【正文】 訪問矩陣允許的操作才能進(jìn)行 。每一個(gè)主體一行 ， 客體一列 。但對于文件來說，這些操作一般由操作系統(tǒng)來執(zhí)行?？腕w，如銀行賬目，可根據(jù)對賬目的基本操作擁有相應(yīng)的訪問權(quán)，如詢問、信貸和記賬等。對文件來說，典型的訪問就是讀、寫、執(zhí)行和所有。這種許可是以訪問權(quán)或訪問方式的形式表示的。主體產(chǎn)生對客體的行為或操作。某一操作的始發(fā)者可以成為另一操作的目標(biāo)這種現(xiàn)象，正符合主體可以成為客體的事實(shí) (在網(wǎng)絡(luò)說法中，主體有時(shí)叫始發(fā)者，而客體有時(shí)叫目標(biāo) )。 主體自身也可以成為客體，主體還可創(chuàng)造許多“子主體”來完成任務(wù)。 例如 ， 一個(gè)執(zhí)行兩種方案的用戶可以以任何一個(gè)方案的名義登記 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 系統(tǒng)中的行為是由稱為主體的實(shí)體進(jìn)行的 ， 主體一般是用戶或以用戶名義執(zhí)行的程序 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2) 訪問矩陣 安全專業(yè)人員近年來在訪問控制方面已形成了一系列觀念，其中最基本的一點(diǎn)就是認(rèn)識到了所有由計(jì)算機(jī)系統(tǒng)控制的資源都可以表示為數(shù)據(jù)而存儲在客體 (如文件 )中。例如極嚴(yán)格的訪問控制策略，它對某些系統(tǒng)可能至關(guān)重要，但對于用戶更大更靈活的環(huán)境也許就不適合了。而安全策略則五花八門、多種多樣，令系統(tǒng)實(shí)施者不知何去何從。這使得機(jī)制可以在安全保密服務(wù)中重復(fù)使用。策略是高層次的，它決定著如何對訪問進(jìn)行控制；而機(jī)制則具體到完成一個(gè)策略的低層軟件和硬件功能。除此之外，它還能確保被授權(quán)的用戶不濫用其特權(quán)。審計(jì)控制既是一種強(qiáng)有力的威懾力量 (用戶如果知道它們的行為正被監(jiān)視，那么就會收斂違法行為 )，也可作為一種有效的手段，分析用戶的行為、發(fā)現(xiàn)可能進(jìn)行或已經(jīng)實(shí)施的違法行為。審計(jì)控制是指對系統(tǒng)中所有的用戶需求和行為進(jìn)行后驗(yàn)分析。 因此 ， 訪問控制的有效性取決于對用戶的正確識別 ， 同時(shí)也取決于參考監(jiān)視器正確的授權(quán)管理 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 嚴(yán)格區(qū)分鑒別和訪問控制是很重要的 。而數(shù)據(jù)庫的授權(quán)則是由一個(gè)安全管理器負(fù)責(zé)管理和維護(hù)，管理器以組織的安全策略為基準(zhǔn)來設(shè)置這些授權(quán)。每一次用戶對系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時(shí)，都由它來進(jìn)行調(diào)節(jié)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 網(wǎng)絡(luò)安全設(shè)計(jì) 訪問控制技術(shù) 1. 訪問控制概念 1) 訪問控制原理 訪問控制涉及到限制合法用戶的行為。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4. 安全審計(jì) 安全審計(jì)是對網(wǎng)上用戶的行為監(jiān)督管理，對計(jì)算機(jī)的工作過程進(jìn)行詳盡的跟蹤，記錄用戶活動，記錄系統(tǒng)管理，監(jiān)控和捕捉各種安全文件，維護(hù)管理審計(jì)記錄和審計(jì)日志。修改越頻繁，就越頻繁地阻止了那些試圖猜測口令而成為入侵者的人。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (5) 更換口令。而作為一個(gè)整體來觀察網(wǎng)絡(luò)時(shí)，可令外人不知所措，安全性即體現(xiàn)在這上面。 (4) 利用子網(wǎng)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (3) 數(shù)據(jù)加密技術(shù) 。 (2) 防火墻技術(shù)。 安全管理包括法律制度的健全以及管理制度和道德規(guī)范的約束 。降低操作的復(fù)雜性，減少對系統(tǒng)安全所造成的人為危害也是重要的一個(gè)方面。 網(wǎng)絡(luò)系統(tǒng)中每個(gè)應(yīng)用程序 、 系統(tǒng)程序及管理人員只具有操作完成某項(xiàng)任務(wù)所必需的最小特權(quán)設(shè)施 ， 這樣一旦出現(xiàn)問題可將損失減少 ， 以尋求用戶對其最小依賴 。 保密是基于一系列易于保護(hù)的密鑰和通行字 ， 這樣攻擊者即使獲得一個(gè)密碼設(shè)施 ， 由于沒有密鑰也是毫無辦法 ， 因此建議安全設(shè)施的設(shè)計(jì)與操作公開化 。 這是從系統(tǒng)綜合的整體角度看待和分析網(wǎng)絡(luò)系統(tǒng)的安全性 ， 從而采取有效可行的防范措施 。一個(gè)不付出任何代價(jià)的安全策略是不存在的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2. 網(wǎng)絡(luò)安全策略 面對網(wǎng)絡(luò)的種種威脅 ， 為最大限度地保護(hù)網(wǎng)絡(luò)中的敏感信息 ， 各行業(yè)應(yīng)采取有效的安全對策來確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行 ，不論采用安全管理 、 安全機(jī)制 ， 還是從開發(fā)網(wǎng)絡(luò)體系結(jié)構(gòu)的高度進(jìn)行規(guī)劃 ， 均應(yīng)考慮如下一些原則： (1) 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析。而且在 A級，所有構(gòu)成系統(tǒng)的部件的來源必須有安全保證，這些安全措施還必須擔(dān)保在銷售過程中這些部件不受損害。 A級還附加一個(gè)安全系統(tǒng)受監(jiān)視的設(shè)計(jì)要求，合格的安全個(gè)體必須分析并通過這一設(shè)計(jì)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) A級也叫可驗(yàn)證之保護(hù) (Verified Protection)，是定義的最高等級。 B級屬于強(qiáng)制式保護(hù) (Mandatory Protection)。 許多 UNIX系統(tǒng) ， 如著名的SCO UNIX就允許這些附加的功能 ， 因此完全被授予 C2級 。在標(biāo)準(zhǔn) UNIX中，只有“登錄”、“口令”和“文件所有權(quán)”這些概念代表 C1級別安全。 DOS無 “ 所有權(quán) ” 和 “ 許可權(quán) ”的概念 ， 所有的文件都被當(dāng)前用戶所擁有 。字母 A到 D分別代表了 4種不同的安全級別，每一個(gè)安全級別中，可用一個(gè)數(shù)字來進(jìn)一步細(xì)分這一級別。它依據(jù)處理的信息等級和采取相應(yīng)對策劃分每一個(gè)安全等級。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 網(wǎng)絡(luò)系統(tǒng)安全采用的主要技術(shù) 1. 網(wǎng)絡(luò)安全等級 各種不安全因素的存在，說明一個(gè)絕對安全的計(jì)算機(jī)和網(wǎng)絡(luò)是不存在的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 6) 電腦黑客及其攻擊 現(xiàn)在，黑客在國際互聯(lián)網(wǎng)上的攻擊活動十分頻繁，他們利用 Inter的內(nèi)在缺陷和管理上的一些漏洞非法進(jìn)入網(wǎng)絡(luò)系統(tǒng)，修改或毀壞網(wǎng)絡(luò)系統(tǒng)中的重要數(shù)據(jù)等。雖然這些網(wǎng)絡(luò)協(xié)議分析軟件的功能異常強(qiáng)大，但并不要求使用者對計(jì)算機(jī)或網(wǎng)絡(luò)通信協(xié)議有深入的了解。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 5) 網(wǎng)絡(luò)協(xié)議分析軟件 網(wǎng)絡(luò)協(xié)議分析軟件可以用來排除各種網(wǎng)絡(luò)故障，監(jiān)視網(wǎng)絡(luò)系統(tǒng)，防止黑客的侵入，同時(shí)它也可以被黑客用來截獲并分析網(wǎng)絡(luò)通信中的所有數(shù)據(jù)，從而對網(wǎng)絡(luò)的安全造成極大威脅。病毒由許多不同功能的組件構(gòu)成，它不僅可分布在同一臺計(jì)算機(jī)上，也可分布在網(wǎng)絡(luò)系統(tǒng)的其他計(jì)算機(jī)上；病毒既可分布在局域網(wǎng)上，也可分布在廣域網(wǎng)上。計(jì)算機(jī)病毒不僅會發(fā)生在 Windows或 DOS系統(tǒng)，而且也會發(fā)生在UNIX等系統(tǒng)上，震驚整個(gè)計(jì)算機(jī)界的“蠕蟲”病毒即發(fā)生在UNIX系統(tǒng)上。 u 故意：未經(jīng)系統(tǒng)授權(quán) ， 非法地對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的資源進(jìn)行竊取 、 復(fù)制 、 修改和毀壞 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2) 意外事故 停電 、 火災(zāi)等不可預(yù)見的意外事故 。 1) 自然因素 u 自然災(zāi)害：包括地震 、 雷電 、 水災(zāi) 、 風(fēng)災(zāi)等不以人們意志為轉(zhuǎn)移的自然災(zāi)害 ?？傊?，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及和隨之而來的網(wǎng)絡(luò)安全問題將使得計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)變得越來越重要。計(jì)算機(jī)網(wǎng)絡(luò)具備分布廣域性、體系結(jié)構(gòu)開放性、資源共享性和信道共用性的特點(diǎn)，因此增加了網(wǎng)絡(luò)的實(shí)用性，同時(shí)也不可避免地帶來了系統(tǒng)的脆弱性，使其面臨嚴(yán)重的安全問題。第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 網(wǎng)絡(luò)中存在的安全問題 網(wǎng)絡(luò)安全設(shè)計(jì) 小結(jié) 習(xí)題與思考 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 網(wǎng)絡(luò)中存在的安全問題 網(wǎng)絡(luò)安全的主要問題 計(jì)算機(jī)網(wǎng)絡(luò)對人類經(jīng)濟(jì)和生活的沖擊是其他信息載體所無法比擬的，它的高速發(fā)展和全方位滲透，推動了整個(gè)社會的信息化進(jìn)程。特別是風(fēng)靡全球的 Inter(國際互聯(lián)網(wǎng)，因特網(wǎng) )，更令人嘆為觀止。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 在廣域網(wǎng)中，包括多種機(jī)型，任何一個(gè)節(jié)點(diǎn)受到侵害，都將對整個(gè)網(wǎng)絡(luò)造成危害；在互聯(lián)網(wǎng)中，體系結(jié)構(gòu)的開放性給系統(tǒng)互連帶來了方便，同時(shí)由于開放性是透明的，從而給有意攻擊網(wǎng)絡(luò)系統(tǒng)安全的人也增加了更多機(jī)會；系統(tǒng)實(shí)現(xiàn)共享是網(wǎng)絡(luò)的一大優(yōu)點(diǎn)，但共享恰恰與安全保密相對立，非法用戶很容易利用共享的特點(diǎn)獲得信息，或有意破壞共享資源以及使整個(gè)網(wǎng)絡(luò)遭受損害；等等。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 對計(jì)算機(jī)網(wǎng)絡(luò)來說 ， 計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性 ， 共同構(gòu)成了對計(jì)算機(jī)網(wǎng)絡(luò)潛在的威脅 ， 主要有以下幾個(gè)方面 。 u 自然環(huán)境：溫度 、 濕度 、 灰塵度和電磁場等 。 3) 人為的物理破壞 u 非故意：誤操作 、 失誤 、 失職等人為疏忽而造成的事故 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4) 計(jì)算機(jī)病毒 網(wǎng)絡(luò)技術(shù)的發(fā)展，使得計(jì)算機(jī)病毒可通過國際互聯(lián)網(wǎng)傳播，從而大大加速了電腦病毒的傳播速度和擴(kuò)大了傳播范圍。計(jì)算機(jī)病毒技術(shù)也正朝著智能化、網(wǎng)絡(luò)化發(fā)展。因此，我們要對網(wǎng)絡(luò)化電腦病毒傳播和威脅引起足夠的重視。好的網(wǎng)絡(luò)協(xié)議分析軟件可用于分析 OSI網(wǎng)絡(luò)七層模型的每一層的數(shù)據(jù)包，它既可用于分析廣域網(wǎng)如 DDN、幀中繼、 包，也可用來分析局域網(wǎng)如以太網(wǎng)、令牌環(huán)網(wǎng)、 FDDI等的數(shù)據(jù)包；它既可用于分析 TCP/IP協(xié)議，也可用來分析 IBM SNA、NETBIOS等協(xié)議；它既可用于分析 FTP、 TELNET、 RLOGIN等應(yīng)用層的協(xié)議，也可用來分析 RIP、 OSPF等路由協(xié)議。即對于普通的電腦用戶，也可通過網(wǎng)絡(luò)協(xié)議分析軟件來截取網(wǎng)絡(luò)上的各種數(shù)據(jù)，這無疑對網(wǎng)絡(luò)系統(tǒng)的安全問題提出了更高的要求。網(wǎng)絡(luò)的開放性決定了它的復(fù)雜性和多樣性，隨著技術(shù)的不斷進(jìn)步，各種各樣高明的黑客還會不斷出現(xiàn)，同時(shí)，他們使用的手段也會越來越先進(jìn)。 1985年底，美國國防部發(fā)表的《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》 (TCSEC，即眾所周知的桔皮書 )中指出：任何人都不能簡單地說一臺計(jì)算機(jī)是安全還是不安全的。安全等級分為 4類 7級，依照各類級安全要求從低到高，依次為 D、 C CB B B A1級。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) D級為安全性最低一級 ， DOS是一個(gè)具有代表性的 D1級操作系統(tǒng) ， DOS根本沒有安全性保證 ， 任何坐在計(jì)算機(jī)前的人都可以存取系統(tǒng)中的任何文件 。 C1級操作系統(tǒng)比 D級具有更多的安全性，并具有一種提供安全性的方法。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) C2級別比 C1級別安全性略高 。D E C公司的 V A X / V M S操作系統(tǒng)被確認(rèn)為 C 2級 ， 微軟的Windows服務(wù)器版本的安全級別也是 C2級 。 該等級的安全特點(diǎn)在于由系統(tǒng)強(qiáng)制的安全保護(hù) ， 在強(qiáng)制式保護(hù)模式中 ， 每個(gè)系統(tǒng)對象 (如文件 、 目錄等資源 )及主題 (如系統(tǒng)管理員 、 用戶 、應(yīng)用程序 )都有自己的安全標(biāo)簽 (Security Label)， 系統(tǒng)即依據(jù)用戶的安全等級賦予他對各對象的訪問權(quán)限 。這一級包括了它下面各級的所有特性。另外，必須采用嚴(yán)格的形式化方法來證明該系統(tǒng)的安全性。例如，在 A級設(shè)置中，一個(gè)磁帶驅(qū)動器從生產(chǎn)廠房直至計(jì)算機(jī)房都被嚴(yán)密跟蹤。任何網(wǎng)絡(luò)的安全都是相對的，沒有一個(gè)網(wǎng)絡(luò)系統(tǒng)是絕對安全的，威脅本身所要付出的代價(jià)、威脅可能帶來的風(fēng)險(xiǎn)以及對抗威脅所花費(fèi)的成本是安全系統(tǒng)設(shè)計(jì)折衷的三個(gè)方面，通常采用的策略是風(fēng)險(xiǎn)最大可容忍原則。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (2) 綜合性和整體性 。 (3) 安全措施公開 。 (4) 特權(quán)分散 。 (5) 易操作性。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 3. 網(wǎng)絡(luò)安全措施 (1) 安全管理 。 1994年我國頒布的 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 標(biāo)志著我國整個(gè)計(jì)算機(jī)安全工作已走上規(guī)范化 、 法制化的道路 。 Inter的防火墻技術(shù)目前已比較成熟，簡單的防火墻技術(shù)可在路由器上直接實(shí)現(xiàn)，而專用防火墻可提供更加可靠的網(wǎng)絡(luò)安全控制方法。 信息保密是網(wǎng)絡(luò)安全中關(guān)鍵的一環(huán) ，數(shù)據(jù)被發(fā)送到網(wǎng)絡(luò)之前 ， 數(shù)據(jù)的加密和解密是不可忽視的安全問題 ， 密碼技術(shù)廣泛用于防止傳輸中的信息和記錄存儲的信息不被竊取 、 修改和偽造 ， 還可以識別雙方的真實(shí)性 ， 許多實(shí)用程序也可使數(shù)據(jù)加密 。在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，把龐大的網(wǎng)絡(luò)劃分成若干個(gè)部分，每部分配一個(gè)系統(tǒng)管理員，每個(gè)管理員對有限個(gè)本地用戶和主機(jī)負(fù)責(zé)。同時(shí)，當(dāng)這個(gè)網(wǎng)絡(luò)被分成若干可管理的部分時(shí)，每一個(gè)任務(wù)就更小并更便于控制。在系統(tǒng)內(nèi)使用口令進(jìn)行身份驗(yàn)證時(shí)，應(yīng)采取恰當(dāng)?shù)谋Ｃ艽胧┓乐箍诹钭值男孤?，同時(shí)不能總使用相同的口令?？诹畹脑O(shè)計(jì)可采用大小寫敏感、字母數(shù)字特殊、字符混合編排等等。如多次使用錯(cuò)誤的口令試圖進(jìn)入系統(tǒng)，試圖越權(quán)對某些程序或文件進(jìn)行操作，審計(jì)跟蹤可對這些操作時(shí)間、終端號及其他有關(guān)信息進(jìn)行定位，以便發(fā)現(xiàn)和解決系統(tǒng)中出現(xiàn)的安全問題。這種控制是通過一個(gè)參考監(jiān)視器來進(jìn)行的。用戶對系統(tǒng)進(jìn)行訪問時(shí)，參考監(jiān)視器便于查看授權(quán)數(shù)據(jù)庫，以確定準(zhǔn)備進(jìn)行操作的用戶是否確實(shí)得到了可進(jìn)行此項(xiàng)操作的許可。用戶還能夠修改該授權(quán)數(shù)據(jù)庫的一部分，例如，為他們個(gè)人的文件設(shè)置授權(quán)，審計(jì)對系統(tǒng)中的相關(guān)行為進(jìn)行管理并做下記錄。 正確建立用戶的身份是鑒別服務(wù)的責(zé)任；而訪問控制則假定在通過參考監(jiān)視器實(shí)施訪問控制前 ， 用戶的身份就已經(jīng)得到了驗(yàn)證 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 但是訪問控制并不能完全解決系統(tǒng)的安全問題，它還必須與審計(jì)結(jié)合起來。它要求所有的用戶需求和行為都必須登記 (存入 )，以便以后