1、 访问控制与审计监控谢丽萍提纲一、访问控制n1.访问控制目标、任务、措施 2.基本概念 3.访问控制的实施n4.访问控制内容 5.安全策略的实施原则n6.访问控制模型n6.1自主访问控制模型(DAC Model)-访问控制的实现机制:访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表n6.2强制访问控制模型(MAC Model)-Bell-LaPadula模型、Biba模型n6.3 基于角色的访问控制模型(RBAC Model)二、安全审计n1 定义、目标 2 审计跟踪概述 3 安全审计的类型 4 审计内容n5 安全审计系统的基本结构6 日志审计三、防火墙技术防火墙定义、分类、体
2、系结构、技术等访问控制目标 国际标准化组织(ISO)在网络安全标准中定义了5种层次型安全服务,即:身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务,因此,访问控制是信息安全的一个重要组成部分。n资源不是无限开放的,在一定约束条件下使用。n网络及信息具有价值,难免会受到各种意外的或者蓄意的未授权的使用和破坏。n这些资源必须授权才可以访问。n防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。访问控制的任务 访问控制的任务是在为用户对系统资源提供最大限度共享的基础上,对用户
3、的访问权进行管理,防止对信息系统的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。q未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。n访问控制措施q识别和鉴定访问系统的用户的真实身份,防止非法访问;q确定用户对系统的资源的访问类型,授权用户访问操作n访问控制的主要类型有q物理访问控制q网络访问控制q操作系统访问控制q数据库访问控制q应用系统访问控制基本概念n访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。
4、n访问是主体对客体实施操作的能力n授权是指主体经过系统鉴别后,系统根据主体的类型分配访问权限q例如:用户对文件的权限有读、写和执行。n访问控制包括三个要素,即:主体、客体和控制策略主体、客体和控制策略。n主体(主体(SubjectSubject):是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以对其它实体施加动作的主动实体,简记为S。主体可以是用户或其它任何代理用户行为的实体(如进程、作业和程序)。基本概念n客体客体(Object)(Object):是接受其他实体访问的被动实体,简记为O。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。客体可
5、以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。n控制策略控制策略(Control(Control strategystrategy):是主体对客体的操作行为集和约束条件集,简记为KS。简单讲,控制策略是主体对客体的访问规则集,这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集。访问控制的实施Step1Step1:鉴别主体的合法身份:鉴别主体的合法身份Step2Step2:根据当前系统的访问控制规则授权用户相应的访问权。:根据当前系统的访问控制
6、规则授权用户相应的访问权。访问控制过程:主 体客 体访问控制实施部件访问控制决策部件提交访问 请求请求决策决 策提出访问 请求访问控制内容n访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计3方面的内容:(1)认证认证:主体对客体的识别认证和客体对主体检验认证。是 双向认证过程。(2)控制策略的具体实现控制策略的具体实现:体现在如何设定规则集合,从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,也不能越权行使控制策略所赋予其权利以外的功能。(3
7、)审计审计:审计的重要意义在于,比如客体的管理者即管理员有操作赋予权,他有可能滥用这一权利,这是无法在策略中加以约束的。必须对这些行为进行记录,从而达到威慑和保证访问控制正常实现的目的。安全策略的实施原则n安全策略的制定实施也是围绕主体、客体和安全控制规则集三者之间的关系展开的。最小特权原则最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权用主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其它除外。最小泄漏原则最小泄漏原则:最小
8、泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。多级安全策略多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密级别(Top Secret,TS)、秘密级别(Secret,S)、机密级别(Confidential,C)、限制/受限级别(Restricted,RS)和公开/无级别级(Unclassified,U)5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。访问控制模型分类访问控制模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权
9、能列表(Capacity List)Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型(RBAC)混合策略模型根据访问授权方式的不同,分为:自主访问控制,强制访问控制和基于角色的访问控制。自主访问控制模型(DAC Model)q自主访问控制模型自主访问控制模型(Discretionary Access Control Model,DAC Model):是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所
10、拥有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控制。q Linux,Unix、Windows NT或是Server版本的操作系统都提供自主访问控制的功能。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限,允许和限制用户使用客体的资源。主体控制权限的修改通常由特权用户(管理员)或是特权用户组实现。自主访问控制模型(DAC Model)p 任意访问控制对用户提供的这种灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中;由于用户可以任意传递权限,那么,没有访问某一文件权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得该文件;因此,D
11、AC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。p 自主访问控制模型的特点是授权的实施主体(可以授权的主体、管理授权的客体、授权组)自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。访问控制的实现机制 建立访问控制模型和实现访问控制都是抽象和复杂的行为,实现访问的控制不仅要保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为;还要保证敏感信息的交叉感染。为了便于讨论这一问题,以文件的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源(文件或
12、是数据库),可能的行为有读、写和管理。为方便起见,用Read或是R表示读操作,Write或是W表示写操作,Own或是O表示管理操作。之所以将管理操作从读写中分离出来,是因为管理员也许会对控制规则本身或是文件的属性等做修改,也就是修改在下面提到的访问控制表。访问控制表访问控制表访问控制表(Access Control Lists,ACLs)是以文件为中心建立的访问权限表,简记为ACLs。目前,大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单,任何得到授权的主体都可以有一个访问表,例如授权用户A1的访问控制规则存储在文件File 1中,A1的访问规则可以由
13、A1下面的权限表ACLs A1来确定,权限表限定了用户UserA1的访问权限。图1.访问控制表的实现示例访问控制矩阵u访问控制矩阵(Access Control Matrix,ACM)是通过矩阵形式表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,又有哪些主体对他可以实施访问;将这种关联关系加以阐述,就形成了控制矩阵。其中,特权用户或特权用户组可以修改主体的访问控制权限。u访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有
14、大量的空余空间。图2.访问控制矩阵的表示访问控制能力列表n 能力能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表(Access Control Capabilitis Lists,ACCLs)是以用户为中心建立访问权限表。n 例如,访问控制权限表ACCLs F1表明了授权用户User A对文件File1的访问权限,User AF表明了User A对文件系统的访问控制规则集。因此,ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性,如果赋予哪个主体具有一种能力,
15、事实上是说明了这个主体具有了一定对应的权限。访问控制安全标签列表u安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制安全标签列表(Access Control Security Labels Lists,ACSLLs)是限定一个用户对一个客体目标访问的安全属性集合。u左侧为用户对应的安全级别,右侧为文件系统对应的安全级别。假设请求访问的用户User A的安全级别为S,那么User A请求访问文件File 2时,由于SC,所以允许访问。u安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全
16、策略,因此,强制访问控制经常会用到这种实现机制。自主访问控制模型(DAC Model)q小结:小结:在DAC中,客体的所有者按照自己的安全策略授予系统中的其他用户对客体的访问权。优点:灵活性高,被大量采用。缺点:安全性最低。信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标C的访问权限传递给用户B,从而使不具备对C访问权限的B可访问C。强制访问控制模型(MAC Model)n强制访问控制模型(Mandatory Access Control Model,MAC Model)最初是为了实现比DAC更为严格的访问控制策略,美国政府和军方开发了各种各样的控制模型,这些方案或模型都有比较完善
17、的和详尽的定义。随后,逐渐形成强制访问控制模型,并得到广泛的商业关注和应用。n 在MAC访问控制中,用户和客体资源都被赋予一定的安全属性,用户不能改变自身和客体的安全属性,只有管理员才能够确定用户和组的访问权限。系统用该安全属性决定一个用户是否可以访问某个客体。nMAC的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。主体对客体的访问强制访问控制将主体和客体分级,根据主体和客体的级别标记来决定访问强制访问控制将主体和客体分级,根据主体和客
18、体的级别标记来决定访问模式。(绝密级,机密级,秘密级,受限、公开模式。(绝密级,机密级,秘密级,受限、公开/无密级)无密级)主体对客体的访问主要有4种方式:(1)向下读(向下读(rdrd,read downread down)主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;(2)向上读(向上读(ruru,read upread up)主体安全级别低于客体信息资源的安全级别时允许的读操作;(3)向下写(向下写(wdwd,write downwrite down)主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作;(4)向上写(向上写(wuwu,write upwrite
19、up)主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。(2)(2)其访问控制关系分为:上读其访问控制关系分为:上读/下写,下读下写,下读/上写上写 (完整性)(完整性)(机密性)(机密性)强制访问控制模型(MAC Model)n在在MACMAC中,系统根据主体和客体的安全属性,以中,系统根据主体和客体的安全属性,以强制的方式控制主体对客体的访问。强制的方式控制主体对客体的访问。q系统中的资源划分为不同的安全等级和类别(系统中的资源划分为不同的安全等级和类别(如,如,绝密级,机密级,秘密级,受限、公开绝密级,机密级,秘密级,受限、公开/无密级)无密级)n特点:强制访问控制比自主
20、访问控制具有更高的安全性,特点:强制访问控制比自主访问控制具有更高的安全性,可以防止在用户无意或不负责任的操作时泄露机密信息,可以防止在用户无意或不负责任的操作时泄露机密信息,适用于专用或安全性要求较高的系统。但这种机制也使适用于专用或安全性要求较高的系统。但这种机制也使用户自己受到限制,如在共享数据方面不灵活。因此,用户自己受到限制,如在共享数据方面不灵活。因此,当需保护敏感信息时一般使用当需保护敏感信息时一般使用MACMAC,当更多地考虑共享,当更多地考虑共享信息时,使用信息时,使用DACDAC。Bell-LaPadula模型nBLP(Bell and LaPadula,1976)模型是典
21、型的信息保密性多级安全模型,主要应用于军事系统。Bell-LaPadula模型通常是处理多级安全信息系统的设计基础,主体在处理绝密级数据和秘密级数据时,要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序。BLP模型的出发点是维护系统的保密性,有效地防止信息泄露,这与后面讨论的维护信息系统数据完整性的Biba模型正好相反。nBLP模型可以有效防止低级用户和进程访问安全级别比他们高的信息资源(防止偷窥),此外,安全级别高的用户和进程也不能向比他安全级别低的用户和进程写入数据(防止泄密)。上述Bell-LaPadula模型建立的访问控制原则可以用以下两点简单表示:无向上读;无向下写。机密性安
22、全策略Bell-LaPadula模型n不上读/不下写保证保密性允许写允许读禁止读允许读Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassified允许写禁止写Top Secret主体SecretUnclassifiedTop Secret客体SecretUnclassifiedBell-LaPadula模型nBLP模型的安全策略包括强制访问控制和自主访问控制两部分:强制访问控制中的安全特性要求对给定安全级别的主体,仅被允许对同一安全级别和较低安全级别上的客体进行“读”;对给定安全级别上的主体,仅被允许向相同安全级别或较高安全级别上的客
23、体进行“写”;任意访问控制允许用户自行定义是否让个人或组织存取数据。BLP模型用偏序关系可以表示为:n rd,当且仅当SC(S)SC(O),允许读操作;n wu,当且仅当SC(S)SC(O),允许写操作。n显然BLP模型只能“向下读、向上写”的规则忽略了完整性的重要安全指标,使非法、越权篡改成为可能。例子n防火墙所实现的单向访问机制q不允许敏感数据从内部网络(安全级别为“机密”)流向Internet(安全级别为“公开”)q提供“不上读”功能来阻止Internet对内部网络的访问 q提供“不下写”功能来限制进入内部的数据流只能经由由内向外发起的连接流入(例如,允许HTTP的GET操作而拒绝POS
24、T操作,或阻止任何外发的邮件)Biba模型nBiba模型(Biba,1977)在研究BLP模型的特性时发现,BLP模型只解决了信息的保密问题,其在完整性定义存在方面有一定缺陷。BLP模型没有采取有效的措施来制约对信息的非授权修改,因此使非法、越权篡改成为可能。n考虑到上述因素,Biba模型模仿BLP模型的信息保密性级别,定义了信息完整性级别,在信息流向的定义方面不允许从级别低的进程到级别高的进程,也就是说用户只能向比自己安全级别低的客体写入信息,从而防止非法用户创建安全级别高的客体信息,避免越权、篡改等行为的产生。Biba模型nBiba模型的两个主要特征是q 禁止向上“写”,这样使得完整性级别
25、高的文件是一定由完整性高的进程所产生的,从而保证了完整性级别高的文件不会被完整性低的文件或完整性低的进程中的信息所覆盖。q Biba模型没有下“读”。nBiba模型用偏序关系可以表示为:q ru,当且仅当SC(S)SC(O),允许读操作;q wd,当且仅当SC(S)SC(O),允许写操作。n Biba模型是和BLP模型相对立的模型,Biba模型改正了被BLP模型所忽略的信息完整性问题,但在一定程度上却忽视了保密性。完整性安全策略Biba模型不下读/不上写保证完整性。允许读禁止读High integrityMedium integrityLow integrity允许读禁止写允许写允许写High
26、 integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrityHigh integrityMedium integrityLow integrity例子n对WEB服务器的访问过程q定义Web服务器上发布的资源安全级别为“秘密”,Internet上用户的安全级别为“公开”,依照Biba模型,Web服务器上数据的完整性将得到保障 qInternet上的用户只能读取服务器上的数据而不能更改它BLP与Biba模型由于MAC通过将安全级别进行排序实现了信息的单向流通,因此它一直被军方采用,主要有两种模型
27、:BLP模型和 Biba模型。在这些模型中,信息的完整性和保密性是分别考虑的,对读、写的方向进行了反向规定,如图所示:绝密级机密级秘密级无密级保密性完整性写写无密级BLP 模型读读MAC与DAC的例子n自主访问控制,如主流操作系统(Windows NT Server,UNIX 系统),防火墙(ACLs)等n强制访问控制MAC与DACnMAC访问控制模型和DAC访问控制模型属于传统的访问控制模型,对这两种模型研究的也比较充分。在实现上,MAC和DAC通常为每个用户赋予对客体的访问权限规则集,考虑到管理的方便,在这一过程中还经常将具有相同职能的用户聚为组,然后再为每个组分配许可权。用户自主地把自己
28、所拥有的客体的访问权限授予其它用户的这种做法,其优点是显而易见的,但是如果企业的组织结构或是系统的安全需求处于变化的过程中时,那么就需要进行大量繁琐的授权变动,系统管理员的工作将变得非常繁重,更主要的是容易发生错误造成一些意想不到的安全漏洞。考虑到上述因素,引入新的机制加以解决,即基于角色的访问控制模型。基于角色的访问控制模型n角色(Role)是指一个可以完成一定事务的命名组,不同的角色通过不同的事务来执行各自的功能。角色就是系统中岗位、职位或者分工n事务(Transaction)是指一个完成一定功能的过程,可以是一个程序或程序的一部分。n用户、角色、许可的关系 q一个用户可经授权而拥有多个角
29、色q一个角色可由多个用户构成q每个角色可拥有多种许可q每个许可也可授权给多个不同的角色q每个操作可施加于多个客体(受控对象)q每个客体也可以接受多个操作。用户角色操作客体许可基于角色的访问控制模型u基于角色的访问控制模型(Role-based Access Model,RBAC Model)的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者,即访问控制是由各个用户在部门中所担任的角色来
30、确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。uRBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。基于角色的访问控制模型n角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。n在下面的实例中,我们假设Tch 1,Tch 2,Tch 3,Tch i是对应的教师,Stud 1,Stud 2,Stud3,Stud j是相应的学生,Mng 1
31、,Mng 2,Mng 3,Mng k是教务处管理人员,那么老师的权限为Tch MN=查询成绩、上传所教课程的成绩;学生的权限为Stud MN=查询成绩、反映意见;教务管理人员的权限为Mng MN=查询、修改成绩、打印成绩清单。那么,依据角色的不同,每个主体只能执行自己所规定的访问功能。n 用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制(RBAC)的根本特征,即:依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。基于
32、角色的访问控制模型n在该例中,系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新进一名教师Tch x,那么系统管理员只需将Tch x添加到教师这一角色的成员中即可,而无需对访问控制列表做改动。n 同一个用户可以是多个角色的成员,即同一个用户可以扮演多种角色,比如一个用户可以是老师,同时也可以作为进修的学生。n 同样,一个角色可以拥有多个用户成员,这与现实是一致的,一个人可以在同一部门中担任多种职务,而且担任相同职务的可能不止一人。n RBAC中引进了角色的概念,用角色表示访问主体具有的职权和责任,灵活地表达和实现了企业的安全策略,使系统权限管理在企业的组织视图这个较
33、高的抽象集上进行,从而简化了权限设置的管理,从这个角度看,RBAC很好地解决了企业管理信息系统中用户数量多、变动频繁的问题。基于角色的访问控制原理用户角色权限访问控制资源1.认证2.分派3.请求4.分派5.访问请求6.访问RBAC 模型基于角色的访问控制模型提供3种授权管理的控制途径q改变客体的访问权限q改变角色的访问权限q改变主体所担任的角色n系统中所有角色的关系结构可以使层次化的,便于管理。n具有较好的提供最小权利的能力,提高了安全性。n具有责任分离能力。基于角色的访问控制模型u相比较而言,RBAC是实施面向企业的安全策略的一种有效的访问控制方式,它具有灵活性、方便性和安全性的特点,目前在
34、大型数据库系统的权限管理中得到普遍应用。角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。因此用户不能自主地将访问权限授给别的用户,这是RBAC与DAC的根本区别所在。RBAC与MAC的区别在于:MAC是基于多级安全需求的,而RBAC则不是。Windows XP 的RBAC安全审计n安全审计的定义n通过记录和分析各种用户和系统活动操作记录和信息资料,发现系统漏洞、改进系统性能和安全。n系统活动:操作系统和应用程序的进程n用户活动:用户使用何种资源,使用的时间和执行何
35、种操作n安全审计的目标:q对潜在的攻击者起到震慑和警告的作用;q为评估损失、灾难恢复提供依据;q为系统管理员提供有效的系统使用日志,及时发现入侵行为或潜在的系统漏洞。审计跟踪概述u审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。u审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以
36、支持访问控制职能的实现(职能是指记录系统活动并可以跟踪到对这些活动应负责任人员的能力)。u审计跟踪记录系统活动和用户活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。u审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。安全审计的类型n系统级审计q主要包括登录、登录识别号、每次登录尝试的日期和时间、所访问的资源等。n应用级审计q打开和关闭数据文件,读取、编辑和删除、修改等。n用户级审计q用户直接启动的所有命令、用户所有的鉴别和认证尝试、所访问的文件和资源等方面。审计内容n审计跟踪可以实现多种
37、安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。n(1)个人职能(Individual Accountability)审计跟踪是管理人员用来维护个人职能的技术手段。如果用户知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施。例如审计跟踪可以记录改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合
38、法身份访问资源时,审计跟踪就能发挥作用。审计跟踪可以用于检查和检测他们的活动。审计内容(2)事件重建(Reconstruction of Events)在发生故障后,审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。(3)入侵检测(Intrusion Detection)审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的
39、非法访问,也可以探测到病毒扩散和网络攻击。(4)故障分析(Problem Analysis)审计跟踪可以用于实时审计或监控。安全审计系统的基本结构系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志记录器日志分析器审计分析报告日志文件审计策略和规则日志审计n日志审计的内容:q记录每一个数据包,每一个命令显然不现实。(存储量太大)原则:q日志应该记录任何必要的事件,以检测已知的攻击模式。q日志应该记录任何必要的事件,以检测异常的攻击模式。q日志应该记录关于系统连续可靠的工作信息三、防火墙技术1.什么是防火墙2.防火墙主要功能3.防火墙分类4.防火墙的局限
40、性5.防火墙的体系结构(重点)6.防火墙技术(重点)7.防火墙选型举例什么是防火墙n在内部网和Internet之间插入一个系统,即防火墙,用来防止各类黑客的破坏,阻断来自外部网络的威胁和入侵,扮演着防备潜在的恶意活动屏障。Internet图6-1 网络防火墙内 部 网不可信网络可信网络路由器防火墙什么是防火墙什么是防火墙n定义1:网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。n定义2:防火墙是保障网络安全的一个系统或一组系统,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护
41、内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,即能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。n核心思想:在不安全的网际环境中构造一个相对安全的子网环境。n目的:为了在被保护的内部网与步安全的非信任网络之间设立唯一的通道,一按照事先制定的策略控制信息流入和流出,监督和控制使用者的操作。什么是防火墙n防火墙至少提供两个基本的服务,即:1有选择的限制外部网用户对本地网的访问,保护本地网的特定资源。2有选择的限制本地网用户对外地网的访问。n 安全、管理、速度是防火墙的三大要素。n它可以嵌入到某种硬件产品中,以硬件设备形式出现,即硬件防火墙。它也可以是
42、一种软件产品,即软件防火墙。n其功能的本质隔离内外网络和对进出信息流实施访问控制,隔离的方法可以是基于物理的,也可以是基于逻辑的。n从网络防御体系看,防火墙是一种被动防御的保护装置。防火墙主要功能n网络安全的屏障n过滤不安全的服务;(两层含义)内部提供的不安全服务和内部访问外部的不安全服务n提供网络地址翻译NAT功能n对网络存取和访问进行监控审计。n支持VPN技术。防火墙分类n个人防火墙q是在操作系统上运行的软件,可谓个人计算机提供简单的防火墙功能;q大家常用的个人防火墙由Norton personal Firewall、天网个人防火墙、瑞星个人防火墙等;q安装在个人PC上,而不是放置在网络边
43、界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机与之相连接的主机或网络之间安全。防火墙分类n软件防火墙q个人防火墙也是一种纯软件防火墙,但其应用范围较小,且只支持Windows系统,功能相对来说要弱很多,并且安全性和并发连接处理能力较差;q作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如著名的Check Point Firewall-1,Microsoft ISA Server 2000防火墙分类n一般硬件防火墙q不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异;q
44、一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般;q一般都采用PC架构(就是一台嵌入式主机),但使用的各个配件都量身定制。防火墙分类n一般硬件防火墙q其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此,新发现的漏洞对防火墙来说可能是致命的;q国内自主开发的防火墙大部分都属于这种类型。防火墙分类n纯硬件防火墙q采用专用芯片来处理防火墙核心策略的一种硬件防
45、火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片)q最大的亮点:高性能、非常高的并发连接数和吞吐量;q采用ASIC芯片的方法在国外比较流行,技术也比较成熟,如美国Netscreen公司的高端防火墙产品;国内芯片级防火墙大多还处于开发发展的阶段,采用的是NP技术。防火墙分类n分布式防火墙q前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护q分布式防火墙由中心管理定义策略,由分布在网络中的各个端点执行这些策略。它负责网络边界、各子网和网络内部各阶段之间的安全防护。近几年,分布式防火墙技术逐渐兴起。防火墙的局
46、限性局限性:n网络的安全性通常网络服务的开放性和灵活性为代价的。n防火墙的使用也会削弱网络的功能:1.起隔离作用的防火墙,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;2.由于防火墙上附加各种信息服务的代理软件,增大了网络管理开销,还减慢了信息传输速率n不能防范内部攻击。n不能防范不通过防火墙的连接入侵。n不能自动防御所有新的威胁。n防火墙不能防止感染了病毒的软件或文件的传输n防火墙难于管理和配置,易造成安全漏洞n总之,一方面,防火墙在当今Internet世界中的存在是有生命力的;另一方面,防火墙不能替代内部谨慎的安全措施。因此,它不是解决所有网络安全问题的万能药方,而只是网络安全策略
47、中的一个组成部分。防火墙的体系结构n防火墙体系结构:防火墙系统实现所采用的架构及其实现 所采用的方法,它决定着防火墙的功能、性能以及使用范围。n在防火墙和网络的配置上,有以下四种典型结构:包过滤路由器模式、双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。n其中,堡垒主机是个很重要的概念。堡垒主机是指在极其关键的位置上用于安全防御的某个系统。对于此系统的安全要给予额外关注,还要进行理性的审计和安全检查。如果攻击者要攻击你的网络,那么他们只能攻击到这台主机。n堡垒主机起到一个“牺牲主机”的角色。它不是绝对安全的,它的存在是保护内部网络的需要,从网络安全上来看,堡垒主机是防火墙管理员认为最强壮的系统
48、。通常情况下,堡垒主机可作为代理服务器的平台。网络层链路层物理层外部网络内部网络包过滤过滤路由器n包过滤路由器(也称屏蔽路由器Screening Router,SR)是防火墙最基本的构件。它一般作用在网络层(IP层),按照一定的安全策略,对进出内部网络的信息进行分析和限制,实现报文过滤功能。该防火墙优点在于速度快等,但安全性能差。这种防火墙的最大弱点是依靠一个单一这种防火墙的最大弱点是依靠一个单一的部件来保护系统,一旦部件出现问题,会使网的部件来保护系统,一旦部件出现问题,会使网络的大门敞开,而用户可能还不知道。络的大门敞开,而用户可能还不知道。包过滤路由器过滤规则举例第一条规则:主机10.1
49、.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP包过滤防火墙q在单机上实现,是网络中的“单失效点”作为内外网连接的唯一通道,要求所有的报文都必须在此通过检查。若路由器被破坏,内网就没有安全保障了。q不支持有效的
50、用户认证、不提供有用的日志,安全性低。q不能防止IP地址欺骗,双宿/多宿主机模式n双宿/多宿主机防火墙又称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连。其体系结构图如图所示。这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过应用层代理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能,那么防火墙将变得没用。双宿/多宿主机Internet内部网络1内部网络2双宿双宿/多宿主机模型的示意图多宿主机模型的示意图 双宿主机结构双宿主机结构n双宿主机结构是用