《计算机技术网络安全技术教程 ch6 访问控制技术.ppt》由会员分享,可在线阅读,更多相关《计算机技术网络安全技术教程 ch6 访问控制技术.ppt(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第六章第六章 访问控制技术访问控制技术第第6章章 访问控制技术访问控制技术内容提要:内容提要:本章概述本章概述访问控制技术访问控制技术操作系统安全技术操作系统安全技术数据库安全技术数据库安全技术本章小结本章小结第六章第六章 访问控制技术访问控制技术本章概述本章概述 访访问问控控制制是是实实现现既既定定安安全全策策略略的的系系统统安安全全技技术术,它它通通过过某某种种途途径径显显式式地地管管理理着着对对所所有有资资源源的的访访问问请请求求。根根据据安安全全策策略略的的要要求求,访访问问控控制制对对每每个个资资源源请请求求做做出出许许可可或或限限制制访访问问的的判判断断,可可以以有有效效地地防防止
2、止非非法法用用户户访访问问系系统统资资源源和和合合法法用用户户非非法法使使用用资资源源。美美国国国国防防部部的的可可信信计计算算机机系系统统评评估估标标准准(TESEC)把把访访问问控控制制作作为为评评价价系系统统安安全全的的主要指标之一。主要指标之一。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 在在信信息息安安全全领领域域,操操作作系系统统和和数数据据库库管管理理系系统统的的安安全全是是核核心心问问题题。操操作作系系统统安安全全是是整整个个计计算算机机系系统统安安全全的的基基础础,该该研研究究领领域域自自20世世纪纪70年年代代以以来来,已已得得到到快快速速的的发发展展。
3、其其安安全全机机制制主主要要包包括括两两个个方方面面,即即访访问问控控制制和和隔隔离离控控制制。其其中中,访访问问控制是其安全机制的关键。控制是其安全机制的关键。近近年年来来,数数据据库库系系统统在在应应用用范范围围、应应用用规规模模和和开开放放程程度度上上不不断断增增强强,这这使使其其安安全全问问题题变变得得越越来来越越复复杂杂。当当前前,针针对对数数据据库库系系统统采采取取的的安安全全措措施施主主要要有有信信息息流流控控制制、推推导导控控制制和和访访问问控控制制,其其中应用最广且最为有效的当属访问控制。中应用最广且最为有效的当属访问控制。返回本章首页返回本章首页第六章第六章 访问控制技术访
4、问控制技术6.1 访问控制技术访问控制技术 计计算算机机信信息息系系统统访访问问控控制制技技术术最最早早产产生生于于上上个个世世纪纪60年年代代,随随后后出出现现了了两两种种重重要要的的访访问问控控制制技技术术,即即自自主主访访问问控控制制(Discretionary Access Control,DAC)和和强强制制访访问问控控制制(Mandatory Access Control,MAC)。)。但但是是,作作为为传传统统访访问问控控制制技技术术,它它们们已已经经远远远远落落后后于于当当代代系系统统安安全全的的要要求求,安安全全需需求求的的发发展展对访问控制技术提出了新的要求。对访问控制技术
5、提出了新的要求。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.1.1 认证、审计与访问控制认证、审计与访问控制 在在讨讨论论传传统统访访问问控控制制技技术术之之前前,先先就就访访问问控控制制与与认认证证、审审计计之之间间的的关关系系,以以及及访访问问控控制制的的概概念和内涵进行概要说明。念和内涵进行概要说明。在在计计算算机机系系统统种种,认认证证、访访问问控控制制和和审审计计共共同同建建立立了了保保护护系系统统安安全全的的基基础础,如如图图6-1所所示示。其其中中认认证证是是用用户户进进入入系系统统的的第第一一道道防防线线,访访问问控控制制是是在在鉴鉴别别用用户户的的合合法
6、法身身份份后后,控控制制用用户户对对数数据据信信息息的的访访问问,它它是是通通过过引引用用监监控控器器实实施施这这种种访访问问控制的。控制的。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 区区别别认认证证和和访访问问控控制制是是非非常常重重要要的的。正正确确地地建建立立用用户户的的身身份份标标识识是是由由认认证证服服务务实实现现的的。在在通通过过引引用用监监控控器器进进行行访访问问控控制制时时,总总是是假假定定用用户户的的身身份份已已经经被被确确认认,而而且且访访问问控控制制在在很很大大程程度度上上依依赖赖用用户户
7、身身份份的的正正确确鉴鉴别别和和引引用用监监控控器器的的正正确确控控制制。同同时时要要认认识识到到,访访问问控控制制不不能能作作为为一一个个完完整整的的策策略略来来解解决决系系统统安安全全,它它必必须须要要结结合合审审计计而而实实行行。审审计计控控制制主主要要关关注注系系统统所所有有用用户户的的请请求求和和活活动动的的事后分析。事后分析。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 所所谓谓访访问问控控制制(Access Control)就就是是通通过过某某种种途途径径显显式式地地准准许许或或限限制制访访问问能能力力及及范范围围的的一一种种方方法法。通通过过访访问问控控制制服
8、服务务,可可以以限限制制对对关关键键资资源源的的访访问问,防防止止非非法法用用户户的的侵侵入入或或者者因因合合法法用用户户的的不不慎慎操操作作所所造造成成的的破破坏坏。访访问问控控制制是是实实现现数数据据保密性和完整性机制的主要手段。保密性和完整性机制的主要手段。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 访问控制系统一般包括:访问控制系统一般包括:主主体体(subject):指指发发出出访访问问操操作作、存存取取请请求求的的主主动动方方,它它包包括括用用户户、用用户户组组、终终端端、主主机机或或一个应用进程,主体可以访问客体。一个应用进程,主体可以访问客体。客客体体(ob
9、ject):指指被被调调用用的的程程序序或或欲欲存存取取的的数数据据访访问问,它它可可以以是是一一个个字字节节、字字段段、记记录录、程程序、文件,或一个处理器、存储器及网络节点等。序、文件,或一个处理器、存储器及网络节点等。安安全全访访问问政政策策:也也称称为为授授权权访访问问,它它是是一一套套规规则,用以确定一个主体是否对客体拥有访问能力。则,用以确定一个主体是否对客体拥有访问能力。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 在在访访问问控控制制系系统统中中,区区别别主主体体与与客客体体是是比比较较重重要要的的。通通常常主主体体发发起起对对客客体体的的操操作作将将由由系系
10、统统的的授授权权来来决决定定,并并且且,一一个个主主体体为为了了完完成成任任务务可可以以创创建建另另外外的的主主体体,并并由由父父主主体体控控制制子子主主体体。此此外外,主主体体与与客客体体的的关关系系是是相相对对的的,当当一一个个主主体体受受到到另另一一主主体体的的访访问问,成成为为访访问问目目标标时时,该该主主体体便便成成了了客体。客体。访访问问控控制制规规定定了了哪哪些些主主体体可可以以访访问问,以以及及访访问权限的大小,其一般原理如图问权限的大小,其一般原理如图6-2所示。所示。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术返回本章首页返回本章首页第六章第六章 访问控制
11、技术访问控制技术 在在主主体体和和客客体体之之间间加加入入的的访访问问控控制制实实施施模模块块,主主要要用用来来负负责责控控制制主主体体对对客客体体的的访访问问。其其中中,访访问问控控制制决决策策功功能能块块是是访访问问控控制制实实施施功功能能中中最最主主要要的的部部分分,它它根根据据访访问问控控制制信信息息作作出出是是否否允允许许主主体体操操作作的的决决定定,这这里里访访问问控控制制信信息息可可以以存存放放在在数数据据库库、数数据据文文件件中中,也也可可以以选选择择其其它它存存储储方方法法,且且要要视视访访问问控控制制信信息息的的多多少少及及安安全全敏敏感感度度而而定定。其其原理如图原理如图
12、6-3所示。所示。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.1.2 传统访问控制技术传统访问控制技术 1自主访问控制自主访问控制DAC及其发展及其发展 DAC是是目目前前计计算算机机系系统统中中实实现现最最多多的的访访问问控控制制机机制制,它它是是在在确确认认主主体体身身份份以以及及(或或)它它们们所所属属组组的的基基础础上上对对访访问问进进行行限限定定的的一一种种方方法法。传传统统的的DAC最最早早出出现现在在上上个个世世纪纪70年年代代初初期期的的分分时时系系统统中中,它它是是多多用用户户环环境境下下最最
13、常常用用的的一一种种访访问问控控制制技技术术,在在目目前前流流行行的的Unix类类操操作作系系统统中中被被普普遍遍采采用用。其其基基本本思思想想是是,允允许许某某个个主主体体显显式式地地指指定定其其他他主主体体对对该该主主体体所所拥拥有有的的信信息息资资源源是是否否可可以以访访问问以以及及可可执执行行的的访访问问类型。类型。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 上上个个世世纪纪70年年代代末末,M.H.Harrison,W.L.Ruzzo,J.D.Ullma等等对对传传统统DAC做做出出扩扩充充,提提出出了了客客体体主主人人自自主主管管理理该该客客体体的的访访问问和和
14、安安全全管管理理员员限限制制访访问问权权限限随随意意扩扩散散相相结结合合的的半半自自主主式式的的HRU访访问问控控制制模模型型,并并设设计计了了安安全全管管理理员员管管理理访访问问权权限限扩扩散散的的描描述述语语言言。到到了了1992年年,Sandhu等等人人为为了了表表示示主主体体需需要要拥拥有有的的访访问问权权限限,将将HRU模模型型发发展展为为TAM(Typed Access Matrix)模模型型,在在客客体体和和主主体体产产生生时时就就对对访访问问权权限限的的扩扩散散做做出出了了具具体体的的规定。规定。随随后后,为为了了描描述述访访问问权权限限需需要要动动态态变变化化的的系系统统安安
15、全全策略,策略,TAM发展为发展为ATAM(Augmented TAM)模型。模型。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术1.1.2强制访问控制强制访问控制MAC及其发展及其发展 2.MAC最最早早出出现现在在Multics系系统统中中,在在1983美美国国国国防防部部的的TESEC中中被被用用作作为为B级级安安全全系系统统的的主主要要评评价价标标准准之之一一。MAC的的基基本本思思想想是是:每每个个主主体体都都有有既既定定的的安安全全属属性性,每每个个客客体体也也都都有有既既定定安安全全属属性性,主主体体对对客客体体是是否能执行特定的操作取决于两者安全属性之间的关系。
16、否能执行特定的操作取决于两者安全属性之间的关系。3.3.通通常常所所说说的的MAC主主要要是是指指TESEC中中的的MAC,它它主主要要用用来来描描述述美美国国军军用用计计算算机机系系统统环环境境下下的的多多级级安安全全策策略略。在在多多级级安安全全策策略略中中,安安全全属属性性用用二二元元组组(安安全全级级,类类别别集集合合)表表示示,安安全全级级表表示示机机密密程程度度,类类别别集集合合表表示示部门或组织的集合。部门或组织的集合。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 一一般般的的MAC都都要要求求主主体体对对客客体体的的访访问问满满足足BLP(Bell and L
17、aPadula)安安全全模模型型的的两两个个基基本本特性:特性:(1)简简单单安安全全性性:仅仅当当主主体体的的安安全全级级不不低低于于客客体体安安全全及及且且主主体体的的类类别别集集合合包包含含客客体体的的类类别别集集合合时,才允许该主体读该客体。时,才允许该主体读该客体。(2)*特特性性:仅仅当当主主体体的的安安全全级级不不高高于于客客体体安安全全级级且且客客体体的的类类别别集集合合包包含含主主体体的的类类别别集集合合时时,才允许该主体写该客体。才允许该主体写该客体。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 为为了了增增强强传传统统MAC的的完完整整性性控控制制,美美
18、国国SecureComputing公公 司司 提提 出出 了了 TE(Type Enforcement)控控 制制 技技 术术,TE技技 术术 在在SecureComputing公公 司司 开开 发发 的的 安安 全全 操操 作作 系系 统统LOCK6中得到了应用。中得到了应用。Chinese Wall模模型型是是Brewer和和Nash开开发发的的用用于于商商业业领领域域的的访访问问控控制制模模型型,该该模模型型主主要要用用于于保保护护客客户户信信息息不不被被随随意意泄泄漏漏和和篡篡改改。它它是是应应用用在在多多边边安安全全系系统统中中的的安安全全模模型型,也也即即多多个个组组织织间间的的访
19、访问控制系统中,以及可能存在利益冲突的组织中。问控制系统中,以及可能存在利益冲突的组织中。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.1.3 新型访问控制技术新型访问控制技术 1基于角色的访问控制基于角色的访问控制RBAC RBAC(Role-Based Access Control)的的概概念念早早在在20世世纪纪70年年代代就就已已经经提提出出,但但在在相相当当长长的的一一段段时时间间内内没没有有得得到到人人们们的的关关注注。进进入入90年年代代后后,随随着着安安全全需需求求的的发发展展加加之之R.S.Sandhu等等人人的的倡倡导导和和推推动动,RBAC又又引引起起
20、了了人人们们极极大大的的关关注注,目目前前美美国国很很多多学学者者 和和 研研 究究 机机 构构 都都 在在 从从 事事 这这 方方 面面 的的 研研 究究,如如NIST(National Institute of Standard Technology)和和 Geroge Manson大大 学学 的的 LIST(Laboratory of Information Security Technololy)等。等。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 自自1995年年开开始始,美美国国计计算算机机协协会会ACM每每年年都都召召开开RBAC的的专专题题研研讨讨会会来来促促
21、进进RBAC的的研研究究,图图6-4给给出出了了RBAC的的结结构构示示意意图图。在在RBAC中中,在在用用户户(user)和和访访问问许许可可权权(permission)之之间间引引入入了了角角色色(role)的的概概念念,用用户户与与特特定定的的一一个个或或多多个个角角色色相联系,角色与一个或多个访问许可权相联系。相联系,角色与一个或多个访问许可权相联系。这这里里所所谓谓的的角角色色就就是是一一个个或或是是多多个个用用户户可可执执行行的的操操作作的的集集合合,它它体体现现了了RBAC的的基基本本思思想想,即即授授权权给给用用户户的的访访问问权权限限,通通常常由由用用户户在在一一个个组组织织
22、中中担担当的角色来确定。当的角色来确定。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 迄今为止已发展了四种迄今为止已发展了四种RBAC模型:模型:(1)基基本本模模型型RBAC0,该该模模型型指指明明用用户户、角角色色、访问权和会话之间的关系;访问权和会话之间的关系;(2)层层次次模模型型RBAC1,该该模模型型是是偏偏序序的的,上上层层角角色可继承下层角色的访问权;色可继承下层角色的访问权;(3)约约束束模模型型RBAC2,该该模模型型除除包包含含RBAC0的的所所有有基基本本特特性性外外,增增加加了了对对RBA
23、C0的的所所有有元元素素的的约约束束检查,只有拥有有效值的元素才可被接受;检查,只有拥有有效值的元素才可被接受;(4)层层次次约约束束模模型型RBAC3,该该模模型型兼兼有有RBAC1和和RBAC2的特点。的特点。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 RBAC具有五个明显的特点:具有五个明显的特点:(1)以角色作为访问控制的主体)以角色作为访问控制的主体 (2)角色继承)角色继承 (3)最小权限原则)最小权限原则 (4)职责分离)职责分离 (5)角色容量)角色容量 与与DAC和和MAC相相比比,RBAC具具有有明明显显的的优优越越性性,RBAC基基于于策策略略无无关关
24、的的特特性性,使使其其几几乎乎可可以以描描述述任任何何安安全全策策略略,甚甚至至DAC和和MAC也也可可以以用用RBAC来来描描述。述。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 2基于任务的访问控制基于任务的访问控制TBAC TBAC(Task-Based Access Control)是是一一种种新新的的安安全全模模型型,从从应应用用和和企企业业层层角角度度来来解解决决安安全全问问题题(而而非非已已往往从从系系统统的的角角度度)。它它采采用用“面面向向任任务务”的的观观点点,从从任任务务(活活动动)的的角角度度来来建建立立安安全全模模型型和和实实现现安安全全机机制制,在
25、在任任务务处处理理的的过过程程中中提提供供动动态态实实时时的的安安全全管管理理。在在TBAC中中,对对象象的的访访问问权权限限控控制制并并不不是是静静止止不不变变的的,而而是是随随着着执执行行任任务务的的上上下下文文环环境境发生变化,这是我们称其为主动安全模型的原因。发生变化,这是我们称其为主动安全模型的原因。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 3基于组机制的访问控制基于组机制的访问控制 1988年年,R.S.Sandhu等等人人提提出出了了基基于于组组机机制制的的NTree访访问问控控制制模模型型,之之后后该该模模型型又又得得到到了了进进一一步步扩扩充充,相相继继
26、产产生生了了多多维维模模型型N_Grid和和倒倒树树影影模模型型。NTree模模型型的的基基础础是是偏偏序序的的维维数数理理论论,组组的的层层次次关关系系由由维维数数为为2的的偏偏序序关关系系(即即NTree树树)表表示示,通通过过比比较较组组节节点点在在NTree中中的的属属性性决决定资源共享和权限隔离。定资源共享和权限隔离。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.1.4 访问控制的实现技术访问控制的实现技术 访访问问控控制制的的实实现现技技术术是是指指为为了了检检测测和和防防止止系系统统中中的的未未授授权权访访问问,对对资资源源予予以以保保护护所所采采取取的的软软
27、硬硬件件措措施施和和一一系系列列的的管管理理措措施施等等手手段段。访访问问控控制制一一般般是是在在操操作作系系统统的的控控制制下下,按按照照事事先先确确定定的的规规则则决决定定是是否否允允许许主主体体访访问问客客体体,它它贯贯穿穿于于系系统统工工作作的的全全过过程程,是是在在文文件件系系统统中中广广泛泛应应用用的的安安全全防护方法。防护方法。访访问问控控制制矩矩阵阵(Access Control Matrix)是是最初实现访问控制技术的概念模型。最初实现访问控制技术的概念模型。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 由由于于访访问问控控制制矩矩阵阵较较大大,并并且且会会
28、因因许许多多主主体体对对于于大大多多数数客客体体不不能能访访问问而而造造成成矩矩阵阵变变得得过过于于稀稀疏疏,这这显显然然不不利利于于执执行行访访问问控控制制操操作作,因因此此,现现实实系系统统中中通通常常不不使使用用访访问问控控制制矩矩阵阵,但但可可在在访访问问控控制制矩矩阵阵的基础上实现其它访问控制模型,这主要包括:的基础上实现其它访问控制模型,这主要包括:基基于于访访问问控控制制表表(Access Control Lists)的的访访问问控控制实现技术;制实现技术;基基于于能能力力关关系系表表(Capabilities Lists)的的访访问问控控制制实现技术;实现技术;基基于于权权限限
29、关关系系表表(Authorization Relation)的的访访问问控制实现技术。控制实现技术。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.1.5 安全访问规则(授权)的管理安全访问规则(授权)的管理 授授权权的的管管理理决决定定谁谁能能被被授授权权修修改改允允许许的的访访问问,这这可可能能是是访访问问控控制制中中最最重重要要且且又又不不易易理理解解的的特特性性之一。之一。与与访访问问控控制制技技术术相相对对应应,通通常常有有三三类类授授权权管管理理问问题题,即即(1)强强制制访访问问控控制制的的授授权权管管理理,(2)自自主主访访问问控控制制的的授授权权管管理理,以
30、以及及(3)角角色色访问控制强的授权管理。访问控制强的授权管理。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2 操作系统安全技术操作系统安全技术 随随着着计计算算机机技技术术的的飞飞速速发发展展和和大大规规模模应应用用。一一方方面面,现现实实世世界界依依赖赖计计算算机机系系统统的的程程度度越越来来越越高高,另另一一方方面面计计算算机机系系统统的的安安全全问问题题也也越越来来越越突突出出。AT&T实实验验室室的的S.Bellovin博博士士曾曾对对美美国国CERT(Computer Emergency Response Team,CERT)提提供供的的安安全全报报告告进进行
31、行分分析析,结结果果表表明明,大大约约有有一一半半的的计计算算机机网网络络安安全全问问题题是是由由软软件件工工程程中中的的安安全全缺缺陷陷引引起起的的,而而操操作作系系统统的的安安全全脆脆弱弱性性则是问题的根源之一。则是问题的根源之一。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2.1 操作系统安全准则操作系统安全准则 访访问问控控制制的的实实现现技技术术是是指指为为了了检检测测和和防防止止系系统统中中的的未未授授权权访访问问,对对资资源源予予以以保保护护所所采采取取的的软软硬硬件件措措施施和和一一系系列列的的管管理理措措施施等等手手段段。访访问问控控制制一一般般是是在在
32、操操作作系系统统的的控控制制下下,按按照照事事先先确确定定的的规规则则决决定定是是否否允允许许主主体体访访问问客客体体,它它贯贯穿穿于于系系统统工工作作的的全全过过程程,是是在在文文件件系系统统中中广广泛泛应应用用的的安安全全防护方法。防护方法。访访问问控控制制矩矩阵阵(Access Control Matrix)是是最初实现访问控制技术的概念模型。最初实现访问控制技术的概念模型。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 1操作系统的安全需求操作系统的安全需求 所所谓谓安安全全的的系系统统是是指指能能够够通通过过系系统统的的安安全全机机制制控控制制只只有有系系统统授授权权
33、的的用用户户或或代代表表授授权权用用户户的的进进程程才才允允许许读读、写、删、改信息。具体来说,共有六个方面的基本需求:写、删、改信息。具体来说,共有六个方面的基本需求:(1)安全策略。)安全策略。(2)标记。)标记。(3)鉴别。)鉴别。(4)责任。)责任。(5)保证。)保证。(6)连续保护。)连续保护。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 2可信计算机系统评价准则可信计算机系统评价准则 从从80年年代代开开始始,国国际际上上很很多多组组织织开开始始研研究究并并发发布布计计算算机机系系统统的的安安全全性性评评价价准准则则,最最有有影影响响和和代代表表的的是是美美国国国
34、国防防部部制制定定的的可可信信计计算算机机系系统统评评价价准准则则,即即TCSEC(Trusted Computer System Evaluation Criteria)。)。在在上上述述六六种种需需求求中中,(1)、(2)属属于于策策略略类类,(3)、(4)属属于于责责任任类类,(5)、(6)属属于保证类。于保证类。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 根根据据这这些些需需求求,TCSEC将将评评价价准准则则划划分分为为四四类类,每每一类中又细分了不同的级别:一类中又细分了不同的级别:D类:不细分级别;类:不细分级别;C类:类:C1级,级,C2级;级;B类:类:B
35、1级,级,B2级,级,B3级;级;A类:类:A1级;级;其其中中,D类类的的安安全全级级别别最最低低,A类类最最高高,高高级级别别包包括括低低级级别别的的所所有有功功能能,同同时时又又实实现现一一些些新新的的内内容容。实实际际工工作作中中,主主要要通通过过测测试试系系统统与与安安全全相相关关的的部部分分来来确确定定这这些些系系统统的的设设计计和和实实现现是是否否正正确确与与完完全全,一一个个系系统统与与安安全全相相关关的的部部分分通通常常称称之之为为可可信信基基TCB(Trusted Computing Base)。)。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2.2
36、操作系统安全防护的一般方法操作系统安全防护的一般方法 1威胁系统资源安全的因素威胁系统资源安全的因素 威威胁胁系系统统资资源源安安全全的的因因素素除除设设备备部部件件故故障障外外,还有以下几种情况:还有以下几种情况:(1 1)用用户户的的误误操操作作或或不不合合理理地地使使用用了了系系统统提提供供的的命命令令,造造成成对对资资源源的的不不期期望望的的处处理理。(2 2)恶恶意意用用户户设设法法获获取取非非授授权权的的资资源源访访问问权权。(3 3)恶恶意意破破坏坏系系统统资资源源或或系系统统的的正正常常运运行行。(4 4)破破坏坏资资源源的的完完整整性性与保密性与保密性 。(。(5 5)用户之
37、间的相互干扰。)用户之间的相互干扰。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 2操作系统隔离控制安全措施操作系统隔离控制安全措施 隔离控制的方法主要有下列四种。隔离控制的方法主要有下列四种。(1)隔离。)隔离。(2)时间隔离。)时间隔离。(3)逻辑隔离。)逻辑隔离。(4)加密隔离。)加密隔离。这这几几种种隔隔离离措措施施实实现现的的复复杂杂性性是是逐逐步步递递增增的的,而而它它们们的的安安全全性性则则是是逐逐步步递递减减的的,前前两两种种方方法法的的安安全全性性是是比比较较高高的的,后后两两种种隔隔离离方方法法主主要要依依赖赖操操作作系系统的功能实现。统的功能实现。返回本
38、章首页返回本章首页第六章第六章 访问控制技术访问控制技术 3操作系统访问控制安全措施操作系统访问控制安全措施 在在操操作作系系统统中中为为了了提提高高安安全全级级别别,通通常常采采用用一一些些比比较较好好的的访访问问控控制制措措施施以以提提高高系系统统的的整整体体安安全全性性,尤尤其其是是针针对对多多用用户户、多多任任务务的的网网络络操操作作系统。系统。常常用用的的访访问问控控制制措措施施有有:(1)自自主主访访问问控控制制DAC,(2)强强制制访访问问控控制制MAC,(3)基基于于角角色色的的访访问问控控制制RBAC,(4)域域和和类类型型执执行行的的访问控制访问控制DTE。返回本章首页返回
39、本章首页第六章第六章 访问控制技术访问控制技术6.2.3 操作系统资源防护技术操作系统资源防护技术 对对操操作作系系统统的的安安全全保保护护措措施施,其其主主要要目目标标是是保保护护操操作作系系统统中中的的各各种种资资源源,具具体体地地讲讲,就就是是针针对对操操作作系系统统的的登登录录控控制制、内内存存管管理理、文文件件系系统统这这三个主要方面实施安全保护。三个主要方面实施安全保护。1系统登录和用户管理的安全系统登录和用户管理的安全 (1 1)登录控制要严格。)登录控制要严格。(2 2)系统的口令管理。)系统的口令管理。(3 3)良好的用户管理。)良好的用户管理。返回本章首页返回本章首页第六章
40、第六章 访问控制技术访问控制技术 2内存管理的安全内存管理的安全 常用的内存保护技术有:常用的内存保护技术有:(1)单用户内存保护问题。)单用户内存保护问题。(2)多道程序的保护。)多道程序的保护。(3)标记保护法。)标记保护法。(4)分段与分页技术。)分段与分页技术。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 3文件系统的安全文件系统的安全 (1)分组保护分组保护。(2)许可权保护许可权保护。(3)指定保护指定保护。除除了了上上面面三三个个方方面面的的安安全全保保护护措措施施之之外外,操操作作系系统统的的其其它它资资源源如如各各种种外外设设、网网络络系系统统等等也也都都需
41、需要要实实施施比比较较安安全全的的保保护护措措施施,但但它它们们的的最最终终安安全全防防护护可可以以归归结结为为上上面面三三个个方方面面的的操操作作系系统统资资源源安全保护机制。安全保护机制。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2.4 操作系统的安全模型操作系统的安全模型 1安全模型的作用安全模型的作用 安安全全模模型型的的几几个个特特性性:精精确确的的、无无歧歧义义的的;简简易易和和抽抽象象的的,易易于于理理解解;一一般般性性的的,只只涉涉及及安安全全性性质质,不不过过度度地地抑抑制制操操作作系系统统的的功功能能或或其其实现;实现;是安全策略的明显表现。是安全策
42、略的明显表现。2监控器模型监控器模型 3多级安全模型多级安全模型 4信息流模型信息流模型返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 5安全模型小结安全模型小结 保保护护操操作作系系统统的的安安全全模模型型,除除了了上上面面我我们们介介绍绍的的具具体体模模型型之之外外,还还有有另另外外一一类类模模型型称称之之为为抽抽象象模模型型,它它们们以以一一般般的的可可计计算算性性理理论论为为基基础础,可可以以形形式式地地表表述述一一个个安安全全系系统统能能达达到到什什么么样样的的性性能能。这这样样的的模模型型有有Graham-Denning模模型型、Harrison-Ruzzo-Ull
43、man模模型型(HRU模模型型)和和获获取取-授授予予系系统模型。统模型。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2.5 Unix/Linux操作系统的安全操作系统的安全 1Linux系统的基本安全机制系统的基本安全机制 (1)PAM机制机制 (2)入侵检测机制)入侵检测机制 (3)文件加密机制)文件加密机制 (4)安全日志文件机制)安全日志文件机制 (5)防火墙机制)防火墙机制返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 2Linux系统的安全策略和防范措施系统的安全策略和防范措施 Linux网网络络系系统统既既可可能能受受到到来来自自网网络络外外
44、部部黑黑客客的的攻攻击击,也也可可能能遇遇到到网网络络内内部部合合法法用用户户的的越越权权使使用用,Linux网网络络系系统统管管理理员员一一定定要要为为网网络络系系统统制制定定有有效效的的安安全全策策略略,只只有有采采取取有有效效的的防防范范措措施施,才能保证网络系统的安全。才能保证网络系统的安全。(1)Linux系统的安全策略系统的安全策略 (2)Linux系统安全的防范措施系统安全的防范措施返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.2.6 Windows NT的安全漏洞及其对策的安全漏洞及其对策 1Windows NT系统的安全模型系统的安全模型 Windows
45、NT的的结结构构是是层层次次结结构构和和客客户户机机/服服务务器器结结构构的的混混合合体体,除除了了与与硬硬件件直直接接相相关关的的部部分分由由汇汇编编语语言言实实现现外外,其其余余主主要要部部分分是是用用C语语言言编编写写的的。Windows NT用用对对象象模模型型管管理理其其资资源源,因因此此,在在Windows NT中使用对象而不是资源。中使用对象而不是资源。Windows NT的的设设计计目目标标是是TCSEC的的C2级级。C2级级系系统统必必须须在在用用户户级级实实现现自自主主访访问问控控制制,必必须须提提供供审审计计访访问问对对象象的的机机制制,此此外外还还须须实实现现客客体体重
46、重用用。其其系统结构如图系统结构如图6-10所示。所示。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术图6-10 Windows NT系统结构 返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 2Windows NT安全漏洞实例及其解决方法安全漏洞实例及其解决方法 安安全全漏漏洞洞1:安安全全帐帐号号管管理理(SAM)数数据据库库可可以以被被Administrator帐帐户户、Administrator组组中中的的所所有有成成员员、备备份份操操作作员员、服服务务器器操操作作员员以以及及所所有有具具有有备备份特权的人员复制。份特权的人员复制。安安全全漏漏洞洞2:SA
47、M数数据据库库和和其其它它NT服服务务器器文文件件能能 被被 NT的的 SMB所所 读读 取取,SMB是是 指指 服服 务务 器器 消消 息息(Server Message Block),是是Microsoft早早期期LAN产产品的一种继承协议。品的一种继承协议。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.3 数据库安全技术数据库安全技术 信信息息技技术术的的核核心心是是信信息息处处理理,而而数数据据库库技技术术正正是是当当前前信信息息处处理理的的中中流流砥砥柱柱,担担负负着着储储存存和和操操纵信息的使命。纵信息的使命。由由于于数数据据库库安安全全技技术术中中涉涉及及的的
48、有有关关访访问问控控制制模模型型和和信信息息完完整整性性模模型型在在本本章章前前面面的的讨讨论论中中较较多多述述及及,这这里里也也不不再再单单独独讨讨论论。下下面面重重点点介介绍绍构构建建安安全全数数据据库库管管理理系系统统的的体体系系结结构构以以及及数数据据库库的的安安全机制等问题。全机制等问题。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.3.1 数据库安全的层次分布数据库安全的层次分布 一般来说,数据库安全涉及五个层次。一般来说,数据库安全涉及五个层次。(1)物物理理层层:必必须须物物理理地地保保护护计计算算机机系系统统所所处的所有节点,以防入侵者强行闯入或暗中潜入;
49、处的所有节点,以防入侵者强行闯入或暗中潜入;(2)人人员员层层:要要谨谨慎慎用用户户授授权权,以以减减少少授授权权用户接受贿赂而给入侵者提供访问机会的可能;用户接受贿赂而给入侵者提供访问机会的可能;(3)操操作作系系统统层层:操操作作系系统统安安全全性性方方面面的的弱弱点总是可能成为对数据库进行未授权访问的手段;点总是可能成为对数据库进行未授权访问的手段;返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术 (4)网网络络层层:几几乎乎所所有有数数据据库库系系统统都都允允许许通通过过终终端端或或网网络络进进行行远远程程访访问问,网网络络层层安安全全性性和和物理层安全性一样重要;物理层
50、安全性一样重要;(5)数数据据库库系系统统层层:数数据据库库中中有有重重要要程程度度和和敏敏感感程程度度不不同同的的各各种种数数据据,并并为为拥拥有有不不同同授授权权的用户所共享,数据库系统必须遵循授权限制。的用户所共享,数据库系统必须遵循授权限制。返回本章首页返回本章首页第六章第六章 访问控制技术访问控制技术6.3.2 安全安全DBMS体系结构体系结构 通通常常所所说说的的可可信信DBMS指指MLS(多多级级安安全全)DBMS。因因其其存存储储的的数数据据具具有有不不同同的的敏敏感感性性(安安全)级别,全)级别,MLS DBMS中的关系也称多级关系。中的关系也称多级关系。目目前前研研究究的的