信息系统安全课件

1、信息系统安全1 第第3 3章章 访问控制访问控制 身 份 认 证 访 问 控 制 资 源 用 户 访问请求 系统访问控制 授权（authorization）控 制 网络访问控制： 逻辑隔离 物理隔离 信息系统安全2 3.1 3.1 系统访问控制系统访问控制 基本概念 二元关系描述 访问控制矩阵 授权关系表 访问控制策略 自主 强制访问控制策略 基于角色的访问控制策略基于角色的访问控制策略 信息系统安全3 3.1.1 3.1.1 访问控制的二元关系描述访问控制的二元关系描述 访问控制用一个二元组（控制对象，访问类型）来 表示。其中的控制对象表示系统中一切需要进行访 问控制的资源，访问类型是指对于

2、相应的受控对象 的访问控制，如：读取、修改、删除等等。 几种常用的描述形式 1. 访问控制矩阵 2. 授权关系表 3. 访问能力表 4. 访问控制列表 信息系统安全4 1. 访问控制矩阵 访问控制矩阵也称访问许可矩阵，它用行表示客体，列表 示主体，在行和列的交叉点上设定访问权限。表3.1一个 访问控制矩阵的例子。表中，一个文件的Own权限的含义 是可以授予（Authorize）或者撤销（Revoke）其他用户 对该文件的访问控制权限。例如，张三对File1具有Own 权限，所以张三可以授予或撤销李四和王五对File1的读 （R）写（W）权限。 主体 （subjects） 客体（objects）

3、 File1File2File3File4 张三Own,R,WOwn,R,W 李四ROwn,R,WWR 王五R,WROwn,R,W 信息系统安全5 2. 授 权关 系表 授权关系表 （ Authorizatio n Relations） 描述了主体 和客体之间 各种授权关 系的组合。 主 体访问权限客 体 张三OwnFile1 张三RFile1 张三WFile1 张三OwnFile3 张三RFile3 张三WFile3 李四RFile1 李四OwnFile2 李四RFile2 李四WFile2 李四WFile3 李四RFile4 王五RFile1 王五WFile1 王五RFile2 王五Own

4、File4 王五RFile4 王五WFile4 信息系统安全6 能力（Capability）也称权能，是受一定机制保护的客体 标志，标记了某一主体对客体的访问权限：某一主体对某 一客体有无访问能力，表示了该主体能不能访问那个客体； 而具有什么样的能力，表示能对那个客体进行一些什么样 的访问。它也是一种基于行的自主访问控制策略。 张三File1 Own R W File3 Own R W 李四File1 R File2 Own R W File3 W File4 R 王五File1 R W File3 R File4 Own R W 3. 访问能力表 信息系统安全7 访问控制列表 （Access

5、 Control List，ACL）与访 问能力表正好相反， 是从客体出发描述 控制信息，可以用 来对某一资源指定 任意一个用户的访 问权限。 File1张三 Own R W 李四 R File2李四 Own R W 王五 R File3张三 Own R W 李四 W 王五 R W File4李四 R 王五 Own R W 4. 访问控制列表 信息系统安全8 3.1.2 3.1.2 （1 1）自主访问控制）自主访问控制 基本思想是：资源的所有者可以对资源的 访问进行控制，任意规定谁可以访问其资 源，自主地直接或间接地将权限传给（分 发给）主体。 优点：应用灵活与可扩展性，经常被用于 商业系统。

6、 缺点：权限传递很容易造成漏洞，安全级 别比较低，不太适合网络环境，主要用于 单个主机上。 信息系统安全9 3.1.2 3.1.2 （2 2）强制访问控制）强制访问控制 基本思想：不允许单个用户确定访问权限， 只有系统管理员才可以确定用户或用户组的 访问权限。 MAC主要用于多层次安全级别的系统（如军 事系统）中。 （1）下读（Read Down） （2）上读（Read Up） （3）下写（Write Down） （2）上写（Write Up） 信息系统安全10 3.1.3 3.1.3 基于角色的访问控制策略基于角色的访问控制策略 基于角色的访问控制（Role-Base Access Cont

7、rol，RBAC）比针对个 体的授权管理，在可操作性和可管理性方面都要强得多。 信息系统安全11 3.2 3.2 网络的逻辑隔离网络的逻辑隔离 （1）数据包过滤技术； （2）网络地址转换技术； （3）代理技术. 信息系统安全12 3.2.1 3.2.1 数据包过滤数据包过滤 地址过滤技术 服务过滤技术 状态检测过滤技术 内容过滤技术 信息系统安全13 数据包及其结构 （1）源地址（Source Address）和目的地址（Destination Address） （2）标识符 （3）标志F（Flag) （4）片偏移量FO（Fragment Offset) （5）源端口（Source Port）

8、和目的端口（Destination Port) （6）协议Prot（Protocol）。高层协议号由TCP/IP协议中央权威机构 NIC（Network Information Center）分配，如: 1控制报文协议ICMP， 6传输控制协议TCP， 8外部网关协议EGP， 17用户数据抱协议UDP， 29传输层协议第4类ISO-TP4。 （7）服务类型ToS（Type of Service） （8）数据包内容。 信息系统安全14 数据包过滤规则与策略 （1）默认接受：一切未被禁止 的，就是允许的。即除明确指 定禁止的数据包，其他都是允 许通过的。这也称为“黑名单” 策略。 （2）默认拒绝：

9、一切未被允许 的，就是禁止的。即除明确指 定通过的数据包，其他都是被 禁止的。这也称为“白名单” 策略。 信息系统安全15 3. 地址过滤技术 地址过滤规则的配置钥考虑的因素 （1）IP源地址欺骗攻击。 （2）源路由攻击。 （3）小分段攻击。 信息系统安全16 地址过滤规则配置举例 例3.4 某公司有一B类网（123.45）。该网的子网（/24）有一 合作网络（135.79）。管理员希望： 禁止一切来自Internet的对公司内网的访问； 允许来自合作网络的所有子网（/16）访问公司的子网 （/24）； 禁止对合作网络的子网（135.

10、79.99.0/24）的访问权（对全网开放的 特定子网除外）。 规规 则则源源 地地 址址目目 的的 地地 址址过滤操作过滤操作 A/16/24允许允许 B/24/16拒绝拒绝 C/0/0拒绝拒绝 数据包数据包源地址源地址目的地址目的地址目标行为操作目标行为操作AC行为操作行为操作 1拒绝拒绝拒绝拒绝(C) 2允许允许允许允许(A) 3允许允许允许允许(A) 41

11、拒绝拒绝拒绝拒绝(C) 信息系统安全17 4. 服务过滤技术 按服务进行过滤，就是根据TCP/UDP的端 口号制定过滤规则。 规则规则方向方向类型类型源地址源地址目的地址目的地址目的端口目的端口行为操作行为操作 A入入TCP外外内内25允许允许 B出出TCP内内外外=1024允许允许 C出出TCP内内外外25允许允许 D入入TCP外外内内=1024允许允许 E出出/入入任何任何任何任何任何任何任何任何禁止禁止 由于未考虑到数 据包的源端口， 出现了两端所有 端口号大于1024 的端口上的非预 期的作用。 考虑到数据包的源 端口，所有规则限 定在25号端口上

12、， 故不可能出现两端 端口号均在1024以 上的端口上连接的 交互。 规则规则方向方向类型类型源地址源地址目的地址目的地址源端口源端口目的端口目的端口行为操作行为操作 A入入TCP外外内内=102425允许允许 B出出TCP内内外外25=1024允许允许 C出出TCP内内外外=102425允许允许 D入入TCP外外内内25=1024允许允许 E出出/入入任何任何任何任何任何任何任何任何任何任何禁止禁止 信息系统安全18 5. 状态检测过滤技术 CLOSED LISTEN ESTABLISHED CLOSING TIME_WAIT FIN_ WAIT_1 CLOSE_ WAIT LAST_ACK

13、 SYN_ SENT SYN_ RCVD FIN_ WAIT_2 关闭 主动打开 发送SYN 关闭/超时/复位 delete TCB SEND send SYN rcv SYN send SYN,ACK rcv SYN/send ACK 同时打开 rcv SYN,ACK send ACK rcv ACK of SYN x CLOSE send FIN CLOSE send FIN rcv FIN send ACK CLOSE send FIN rcv FIN send ACK rcv ACK of FIN x rcv FIN send ACK rcv ACK of FIN x rcv ACK

14、of FIN x Timeout=2MSL delete TCB rcv FIN send ACK 主动主动 关闭关闭 被动被动 关闭关闭 被动打开 同时关闭 数据传输阶段 被动打开 rcv ACK of FIN x CLOSEt delete TCB connect create TCB (listen) create TCB 客户进程正常状态转换 服务器进程正常状态转换 非正常状态转换 上段：转换条件 下段：转换操作 信息系统安全19 TCP连接状态有如下特征： TCP连接是有状态的，连接进入不同的阶段具有不同的状态； TCP连接状态的转换要按一定的顺序进行，不可随意改变； 在TCP连接中

15、客户机与服务器的状态不相同，如客户机不能 进入LISTEN状态，服务器不可能进入SYN_SEND状态； TCP包中有6个标志位：FIN、SYS、RST、PSH、ACK、URG，其 中一些不能同时存在，如SYS不能和FIN、RST、PSH同时存在。 信息系统安全20 6. 内容过滤技术 （1）违禁内容的传播 禁止违禁内容的传播的技术措施有下列两种： 对违禁内容进行内容过滤，如基于关键词的内容过滤，基于语意 的内容过滤。前者在技术上很成熟，准确度很高，漏报率低，但误 报率高。 对违禁内容的来源进行访问控制，这种方式对已经知道恶意传播 的对象非常有效。 （2）基于内容的破坏。内容破坏的典型是带有病毒

16、的文件， 是被篡改了的正常文件上带有病毒特征代码。 （3）基于内容的攻击。基于内容的攻击，以内容为载体容， 以应用程序为攻击对象，目标是取得对应用主机的控制权。 例如，在web上表格填写数据时，填写恶意格式，导致CGI程 序执行错误，引发应用程序出错。 信息系统安全21 3.2.2 3.2.2 网络地址转换网络地址转换 网络地址转换(Network Address Translation，NAT)就是使用使用两套IP地 址内部IP地址（也称私有IP地址）和外 部IP地址（也称公共IP地址）。当受保护的 内部网连接到Internet并且有用户要访问 Internet时，它首先使用自己网络的内部I

17、P 地址，到了NAT后，NAT就会从公共IP地址集 中选一个未分配的地址分配给该用户，该用 户即可使用这个合法的IP地址进行通信。 信息系统安全22 1. NAT的工作过程 NAT 源地址 目的地址 源地址 目的地址 源地址 目的地址 123.456.111. 3 源地址 123.456.111. 3 目的地址 Internet 被保护 内部网 源IP包目的IP包 信息系统安全23 2. NAT的类型 （1）静态NAT （2）动态地址NAT （3）网络地址端口转换（network address port translation，NAPT） 信息系统

18、安全24 NAT的优点和缺点 NAT的优点: (1) 对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效 率地接入Internet。 (2) 使用NAT可以缓解目前全球IP地址不足的问题。 (3) 在很多情况下，NAT能够满足安全性的需要。 (4) 使用NAT可以方便网络的管理，并大大提高了网络的适应性。 NAT的缺点: (1) NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟. (2) NAT会使某些要使用内嵌地址的应用不能正常工作. 信息系统安全25 3.2.3 3.2.3 代理技术代理技术 应用于网络安全的代理（Proxy）技术，来自代理服 务器（P

19、roxy Server）技术。在客户/服务器工作模 式中，代理服务器位于客户与Internet上的服务器 之间。请求由客户端向服务器发起，但是这个请求 要首先被送到代理服务器；代理服务器分析请求， 确定其是合法的以后，首先查看自己的缓存中有无 要请求的数据，有就直接传送给客户端，否则再以 代理服务器作为客户端向远程的服务器发出请求； 远程服务器的响应也要由代理服务器转交给客户端， 同时代理服务器还将响应数据在自己的缓存中保留 一份拷贝，以被客户端下次请求时使用。 信息系统安全26 1. 应用级代理 FTP 代理 TELNET 代理 HTTP 代理 POP 代理 SMTP 代理 DNS 代理 o

20、ut inin out in outout inin out in out 外部客户外部客户 内部服务器内部服务器 客户客户代理连接代理连接 代理代理服务器连接服务器连接 外部外部 内部内部 信息系统安全27 应用级代理的基本工作过程 内部 接口 外部 接口 客户 公共服务 时 间 请求页 URL检查 请求页 返回页 返回页 内容过滤 信息系统安全28 应用级代理的功能 （1）阻断路由与URL （2）隐藏客户 （3）安全监控 信息系统安全29 2. 电路级代理 传输层 网络层 数据链路/物理层 电路级网关 TCP端口TCP端口 信息系统安全30 SOCKS协议（套接字协议） SOCKS协议（套接字协议）是一个电路级网关协议，主要由两部分组成： （1）SOCKS客户程序：经过修改的Internet客户程序，改造的目的 是使运行客户程序的主机从与Internet通信改为与运行SOCKS代理的 主机通信。 （2）SOCKS服务程序：既可以Internet通信又可以和内部网络通信 的程序。 SOCKS代理的工作过程如下： 1 当一个经过SOCKS化的客户程序要连接到In