系統(tǒng)活活動(dòng)和用用戶(hù)活動(dòng)動(dòng)的歷史史操作事事件，按按照順序序檢查、、審查和和檢驗(yàn)每每個(gè)事件件的環(huán)境境及活動(dòng)動(dòng)，其中中系統(tǒng)活活動(dòng)包括括操作系系統(tǒng)和應(yīng)應(yīng)用程序序進(jìn)程的的活動(dòng)；；用戶(hù)活活動(dòng)包括括用戶(hù)在在操作系系統(tǒng)中和和應(yīng)用程程序中的的活動(dòng)，，如用戶(hù)戶(hù)使用何何種資源源、使用用的時(shí)間間、執(zhí)行行何種操操作等方方面，發(fā)發(fā)現(xiàn)系統(tǒng)統(tǒng)的漏洞洞并改進(jìn)進(jìn)系統(tǒng)的的性能和和安全。。審計(jì)是是計(jì)算機(jī)機(jī)網(wǎng)絡(luò)安安全的重重要組成成部分。。5.4.1安全審計(jì)計(jì)概述安全審計(jì)計(jì)的目標(biāo)標(biāo)：對(duì)潛在的的攻擊者者起到震震懾和警警告的作作用；對(duì)對(duì)于已經(jīng)經(jīng)發(fā)生的的系統(tǒng)破破壞行為為，提供供有效的的追究責(zé)責(zé)任的證證據(jù)，評(píng)評(píng)估損失失，提供供有效的的災(zāi)難恢恢復(fù)依據(jù)據(jù)；為系系統(tǒng)管理理員提供供有價(jià)值值的系統(tǒng)統(tǒng)使用日日志，幫幫助系統(tǒng)統(tǒng)管理員員及時(shí)發(fā)發(fā)現(xiàn)系統(tǒng)統(tǒng)入侵行行為或潛潛在的系系統(tǒng)漏洞洞。安全審計(jì)計(jì)的類(lèi)型型有三種：：系統(tǒng)級(jí)級(jí)審計(jì)、、應(yīng)用級(jí)級(jí)審計(jì)和和用戶(hù)級(jí)級(jí)審計(jì)。。系統(tǒng)級(jí)審審計(jì)。系統(tǒng)級(jí)審審計(jì)的內(nèi)內(nèi)容主要要包括登登錄（成成功和失失?。?、、登錄識(shí)識(shí)別號(hào)、、每次登登錄嘗試試的日期期和時(shí)間間、每次次退出的的日期和和時(shí)間、、所使用用的設(shè)備備、登錄錄后運(yùn)行行的內(nèi)容容（如用用戶(hù)啟動(dòng)動(dòng)應(yīng)用的的嘗試，，無(wú)論成成功或失失?。?。。典型的的系統(tǒng)級(jí)級(jí)日志還還包括和和安全無(wú)無(wú)關(guān)的信信息，如如系統(tǒng)操操作、費(fèi)費(fèi)用記賬賬和網(wǎng)絡(luò)絡(luò)性能。。應(yīng)用級(jí)審審計(jì)。系統(tǒng)級(jí)審審計(jì)可能能無(wú)法跟跟蹤和記記錄應(yīng)用用中的事事件，也也可能無(wú)無(wú)法提供供應(yīng)用和和數(shù)據(jù)擁?yè)碛姓咝栊枰淖阕銐虻募?xì)細(xì)節(jié)信息息。通常常，應(yīng)用用級(jí)審計(jì)計(jì)的內(nèi)容容包括打打開(kāi)和關(guān)關(guān)閉數(shù)據(jù)據(jù)文件，，讀取、、編輯和和刪除記記錄或字字段的特特定操作作以及打打印報(bào)告告之類(lèi)的的用戶(hù)活活動(dòng)。用戶(hù)級(jí)審審計(jì)。用戶(hù)級(jí)審審計(jì)的內(nèi)內(nèi)容通常常包括：：用戶(hù)直直接啟動(dòng)動(dòng)的所有有命令、、用戶(hù)所所有的鑒鑒別和認(rèn)認(rèn)證嘗試試、用戶(hù)戶(hù)所訪(fǎng)問(wèn)問(wèn)的文件件和資源源等方面面。安全審計(jì)計(jì)系統(tǒng)的的基本結(jié)結(jié)構(gòu)安全審計(jì)計(jì)是通過(guò)過(guò)對(duì)所關(guān)關(guān)心的事事件進(jìn)行行記錄和和分析來(lái)來(lái)實(shí)現(xiàn)的的，因此此審計(jì)過(guò)過(guò)程包括括審計(jì)發(fā)發(fā)生器、、日志記記錄器、、日志分分析器和和報(bào)告機(jī)機(jī)制幾部部分，如如圖所示示。系統(tǒng)事件安全事件應(yīng)用事件網(wǎng)絡(luò)事件其他事件審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器審計(jì)發(fā)生器日志

記錄器日志

分析器審計(jì)分析報(bào)告日志文件審計(jì)策略

和規(guī)則…5.4.2日志的的審計(jì)計(jì)日志的的內(nèi)容容：日日志系系統(tǒng)可可根據(jù)據(jù)安全全要求求的強(qiáng)強(qiáng)度選選擇記記錄下下列事事件的的部分分或全全部：：審計(jì)功功能的的啟動(dòng)動(dòng)和關(guān)關(guān)閉。。使用身身份驗(yàn)驗(yàn)證機(jī)機(jī)制。。將客體體引入入主體體的地地址空空間。。刪除客客體。。管理員員、安安全員員、審審計(jì)員員和一一般操操作人人員的的操作作。其他專(zhuān)專(zhuān)門(mén)定定義的的可審審計(jì)事事件。。通常，，對(duì)于于一個(gè)個(gè)事件件，日日志應(yīng)應(yīng)包括括事件件發(fā)生生的日日期和和時(shí)間間、引引發(fā)事事件的的用戶(hù)戶(hù)（地地址））、事事件和和源及及目的的的位位置、、事件件類(lèi)型型、事事件成成敗等等。安全審審計(jì)的的記錄錄機(jī)制制不同的的系統(tǒng)統(tǒng)可采采用不不同的的機(jī)制制記錄錄日志志。日日志的的記錄錄可以以由操操作系系統(tǒng)完完成，，也可可以由由應(yīng)用用系統(tǒng)統(tǒng)或其其他專(zhuān)專(zhuān)用記記錄系系統(tǒng)完完成。。但是是，大大部分分情況況都可可用系系統(tǒng)調(diào)調(diào)用Syslog來(lái)記錄錄日志志，也也可以以用SNMP記錄。。Syslog由Syslog守護(hù)程程序、、Syslog規(guī)則集集及Syslog系統(tǒng)調(diào)調(diào)用三三部分分組成成。日志素材Syslog系統(tǒng)調(diào)用Syslog守護(hù)程序Syslog規(guī)則集日志記錄

系統(tǒng)日志分分析日志分分析就就是在在日志志中尋尋找模模式，，主要要內(nèi)容容如下下：潛在侵侵害分分析。。日志分分析應(yīng)應(yīng)能用用一些些規(guī)則則去監(jiān)監(jiān)控審審計(jì)事事件，，并根根據(jù)規(guī)規(guī)則發(fā)發(fā)現(xiàn)潛潛在的的入侵侵。這這種規(guī)規(guī)則可可以是是由己己定義義的可可審計(jì)計(jì)事件件的子子集所所指示示的潛潛在安安全攻攻擊的的積累累或組組合，，或者者其他他規(guī)則則?；诋惍惓z檢測(cè)的的輪廓廓。日志分分析應(yīng)應(yīng)確定定用戶(hù)戶(hù)正常常行為為的輪輪廓，，當(dāng)日日志中中的事事件違違反正正常訪(fǎng)訪(fǎng)問(wèn)行行為的的輪廓廓，或或超出出正常常輪廓廓一定定的門(mén)門(mén)限時(shí)時(shí)，能能指出出將要要發(fā)生生的威威脅。。簡(jiǎn)單攻攻擊探探測(cè)。。日志分分析應(yīng)應(yīng)對(duì)重重大威威脅事事件的的特征征有明明確的的描述述，當(dāng)當(dāng)這些些攻擊擊現(xiàn)象象出現(xiàn)現(xiàn)時(shí)，，能及及時(shí)指指出。。復(fù)雜攻攻擊探探測(cè)。。要求高高的日日志分分析系系統(tǒng)還還應(yīng)能能檢測(cè)測(cè)到多多步入入侵序序列，，當(dāng)攻攻擊序序列出出現(xiàn)時(shí)時(shí)，能能預(yù)測(cè)測(cè)其發(fā)發(fā)生步步驟審計(jì)事事件查查閱由于審審計(jì)系系統(tǒng)是是追蹤蹤、恢恢復(fù)的的直接接依據(jù)據(jù)，甚甚至是是司法法依據(jù)據(jù)，因因此其其自身身的安安全性性十分分重要要。審審計(jì)系系統(tǒng)的的安全全主要要是查查閱和和存儲(chǔ)儲(chǔ)的安安全。。審計(jì)事事件的的查閱閱應(yīng)該該受到到嚴(yán)格格的限限制，，不能能篡改改日志志。通通常通通過(guò)以以下不不同的的層次次保證證查閱閱的安安全：：審計(jì)查查閱。。審計(jì)計(jì)系統(tǒng)統(tǒng)以可可理解解的方方式為為授權(quán)權(quán)用戶(hù)戶(hù)提供供查閱閱日志志和分分析結(jié)結(jié)果的的功能能。有限審審計(jì)查查閱。。審計(jì)計(jì)系統(tǒng)統(tǒng)只能能提供供對(duì)內(nèi)內(nèi)容的的讀權(quán)權(quán)限，，因此此應(yīng)拒拒絕具具有讀讀以外外權(quán)限限的用用戶(hù)訪(fǎng)訪(fǎng)問(wèn)審審計(jì)系系統(tǒng)可選審計(jì)查查閱。在有有限審計(jì)查查閱的基礎(chǔ)礎(chǔ)上限制查查閱的范圍圍。審計(jì)事件存存儲(chǔ)審計(jì)事件的的存儲(chǔ)也有有安全要求求，具體有有如下幾種種情況。受保護(hù)的審審計(jì)蹤跡存存儲(chǔ)。即要要求存儲(chǔ)系系統(tǒng)對(duì)日志志事件具有有保護(hù)功能能，防止未未授權(quán)的修修改和刪除除，并具有有檢測(cè)修改改/刪除的能力力。審計(jì)數(shù)據(jù)的的可用性保保證。在審審計(jì)存儲(chǔ)系系統(tǒng)遭受意意外時(shí)，能能防止或檢檢測(cè)審計(jì)記記錄的修改改，在存儲(chǔ)儲(chǔ)介質(zhì)存滿(mǎn)滿(mǎn)或存儲(chǔ)失失敗時(shí)，能能確保記錄錄不被破壞壞。防止審計(jì)數(shù)數(shù)據(jù)丟失。。在審計(jì)蹤蹤跡超過(guò)預(yù)預(yù)定的門(mén)限限或記滿(mǎn)時(shí)時(shí)，應(yīng)采取取相應(yīng)的措措施防止數(shù)數(shù)據(jù)丟失。。這種措施施可以是忽忽略可審計(jì)計(jì)事件、只只允許記錄錄有特殊權(quán)權(quán)限的事件件、覆蓋以以前記錄、、停止工作作等。5.4.3安全審計(jì)的的實(shí)施為了確保審審計(jì)數(shù)據(jù)的的可用性和和正確性，，審計(jì)數(shù)據(jù)據(jù)需要受到到保護(hù)，因因?yàn)椴徽_確的數(shù)據(jù)也也是沒(méi)用的的。而且，，如果不對(duì)對(duì)日志數(shù)據(jù)據(jù)進(jìn)行及時(shí)時(shí)審查，規(guī)規(guī)劃和實(shí)施施得再好的的審計(jì)也會(huì)會(huì)失去價(jià)值值。審計(jì)應(yīng)應(yīng)該根據(jù)需需要（經(jīng)常常由安全事事件觸發(fā)））定期審查查、自動(dòng)實(shí)實(shí)時(shí)審查或或兩者兼而而有之。系系統(tǒng)管理人人員和系統(tǒng)統(tǒng)管理員應(yīng)應(yīng)該根據(jù)計(jì)計(jì)算機(jī)安全全管理的要要求確定需需要維護(hù)多多長(zhǎng)時(shí)間的的審計(jì)數(shù)據(jù)據(jù)，其中包包括系統(tǒng)內(nèi)內(nèi)保存的和和歸檔保存存的數(shù)據(jù)。。與實(shí)施有關(guān)關(guān)的問(wèn)題包包括：保護(hù)護(hù)審計(jì)數(shù)據(jù)據(jù)、審查審審計(jì)數(shù)據(jù)和和用于審計(jì)計(jì)分析的工工具。1．保護(hù)審計(jì)計(jì)數(shù)據(jù)訪(fǎng)問(wèn)在線(xiàn)審審計(jì)日志必必須受到嚴(yán)嚴(yán)格限制。。計(jì)算機(jī)安安全管理人人員和系統(tǒng)統(tǒng)管理員或或職能部門(mén)門(mén)經(jīng)理出于于檢查的目目的可以訪(fǎng)訪(fǎng)問(wèn)，但是是維護(hù)邏輯輯訪(fǎng)問(wèn)功能能的安全管管理人員沒(méi)沒(méi)有必要訪(fǎng)訪(fǎng)問(wèn)審計(jì)日日志。防止非法修修改以確保保審計(jì)跟蹤蹤數(shù)據(jù)的完完整性尤其其重要。使使用數(shù)字簽簽名是實(shí)現(xiàn)現(xiàn)這一目標(biāo)標(biāo)的一種途途徑。另一一類(lèi)方法是是使用只讀讀設(shè)備。入入侵者會(huì)試試圖修改審審計(jì)跟蹤記記錄以掩蓋蓋自己的蹤蹤跡是審計(jì)計(jì)跟蹤文件件需要保護(hù)護(hù)的原因之之一。使用用強(qiáng)訪(fǎng)問(wèn)控控制是保護(hù)護(hù)審計(jì)跟蹤蹤記錄免受受非法訪(fǎng)問(wèn)問(wèn)的有效措措施。當(dāng)牽牽涉到法律律問(wèn)題時(shí)，，審計(jì)跟蹤蹤信息的完完整性尤為為重要（這這可能需要要每天打印印和簽署日日志）。此此類(lèi)法律問(wèn)問(wèn)題應(yīng)該直直接咨詢(xún)相相關(guān)法律顧顧問(wèn)。審計(jì)跟蹤信信息的機(jī)密密性也需要要受到保護(hù)護(hù)，如審計(jì)計(jì)跟蹤所記記錄的用戶(hù)戶(hù)信息可能能包含諸如如交易記錄錄等不宜披披露的個(gè)人人信息。強(qiáng)強(qiáng)訪(fǎng)問(wèn)控制制和加密在在保護(hù)機(jī)密密性方面非非常有效2．審查審計(jì)計(jì)數(shù)據(jù)審計(jì)跟蹤的的審查和分分析可以分分為在事后后檢查、定定期檢查或或?qū)崟r(shí)檢查查。審查人人員應(yīng)該知知道如何發(fā)發(fā)現(xiàn)異?；罨顒?dòng)。如果果可以通過(guò)過(guò)用戶(hù)識(shí)別別碼、終端端識(shí)別碼、、應(yīng)用程序序名、日期期時(shí)間或其其他參數(shù)組組來(lái)檢索審審計(jì)跟蹤記記錄并生成成所需的報(bào)報(bào)告，那么么審計(jì)跟蹤蹤檢查就會(huì)會(huì)比較容易易。事后檢查。。定期檢查。。實(shí)時(shí)檢查。。3．審計(jì)工具具審計(jì)精選工工具。此類(lèi)類(lèi)工具用于于從大量的的數(shù)據(jù)中精精選出有用用的信息以以協(xié)助人工工檢查。在在安全檢查查前，此類(lèi)類(lèi)工具可以以剔除大量量對(duì)安全影影響不大的的信息。這這類(lèi)工具通通?？梢蕴尢蕹商囟ǘ?lèi)型事件件產(chǎn)生的記記錄，如由由夜間備份份產(chǎn)生的記記錄將被剔剔除。趨勢(shì)/差別探測(cè)工工具。此類(lèi)類(lèi)工具用于于發(fā)現(xiàn)系統(tǒng)統(tǒng)或用戶(hù)的的異?；顒?dòng)動(dòng)?？梢越ń⑤^復(fù)雜雜的處理機(jī)機(jī)制以監(jiān)控控系統(tǒng)使用用趨勢(shì)和探探測(cè)各種異異常活動(dòng)。。例如，如如果用戶(hù)通通常在上午午9點(diǎn)登錄，但但卻有一天天在凌晨4點(diǎn)半登錄，，這可能是是一件值得得調(diào)查的安安全事件。。攻擊特征探探測(cè)工具。。此類(lèi)工具具用于查找找攻擊特征征，通常一一系列特定定的事件表表明有可能能發(fā)生了非非法訪(fǎng)問(wèn)嘗嘗試。一個(gè)個(gè)簡(jiǎn)單的例例子是反復(fù)復(fù)進(jìn)行失敗敗的登錄嘗嘗試。5.5WindowsNT中的訪(fǎng)問(wèn)控控制

與安安全審計(jì)5.5.1WindowsNT中的訪(fǎng)問(wèn)控控制1．WindowsNT的安全模型WindowsNT采用的是微內(nèi)內(nèi)核（Microkernel）結(jié)構(gòu)和模塊塊化的系統(tǒng)設(shè)設(shè)計(jì)。有的模模塊運(yùn)行在底底層的內(nèi)核模模式上，有的的模塊則運(yùn)行行在受內(nèi)核保保護(hù)的用戶(hù)模模式上。WindowsNT的安全模型由由4部分構(gòu)成登錄過(guò)程（LogonProcess，LP）：接受本地地用戶(hù)或者遠(yuǎn)遠(yuǎn)程用戶(hù)的登登錄請(qǐng)求，處處理用戶(hù)信息息，為用戶(hù)做做一些初始化化工作。本地安全授權(quán)權(quán)機(jī)構(gòu)（LocalSecurityAuthority，LSA）：根據(jù)安全全賬號(hào)管理器器中的數(shù)據(jù)處處理本地或者者遠(yuǎn)程用戶(hù)的的登錄信息，，并控制審計(jì)計(jì)和日志。這這是整個(gè)安全全子系統(tǒng)的核核心。安全賬號(hào)管理理器（SecurityAccountManager，SAM）：維護(hù)賬號(hào)號(hào)的安全性管管理的數(shù)據(jù)庫(kù)庫(kù)。安全引用監(jiān)視視器（SecurityReferenceMonitor，SRM）：檢查存取取合法性，防防止非法存取取和修改。這4部分在訪(fǎng)問(wèn)控控制的不同階階段發(fā)揮各自自不同的作用用。2．WindowsNT的訪(fǎng)問(wèn)控制過(guò)過(guò)程（1）創(chuàng)建賬號(hào)。。當(dāng)一個(gè)賬號(hào)號(hào)被創(chuàng)建時(shí)，，WindowsNT系統(tǒng)為它分配配一個(gè)安全標(biāo)標(biāo)識(shí)（SID）。安全標(biāo)識(shí)識(shí)和賬號(hào)惟一一對(duì)應(yīng)，在賬賬號(hào)創(chuàng)建時(shí)創(chuàng)創(chuàng)建，賬號(hào)刪刪除時(shí)刪除，，而且永不再再用。安全標(biāo)標(biāo)識(shí)與對(duì)應(yīng)的的用戶(hù)和組的的賬號(hào)信息一一起存儲(chǔ)在SAM數(shù)據(jù)庫(kù)里。（2）登錄過(guò)程（（LP）控制。每次次用戶(hù)登錄時(shí)時(shí)，用戶(hù)應(yīng)輸輸入用戶(hù)名、、口令和用戶(hù)戶(hù)希望登錄的的服務(wù)器/域等信息，登登錄主機(jī)把這這些信息傳送送給系統(tǒng)的安安全賬號(hào)管理理器，安全賬賬號(hào)管理器將將這些信息與與SAM數(shù)據(jù)庫(kù)中的信信息進(jìn)行比較較，如果匹配配，服務(wù)器發(fā)發(fā)給客戶(hù)機(jī)或或工作站允許許訪(fǎng)問(wèn)的信息息，記錄用戶(hù)戶(hù)賬號(hào)的特權(quán)權(quán)、主目錄位位置、工作站站參數(shù)等信息息，并返回用用戶(hù)的安全標(biāo)標(biāo)識(shí)和用戶(hù)所所在組的安全全標(biāo)識(shí)。工作作站為用戶(hù)生生成一個(gè)進(jìn)程程。（3）創(chuàng)建訪(fǎng)問(wèn)令令牌。當(dāng)用戶(hù)戶(hù)登錄成功后后，本地安全全授權(quán)機(jī)構(gòu)（（LSA）為用戶(hù)創(chuàng)建建一個(gè)訪(fǎng)問(wèn)令令牌，包括用用戶(hù)名、所在在組、安全標(biāo)標(biāo)識(shí)等信息。。以后用戶(hù)每每新建一個(gè)進(jìn)進(jìn)程，都將訪(fǎng)訪(fǎng)問(wèn)并復(fù)制令令牌作為該進(jìn)進(jìn)程的訪(fǎng)問(wèn)令令牌。（4）訪(fǎng)問(wèn)對(duì)象控控制。當(dāng)用戶(hù)戶(hù)或者用戶(hù)生生成的進(jìn)程要要訪(fǎng)問(wèn)某個(gè)對(duì)對(duì)象時(shí)，安全全引用監(jiān)視器器（SRM）將用戶(hù)/進(jìn)程的訪(fǎng)問(wèn)令令牌中的安全全標(biāo)識(shí)（SID）與對(duì)象安全全描述符（是是NT為共享資源創(chuàng)創(chuàng)建的一組安安全屬性，包包括所有者安安全標(biāo)識(shí)、組組安全標(biāo)識(shí)、、自主訪(fǎng)問(wèn)控控制表、系統(tǒng)統(tǒng)訪(fǎng)問(wèn)控制表表和訪(fǎng)問(wèn)控制制項(xiàng)）中的自自主訪(fǎng)問(wèn)控制制表進(jìn)行比較較，從而決定定用戶(hù)是否有有權(quán)訪(fǎng)問(wèn)該對(duì)對(duì)象。在這個(gè)過(guò)程中中應(yīng)該注意：：安全標(biāo)識(shí)（（SID）對(duì)應(yīng)賬號(hào)的的整個(gè)有效期期，而訪(fǎng)問(wèn)令令牌只對(duì)應(yīng)某某一次賬號(hào)登登錄。5.5.2WindowsNT中的安全審計(jì)計(jì)WindowsNT的三個(gè)日志文文件的物理位位置如下：系統(tǒng)日志：包含所有系統(tǒng)統(tǒng)相關(guān)事件的的信息。%systemroot%\system32\config\sysevent.evt安全日志：包括有關(guān)通過(guò)過(guò)NT可識(shí)別安全提提供者和客戶(hù)戶(hù)的系統(tǒng)訪(fǎng)問(wèn)問(wèn)信息。%systemroot%\system32\config\secevent.evt應(yīng)用程序日志志：包括用NTSecurityauthority注冊(cè)的應(yīng)用程程序產(chǎn)生的信信息。%systemroot%\system32\config\appevent.evtNT審計(jì)子系系統(tǒng)結(jié)構(gòu)幾乎WindowsNT系統(tǒng)中的每一一項(xiàng)事務(wù)都可可以在一定程程度上被審計(jì)計(jì)，在WindowsNT中可以在Explorer和Usermanager兩個(gè)地方打開(kāi)開(kāi)審計(jì)。在Explorer中，選擇Security，再選擇Auditing以激活DirectoryAuditing對(duì)話(huà)框，系統(tǒng)統(tǒng)管理員可以以在這個(gè)窗口口選擇跟蹤有有效和無(wú)效的的文件訪(fǎng)問(wèn)。。在Usermanager中，系統(tǒng)管理理員可以根據(jù)據(jù)各種用戶(hù)事事件的成功和和失敗選擇審審計(jì)策略，如如登錄和退出出、文件訪(fǎng)問(wèn)問(wèn)、權(quán)限非法法和關(guān)閉系統(tǒng)統(tǒng)等。WindowsNT使用一種特殊殊的格式存放放它的日志文文件，這種格格式的文件可可以被事件瀏瀏覽器（Eventviewer）讀取。事件件瀏覽器可以以在Administrativetool程序組中找到到。系統(tǒng)管理理員可以使用用事件瀏覽器器的Filter選項(xiàng)根據(jù)一定定條件選擇要要查看的日志志條目。查看看條件包括類(lèi)類(lèi)別、用戶(hù)和和消息類(lèi)型。。審計(jì)日志的記記錄格式WindowsNT的審計(jì)日志由由一系列的事事件記錄組成成。每一個(gè)事事件記錄分為為三個(gè)功能部部分：頭、事事件描述和可可選的附加數(shù)數(shù)據(jù)項(xiàng)。下圖圖顯示了一個(gè)個(gè)事件記錄的的結(jié)構(gòu)。記錄頭數(shù)據(jù)時(shí)間用戶(hù)名計(jì)算機(jī)名事件ID源類(lèi)型種類(lèi)事件描述可變內(nèi)容，依賴(lài)于事件，可以是問(wèn)題的文本解釋和糾正措施的建議附加數(shù)據(jù)附加域。如果采用的話(huà)，包含以字節(jié)或字顯示的二進(jìn)制數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息NT事件日志志管理特征WindowsNT提供了大量特特征給系統(tǒng)管管理員去管理理操作系統(tǒng)事事件日志機(jī)制制。例如，管管理員能限制制日志的大小小并規(guī)定當(dāng)文文件達(dá)到容量量上限時(shí)，如如何去處理這這些文件。選選項(xiàng)包括：用用新記錄去沖沖掉最老的記記錄，停止系系統(tǒng)直到事件件日志被手工工清除。當(dāng)系統(tǒng)開(kāi)始運(yùn)運(yùn)行時(shí)，系統(tǒng)統(tǒng)和應(yīng)用事件件日志也自動(dòng)動(dòng)開(kāi)始。當(dāng)日日志文件滿(mǎn)并并且系統(tǒng)配置置規(guī)定它們必必須被手工清清除時(shí)，日志志停止。另一一方面，安全全事件日志必必須由具有管管理者權(quán)限的的人啟動(dòng)。利利用NT的用戶(hù)管理器器，可以設(shè)置置安全審計(jì)規(guī)規(guī)則。要啟用用安全審計(jì)的的功能，只需需在“規(guī)則””菜單下選擇擇“審計(jì)”，，然后通過(guò)查查看NT記錄的安全事事件日志中的的安全性事件件，即可以跟跟蹤所選用戶(hù)戶(hù)的操作。NT安全日志志的審計(jì)策略略NT的審計(jì)規(guī)則如如下（既可以以審計(jì)成功的的操作，又可可以審計(jì)失敗敗的操作）：：（l）登錄及注銷(xiāo)銷(xiāo)。登錄及注注銷(xiāo)或連接到到網(wǎng)絡(luò)。（2）用戶(hù)及組管管理。創(chuàng)建、、更改或刪除除用戶(hù)賬號(hào)或或組，重命名名、禁止或啟啟用用戶(hù)號(hào)，，設(shè)置和更改改密碼。（3）文件及對(duì)象象訪(fǎng)問(wèn)。對(duì)訪(fǎng)訪(fǎng)問(wèn)的用戶(hù)，，訪(fǎng)問(wèn)的文件件、目錄、對(duì)對(duì)象進(jìn)行審計(jì)計(jì)。如果設(shè)置置用于打印審審計(jì)的系統(tǒng)發(fā)發(fā)送打印用戶(hù)戶(hù)及打印作業(yè)業(yè)的消息，審審計(jì)通過(guò)后才才能打印。（4）安全性規(guī)則則更改。對(duì)用用戶(hù)權(quán)利、審審計(jì)或委托關(guān)關(guān)系規(guī)則的改改動(dòng)。（5）重新啟動(dòng)、、關(guān)機(jī)及系統(tǒng)統(tǒng)級(jí)事件。（6）進(jìn)程跟蹤。。這些事件提提供了關(guān)于事事件的詳細(xì)跟跟蹤信息，如如程序活動(dòng)、、某些形式句句柄的復(fù)制、、間接對(duì)象的的訪(fǎng)問(wèn)和退出出進(jìn)程。對(duì)于于“文件及對(duì)對(duì)象訪(fǎng)問(wèn)”中中的文件和目目錄的審計(jì)還還需要在資源源管理器中對(duì)對(duì)要審計(jì)的目目錄或文件進(jìn)進(jìn)行具體設(shè)置置。（7）文件和目錄錄審計(jì)。管理和維護(hù)NT審計(jì)通常情況下，，WindowsNT不是將所有的的事件都記錄錄日志，而需需要手動(dòng)啟動(dòng)動(dòng)審計(jì)的功能能。這時(shí)需要要首先從“開(kāi)開(kāi)始”菜單中中選擇“程序序”，然后再再選擇“管理理工具”。從從“管理工具具”子菜單選選擇“用戶(hù)管管理器”，顯顯示出“用戶(hù)戶(hù)管理器”窗窗口。然后從從“用戶(hù)管理理器”菜單中中單擊Policies（策略），再再單擊audit（審計(jì)），““審計(jì)策略””窗口就出現(xiàn)現(xiàn)了。接著選選擇audittheseevents單選框（審計(jì)計(jì)這些事件））。最后選擇擇需要啟動(dòng)的的事件按OK，然后關(guān)閉““用戶(hù)管理器器”。值得注注意的是，在在啟動(dòng)WindowsNT的審計(jì)功能時(shí)時(shí)，需要仔細(xì)細(xì)選擇審計(jì)的的內(nèi)容。審計(jì)計(jì)日志將產(chǎn)生生大量的數(shù)據(jù)據(jù)，因此較為為合理的方法法是首先設(shè)置置進(jìn)行簡(jiǎn)單的的審計(jì)，然后后在監(jiān)視系統(tǒng)統(tǒng)性能的情況況下逐步增加加復(fù)雜的審計(jì)計(jì)要求。當(dāng)需需要審查審計(jì)計(jì)日志以跟蹤蹤網(wǎng)絡(luò)或機(jī)器器上的異常事事件時(shí)，采用用一些第三方方提供的工具具是一個(gè)較有有效率的選擇擇。習(xí)題五簡(jiǎn)述訪(fǎng)問(wèn)控制制的三個(gè)要素素、7種策略。簡(jiǎn)述訪(fǎng)問(wèn)控制制的內(nèi)容。簡(jiǎn)述自主訪(fǎng)問(wèn)問(wèn)控制模型、、強(qiáng)制訪(fǎng)問(wèn)控控制模型、基基于角色的訪(fǎng)訪(fǎng)問(wèn)控制模型型。試述訪(fǎng)問(wèn)控制制的安全策略略以及實(shí)施原原則。簡(jiǎn)述安全審計(jì)計(jì)的類(lèi)型。簡(jiǎn)述日志內(nèi)容容。日志分析析的主要內(nèi)容容是什么？簡(jiǎn)述WindowsNT的訪(fǎng)問(wèn)控制過(guò)過(guò)程。Windows的審計(jì)系統(tǒng)是是如何實(shí)現(xiàn)的的？采用什么么策略？基于角色的訪(fǎng)訪(fǎng)問(wèn)控制是如如何實(shí)現(xiàn)的？？有什么優(yōu)點(diǎn)點(diǎn)？9、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃葉葉樹(shù)，燈下下白頭人。。。20:49:4420:49:4420:4912/29/20228:49:44PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。12月月-2220:49:4420:49Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:49:4420:49:4420:49Thursday,December29,202213、乍見(jiàn)翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2220:49:4420:49:44December29,202214、他鄉(xiāng)生生白發(fā)，，舊國(guó)