聂 菲

(黑龙江省北安市交通局)

1 安全审计追踪对确保任何网络安全都起了重要的作用

它可以用来检测一个安全策略的正确性,确认与安全策略的一致性,帮助分析攻击,并且收集用于起诉攻击者的证据。安全审计追踪记录了任何可疑的事件(可以产生一个安全警报),也可以记录许多日常事件,如建立和终止连接、使用安全机制和访问敏感资源。同类或不同类的系统都可以检测到被审计的事件,并由系统中的安全审计追踪日志来维护。安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。

在这里讲述的主要标准是安全审计追踪功能(1SO/IEC 10164-8)。因为管理一个安全审计追踪日志的机制基本上与网络管理中的管理任何其他类型的事件日志一样。该标准依赖于以下两个标准——事件报告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC10164-6)。

通知一个安全审计追踪的事件的过程类似于产生一个安全警报报告的过程。它包括一些受管对象对一个M-EVENT-REPORT的调用。一个安全审计追踪日志可以记录事件类型参数指示的几乎任何管理通知,包括ISO/IECl0164 -7中定义的安全警报报告通知。

安全审计追踪功能标准另外定义了两个特殊的通知,分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。传递的参数和这些事件类型基本上与安全警报报告中使用的一样,其中包括任何M-EVENTREPORT通用的参数和任何管理警报通用的参数。服务报告事件类型中定义了一个额外的参数,称为服务报告原因,用于表明报告的原因。这个参数是一个ASN.1对象标识符,也就是说任何人可以定义并注册其值。该标准还定义了一些通用的值:服务请求、拒绝服务、来自服务的回答、服务失败、服务恢复和其他原因。

审计追踪过程的控制和从安全审计追踪中检索实体都独立于上面的通知过程。它们利用了定义在其他标准中的通用过程。事件报告管理功能(1SO/IECl0164-5)为两个系统之间的联系建立了一个长期的事件报告。日志控制功能(1SO/IECl0164-6)支持用于安全审计追踪和其他目的的日志的创建和删除以及这些日志记录的检索。

2 管理资源的访问控制

网络管理有它自己的访问控制要求,有必要控制谁能调用管理功能,谁能创建、删除、修改或读取管理信息。这样的访问控制在任何使用网络管理协议的网络中都是至关重要的,因为对网络管理资源的破坏也就等于破坏了整个网络。

ISO/IECl0164-9标准中讲述了这种类型的访问控制(访问控制中命名了对象和属性)。该标准给出了一个访问控制模型,以及支持系统之间传递访问控制信息所需要的信息对象定义,并使用了访问控制框架标准(1SO/IEC10181-3)中的术语和概念模型。包括各种访问控制策略以及各种访问控制机制(如访问控制列表、能力、安全标识和基于内容的控制)。

访问控制决策应用于管理操作的调用例如M-GET或M=SET。包括的体系结构的部件。,发起者是管理系统(或系统中的管理员),目标是受管系统的信息资源。一个目标可以是受管对象、受管对象的属性、受管对象的属性值或受管对象的行为。因此,可能为管理员提供了一个非常精确的控制级,在这个控制级上管理员可以为某一目的访问某一管理信息。

基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目并且使用CMIP协议来管理(例如,读或写)。

访问控制规则的三种不同类型是有区别的。一个安全区域权威机构根据特定的发起者或发起者类(例如,区域中可辨认的特定角色)用全局规则来保护区域中的所有对象。条目规则是用于特殊目标的特殊规则。当没有合适的全局或条目规则使用时,可使用缺省规则来做访问决策。

当有许多规则用于一个特定的访问请求时,这些规则的优先级如下。

(1)拒绝访问的全局规则。

(2)拒绝访问的条目规则。

(3)允许访问的全局规则。

(4)允许访问的条目规则。

(5)缺省规则。

一个访问控制规则能够基于安全策略所要求的任何决策过程。一个规则的说明书中包含了许多要素,如以下几方面。

(1)访问的许可:指明是与拒绝服务有关还是与允许访问有关的规则。

(2)发起者列表:可应用的发起者列表,以访问控制列表、能力或安全标签形式表示。

(3)目标列表(只用于条目规则):可用的目标(例如,受管对象,属性和属性值)和作用在这些目标上的操作的列表。

(4)时间表:指明这些规则使用的时间点(如只能在规定的上班时间,或从星期一到星期五)。

(5)状态条件:指明使用规则的受管对象的属性的状态(例如,在系统处于诊断状态时才可用)。

(6)认证内容:当要认证发起者时,指明需要认证的等级。

访问控制决策过程:首先,需要验证伴随访问请求出现的任何访问控制信息。需要标识发起者和目标使用的任何访问规则的身份,并根据他们的全局/条目/缺省的意义进行归组。然后根据优先级的限制来使用这些规则。

使用规则的方法取决于所使用的特定的访问控制机制。在访问控制列表机制中,将发起者的标识符与使用的访问控制列表进行比较。在能力机制中,将发起者提供的能力与规则中陈述的能力进行比较。在基于标识的机制中,将与发起者相关的标识与规则所识别的标识集进行比较。还需使用基于内容的检测,如时间表、状态条件或认证级别。作出访问决策后,就有其他一系列的行为发生。决策使用的信息需要暂时保存起来用于以后为相同的发起者作决策(这样的信息被称为保留的访问控制决策信息或保留的ADI)。与目标有关的访问控制信息需要修改,例如如果管理操作导致受管对象的建立或删除。由于依赖于安全策略,因此也有必要生成一个安全警报和安全审计追踪通知。