系统访问控制与审计技术课件

系统访问控制与审计技术

本章学习目标：了解几种基本的访问控制技术熟悉常用操作系统的安全技术了解操作系统的审计技术系统访问控制与审计技术本章学习目标：11.1访问控制技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制也是信息安全理论基础的重要组成部分。本章讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。

11.1.1访问控制技术的概念

11.1访问控制技术访问控制是在保障授权用户能获取11.1访问控制技术

访问控制与其他安全措施之间的关系可以用图11-1来简要说明。在用户身份认证(如果必要)和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。

11.1.2访问控制原理11.1访问控制技术访问控制与其他安全措施之间的关11.1访问控制技术11.1.2访问控制原理访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型：自主访问控制、强制访问控制和基于角色的访问控制。

11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理自主访问控制（DiscretionaryAccessControl，DAC）是一种常用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的(可能是间接的)将访问权或访问权的某个子集授予其他主体。

1．自主访问控制自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具有传递性。传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。

为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问控制信息。

11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理访问控制表(AccessControlList，ACL)是基于访问控制矩阵中列的自主访问控制。

1．自主访问控制(续)（1）访问控制表

对系统中一个需要保护的客体Oj附加的访问控制表的结构如下图所示

在上图的例子中，对于客体Oj,主体S0具有读(r)和执行(e)的权利；主体S1只有读的权利；主体S2只有执行的权利；主体Sm具有读、写(w)和执行的权利。11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理1．自主访问控制(续)

(2)访问能力表

访问能力表(AccessCapabilitiesList)是最常用的基于行的自主访问控制。能力(capability)是为主体提供的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以添加或者修改能力。

能力的转移不受任何策略的限制，所以对于一个特定的客体，不能确定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。11.1访问控制技术11.1.2访问控制原理1．11.1访问控制技术11.1.2访问控制原理2．强制访问控制

强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。

1）保障信息完整性策略。2）保障信息机密性策略。

自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作为增强的、更加严格的控制手段。11.1访问控制技术11.1.2访问控制原理2．11.1访问控制技术11.1.2访问控制原理3．基于角色的访问控制

基于角色的访问控制模式(RoleBasedAccessControl，RBAC)中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。

（1）角色的概念

在基于角色的访问控制中，角色(role)定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限(最小授权指主体在能够完成所有必需的访问工作基础上的最小权限)。11.1访问控制技术11.1.2访问控制原理3．11.1访问控制技术11.1.2访问控制原理3．基于角色的访问控制

（2）基于角色的访问控制

基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。这种访问控制方法的具体特点如下：1）提供了三种授权管理的控制途径2）系统中所有角色的关系结构可以是层次化的，便于管理。3）具有较好的提供最小权利的能力，从而提高了安全性。4）具有责任分离的能力。11.1访问控制技术11.1.2访问控制原理3．11.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念1．安全模型

Windows的安全模型由以下几个关键部分构成：

1）登录过程(LogonProcess，LP)。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。

2）本地安全授权机构(LocalSecurityAuthority，LSA)。根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。

3）安全账号管理器(SecurityAccountManager，SAM)。维护账号的安全性管理数据库(SAM数据库，又称目录数据库)。

4）安全引用监视器(SecurityReferenceMonitor，SRM)。检查存取合法性，防止非法存取和修改。

这几部分在访问控制的不同阶段发挥了各自的作用。11.2Windows2000的访问控制11.2.111.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念2．安全概念

1）安全标识(SecurityIdentifier，SID)：安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。

2）访问令牌(AccessToken)。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。

3）主体。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个主体。

4）对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。

5）安全描述符（SecurityDescript）。Windows系统会为共享资源创建安全描述符，包含了该对象的一组安全属性。11.2Windows2000的访问控制11.2.1

安全描述符分为四个部分：

①所有者安全标识(OwnerSecurityID)。拥有该对象的用户或者用户组的SD。

②组安全标识(GroupSecurity)。

③自主访问控制表(DiscretionaryAccessControlList，DAC)。该对象的访问控制表，由对象的所有者控制。

④系统访问控制表(SystemAccessControlList，ACL)。定义操作系统将产生何种类型的审计信息，由系统的安全管理员控制。其中，安全描述符中的每一个访问控制表(ACL)都由访问控制项(AccessControlEntries，ACEs)组成，用来描述用户或者组对对象的访问或审计权限。ACEs有三种类型：AccessAllowed、AccessDenied和SystemAudit。前两种用于自主访问控制；后一种用于记录安全日志。

11.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念2．安全概念(续)

Cacls命令安全描述符分为四个部分：11.2Windows20

当一个账号被创建时，Windows系统为它分配一个SID，并与其他账号信息一起存入SAM数据库。

每次用户登录时，登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器／域信息送给安全账号管理器，安全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。

然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。

当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户／进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。11.2Windows2000的访问控制11.2.2Windows的访问控制过程当一个账号被创建时，Windows系统为它分配一个SID11.2Windows2000的访问控制11.2.2Windows的访问控制过程

资源的本地访问权限共有以下六种，每一种权限都可设置为允许或拒绝。1）完全控制2）修改3）读取及运行4）列出文件夹目录5）读取6）写入

资源的共享访问权限共有以下四种：1）完全控制2）读取3）更改4）拒绝访问11.2Windows2000的访问控制11.2.211.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置1．用户管理

删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用“guest”用户。重命名系统默认的管理员“Administrator”，然后再创建一个名为“Administrator”的用户，并分配给这个新用户一个复杂无比的口令，最后不让它属于任何组。2．使用NTFS文件系统

FAT32无法提供用户所需的针对于本地的单个文件与目录的权限设置。NTFS格式是服务器必须的，使用FAT32文件系统没有安全性可言。3．不让系统显示上次登录的用户名

通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。

11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)4．禁止建立空连接

默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。

5．打开安全审核

Windows2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。设置“本地安全策略”中“本地策略”的“审核策略”，建议设置如下：审核策略设置账户登录事件成功，失败账户管理成功，失败登录事件成功，失败对象访问失败策略更改成功，失败特权使用成功，失败系统事件失败11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)

6．关闭不必要和危险的系统服务

安装好Windows2000后，一般开放了数十项系统或应用服务，做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。管理方法是打开“管理工具”>“服务”，根据要求启动/停止相应的服务。可参照附录1。7．修改终端服务的默认端口

如有必要才需要此操作，默认为3389，可随意修改为1～65535的端口。键值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．网卡的端口筛选

具体情况配置。通过网卡“属性”-“TCP/IP协议属性”-“高级”-“选项”-“TCP/IP筛选属性”来设置。根据服务器开启的应用服务，添加相应的TCP、UDP端口或IP协议。如一台服务器只作Web和Email服务器，则可只允许80、110和25端口。11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)

9．IIS安全配置

IIS安全操作步骤：配置“开始”—“程序”-“管理工具”-“Internet服务管理器”。删除“默认站点”的站点。默认的IIS发布目录为C:\Inetpub，请将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。10．禁用不必要的网络协议与网络共享

建议在网络属性中关闭“Microsoft网络客户端”和“Microsoft网络文件与打印机共享”的选项。

建议去掉系统的默认共享。可通过Net命令、“计算机管理”或修改注册表实现。11．其它建议仔细查看“本地安全策略”、“计算机管理”及“组策略”等相关组件的功能，了解这些组件对系统安全的影响。11.2Windows2000的访问控制11.2.311.3安全审计技术11.3.1安全审计概述

审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。

审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。11.3安全审计技术11.3.1安全审计概述11.3安全审计技术11.3.2审计内容

审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。

1）个人职能（individualaccountability）

审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。

2）事件重建（reconstructionofevents）

在发生故障后，审计跟踪可以用于重建事件和数据恢复。

3）入侵检测（intrusiondetection）

审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。4）故障分析（problemanalysis）审计跟踪可以用于实时审计或监控。11.3安全审计技术11.3.2审计内容11.3安全审计技术11.3.3安全审计的目标

计算机安全审计机制的目标如下：

1)应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应不足以使他们自己也能够进行攻击。

2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集信息。

3)应能够对一个给定的资源(其他用户也被视为资源)进行审计分析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；

4)设计审计机制时，应将系统攻击者的策略也考虑在内。

概括而言，审计系统的目标至少包括：确定和保持系统活动中每个人的责任；确认重建事件的发生；评估损失；临测系统问题区；提供有效的灾难恢复依据；提供阻止不正当使用系统行为的依据；提供案件侦破证据。

11.3安全审计技术11.3.3安全审计的目标11.3安全审计技术11.3.4安全审计系统

审计通过对所关心的事件进行记录和分析来实现。因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分。1．日志的内容

通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源和目的的位置、事件类型、事件成败等。2．安全审计的记录机制

不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。11.3安全审计技术11.3.4安全审计系统11.3安全审计技术11.3.4安全审计系统(续)3．安全审计分析

通过对日志进行分析，发现所需事件信息和规律是安全审计的根本目的。主要内容有：1）潜在侵害分析；2）基于异常检测的轮廓；3）简单攻击探测；4）复杂攻击探测。

4．审计事件查阅

由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。5．审计事件存储

审计事件的存储也有安全要求，主要有：1）受保护的审计踪迹存储；2）审计数据的可用性保证；3）防止审计数据丢失。

11.3安全审计技术11.3.4安全审计系统(续)11.3安全审计技术11.3.5安全审计应用实例

流行的操作系统都提供审计的功能。下面以Windows2000Server操作系统为例，在NTFS格式的支持下，说明安全审计的应用实例。

1．审计子系统结构

在“资源管理器”中，选择右键菜单中的属性—安全—高级，再选择“审核”以激活目录审核对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。11.3安全审计技术11.3.5安全审计应用实例11.3安全审计技术11.3.5安全审计应用实例

在“本地安全策”中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。11.3安全审计技术11.3.5安全审计应用实例11.3安全审计技术11.3.5安全审计应用实例

系统管理员可以使用事件查看器的筛选选项根据一定条件选择要查看的日志条目。查看条件包括类别、用户和消息类型。11.3安全审计技术11.3.5安全审计应用实例11.3安全审计技术11.3.5安全审计应用实例

Windows的日志文件很多，但主要是系统日志、应用程序日志和安全日志三个。

1）系统日志。跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。

2）应用程序日志。跟踪应用程序关联的事件，比如应用程序产生的象装载dll（动态链接库）失败的信息将出现在日志中。

3）安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。

11.3安全审计技术11.3.5安全审计应用实例11.3安全审计技术11.3.5安全审计应用实例

2．审计日志和记录格式

Windows的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。

事件记录头的“源”指用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。

“类型”是事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息。在安全日志中，类型可能是成功审计或失败审计。

“种类”指触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。

11.3安全审计技术11.3.5安全审计应用实例11.3安全审计技术11.3.5安全审计应用实例

3．事件日志管理特征

Windows提供了大量特征给系统管理员去管理系统事件日志机制。当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时，日志停止。

4．安全日志的审计策略

审计规则既可以审计成功操作，又可以审计失败操作。包括：1）登录及注销；2）用户及组管理；3）文件及对象访问；4）安全性规则更改；5）重新启动、关机及系统级事件；6）进程追踪；7）文件和目录审计。

5．管理和维护审计

通常情况下，Windows不是将所有的事件都记录日志，而需要手动启动审计的功能。选择“本地安全策略”，选择设置相应的项目即可。

当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个较有效率的选择。

11.3安全审计技术11.3.5安全审计应用实例本章小结

访问控制分自主访问控制、强制访问控制和基于角色的访问控制三类。

针对Windows2000Server操作系统，介绍了访问控制和安全审计的实现过程。

本章小结访问控制分自主访问控制、强制访问控制和基于作业及实验作业：P2401、2、3、5、7推荐实验：Windows2000Server的访问控制和审计实现。(含Net、Cacls、Gpedit等命令的应用。)作业及实验作业：系统访问控制与审计技术

本章学习目标：了解几种基本的访问控制技术熟悉常用操作系统的安全技术了解操作系统的审计技术系统访问控制与审计技术本章学习目标：11.1访问控制技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制也是信息安全理论基础的重要组成部分。本章讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。

11.1.1访问控制技术的概念

11.1访问控制技术访问控制是在保障授权用户能获取11.1访问控制技术

访问控制与其他安全措施之间的关系可以用图11-1来简要说明。在用户身份认证(如果必要)和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。

11.1.2访问控制原理11.1访问控制技术访问控制与其他安全措施之间的关11.1访问控制技术11.1.2访问控制原理访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型：自主访问控制、强制访问控制和基于角色的访问控制。

11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理自主访问控制（DiscretionaryAccessControl，DAC）是一种常用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的(可能是间接的)将访问权或访问权的某个子集授予其他主体。

1．自主访问控制自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具有传递性。传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。

为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问控制信息。

11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理访问控制表(AccessControlList，ACL)是基于访问控制矩阵中列的自主访问控制。

1．自主访问控制(续)（1）访问控制表

对系统中一个需要保护的客体Oj附加的访问控制表的结构如下图所示

在上图的例子中，对于客体Oj,主体S0具有读(r)和执行(e)的权利；主体S1只有读的权利；主体S2只有执行的权利；主体Sm具有读、写(w)和执行的权利。11.1访问控制技术11.1.2访问控制原理11.1访问控制技术11.1.2访问控制原理1．自主访问控制(续)

(2)访问能力表

访问能力表(AccessCapabilitiesList)是最常用的基于行的自主访问控制。能力(capability)是为主体提供的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以添加或者修改能力。

能力的转移不受任何策略的限制，所以对于一个特定的客体，不能确定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。11.1访问控制技术11.1.2访问控制原理1．11.1访问控制技术11.1.2访问控制原理2．强制访问控制

强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。

1）保障信息完整性策略。2）保障信息机密性策略。

自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作为增强的、更加严格的控制手段。11.1访问控制技术11.1.2访问控制原理2．11.1访问控制技术11.1.2访问控制原理3．基于角色的访问控制

基于角色的访问控制模式(RoleBasedAccessControl，RBAC)中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。

（1）角色的概念

在基于角色的访问控制中，角色(role)定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限(最小授权指主体在能够完成所有必需的访问工作基础上的最小权限)。11.1访问控制技术11.1.2访问控制原理3．11.1访问控制技术11.1.2访问控制原理3．基于角色的访问控制

（2）基于角色的访问控制

基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。这种访问控制方法的具体特点如下：1）提供了三种授权管理的控制途径2）系统中所有角色的关系结构可以是层次化的，便于管理。3）具有较好的提供最小权利的能力，从而提高了安全性。4）具有责任分离的能力。11.1访问控制技术11.1.2访问控制原理3．11.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念1．安全模型

Windows的安全模型由以下几个关键部分构成：

1）登录过程(LogonProcess，LP)。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。

2）本地安全授权机构(LocalSecurityAuthority，LSA)。根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。

3）安全账号管理器(SecurityAccountManager，SAM)。维护账号的安全性管理数据库(SAM数据库，又称目录数据库)。

4）安全引用监视器(SecurityReferenceMonitor，SRM)。检查存取合法性，防止非法存取和修改。

这几部分在访问控制的不同阶段发挥了各自的作用。11.2Windows2000的访问控制11.2.111.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念2．安全概念

1）安全标识(SecurityIdentifier，SID)：安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。

2）访问令牌(AccessToken)。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。

3）主体。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个主体。

4）对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。

5）安全描述符（SecurityDescript）。Windows系统会为共享资源创建安全描述符，包含了该对象的一组安全属性。11.2Windows2000的访问控制11.2.1

安全描述符分为四个部分：

①所有者安全标识(OwnerSecurityID)。拥有该对象的用户或者用户组的SD。

②组安全标识(GroupSecurity)。

③自主访问控制表(DiscretionaryAccessControlList，DAC)。该对象的访问控制表，由对象的所有者控制。

④系统访问控制表(SystemAccessControlList，ACL)。定义操作系统将产生何种类型的审计信息，由系统的安全管理员控制。其中，安全描述符中的每一个访问控制表(ACL)都由访问控制项(AccessControlEntries，ACEs)组成，用来描述用户或者组对对象的访问或审计权限。ACEs有三种类型：AccessAllowed、AccessDenied和SystemAudit。前两种用于自主访问控制；后一种用于记录安全日志。

11.2Windows2000的访问控制11.2.1Windows的安全模型与基本概念2．安全概念(续)

Cacls命令安全描述符分为四个部分：11.2Windows20

当一个账号被创建时，Windows系统为它分配一个SID，并与其他账号信息一起存入SAM数据库。

每次用户登录时，登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器／域信息送给安全账号管理器，安全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。

然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。

当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户／进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。11.2Windows2000的访问控制11.2.2Windows的访问控制过程当一个账号被创建时，Windows系统为它分配一个SID11.2Windows2000的访问控制11.2.2Windows的访问控制过程

资源的本地访问权限共有以下六种，每一种权限都可设置为允许或拒绝。1）完全控制2）修改3）读取及运行4）列出文件夹目录5）读取6）写入

资源的共享访问权限共有以下四种：1）完全控制2）读取3）更改4）拒绝访问11.2Windows2000的访问控制11.2.211.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置1．用户管理

删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用“guest”用户。重命名系统默认的管理员“Administrator”，然后再创建一个名为“Administrator”的用户，并分配给这个新用户一个复杂无比的口令，最后不让它属于任何组。2．使用NTFS文件系统

FAT32无法提供用户所需的针对于本地的单个文件与目录的权限设置。NTFS格式是服务器必须的，使用FAT32文件系统没有安全性可言。3．不让系统显示上次登录的用户名

通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。

11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)4．禁止建立空连接

默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。

5．打开安全审核

Windows2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。设置“本地安全策略”中“本地策略”的“审核策略”，建议设置如下：审核策略设置账户登录事件成功，失败账户管理成功，失败登录事件成功，失败对象访问失败策略更改成功，失败特权使用成功，失败系统事件失败11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)

6．关闭不必要和危险的系统服务

安装好Windows2000后，一般开放了数十项系统或应用服务，做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。管理方法是打开“管理工具”>“服务”，根据要求启动/停止相应的服务。可参照附录1。7．修改终端服务的默认端口

如有必要才需要此操作，默认为3389，可随意修改为1～65535的端口。键值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．网卡的端口筛选

具体情况配置。通过网卡“属性”-“TCP/IP协议属性”-“高级”-“选项”-“TCP/IP筛选属性”来设置。根据服务器开启的应用服务，添加相应的TCP、UDP端口或IP协议。如一台服务器只作Web和Email服务器，则可只允许80、110和25端口。11.2Windows2000的访问控制11.2.311.2Windows2000的访问控制11.2.3Windows2000Server系统安全设置(续)

9．IIS安全配置

IIS安全操作步骤：配置“开始”—“程序”-“管理工具”-“Internet服务管理器”。删除“默认站点”的站点。默认的IIS发布目录为C:\Inetpub，请将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。10．禁用不必要的网络协议与网络共享

建议在网络属性中关闭“Microsoft网络客户端”和“Microsoft网络文件与打印机共享”的选项。

建议去掉系统的默认共享。可通过Net命令、“计算机管理”或修改注册表实现。11．其它建议仔细查看“本地安全策略”、“计算机管理”及“组策略”等相关组件的功能，了解这些组件对系统安全的影响。11.2Windows2000的访问控制11.2.311.3安全审计技术11.3.1安全审计概述

审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。

审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。11.3安全审计技术11.3.1安全审计概述11.3安全审计技术11.3.2审计内容

审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。

1）个人职能（individualaccountability）

审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。

2）事件重建（reconstructionofevents）

在发生故障后，审计跟踪可以用于重建事件和数据恢复。

3）入侵检测（intrusiondetection）

审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。4）故障分析（problemanalysis）审计跟踪可以用于实时审计或监控。11.3安全审计技术11.3.2审计内容11.3安全审计技术11.3.3安全审计的目标

计算机安全审计机制的目标如下：

1)应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应不足以使他们自己也能够进行攻击。

2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集信息。

3)应能够对一个给定的资源(其他用户也被视为资源)进行审计分析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；

4)设计审计机制时，应将系统攻击者的策略也考虑在内。

概括而言，审计系统的目标至少包括：确定和保持系统活动中每个人的责任；确认重建事件的发生；评估损失；临测系统问题区；提供有效的灾难恢复依据；提供阻止不正当使用系统行为的依据；提供案件侦破证据。

11.3安全审计技术11.3.3安全审计的目标11.3安全审计技术11.3.4安全审计系统

审计通过对所关心的事件进行记录和分析来实现。因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分。1．日志的内容

通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源和目的的位置、事件类型、事件成败等。2．安全审计的记录机制

不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。11.3安全审计技术11.3.4安全审计系统11.3安全审计技术11.3.4安全审计