第五章 系统安全-访问控制与防火墙(2015)

,第五章 系统安全-访问控制与防火墙,访问控制策略,用户访问管理策略用户注册权限管理用户口令管理用户访问权限检查网络访问控制网络服务的使用策略实施控制的路径外部联接的用户身份验证节点验证远程诊断端口的保护网络划分网络连接控制网络路由控制网络服务安全,2,操作系统访问控制终端自动识别功能终端登录程序用户身份识别和验证口令管理系统系统实用程序的使用保护用户的威胁报警终端超时连接时间限制应用程序访问控制信息访问控制敏感系统隔离监控系统的访问和使用事件日志记录监控系统的使用移动计算和远程工作,主体、客体、授权,客体（Object）：规定需要保护的资源，又称作目标（target) 主体（Subject）：或称为发起者，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序） 授权（Authorization）：一套规则，规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们 ，主客体的关系是相对的,限制主体对客体的访问权限，从而使计算机系统在合法范围内使用。,3,例：访问控制的Reference Monitor,TCSEC认为，一个安全机制有效的三个基本要求：不可旁路(震网病毒、APT攻击等）不可篡改（对工控网络的攻击）足够小，可以被证明（目前尚未实现）,例：震网病毒技术特点,首个对工业控制系统的破坏性蠕虫病毒主要利用微软Windows漏洞和移动存储介质进行传播，专门攻击西门子公司研发的广泛应用于基础领域的SCADA系统，进而实施远程控制。远程定向操控SCADA系统充分利用漏洞，实施复杂攻击多重摆渡，突破传统物理隔离长期潜伏伪装，有条件时激活攻击方法隐蔽，破坏行动诡秘,【电】,社工和钓鱼,0DAY多种攻击向量,重要目标,合法连接加密逃避,缓慢、低速、长期持续不断,同时针对多个,APT攻击过程和要点,5.1 可信计算基,主要思想是将计算机系统中所有与安全保护有关的功能提取出来，并把它们与其它功能分离开，然后将它们独立加以保护，防止受到破坏，这样独立出来得到的结果就称为可信计算基。访问监控器安全内核方法可信计算基,网络与信息安全,7,2018/2/2,访问监视器,是监督主体与客体之间授权访问关系的部件。访问验证机制设计与实现须满足的三原则：自我保护能力总是处于活跃状态必须设计得足够小。,网络与信息安全,8,访问监视器模型,有关主体访问客体及其访问方式的信息，是安全策略的具体体现。,重要的安全事件,2018/2/2,安全内核方法,通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分，包括访问验证机制、访问控制机制、授权机制和授权管理机制等。TCSEC：安全内核是一个可信计算基中实现访问监视器思想的硬件固件和软件成分，必须仲裁所有访问，必须保护自身免受篡改，必须能被验证是正确的。安全内核需遵循的三个基本原则防篡改原则完备性原则可验证性原则,网络与信息安全,9,2018/2/2,可信计算基,什么是？TCSEC：TCB是可信计算机系统的核心，它包含了系统中所有实施安全策略及对象（代码和数据）隔离保护的机制，为了使得保护机制更容易被理解和验证，可信计算基应尽量简单，并与安全策略具有一致性。,网络与信息安全,10,2018/2/2,可信计算基,组成操作系统的安全内核具有特权的程序和命令处理敏感信息的软件，如系统管理命令；与TCB实施安全策略有关的文件其他有关的固件、硬件和设备负责系统管理的人员保障固件和硬件正确的程序和诊断软件。,网络与信息安全,11,其中可信计算基的软件部分是可信计算基的核心内容：内核良好定义和安全运行方式； 标识系统中的每个用户；保持用户到可信计算基登录的可信路径；实施主体对客体的访问控制；维持可信计算基功能的正确性；监视和记录系统中的相关安全事件，进行安全审计。,2018/2/2,可信计算基,安全功能 正确实施TCB安全策略的全部硬件、固件、软件所提供的功能。TCB安全功能需要保证计算机系统具备物理安全、运行安全和数据安全三个方面。物理安全:环境安全、设备安全、记录介质安全及安全管理。运行安全：系统层面、网络层面和应用层面所涉及到的操作系统、数据库系统、网络系统和应用系统的运行安全。安全目标为身份识别、访问控制和可用性。数据安全：系统层面、网络层面和应用层面所涉及到的操作系统、数据库系统、网络系统和应用系统的数据安全。目标是机密性和完整性。,网络与信息安全,12,2018/2/2,可信计算基,安全保证 为确保安全功能达到要求的安全性目标所采取的方法和措施。 TCB安全保证技术包括：TCB自身安全可用机制包括物理保护、TSF (TCB Security Function)自检、TSF数据的机密性和完整性、TSF有效性检测、恢复机制。TCB的设计与实现可验证的安全模型和完整性保证上。TCB安全管理对TCB运行中的安全管理，包括对不同的管理角色和它们之间的相互作用（如权限分离）进行规定，对分散在多个物理上分离的部件有敏感标记的传播，TSF数据和功能配置等问题的处理，以及对TCB使用者安全属性的授予、撤消等。保证人对系统的合理使用与使用控制方面。,13,网络与信息安全,2018/2/2,访问控制模型基本组成,发起者Initiator,目标Target,访问控制实施功能AEF,访问控制决策功能ADF,提交访问请求SubmitAccess Request,提出访问请求PresentAccess Request,请求决策Decision Request,决策Decision,14,安全操作系统设计与实现安全体系结构GFAC通用访问控制框架,15,访问控制与其它安全服务的关系模型,又称为访问监视器，通过查询授权数据库来查明是否允许执行某操作；控制对授权数据库中访问规则的改变。,特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力 一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配 作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计 作废的用户：被系统拒绝的用户,对系统安全的审核、稽查与计算。安全审计就是在记录一切（或部分）与系统安全有关活动的基础上，对其进行分析处理、评价审查，发现系统中的安全隐患，或追查出造成安全事故的原因，并作出进一步的处理。,16,网络安全审计系统是干啥的？,1） 采集多种类型的日志数据 能采集各种操作系统的日志，防火墙系统日志，入侵检测系统日志，网络交换及路由设备的日志，各种服务和应用系统日志。2）日志管理 多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。3）日志查询 支持以多种方式查询网络中的日志记录信息，以报表的形式显示。,网络安全审计系统是一个独立的软件，和其他的安全产品（如防火墙、入侵检测系统、漏洞扫描系统等）在功能上互相独立，但是同时又能互相协调、补充，保护网络的整体安全。,网络安全审计系统的主要功能：,17,4）入侵检测 使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。5）网络状态实时监视 可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。6）事件响应机制 当审计系统检测到安全事件时候，可以采用相关的响应方式报警。,网络安全审计系统的主要功能（续）：,18,19,5.2 访问控制策略,两种类型自主式策略(DAC, discretionary access controls)强制式策略(MAC, mandatory access controls)基于角色的访问控制策略(RBAC, Role Based Access Control),20,ACL、CL访问方式比较,CL是由用户到资源的，ACL是由资源到用户的：CL中用户和资源的连接已内建于系统中ACL需要一个独立的将用户连接到文件的方法。,21,ACL、CL访问方式比较,例：混乱代理问题Assume: Alice调用编译器，她提供BILL作为调试文件名。由于Alice并没有权力访问BILL文件，所以这个命令应该失败，然而编译器为Alice工作的，有权利重写BILL。编译器是作为Alice的代理而工作，应该执行Alice的权利，而非自己的权力（混乱代理）对于ACL很难解决此问题对于CL易于解决此问题。CL容易被委派，而ACL却不能。在采用CL的系统中，当Alice调用编译器时，她可以把她的CL表给编译器，编译器在试图建立调试文件前，要检查Alice的能力表，以检查Alice权限。,22,ACL、CL访问方式比较,当用户管理自己的文件和保护数据时，ACL较合适，在ACL下，对某个资源改变权力是容易的。CL很容易委派，因而增加或删除用户很容易。CL实现起来更为复杂一些，有时无法实现，因此，多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用,23,自主访问控制,自主式策略(DAC, discretionary access controls)基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。如用户A可将其对对象O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。缺点信息在移动过程中其访问权限关系会被改变，导致安全问题的发生,强制访问控制（MAC）,为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。只有安全管理员才能修改客体访问权和转移控制权。（对客体拥有者也不例外）,24,MAC模型,绝密级,机密级,秘密级,无秘级,写,写,读,读,完整性,保密性,BLP,BIBA,25,角色的定义,每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 A role can be defined as a set of actions and responsibilities associated with a particular working activity,26,RBAC与DAC、MAC的区别,与DAC的区别DAC的主体可直接访问客体，而RBAC不行DAC的权限要么在主体（能力表），要么在客体，而RBAC的却在角色控制模块与MAC的区别大致与DAC的相同MAC是多级的，而RBAC可以是单级的相对DAC/MAC，RBAC灵活且容易实现,27,28,基于角色的访问控制,角色概念A role can be defined as a set of actions and responsibilities associated with a particular working activity角色与组的区别组：用户集角色：用户集权限集,用户,角色,会话,操作,控制对象,许可(PERM),角色许可分配(PA),用户角色分配(UA),会话激活的角色,与用户相联系的会话集合,29,基于角色的访问控制方式,RBAC提供了三种授权管理途径：改变客体的访问权限改变角色的访问权限改变主体所担任的角色。提供了层次化的管理结构。具有提供最小权限的能力。可按角色的具体要求定义访问权限，因此具有针对性，不出现多余访问权限。具有责任分离的能力。不同角色的访问权限可相互制约，即定义角色的人不一定能担任该角色。,30,基于角色的访问控制模型,由Sandhu等人提出的RBAC96/ARBAC97/ARBAC02模型族 基本模型 RBAC0角色分层模型 RBAC1角色约束模型 RBAC2 统一模型 RBAC3,RBAC3RBAC1 RBAC2 RBAC0,31,基于角色的访问控制RBAC0,基本模型RBAC0定义The RBAC0 Model has the following components: U,R,P, and S : (users, roles,permissions,and respectively session) PA P R, a many-to-many permission to role assignment relation UA U R, a many-to-many user to role assignment relation user: S U, a function mapping each session si to the single user user(si) (constant for the sessions lifetime) roles: S 2R , a function mapping each session si to a set of roles roles(si) r(user(si),r)UA(which can change with time) and session si has the permissionsrroles(si) p(p,r) PA,32,关于RBAC0的几点说明,RBAC0由四个基本要素构成，即用户（User）、角色（Role）、会话（Session）、授权（Permission）在RBAC中，用户和角色，角色和权限的关系是多对多的关系在一个RBAC模型的系统中，每个用户进入系统得到自己的控制时，就得到了一个会话。每个会话是动态产生的，从属于一个用户。只要静态定义过这些角色与该用户的关系，会话根据用户的要求负责将它所代表的用户映射到多个角色中去一个会话可能激活的角色是用户的全部角色的一个子集，对于用户而言，在一个会话内可获得全部被激活的角色所代表的访问许可权。角色和会话的设置带来的好处是容易实施最小特权原则（Least-Privilege Principle）,33,基于角色的访问控制RBAC1,分层模型RBAC1定义The RBAC1 Model has the following components: U,R,P,S,PA,UA and user are unchanged form RBAC0 RH R R is a partial order on R called the role hierarchy or role dominanace relation, also written as roles: S 2R is modified from RBAC0 to require roles(si) rr r(user(si),r)UA(which can change with time) and session si has the permissionsrroles(si) pr r(p,r) PA RBAC1的特征是为RBAC0上引入了角色层次的概念在一般的单位或组织中，特权或职权通常是具有线性关系的，而角色层次RH可以反映这种权利责任关系原则上RH体现了上级领导所得到的信息访问权限高于下级职员的权限,34,基于角色的访问控制RBAC2,限制模型RBAC2定义 The RBAC2 is unchanged from RBAC0 except for requiring that there be a collection of constraints that determine whether or not values of various components of RBAC0 are acceptable. Only acceptable values will be permitted.引入了约束(Constraints)的概念 在绝大多数组织中，除了角色的层次关系外，经常要考虑的问题是类似于下列情况：一个公司的采购员和出纳员虽然都不算是高层次的角色，但是任何一个公司都绝不会允许同时分配给某个人员以这两个角色。因为很显然，这种工作安排必然导致欺诈行为的发生。因此有必要增加约束机制,35,基于角色的访问控制,约束条件（constraints)互斥角色（multually exclusive roles) 同一用户在两个互斥的角色集合中只能分配给以其中一个集合中的角色，这样支持了职责分离的原则：而访问许可权的分配也有约束限制，对访问许可权的约束可以防止系统内的重要的特权被失控地分散，从而保证强制控制的可靠实施基数约束（cardinality constraints) 一个用户可拥有的角色数目受限：同样，一个角色对应的访问许可权数目但受约束先决约束（prerequisite) 用户为获得某些高等级角色必须首先拥有低等级角色，同理，某一角色必须具备了某些权限才能获得更高的权限运行时约束（Run Constraints） 允许一个用户具有两个角色，但在运行中不可同时激活这两个角色。,36,基于角色的访问控制RBAC3,统一模型RBAC3定义 RBAC3 combines RBAC1 and RBAC2 to provide both roles hierarchies and constraints.,37,RBAC通用模型家族,U Users,R Roles,PPermission,Constraints,SSession,users,roles,PAPermission Assignment,UAUserAssignment,RHRoleHierarchy,RBAC3,RBAC1,RBAC2,四个构件模型：核心RBAC、角色层次、静态职责分离（Static SOD)和动态职责分离（Dynamic SOD）,核心RBAC定义了5个元素集：USERS、ROLES、操作（OPERATIONS)、客体（OBJECTS）、权限（PERMISSIONS）。权限是操作与对象的组合。会话（SESSION）是用户与激活角色之间的一个映射。用户可获得的权限是用户所有会话所激活的角色所赋于的权限之和。RBAC由四个关系形式化定义：,对特定的信息客体进行特定操作的许可。,38,角色到用户幂集的映射角色到权限幂集的映射会话到角色幂集的映射用户到会话幂集的映射会话到用户的映射,39,核心RBAC，是指定义了上述5种关系的四元组（USERS、ROLES、SESSIONS、PERMISSIONS),且满足对于任意和一个用户u,成立,40,角色层次通用角色层次：在一核心RBAC基础上，定义角色ROLES的一个偏序关系，称为层次关系（RH），记为“ ”。角色r对应的用户集authorized_users(r)称为授权用户，而角色r对应的权限集authorized_permissions(r)称为授权集。它们定义如下：在RH中，一个角色不仅获得该角色的权限，同时还要继承比其小的角色的访问权限；一个角色不仅获得该角色的用户， 同时还要继承比其大的角色的用户。易得：,r2继承了r1的所有用户，r1继承了r2的所有权限,41,受约束的RBAC静态职责分离（SSD） ，如果满足：则称SSD是一个静态职责分离集。不存在用户被委以角色集rs中的n个或多于n个角色，解决了角色互斥或利益冲突问题。动态职责分离（DSD） ,如果满足：不存在用户可激活角色集rs中的n个或多于n个角色，支持了最小权限原则。,42,43,授权与访问控制实现框架,PMI 模型访问控制对象（客体、权限声称者、权限验证者）客体是指被保护的资源权限声称者是访问者权限验证者对访问动作进行验证与决策，是制定决策的实体，决定被声称的权限对于使用内容来说是否充分。权限验证者根据以下4个条件决定访问通过/失败：权限声称者的权限适当的权限策略模型当前环境变量权限策略对访问客体方法的限制,44,一般访问控制实现框架,对用户提交的用户标识和用户凭证进行鉴别，用户获得鉴别凭证，用于与应用服务器的交互。如用户事先未与KDC共享对称密钥，鉴别服务器还需要与用户协商二者之间的共享对称密钥,45,隐蔽通道,定义：是一个并不为系统设计者所预期其存在的通信路径。隐蔽通道的存在必须满足三个条件：发送者和接收者必须访问共享的资源发送者必须能够修改共享资源的某些特性，且这些修改是接收者能够观察到的发送者与接收者必须能够通信同步。隐蔽通道不可消除，重点是如何限制这类通道的影响范围。唯一可能完全消除所有隐蔽通道的方法是取消所有共享资源和所有通信。,SYN欺骗源：C目的地：B序列：X,ACK（或RST）源：B目的地：CACK：X,服务器,采用TCP序列号建立的隐蔽通道,46,推理控制,允许访问统计的重要数据，又要保护隐私。控制查询集大小（有时也会妨碍重要研究的开发）N回答或K%控制规则。如果一个查询的K%或更多的结果是由N个或更少的主体所提供的，则不允许该查询结果的发布随机数据扰乱。将一部分随机噪音加到数据中。但噪音可能会淹没正常的数据。,47,CAPTCHA,全自动 区分计算机和人类的图灵测试（CAPTCHA）是人可以通过但计算机却不能通过的测试，且正确概率大于猜测的概率。图形基于音频，其中的声音经过某种方式的歪曲处理。基于问题的。该技术已用于e-mail服务，用于阻止从大量自动注册的e-mail帐号发送的垃圾邮件。,5.3 典型操作系统的访问控制机制WindowsNT (自主访问控制),列为TCSEC的C2，访问控制策略为DAC，主要指标为：资源属主必须能够控制对资源的访问。保护对象的重用。OS须保证保护对象完成使用不会被其它主体所利用。强制的用户标识和认证。所有的用户须以惟一的登录标识（ID）和密码来鉴别自身，且只有授权用户才能访问资源。可审计性和可记录性。系统管理员须能够审核与安全相关的事件，并进行记录。必须能够阻止非授权用户对审核记录的访问，对审核数据的访问只限于经过授权的管理员。,48,典型操作系统的访问控制机制WindowsNT (自主访问控制),Windows安全模型,Security Account Manager,Local Security Authority (LSA),Security Reference Monitor,49,访问控制过程组成部件：安全标识：帐号的唯一对应。访问令牌：LSA（本地安全认证）为用户构造的，包括用户名、所在组名、安全标识等。主体：操作和令牌。客体：资源、共享资源安全描述符：为共享资源创建的一组安全属性所有者安全标识、组安全标识、自主访问控制表、系统访问控制表、访问控制项。,50,登录过程服务器为工作站返回安全标识，服务器为本次登录生成访问令牌用户创建进程P时，用户的访问令牌复制为进程的访问令牌。P进程访问对象时，SRM（安全引用监视器）将进程访问令牌与对象的自主访问控制表进行比较，决定是否有权访问对象。,51,NTFS的访问控制从文件中得到安全描述符（包含自主访问控制表）；与访问令牌（包含安全标识）一起由SRM进行访问检查,52,Window NT使用本地用户帐户、本地组用户帐户、全局组帐户。第一次安装时，会缺省地创建一些本地帐户和本地组帐户，存放于本地计算机的SAM数据库中。本地帐户：Administrator和Guest。NT也提供组帐户。把具有相似工作和相似资源的用户组成 一个工作组（用户组），把对资源的存取权限许可分配给用户组。,53,NT提供的帐户管理工具：添加用户帐户向导用户管理器（MUSRMGR.EXE）域用户管理器（USRMGR.EXE）一组命令行工具本地作用域和全局作用域。通过用户管理器和域用户管理器创建的用户和用户组可有不同的作用域，如果用户帐户仅在创建他的工作站上有效，称为该帐户具有本地作用域；如果在当前选定的域中都有效，则为全局作用域。,54,对文件系统的访问控制仅适用于采用NTFS的磁盘分区。可以在设置文件或目录的对话框中对作用于文件或文件夹的ACL设置。ACE（ACL中的每项）都会为用户和用户组分配一个或多个访问文件或目录的权限级别。对文件而言，有“No Access”、“Read”、“Change”、“Full Control”等。允许用户通过“特殊权限”方式按特殊的组合方式分配基本权限。NT支持全面的目录访问权限。子目录总是从父目录继承所有的权限。,55,标准注册表键值权限设置对话框仅提供“Read”、“FullControl”、“Special Access”三个选项。同样在注册表键下创建的子键也将会完全继承其权限，当上一级键访问权限被修改时，其子键的权限也将被重置。打印机的访问权限通过打印机设置对话框设置，可设置四种权限：“No Access”、“Print”、“Management Documents”、“Full Control”。,56,典型操作系统的访问控制机制,Linux安全体系结构的核心组件包括PAM认证机制、访问控制机制、特权管理机制、安全审计和其它安全机制等内容。,UNIX/Linux操作系统的安全性,57,1PAM认证机制PAM（Pluggable Authentication Modules）是由Sun提出的一种认证机制，其目的是提供一个框架和一套编程接口，将认证工作由程序员交给管理员，PAM允许管理员在多种认证方法之间作出选择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。PAM为更有效的认证方法的开发提供了便利，在此基础上可以很容易地开发出替代常规的用户名加口令的认证方法。,58,PAM的主要功能包括：加密口令（包括DES以外的算法）；对用户进行资源限制，防止DDOS攻击；允许随意Shadow口令；限制特定用户在指定时间从指定地点登录；支持C/S结构的认证交互。2访问控制机制访问控制机制是用于控制系统中主体对客体的各种操作，如主体对客体的读、写和执行等操作。Linux支持自主访问控制和强制访问控制操作。,59,（1）自主访问控制自主访问控制是比较简单的访问控制机制，其基本思想是： 1）由超级用户或授权用户为系统内的用户设置用户号（uid）和所属的用户组号（gid），系统内的每个主体（用户或代表用户的进程）都有惟一的用户号，并归属于某个用户组，每个用户组具有惟一的组号。所有的被设置的用户信息均保存在系统的/etc/passwd文件中，一般情况下，代表用户的进程继承该用户的uid和gid。2）Linux系统利用访问控制矩阵来控制主体对客体的访问。Linux系统将每一个客体的访问主体区分为客体的属主（u）、客体的属组(g)、以及其他用户(o)，并把每一客体的访问模式区分为读(r)、写(w)和执行(x)，所有这些信息构成了一个完整的访问控制矩阵。,60,3）当用户访问客体时，Linux系统会根据进程的uid、gid和文件的访问控制信息来检查用户访问的合法性。4）为维护系统安全性，对于某些客体，普通用户不应具有访问权限，但是由于某种需要，用户又必须能超越对这些客体的受限访问，例如，对于/etc/passwd文件，用户虽然不具有访问权限，但是又必须允许用户能够修改该文件，以修改自己的密码。针对这类问题，Linux是通过setuid/setgid程序来解决的。setuid/setgid程序可以使代表普通用户的进程不继承该用户的uid和gid，而是继承该进程所对应的应用程序文件的所有者的uid和gid，即使普通用户暂时获得其他用户身份，并通过该身份访问客体。,61,（2）强制访问控制强制访问控制（MAC，Mandatory Access Control）是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的共享和流动，使不同的用户只能访问到与其相关的、指定范围的信息。传统的MAC都是基于TCSEC中定义的MLS策略实现的，较典型的强制访问控制机制有SElinux、RSBAC和MAC等。,62,1）SELinux安全体系结构中的核心组件是一个安全服务器，其中定义了一种混合的安全性策略，它由类型实施（TE）、基于角色的访问控制（RBAC）和多级安全（MLS）三个部分组成。通过替换SELinux的安全服务器，可以支持不同的安全策略。SELinux使用策略配置语言定义安全策略，然后通过checkpolicy 编译成二进制形式，存储在文件/ss_policy中，在内核引导时将该策略读到内核空间。2）RSBAC（Rule Set Based Access Control）能够基于多个模块提供灵活的访问控制功能。在RSBAC中，所有与安全相关的系统调用都扩展了安全实施代码，并利用这些代码调用中央决策部件，然后由该决策部件调用所有被激活的决策模块，形成安全决策，最后再由系统调用扩展来实施这个安全决策。3）MAC可以将一个运行的Linux系统分隔成为多个互相独立的（或者互相限制的）子系统，这些子系统可以作为单一的系统来管理。,63,3特权管理机制 Linux的特权管理机制是从Unix继承过来的，其基本思想是：1）普通用户没有任何特权，而超级用户拥有系统内的所有特权；2）当进程要进行某种特权操作时，系统检查进程所代表的用户是否为超级用户，即检查进程的uid是否为零；3）当普通用户的某些操作涉及特权操作时，通过setuid/setgid程序来实现。在这种特权管理机制下，系统的安全完全掌握在超级用户手上，一旦非法用户获得了这个超级用户的帐户，就等于获得对整个系统的控制权，系统将毫无安全可言。,64,Linux (自主访问控制),设备和目录同样看作文件。三种权限：R:readW:writeX:execute权限表示：字母表示：rwx，不具有相应权限用“-”占位8进制数表示：111，不具有相应权限相应位记0,65,四类用户：root：超级用户所有者所属组其他用户,66,文件属性：drwxr-x-x 2 lucy work 1024 Jun 25 22:53 text安全属性： drwxr-x-x 所有者，所属组：lucy.work安全属性后9个字母规定了对所有者、所属组、其他用户的权限（各3位）。,text,67,5.4 数据库安全性控制,用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色强制存取控制方法,网络与信息安全,68,2018/2/2,(1) 用户标识与鉴别,用户标识与鉴别Identification & Authentication）系统提供的最外层安全保护措施用户标识口令系统核对口令以鉴别用户身份 用户名和口令易被窃取每个用户预先约定好一个计算过程或者函数,网络与信息安全,69,2018/2/2,(2) 存取控制,存取控制机制组成定义用户权限合法权限检查 用户权限定义和合法权检查机制一起组成了 DBMS的安全子系统,网络与信息安全,70,2018/2/2,存取控制（续）,常用存取控制方法自主存取控制（Discretionary Access Control ，简称DAC） C2级/ 灵活基于标识的访问控制基于内容的访问控制强制存取控制（Mandatory Access Control，简称 MAC）B1级/严格,网络与信息安全,71,2018/2/2,通过指明客体的标识实施对客体访问。,根据数据项的内容决定是否允许对数据项进行访问。,自主存取控制缺点,可能存在数据的“无意泄露”原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记解决：对系统控制下的所有主客体实施强制存取控制策略,网络与信息安全,72,2018/2/2,强制存取控制方法,强制存取控制（MAC)保证更高程度的安全性用户不能直接感知或进行控制适用于对数据有严格而固定密级分类的部门 军事部门 政府部门,网络与信息安全,73,2018/2/2,(6)强制存取控制方法（续）,主体是系统中的活动实体 DBMS所管理的实际用户 代表用户的各进程客体是系统中的被动实体，是受主体操纵的 文件 基表 索引 视图,网络与信息安全,74,2018/2/2,(6)强制存取控制方法（续）,敏感度标记（Label）绝密（Top Secret）机密（Secret）可信（Confidential）公开（Public）主体的敏感度标记称为许可证级别（Clearance Level）客体的敏感度标记称为密级（Classification Level）,网络与信息安全,75,2018/2/2,(6)强制存取控制方法（续）,强制存取控制规则 (1)仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体 (2)仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体修正规则主体的许可证级别 1023端口，服务器一般使用80端口。如果防火墙只允许WWW服务穿越网络边界，则可定义如下过滤规则：,FTP协议处理,101,Ftp文件传输协议,102,client,ftp server,命令通道：21端口,数据通道：20端口,针对ftp的包过滤规则注意事项,建立一组复杂的规则集是否允许正常模式的ftp数据通道？动态监视ftp通道发出的port命令有一些动态包过滤防火墙可以做到启示包过滤防火墙比较适合于单连接的服务(比如smtp, pop3)，不适合于多连接的服务(比如ftp),103,应用层网关,也称为代理服务器应用网关(Application Gateway)。与包过滤防火墙不同，它不使用通用目标机制来允许各种不同种类的通信，而是针对每个应用采用专用目的的处理方法。应用网关技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包进行分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。,104,应用层网关,特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大,105,应用层网关的结构示意图,106,Applications,Presentations,Sessions,Transport,Data Link,Physical,Data Link,Physical,Applications,Presentations,Sessions,Transport,Data Link,Physical,Network,Network,Network,Presentations,Sessions,Transport,Applications,应用层网关的优缺点,优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理比如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制,107,应用层网关实现,编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说，是客户软件针对每一个服务都需要编写模块