第5章身份认证与访问控制ppt课件.ppt

第5章 身份认证与访问控制,主编贾铁军 副主编陈国秦 苏庆刚 沈学东编著 王坚 王小刚 宋少婷,上海教育高地建设项目高等院校规划教材,网络安全技术及应用,（第2版）,上海市精品课程 网络安全技术,目 录,教 学 目 标,教学目标 理解身份认证技术的概念、种类和常用方法 了解网络安全的登录认证与授权管理 掌握数字签名及访问控制技术及应用与实验 掌握安全审计技术及应用,重点,为了提醒学弟学妹珍惜大学时光,华中科技大学大四姜新花了数月时间写成一份长达万字的“悔过书”。文章在学校贴吧发出后，立刻引来了大量网友热评，众人纷纷表示绝不辜负“过来人”的忠告。姜新表示，希望看过的学弟学妹都能吸取自己教训,切莫虚度光阴。,http:/,大学只有四年 绝对经不起挥霍,有学生看完帖子后马上把电脑游戏删了,重点,5.1 身份认证技术概述,5.1.1身份认证的概念和方法,通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 认证（Authentication）是指对主客体身份进行确认的过程。 网络中的身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。,1. 身份认证的概念,你有什么？你知道什么？你是谁？,多数银行的网银服务，除了向客户提供U盾证书保护模式外，还推出了动态口令方式，可免除携带U盾的不便。动态口令是一种动态密码技术，在使用网银过程中，输入用户名后，即可通过绑定的手机一次性收到本次操作的密码,此密码只可使用一次,便利安全。,案例5-1,5.1 身份认证技术概述,5.1.1身份认证的概念和方法,身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。因此，可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防“病从口入”关口。,2. 身份认证的作用,3.身份认证的种类和方法,认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证: （1）消息认证：用于保证信息的完整性和不可否认性。 （2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。 从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，,5.1 身份认证技术概述,5.1.2 身份认证系统及认证方式,身份认证是系统安全的第一道关卡。用户在访问系统前，先要经过身份认证系统识别身份，通过访问监控设备，根据用户的身份和授权数据库，决定所访问资源的权限。授权数据库由安全管理员按照需要配置。审计系统根据设置记载用户的请求和行为，同时入侵检测系统检测异常行为。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计，如图5-1所示。,图5-l身份认证和访问控制过程,5.1 身份认证技术概述,5.1.2 身份认证系统及认证方式,1. 用户名及密码方式 用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。 2. 智能卡认证 智能卡是一种内置集成的电路芯片，存有与用户身份相关的数据，由专门厂商通过专用设备生产。智能卡认证是基于“你有什么”的认证方式，由合法用户随身携带，硬件不可复制无法被仿冒，登录时或同行时须将智能卡在专用读卡器读取身份验证信息。 3. 动态令牌认证 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。,5.1 身份认证技术概述,5.1.2 身份认证系统及认证方式,4. 身份认证系统的组成 包括：认证服务器（Authentication Server）、认证系统用户端软件（Authentication Client Software）、认证设备（Authenticator）。身份认证系统主要是通过身份认证协议和有关软硬件实现的。 5. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式. XX银行的“USBKEY”是为了保障网上银行“客户证书”的安全性，推出了电子证书存储器简称USBKEY即U盾，可将客户的“证书”专门存放于盘中，即插即用，非常安全可靠。U盾只存放银行的证书，不可导入或导出其他数据。只需先安装其驱动程序，即可导入相应的证书。网上银行支持USBkey证书功能，U盾具有安全性、移动性、方便性特点。,案例5-2,5.1 身份认证技术概述,6. 生物识别技术 是指通过可测量的身体或行为等生物特征进行身份认证的技术。1) 指纹识别技术。2) 视网膜识别技术。3) 声音识别技术。 7. CA认证系统 CA(Certification Authority)认证是对网络用户身份证的发放、管理和认证的过程。,讨论思考：（1）身份认证的概念、种类和方法有哪些？ （2）常见的身份认证系统的认证方式有哪些？,5.2 登录认证与授权管理,1.固定口令安全问题 固定口令认证方式简单，易受攻击： （1）网络数据流窃听（Sniffer）。 （2）认证信息截取/重放。 （3）字典攻击。 （4）穷举尝试（Brute Force）。 （5）窥探密码。 （6）社会工程攻击(冒充)。 （7）垃圾搜索。 2.一次性口令密码体制 一次性口令认证系统组成： （1）生成不确定因子。 （2）生成一次性口令。,5.2.1 常用登录认证方式,3.双因素安全令牌及认证系统 E-Securer安全身份认证系统是面向安全领域开发的AAA（认证、授权、审计）系统，提供了双因素（Two Factor）身份认证、统一授权、集中审计等功能，可以为网络设备、VPN、主机系统、数据库系统、WEB服务器、应用服务系统等提供集中的身份认证和权限控制。 (1)双因素身份认证系统组成 1) 身份认证服务器提供数据存储、AAA服务、管理等功能，是整个系统的核心部分。 2) 双因素安全令牌（Secure Key）用于生成用户当前登录的动态口令，采用加密算法及可靠设计，可防止读取密码信息。 3) 认证代理（Authentication Agent）安装在被保护系统上，被保护系统通过认证代理向认证服务器发送认证请求，从而保证被保护系统身份认证的安全。,5.2 登录认证与授权管理,图5-2 RSA双因素安全令牌,案例5-3,(2) 认证系统功能(3) 双因素身份认证系统的技术特点和优势 1)双因素身份认证.系统与安全令牌配合,为用户提供双因素认证安全保护2) 基于角色的权限管理.通过用户与角色的结合,角色与权限的配置,可有针对性的实现用户的职责分担,方便灵活配置用户对资源设备的访问权限;3) 完善详细的审计。系统提供用户认证、访问的详细记录，提供详细的审计跟踪信息；4) 高通用性。采用RADIUS、Tacacs+、LDAP等国际标准协议，具有高度的通用性； 5) 高可靠性。多个协议模块之间可以实现负载均衡，多台统一认证服务器之间实现热备份，认证客户端可以在多台服务器之间自动切换； 6) E-Securer自动定时数据备份，防止关键数据丢失；采用高可用配置，保证持续稳定工作；7) 高并发量。系统采用现今成熟技术设计，选用企业级数据库系统，并且进行了大量的性能优化，保证系统提供实时认证、高并发量运行；8) 管理界面简洁易用。采用基于WEB的图形化管理界面，极大的方便了管理员对系统进行集中的管理、维护、审计工作；9) 开放式体系，产品支持主流操作系统（UNIX、Windows）和网络设备。,5.2 登录认证与授权管理,在某企业网络系统使用的“VPN接入认证”和“登录认证”的用户身份认证子系统中，VPN用户、网络资源访问人员、应用作业操作人员、网络管理员和系统管理员的各类用户身份认证应用。主要包括：VPN接入认证、应用软件登录认证、主机系统登录认证、命令授权审计、网络设备登录认证、命令授权审计、Windows域登录认证、Lotus Domino登录认证。,5.2 登录认证与授权管理,4. 认证系统的主要应用,案例5-3,在大型企业中，常用多种不同的应用服务器，如ERP、Web服务系统、营销管理系统、电子邮件系统等，员工经常需要同时访问多种应用，不同的系统之间的账户和要求不同.如图5-3所示,5.2 登录认证与授权管理,5.2.2用户单次登录认证 1多次登录的弊端,案例5-3,图5-3不同应用系统的多次登录,2. 单次登入面临的挑战 单次登录（Single Sign On，SSO）也称单点登录，是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网络资源。SSO面临的挑战包括3个方面： 1) 多种应用平台。 2) 不同的安全机制。 3) 不同的账户服务系统。 3单次登录的优点 实现单次登录优点包括： （1）管理更简单。 （2）管理控制更方便。 （3）用户使用更快捷。 （4）网络更安全。 （5）合并异构网络。,5.2 登录认证与授权管理,某银行机构的认证与授权管理的目标体系，如图5-4所示。,5.2 登录认证与授权管理,5.2.3 银行认证授权管理应用1. 认证与授权管理目标,图5-4 认证与授权管理目标体系,案例5-6,2. 认证授权管理的原则为实现上述的目标，应遵循以下的指导原则：统一规划管理，分步部署实施 1) 进行认证和授权管理的统一规划，并制订工作计划； 2) 制订及维护认证和授权相关业务流程； 3) 统一用户编码规则，制订及维护认证凭证政策； 4) 确定用户身份信息的数据源和数据流，并进行数据质量管理； 5) 认证和授权分权管理委派； 6) 对银行认证和授权的现状进行周期性的审计和跟踪。(2) 建立统一信息安全服务平台,提供统一的身份认证和访问管理服务(3) 保护现有IT投资，并便于未来扩展,5.2 登录认证与授权管理,讨论思考：（1）双因素身份认证系统的技术特点和优势有呢些？ （2）实现单次登录SSO对于用户的优点是什么？（3）认证授权管理的原则是什么？,5.3 数字签名技术,数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包含信息的认可。 基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名两种。,5.3.1 数字签名的概念及功能,2. 数字签名的方法及功能,保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现6种安全保障功能：（）必须可信。（）无法抵赖。（）不可伪造。（）不能重用。（）不许变更。（）处理快、应用广。,1. 数字签名的概念,5.3.2 数字签名的种类,1手写签名或图章识别 将手写签名或印章作为图像，扫描后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法对将两者进行比对，以确认该签名或印章的真伪。,2生物识别技术 生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征是一个人与他人不同的唯一表征，它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样，提取其唯一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。,5.3 数字签名技术,3. 密码、密码代号或个人识别码 主要是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。 4基于量子力学的计算机 基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。它比传统的图灵计算机具有更强大的功能，它的计算速度要比现代的计算机快几亿倍。 5基于PKI 的电子签名 基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法，数字签名只是电子签名的一种特定形式。,5.3 数字签名技术,5.3.2 数字签名的种类,5.3.3 数字签名过程及实现,1. 身份认证的实现 PKI 提供的服务首先是认证，即身份识别与鉴别，就是确认实体即为自己所声明的实体。认证的前提是双方都具有第三方CA所签发的证书，认证分单向认证和双向认证。1) 单向认证。2) 双向认证。2. 数字签名过程 网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。数字签名与验证的过程和技术实现的原理，如图5-6所示。,5.3 数字签名技术,图5-5 双向认证过程,图5-6 数字签名原理,5.3 数字签名技术,5.3.3 数字签名过程及实现,图5-8 数字签名验证过程,3数字签名的操作过程 数字签名的操作过程如图5-7所示，需要有发方的签名证书的私钥及其验证公钥。4数字签名的验证过程 收方收到发方的签名后进行签名验证，其具体操作过程如图5-8所示。,图5-7 数字签名操作过程,5.3.2 数字签名过程及实现,5原文保密的数据签名的实现方法 上述数字签名原理中定义的对原文做数字摘要及签名并传输原文，实际上在很多场合传输的原文要求保密，不许别人接触。要求对原文进行加密的数字签名方法的实现涉及到“数字信封”的问题，此处理过程稍微复杂一些，但数字签名的基本原理仍相同，其签名过程如图5-9所示。,5.3 数字签名技术,图5-9 原文加密的数字签名实现方法,讨论思考：（1）数字签名的概念及方法是什么？ （2）数字签名的功能和种类有哪些？（3）数字签名具体操作过程是什么？,5.4 访问控制技术,1.访问控制的概念及任务 访问控制（Access Control）指针对越权使用资源的防御措施，即判断使用者是否有权限使用、或更改某一项资源，并且防止非授权的使用者滥用资源。目的是限制访问主体对访问客体的访问权限。 访问控制包含三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。其主要任务是保证网络资源不被非法使用和非法访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制三个要素：（1）主体S（Subject）.是指提出访问资源具体请求.（2）客体O（Object）. 是指被访问资源的实体。（3）控制策略A（Attribution）。控制规则。,5.4.1 访问控制的概念及内容,2. 访问控制的内容 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。 访问控制的内容包括三个方面： (1)认证：包括主体对客体的识别认证和客体对主体检验认证。 (2)控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。 (3)安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。,1. 访问控制的层次 一般可以将访问控制分为2个层次：物理访问控制和逻辑访问控制。 通常，物理访问控制包括标准的钥匙、门锁和设备标签等，而逻辑访问控制则是在数据、应用、系统和网络等层面实现的。 对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。2. 访问控制的模式主要的访问控制模式有三种：(1)自主访问控制（DAC）(2)强制访问控制（MAC）(3)基于角色的访问控制（RBAC）,5.4.2 访问控制的模式及管理,3. 访问控制规则 (1)访问者 主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。 (2) 资源 对资源的保护应包括两个层面：物理层和逻辑层。 (3) 访问控制规则 四要素:访问者(主体),资源(客体),访问请求和访问响应.,图5-10 基于角色的访问控制,某金融机构访问控制实例，给用户1分配的角色为A（角色维度1）和B(角色维度2)。在访问的过程中，访问控制规则引擎查询授权信息（如ACL），判断用户1所具有的访问权限。当用户具有角色A的时候，将具有权限1、权限2和权限3；当用户具有角色B的时候，将具有权限4；当用户同时具有角色A和B的时候，将具有权限5和权限6。因此，用户1具有的权限为权限1至权限8。访问控制规则引擎返回授权信息，实现访问控制。,案例5-7,4. 单点登入的访问管理 根据登入的应用类型不同,可分为3种类型. 1）对桌面资源的统一访问管理 对桌面资源的访问管理，包括两个方面： 登入Windows后统一访问Microsoft应用资源。 登入Windows后访问其他应用资源。 2）Web单点登入 由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图5-8所示。,图5-8 Web单点登入访问管理系统,3）传统C/S 结构应用的统一访问管理 在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案.,单点登入,5.4 访问控制技术,5.4.3 访问控制的安全策略,访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资源范畴）, 用于所有与安全相关活动的一套访问控制规则. 其安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。1. 安全策略实施原则 访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。 （1）最小特权原则。 （2）最小泄露原则。 （3）多级安全策略。,5.4 访问控制技术,2. 基于身份和规则的安全策略,授权行为是建立身份安全策略和规则安全策略的基础，两种安全策略为： 1）基于身份的安全策略 （1）基于个人的安全策略。 （2）基于组的安全策略。 2）基于规则的安全策略 在此安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记.,5.4 访问控制技术,2. 基于身份和规则的安全策略,综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.具有良好灵活性、可维护性,可管理性、更细粒度的访问控制性和更高安全性。HAC主要包括：（1）入网访问控制。（2）网络(资源-服务)的权限控制。（3）目录级安全控制。（4）属性安全控制。（5）网络服务器安全控制。（6）网络监控和锁定控制。（7）网络端口和结点的安全控制。,5.4 访问控制技术,3.综合访问控制策略,综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.具有良好灵活性、可维护性,可管理性、更细粒度的访问控制性和更高安全性。HAC主要包括：（1）入网访问控制。（2）网络(资源-服务)的权限控制。（3）目录级安全控制。（4）属性安全控制。（5）网络服务器安全控制。（6）网络监控和锁定控制。（7）网络端口和结点的安全控制。（8）防火墙控制,5.4 访问控制技术,4.网上银行访问控制的安全策略,为了让用户安全、放心地使用网上银行，通常在网上银行系统采取了八大安全策略，以全面保护的信息资料与资金的安全。（1）加强证书存贮安全。（2）动态口令卡。（3）先进技术的保障。 （4）双密码控制，并设定了密码安全强度。（5）交易限额控制。（6）信息提示，增加透明度。（7）客户端密码安全检测。（8）短信服务,5.4 访问控制技术,5.4.4 准入控制与身份认证管理,1. 准入控制技术概述 思科公司和微软的网络准入控制NAP其原理和本质一致，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点AP都具有较高的可信度和健壮性，从而保护网络基础设施。华为2005年推出端点准入防御产品。,5.4 访问控制技术,2身份认证管理与准入控制的结合 身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。采用单独方式都有优劣。 身份认证技术的安全性，关键在于组织采取的安全策略。身份认证是网络准入控制的基础。,中国教育和科研计算机网紧急响应组（CCERT）开发组，在开发“某大学校园网端口认证系统”的基础上，多年跟踪研究准入控制系统。在分析了思科的入控制研究方案后，认为应重点研究独立于产品厂商的准入控制方案和相关软件系统。准入控制系统的核心是从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器和网络设备，以及第三方的软件系统（病毒和系统补丁服务器）,完成对接入终端用户的强制认证和安全策略应用，保障网络安全。某大学准入控制系统，通过提供综合管理平台，对用户和接入设备进行集中管理,统一实施校园网的安全策略.,5.4 访问控制技术,3. 准入控制技术方案比较 不同厂商准入控制方案在原理上类似，但实现方式各不相同。主要区别4个方面。1）选取协议2）身份认证管理方式3）策略管理4）准入控制 4. 某大学准入控制研发及应用,案例5-8,讨论思考：（1）访问控制的概念和内容是什么？ （2）访问控制模式主要有哪几种？（3）访问控制的安全策略有哪几种实现方式？,5.4 访问控制技术,5. 准入控制技术未来的发展准入控制发展很快，并且出现各种方案整合的趋势。一方面各主要厂商突出本身的准入控制方案，厂商之间加大了合作力度。思科和微软都承诺支持对方准入控制计划，并开放自己的API。另一方面，准入控制标准化工作也在加快。,5.5 安全审计技术,5.5.1 安全审计概述,1. 安全审计的概念及目的 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面：（1）对潜在攻击者起到威慑和警示作用。（2）测试系统的控制情况，及时调整。（3）对已出现的破坏事件，做出评估并提供依据。（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。（5）协助发现入侵或潜在的系统漏洞及隐患。,5.4 安全审计概述,2. 安全审计的类型 从审计级别上可分为3种类型： （1）系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。 （2）应用级审计。主要针对的是应用程序的活动信息。 （3）用户级审计。主要是审计用户的操作活动信息。,5.4 安全审计概述,3. 安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图5-12所示。,图5-12 审计系统的基本结构,5.4 安全审计概述,5.5.2 系统日记审计,1. 系统日志的内容 系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。 对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。 2. 安全审计的记录机制 对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可以由应用系统或其他专用记录系统完成。,图5-13 Syslog安全审计的记录机制,5.4 安全审计概述,审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施： （1）审计查阅。 （2）有限审计查阅。 （3）可选审计查阅。 审计事件的存储安全要求： （1）保护审计记录的存储。 （2）保证审计数据的可用性。 （3）防止审计数据丢失。,4. 审计事件查阅与存储,日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况.主要任务包括:（1）潜在威胁分析。（2）异常行为检测。（3）简单攻击探测。（4）复杂攻击探测。,3. 日志分析,5.4 安全审计概述,5.5.3 审计跟踪及应用,1. 审计跟踪的概念及意义 审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。 审计跟踪作为一种安全机制，主要审计目标： （1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。 （2）可发现试图绕过保护机制的入侵行为或其他操作。 （3）能够发现用户的访问权限转移行为。 （4）制止用户企图绕过系统保护机制的操作事件。,5.4 安全审计概述,审计跟踪是提高系统安全性的重要工具.安全审计跟踪的意义: （1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。 （2）审计信息可以确定事件和攻击源，用于检查计算机犯罪。 （3）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的证据。 （4）既能识别访问系统的来源，又能指出系统状态转移过程。 2. 审计跟踪的主要问题 安全审计跟踪重点考虑： （1）选择记录信息内容。 （2）确定审计跟踪信息所采用的语法和语义定义。 审计是系统安全策略的一个重要组成部分，贯穿整个系统运行过程中，覆盖不同的安全机制，为其他安全策略的改进和完善提供必要的信息。,5.4 安全审计概述,5.5.4 安全审计的实施,为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施. 具体实施主要包括：保护审查审计数据及审计步骤。1. 保护审计数据 应当严格限制在线访问审计日志。 审计数据保护常用方法: 用数据签名和只读设备存储数据。 审计跟踪信息的保密性也应进行严格保护。2. 审查审计数据 审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。3. 审查工具 1）审计精选工具。 2）趋势/差别探测工具。 3）攻击特征探测工具。,5.4 安全审计概述,5.5.5 金融机构审计跟踪的实施应用1审计跟踪系统概述,审计跟踪系统本身会执行系统方面的策略，如对文件及系统的访问。对实施这些策略的相关系统配置文件改动的监控十分重要，系统须在相关访问发生时生成审计记录。审计跟踪可提供更详细记录。对于重要应用还需对使用者和使用细节进行记录。系统管理员不仅会对所有的系统和活动进行监控，同时也应选择记录某个应用在系统层面上的某个功能。包括审计跟踪任何试图登陆的情况，登陆ID、每次登陆尝试时间和日期、终止登陆时间和日期、使用的设备、登陆成功后使用的功能。,案例5-9,5.4 安全审计概述,5.5.5 金融机构审计跟踪的实施应用2系统安全审计跟踪的实施,1)不同系统在不同情况下审计跟踪信息所记录的内容有一定差异2)对在线审计日志的访问须严格控制。3)审计跟踪信息在保留期限到期后应立即予以删除和销毁。4)对于审计跟踪可以进行事后审核，阶段性审核和实时的分析。5)审计跟踪事后审核。6)审计跟踪阶段性审核。7)实时审计分析。8)审计跟踪分析的工具。,讨论思考：（1）安全审计的概念、目的、内容、类型和结构是什么？ （2）系统日志的内容主要包括哪些？（3）安全审计跟踪主要考虑哪几个方面问题？,5.6.1实验目的,5.6 访问列表与Telnet访问控制实验,通过对本章身份认证原理与访问控制技术的系统地学习。掌握在业界应用最为广泛访问控制列表技术。为了更好地让大家熟悉访问控制列表技术的一般配置方式，本节实验的主要目的包括：（1）进一步加深对访问控制列表技术的理解与认识；（2）熟悉CISCO路由器的设置与基本控制操作；（3）进一步了解访问控制策略的设计方式。,5.6.2实验要求与方法,1. 实验环境 使用一台安装了Windows XP操作系统的台式电脑、两台CISCO路由器和若干网线。2. 注意事项(1) 预习准备 由于本实验涉及的一些产品相关的技术概念，尤其是CISCO的IOS操作系统，应当提前做一些了解，以利于对于实验内容的深刻理解。 (2) 注意弄懂实验原理、理解各步骤的含义 对于操作的每一步要着重理解其原理，对于访问控制列表配置过程中的各种命令、反馈及验证方法等要充分理解其作用和含义。实验用时：2学时（90-100分钟）,5.6 访问列表与Telnet访问控制实验,5.5.3 实验内容及步骤,本实验分为三个步骤完成：连通物理设备、配置路由器访问控制策略、通过实验结果验证结论。（1）连通物理设备 将两台路由器如图5-14连通，其中S0与S1之间用串口线连通，只允许R1的loop 1能通过ping命令连接R2的loop 0；并且在R2上设置telnet访问控制，只允许R1的loop 0能够远程登录，不能使用deny语句。,5.6 访问列表与Telnet访问控制实验,图5-14 访问列表与telnet访问实验拓扑图,5.5.3 实验内容及步骤,对R1与R2的配置如下：R1的配置：R1(config)#interface loopback 0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#interface loopback 1R1(config-if)#ip adress 10.1.2.1 255.255.255.0R1(config-if)#interface s0R1(config-if)#ip address 30.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.2 配置缺省路由R2的配置：R2(config)#interface loopback 0R2(config-if)#ip address 20.1.1.1 255.255.255.0R2(config-if)#interface s1R2(config-if)#ip address 30.1.1.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#no shutdownR2(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.1 配置缺省路由,5.6 访问列表与Telnet访问控制实验,测试网络连通性：R1#pingProtocol ip:Target IP address:20.1.1.1Extended commands n: ySource address or interface: 10.1.1.1!,5.6 访问列表与Telnet访问控制实验,（2）配置路由器的访问控制列表创建扩展访问列表102：R2(config)#access-list 102 permit tcp any any eq telnet 进入端口s1,并将访问控制列表102绑定到这个端口：R2(config)#interface s1R2(config-if)#ip access-group 102 in 将列表加载到接口创建标准访问控制列表10,并将其绑定到远程访问端口：R2(config)#access-list 10 permit host 10.1.1.1R2(config)#line vty 0 4R2(config-line)#access-class 10 in,5.5.3 实验内容及步骤,3）通过实验结果验证结论显示访问列表配置：R2#show access-lists Standard IP access list 10permit 10.1.1.1 (2 matches)Extended IP access list 102Permit icmp host 10.1.2.1 host 20.1.1.1 (163 matches)permit tcp any any eq telnet (162 matches)显示路由器R1当前配置表：R1#show running-config,5.6 访问列表与Telnet访问控制实验,5.5.3 实验内容及步骤,结果如下所示：hostname R1no ip domain-lookup!interface Loopback0ip address 10.1.1.1 255.255.255.0!interface Loopback1ip address 10.1.2.1 255.255.255.0!interface Serial0ip address 30.1.1.1 255.255.255.0clockrate 64000!ip route 0.0.0.0 0.0.0.0 30.1.1.2!end,5.6 访问列表与Telnet访问控制实验,5.5.3 实验内容及步骤,显示路由器R2当前配置表：R2#show running-config结果如下所示：hostname R2!no ip domain-lookup!interface Loopback0 ip address 20.1.1.1 255.255.255.0!interface Serial1ip address 30.1.1.2 255.255.255.0ip access-group 102 in!ip route 0.0.0.0 0.0.0.0 30.1.1.1!access-list 10 permit 10.1.1.1access-list 102 permit icmp host 10.1.2.1 host 20.1.1.1 access-list 102 permit tcp any any eq telnetend,5.6 访问列表与Telnet访问控制实验,5.5.3 实验内容及步骤结论,可以看到，路由器R2的串口S1上绑定了访问控制列表10和扩展访问控制列表102，成功的阻止了非法访问接入。,5.6 访问列表与Telnet访问控制实验,5.7 本章小结,5.7 本章小结,身份认证和访问控制是网络安全的重要技术，是网络安全登入的首要保障。本章讲述了身份认证的概念、技术方法、无线校园网安全认证案例；简单介绍了双因素安全令牌及认证系统、用户登录认证、认证授权管理案例；还简要介绍了数字签名的概念及功能、种类、原理及应用、技术实现方法；访问控制概述、模式及管理、安全策略、认证服务与访问控制系统、准入控制与身份认证管理案例；最后，介绍了安全审计概念、系统日志审计、审计跟踪、安全审计的实施等，审计核心是风险评估。最后，通过概述访问列表与Telnet访问控制同步实验，可使理论与实践结合并达到学以致用、融会贯通的目的。,诚挚谢意！,