身份认证、访问控制与系统审计概述

第8章

身份认证、访问控制与系统审计NetworkandInformationSecurity身份认证、访问控制与系统审计概述第1页图8-1经典安全模型8.1计算机安全模型NetworkandInformationSecurity身份认证、访问控制与系统审计概述第2页经典安全模型包含以下基本要素：(1)明确定义主体和客体；(2)描述主体怎样访问客体一个授权数据库；(3)约束主体对客体访问尝试参考监视器；(4)识别和验证主体和客体可信子系统；(5)审计参考监视器活动审计子系统。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第3页能够看出，这里为了实现计算机系统安全所采取基本安全办法，即安全机制有身份认证、访问控制和审计。

参考监视器是主体/角色对客体进行访问桥梁.身份识别与验证，即身份认证是主体/角色取得访问授权第一步，这也是早期黑客入侵系统突破口。访问控制是在主体身份得到认证后，依据安全策略对主体行为进行限制机制和伎俩。审计作为一个安全机制，它在主体访问客体整个过程中都发挥着作用，为安全分析提供了有利证据支持。它贯通于身份认证、访问控制前前后后。同时，身份认证、访问控制为审计正确性提供保障。它们之间是互为制约、相互促进。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第4页图8-2安全机制NetworkandInformationSecurity身份认证、访问控制与系统审计概述第5页访问控制模型基本结构NetworkandInformationSecurity身份认证、访问控制与系统审计概述第6页8.2身份认证在有安全需求应用系统中，识别用户身份是系统基本要求，身份认证是安全系统中不可缺乏一部分，也是防范入侵第一道防线。身份认证方法各种多样，其安全强度也各不相同，详细方法可归结为3类：依据用户知道什么,拥有什么,是什么来进行认证。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第7页8.2.1用户名和口令认证

经过用户名和口令进行身份认证是最简单，也是最常见认证方式，不过认证安全强度不高。全部多用户系统、网络服务器、Web电子商务等系统都要求提供用户名或标识符（ID），还要求提供口令。系统将用户输入口令与以前保留在系统中该用户口令进行比较，若完全一致则认为认证经过，不然不能经过认证。依据处理方式不一样，有3种方式：口令明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令，这3种方式安全强度依次增高，处理复杂度也依次增大。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第8页1口令以明文形式传送时，没有任何保护NetworkandInformationSecurity身份认证、访问控制与系统审计概述第9页2为预防口令被窃听，可用单向散列函数处理口令，传输口令散列值，而不传输口令本身。传输口令散列值也存在不安全原因，黑客即使不知道口令原文，不过他能够截获口令散列值，直接把散列值发送给验证服务器，也能验证经过，这是一个重放攻击。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第10页3为处理重放攻击，服务器首先生成一个随机数并发给用户，用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍，把最终散列值发给服务器。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第11页8.2.2令牌和USBkey认证令牌实际上就是一个智能卡，私钥存放在令牌中，对私钥访问用口令进行控制。令牌没有物理接口，无法与计算机连接，使用总是不方便.

能够用USBkey代替。USBkey经过USB接口直接连接在计算机上，不需要用户手动键入数据，比令牌方便得多。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第12页8.2.3生物识别认证

使用生物识别技术身份认证方法，主要是依据用户图像、指纹、气味、声音等作为认证数据。在安全性要求很高系统中，能够把这3种认证方法结合起来，到达最高安全性。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第13页8.3访

问

控

制

在计算机安全防御办法中，访问控制是极其主要一环，它是在身份认证基础上，依据身份正当性对提出资源访问请求加以控制。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第14页

8.3.1基本概念广义地讲，全部计算机安全都与访问控制相关。实际上RFC2828定义计算机安全以下：用来实现和确保计算机系统安全服务办法，尤其是确保访问控制服务办法。访问控制(AccessControl)是指主体访问客体权限或能力限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存放数据过程(存取控制)。在访问控制中，主体是访问发起者，访问客体活动资源，通常为进程、程序或用户。客体则是指对其访问必须进行控制资源，客体普通包含各种资源，如文件、设备、信号量等。访问控制中第三个元素是保护规则，它定义了主体与客体之间可能相互作用路径。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第15页保护域概念。每一主体(进程)都在一特定保护域下工作，保护域要求了进程能够访问资源。每一域定义了一组客体及能够对客体采取操作。可对客体操作能力称为访问权(AccessRight)，访问权定义为有序正确形式。一个域是访问权集合。如域X有访问权，则在域X下运行进程可对文件A执行读写，但不能执行任何其它操作。保护域并不是彼此独立。它们能够有交叉，即它们能够共享权限。域X和域Y对打印机都有写权限，从而产生了访问权交叉现象。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第16页图8-3有重合保护域NetworkandInformationSecurity身份认证、访问控制与系统审计概述第17页

依据访问控制策略不一样，访问控制普通分为自主访问控制、强制访问控制、基于角色访问控制、基于任务访问控制、使用控制等。自主访问控制是以前计算机系统中实现较多访问控制机制，它是依据访问者身份和授权来决定访问模式。强制访问控制是将主体和客体分级，然后依据主体和客体级别标识来决定访问模式。“强制”主要表达在系统强制主体服从访问控制策略上。基于角色访问控制基本思想是：授权给用户访问权限通常由用户在一个组织中担当角色来确定。它依据用户在组织内所处角色作出访问授权和控制，但用户不能自主地将访问权限传给他人。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第18页

8.3.2自主访问控制

自主访问控制又称任意访问控制(DiscretionaryAccessControl，DAC)，是指依据主体身份或者主体所属组身份或者二者结合，对客体访问进行限制一个方法。它是访问控制办法中惯用一个方法，这种访问控制方法允许用户能够自主地在系统中要求谁能够存取它资源实体，即用户(包含用户程序和用户进程)可选择同其它用户一起共享某个文件。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第19页

在各种以自主访问控制机制进行访问控制系统中，存取模式主要有：读(read)，即允许主体对客体进行读和拷贝操作；写(write)，即允许主体写入或修改信息，包含扩展、压缩及删除等；执行(execute)，就是允许将客体作为一个可执行文件运行，在一些系统中该模式还需要同时拥有读模式；空模式(null)，即主体对客体不含有任何存取权。

自主访问控制缺点NetworkandInformationSecurity身份认证、访问控制与系统审计概述第20页自主访问控制详细实施可采取以下四种方法。(1)目录表(DirectoryList)在目录表访问控制方法中借用了系统对文件目录管理机制，为每一个欲实施访问操作主体，建立一个能被其访问“客体目录表(文件目录表)”。比如某个主体客体目录表可能为：客体1:权限1客体2:权限2……客体n:权限n。当然，客体目录表中各个客体访问权限修改只能由该客体正当属主确定，不允许其它任何用户在客体目录表中进行写操作，不然将可能出现对客体访问权伪造。操作系统必须在客体拥有者控制下维护全部客体目录。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第21页目录表访问控制机制优点是轻易实现，每个主体拥有一张客体目录表，这么主体能访问客体及权限就一目了然了，依据该表对主体和客体访问与被访问进行监督比较简便。缺点之一是系统开销、浪费较大，这是因为每个用户都有一张目录表，假如某个客体允许全部用户访问，则将给每个用户逐一填写文件目录表，所以会造成系统额外开销；二是因为这种机制允许客体属主用户对访问权限实施传递并可屡次进行，造成同一文件可能有多个属主情形，各属主每次传递访问权限也难以相同，甚至可能会把客体改用别名，所以使得能越权访问用户大量存在，在管理上繁乱易错。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第22页(2)访问控制列表(AccessControlList)访问控制列表策略恰好与目录表访问控制相反，它是从客体角度进行设置、面向客体访问控制。每个客体有一个访问控制列表，用来说明有权访问该客体全部主体及其访问权限。访问控制列表方式最大优点就是能很好地处理多个主体访问一个客体问题，不会像目录表访问控制那样因授权繁乱而出现越权访问。缺点是因为访问控制列表需占用存放空间，而且因为各个客体长度不一样而出现存放空间碎片，造成浪费；每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，影响系统运行速度和浪费了存放空间。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第23页(3)访问控制矩阵(AccessControlMatrix)

访问控制矩阵是对上述两种方法综合。存取控制矩阵模型是用状态和状态转换进行定义，系统和状态用矩阵表示，状态转换则用命令来进行描述。直观地看，访问控制矩阵是一张表格，每行代表一个用户(即主体)，每列代表一个存取目标(即客体)，表中纵横对应项是该用户对该存取客体访问权集合(权集)。访问控制矩阵原理示意图

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第24页抽象地说，系统访问控制矩阵表示了系统一个保护状态，假如系统中用户发生了改变，访问对象发生了改变，或者某一用户对某个对象访问权限发生了改变，都能够看作是系统保护状态发生了改变。因为访问控制矩阵模型只要求了系统状态迁移必须有规则，而没有要求是什么规则，所以该模型灵活性很大，但却给系统埋下了潜在安全隐患。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第25页强制访问控制(MandatoryAccessControl，MAC)是依据客体中信息敏感标签和访问敏感信息主体访问等级，对客体访问实施限制一个方法。它主要用于保护那些处理尤其敏感数据(比如，政府保密信息或企业敏感数据)系统。在强制访问控制中，用户权限和客体安全属性都是固定，由系统决定一个用户对某个客体能否进行访问。所谓“强制”，就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格安全策略与规则进行设置，用户和他们进程不能修改这些属性。8.3.3强制访问控制NetworkandInformationSecurity身份认证、访问控制与系统审计概述第26页图8-7强制访问控制NetworkandInformationSecurity身份认证、访问控制与系统审计概述第27页8.3.4基于角色访问控制基于角色访问控制(Role-BasedAccessControl，RBAC)关键思想就是：授权给用户访问权限通常由用户在一个组织中担当角色来确定。引入了“角色”这一主要概念，所谓“角色”，是指一个或一群用户在组织内可执行操作集合。这里角色就充当着主体(用户)和客体之间关系桥梁。这是与传统访问控制策略最大区分所在。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第28页图8-8基于角色访问控制一个主体能够含有多个角色，一个角色能够分给多个主体；一个角色能够访问多个客体，一个客体能够被多个角色访问

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第29页

基于角色访问控制有以下五个特点。

1)以角色作为访问控制主体用户以什么样角色对资源进行访问，决定了用户拥有权限以及可执行何种操作。

2)角色继承为了提升效率，防止相同权限重复设置，RBAC采取了“角色继承”概念，定义各类角色，它们都有自己属性，但可能还继承其它角色属性和权限。角色继承把角色组织起来，能够很自然地反应组织内部人员之间职权、责任关系。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第30页图8-8角色继承NetworkandInformationSecurity身份认证、访问控制与系统审计概述第31页3)最小特权标准(LeastPrivilegeTheorem)

最小特权标准是系统安全中最基本标准之一。所谓最小特权，是指“在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少特权”。最小特权标准则是指“应限定网络中每个主体所必须最小特权，确保因为可能事故、错误、网络部件篡改等原因造成损失最小”。换句话说，最小特权标准是指用户所拥有权利不能超出他执行工作时所需权限。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第32页在RBAC中，可以根据组织内规章制度、职员分工等设计拥有不一样权限角色，只有角色执行所需要才授权给角色。当一个主体需访问某资源时，如果该操作不在主体当前所扮演角色授权操作之内，该访问将被拒绝。最小特权原则一方面给予主体“必不可少”特权，这就保证了全部主体都能在所赋予特权之下完成所需要完成任务或操作；其次，它只给予主体“必不可少”特权，这就限制了每个主体所能进行操作。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第33页

4)职责分离（主体与角色分离）对于一些特定操作集，某一个角色或用户不可能同时独立地完成全部这些操作。“职责分离”能够有静态和动态两种实现方式。静态职责分离：只有当一个角色与用户所属其它角色彼此不互斥时，这个角色才能授权给该用户。动态职责分离：只有当一个角色与一主体任何一个当前活跃角色都不互斥时，该角色才能成为该主体另一个活跃角色。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第34页

5)角色容量在创建新角色时，要指定角色容量。在一个特定时间段内，有一些角色只能由一定人数用户占用。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第35页

基于角色访问控制是依据用户在系统里表现活动性质而定，这种活动性质表明用户充当了一定角色。用户访问系统时，系统必须先检验用户角色，一个用户能够充当多个角色，一个角色也能够由多个用户担任。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第36页基于角色访问控制机制优缺点：

模型优点在于便于授权管理、角色划分、RBAC能够很轻易地将组织安全策略映射到信息系统中，简化安全策略实施、含有自我管理能力、支持数据抽象和最小特权标准等。

基于角色访问控制是一个有效而灵活安全办法，当前仍处于深入研究和广泛使用之中。但也存在缺点，RBAC模型是基于主体－客体观点被动安全模型,它是从系统角度(控制环境是静态)出发保护资源。授权是静态,不具备动态适应性，这显然使系统面临极大安全威胁，难以适应动态开放网络环境。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第37页8.3.5基于任务访问控制(Task-BasedAccessControl)

TBAC模型是一个基于任务、采取动态授权主动安全模型。它从应用和企业角度来处理安全问题。TBAC模型采取面向任务观点,从任务角度来建立安全模型和实现安全机制,在任务处理过程中提供实时安全管理。它将访问权限与任务相结合,客体访问控制权限并不是静止不变,而是伴随执行任务上下文环境改变而改变。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第38页TBAC基本概念以下(1)(1)授权步骤（AuthorizationStep）：是指在一个工作流程中对处理对象(如办公流程中原文档)一次处理过程。它是访问控制所能控制最小单元。授权步由受托人集（TrusteeSet）和多个许可集（PermissionsSet）组成。受托人集是可被授予执行授权步用户集合，许可集则是受托人集组员被授予授权步时拥有访问许可。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第39页(2)授权单元（AuthorizationUnit）：授权单元是由一个或多个授权步骤组成单元，它们在逻辑上是相互联络。授权单元分为普通授权单元和复合授权单元。普通授权单元内授权步骤按次序依次执行;复合授权单元内部每个授权步骤紧密联络，其中任何一个授权步骤失败都会造成整个单元失败。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第40页TBAC基本概念以下(2)(3)任务（Task）：任务是工作流程中一个逻辑单元。它是一个可区分动作，可能与多个用户相关，也可能包含几个子任务。一个任务包含以下特征：①长久存在；②可能包含多个子任务；③完成一个子任务可能需要不一样人。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第41页(4)依赖（Dependency）：依赖是指授权步骤之间或授权单元之间相互关系，包含次序依赖、失败依赖、分权依赖和代理依赖。依赖反应了基于任务访问控制标准。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第42页图3-3TBAC模型NetworkandInformationSecurity身份认证、访问控制与系统审计概述第43页TBAC优缺点TBAC主动、动态等特征,使其广泛应用于工作流、分布式处理、多点访问控制信息处理和事务管理系统决议制订等方面。尽管TBAC具备许多特点,但当应用于复杂企业环境时,就会暴露出本身缺点。比如在实际企业环境中,角色是一个非常主要概念,但TBAC中并没有将角色与任务清楚地分离开来,也不支持角色层次等级，也无法表示职责分离约束；另外,访问控制并非都是主动,也有属于被动形式,但TBAC并不支持被动访问控制，同时，任务划分也不明确。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第44页2.3.6基于任务和角色访问控制模型（T－RBAC）

T－RBAC是一个动态授权主动安全模型，它将从系统角度出发保护资源RBAC模型和从应用和企业层角度出发处理安全问题TBAC模型结合在一起，结合二者优点而构建访问控制模型。其主要思想是将角色与任务相关联,然后再给任务赋予相关权限。这么,在工作流应用访问控制时,权限与任务相关联主要目标是实现对权限动态管理,而将角色与任务相关联有利于管理人员掌握角色所执行任务和客体之间相关信息。在更新角色权限时,以任务为中介十分便于管理人员对角色管理。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第45页T－RBAC同时拥有角色与任务两个同等主要元素，符合企业环境中职员经过接收任务而进行工作思想。一定程度上实现了动静结合访问控制，使角色操作、维护和任务管理变得简单方便,也使得系统变得更为安全。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第46页TRBAC基于任务-角色层次模型NetworkandInformationSecurity身份认证、访问控制与系统审计概述第47页但T－RBAC模型也存在其不足，其授权策略大都是基于工作流应用环境出发考虑访问控制。即使改进了TRBAC模型满足了有效性，但对于现今高动态、开放式网络环境还存在很多不足，比如客体属性更新不但可能发生在主体访问客体前，而且可能在整个访问过程中和访问后也需要更新。主体在访问客体时需要完成一定操作行为，系统才允许访问。或者访问需要满足执行环境和系统状态才能够进行。而这些需求在TRBAC模型中还不能完全处理，缺乏对当代访问控制领域若干新概念支持。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第48页8.3.8访问控制小结

访问控制主要优点主要缺点DAC是基于授权者访问控制伎俩，访问控制灵活安全可靠性低，会造成存放空间和查找时间浪费MAC基于管理信息流控制标准，支持各种级别安全梯度，含有高安全性授权方式不太灵活，安全级别划分困难RBAC是一个策略中立访问控制方式，授权灵活，使用继承和约束概念，能轻易融合新技术最小权限约束还不够细化，效率低且动态适应性差，只能用于被动访问控制TBAC基于活动动态安全模型，访问控制客体是动态改变，且权限使用也是有时效角色和任务没有分离，且只能进行主动访问控制TRBAC是一个动态授权主动安全模型，同时拥有角色与任务两个同等主要元素，实现了动静结合访问控制思想只针对于工作流来考虑，缺乏对任务特征细化，以及不能适应系统多样性访问控制需求UCON是一个将传统访问控制、信任管理和数字版权管理集成一个访问控制框架。在定义了授权、义务、和条件同时提出了连续性易变性两大特征。丰富和完善了访问控制，适适用于当代开放式网络环境。还只是一个高度抽象参考性基本框架模型，它阐述了使用控制中最基本问题，不过不包括到管理，委托授权，以及其它后期工作中出现诸如并发性等主要问题NetworkandInformationSecurity身份认证、访问控制与系统审计概述第49页8.4案例：企业Web系统中RBAC

这个简单例子包含3个模块：模块管理、角色管理和用户管理，采取以角色为中心安全模型。此模型将系统模块权限和用户分开，使用角色作为一个中间层。用户访问模块时，经过其所对应角色对该模块访问权限来取得访问模块权限，经过这种分层管理模式能够实现有效访问控制。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第50页角色1角色2部门1部门2部门3部门4……用户1用户2用户3…………模块1模块2模块3模块4……图8-10用户、角色和模块间关系NetworkandInformationSecurity身份认证、访问控制与系统审计概述第51页说明角色是为系统安全而设计抽象层，同一角色里组员含有相同模块操作权限。不过角色不像机构部门那样有固定组员和组织结构，并非真正实体，能够依据需求任意地建立和删除角色。角色组员为部门员工，角色组员也能够不受限制进行任意组合。经过这种设计思想形成三层安全模型，第一层为用户，第二层为角色，第三层为系统模块。用户和角色之间建立关系，角色和模块权限之间建立关系，而用户和模块权限之间没有直接关系。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第52页用户、角色和模块数据访问结构图用户信息用户角色关系信息角色信息角色模块信息模块信息数据库NetworkandInformationSecurity身份认证、访问控制与系统审计概述第53页8.5系统审计

美国国防部(DOD)在20世纪70年代支持一项内容广泛研究计划，该计划研究安全策略、安全指南和“可信系统”控制。可信系统定义为：“能够提供足够硬件和软件，以确保系统同时处理一定范围内敏感或分级信息”。审计机制被纳入《可信计算机系统评定准则》(“橙皮书”)中。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第54页

8.5.1审计及审计跟踪

审计(Audit)是指产生、统计并检验按时间次序排列系统事件统计过程，它是一个被信任机制。同时，它也是计算机系统安全机制一个不可或缺部分，对于C2及其以上安全级别计算机系统来讲，审计功效是其必备安全机制。而且，审计是其它安全机制有力补充，它贯通计算机安全机制实现整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是以后人们研究入侵检测系统前提。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第55页

审计跟踪(AuditTrail）是系统活动统计，这些统计足以重构、评定、审查环境和活动次序，这些环境和活动是同一项事务开始到最终结束期间围绕或造成一项操作、一个过程或一个事件相关。从这个意义来讲，审计跟踪可用来实现：确定和保持系统活动中每个人责任；重建事件；评定损失；监测系统问题区；提供有效灾难恢复；阻止系统不正当使用等。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第56页

作为一个安全机制，计算机系统审计机制安全目标有：●审查基于每个目标或每个用户访问模式，并使用系统保护机制。●发觉试图绕过保护机制外部人员和内部人员。●发觉用户从低等级到高等级访问权限转移。●阻止用户企图绕过系统保护机制尝试。●作为另一个机制确保统计并发觉用户企图绕过保护尝试，为损失控制提供足够信息。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第57页

8.5.2安全审计审计是统计用户使用计算机网络系统进行全部活动过程，它是提升安全性主要工具。安全审计跟踪机制价值在于：经过事后安全审计能够检测和调查安全漏洞。

(1)它不但能够识别谁访问了系统，还能指出系统正被怎样使用。

(2)对于确定是否有网络攻击情况，审计信息对于确定问题和攻击源很主要。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第58页

(3)系统事件统计能够更快速和系统地识别问题，而且它是后面阶段事故处理主要依据。

(4)经过对安全事件不停搜集与积累而且加以分析，有选择性地对其中一些站点或用户进行审计跟踪，以提供发觉可能产生破坏性行为有力证据。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第59页

安全审计就是对系统统计与行为进行独立品评考查，目标是：

(1)测试系统控制是否恰当，确保与既定安全策略和操作能够协调一致。

(2)有利于作出损害评定。

(3)对控制、策略与规程中特定改变作出评价。

NetworkandInformationSecurity身份认证、访问控制与系统审计概述第60页

安全审计跟踪将考虑：

1)要选择统计什么信息审计统计必须包含网络中任何用户、进程、实体取得某一级别安全等级尝试：包含注册、注销，超级用户访问，产生各种票据，其它各种访问状态改变，并尤其注意公共服务器上匿名或客人账号。实际搜集数据随站点和访问类型不一样而不一样。通常要搜集数据包含：用户名和主机名，权限变更情况，时间戳，被访问对象和资源。当然这也依赖于系统空间。(注意不要搜集口令信息)NetworkandInformationSecurity身份认证、访问控制与系统审计概述第61页2)在什么条件下统计信息

3)为了交换安全审计跟踪信息所采取语法和语义定义搜集审计跟踪信息，经过列举被统计安全事件类别(比如显著违反安全要求或成功完成操作)，应能适应各种不一样需要。已知安全审计存在可对一些潜在侵犯安全攻击源起到威摄作用。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第62页

审计是系统安全策略一个主要组成部分，它贯通整个系统不一样安全机制实现过程，它为其它安全策略改进和完善提供了必要信息。而且，它深入研究为以后一些安全策略诞生和发展提供了契机。以后发展起来入侵检测系统就是在审计机制基础上得到启示而快速发展起来。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第63页8.6

PMI

访问控制就是控制用户访问资源权限，怎样证实用户所含有权限正是PMI要做事情。8.6.1PMI概述授权管理基础设施PMI(PrivilegeManagementInfrastructure)是国家信息安全基础设施(NationalInformationSecurityInfrastructure，NISI)一个主要组成部分。目标是：向用户和应用程序提供授权管理服务

提供用户身份到应用授权映射功效提供与实际应用处理模式相对应、与详细应用系统开发和管理无关授权和访问控制机制简化详细应用系统开发与维护。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第64页属性证书授权管理基础设施PMI是一个由属性证书(AttributeCertificate,AC)、属性权威(AttributeAuthority,AA)、属性证书库等部件组成综合系统，用来实现权限和证书产生、管理、存放、分发和撤消等功效。PMI使用属性证书表示和容纳权限信息，经过管理证书生命周期实现对权限生命周期管理。属性证书申请、签发、撤消、验证流程对应着权限申请、发放、撤消、使用和验证过程。而且，使用属性证书进行权限管理使得权限管理无须依赖某个详细应用，而且利于权限安全分布式应用。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第65页PMI与PKI比较授权管理基础设施PMI以资源管理为关键，对资源访问控制权统一交由授权机构统一处理。同公钥基础设施PKI相比，二者主要区分在于：PKI证实用户是谁，而PMI证实这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI与PKI在结构上是非常相同。信任基础都是相关权威机构，由他们决定建立身份认证系统和属性特权机构。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第66页在PKI中，由相关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由相关部门建立权威源点SOA(SourceOfAuthority)，下设分布式AA和其它机构。PMI实际上提出了一个新信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起对认可用户特定授权，对权限管理进行了系统定义和描述，完整地提供了授权服务所需过程。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第67页8.6.2PMI技术授权管理模式及其优点

授权服务体系主要是为网络空间提供用户操作授权管理，即在虚拟网络空间中用户角色与最终应用系统中用户操作权限之间建立一个映射关系。当前建立授权服务体系关键技术主要是授权管理基础设施PMI技术。PMI技术经过数字证书机制来管理用户授权信息，并将授权管理功效从传统应用系统中分离出来，以独立服务方式面向应用系统提供授权管理服务。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第68页因为数字证书机制提供了对授权信息安全保护功效，所以，作为用户授权信息存放载体属性证书一样能够经过公开方式对外公布。在PMI中主要使用基于角色访问控制。其中角色提供了间接分配权限方法。在实际应用中，个人被签发角色分配证书使之含有一个或多个对应角色，而每个角色含有权限经过角色定义来说明，而不是将权限放在属性证书中分配给个人。这种间接权限分配方式使得角色权限更新时，无须撤消每一个属性证书，极大地减小了管理开销。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第69页基于PMI技术授权管理模式主要存在以下三个方面优势：

1.授权管理灵活性基于PMI技术授权管理模式能够经过属性证书使用期以及委托授权机制来灵活地进行授权管理，从而实现了传统访问控制技术领域中强制访问控制模式与自主访问控制模式有机结合，其灵活性是传统授权管理模式所无法比拟。2.授权操作与业务操作相分离基于授权服务体系授权管理模式将业务管理工作与授权管理工作完全分离，愈加明确了业务管理员和安全管理员之间职责分工，能够有效地防止因为业务管理人员参加到授权管理活动中而可能带来一些问题。加强了授权管理可信度。3.多授权模型灵活支持基于PMI技术授权管理模式将整个授权管理体系从应用系统中分离出来，授权管理模块本身维护和更新操作将与详细应用系统无关。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第70页8.6.3PMI系统架构

PMI授权服务体系以高度集中方式管理用户和为用户授权，而且采取适当用户身份信息来实现用户认证，主要是PKI体系下数字证书，也包含动态口令或者指纹认证技术。安全平台将授权管理功效从应用系统中分离出来，以独立和集中服务方式面向整个网络，统一为各应用系统提供授权管理服务。PMI在体系上能够分为三级，分别是信任源点SOA中心、属性权威机构AA中心和AA代理点。在实际应用中，这种分级体系能够依据需要进行灵活配置，能够是三级、二级或一级。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第71页图8.18授权管理系统总体架构示意图SOAAAAAAA代理点AA代理点AA代理点AA代理点访问控制执行者…………………NetworkandInformationSecurity身份认证、访问控制与系统审计概述第72页授权管理系统说明1.权威源点SOA权威源点(SOA中心)是整个授权管理体系中心业务节点，也是整个PMI最终信任源和最高管理机构。SOA中心职责主要包含：授权管理策略管理、应用授权受理、AA中心设置审核及管理和授权管理体系业务规范化等。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第73页授权管理系统说明2.属性权威机构AA属性权威机构AA中心是PMI关键服务节点，是对应于详细应用系统授权管理分系统，由含有设置AA中心业务需求各应用单位负责建设，并与SOA中心经过业务协议达成相互信任关系。AA中心职责主要包含：应用授权受理、属性证书发放和管理，以及AA代理点设置审核和管理等。AA中心需要为其所发放全部属性证书维持一个历史统计和更新统计。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第74页授权管理系统说明3.AA代理点AA代理点是PMI用户代理节点，也称为资源管理中心，是详细应用用户接口。是对应AA中心从属机构，接收AA中心直接管理，由各AA中心负责建设，报经主管SOA中心同意，并签发对应证书。AA代理点职责主要包含:应用授权服务代理和应用授权审核代理等，负责对详细用户应用资源进行授权审核，并将属性证书操作请求提交到AA进行处理。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第75页授权管理系统说明4.访问控制执行者访问控制执行者是指用户应用系统中详细对授权验证服务调用模块，所以，实际上并不属于PMI，但却是授权管理体系主要组成部分。访问控制执行者主要职责是：将最终用户针对特定操作授权所提交授权信息(属性证书)连同对应身份验证信息(公钥证书)一起提交到授权服务代理点，并依据授权服务中心返回授权结果，进行详细应用授权处理。NetworkandInformationSecurity身份认证、访问控制与系统审计概述第76页8.6.4对PMI系统要求

PMI经过结合授权管理系统和身份认证系统补充了PKI弱点，提供了将PKI集成到应用计算环境模型。PMI权限管理和授权服务基础平台应该满足下面要求：平台策略定制应该灵活，能够依据不一样情况定制出不一样策略。平台管理功效操作应该简单。平台应该含有很好扩展能力。平台应该含有很好效率，防止决议过程显著地影响访问速度。平台应该独立于任何应用。NetworkandInformationSecurity身份认证、访问控制与系统审计概述