第5章身份認證與訪問控制主編賈鐵軍副主編陳國秦蘇慶剛沈學東編著王堅王小剛宋少婷上海教育高地建設項目高等院校規劃教材網絡安全技術及應用（第2版）上海市精品課程網絡安全技術目錄

5.3數字簽名技術3

5.4訪問控制技術45.6訪問列表與Tenet訪問控制實驗

6

5.1身份認證技術概述15.5安全審計技術55.2登錄認證與授權管理

2

5.7本章小結7教學目標教學目標

●理解身份認證技術的概念、種類和常用方法●了解網絡安全的登錄認證與授權管理●

掌握數字簽名及訪問控制技術及應用與實驗●

掌握安全審計技術及應用重點為了提醒學弟學妹珍惜大學時光,華中科技大學大四姜新花了數月時間寫成一份長達萬字的“悔過書”。文章在學校貼吧發出后，立刻引來了大量網友熱評，眾人紛紛表示絕不辜負“過來人”的忠告。姜新表示，希望看過的學弟學妹都能吸取自己教訓,切莫虛度光陰。

/s/2013-04-02/023626706684.shtml大學只有四年絕對經不起揮霍,有學生看完帖子后馬上把電腦游戲刪了重點5.1身份認證技術概述

5.1.1身份認證的概念和方法

通常，身份認證基本方法有三種：用戶物件認證；有關信息確認或體貌特征識別。

認證（Authentication）是指對主客體身份進行確認的過程。網絡中的身份認證（IdentityAuthentication）是指網絡用戶在進入系統或訪問受限系統資源時,系統對用戶身份的鑒別過程。1.身份認證的概念你有什么？你知道什么？你是誰？

多數銀行的網銀服務，除了向客戶提供U盾證書保護模式外，還推出了動態口令方式，可免除攜帶U盾的不便。動態口令是一種動態密碼技術，在使用網銀過程中，輸入用戶名后，即可通過綁定的手機一次性收到本次操作的密碼,此密碼只可使用一次,便利安全。案例5-15.1身份認證技術概述

5.1.1身份認證的概念和方法

身份認證與鑒別是信息安全中的第一道防線，對信息系統的安全有著重要的意義。身份認證可以確保用戶身份的真實、合法和唯一性。因此，可以防止非法人員進入系統，防止非法人員通過各種違法操作獲取不正當利益、非法訪問受控信息、惡意破壞系統數據的完整性的情況的發生，嚴防“病從口入”關口。2.身份認證的作用3.身份認證的種類和方法

認證技術是用戶身份認證與鑒別的重要手段，也是計算機系統安全中一項重要內容.從鑒別對象上,分為消息認證和用戶身份認證:（1）消息認證：用于保證信息的完整性和不可否認性。（2）身份認證：鑒別用戶身份。包括識別和驗證兩部分。識別是鑒別訪問者的身份，驗證是對訪問者身份的合法性進行確認。從認證關系上，身份認證也可分為用戶與主機間的認證和主機之間的認證，

5.1身份認證技術概述5.1.2身份認證系統及認證方式

身份認證是系統安全的第一道關卡。用戶在訪問系統前，先要經過身份認證系統識別身份，通過訪問監控設備，根據用戶的身份和授權數據庫，決定所訪問資源的權限。授權數據庫由安全管理員按照需要配置。審計系統根據設置記載用戶的請求和行為，同時入侵檢測系統檢測異常行為。訪問控制和審計系統都依賴于身份認證系統提供的“認證信息”鑒別和審計，如圖5-1所示。

圖5-l身份認證和訪問控制過程5.1身份認證技術概述5.1.2身份認證系統及認證方式

1.用戶名及密碼方式

用戶名/密碼方式是最簡單、最常用的身份認證方法，是基于“你知道什么”的驗證手段。2.智能卡認證

智能卡是一種內置集成的電路芯片，存有與用戶身份相關的數據，由專門廠商通過專用設備生產。智能卡認證是基于“你有什么”的認證方式，由合法用戶隨身攜帶，硬件不可復制無法被仿冒，登錄時或同行時須將智能卡在專用讀卡器讀取身份驗證信息。

3.動態令牌認證

動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它采用一種動態令牌的專用硬件，內置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。

5.1身份認證技術概述5.1.2身份認證系統及認證方式

4.身份認證系統的組成

包括：認證服務器（AuthenticationServer）、認證系統用戶端軟件（AuthenticationClientSoftware）、認證設備（Authenticator）。身份認證系統主要是通過身份認證協議和有關軟硬件實現的。

5.USBKey認證

采用軟硬件相結合、一次一密的強雙因素(兩種認證方法)認證模式.其身份認證系統有兩種認證模式：基于沖擊/響應模式和基于PKI體系的認證模式.XX銀行的“USBKEY”是為了保障網上銀行“客戶證書”的安全性，推出了電子證書存儲器簡稱USBKEY即U盾，可將客戶的“證書”專門存放于盤中，即插即用，非常安全可靠。U盾只存放銀行的證書，不可導入或導出其他數據。只需先安裝其驅動程序，即可導入相應的證書。網上銀行支持USBkey證書功能，U盾具有安全性、移動性、方便性特點。

案例5-25.1身份認證技術概述

6.生物識別技術

是指通過可測量的身體或行為等生物特征進行身份認證的技術。1)指紋識別技術。2)視網膜識別技術。3)聲音識別技術。7.CA認證系統

CA(CertificationAuthority)認證是對網絡用戶身份證的發放、管理和認證的過程。

討論思考：（1）身份認證的概念、種類和方法有哪些？（2）常見的身份認證系統的認證方式有哪些？5.2登錄認證與授權管理

1.固定口令安全問題

固定口令認證方式簡單，易受攻擊： （1）網絡數據流竊聽（Sniffer）。（2）認證信息截取/重放。（3）字典攻擊。（4）窮舉嘗試（BruteForce）。（5）窺探密碼。（6）社會工程攻擊(冒充)。（7）垃圾搜索。2.一次性口令密碼體制

一次性口令認證系統組成：（1）生成不確定因子。（2）生成一次性口令。

5.2.1常用登錄認證方式

3.雙因素安全令牌及認證系統

E-Securer安全身份認證系統是面向安全領域開發的AAA（認證、授權、審計）系統，提供了雙因素（TwoFactor）身份認證、統一授權、集中審計等功能，可以為網絡設備、VPN、主機系統、數據庫系統、WEB服務器、應用服務系統等提供集中的身份認證和權限控制。(1)雙因素身份認證系統組成1)身份認證服務器提供數據存儲、AAA服務、管理等功能，是整個系統的核心部分。

2)雙因素安全令牌（SecureKey）用于生成用戶當前登錄的動態口令，采用加密算法及可靠設計，可防止讀取密碼信息。3)認證代理（AuthenticationAgent）安裝在被保護系統上，被保護系統通過認證代理向認證服務器發送認證請求，從而保證被保護系統身份認證的安全。5.2登錄認證與授權管理圖5-2RSA雙因素安全令牌案例5-3

(2)認證系統功能(3)雙因素身份認證系統的技術特點和優勢

1)雙因素身份認證.系統與安全令牌配合,為用戶提供雙因素認證安全保護

2)基于角色的權限管理.通過用戶與角色的結合,角色與權限的配置,可有針對性的實現用戶的職責分擔,方便靈活配置用戶對資源設備的訪問權限;

3)完善詳細的審計。系統提供用戶認證、訪問的詳細記錄，提供詳細的審計跟蹤信息；

4)高通用性。采用RADIUS、Tacacs+、LDAP等國際標準協議，具有高度的通用性；5)高可靠性。多個協議模塊之間可以實現負載均衡，多臺統一認證服務器之間實現熱備份，認證客戶端可以在多臺服務器之間自動切換；6)E-Securer自動定時數據備份，防止關鍵數據丟失；采用高可用配置，保證持續穩定工作；

7)高并發量。系統采用現今成熟技術設計，選用企業級數據庫系統，并且進行了大量的性能優化，保證系統提供實時認證、高并發量運行；

8)管理界面簡潔易用。采用基于WEB的圖形化管理界面，極大的方便了管理員對系統進行集中的管理、維護、審計工作；

9)開放式體系，產品支持主流操作系統（UNIX、Windows）和網絡設備。5.2登錄認證與授權管理

在某企業網絡系統使用的“VPN接入認證”和“登錄認證”的用戶身份認證子系統中，VPN用戶、網絡資源訪問人員、應用作業操作人員、網絡管理員和系統管理員的各類用戶身份認證應用。主要包括：VPN接入認證、應用軟件登錄認證、主機系統登錄認證、命令授權審計、網絡設備登錄認證、命令授權審計、Windows域登錄認證、LotusDomino登錄認證。5.2登錄認證與授權管理4.認證系統的主要應用案例5-3

在大型企業中，常用多種不同的應用服務器，如ERP、Web服務系統、營銷管理系統、電子郵件系統等，員工經常需要同時訪問多種應用，不同的系統之間的賬戶和要求不同.如圖5-3所示

5.2登錄認證與授權管理5.2.2用戶單次登錄認證1．多次登錄的弊端案例5-3圖5-3不同應用系統的多次登錄

2.單次登入面臨的挑戰

單次登錄（SingleSignOn，SSO）也稱單點登錄，是指用戶只向網絡進行一次身份驗證，以后再無需另外驗證身份，便可訪問所有被授權的網絡資源。SSO面臨的挑戰包括3個方面：1)多種應用平臺。2)不同的安全機制。

3)不同的賬戶服務系統。

3．單次登錄的優點實現單次登錄優點包括：

（1）管理更簡單。（2）管理控制更方便。（3）用戶使用更快捷。（4）網絡更安全。（5）合并異構網絡。

5.2登錄認證與授權管理

某銀行機構的認證與授權管理的目標體系，如圖5-4所示。

5.2登錄認證與授權管理5.2.3銀行認證授權管理應用1.認證與授權管理目標圖5-4認證與授權管理目標體系案例5-6

2.認證授權管理的原則為實現上述的目標，應遵循以下的指導原則：統一規劃管理，分步部署實施

1)進行認證和授權管理的統一規劃，并制訂工作計劃；

2)制訂及維護認證和授權相關業務流程；

3)統一用戶編碼規則，制訂及維護認證憑證政策；

4)確定用戶身份信息的數據源和數據流，并進行數據質量管理；

5)認證和授權分權管理委派；

6)對銀行認證和授權的現狀進行周期性的審計和跟蹤。(2)建立統一信息安全服務平臺,提供統一的身份認證和訪問管理服務(3)保護現有IT投資，并便于未來擴展5.2登錄認證與授權管理討論思考：（1）雙因素身份認證系統的技術特點和優勢有呢些？（2）實現單次登錄SSO對于用戶的優點是什么？（3）認證授權管理的原則是什么？5.3數字簽名技術

數字簽名（DigitalSignature）又稱公鑰數字簽名或電子簽章，是以電子形式存儲于信息中或以附件或邏輯上與之有聯系的數據，用于辨識數據簽署人的身份，并表明簽署人對數據中所包含信息的認可。

基于公鑰密碼體制和私鑰密碼體制都可獲得數字簽名，目前主要是基于公鑰密碼體制的數字簽名。包括普通數字簽名和特殊數字簽名兩種。

5.3.1數字簽名的概念及功能2.數字簽名的方法及功能

保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴行為發生。數字簽名技術是將摘要信息用發送者的私鑰加密，與原文一起傳送給接收者。最終目的是實現6種安全保障功能：（１）必須可信。（２）無法抵賴。（３）不可偽造。（４）不能重用。（５）不許變更。（６）處理快、應用廣。

1.數字簽名的概念5.3.2數字簽名的種類1．手寫簽名或圖章識別

將手寫簽名或印章作為圖像，掃描后在數據庫中加以存儲，當驗證此人的手寫簽名或蓋印時，也用光掃描輸入，并將原數據庫中的對應圖像調出，用模式識別的數學計算方法對將兩者進行比對，以確認該簽名或印章的真偽。

2．生物識別技術

生物識別技術是利用人體生物特征進行身份認證的一種技術。生物特征是一個人與他人不同的唯一表征，它是可以測量、自動識別和驗證的。生物識別系統對生物特征進行取樣，提取其唯一的特征進行數字化處理，轉換成數字代碼，并進一步將這些代碼組成特征模板存于數據庫中。

5.3數字簽名技術

3.密碼、密碼代號或個人識別碼

主要是指用一種傳統的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件，甲方可產生一個隨機碼傳送給乙方，乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方，甲方用同樣的對稱密鑰解密后得到電文并核對隨機碼，如隨機碼核對正確，甲方即可認為該電文來自乙方。4．基于量子力學的計算機

基于量子力學的計算機被稱作量子計算機，是以量子力學原理直接進行計算的計算機。它比傳統的圖靈計算機具有更強大的功能，它的計算速度要比現代的計算機快幾億倍。5．基于PKI的電子簽名

基于PKI的電子簽名被稱作數字簽名。有人稱“電子簽名”就是“數字簽名”，其實這是一般性說法，數字簽名只是電子簽名的一種特定形式。

5.3數字簽名技術

5.3.2數字簽名的種類5.3.3數字簽名過程及實現1.身份認證的實現PKI提供的服務首先是認證，即身份識別與鑒別，就是確認實體即為自己所聲明的實體。認證的前提是雙方都具有第三方CA所簽發的證書，認證分單向認證和雙向認證。1)單向認證。2)雙向認證。2.數字簽名過程網上通信的雙方，在互相認證身份之后，即可發送簽名的數據電文。數字簽名的全過程分兩大部分，即簽名與驗證。數字簽名與驗證的過程和技術實現的原理，如圖5-6所示。

5.3數字簽名技術

圖5-5雙向認證過程

圖5-6數字簽名原理

5.3數字簽名技術

5.3.3數字簽名過程及實現圖5-8數字簽名驗證過程3．數字簽名的操作過程

數字簽名的操作過程如圖5-7所示，需要有發方的簽名證書的私鑰及其驗證公鑰。4．數字簽名的驗證過程

收方收到發方的簽名后進行簽名驗證，其具體操作過程如圖5-8所示。圖5-7數字簽名操作過程5.3.2數字簽名過程及實現5．原文保密的數據簽名的實現方法

上述數字簽名原理中定義的對原文做數字摘要及簽名并傳輸原文，實際上在很多場合傳輸的原文要求保密，不許別人接觸。要求對原文進行加密的數字簽名方法的實現涉及到“數字信封”的問題，此處理過程稍微復雜一些，但數字簽名的基本原理仍相同，其簽名過程如圖5-9所示。5.3數字簽名技術

圖5-9原文加密的數字簽名實現方法討論思考：（1）數字簽名的概念及方法是什么？（2）數字簽名的功能和種類有哪些？（3）數字簽名具體操作過程是什么？5.4訪問控制技術

1.訪問控制的概念及任務

訪問控制（AccessControl）指針對越權使用資源的防御措施，即判斷使用者是否有權限使用、或更改某一項資源，并且防止非授權的使用者濫用資源。目的是限制訪問主體對訪問客體的訪問權限。

訪問控制包含三方面含義：一是機密性控制，保證數據資源不被非法讀出；二是完整性控制，保證數據資源不被非法增加、改寫、刪除和生成；三是有效性控制，保證資源不被非法訪問主體使用和破壞。其主要任務是保證網絡資源不被非法使用和非法訪問，也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制三個要素：（1）主體S（Subject）.是指提出訪問資源具體請求.（2）客體O（Object）.是指被訪問資源的實體。（3）控制策略A（Attribution）。控制規則。

5.4.1訪問控制的概念及內容2.訪問控制的內容訪問控制的實現首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權操作進行管理。

訪問控制的內容包括三個方面：

(1)認證：包括主體對客體的識別認證和客體對主體檢驗認證。

(2)控制策略的具體實現：如何設定規則集合從而確保正常用戶對信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對于合法用戶而言，更不能越權行使控制策略所賦予其權利以外的功能。

(3)安全審計：使系統自動記錄網絡中的“正常”操作、“非正常”操作以及使用時間、敏感信息等。

1.訪問控制的層次一般可以將訪問控制分為2個層次：物理訪問控制和邏輯訪問控制。通常，物理訪問控制包括標準的鑰匙、門鎖和設備標簽等，而邏輯訪問控制則是在數據、應用、系統和網絡等層面實現的。對于銀行、證券等重要金融機構的網站，網絡信息安全重點關注的是邏輯訪問控制，物理訪問控制則主要由其他類型的安全部門完成。2.訪問控制的模式主要的訪問控制模式有三種：(1)自主訪問控制（DAC）(2)強制訪問控制（MAC）(3)基于角色的訪問控制（RBAC）

5.4.2訪問控制的模式及管理3.訪問控制規則(1)訪問者主體對客體訪問可以基于身份,也可基于角色。即“訪問者”可以是身份標識，也可以是角色。從業務角度對系統進行統一的角色定義是實現統一訪問管理的最佳實踐。(2)資源對資源的保護應包括兩個層面：物理層和邏輯層。(3)訪問控制規則

四要素:訪問者(主體),資源(客體),訪問請求和訪問響應.

圖5-10基于角色的訪問控制某金融機構訪問控制實例，給用戶1分配的角色為A（角色維度1）和B(角色維度2)。在訪問的過程中，訪問控制規則引擎查詢授權信息（如ACL），判斷用戶1所具有的訪問權限。當用戶具有角色A的時候，將具有權限1、權限2和權限3；當用戶具有角色B的時候，將具有權限4；當用戶同時具有角色A和B的時候，將具有權限5和權限6。因此，用戶1具有的權限為權限1至權限8。訪問控制規則引擎返回授權信息，實現訪問控制。

案例5-7

4.單點登入的訪問管理

根據登入的應用類型不同,可分為3種類型.1）對桌面資源的統一訪問管理對桌面資源的訪問管理，包括兩個方面：①登入Windows后統一訪問Microsoft應用資源。②登入Windows后訪問其他應用資源。2）Web單點登入由于Web技術體系架構便捷，對Web資源的統一訪問管理易于實現，如圖5-8所示。

圖5-8Web單點登入訪問管理系統

3）傳統C/S結構應用的統一訪問管理在傳統C/S結構應用上,實現管理前臺的統一或統一入口是關鍵.采用Web客戶端作為前臺是企業最為常見的一種解決方案.單點登入5.4訪問控制技術

5.4.3訪問控制的安全策略

訪問控制的安全策略是指在某個自治區域內（屬于某個組織的一系列處理和通信資源范疇）,用于所有與安全相關活動的一套訪問控制規則.其安全策略有三種類型：基于身份的安全策略、基于規則的安全策略和綜合訪問控制方式。1.安全策略實施原則

訪問控制安全策略原則集中在主體、客體和安全控制規則集三者之間的關系。

（1）最小特權原則。（2）最小泄露原則。（3）多級安全策略。

5.4訪問控制技術

2.基于身份和規則的安全策略

授權行為是建立身份安全策略和規則安全策略的基礎，兩種安全策略為：1）基于身份的安全策略

（1）基于個人的安全策略。 （2）基于組的安全策略。2）基于規則的安全策略在此安全策略系統中,所有數據和資源都標注了安全標記,用戶的活動進程與其原發者具有相同的安全標記.5.4訪問控制技術

2.基于身份和規則的安全策略

綜合訪問控制策略（HAC）繼承并吸取多種主流訪問控制技術優點,有效地解決了訪問控制問題,保護數據的保密性和完整性，保證授權主體能訪問客體和拒絕非授權訪問.具有良好靈活性、可維護性,可管理性、更細粒度的訪問控制性和更高安全性。HAC主要包括：（1）入網訪問控制。（2）網絡(資源-服務)的權限控制。（3）目錄級安全控制。（4）屬性安全控制。（5）網絡服務器安全控制。（6）網絡監控和鎖定控制。（7）網絡端口和結點的安全控制。

5.4訪問控制技術

3.綜合訪問控制策略

綜合訪問控制策略（HAC）繼承并吸取多種主流訪問控制技術優點,有效地解決了訪問控制問題,保護數據的保密性和完整性，保證授權主體能訪問客體和拒絕非授權訪問.具有良好靈活性、可維護性,可管理性、更細粒度的訪問控制性和更高安全性。HAC主要包括：（1）入網訪問控制。（2）網絡(資源-服務)的權限控制。（3）目錄級安全控制。（4）屬性安全控制。（5）網絡服務器安全控制。（6）網絡監控和鎖定控制。（7）網絡端口和結點的安全控制。（8）防火墻控制5.4訪問控制技術

4.網上銀行訪問控制的安全策略

為了讓用戶安全、放心地使用網上銀行，通常在網上銀行系統采取了八大安全策略，以全面保護的信息資料與資金的安全。（1）加強證書存貯安全。（2）動態口令卡。（3）先進技術的保障。（4）雙密碼控制，并設定了密碼安全強度。（5）交易限額控制。（6）信息提示，增加透明度。（7）客戶端密碼安全檢測。（8）短信服務5.4訪問控制技術

5.4.4準入控制與身份認證管理1.準入控制技術概述

思科公司和微軟的網絡準入控制NAP其原理和本質一致，不僅對用戶身份進行認證，還對用戶的接入設備進行安全狀態評估（包括防病毒軟件、系統補丁等），使每個接入點AP都具有較高的可信度和健壯性，從而保護網絡基礎設施。華為2005年推出端點準入防御產品。5.4訪問控制技術

2．身份認證管理與準入控制的結合

身份認證技術的發展過程，從軟件到軟硬件結合，從單一因子認證到雙因素認證，從靜態認證到動態認證。目前常用的身份認證方式包括：用戶名/密碼方式、公鑰證書方式、動態口令方式等。采用單獨方式都有優劣。身份認證技術的安全性，關鍵在于組織采取的安全策略。身份認證是網絡準入控制的基礎。

中國教育和科研計算機網緊急響應組（CCERT）開發組，在開發“某大學校園網端口認證系統”的基礎上，多年跟蹤研究準入控制系統。在分析了思科的入控制研究方案后，認為應重點研究獨立于產品廠商的準入控制方案和相關軟件系統。準入控制系統的核心是從網絡接入端點的安全控制入手，結合認證服務器，安全策略服務器和網絡設備，以及第三方的軟件系統（病毒和系統補丁服務器）,完成對接入終端用戶的強制認證和安全策略應用，保障網絡安全。某大學準入控制系統，通過提供綜合管理平臺，對用戶和接入設備進行集中管理,統一實施校園網的安全策略.5.4訪問控制技術

3.準入控制技術方案比較不同廠商準入控制方案在原理上類似，但實現方式各不相同。主要區別4個方面。1）選取協議2）身份認證管理方式3）策略管理4）準入控制

4.某大學準入控制研發及應用

案例5-8討論思考：（1）訪問控制的概念和內容是什么？（2）訪問控制模式主要有哪幾種？（3）訪問控制的安全策略有哪幾種實現方式？

5.4訪問控制技術

5.準入控制技術未來的發展準入控制發展很快，并且出現各種方案整合的趨勢。一方面各主要廠商突出本身的準入控制方案，廠商之間加大了合作力度。思科和微軟都承諾支持對方準入控制計劃，并開放自己的API。另一方面，準入控制標準化工作也在加快。5.5安全審計技術5.5.1安全審計概述

1.安全審計的概念及目的

計算機安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，發現系統漏洞、入侵行為或改善系統性能的過程。也是審查評估系統安全風險并采取相應措施的一個過程。主要作用和目的包括5個方面：（1）對潛在攻擊者起到威懾和警示作用。（2）測試系統的控制情況，及時調整。（3）對已出現的破壞事件，做出評估并提供依據。（4）對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。（5）協助發現入侵或潛在的系統漏洞及隱患。

5.4安全審計概述

2.安全審計的類型

從審計級別上可分為3種類型：（1）系統級審計。主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入后運行程序等事件信息進行審查。（2）應用級審計。主要針對的是應用程序的活動信息。（3）用戶級審計。主要是審計用戶的操作活動信息。

5.4安全審計概述3.安全審計系統的基本結構

安全審計是通過對所關心的事件進行記錄和分析來實現的，因此審計過程包括審計發生器、日志記錄器、日志分析器和報告機制幾部分，如圖5-12所示。

圖5-12審計系統的基本結構5.4安全審計概述5.5.2系統日記審計1.系統日志的內容

系統日志主要根據網絡安全級別及強度要求，選擇記錄部分或全部的系統操作。對于單個事件行為，通常系統日志主要包括：事件發生的日期及時間、引發事件的用戶IP地址、事件源及目的地位置、事件類型等。2.安全審計的記錄機制

對各種網絡系統應采用不同記錄日志機制。記錄方式有3種：由操作系統完成，也可以由應用系統或其他專用記錄系統完成。圖5-13Syslog安全審計的記錄機制5.4安全審計概述

審計系統可成為追蹤入侵、恢復系統的直接證據，其自身的安全性更為重要。審計系統的安全主要包括審計事件查閱安全和存儲安全。保護查閱安全措施：

（1）審計查閱。 （2）有限審計查閱。（3）可選審計查閱。

審計事件的存儲安全要求：

（1）保護審計記錄的存儲。（2）保證審計數據的可用性。 （3）防止審計數據丟失。4.審計事件查閱與存儲

日志分析的主要目的是在大量的記錄日志信息中找到與系統安全相關的數據,并分析系統運行情況.主要任務包括:（1）潛在威脅分析。 （2）異常行為檢測。（3）簡單攻擊探測。 （4）復雜攻擊探測。3.日志分析5.4安全審計概述5.5.3審計跟蹤及應用1.審計跟蹤的概念及意義

審計跟蹤（AuditTrail）指按事件順序檢查、審查、檢驗其運行環境及相關事件活動的過程。主要用于實現重現事件、評估損失、檢測系統產生的問題區域、提供有效的應急災難恢復、防止系統故障或使用不當等方面。

審計跟蹤作為一種安全機制，主要審計目標：（1）審計系統記錄有利于迅速發現系統問題，及時處理事故，保障系統運行。（2）可發現試圖繞過保護機制的入侵行為或其他操作。（3）能夠發現用戶的訪問權限轉移行為。（4）制止用戶企圖繞過系統保護機制的操作事件。5.4安全審計概述

審計跟蹤是提高系統安全性的重要工具.安全審計跟蹤的意義:

（1）利用系統的保護機制和策略，及時發現并解決系統問題，審計客戶行為。

（2）審計信息可以確定事件和攻擊源，用于檢查計算機犯罪。

（3）通過對安全事件的收集、積累和分析，可對其中的某些站點或用戶進行審計跟蹤，以提供發現可能產生破壞性行為的證據。（4）既能識別訪問系統的來源，又能指出系統狀態轉移過程。2.審計跟蹤的主要問題安全審計跟蹤重點考慮：

（1）選擇記錄信息內容。

（2）確定審計跟蹤信息所采用的語法和語義定義。

審計是系統安全策略的一個重要組成部分，貫穿整個系統運行過程中，覆蓋不同的安全機制，為其他安全策略的改進和完善提供必要的信息。5.4安全審計概述5.5.4安全審計的實施為了確保審計實施的可用性和正確性，需要在保護和審查審計數據的同時，做好計劃分步實施.具體實施主要包括：保護審查審計數據及審計步驟。1.保護審計數據應當嚴格限制在線訪問審計日志。

審計數據保護常用方法:用數據簽名和只讀設備存儲數據。審計跟蹤信息的保密性也應進行嚴格保護。2.審查審計數據審計跟蹤的審查與分析可分為事后檢查、定期檢查和實時檢查3種。3.審查工具1）審計精選工具。2）趨勢/差別探測工具。3）攻擊特征探測工具。

5.4安全審計概述5.5.5金融機構審計跟蹤的實施應用1．審計跟蹤系統概述

審計跟蹤系統本身會執行系統方面的策略，如對文件及系統的訪問。對實施這些策略的相關系統配置文件改動的監控十分重要，系統須在相關訪問發生時生成審計記錄。審計跟蹤可提供更詳細記錄。對于重要應用還需對使用者和使用細節進行記錄。系統管理員不僅會對所有的系統和活動進行監控，同時也應選擇記錄某個應用在系統層面上的某個功能。包括審計跟蹤任何試圖登陸的情況，登陸ID、每次登陸嘗試時間和日期、終止登陸時間和日期、使用的設備、登陸成功后使用的功能。

案例5-95.4安全審計概述5.5.5金融機構審計跟蹤的實施應用2．系統安全審計跟蹤的實施1)不同系統在不同情況下審計跟蹤信息所記錄的內容有一定差異2)對在線審計日志的訪問須嚴格控制。3)審計跟蹤信息在保留期限到期后應立即予以刪除和銷毀。4)對于審計跟蹤可以進行事后審核，階段性審核和實時的分析。5)審計跟蹤事后審核。6)審計跟蹤階段性審核。7)實時審計分析。8)審計跟蹤分析的工具。討論思考：（1）安全審計的概念、目的、內容、類型和結構是什么？（2）系統日志的內容主要包括哪些？（3）安全審計跟蹤主要考慮哪幾個方面問題？5.6.1實驗目的

5.6訪問列表與Telnet訪問控制實驗通過對本章身份認證原理與訪問控制技術的系統地學習。掌握在業界應用最為廣泛訪問控制列表技術。為了更好地讓大家熟悉訪問控制列表技術的一般配置方式，本節實驗的主要目的包括：（1）進一步加深對訪問控制列表技術的理解與認識；（2）熟悉CISCO路由器的設置與基本控制操作；（3）進一步了解訪問控制策略的設計方式。5.6.2實驗要求與方法1.實驗環境使用一臺安裝了WindowsXP操作系統的臺式電腦、兩臺CISCO路由器和若干網線。2.注意事項(1)預習準備由于本實驗涉及的一些產品相關的技術概念，尤其是CISCO的IOS操作系統，應當提前做一些了解，以利于對于實驗內容的深刻理解。(2)注意弄懂實驗原理、理解各步驟的含義對于操作的每一步要著重理解其原理，對于訪問控制列表配置過程中的各種命令、反饋及驗證方法等要充分理解其作用和含義。實驗用時：2學時（90-100分鐘）5.6訪問列表與Telnet訪問控制實驗5.5.3實驗內容及步驟

本實驗分為三個步驟完成：連通物理設備、配置路由器訪問控制策略、通過實驗結果驗證結論。（1）連通物理設備將兩臺路由器如圖5-14連通，其中S0與S1之間用串口線連通，只允許R1的loop1能通過ping命令連接R2的loop0；并且在R2上設置telnet訪問控制，只允許R1的loop0能夠遠程登錄，不能使用deny語句。5.6訪問列表與Telnet訪問控制實驗圖5-14訪問列表與telnet訪問實驗拓撲圖5.5.3實驗內容及步驟

對R1與R2的配置如下：R1的配置：R1(config)#interfaceloopback0R1(config-if)#ipaddressR1(config-if)#interfaceloopback1R1(config-if)#ipadressR1(config-if)#interfaces0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#iproute配置缺省路由

R2的配置：R2(config)#interfaceloopback0R2(config-if)#ipaddressR2(config-if)#interfaces1R2(config-if)#ipaddressR2(config-if)#clockrate64000R2(config-if)#noshutdownR2(config)#iproute

配置缺省路由5.6訪問列表與Telnet訪問控制實驗測試網絡連通性：R1#pingProtocol[ip]:TargetIPaddress:Extendedcomm