电信行业网络安全解决方案

2 经典模型中的3个基本安全机制 (1)身份标识和鉴别 (2)访问控制 (3)审计

下面分别讨论：

(1) 身份标识和鉴别 ：

计算机信息系统的可信操作在初始执行时，首先要求用户标识自己的身份，并提供证明自己身份的依据，计算机系统对其进行鉴别。身份的标识和鉴别是对访问者授权的前提，并通过审计机制使系统保留追究用户行为责任的能力。

身份鉴别可以是只对主体进行鉴别，某些情况下，则同时需要对客体进行鉴别。

目前在计算机系统中使用的身份鉴别的技术涉及3种因素： · 你知道什么(秘密的口令)·你拥有什么(令牌或密钥)·你是谁(生理特征)

仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险，包括利用字典的口令破解;冒充合法计算机的登陆程序欺骗登录者泄露口令;通过网络嗅探器收集在网络上以明文(如Telnet，FTP，POP3)或简单编码(如HTTP采用的BASE64)形式传输的口令。此外简单的口令验证在需要超过一个人知道同一个特权口令时会带来管理上的困难，最明显的问题是无法确认有哪些人知道口令，特别是当没有及时更改口令时，无法确保临时获得口令的人员在执行完临时授权的任务后"立即"忘记口令。

任何一个口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式，这种方式在检查用户口令的同时，验证用户是否持有正确的令牌(拥有什么)。令牌是由计算机用户执行或持有的软件或硬件。令牌连续的改变口令，通过与验证方同步获得验证。由于口令是一次性的，所以口令的破解是不可能的，而且窃取口令输入和通信的企图变得毫无价值;以硬件形态存在的令牌具有使用者唯一持有的特性，使权限的授予和收回变得十分明确，避免了由于管理失误而造成的权限扩散。口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。

(2)访问控制：

访问控制分为"自主访问控制"和"强制访问控制"两种。

自主访问控制(DAC)是商用系统中最常见的一种类型，UNIX和NT操作系统都使用DAC。在基于DAC的系统中，主体的拥有者负责设置访问权限。而作为许多操作系统的副作用，一个或多个特权用户也可以改变主体的控制权限。自主访问控制的一个最大问题是主体是权限太大，无意间就可能泄露信息，而且不能防备特洛伊木马的攻击。

强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性，而且这些安全属性不象ACL那样轻易被修改。系统通过比较主体和客体的安全属性才决定主体对客体的操作可行性。强制访问控制常采用 DOD的军事多级安全策略。强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性。

(3)审计：

审计是一个被信任的机制，TCB 的一个部分。参考监视器也使用审计把它的活动记录下来。参考监视器记录的信息应包括主题和对象的标识，访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。

大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。由于操作系统中还有许多其他的主体和对象，审计机制为记录下列事件负责，如开始一个程序，结束一个程序，系统从新启动，增加用户，改变用户口令、安装上新的磁盘驱动器。操作系统要维护许多不同的记录，但不是所有记录都包含足够的信息来精确识别主体、对象和访问请求。如果你希望能为系统活动分配责任，那么你就需要描述每个访问控制决定的完全记录。

只有通过积极的审计系统，才能够知道要使用的安全策略是不是正确开始并被使用。入侵检测就是基于这个简单的需要的。如果你不监视系统和网络，就不能检测到入侵者或者内部的错误使用。

3 经典模型的前提假定 (1)参考监视器是主体对对象进行访问的唯一通路 (2)身份鉴别的机制是可靠的 (3)审计系统和授权数据库本身受到充分的保护

4 经典模型面对的困难

经典安全模型是一个安全系统最基本的和不可缺少的安全机制，基本安全模型中的要素的缺乏意味着系统几乎没有可信赖的安全机制。但经典安全模型并不能提供系统的可信程度的信息。此外优于一些实际的因素会导致经典模型的前提不能成立，从而使安全模型的有效性不能保证。下列是威胁经典模型系统的一些可能的因素：

错误的系统配置

安全系统的管理员会由于知识和能力上的问题或偶然的失误，造成系统安全策略处于危险的状态。另外，困难的配置工具也会增加配置失误的风险。

不充分的实现：如基于口令的过于简单的身份认证机制。

不完整的访问控制机制，以至于不能制定适合于实际系统授权需求的安全策略。

审计子系统和授权数据库的可信度不充分，或者干脆没有。