信息安全课件--06-信息安全门户

1、一一 访问控制的基本概念访问控制的基本概念访问控制访问控制 (Access Control)就是在身份认证的就是在身份认证的基础上，依据授权对提出的资源访问请求加以控基础上，依据授权对提出的资源访问请求加以控制制 。访问控制访问控制是安全防范和保护的主要策略，它可以是安全防范和保护的主要策略，它可以限制对关键资源的访问，防止非法用户的入侵或限制对关键资源的访问，防止非法用户的入侵或合法用户的不慎操作所造成的破坏。合法用户的不慎操作所造成的破坏。访问访问是使信息在主体和对象间流动的一种交互方式。是使信息在主体和对象间流动的一种交互方式。访问控制包括访问控制包括主体主体、对象对象、安全访问策略安全

2、访问策略。主体主体n主体主体（subject）：）：是指主动的实体，该是指主动的实体，该实体造成了信息的流动和系统状态的改实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。变，主体通常包括人、进程和设备。n主体是主体是访问的发起者访问的发起者n发起者发起者是试图访问某个目标的用户或者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体是用户行为的代理。必须控制它对客体的访问。主体通常为进程，程序或用户。的访问。主体通常为进程，程序或用户。对象对象n对象对象是指包含或接受信息的被动实体。是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息对对象的访问意味着对

3、其中所包含信息的访问。对象通常包括记录、块、页、的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。盘、时钟、打印机和网络节点。 安全访问策略安全访问策略n安全策略是允许什么、禁止什么的陈述。安全策略是允许什么、禁止什么的陈述。n安全机制是实施安全策略的方法、工具或安全机制是实施安全策略的方法、工具或者规程。机制与策略独立，可允许安全机者规程。机制与策略独立，可允许安全机制的重用制的重用n访问控制对机密性、完整性起直接的作用访问控制对机密性、完整

4、性起直接的作用n访问控制是针对越权使用资源的防御措施访问控制是针对越权使用资源的防御措施n注：身份认证不能取代访问控制注：身份认证不能取代访问控制 。访问控制的原理访问控制的原理授权数据库参考监视器审计目标用户认证访问控制访问控制的目的访问控制的目的n限制访问主体对访问客体的访问权限，从而使限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；计算机系统在合法范围内使用；n访问控制决定用户能做什么，也决定代表一定访问控制决定用户能做什么，也决定代表一定用户身份的进程能做什么。其中，主体可以是用户身份的进程能做什么。其中，主体可以是某个用户，也可以是用户启动的进程和服务。某个用户，

5、也可以是用户启动的进程和服务。访问控制的任务访问控制的任务n识别和确认访问系统的用户识别和确认访问系统的用户n决定该用户可以对某一系统资源进行何种类型决定该用户可以对某一系统资源进行何种类型的访问。的访问。访问控制实例 目标X目标Y目标Z用户A读、修改、管理读、修改、管理用户B读、修改、管理用户C1读读、修改用户C2读读、修改访问控制的实现模型-访问矩阵或者访问控制单n访问控制机制可以用一个三元组来表示：访问控制机制可以用一个三元组来表示：(S,O,A)。其中，其中，S代表主体的集合；代表主体的集合；O代表客体的集合；代表客体的集合；A代代表属性的集合，即：表属性的集合，即：nmmnmmnnO

6、OOOSSSSaaaaaaaaaA1010101111000100,二 访问控制的类型 n防御型：用于阻止不良事件的发生用于阻止不良事件的发生n探测型：用于探测已经发生的不良事件用于探测已经发生的不良事件n矫正型：用于矫正已经发生的不良事件用于矫正已经发生的不良事件n管理型：用于管理系统的开发、维护和使用，用于管理系统的开发、维护和使用，包括针对系统的策略、规程、行为规范、个人包括针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策的角色和义务、个人职能和人事安全决策访问控制的类型 n技术型:是用于为信息技术系统和应用提供自是用于为信息技术系统和应用提供自动保护的硬件和软件

7、控制手段。技术型控制应动保护的硬件和软件控制手段。技术型控制应用于技术系统和应用中。用于技术系统和应用中。n操作型:是用于保护操作系统和应用的日常规是用于保护操作系统和应用的日常规程和机制。它们主要涉及在人们（相对于系统）程和机制。它们主要涉及在人们（相对于系统）使用和操作中使用的安全方法。操作型控制影使用和操作中使用的安全方法。操作型控制影响到系统和应用的环境。响到系统和应用的环境。三 访问控制的手段（一）n防御型手段防御型手段 n文书备份文书备份 n围墙和栅栏围墙和栅栏 n保安保安 n证件识别系统证件识别系统 n加锁的门加锁的门 n双供电系统双供电系统 n生物识别型门禁生物识别型门禁系统系

8、统 n工作场所的选择工作场所的选择 n灭火系统灭火系统 n探测型手段探测型手段 n移动监测探头移动监测探头 n烟感和温感探头烟感和温感探头 n闭路监控闭路监控 n传感和报警系统传感和报警系统 物理类控制手段三 访问控制的手段（二）n防御型手段防御型手段 n安全知识培训安全知识培训 n职务分离职务分离 n职员雇用手续职员雇用手续 n职员离职手续职员离职手续 n监督管理监督管理 n灾难恢复和应灾难恢复和应急计划急计划 n计算机使用的计算机使用的登记登记 管理类控制手段 n探测型手段探测型手段 n安全评估和审计安全评估和审计 n性能评估性能评估 n强制假期强制假期 n背景调查背景调查 n职务轮换职务

9、轮换 三 访问控制的手段（三）技术类控制手段n防御型手段防御型手段 n访问控制软件访问控制软件 n防病毒软件防病毒软件 n库代码控制系统库代码控制系统 n口令口令 n智能卡智能卡 n加密加密 n拨号访问控制和回拨号访问控制和回叫系统叫系统 n探测型手段探测型手段 n日志审计日志审计 n入侵探测系入侵探测系 四 访问控制的策略 n自主访问控制n强制访问控制n基于角色的访问控制1自由访问控制策略n是指有访问许可的主体能够直接或间接地向其是指有访问许可的主体能够直接或间接地向其它主体转让访问权。它主体转让访问权。n自由访问控制自由访问控制（Discretionary Access Control,D

10、AC）通过）通过访问控制列表访问控制列表实现。实现。n如果个人用户可以设置访问控制机制来许可或如果个人用户可以设置访问控制机制来许可或拒绝对客体的访问，那么这样的机制就称为自拒绝对客体的访问，那么这样的机制就称为自主访问控制，或称基于身份的访问控制。主访问控制，或称基于身份的访问控制。自由访问控制策略(续) DAC的缺点的缺点:n信息在移动过程中其访问权限关系会被改变。信息在移动过程中其访问权限关系会被改变。nACL会很庞大，采用会很庞大，采用ACL机制管理授权处于一机制管理授权处于一个较低级的层次，管理复杂、代价高以至易于个较低级的层次，管理复杂、代价高以至易于出错。出错。 2强制访问控制策

11、略n是强加给访问主体的，即系统强制主体服从访是强加给访问主体的，即系统强制主体服从访问控制政策。问控制政策。 强制访问控制（强制访问控制（mandatory access control）是一种不允许主体干涉的访问控制类型。是基是一种不允许主体干涉的访问控制类型。是基于授权，与身份无关。如果系统机制控制对客于授权，与身份无关。如果系统机制控制对客体的访问，而体的访问，而个人用户不能改变这种控制，个人用户不能改变这种控制，这这样的控制称为强制型访问控制，偶尔也称为基样的控制称为强制型访问控制，偶尔也称为基于规则的访问控制。于规则的访问控制。机密性安全策略机密性安全策略Bell-LaPadula模

12、型模型n保密性分类是按照线性排列的安全许可。这些许可保密性分类是按照线性排列的安全许可。这些许可代表了敏感等级。安全许可越高，信息就越敏感。代表了敏感等级。安全许可越高，信息就越敏感。n数据和用户被划分为以下安全等级数据和用户被划分为以下安全等级n公开（公开（Unclassified）n受限（受限（Restricted）n秘密（秘密（Confidential）n机密（机密（Secret）n高密（高密（Top Secret）n每一个主体都有一个安全许可。当我们同时指主体每一个主体都有一个安全许可。当我们同时指主体的许可和客体的密级时，用术语的许可和客体的密级时，用术语“密级密级”。 机密性安全策

13、略机密性安全策略Bell-LaPadula模型模型nBell-LaPadula安全模型中结合了强制性访问安全模型中结合了强制性访问控制和自主访问控制。控制和自主访问控制。n“S对对O有自主的读（写）访问权有自主的读（写）访问权”，表示了与，表示了与自主访问控制部分相对应的自主访问控制部分相对应的S和和O的访问控制矩的访问控制矩阵条目中包含一项读（写）的权限。即如果没阵条目中包含一项读（写）的权限。即如果没有强制性控制，有强制性控制，S就可以读（写）就可以读（写）O。机密性安全策略机密性安全策略Bell-LaPadula模型模型n设设L (S) = l，是主体，是主体S的安全许可，并设的安全许可

14、，并设L (O) = l，是客体是客体O的安全密级。对于所有安全密级的安全密级。对于所有安全密级li ，i = 0, , k 1，有，有li li + 1。n简单安全条件，预备版：简单安全条件，预备版：S可以读可以读O，当且仅当，当且仅当lo ls，且，且S对对O具有自主型读权限。（不上读）具有自主型读权限。（不上读）n*-属性（星号属性），预备版：属性（星号属性），预备版：S可以写可以写O，当且，当且仅当仅当ls lo，且，且S对对O具有自主型写权限具有自主型写权限。（不下写）。（不下写）机密性安全策略机密性安全策略Bell-LaPadula模型模型n不上读不上读/ /不下写保证保密性不下写

15、保证保密性禁止读允许读Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassified允许读允许写禁止写Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassified允许写例子例子n防火墙所实现的单向访问机制防火墙所实现的单向访问机制n不允许敏感数据从内部网络（安全级别为不允许敏感数据从内部网络（安全级别为“机机密密”）流向）流向Internet（安全级别为（安全级别为“公开公开”） n提供提供“不上读不上读”功能来阻止功能来阻止Internet对内部对内部网络的访问网络的访问 n

16、提供提供“不下写不下写”功能来限制进入内部的数据流功能来限制进入内部的数据流只能经由由内向外发起的连接流入只能经由由内向外发起的连接流入(例如，允例如，允许许HTTP的的GET操作而拒绝操作而拒绝POST操作，或操作，或阻止任何外发的邮件阻止任何外发的邮件 )完整性安全策略完整性安全策略Biba模型模型n系统包括一个主体集合系统包括一个主体集合S，一个客体集合，一个客体集合O和和一个完整性等级集合一个完整性等级集合I，这些等级是有序的。，这些等级是有序的。 n等级越高，程序正确执行的可靠性就越高。等级越高，程序正确执行的可靠性就越高。高等级的数据比低等级的数据具备更高的精高等级的数据比低等级的

17、数据具备更高的精确性和可靠性。此外，这个概念隐含的融入确性和可靠性。此外，这个概念隐含的融入了了“信任信任”这个概念。事实上，用于衡量完这个概念。事实上，用于衡量完整性等级的术语是整性等级的术语是“可信度可信度”。 完整性安全策略完整性安全策略Biba模型模型ns S可以读取可以读取o O，当且仅当，当且仅当i ( s ) i ( o )。ns S可以写入可以写入o O，当且仅当，当且仅当i ( o ) i ( s )。ns1 S可以执行可以执行s2 S，当且仅当，当且仅当i (s2 ) i (s1 )。（调用）（调用）完整性安全策略完整性安全策略Biba模型模型n不下读不下读/不上写保证完整

18、性不上写保证完整性 允许读禁止读High integrityMedium integrityLow integrity允许读禁止写允许写允许写High integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrity例子例子n对对WEB服务器的访问过程服务器的访问过程n定义定义Web服务器上发布的资源安全级别服务器上发布的资源安全级别为为“秘密秘密”，Internet上用户的安全级上用户的安全级别为别为“公开公开

19、”，依照，依照Biba模型，模型，Web服服务器上数据的完整性将得到保障务器上数据的完整性将得到保障 nInternet上的用户只能读取服务器上的上的用户只能读取服务器上的数据而不能更改它数据而不能更改它 n非自由访问控制非自由访问控制（non-discretionary access control ） 访问控制是由访问者在机构中的角色决定的。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。访问者在系统中的角色有管理者赋予或吊销。基于角色访问控制（基于角色访问控制（RBACRB

20、AC）n用户：用户：一个可以独立访问计算机系统中的数据或者一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体。用数据表示的其他资源的主体。n角色：角色：一个组织或任务中的工作或者位置，它代表一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任。了一种权利、资格和责任。n许可（特权）：许可（特权）：允许对一个或多个客体执行的操作允许对一个或多个客体执行的操作 nRBACRBAC的基本思想是：授权给用户的访问权限，通常的基本思想是：授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。由用户在一个组织中担当的角色来确定。RBACRBAC中许中许可被授权给角色，角色被授

21、权给用户，用户不直接可被授权给角色，角色被授权给用户，用户不直接与许可关联。与许可关联。RBACRBAC对访问权限的授权由管理员统一对访问权限的授权由管理员统一管理，用户不能自主地将访问权限传给他人。管理，用户不能自主地将访问权限传给他人。用户、角色、许可的关系用户、角色、许可的关系一个用户可经授权而拥有多个角色一个用户可经授权而拥有多个角色n一个角色可由多个用户构成一个角色可由多个用户构成n每个角色可拥有多种许可每个角色可拥有多种许可n每个许可也可授权给多个不同的角色每个许可也可授权给多个不同的角色n每个操作可施加于多个客体（受控对象）每个操作可施加于多个客体（受控对象）n每个客体也每个客体

22、也可以可以接受多个操作。接受多个操作。 用户角色操作客体许可基于角色访问控制（基于角色访问控制（RBACRBAC）n角色继承：角色继承有自己的属性，但可能角色继承：角色继承有自己的属性，但可能还继承其他角色的许可。角色继承可以用祖还继承其他角色的许可。角色继承可以用祖先关系来表示。角色先关系来表示。角色2 2是角色是角色1 1的的“父亲父亲”，它包含角色它包含角色1 1的许可的许可。心脏病专家心脏病专家风湿病专家风湿病专家21专家医生护士基于角色访问控制（基于角色访问控制（RBACRBAC）n角色分配与授权：系统管理员通过为用户角色分配与授权：系统管理员通过为用户分配角色、取消用户的某个角色等

23、操作管分配角色、取消用户的某个角色等操作管理角色分配。理角色分配。 基于角色访问控制（基于角色访问控制（RBACRBAC）n角色激活角色激活n用户是一个静态的概念，会话则是一个动态用户是一个静态的概念，会话则是一个动态的概念的概念n一次会话是用户的一个活跃进程，它代表用一次会话是用户的一个活跃进程，它代表用户与系统交互。用户与会话是一对多关系，户与系统交互。用户与会话是一对多关系，一个用户可同时打开多个会话。一个会话构一个用户可同时打开多个会话。一个会话构成一个用户到多个角色的映射，即会话激活成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称了用户授权角色集的某个子集

24、，这个子集称为活跃角色集。活跃角色集决定了本次会话为活跃角色集。活跃角色集决定了本次会话的许可集。的许可集。 基于角色访问控制（基于角色访问控制（RBACRBAC）n角色限制角色限制：包括角色互斥与角色基数限制。：包括角色互斥与角色基数限制。n对于某些特定的操作集，某一个用户不可能同时独立对于某些特定的操作集，某一个用户不可能同时独立地完成所有这些操作。角色互斥可以有静态和动态两地完成所有这些操作。角色互斥可以有静态和动态两种实现方式。静态角色互斥：只有当一个角色与用户种实现方式。静态角色互斥：只有当一个角色与用户所属的其他角色彼此不互斥时，这个角色才能授权给所属的其他角色彼此不互斥时，这个角

25、色才能授权给该用户。动态角色互斥：只有当一个角色与一主体的该用户。动态角色互斥：只有当一个角色与一主体的任何一个当前活跃角色都不互斥时，该角色才能成为任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。该主体的另一个活跃角色。n角色基数限制是指在创建角色时，要指定角色的基数。角色基数限制是指在创建角色时，要指定角色的基数。在一个特定的时间段内，有一些角色只能由一定人数在一个特定的时间段内，有一些角色只能由一定人数的用户占用。的用户占用。 基于角色访问控制（基于角色访问控制（RBACRBAC）nRBACRBAC描述复杂的安全策略描述复杂的安全策略 。n（1 1）通过角色定义、分

26、配和设置适应安）通过角色定义、分配和设置适应安全策略全策略n（2 2）通过角色分层映射组织结构）通过角色分层映射组织结构 n（3 3）容易实现最小特权原则）容易实现最小特权原则 n（4 4）能够满足职责分离原则）能够满足职责分离原则n（5 5）岗位上的用户数通过角色基数约束）岗位上的用户数通过角色基数约束 USERSROLESOBJECTSOPERATIONSPERMISSIONS角色/许可分配用户/角色分配会话管理模块定义角色关系系统管理模块RBAC数据库与各模块的对应关系图会话基于角色访问控制（基于角色访问控制（RBACRBAC）nRBACRBAC系统的运行步骤系统的运行步骤 n用户登录时

27、向身份认证模块发送用户标识、用户口令，用户登录时向身份认证模块发送用户标识、用户口令，确证用户身份。确证用户身份。n会话管理模块从会话管理模块从RBACRBAC数据库检索该用户的授权角色集数据库检索该用户的授权角色集并送回用户。并送回用户。n用户从中选择本次会话的活跃角色集，在此过程中会用户从中选择本次会话的活跃角色集，在此过程中会话管理模块维持动态角色互斥。话管理模块维持动态角色互斥。n会话创建成功，本次会话的授权许可体现在菜单与按会话创建成功，本次会话的授权许可体现在菜单与按扭上，如不可用显示为灰色。扭上，如不可用显示为灰色。n在此会话过程中，系统管理员若要更改角色或许可，在此会话过程中，

28、系统管理员若要更改角色或许可，可在此会话结束后进行或终止此会话立即进行。可在此会话结束后进行或终止此会话立即进行。 基于角色访问控制（RBAC） 基于角色访问控制（RBAC） 角色的继承关系基于角色访问控制（RBAC） 五、访问控制机制五、访问控制机制n访问控制表访问控制表n能力表能力表n锁与钥匙锁与钥匙n基于环的访问控制基于环的访问控制访问控制列表访问控制列表n访问控制矩阵的列访问控制矩阵的列n file1file2file3nAndyrxrrwonBettyrwxornCharlierxrwownACLs:nfile1: (Andy, rx) (Betty, rwxo) (Charlie,

29、 rx) nfile2: (Andy, r) (Betty, r) (Charlie, rwo) nfile3: (Andy, rwo) (Charlie, w) 默认许可默认许可nNormal: if not named, no rights over filenPrinciple of Fail-Safe DefaultsnIf many subjects, may use groups or wildcards in ACLnUNICOS: entries are (user, group, rights)nIf user is in group, has rights over fil

30、en* is wildcard for user, groupn(holly, *, r): holly can read file regardless of her groupn(*, gleep, w): anyone in group gleep can write file缩写缩写nACLs can be long so combine usersnUNIX: 3 classes of users: owner, group, restnrwx rwx rwxrestgroupownerACLs + 缩写：缩写：IBM AIX文件文件XYZZY的访问控制列表：的访问控制列表：attr

31、ibutes:base permissionsowner(bishop):rw-group(sys):r-others:-extended permissions enabledspecifyrw-u:hollypermit-w-u:heidi, g=syspermitrw-u:mattdeny-w-u:holly, g=faculty能力表能力表n访问控制矩阵的行访问控制矩阵的行 file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowC-Lists:nAndy: (file1, rx) (file2, r) (file3, rwo) nBetty:

32、(file1, rwxo) (file2, r) nCharlie: (file1, rx) (file2, rwo) (file3, w) 能力表的实现能力表的实现n有三种机制可用于保护能力表：标签、保护位有三种机制可用于保护能力表：标签、保护位及密码学方法。及密码学方法。锁与钥匙 n锁与钥匙的技术同时具有访问控制表与能力表锁与钥匙的技术同时具有访问控制表与能力表的特征。的特征。n锁与钥匙的特点在于它的动态性。锁与钥匙的特点在于它的动态性。n客体由一个密钥加密（锁），主体拥有解密密客体由一个密钥加密（锁），主体拥有解密密钥（钥匙）。钥（钥匙）。 基于环的访问控制基于环的访问控制Privile

33、gesincrease0 1n 例如，例如，0 0环是一般操作环是一般操作系统应包含的基本部分系统应包含的基本部分，如最底层的主存管理，如最底层的主存管理支持，支持，0 0环软件对系统环软件对系统具有全能的权力；具有全能的权力；1 1环环上安排虚拟设备驱动程上安排虚拟设备驱动程序；序；2 2环称为内核和用环称为内核和用户模型；户模型；3 3环运行环运行MS-MS-DOSDOS应用程序。应用程序。 VersionsnMulticsn8 rings (from 0 to 7)nDigital Equipments VAXn4 levels of privilege: user, monitor,

34、executive, kernelnOlder systemsn2 levels of privilege: user, supervisorn访问控制的基本原则：访问控制的基本原则：n最 小 特 权 原 则 ： 所 谓 最 小 特 权 （最 小 特 权 原 则 ： 所 谓 最 小 特 权 （ L e a s t L e a s t PrivilegePrivilege），），指的是指的是“在完成某种操作时所赋予在完成某种操作时所赋予每个主体（用户或进程）必不可少的特权每个主体（用户或进程）必不可少的特权”。 n最小特权原则使得用户所拥有的权力不能超过他最小特权原则使得用户所拥有的权力不能超过

35、他执行工作时所需的权限。执行工作时所需的权限。n给予主体给予主体“必不可少必不可少”的特权的特权，这就保证了所，这就保证了所有的主体都能在所赋予的特权之下完成所需要有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；完成的任务或操作；n只给予主体只给予主体“必不可少必不可少”的特权的特权，这就限制了，这就限制了每个主体所能进行的操作。每个主体所能进行的操作。 访问控制的基本原则访问控制的基本原则 n多人负责原则多人负责原则n即授权分散化，对于关键的任务必须在功能上即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何进行划分，由多人来共同承担，保证没有任何个人具

36、有完成任务的全部授权或信息。如将责个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全任作分解使得没有一个人具有重要密钥的完全拷贝。拷贝。n职责分离原则职责分离原则 n职责分离是指将不同的责任分派给不同的人员职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相以期达到互相牵制，消除一个人执行两项不相容的工作的风险。容的工作的风险。 n访问控制管理涉及访问控制在系统中的部署、访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限，但定需要对

37、每一个用户设定具体的访问权限，但是访问控制管理依然需要大量复杂和艰巨的工是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求的职务描述、信息的敏感性、用户的职务需求（need-to-know）等因素。）等因素。 集中式管理n集中管理就是由一个管理者设置访问控制。当集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时，只能由这个管用户对信息的需求发生变化时，只能由这个管理者改变用户的访问权限。由于只有极少数人理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力，所以这

38、种控制是比较有更改访问权限的权力，所以这种控制是比较严格的。每个用户的账号都可以被集中监控，严格的。每个用户的账号都可以被集中监控，当用户离开机构时，其所有的访问权限可以被当用户离开机构时，其所有的访问权限可以被很容易地终止。因为管理者较少，所以整个过很容易地终止。因为管理者较少，所以整个过程和执行标准的一致性就比较容易达到。但是，程和执行标准的一致性就比较容易达到。但是，当需要快速而大量修改访问权限时，管理者的当需要快速而大量修改访问权限时，管理者的工作负担和压力就会很大。工作负担和压力就会很大。分布式管理n分布式管理就是把访问的控制权交给了文件的拥分布式管理就是把访问的控制权交给了文件的拥

39、有者或创建者，通常是职能部门的管理者有者或创建者，通常是职能部门的管理者(functional managers)。这就等于把控制权交。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻，很难确定整个系统所有不一致性。在任一时刻，很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制

40、的相互冲突以致无法满控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。动和离职时访问权不能有效地清除。混合式管理n混合式管理是集中式管理和分布式管理的结合。混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本它的特点是由集中式管理负责整个机构中基本的访问控制，而由职能管理者就其所负责的资的访问控制，而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，主要缺点是难

41、以划分哪些访问控制应集中控制，哪些应在本地控制。哪些应在本地控制。一一 防火墙概念防火墙概念因特网因特网防火墙防火墙工作站工作站服务器服务器防止外部网络防止外部网络的损坏波及到的损坏波及到内部网络内部网络外部网外部网内部网内部网1、防火墙概念、防火墙概念n防火墙是设置在两个或多个网络之间的安防火墙是设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系通常是包含软件部分和硬件部分的一个系统或多个系统的组合。统或多个系统的组合。我国公共安全行业标准中对防火墙的定义我国公共安全行业标准中对防火墙的定义n防火墙是由软件

42、和硬件组成，它采用由系防火墙是由软件和硬件组成，它采用由系统管理员定义的规则，对一个安全网络和统管理员定义的规则，对一个安全网络和一个不安全网络之间的数据流施加控制一个不安全网络之间的数据流施加控制对防火墙概念的理解对防火墙概念的理解n在可信任网络的边界建立起网络控制系统，隔在可信任网络的边界建立起网络控制系统，隔离内部和外部，执行访问控制策略，防止外部离内部和外部，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。致内部网络的运行被破

43、坏。2、防火墙的功能、防火墙的功能n实行网间访问控制，强化安全策略。实行网间访问控制，强化安全策略。能够按照一定的安全策略，对两个或多个网能够按照一定的安全策略，对两个或多个网络之间的数据包和链接方式进行检查，并按络之间的数据包和链接方式进行检查，并按照策略规则决定对网络之间的通信采取何种照策略规则决定对网络之间的通信采取何种动作，如通过，丢弃、转发等。动作，如通过，丢弃、转发等。n有效地记录因特网上的活动。有效地记录因特网上的活动。因为所有进出内部网络的信息都必须通过防因为所有进出内部网络的信息都必须通过防火墙，所以防火墙可以收集各种网络信息。火墙，所以防火墙可以收集各种网络信息。2、防火墙

44、的功能、防火墙的功能n隔离网段，限制安全问题扩散。隔离网段，限制安全问题扩散。防火墙能够隔开网络的某个网段，这样既可防火墙能够隔开网络的某个网段，这样既可以防止外部网络的一下不良行为影响内部网以防止外部网络的一下不良行为影响内部网络的正常工作，又可以阻止内部网络的安全络的正常工作，又可以阻止内部网络的安全灾难蔓延到外部网络中。灾难蔓延到外部网络中。n防火墙自身具有一定的抗攻击能力防火墙自身具有一定的抗攻击能力防火墙系统应该是一个具有安全操作系统特防火墙系统应该是一个具有安全操作系统特性的可信任系统，自身能够抵抗各种攻击。性的可信任系统，自身能够抵抗各种攻击。2、防火墙的功能、防火墙的功能n综合

45、运用各种安全措施，使用先进健壮的信息综合运用各种安全措施，使用先进健壮的信息安全技术。安全技术。如采用现代密码技术、一次性口令技术、反如采用现代密码技术、一次性口令技术、反欺骗技术等。欺骗技术等。n人机界面友好，用户配置方便，易管理人机界面友好，用户配置方便，易管理3、防火墙的缺点、防火墙的缺点n不能提供数据安全，因为防火墙无法理解数据不能提供数据安全，因为防火墙无法理解数据内容；内容；n对用户不透明，可能带来传输延迟、瓶颈和单对用户不透明，可能带来传输延迟、瓶颈和单点失效等问题；点失效等问题；n不能防范不经过它的连接；不能防范不经过它的连接；n当使用端到端加密时，其作用会受到很大的限当使用端

46、到端加密时，其作用会受到很大的限制；制；3、防火墙的缺点、防火墙的缺点n过于依赖拓扑结构；过于依赖拓扑结构；n防火墙不能防范病毒；防火墙不能防范病毒；n防火墙是一种静态的防御技术。防火墙是一种静态的防御技术。 二、防火墙类型和结构二、防火墙类型和结构n1985 Cisco研制的第研制的第1代防火墙：包过滤防火代防火墙：包过滤防火墙。墙。n1988年年DEC公司的公司的Jeff Mogul发表了第一篇发表了第一篇包过滤防火墙的文章。包过滤防火墙的文章。n1989-1990 AT&T 提出了第提出了第2代防火墙：电代防火墙：电路级防火墙。路级防火墙。n1991年年Purdue Univer

47、sity，AT&T分别独立分别独立开发了第开发了第3代防火墙：应用层防火墙。代防火墙：应用层防火墙。 二、防火墙类型和结构二、防火墙类型和结构n第四代防火墙是第四代防火墙是1992年，年，USC信息科学院的信息科学院的BobBraden开发出了基于动态包过滤技术，开发出了基于动态包过滤技术，后来演变为目前所说的状态监测技术，后来演变为目前所说的状态监测技术，1994年，年，Check Point公司开发出了第一个商业化公司开发出了第一个商业化产品。产品。 n第五代防火墙是在第五代防火墙是在1998年，年，NAI公司推出的公司推出的一种自适应代理技术，并在其产品一种自适应代理技术，并在其

48、产品Gauntlet Firewall 中得以实现，可以称之为第五代防中得以实现，可以称之为第五代防火墙。火墙。 二、防火墙类型和结构二、防火墙类型和结构n尽管经历了五代技术演变，目前人们发现，传尽管经历了五代技术演变，目前人们发现，传统防火墙依然无法解决三个主要问题：一是拒统防火墙依然无法解决三个主要问题：一是拒绝服务攻击；二是以蠕虫为代表的具有拒绝访绝服务攻击；二是以蠕虫为代表的具有拒绝访问攻击能力的病毒传播问攻击能力的病毒传播; 第三是广泛传播的垃第三是广泛传播的垃圾邮件。圾邮件。DDoS利用了利用了TCP/IP协议本身的缺协议本身的缺陷，陷，Worm利用系统自身存在的漏洞缺陷，垃利用系

49、统自身存在的漏洞缺陷，垃圾邮件则利用过滤技术无法区分善意和恶意内圾邮件则利用过滤技术无法区分善意和恶意内容的缺陷。容的缺陷。 二、防火墙类型和结构二、防火墙类型和结构n前五代防火墙技术有一个共同的特点，就是采前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷

50、，安全性越高，因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。就是防火墙的安全性与效率成反比。1、按网络体系结构分类、按网络体系结构分类OSI/RM防火墙应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级安全区域安全区域非安全区域非安全区域2、按应用技术分类、按应用技术分类n包过滤防火墙包过滤防火墙n电路级网关电路级网关n代理服务器代理服务器（1）包过滤防火墙）包过滤防火墙n包过滤防火墙一般工作在网络层，根据一组规包过滤防火墙一般工作在网络层，根据一组规则集合

51、，逐个检查则集合，逐个检查IP数据包，确定是否允许通数据包，确定是否允许通过。过。过滤规则过滤规则过滤过滤外部网外部网络络内部网内部网络络通过通过包过滤防火墙的规则集合包过滤防火墙的规则集合n基于基于IP和传输层头部中的字段，其内容通常包和传输层头部中的字段，其内容通常包括：括：源源/目标地址、源目标地址、源/目标端口号、协议类型、协议目标端口号、协议类型、协议标志、服务类型和动作等。标志、服务类型和动作等。包防火墙的规则动作有包防火墙的规则动作有n通过通过(accept):允许数据包通过防火墙传输允许数据包通过防火墙传输n放弃放弃(deny):不允许数据包通过防火墙传输，但仅不允许数据包通过

52、防火墙传输，但仅仅丢弃，不发任何响应数据包；仅丢弃，不发任何响应数据包；n拒绝拒绝(reject):不允许数据包通过防火墙传输，并向不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的数据包的源端发送目的主机不可达的ICMP数据包；数据包；n返回返回(return):没有发现匹配规则，执行默认动作。没有发现匹配规则，执行默认动作。过滤规则设置的两种方法过滤规则设置的两种方法n包过滤防火墙工作的好坏的关键在于过滤规则的设计n按地址过滤通常用于拒绝伪造的数据包。规则号规则号方向方向源地址源地址目的地址目的地址动作动作n入入内部内部任意任意拒绝拒绝过滤规则设置的两种方法过滤规则设置的两种

53、方法n按服务类型过滤按IP数据包的端口号进行过滤。规则号规则号方向方向源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口ACK设置设置动作动作1出出内部内部任意任意TCP102323任意任意通过通过2入入任意任意内部内部TCP231023是是通过通过3双向双向任意任意任意任意任意任意任意任意任意任意任意任意拒绝拒绝包过滤防火墙和路由器的关系包过滤防火墙和路由器的关系n包过滤防火墙通常可以是商用路由器包过滤防火墙通常可以是商用路由器(屏蔽路屏蔽路由器由器)，也可以是基于，也可以是基于PC对网关。对网关。n它同路由器的工作流程类似，都需要转发数据它同路由器的工作流程类似，都需要转发数

54、据包，只是在这之前还要根据规则执行安全检查。包，只是在这之前还要根据规则执行安全检查。包过滤防火墙的优缺点包过滤防火墙的优缺点n优点：实现方式简单、灵活、具有很好的传输优点：实现方式简单、灵活、具有很好的传输性能，易扩展，对内部网络用户和应用程序完性能，易扩展，对内部网络用户和应用程序完全透明。全透明。n缺点：因为工作信息不完全，无法有效地区分缺点：因为工作信息不完全，无法有效地区分同一同一IP地址上的不同用户，不理解通信的内容，地址上的不同用户，不理解通信的内容，安全性相对较低。对欺骗性攻击很脆弱，一旦安全性相对较低。对欺骗性攻击很脆弱，一旦被攻破，无法查找攻击来源。当采用严格过滤被攻破，无

55、法查找攻击来源。当采用严格过滤标准时，开销太大，又会降低网络传输性能。标准时，开销太大，又会降低网络传输性能。（2）电路级网关）电路级网关网关从接收到的数据包中提取与安全策略相关的状态信息，将这些信息存在一个动态状态表中，其目的是验证后续的连接请求是否合法。内部主机外部主机网关TCP连接TCP连接工作在传输层，工作在传输层，不允许端到端不允许端到端的的TCP连接连接电路级网关实现实例电路级网关实现实例 SOCKS软件包软件包应用层应用层SOCKS库库传输层传输层网络层网络层数据链路层数据链路层物理层物理层客户端客户端SOCKS库库传输层传输层网络层网络层数据链路层数据链路层物理层物理层SOCK

56、S服务器服务器应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用服务器应用服务器各部分的功能各部分的功能nSOCKS服务器： SOCKS代理监听由客户发送来的SOCKS协议请求，实施认证和代理功能。nSOCKS库：支持SOCKS协议的各种客户端软件，运行在防火墙保护的内部主机上。它在连接真正的应用服务器前先同SOCKS服务器进行认证和协议交互等动作。n应用层服务器：无须做任何动作电路级网关的优缺点电路级网关的优缺点优点：优点：n对网络性能有低度到适中程度的影响对网络性能有低度到适中程度的影响n切断了外部网络到防火墙后面的服务的直接连切断了外部网络到防火墙后面的服务的直接连接接n比静态或动态包过滤防火墙有更高的安全性比静态或动态包过滤防火墙有更高的安全性缺点：缺点：n无法对数据内容进行检测无法对数据内容进行检测n仅提供低度到中等程度的安全性仅提供低度到中等程度的安全性（3）代理服务器）代理服务器n代理服务器就是一个提供替代连接并且充当服代理服务器就是一个提供替代连接并且充当服务的网关，通常在应用层提供访问控制，故也务的网关，通常在应用层提供访问控制，故也称为应用代理防火墙。称为应用代理防火墙。客户内部网络服务器外部网络