【正文】 因此 ，審計(jì)分析十分重。因此比較好的做法是將Syslog監(jiān)護(hù)程序打開的文件作為原始日志文件，另外增加一個(gè)日志整理進(jìn)程，專門負(fù)責(zé)日志的整理和歸檔。 為此 ， 可以將一個(gè)文件永久打開 ，供日志讀寫 。圖中假設(shè)日志文件在 2021年 5月 15日零點(diǎn)切換，此前的文件名為 ，此后文件名為 ，那么 0： 00日志監(jiān)護(hù)程序會(huì)生成新文件，關(guān)閉舊文件，同時(shí)將新日志寫入新文件中。 在記錄日志時(shí)，為了便于管理，通常將一定時(shí)段的日志存為一個(gè)文件。 Syslog規(guī)則集是用來配置 Syslog守護(hù)程序如何處理日志的規(guī)則 。 日志素材 日志記錄 系統(tǒng) Syslog 系統(tǒng)調(diào)用 Syslog 守護(hù)進(jìn)程 Syslog 規(guī)則集 記錄日志時(shí) ， 系統(tǒng)調(diào)用 Syslog將日志素材發(fā)送給 Sys1og守護(hù)程序 ，Syslog守護(hù)程序監(jiān)聽 Syslog調(diào)用或 Syslog端口 （ UDP514)的消息 ， 然后根據(jù) Syslog規(guī)則集對收到的日志素材進(jìn)行處理 。 但是 ，大部分情況都可用系統(tǒng)調(diào)用 Syslog來記錄日志 ， 也可以用 SNMP(簡單網(wǎng)絡(luò)管理協(xié)議 )記錄 。 4. 安全審計(jì)的記錄機(jī)制 不同的系統(tǒng)可采用不同的機(jī)制記錄日志 。 在這些原則的指導(dǎo)下 ， 日志系統(tǒng)可根據(jù)安全策略的要求強(qiáng)度選擇記錄下列事件： l 審計(jì)功能的啟動(dòng)和關(guān)閉； l 使用身份鑒別機(jī)制； l 將客體引入主體的地址空間； l 刪除客體； l 管理員 、 安全員 、 審計(jì)員和一般操作人員的操作； l 其他專門定義的可審計(jì)事件 。 因此 ， 日志的內(nèi)容應(yīng)該是有選擇的 。 系統(tǒng)事件 安全事件 應(yīng)用事件 網(wǎng)絡(luò)事件 審計(jì)發(fā)生器 審計(jì)發(fā)生器 審計(jì)發(fā)生器 審計(jì)發(fā)生器 審計(jì)發(fā)生器 其他事件 日志 記錄器 日志 分析器 審計(jì)分析報(bào)告 日志文件 審計(jì)策略 和規(guī)劃 3. 日志的內(nèi)容 在理想情況下 ， 日志應(yīng)該記錄每一個(gè)可能的事件 ， 以便分析發(fā)生的所有事件 ， 并恢復(fù)或任何時(shí)刻進(jìn)行的歷史情況 。 概括而言 ， 審計(jì)系統(tǒng)的目標(biāo)至少包括： l 確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任； l 確認(rèn)重建事件的發(fā)生；評估損失； l 臨測系統(tǒng)問題區(qū)；提供有效的災(zāi)難恢復(fù)依據(jù)； l 提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)； l提供案件偵破證據(jù)。 l 應(yīng)能夠?qū)σ粋€(gè)給定的資源進(jìn)行審計(jì)分析 ， 分辨看似正常的活動(dòng) ， 以發(fā)現(xiàn)內(nèi)部計(jì)算機(jī)系統(tǒng)的不正當(dāng)使用 。 l 應(yīng)為安全人員提供足夠多的信息 ， 使他們能夠定位問題所在：但另一方面 ， 提供的信息應(yīng)不足以使他們自己也能夠進(jìn)行攻擊 。 計(jì)算機(jī)安全審計(jì)是通過一定的策略 ， 利用記錄和分析歷史操作事件發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全 。 在計(jì)算機(jī)安全審計(jì)的特殊情況下 ， 規(guī)則集通常以安全策略的形式明確表述 。 在商業(yè)與管理審計(jì)中 ，規(guī)則集包括對確保商業(yè)目標(biāo)的實(shí)現(xiàn)有重要意義的管理控制 、 過程和慣例 。 所有審計(jì)的前提是有一個(gè)支配審計(jì)過程的規(guī)則集 。 安全審計(jì)是計(jì)算機(jī)和網(wǎng)絡(luò)安全的重要組成部分 。 這種策略陳述具有很明顯的優(yōu)勢 ， 包括： l 表示方法和現(xiàn)實(shí)世界一致 ， 使得非技術(shù)人員也容易理解； l很易映射到訪問矩陣和基于組的自主訪問控制，便于實(shí)現(xiàn)。 用戶 資源 訪問控制 角色 權(quán)限 下面通過一個(gè)具體實(shí)例來說明基于角色的訪問控制策略 。 (2)基于角色的訪問控制 基于角色的訪問控制就是通過定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來實(shí)現(xiàn)訪問控制的，其一般模型如圖 414所示。 但是出于責(zé)任分離的考慮 ， 需要對一些權(quán)利集中的角色組合進(jìn)行限制 ，比如規(guī)定分行管理者和審計(jì)員不能由同一個(gè)用戶擔(dān)任 。 其中 ， 擔(dān)任系統(tǒng)管理員的用戶具有維護(hù)系統(tǒng)文件的責(zé)任和權(quán)限 ， 無論這個(gè)用戶具體是誰 。 基于角色的訪問控制就是通過各種角色的不同搭配授權(quán)來盡可能實(shí)現(xiàn)主體的最小權(quán)限 (最小授權(quán)指主體在能夠完成所有必需的訪問工作基礎(chǔ)上的最小權(quán)限 )。 系統(tǒng)中的主體擔(dān)任角色 ， 完成角色規(guī)定的責(zé)任 ， 具有角色擁有的權(quán)限 。 是主體從它們履行的角色上獲得訪問權(quán)限 。 (1) 角色的概念 一組特定應(yīng)用的操作 （ 或過程 ） 稱為角色 (role)。用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。 基于角色的訪問控制模式 RBAC (Role Based Access Conto1)，就是為克服以上問題而提出來的。即按每用戶一個(gè)注冊賬號的方式很難實(shí)現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當(dāng)同一用戶在不同場合處在不同的權(quán)限層次時(shí)，系統(tǒng)管理很難實(shí)現(xiàn)。 l 當(dāng)用戶量大量增加時(shí) ， 按每用戶一個(gè)注冊賬號的方式將使得系統(tǒng)管理變得復(fù)雜 、 工作量急劇增加 ， 也容易出錯(cuò) 。 然而在現(xiàn)實(shí)社會(huì)中 ， 這種訪問控制方式表現(xiàn)出很多弱點(diǎn) ， 不能滿足實(shí)際需求 。 例如：用戶以固定的用戶名注冊 ， 系統(tǒng)給其分配一定的權(quán)限 ， 該用戶將始終以該用戶名訪問系統(tǒng) ， 直至銷戶 。 這就是前面詳細(xì)介紹過的保密性策略。 在 Multics方案中 ， 文件系統(tǒng)和 Unix文件系統(tǒng)一樣 ， 是一個(gè)樹形結(jié)構(gòu) ， 所有的用戶和文件 (包括目錄文件 )都有一個(gè)相應(yīng)的安全級 。某些客體可以通過自主訪問控制保護(hù)，重要課題必須通過強(qiáng)制訪問控制保護(hù)。因此，在實(shí)際應(yīng)用中，往往將自主訪問控制技術(shù)與強(qiáng)制訪問控制技術(shù)結(jié)合在一起使用。 這樣 ， 低密級的用戶可以寫高密級的信息 ， 因此 ， 信息完整性得不到保障：但低密級的用戶永遠(yuǎn)無法看到高密級的信息 ， 從而保障信息的保密性 。 即屬于某一個(gè)安全級的主體可以寫本級和本級以上的客體 ， 但只能讀本級和本級以下的客體 。這樣，低密級的用戶可以看到高密級的信息，因此，信息內(nèi)容可以無限擴(kuò)散，從而使信息的保密性無法保障；但低密級的用戶永遠(yuǎn)無法修改高密級的信息，從而保障信息的完整性。即屬于某一個(gè)安全級的主體可以讀本級和本級以上的客體，可以寫本級和本級以下的客體。在 Bell Lapadula模型中，信息的完整性和保密性是分別考慮的，因而對讀寫的方向進(jìn)行了反向規(guī)定，如圖 413所示。 在強(qiáng)制訪問控制機(jī)制中，將安全級別進(jìn)行排序，比如按照從高到低排列，規(guī)定高級別可在以單向訪問低級別，也可以規(guī)定低級別可以單向訪問高級別。 不同級別標(biāo)記了不同重要程度和能力的實(shí)體 。 在一些系統(tǒng)中 ， 需要更加強(qiáng)硬的控制手段 ， 強(qiáng)制訪問控制 MAC (Mandatory Access Control)就是一種這樣的機(jī)制 。 5. 強(qiáng)制訪問控制 自主訪問控制的最大特點(diǎn)是自主 ， 即資源的擁有者對資源的訪問策略具有決策權(quán) ， 因此是一種限制比較弱的訪問控制策略 。如果 B不想讓 C繼續(xù)轉(zhuǎn)移這個(gè)能力，就在轉(zhuǎn)移給 C的能力拷貝中去掉轉(zhuǎn)移能力，這樣 C就不能轉(zhuǎn)移能力了。在轉(zhuǎn)移的能力中有一種叫做 “ 轉(zhuǎn)移能力 ” ，它允許接受能力的主體繼續(xù)轉(zhuǎn)移能力。 如圖所示 ， Si是客體 O0的擁有者 ， 并對它具有最大的訪問能力 (讀 、 寫 、 執(zhí)行 )； Si對客體 01只有讀的能力； Si對客體 On具有讀和寫的能力 。利用訪問能力表實(shí)現(xiàn)的自主訪問控制系統(tǒng)不是很多，其中只有少數(shù)系統(tǒng)試圖通過增加其他措施實(shí)現(xiàn)完備的自主訪問控制。能力的轉(zhuǎn)移不受任何策略的限制，所以對于一個(gè)特定的客體，還不能確定所有有權(quán)訪問它的主體。能力 (capability)是為主體提供的、對客體具有特定訪問權(quán)限且不可偽造的標(biāo)志，它決定主體是否可以訪問客體以及以什么對客體有什么訪問權(quán)限。另外，當(dāng)某一個(gè)新的主體第一次進(jìn)入系統(tǒng)時(shí)，應(yīng)該說明它在訪問控制表中的缺省值，比如只有讀的權(quán)限。缺省功能的設(shè)置可以方便用戶的使用，同時(shí)也避免了許多文件泄露的可能。 *. Zhang.*.r *.*.n 在圖 411的訪問控制表中 ， 第 1個(gè)和第 2個(gè)表項(xiàng)說明屬于 INFO組的所有主體都對客體 Oj具有 “ 讀 ” 和 “ 執(zhí)行 ” 的權(quán)利 ， 但只有 INFO組中的主體 liu才額外具有 “ 寫 ” 的權(quán)限；第 3個(gè)表項(xiàng)說明無論是哪一組中的 zhang都可以 “ 讀 ” 客體 Oj；最后一個(gè)表項(xiàng)說明所有其他的主體 ， 無論屬于哪個(gè)組 ， 都不具備對 Oj有任何訪問權(quán)限 。 其中， ID是主體標(biāo)識符， GN是主體所在組的組名。 因此 ， 可以把同一個(gè)類的用戶作為一個(gè)組 ， 分配一個(gè)組名 ， 簡稱 “ GN” 。 為解決這一問題就需要分組和使用通配符 。 ... 其中： Si(i=1,2,? m)：主體名 r(read): 讀 e(execute): 執(zhí)行 w(write): 寫 n(no): 未授權(quán) 在圖 410的例子中 ， 對于客體 Oj， 主體 S0具有讀 (r)和執(zhí)行 (e)的權(quán)利：主體 S1只有讀的權(quán)利；主體 S2只有執(zhí)行的權(quán)利；而主體 Sm具有讀 、 寫 (w)和執(zhí)行的權(quán)利 。 對系統(tǒng)中一個(gè)需要保護(hù)的客體。 如果使用組 (group)或者通配符的概念 ， 可以有效地縮短表的長度 。 它在一個(gè)客體上附加一個(gè)主體明晰表 ， 用以表示各個(gè)主體對該客體的訪問權(quán)限 。這種權(quán)限的傳遞可能會(huì)給系統(tǒng)帶來安全隱患：某個(gè)主體通過繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問權(quán)限，就可能破壞系統(tǒng)的安全性，這是自主訪問控制方式最大的缺陷。 自主訪問控制是一種比較寬松的訪問控制，一個(gè)主體的訪問權(quán)限具有傳遞性。 自主是指主體能夠自主的將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體 。下面將分別進(jìn)行介紹。 為達(dá)到此目的 ， 訪問控制需要完成以下兩個(gè)任務(wù)： l 識別和確認(rèn)訪問系統(tǒng)的用戶； l 決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問 。 訪問控制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限 ， 從而將計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)限制在合法范圍內(nèi)使用 。 在用戶身份認(rèn)證和授權(quán)之后 ， 訪問控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對用戶訪問某項(xiàng)資源 (目標(biāo) )進(jìn)行控制 ， 只有規(guī)則允許時(shí)才能訪問 ， 違反預(yù)定安全規(guī)則的訪問行為將被拒絕 。 訪問控制與安全審計(jì)技術(shù) 本節(jié)內(nèi)容 訪問控制技術(shù) 安全審計(jì)技術(shù) 訪問控制技術(shù) 訪問控制是一門研究用戶對資源的訪問權(quán)限進(jìn)行控制的技術(shù) 。 （ 2） RSA算法實(shí)例 例 46：用兩個(gè)小素?cái)?shù) 7和 17來建立一個(gè)簡單的 RSA算法： l 選擇兩個(gè)素?cái)?shù) p =7和 q=17； l 計(jì)算得： n=p q=7 17=119， ф（ n） =(p1) (q1)=6 16=96； l 選擇一個(gè)隨機(jī)整數(shù) e=5， e1且小于 ф（ n） 并且與 ф（ n） 互質(zhì)； l 求出 d， 使得 de=1 mod 96 且 d96， 此處求出 d=77， 因?yàn)?7*5=385=4*96+1； l 設(shè) P=19， 計(jì)算 19模 119的 5次冪 ， P e=195 mod 119=66， 即密文C=66； l接收方收到密文 66后 ， 計(jì)算 66模 119的 77次冪： P=Cd=6677 mod 119得到明文 19。 它的安全性是基于大整數(shù)分解因子的困難性的理論基礎(chǔ) 。 在這里，我們介紹的是 RSA公開密鑰加密體制，該算法是由、 三個(gè)人在 1977年共同提出的，我們稱為 RSA(RSA是取這三位研制者姓的首字母的組合 )算法。 并設(shè) b是一個(gè)正整數(shù) ， 定義函數(shù) f： Zn →Zn ， f(x)=xb mod n， 則 f被認(rèn)為是一個(gè)單向函數(shù) 。 單向函數(shù)是密碼學(xué)中的一項(xiàng)重要的研究內(nèi)容 ， 在現(xiàn)實(shí)中 ， 確實(shí)存在許多函數(shù)被認(rèn)為是單向的 （ 即具有單向函數(shù)的 ） 。其加密 /解密過程如圖 412所示。 B收到密文 C= EB（ P） 后 ， 使用密鑰 DB進(jìn)行解密 ，即： DB（ EB（ P）） =P 在這里， EB是公開的而 DB是不公開的，從而達(dá)到保密的目的。 A所確定的加密密鑰為 EA， B的加密密鑰為 EB ， 并將 EA和 EB放在網(wǎng)上作為公共可讀文件 （ 共享文件 ） 內(nèi) 。 只要滿足了上述三個(gè)條件，則加密算法 E是可以公開的。 1. 公開密鑰加密算法的特點(diǎn) 在公開密鑰密碼體制中 ， 使用一個(gè)加密算法 E和一個(gè)解密算法 D，E和 D是不相同的 ， E是公開的 （ 這就是 “ 公開密鑰 ” 一詞的出處 ） ，一般的用戶 （ 通常指第三方非法攻擊者 ） 即使知道了 E， 也是無法推導(dǎo)出 D的 。因此，通信雙方也就不能進(jìn)行信息的安全傳輸。因而密鑰分配成本很高，并且依賴于信使或密鑰分配中心的可靠性。這可以通過兩種方式解決：其一是，若信源方已制定了一個(gè)密碼（共享密鑰），可通過對該密鑰進(jìn)行加密后傳輸給信宿方；其二是，通信雙方都通過密鑰分配中心申請獲取一個(gè)會(huì)話密鑰。曾有人使用差分密碼分析攻擊了ＭＤ５的單輪，但未能對全部四輪進(jìn)行有效的攻擊，因此，ＭＤ５的安全