《网络安全》辅导资料九主 题：第五章 网络安全策略与控制（第 、 节）第五章 网络安全策略与控制这周我们将学习第五章《网络安全策略与控制》第二、三节，这部分重点介绍访问控制，隔离技术的相关知识，下面整理出的知识点供同学们学习。第二节 访问控制访问控制主要是规定哪些资源用户可以访问，对可以访问的资源有哪些权限。访问控制主要是通过操作系统来实现。 除了保护计算机网络安全的硬件之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，如果它具有安全的控制策略，便可以将企图非法获取资源的入侵者拒之门外。 网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不允许的，而且操作是无效的。 信息系统的认证与访问控制、 访问控制概念与原理） 网络访问安全控制的含义：  保密性控制，保证数据资源不被非授权读出；  完整性控制，保证数据资源不被非授权改写或删除、或丢失；  有效性控制 ，保证网络中所有客体不被非授权主体使用或破坏。） 访问控制的主要措施和目的措施：授权、确定访问权限及实施权限，它是对处理状态下的信息进行保护，保证对所有存取活动进行授权，检查程序执行期间访问资源合法性的重要手段，它控制着对数据和程序的读取、写入、修改、删除、执行等操作。 目的：保护被访问的客体安全，确定、授予、实施存取权限，在保证安全的前提下最大限度共享资 6、访问控制矩阵、判断题：网络操作系统安全保密的核心是访问控制（） 源。） 访问控制保护的内容软件资源，如内存中的执行程序、指令（特别是特权指令）、文件目录、操作系统使用的表目、堆栈等数据结构、口令、等用户验证机制以及安全机制本身，同时还包括辅助存储设备上的文件或数据； 硬件资源，如内存、外存及各种系统和外部设备。） 访问控制的核心访问控制的核心主要是授权控制，即控制不同用户对信息资源的访问权限。对授权控制的要求主要有： 一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突； 统一性，对所有信息资源进行集中管理，安全政策统一贯彻；要求有审计功能，对所有授权有记录可以核查；尽可能提供细粒度的控制。）经典访问控制安全模型经典安全模型包含如下基本要素： 明确定义的主体和客体；  约束主体对客体访问尝试的参考监视器；  描述主体如何访问客体的一个授权数据库； 识别和验证主体和客体的可信子系统； 审计参考监视器活动的审计子系统。） 安全机制、 访问控制策略及控制机构） 访问控制策略的概念 所谓访问控制策略，就是关于保证系统安全及文件所有者权益的前提下，如何在系统中存取文件或访问信息的描述，它由一整套严密的规则构成。 这些确定访问授权的规则是决定访问的控制基础，授权的实施有赖于用户、信息、系统当前状态等安全属性，并依从于整个系统的安全要求。） 访问控制策略的研究和制定访问控制策略是操作系统的设计者根据安全保密的需要，并根据实际可能性所提出的概念性条文。比如：一个数据库为了达到安全保密的要求，可采取“最小访问特权”的策略，也称为“需者方知策略”。就是说，只有一个工作需要的，才是他应该知道的。 该策略是指系统中的每一个用户（或用户程序和进程）在完成某一操作时，只应拥有最小的必需的存取权。） 访问控制机构 访问控制机构要将访问控制策略抽象模型的许可状态转换为系统的物理形态，或称具体实现。同时必须对系统中所有的访问操作、授权指令的发出和撤销进行监测。访问控制机构如果能使系统物理形态与控制模型的许可状态相对应，则该系统可以认为是安全的。但如果由于访问控制机构的原因，使得系统不能进入与许可状态相对应的物理形态，比如当系统拒绝一个本该许可进行的访问操作时，则这个系统被称为是过保护的。过保护虽然很安全，但是它影响了系统的其他性能设计访问控制机制的原则 设计访问控制机制要考虑的问题有很多，综合起来其基本原则是：  访问控制的有效性  访问控制的可靠性  实体权限的时效性  共享访问最小化  经济性  方便性。、 访问控制措施 访问控制措施通常可分为自主访问控制和强制访问控制两种（还有一种基于角色的访问控制）自主访问控制又称任意访问控制，所谓的自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。存取模式的概念在各种以自主访问控制机制进行访问控制的系统中，存取模式的作用是规定主体对客体可以进行何种形式的存取操作，主要形式有： 读：即允许主体对客体进行读和拷贝的操作； 写：即允许主体写入或修改信息，包括扩展、压缩及删除等； 执行：就是允许将客体作为一种可执行文件运行，在一些系统中该模式还需要同时拥有读模式； 空模式：即主体对客体不具有任何的存取权。自主访问控制的具体实施方法： 目录表访问控制  访问控制表 访问控制矩阵 能力表或授权表自主访问控制（）目录表访问控制系统对每一个要实施访问操作的主体建立一个能被其访问的“客体目录表文件目录表 ，以便其对目录、文件、设备的访问。对目录和文件的访问权限一般有八种： 系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。目录表访问控制的优、缺点 优点：是实现容易，能访问的客体及权限一目了然，依照表来实施监督也很方便。 缺点：是系统开销和浪费较大，这是由于每个用户都有一张表，如果某个客体允许所有用户访问，则将给每个用户逐一填写文件目录表，造成系统额外开销；另外由于这种机制允许客体属主用户对访问权限实施传递转移并可多次进行，造成同一个文件可能有多个属主的情形，各属主每次传递的权限也难以相同，甚至可能会把客体改用别名，因此使得越权访问的用户大量存在，在管理上极容易出错，造成系统混乱，甚至崩溃。所属权限转移问题（）访问控制表访问控制表的策略正好与目录访问控制表相反，它是从客体角度进行设置的、面向客体的访问控制。 每个目标都有一个访问控制表，用来说明有权访问该目标的所有主体及其访问权。 优点：就是能较好地解决多个主体访问一个客体的问题，不会出现授权混乱和越权访问。 缺点：是占用存储空间并由于客体长度不同而出现存放空间碎片造成浪费，每个客体被访问时都需要对访问控制表从头至尾扫描一遍，影响运行速度和浪费了存储空间。访问控制矩阵访问控制矩阵是上述两种办法的综合。访问控制矩阵模型是用状态和状态转换进行定义的，系统和状态用矩阵表示，状态的转换则用命令来进行描述。由系统中的全部用户（即主体）和系统中的所有存取目标（即客体）组成的一个二维矩阵，一维列出使用文件系统的全部用户，另一维列出系统中存放的所有操作对象，矩阵中的每个元素规定了用户对该对象的操作权限。抽象地说，系统的访问控制矩阵表示了系统的一种保护状态。如果系统中用户发生了变化，访问对象发生了变化，或者某一用户对某个对象的访问权限发生了变化，都可以看作是系统的保护状态发生了变化。 缺点：由于访问控制矩阵只规定了系统的状态迁移必须有规则，而没有规定是什么规则，因此该模型的灵活性很大，但却给系统带来了安全漏洞。存取控制矩阵的原理很简单，实现起来并不难，但当用户数和文件数都很多时，就需要占用大量的 存 储 空 间。例如 ， 如 果 系 统 有 !""" 个用 户 和 约 "!""" 个 文 件，二维 存 取 控 制 矩 阵 就要有!"""#"!""" 个表项，这样大的表项将占去大量的存储空间，另外，查找这样大的表不仅不方便，而且还浪费大量 $% 时间。&'$安全保障特性 &'$$( 配备了大量可供商务企业用来针对指定文件、应用程序及其它相关资源提供安全保障的技术特性。这些特性主要包括访问控制列表（）、安全组和组策略—此外，还有允许商务企业针对上述特性实施配置的软件工具。  在生成诸如文件夹或文件共享之类的资源时，要么接受访问控制列表缺省设置，要么实施自定义访问控制列表设置。 将用户置于像 %、$% 和 ) 这样的标准安全组，并在此基础上接受可被应用至这些安全组的缺省  设置。  针对已伴随 &'$ 操作系统一并提供的基本、兼容、安全和高度安全组策略等安全模板加以运用。强制访问控制（*）强制访问控制就是用户的权限和文件（客体）的安全属性都是固定的，所谓强制就是对所有主体及其所控制的客体（例如：进程、文件、段、设备）安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性，实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体； 仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。强制访问控制的实质内涵 强制访问控制在自主访问控制的基础上，增加了对网络资源的属性划分，规定不同属性下的访问权限。这种访问控制技术引入了安全管理员机制，增加了安全保护层，可防止用户无意或有意使用自主访问的权利。 强制访问控制的安全性比自主访问控制的安全性有了提高，但灵活性要差一些。强制访问控制用来保护系统确定的对象，对此对象用户不能进行更改。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。强制访问控制进行了很强的等级划分，所以经常用于军事用途。强制访问控制的安全属性一般安全属性可分为四个级别： 最 高 秘 密 级 （ +, - ） 、 秘 密 级 （ - ） 、 机 密 级 （ ./ ） 以 及 无 级 别 级（%.）。 其级别顺序为 +0Ｓ0Ｃ0Ｕ，规定如下的四种强制访问控制策略：下读：用户级别大于文件级别的读操作；上写：用户级别低于文件级别的写操作； 下写：用户级别大于文件级别的写操作； 上读：用户级别低于文件级别的读操作。这些策略保证了信息流的单向性，上读下写方式保证了数据的完整性，可避免应用程序修改某些重要的系统程序或系统数据库。上写下读方式则保证了信息的安全性。强制访问控制的特点通过强加一些访问限制，系统可以防止某些类型的特洛伊木马的攻击。用户的程序不能改变他自己及任何其它客体的安全属性。 强制访问控制施加给用户自己客体的严格的限制，但也使用户受到自己的限制。但是，系统为了防范特洛伊木马，必须要这么做。即便是不在存在特洛伊木马，强制访问控制也有用，它可以防止在用户无意或不负责任的操作时，泄露机密信息。 强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。基于角色的访问控制 12基于角色的访问控制是 " 世纪 3" 年代提出来的，它可以有效地克服传统的访问控制技术中的不足之处。 基于角色的访问控制是指在应用环境中，通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。系统只问用户是什么角色，而不 管用户是谁。角色可以理解成为其工作涉及相同行为和责任范围内的一组人，一个访问者可以扮演多个角色，一个角色也可以包含多个访问者。属于强制性访问控制方法。角色访问控制的特点角色访问控制与访问者的身份认证密切相关，通过确定该合法访问者的身份来确定访问者在系统中对哪类信息有什么样的访问权限。角色访问控制具有以下优点：便于授权管理、便于赋予最小特权、便于根据工作需要分级、便于任务分担、便于文件分级管理、便于大规模实现。 角色访问是一种有效而灵活的安全措施，目前对这一技术的研究还在深入进行中。另外，文件本身也可分为不同的角色，如文本文件、报表文件等，由不同角色的访问者拥有。第三节 隔离技术 隔离技术指系统为了防止用户程序非经存取规则允许而改变其他用户当前状态或将来状态，使用其他用户的数据，以及在操作系统内遭到破坏使受损部分不会影响其它部分而采取的安全技术。  隔离技术的含义非常广泛，如物理隔离、光电隔离、电磁隔离、交换机端口隔离、内外网络隔离、防火墙隔离、病毒隔离、数据隔离、加密隔离、4$5 隔离等等，其实都是要把要保护的内容或区域同不安全因素隔离开来。网络中由于有许多个用户登录、访问控制等多方面的要求，致使网络操作系统的任务十分复杂，任务的多样性和复杂形式造成系统崩溃和数据泄密的重要原因。为了使系统能够安全运行，必须采用隔离技术。 要使用安全的处理模式将系统与其他部分分隔开，采用各种保护策略把用户和用户、用户和操作系 统分割开。比如，可以把计算机硬件和软件分隔成若干个互斥部分，当某一部分执行某一任务事，与其他部分没有关系。）隔离策略隔离技术有很多种，但从理论上说隔离的策略主要是以下几种： 物理隔离—让必须隔离的进程使用不同的物理客体，如将处理不同的安全信息的用户隔离开。 时间隔离—使具有不同安全要求的进程在不同的时间运行。 逻辑隔离—即实施存取控制，使进程不能存取授权以外的客体。 密码隔离—使进程以一种加密方式来处理数据。 限制特权—把安全性不确定的用户限制在一个指定的程序环境中进行。）系统隔离策略的实施、多虚拟存储器，使之在同一个操作系统的控制下有多个重复的虚拟空间。 、虚拟机监视器技术，又称多虚拟机技术，使之在同一台 $% 内运行多个互相隔离的操作系统的办法。 、分布式计算，把集中式计算模式改为把数据分布在网络内的各台 $、服务器、小型机、主机上。 、虚拟局域网 45。 、虚拟专网 4$5。 、网络防火墙技术。本周要求掌握的内容如下：本周的内容，主要重点介绍访问控制，隔离技术的相关知识练习：下列不是自主访问控制的具体实施方法（）、强制访问控制2、目录表访问控制、访问控制表