访问控制和系统审计
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 防止对访问控制机制进行纂改的能力;
– 允许用户决定何时使用访问控制机制,何时不用, 以及允许用户决定对哪个客体或哪组客体进行访 问.
该安全级别典型的有 标准Unix
9
● C2级——可控访问保护(Controled Access Protection)。比 C1级具有更细粒度的自主访问控制, C2级计算机系统通过注 册过程控制、审计安全相关事件以及资源隔离,使单个用户 为其行为负责,每个主体对每个客体的每次访问或访问企图 都必须能予以审计跟踪;达到C2级的常见操作系统有: UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。
6
七个安全等级
四个安全等级:
➢ 无保护级(D1) ➢ 自主保护级(C1,C2) ➢ 强制保护级(B1,B2 ,B3) ➢ 验证保护级(A1)
7
●D级——最低安全保护(Minimal Protection)。没有任何 安全性防护,整个系统不可信。对于硬件来说,无任何保 护;对于操作系统来说,容易受到损害;对于用户及其访 问权限来说,没有身份认证。例:如DOS和Windows 95/98 等操作系统。
12
● B3级——安全域保护(Security Domain)。在B2的基 础上,增加以下要求:系统有自己的执行域,不受外 界干扰或篡改。系统进程运行在不同的地址空间从而 实现隔离。
13
● A1级——验证设计(Verified Design)。 最高级别,包含较低级别的所有特性。 包含一个严格的设计、控制和验证过程。 设计必须经过数学上的理论验证,而且 必须对加密通道和可信任分布进行分析。
14
我国的安全等级划分
1999年9月13日,我国颁布了《计算机信息系统安全保护等级 划分准则》(GB17859–1999),定义了计算机信息系统安全保 护能力的五个等级(第一级到第五级)。实际上,国标中将国 外 的 最 低 级 D 级 和 最 高 级 A1 级 取 消 , 余 下 的 分 为 五 级 。 TCSEC中的B1级与GB17859的第三级对应。 ● 第一级:用户自主保护级; ● 第二级:系统审计保护级; ● 第三级:安全标记保护级; ● 第四级:结构化保护级; ● 第五级:访问验证保护级。
10
所有的B级(B1、B2、B3)系统都应具有强制访问控制 机制。
● B1级——标识的安全保护(Labeled Security Protection)。 在C2的基础上,支持多级安全,可以使一个处于强制性访 问控制下的对象,不允许其所有者改变其权限。如为每个 控制主体和客体分配了一个相应的安全级别,不同组的成员 不能访问对方创建的客体,但管理员许可的除外,管理员不 能取得客体的所有权。Windows NT的定制版本可以达到 B1级。政府机构与防御系统是B1级计算机系统的主要拥有 者。
17
18
保护域
每一主体(进程)都在一特定的保护域下工作,保护域规定了 进程可以访问的资源。每一域定义了一组客体及可以对 客体采取的操作。
可对客体操作的能力称为访问权(Access Right),访问权定 义为有序对的形式
保护域 X
wenku.baidu.com
保护域 Y
<文件A,{读,写}> <文件B,{读,写}>
1
第7章 访问控制和系统审计
7.1 计算机安全等级的划分 7.2 访问控制 7.3 系统审计
2
(TCSEC)
(CTCPEC)
(ITSEC)
FC
3
除了国际通用准则cc外, 国际标准化组织和国际 电工委也已经制订了上百项安全标准,其中包 括专门针对银行业务制订的信息安全标准。国 际电信联盟和欧洲计算机制造商协会也推出了 许多安全标准。
11
● B2级——结构化保护(Structured Protection)。在B1的基础上,要求计 算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终 端)分配单个或多个安全级别。它是提供较高安全级别的对象与较低 安全级别的对象相通信的第一个级别。 • 在设计B2级系统时,应提出一个合理的总体设计方案,设计 方案应具有明确的模块化和结构化特征; • 系统设计应遵循最小授权原则; • 访问控制机制应对所有主体和客体予以保护; • 应对系统进行隐秘通道分析,并堵塞所有发现的隐秘通道; • 系统应具有完整性访问控制机制; • 系统的设计及代码实现必须完全通过检验和测试,测试的结果 必须保证系统完全实现了总体设计方案; • 在系统运行过程中,应有专人负责系统中访问控制策略的设置 和实施,而系统的操作员仅仅承担与系统后续操作有关的职责。 银行的金融系统通常达到B2级。
8
●C1 级 —— 自 主 安 全 保 护 (Discretionary Security Protection)。通过隔离用户与数据,使用户具备自主安 全保护的能力,是一种粗粒度安全保护, 具有以下特点:
– 用户与数据分离;
– 有效的任意访问控制机制,以便用户保护自己的 数据,但是这种访问控制较粗,一般以组为单位 进行,用户进行分组并注册后才能使用,而且对这 种访问控制机制并不进行严格的检验评估;
4
7.1 计算机安全等级的划分
CC -
EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
TCSEC D C1 C2 B1 B2 B3 A1
ITSEC E0 E1 E2 E3 E4 E5 E6
5
1985年,美国国防部发表了《可信计算机评估准 则》(缩写为TCSEC) ,它依据处理的信息等级 采取的相应对策,划分了四类七个安全等级 (从低到高,依次是D、C1、C2、B1、B2、 B3和A1级。),随着安全等级的提高,系统的 可信度随之增加,风险逐渐减少。
15
7.2 访 问 控 制
7.2.1 访问控制的概念
原始概念—— 是对进入系统的控制(用户标识+口令/生 物特性/访问卡) 一般概念—— 是针对越权使用资源的防御措施
16
访问控制的目的
是为了限制访问主体(用户、进程、服务等) 对访问客体(文件、系统等)的访问权限,从 而使计算机系统在合法范围内使用,决定用户 能做什么,也决定代表一定用户利益的程序能 做什么。
– 允许用户决定何时使用访问控制机制,何时不用, 以及允许用户决定对哪个客体或哪组客体进行访 问.
该安全级别典型的有 标准Unix
9
● C2级——可控访问保护(Controled Access Protection)。比 C1级具有更细粒度的自主访问控制, C2级计算机系统通过注 册过程控制、审计安全相关事件以及资源隔离,使单个用户 为其行为负责,每个主体对每个客体的每次访问或访问企图 都必须能予以审计跟踪;达到C2级的常见操作系统有: UNIX、 SCO UNIX 、XENIX、Novell3.X、Windows NT。
6
七个安全等级
四个安全等级:
➢ 无保护级(D1) ➢ 自主保护级(C1,C2) ➢ 强制保护级(B1,B2 ,B3) ➢ 验证保护级(A1)
7
●D级——最低安全保护(Minimal Protection)。没有任何 安全性防护,整个系统不可信。对于硬件来说,无任何保 护;对于操作系统来说,容易受到损害;对于用户及其访 问权限来说,没有身份认证。例:如DOS和Windows 95/98 等操作系统。
12
● B3级——安全域保护(Security Domain)。在B2的基 础上,增加以下要求:系统有自己的执行域,不受外 界干扰或篡改。系统进程运行在不同的地址空间从而 实现隔离。
13
● A1级——验证设计(Verified Design)。 最高级别,包含较低级别的所有特性。 包含一个严格的设计、控制和验证过程。 设计必须经过数学上的理论验证,而且 必须对加密通道和可信任分布进行分析。
14
我国的安全等级划分
1999年9月13日,我国颁布了《计算机信息系统安全保护等级 划分准则》(GB17859–1999),定义了计算机信息系统安全保 护能力的五个等级(第一级到第五级)。实际上,国标中将国 外 的 最 低 级 D 级 和 最 高 级 A1 级 取 消 , 余 下 的 分 为 五 级 。 TCSEC中的B1级与GB17859的第三级对应。 ● 第一级:用户自主保护级; ● 第二级:系统审计保护级; ● 第三级:安全标记保护级; ● 第四级:结构化保护级; ● 第五级:访问验证保护级。
10
所有的B级(B1、B2、B3)系统都应具有强制访问控制 机制。
● B1级——标识的安全保护(Labeled Security Protection)。 在C2的基础上,支持多级安全,可以使一个处于强制性访 问控制下的对象,不允许其所有者改变其权限。如为每个 控制主体和客体分配了一个相应的安全级别,不同组的成员 不能访问对方创建的客体,但管理员许可的除外,管理员不 能取得客体的所有权。Windows NT的定制版本可以达到 B1级。政府机构与防御系统是B1级计算机系统的主要拥有 者。
17
18
保护域
每一主体(进程)都在一特定的保护域下工作,保护域规定了 进程可以访问的资源。每一域定义了一组客体及可以对 客体采取的操作。
可对客体操作的能力称为访问权(Access Right),访问权定 义为有序对的形式
保护域 X
wenku.baidu.com
保护域 Y
<文件A,{读,写}> <文件B,{读,写}>
1
第7章 访问控制和系统审计
7.1 计算机安全等级的划分 7.2 访问控制 7.3 系统审计
2
(TCSEC)
(CTCPEC)
(ITSEC)
FC
3
除了国际通用准则cc外, 国际标准化组织和国际 电工委也已经制订了上百项安全标准,其中包 括专门针对银行业务制订的信息安全标准。国 际电信联盟和欧洲计算机制造商协会也推出了 许多安全标准。
11
● B2级——结构化保护(Structured Protection)。在B1的基础上,要求计 算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终 端)分配单个或多个安全级别。它是提供较高安全级别的对象与较低 安全级别的对象相通信的第一个级别。 • 在设计B2级系统时,应提出一个合理的总体设计方案,设计 方案应具有明确的模块化和结构化特征; • 系统设计应遵循最小授权原则; • 访问控制机制应对所有主体和客体予以保护; • 应对系统进行隐秘通道分析,并堵塞所有发现的隐秘通道; • 系统应具有完整性访问控制机制; • 系统的设计及代码实现必须完全通过检验和测试,测试的结果 必须保证系统完全实现了总体设计方案; • 在系统运行过程中,应有专人负责系统中访问控制策略的设置 和实施,而系统的操作员仅仅承担与系统后续操作有关的职责。 银行的金融系统通常达到B2级。
8
●C1 级 —— 自 主 安 全 保 护 (Discretionary Security Protection)。通过隔离用户与数据,使用户具备自主安 全保护的能力,是一种粗粒度安全保护, 具有以下特点:
– 用户与数据分离;
– 有效的任意访问控制机制,以便用户保护自己的 数据,但是这种访问控制较粗,一般以组为单位 进行,用户进行分组并注册后才能使用,而且对这 种访问控制机制并不进行严格的检验评估;
4
7.1 计算机安全等级的划分
CC -
EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
TCSEC D C1 C2 B1 B2 B3 A1
ITSEC E0 E1 E2 E3 E4 E5 E6
5
1985年,美国国防部发表了《可信计算机评估准 则》(缩写为TCSEC) ,它依据处理的信息等级 采取的相应对策,划分了四类七个安全等级 (从低到高,依次是D、C1、C2、B1、B2、 B3和A1级。),随着安全等级的提高,系统的 可信度随之增加,风险逐渐减少。
15
7.2 访 问 控 制
7.2.1 访问控制的概念
原始概念—— 是对进入系统的控制(用户标识+口令/生 物特性/访问卡) 一般概念—— 是针对越权使用资源的防御措施
16
访问控制的目的
是为了限制访问主体(用户、进程、服务等) 对访问客体(文件、系统等)的访问权限,从 而使计算机系统在合法范围内使用,决定用户 能做什么,也决定代表一定用户利益的程序能 做什么。