计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则
对于UDP会话，传输第一个UDP报文时创建UDP 会话，并用该UDP报文的两端插口唯一标识该UDP会 话，所有两端插口与标识该UDP会话的两端插口相 同的UDP报文都是属于该会话的UDP报文。如果规定 时间内，一直没有传输两端插口与标识该UDP会话 的两端插口相同的UDP报文，删除该UDP会话。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则
对于TCP连接，会话分为三个阶段，一是TCP连 接建立阶段，二是数据传输阶段，三是TCP连接释 放阶段。通过TCP连接建立过程创建会话，并用两 端插口唯一标识创建的会话，插口由标识终端的32 位IP地址和标识进程的16位端口号组成。创建会话 后，所有两端插口与标识该会话的两端插口相同的 TCP报文都是属于该会话的TCP报文。通过TCP连接 释放过程删除会话。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
三、审计
日志记录器以二进制或可读的形式记录事件或统计数据。 日志通常记录与以下活动有关的事件。 用于检测已知攻击模式； 用于检测异常行为和异常信息流。 对于每一个事件，日志记录以下信息：事件发生的日期和 时间，引发事件的用户，事件源的位置，事件类型，事件成败 等。
一、基本术语
主体（Subject）是指主动的实体，该实体造成了信息 的流动和系统状态的改变。 客体（Object）是指包含或接受信息的被动实体。对客 体的访问意味着对其中所包含的信息的访问。 访问是使信息在主体和客体间流动的一种交互方式。 访问控制是一种具有以下功能的安全机制，一是能保障 授权用户获取所需资源，二是能拒绝非授权用户非法获取资 源。 身份鉴别一是需要对主体分配唯一标识符，二是主体能 够提供证明身份的标识信息，授权是为每一个用户设置访问 权限，某个用户的访问权限是指该用户允许访问的客体和允 许对客体进行的操作。
主体 禁止读 S 允许读 允许读 客体 T S C 主体 T 允许写 禁止写 客体 T S C
Bell-LaPadula模型简称为BLP模型，BLP模型的访问原则 是不上读/不下写，以此保证数据的保密性。不上读意味着只 有当主体安全级别高于等于客体安全级别时，才允许主体对客 体进行读操作。不下写意味着只有当主体安全级别低于等于客 体安全级别时，才允许主体对客体进行写操作。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则
个人防火墙的核心功能是阻止会话建立。对于 会话发起方，阻止会话建立的方法是禁止输出会话 发起方发送的用于创建会话的报文。对于会话响应 方，阻止会话建立的方法是禁止输入会话发起方发 送的用于创建会话的报文。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统一、入站规则和出站规则
对于ICMP ECHO请求、响应过程，一次ICMP ECHO请求、响应过程属于一个会话，会话用ICMP ECHO报文两端IP地址和序号（或标识符）唯一标识。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、入站规则和出站规则

操作
向上读（RU）当主体安全级别低于客体安全级别时，允许主体对客体进行 读操作。

向下写（WD）当主体安全级别高于客体安全级别时，允许主体对客体进行 写操作。

向上写（WU）当主体安全级别低于客体安全级别时，允许主体对客体进行 写操作。

计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
主体 禁止写 S 允许写 允许写 客体 T S C 主体 T 允许读 禁止读 客体 T S C
Biba模型的访问原则是不下读/不上写，以此保证数据的 完整性。不下读意味着只有当主体安全级别低于等于客体安全 级别时，才允许主体对客体进行读操作。不上写意味着只有当 主体安全级别高于等于客体安全级别时，才允许主体对客体进 行写操作。
14.1 计算机安全威胁和安全技术
本讲主要内容 安全威胁； 安全技术。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、安全威胁
Internet 计算机 黑客
如图所示的应用环境下，计算机面临以下安全威胁： 病毒； 黑客； 越权访问。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
自主访问控制 模型（DAC） 访问矩阵 模型 访问控制表 （ACL） 访问能力表 （Capacity List） Bell-Lapudula 模型
访问控制 模型
强制访问控制 模型（MAC）
保密性 模型 完整性 模型
Biba 模型
基于角色访问控 制模型（RBAC）
二、安全技术
基于主机的防御技术 ： 病毒防御技术； 个人防火墙； 主机入侵检测系统 访问控制。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
14.2 访问控制
本讲主要内容 基本术语； 访问控制模型； 审计； Windows 7访问控制机制。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
一、基本术语
授权 数据库 系统管理员 身份 鉴别 用户 访问 控制 客体
引用监视器
审计
授权数据库中为每一个用户设置了访问权限，通常由系统管理员为每一个用户 分配访问权限。引用监视器根据已经完成身份鉴别过程的用户和授权数据库，确定 该用户允许访问的客体和允许对客体进行的操作。访问控制保障该用户只能访问允 许访问的客体，且只能对允许访问的客体进行允许进行的操作。审计对用户使用何 种信息资源、在何时使用、以及如何使用（执行何种操作）进行记录和分析。 计算机网络安全
网络安全
第十四章
© 2006工程兵工程学院 计算机教研室
计算机安全技术 病毒防御技术 入侵防御系统
第14章 计算机安全技术
本章主要内容 计算机安全威胁和安全技术； 访问控制； Windows 7防火墙； Windows 7网络管理和监测命令。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
访问控制模型分类
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
操作 操作
客体
资源 X 读、修改、管理
资源 Y
资源 Z 读、修改、管理
主体
用户 A 用户 B 用户 C 读 读、修改、管理 读、修改
访问控制矩阵中的每一行代表一个主体，每一列 代表一个客体，行列交叉的单元格给出该行代表的主 体允许对该列代表的客体进行的操作。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
三、审计
分析器以日志数据为输入，完成以下分析过程。 潜在侵害分析。可以事先为分析器制定一些规则，这些规则 描述了发生入侵时的事件模式，一旦分析器在日志记录的事件 中，发现与规则匹配的事件模式，意味着系统存在入侵的可能 性。 异常分析。分析器可以通过阈值和规则描述用户的正常行为， 一旦日志记录的与某个用户有关的统计数据与描述该用户正常 行为的阈值相差甚远，可以确定该用户的行为异常。 入侵行为分析。分析器可以加载入侵特征库，入侵特征库中 给出已知入侵的事件模式，一旦日志记录的事件与入侵特征库 中某个已知攻击的事件模式匹配，确定系统发生该入侵行为。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
操作
用户 A
资源 Z 读、修改、管理 读、修改、管理 资源 Y 读、修改、管理
资源 X
用户 B
用户 C
资源 X 读
资源 Y 读、修改
访问能力表（ACCL）以主体为中心，为每一个主体分配访 问权限。如图所示，主体用户A具有对客体资源X和资源Z进行 读、修改和管理等访问操作的访问权限。



对于TCP连接，会话发起方是发送请求建立TCP连接 的请求报文的一方，响应方是发送同意建立TCP连 接的响应报文的一方。 对于UDP报文，会话发起方是发送创建UDP会话的第 一个UDP报文的一方，响应方是接收创建UDP会话的 第一个UDP报文的一方。 对于ICMP ECHO请求、响应过程，会话发起方是发 送ICMP ECHO请求报文的一方，响应方是发送对应 的ICMP ECHO响应报文的一方。
计算机网络安全
计算机安全技术 病毒防御技术 入侵防御系统
二、访问控制模型
在强制访问控制中，每一个主体和客体赋予一个安全级别。安全级别 通常分为绝密级（T）、秘密级（S）、机密级（C）、限制级（R）和无密 级（U）。这些安全级别之间满足以下关系：T＞S＞C＞R＞U，T＞S表示绝 密级高于秘密级。 强制访问控制根据主体和客体的安全级别决定以下访问模式。 向下读（RD）当主体安全级别高于客体安全级别时，允许主体对客体进行 读操作。
资源 Y 计算机 B ③票据
资源 Z 计算机 C
①身份 鉴别
资源 X 资源 Z （读、修改、管理） （读、修改、管理） 访问控制主机 用户 B 资源 Y （读、修改、管理） 用户 C 资源 X 资源 Y （读） （读、修改） ②票据
用户 用户 A
授权
用户 A
访问能力表一般用于对客体分布式管理的应用环境，这种 应用环境下，如果采用访问控制表实施访问控制过程，用户A 访问资源X和资源Z时，需要分别由计算机A和计算机C完成身份 鉴别过程。如果采用访问能力表实施访问控制过程，可以由访 问控制主机统一完成身份鉴别过程。
计算机网络安全