信息安全技术_10访问控制技术与Windows访问控制40190.pptx-淘文阁

资源描述

《信息安全技术_10访问控制技术与Windows访问控制40190.pptx》由会员分享，可在线阅读，更多相关《信息安全技术_10访问控制技术与Windows访问控制40190.pptx（59页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全技术第 6 讲访问控制与审计技术l l6.1 6.1 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l 访问控制的基本概念访问控制的基本概念l l Windows XP Windows XP 的访问控制的访问控制l l6.2 6.2 审计追踪技术与审计追踪技术与WindowsWindows安全审计功能安全审计功能第第 6-16-1讲讲访问控制技术与Windows访问控制l l1.1.访问控制的基本概念访问控制的基本概念l l 访问控制是在保障授权用户能获取所需资源的同时拒访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制，也是

2、信息安全理论基础的绝非授权用户的安全机制，也是信息安全理论基础的重要组成部分。重要组成部分。l l 在用户身份认证和授权之后，访问控制机制将根据预在用户身份认证和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源先设定的规则对用户访问某项资源(目标目标)进行控制，进行控制，只有规则允许时才能访问，违反预定的安全规则的访只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。问行为将被拒绝。l l 资源可以是信息资源、处理资源、通信资源或者物理资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成资源，访问方式可以是获取信息、修

3、改信息或者完成某种功能某种功能(例如可以是读、写或者执行等例如可以是读、写或者执行等)。l l 访问控制的目的是为了限制访问主体对访问客体的访访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能定用户能做什么，也决定代表一定用户身份的进程能做什么。其中主体可以是某个用户，也可以是用户启做什么。其中主体可以是某个用户，也可以是用户启动的进程和服务。动的进程和服务。第第 6-16-1讲讲访问控制技术与Windows访问控制l l为达到目的，访问控制需要完

4、成以下两个任务：为达到目的，访问控制需要完成以下两个任务：l l 识别和确认访问系统的用户。识别和确认访问系统的用户。l l 决定该用户可以对某一系统资源进行何种类型访问。决定该用户可以对某一系统资源进行何种类型访问。l l访问控制一般包括访问控制一般包括33种类型：自主访问控制、强种类型：自主访问控制、强制访问控制和基于角色的访问控制等。制访问控制和基于角色的访问控制等。第第 6-16-1讲讲访问控制技术与Windows访问控制l l(1)(1)自主访问控制自主访问控制(DAC)(DAC)l l 这是常用的访问控制方式，它基于对主体或主体所属这是常用的访问控制方式，它基于对主体或主体所属

5、的主体组的识别来限制对客体的访问。的主体组的识别来限制对客体的访问。l l 自主是指主体能够自主地自主是指主体能够自主地(可能是间接的可能是间接的)将访问权或将访问权或访问权的某个子集授予其他主体。简单来说，就是由访问权的某个子集授予其他主体。简单来说，就是由拥有资源的用户自己来决定其他一个或一些主体可以拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。即资源的拥有者对资源在什么程度上访问哪些资源。即资源的拥有者对资源的访问策略具有决策权，这是一种限制比较弱的访问的访问策略具有决策权，这是一种限制比较弱的访问控制策略。控制策略。第第 6-16-1讲讲访问控

6、制技术与Windows访问控制l l 自主访问控制是一种比较宽松的访问控制机制。一个自主访问控制是一种比较宽松的访问控制机制。一个主体的访问权限具有传递性，比如大多数交互系统的主体的访问权限具有传递性，比如大多数交互系统的工作流程是这样的：用户首先登录，然后启动某个进工作流程是这样的：用户首先登录，然后启动某个进程为该用户做某项工作，这个进程就继承了该用户的程为该用户做某项工作，这个进程就继承了该用户的属性，包括访问权限。这种权限的传递可能会给系统属性，包括访问权限。这种权限的传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而带来安全隐患，某个主体通过继承其他主体的权限

7、而得到了它本身不应具有的访问权限，就可能破坏系统得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。的安全性。这是自主访问控制方式的缺点。第第 6-16-1讲讲访问控制技术与Windows访问控制l l(2)(2)强制访问控制强制访问控制(MAC)(MAC)l l 这是一种较强硬的控制机制，系统为所有的主体和客这是一种较强硬的控制机制，系统为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无体指定安全级别，比如绝密级、机密级、秘密级和无密级等。不同级别标记了不同重要程度和能力的实体，密级等。不同级别标记了不同重要程度和能力的实体，不同级别的主体

8、对不同级别的客体的访问是在强制的不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。安全策略下实现的。l l 在强制访问控制机制中，将安全级别进行排序，如按在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。也可以规定低级别可以单向访问高级别。第第 6-16-1讲讲访问控制技术与Windows访问控制l l(3)(3)基于角色的访问控制基于角色的访问控制(RBAC)(RBAC)l l 传统的访问控制传统的访问控制l l 基于角色的访问控制基于角色的访问

9、控制第第 6-16-1讲讲访问控制技术与Windows访问控制l l在传统的访问控制中，主体始终和特定的实体相在传统的访问控制中，主体始终和特定的实体相对应。例如，用户以固定的用户名注册，系统分对应。例如，用户以固定的用户名注册，系统分配一定的权限，该用户将始终以其用户名访问系配一定的权限，该用户将始终以其用户名访问系统，直至销户。其间，用户的权限可以变更，但统，直至销户。其间，用户的权限可以变更，但必须在系统管理员的授权下才能进行。必须在系统管理员的授权下才能进行。第第 6-16-1讲讲访问控制技术与Windows访问控制l l然而，在现实社会中，传统访问控制方式表现出然而，在现实社会中

10、，传统访问控制方式表现出很多弱点，不能满足实际需求。主要问题在于：很多弱点，不能满足实际需求。主要问题在于：l l 同一用户在不同场合应该以不同的权限访问系统。而同一用户在不同场合应该以不同的权限访问系统。而按传统的做法，变更权限必须经系统管理员授权修改，按传统的做法，变更权限必须经系统管理员授权修改，因此很不方便。因此很不方便。l l 当用户大量增加时，按每用户一个注册账号的方式将当用户大量增加时，按每用户一个注册账号的方式将使得系统管理变得复杂、工作量急剧增加，也容易出使得系统管理变得复杂、工作量急剧增加，也容易出错。错。第第 6-16-1讲讲访问控制技术与Windows访问控制l

11、 l 传统访问控制模式不容易实现层次化管理。即按每用传统访问控制模式不容易实现层次化管理。即按每用户一个注册账号的方式很难实现系统的层次化分权管户一个注册账号的方式很难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。除非同一用户以多个用户次时，系统管理很难实现。除非同一用户以多个用户名注册。名注册。第第 6-16-1讲讲访问控制技术与Windows访问控制l l基于角色的访问控制模式就是为了克服以上问题基于角色的访问控制模式就是为了克服以上问题而提出来的。而提出来的。l l在基于角色的访问控制模

12、式中，用户不是自始至在基于角色的访问控制模式中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到限，系统的访问控制机制只看到角色，而看不到用户。用户。第第 6-16-1讲讲访问控制技术与Windows访问控制l l用户在访问系统前，经过角色认证而充当相应的用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的

13、访自主访问控制或强制访问控制机制控制角色的访问能力。问能力。第第 6-16-1讲讲访问控制技术与Windows访问控制l l1)1)角色角色(role)(role)的概念。的概念。l l 角色定义为与一个特定活动相关联的一组动作和责任。角色定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权

14、来尽可能实现控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限主体的最小权限(最小授权指主体在能够完成所有必需最小授权指主体在能够完成所有必需的访问工作基础上的最小权限的访问工作基础上的最小权限)。第第 6-16-1讲讲访问控制技术与Windows访问控制l l例如，在一个银行系统中，可以定义出纳员、分例如，在一个银行系统中，可以定义出纳员、分行管理者、系统管理员、顾客、审计员等角色。行管理者、系统管理员、顾客、审计员等角色。其中，担任系统管理员的用户具有维护系统文件其中，担任系统管理员的用户具有维护系统文件的责任和权限，无论这个用户具体是谁。系统管的责任和权限，无论这个用

15、户具体是谁。系统管理员可能是由某个出纳员兼任，他就具有两种角理员可能是由某个出纳员兼任，他就具有两种角色。但是出于责任分离的考虑，需要对一些权利色。但是出于责任分离的考虑，需要对一些权利集中的角色组合进行限制，比如规定分行管理者集中的角色组合进行限制，比如规定分行管理者和审计员不能由同一个用户担任等。和审计员不能由同一个用户担任等。第第 6-16-1讲讲访问控制技术与Windows访问控制l l基于角色的访问控制可以看作是基于组的自主访基于角色的访问控制可以看作是基于组的自主访问控制的一种变体，一个角色对应一个组。问控制的一种变体，一个角色对应一个组。第第 6-16-1讲讲访问控制技术与W

16、indows访问控制l l2)2)基于角色的访问控制。就是通过定义角色的权基于角色的访问控制。就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。限，为系统中的主体分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分派了用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问控制机制检查角色的权限，并决定是否允许访问。问。第第 6-16-1讲讲访问控制技术与Windows访问控制l l3)3)基于角色访问控制方法的特点基于角色访问控制方法的特点l l 提供

17、了提供了3 3 种授权管理的控制途径种授权管理的控制途径l l 改变客体的访问权限，即修改客体可以由哪些角色访问以及改变客体的访问权限，即修改客体可以由哪些角色访问以及具体的访问方式具体的访问方式l l 改变角色的访问权限改变角色的访问权限l l 改变主体所担任的角色。改变主体所担任的角色。l l 系统中所有角色的关系结构可以是层次化的，便于系统中所有角色的关系结构可以是层次化的，便于管理。角色的定义是从现实出发，所以可以用面向对管理。角色的定义是从现实出发，所以可以用面向对象的方法来实现，运用类和继承等概念表示角色之间象的方法来实现，运用类和继承等概念表示角色之间的层次关系非

18、常自然而且实用。的层次关系非常自然而且实用。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 具有较好的提供最小权利的能力，从而提高了安全具有较好的提供最小权利的能力，从而提高了安全性。由于对主体的授权是通过角色定义，因此，调整性。由于对主体的授权是通过角色定义，因此，调整角色的权限粒度可以做到更有针对性，不容易出现多角色的权限粒度可以做到更有针对性，不容易出现多余权限。余权限。l l 具有责任分离的能力。定义角色的人不一定是担任具有责任分离的能力。定义角色的人不一定是担任角色的人，这样，不同角色的访问权限可以相互制约，角色的人，这样，不同角色的访问权限可以相互制约，

19、因而具有更高的安全性。因而具有更高的安全性。第第 6-16-1讲讲访问控制技术与Windows访问控制l l2.Windows XP2.Windows XP的访问控制的访问控制l l 这里，我们来了解这里，我们来了解Windows XP Windows XP 操作系统的访问控制操作系统的访问控制实现机制。实现机制。l l Windows Windows 的安全模型的安全模型l l Windows Windows 的安全概念的安全概念l l Windows Windows 的访问控制过程的访问控制过程第第 6-16-1讲讲访问控制技术与Windows访问控制l l(1)Window

20、s(1)Windows的安全模型的安全模型l l Windows Windows 采用的是微内核采用的是微内核(microkernel)(microkernel)结构和模块化结构和模块化的系统设计。有的模块运行在底层的内核模式上，有的系统设计。有的模块运行在底层的内核模式上，有的模块则运行在受内核保护的用户模式上。的模块则运行在受内核保护的用户模式上。Windows Windows的安全子系统置于核心的安全子系统置于核心(kernel)(kernel)层。层。第第 6-16-1讲讲访问控制技术与Windows访问控制l lWindowsWindows安全模型由以下几个关键部分构成，各

21、安全模型由以下几个关键部分构成，各部分在访问控制的不同阶段发挥了各自的作用。部分在访问控制的不同阶段发挥了各自的作用。l l 1)1)登录过程登录过程(logon process(logon process，LP)LP)。接受本地用户或者。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些远程用户的登录请求，处理用户信息，为用户做一些初始化工作。初始化工作。l l 2)2)本地安全授权机构本地安全授权机构(local security authority(local security authority，LSA)LSA)。根据安全账号管理器中的数据处理本地或者远程用。根据安全

22、账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子户的登录信息，并控制审计和日志。这是整个安全子系统的核心。系统的核心。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 3)3)安全账号管理器安全账号管理器(security account manager(security account manager，SAM)SAM)。维护账号的安全性管理数据库。维护账号的安全性管理数据库(SAM(SAM 数据库，又称数据库，又称目录数据库目录数据库)。l l 4)4)安全引用监视器安全引用监视器(security reference monit

23、or(security reference monitor，SRM)SRM)。检查存取合法性，防止非法存取和修改。检查存取合法性，防止非法存取和修改。第第 6-16-1讲讲访问控制技术与Windows访问控制l l(2)Windows(2)Windows的安全概念的安全概念l l 1)1)安全标识安全标识(security identifier(security identifier，SID)SID)。安全标识和。安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信而且永不再用。安全标识与

24、对应的用户和组的账号信息一起存储在息一起存储在SAM SAM 数据库里。数据库里。l l 2)2)访问令牌访问令牌(access token)(access token)。当用户登录时，本地安。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用户名、全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后，用户的所有程序都所在组、安全标识等信息。以后，用户的所有程序都将拥有访问令牌的拷贝。将拥有访问令牌的拷贝。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 3)3)主体。用户登录到系统之后，本地安全授权机构为主体。用户登录到系统之后，本地

25、安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个作相联系，用户进行的操作和访问令牌一起构成一个主体。主体。l l 4)4)对象、资源、共享资源。对象的实质是封装了数据对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息集合体；资源是用于网络环和处理过程的一系列信息集合体；资源是用于网络环境的对象；共享资源是在网络上共享的对象。境的对象；共享资源是在网络上共享的对象。l l 5)5)安全描述符安全描述符(security descript)(security descr

26、ipt)。第第 6-16-1讲讲访问控制技术与Windows访问控制l lWindowsWindows系统为共享资源创建的安全描述符包含系统为共享资源创建的安全描述符包含了该对象的一组安全属性，分为了该对象的一组安全属性，分为44个部分：个部分：l l 所有者安全标识所有者安全标识(owner security ID)(owner security ID)，拥有该对象，拥有该对象的用户或者用户组的的用户或者用户组的SD SD；l l 组安全标识组安全标识(group security)(group security)；l l 自主访问控制表自主访问控制表(DAC)(DAC)，该对象的

27、访问控制表，由，该对象的访问控制表，由对象的所有者控制；对象的所有者控制；第第 6-16-1讲讲访问控制技术与Windows访问控制l l 系统访问控制表系统访问控制表(ACL)(ACL)，定义操作系统将产生何种，定义操作系统将产生何种类型的审计信息，由系统的安全管理员控制。类型的审计信息，由系统的安全管理员控制。l l 其中，安全描述符中的每一个访问控制表其中，安全描述符中的每一个访问控制表(ACL)(ACL)都由都由访问控制项访问控制项(ACEs)(ACEs)组成，用来描述用户或者组对对象组成，用来描述用户或者组对对象的访问或审计权限。的访问或审计权限。l l ACEs ACE

28、s 有有3 3 种类型：种类型：Access Allowed Access Allowed、Access Denied Access Denied 和和System Audit System Audit。前两种用于自主访问控制；后一种用。前两种用于自主访问控制；后一种用于记录安全日志。于记录安全日志。第第 6-16-1讲讲访问控制技术与Windows访问控制l l(3)Windows(3)Windows的访问控制过程的访问控制过程l l 当一个账号被创建时，当一个账号被创建时，Windows Windows 为它分配一个为它分配一个SID SID，并与其他账号信息一起存入并与其他账号

29、信息一起存入SAM SAM 数据库。数据库。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 每次用户登录时，登录主机每次用户登录时，登录主机(通常为工作站通常为工作站)的系统首的系统首先把用户输入的用户名、口令和用户希望登录的服务先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安全账号管理器将这器域信息送给安全账号管理器，安全账号管理器将这些信息与些信息与SAM SAM 数据库中的信息进行比较，如果匹配，数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安服务器发给工作站允许访问的信息，并返回用户的安全标识

30、和用户所在组的安全标识，工作站系统为用户全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。目录位置、工作站参数等信息。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 然后，本地安全授权机构为用户创建访问令牌，包括然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后，用户每新用户名、所在组、安全标识等信息。此后，用户每新建一个进程，都将访问令牌复制作为该进程的访问令建一个进程，都将访问令牌复制作为该进程的访问令牌。牌。l

31、l 当用户或者用户生成的进程要访问某个对象时，安全当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户引用监视器将用户/进程的访问令牌中的进程的访问令牌中的SID SID 与对象安与对象安全描述符中的自主访问控制表进行比较，从而决定用全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。户是否有权访问对象。第第 6-16-1讲讲访问控制技术与Windows访问控制l l 在这个过程中应该注意在这个过程中应该注意SID SID 对应账号的整个有效期，对应账号的整个有效期，而访问令牌只对应某一次账号登录。而访问令牌只对应某一次账号登录。l l Windows W

32、indows 系统中共享对象的访问权限是由对象所有者系统中共享对象的访问权限是由对象所有者决定。如果用户想共享某个对象，他首先要为对象选决定。如果用户想共享某个对象，他首先要为对象选择唯一的名字，然后为其他的用户和组分配访问权限。择唯一的名字，然后为其他的用户和组分配访问权限。然后，系统会以此为共享对象创建安全描述符。一个然后，系统会以此为共享对象创建安全描述符。一个没有访问控制表的对象可以被任何用户以任何方式访没有访问控制表的对象可以被任何用户以任何方式访问。共享资源的访问权限共有问。共享资源的访问权限共有4 4 种，即完全控制、拒绝种，即完全控制、拒绝访问、读和更改。访问、读和

33、更改。第第 6-16-1讲讲访问控制技术与Windows访问控制第 6 讲访问控制与审计技术l l6.1 6.1 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l6.2 6.2 审计追踪技术与审计追踪技术与WindowsWindows安全审计功能安全审计功能第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l 审计是对信息系统访问控制的必要补充，它会对用户使用何种信息资源、使用的时间，以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线，它能够再现原有的进程和问题，这对于责任追查和数据恢复是非常必要的。l

34、l审计跟踪是系统活动的流水记录。该记录按事件审计跟踪是系统活动的流水记录。该记录按事件自始至终顺序检查、审查和检验每个事件的环境自始至终顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控制职能的实现。员的活动证据以支持访问控制职能的实现。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l审计跟踪记录系统活动和用户活动。系统活动包审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动；用户活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序

35、中的活动。通过括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同确保系统及其资源免遭非法授权用户的侵害，同时还能提供对数据恢复的帮助。时还能提供对数据恢复的帮助。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l1.1.审计内容审计内容l l 审计跟踪可以实现多种安全相关目标，包括审计跟

36、踪可以实现多种安全相关目标，包括l l 个人职能个人职能l l 事件重建事件重建l l 入侵检测入侵检测l l 故障分析故障分析第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l1)1)个人职能。个人职能。l l 审计跟踪是管理人员用来维护个人职能的技术手段。审计跟踪是管理人员用来维护个人职能的技术手段。一般来说，如果用户知道他们的行为活动被记录在审一般来说，如果用户知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。就不太会违反安全策略和绕过安全控制

37、措施。l l 例如，审计跟踪可以保存改动前和改动后的记录，以例如，审计跟踪可以保存改动前和改动后的记录，以确定是哪个操作者在什么时候做了哪些实际的改动，确定是哪个操作者在什么时候做了哪些实际的改动，这可以帮助管理层确定错误到底是由用户、操作系统、这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。应用软件还是由其他因素造成的。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l 允许用户访问特定资源意味着用户要通过访问控制和允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，授权实现他们的访问，被授权

38、的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计跟踪就能发挥作用：审计跟踪可份访问资源时，审计跟踪就能发挥作用：审计跟踪可以用于检测他们的活动。以用于检测他们的活动。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l2)2)事件重建。事件重建。l l 发生故障后，审计跟踪可以用于重建事件和数据恢复。发生故障后，审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对

39、障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件；审计跟踪的分析就可以重建系统和协助恢复数据文件；同时，还有可能避免下次发生此类故障的情况。同时，还有可能避免下次发生此类故障的情况。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l3)3)入侵检测。入侵检测。l l 审计跟踪记录可以用来协助入侵检测工作。如果将审审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵活动。实时入侵检测可以及时发现或是过后预防入侵活动。实时

40、入侵检测可以及时发现非法授权者对系统的非法访问，也可以探测到病毒扩非法授权者对系统的非法访问，也可以探测到病毒扩散和网络攻击。散和网络攻击。l l4)4)故障分析。故障分析。l l 审计跟踪可以用于实时监控。审计跟踪可以用于实时监控。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l2.2.安全审计的目标安全审计的目标l l 安全审计提供的功能服务于直接和间接两个方面的安安全审计提供的功能服务于直接和间接两个方面的安全目标：直接目标包括跟踪和监测系统中的异常事件，全目标：直接目标包括跟踪和监测系统中的异常事件，间接目标是监视系统中其他安全机制的运行情况和可间接目标

41、是监视系统中其他安全机制的运行情况和可信度。信度。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l 所有审计的前提是有一个支配审计过程的规则集。规所有审计的前提是有一个支配审计过程的规则集。规则的确切形式和内容随审计过程具体内容的改变而改则的确切形式和内容随审计过程具体内容的改变而改变。在商业与管理审计中，规则集包括对确保商业目变。在商业与管理审计中，规则集包括对确保商业目标的实现有重要意义的管理控制、过程和惯例。这些标的实现有重要意义的管理控制、过程和惯例。这些商业目标包括资源的合理使用、利率最大化、费用最商业目标包括资源的合理使用、利率最大化、费用最小化

42、、符合相应的法律法规和适当的风险控制。在计小化、符合相应的法律法规和适当的风险控制。在计算机安全审计的特殊情况下，规则集通常以安全策略算机安全审计的特殊情况下，规则集通常以安全策略的形式明确表述。的形式明确表述。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l 从抽象意义上讲，传统的金融和管理审计与计算机安从抽象意义上讲，传统的金融和管理审计与计算机安全审计的过程是完全相同的，但它们各自关注的问题全审计的过程是完全相同的，但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略，利有很大不同。计算机安全审计是通过一定的策略，利用记录和分析历史操作事件来

43、发现系统的漏洞并改进用记录和分析历史操作事件来发现系统的漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的系统的性能和安全。计算机安全审计需要达到的目的包括：对潜在的攻击者起到震慑和警告的作用；对于包括：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为提供有效的追究责任的证据；已经发生的系统破坏行为提供有效的追究责任的证据；为系统管理员提供有价值的系统使用日志，帮助系统为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。管理员及时发现系统入侵行为或潜在的系统漏洞。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功

44、能l l3.3.安全审计系统安全审计系统l l 审计是通过对所关心的事件进行记录和分析来实现的，审计是通过对所关心的事件进行记录和分析来实现的，因此审计系统包括审计发生器、日志记录器、日志分因此审计系统包括审计发生器、日志记录器、日志分析器和报告机制等几部分。析器和报告机制等几部分。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l(1)(1)日志的内容日志的内容l l 在理想的情况下，日志应该记录每一个可能的事件，在理想的情况下，日志应该记录每一个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历以便分析发生的所有事件，并恢复任何时刻进行的历史情况。然而，

45、这样做显然是不现实的，因为要记录史情况。然而，这样做显然是不现实的，因为要记录每一个数据包、每一条命令和每一次存取操作，需要每一个数据包、每一条命令和每一次存取操作，需要的存储量将远远大于业务系统，并且将严重影响系统的存储量将远远大于业务系统，并且将严重影响系统的性能。因此，日志的内容应该是有选择的。的性能。因此，日志的内容应该是有选择的。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l一般情况下，日志记录的内容应满足以下原则：一般情况下，日志记录的内容应满足以下原则：l l 1)1)任何必要的事件，以检测已知的攻击模式。任何必要的事件，以检测已知的攻击模式。l

46、 l 2)2)任何必要的事件，以检测异常的攻击模式。任何必要的事件，以检测异常的攻击模式。l l 3)3)关于记录系统连续可靠工作的信息。关于记录系统连续可靠工作的信息。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l在这些原则的指导下，日志系统可根据安全要求在这些原则的指导下，日志系统可根据安全要求的强度选择记录下列事件的部分或全部：的强度选择记录下列事件的部分或全部：l l 1)1)审计功能的启动和关闭。审计功能的启动和关闭。l l 2)2)使用身份鉴别机制。使用身份鉴别机制。l l 3)3)将客体引入主体的地址空间。将客体引入主体的地址空间。l l 4)4)删除

47、客体。删除客体。l l 5)5)管理员、安全员、审计员和一般操作人员的操作。管理员、安全员、审计员和一般操作人员的操作。l l 6)6)其他专门定义的可审计事件。其他专门定义的可审计事件。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l通常，对于一个事件，日志应包括事件发生的日通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户期和时间、引发事件的用户(地址地址)、事件和源和、事件和源和目的的位置、事件类型、事件成败等。目的的位置、事件类型、事件成败等。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l(2)(2)安全审计的记录机

48、制安全审计的记录机制l l 日志的记录可能由操作系统完成，也可以由应用系统日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成：但是，大部分情况都可通或其他专用记录系统完成：但是，大部分情况都可通过系统调用过系统调用Syslog Syslog 来记录日志，也可以用来记录日志，也可以用SNMP SNMP 记录。记录。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l Syslog Syslog 由由Syslog Syslog 守护程序、守护程序、Syslog Syslog 规则集及规则集及Syslog Syslog 系统系统调用调用3 3

49、部分组成。记录日志时，系统调用部分组成。记录日志时，系统调用Syslog Syslog 将日志将日志素材发送给素材发送给Syslog Syslog 守护程序，守护程序，Syslog Syslog 守护程序监听守护程序监听Syslog Syslog 调用或调用或Syslog Syslog 端口端口(UDP 514)(UDP 514)的消息，然后根据的消息，然后根据Syslog Syslog 规则集对收到的日志素材进行处理。如果日志规则集对收到的日志素材进行处理。如果日志是记录在其他计算机上，则是记录在其他计算机上，则Syslog Syslog 守护程序将日志转守护程序将日志转

50、发到相应的日志服务器上。发到相应的日志服务器上。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l(3)(3)安全审计分析安全审计分析l l 通过对日志进行分析，从中发现相关事件信息及其规通过对日志进行分析，从中发现相关事件信息及其规律是安全审计的根本目的。律是安全审计的根本目的。第第 6-2 6-2 讲讲审计追踪技术与Windows安全审计功能l l其主要内容包括：其主要内容包括：l l 1)1)潜在侵害分析。日志分析应能用一些规则去监控审潜在侵害分析。日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。这种规则可以计事件，并根据规则发现潜在的入侵

展开阅读全文