网络安全管理标准、规范与对策 (二)
三、安全标准应用实例分析
下面将结合以上标准,以Microsoft Windows NT 4.0为例具体分析其安全级别的应用。
Windows NT 4.0 于1999年11月通过了美国国防部TCSEC C2级安全认证,它具有身份鉴别、自主访问控制、客体共享和安全审计等安全特性。为了支持这些安全特性,Windows NT开发了专门的安全子系统。Windows NT的安全子系统主要由本地安全授权(LSR)、安全账户管理(SAM)和安全参考监视器(SRM)等组成。
本地安全授权部分提供了许多服务程序,保障用户获得存取系统的许可权。它产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息。安全账户管理部分保存SAM数据库,该数据库包含所有组和用户的信息。SAM提供用户登录认证,负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对,并为用户赋予一个安全标识符(SID)。根据网络配置的不同,SAM数据库可能存在于一个或多个Windows NT系统中。
安全参考监视器负责访问控制和审查策略,由LSA支持。SRM提供客体(文件、目录等)的存取权限,检查主体(用户账户等)的权限,产生必要的审查信息。客体的安全属性由安全控制项(ACE)来描述,全部客体的ACE组成访问控制表(ACL)。没有ACL的客体意味着任何主题都可访问。而有ACL的客体则由SRM检查其中的每一项ACE,从而决定主体的访问是否被允许。
下面用标准《计算机信息系统安全保护等级划分准则》(GB 17895-1999)对Microsoft Windows NT 4.0操作系统(以下简称Windows NT)的安全保护能力进行简单的分析。
1. 身份鉴别
Windows NT有一个安全登录序列,用以防止不可信应用窃取用户名和口令序列,并有用户账号和口令等管理能力。
为了登录Windows NT(包括通过网络登录),每一用户必须首先进行域以及用户名识别。每一域以及用户名惟一地标识了一个用户,在系统内部,使用SID予以表征。每个SID是惟一的,不能被重用,也不能重新赋给其他任何用户。
Windows NT允许每一用户账号有一对应的口令。TFM(Trusted Facility Manual)说明了怎样确保所有用户账号都有口令,而且该口令在用户登录时必须键入以便鉴别用户身份。
2. 自主访问控制
Windows NT使用自主访问控制,其控制粒度达到单个用户。Windows NT的安全模式,允许用户将访问控制施用到所有的系统客体和使用Windows NT自有NTFS文件系统的全部文件。在应用或进程对任何客体打开一句柄之前,Windows NT安全系统透明地验证该进程所具有的相应授权。确保所有文件只有在文件的所有者或系统管理员的允许下,进程才能访问它。为了实现自主访问控制,Windows NT为系统中的客体设置了对应的自主访问控制表DACL,作为该客体的一个安全属性。DACL主要在用户访问客体时使用。DACL的表项说明了给予一个用户或用户组的访问允许(或拒绝)。不是所有客体都必须有相关的DACL。若一个客体没有DACL,则意味着所有用户都隐含地被授予对该客体的访向权。
3. 客体重用
在Windows NT 的TCB(Trusted Computing Base)接口,所有可见的资源都通过以下方式寻址:(1)在分配时清除客体;(2)在分配时完全初始化客体;(3)只允许己写入的部分被读取。硬件寄存器、缓存等对于用户模式的进程是不可访问的(CPU除外)。当一个进程第一次创建时,所有的寄存器将被清除或初始化。随后,在每一进程结束它在CPU中的时间片时,所有的寄存器信息都被保留,而在该进程又开始它的CPU时间片时,所有的寄存器信息将被全部调入寄存器。
4. 审计
Windows NT的TCB建立并维护有关身份鉴别、对所保护客体的访问、被保护客体的删除、管理行为以及其他与安全有关事件的一份记录。审计功能是由以下部件完成的:LSA、安全访问监控器 SRM、保护服务器与Executive子系统、Event Logger和Event Viewer。审计信息记录在安全日志中,该日志只有在相应的“DAC允许”取得之后才能被访问,或者拥有SE_SECURITY_NAME特权。只有管理员才被允许对安全日志进行访问。
四、遵照国标建设安全的网络
网络的建设必须确定合理的安全指标,才能检验其达到的安全级别。具体实施时根据不同的网络结构可分别参照不同的国标条款。网络各部分的安全建设原则如下。
1. 内部网的安全
内部网的安全防范应满足以下原则:(1)内部网能根据部门或业务需要划分子网(物理子网或虚拟子网),并能实现子网隔离。(2)采取相应的安全措施后,子网间可相互访问。
2. Internet接口安全
内部网接入Internet对安全技术要求很高,应考虑以下原则:(1)在未采取安全措施的情况下,禁止内部网以任何形式直接接入Internet。(2)采取足够的安全措施后,允许内部网对Internet开通必要的业务。(3)对Internet公开发布的信息应采取安全措施保障信息不被篡改。
3. Extranet接口的安全
Extranet应采取以下安全原则:(1)未采取安全措施的情况下,禁止内部网直接连接Extranet。(2)设立独立网络区域与Extranet交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。(3)来自Extranet的特定主机经认证身份后可访问内部网指定主机。
4. 移动用户拨号接入内部网的安全
移动用户拨号接入内部网的安全防范应满足以下原则:(1)在未采取安全措施的情况下,禁止移动用户直接拨号接入内部网。(2)移动用户在经身份认证后可访问指定的内部网主机。
5.数据库安全保护
对数据库安全的保护主要应考虑以下几条原则:(1)应有明确的数据库存取授权策略。(2)重要信息在数据库中应有安全保密和验证措施。
6.服务器安全保护
服务器安全应满足以下原则:(1)不同重要程度的应用应在不同的服务器上实现。(2)重要服务器必须有合理的访问控制和身份认证措施保护,并记录访问日志。(3)服务器的安全措施尽量与应用无关,以便升级和维护。(4)重要的应用应采取安全措施保障信息的机密性和完整性。
7. 客户端安全
客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加/解密、数字签名和信息完整性验证功能。 |
