訪問(wèn)控制和系統(tǒng)審計(jì)

1、Henric Johnson1第9章 訪問(wèn)控制和系統(tǒng)審計(jì)Henric Johnson29.1 計(jì)算機(jī)安全等級(jí)的劃分 James P. Anderson在1972年提出的參考監(jiān)視器(The Reference Monitor)的概念是經(jīng)典安全模型(如圖9-1所示)的最初雛形。 在這里，參考監(jiān)視器是個(gè)抽象的概念，可以說(shuō)是安全機(jī)制的代名詞。Henric Johnson3參考監(jiān)視器主體訪問(wèn)請(qǐng)求客體允許的訪問(wèn)I&A子系統(tǒng)審計(jì)子系統(tǒng)授權(quán)數(shù)據(jù)庫(kù)圖9-1 經(jīng)典安全模型 身份識(shí)別與驗(yàn)證子系統(tǒng)Henric Johnson49.1 計(jì)算機(jī)安全等級(jí)的劃分 經(jīng)典安全模型包含如下基本要素： (1) 明確定義的主體

2、和客體； (2) 描述主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)； (3) 約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器； (4) 識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)； (5) 審計(jì)參考監(jiān)視器活動(dòng)的審計(jì)子系統(tǒng)。 安全機(jī)制有身份認(rèn)證、訪問(wèn)控制和審計(jì)Henric Johnson5安全管理員安全策略參考監(jiān)視器主體/角色認(rèn)證授權(quán)客體審計(jì)圖9-2 安全機(jī)制Henric Johnson69.1 計(jì)算機(jī)安全等級(jí)的劃分 1985年，美國(guó)國(guó)防部發(fā)表了可信計(jì)算機(jī)評(píng)估準(zhǔn)則(縮寫為TCSEC)6，它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了四類七個(gè)安全等級(jí)。依照各類、級(jí)的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級(jí)。He

3、nric Johnson79.1 計(jì)算機(jī)安全等級(jí)的劃分 D級(jí)最低安全保護(hù)(Minimal Protection)。沒(méi)有任何安全性防護(hù)，如DOS和Windows 95/98等操作系統(tǒng) C1級(jí)自主安全保護(hù)(Discretionary Security Protection)。這一級(jí)的系統(tǒng)必須對(duì)所有的用戶進(jìn)行分組；每個(gè)用戶必須注冊(cè)后才能使用；系統(tǒng)必須記錄每個(gè)用戶的注冊(cè)活動(dòng)；系統(tǒng)對(duì)可能破壞自身的操作將發(fā)出警告。Henric Johnson89.1 計(jì)算機(jī)安全等級(jí)的劃分 C2級(jí)可控訪問(wèn)保護(hù)(Controled Access Protection)。在C1級(jí)基礎(chǔ)上，增加了以下要求：所有的客體都只有一個(gè)主體

4、；對(duì)于每個(gè)試圖訪問(wèn)客體的操作，都必須檢驗(yàn)權(quán)限；有且僅有主體和主體指定的用戶可以更改權(quán)限；管理員可以取得客體的所有權(quán)；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對(duì)所有的操作進(jìn)行記錄，并且只有管理員和由管理員指定的用戶可以訪問(wèn)該記錄。SCO UNIX 和 Windows NT 屬于C2級(jí)。Henric Johnson99.1 計(jì)算機(jī)安全等級(jí)的劃分 B1級(jí)標(biāo)識(shí)的安全保護(hù)(Labeled Security Protection)。在C2的基礎(chǔ)上，增加以下幾條要求：不同組的成員不能訪問(wèn)對(duì)方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權(quán)。Windows NT的定制版本可以達(dá)到B

5、1級(jí)。 B2級(jí)結(jié)構(gòu)化保護(hù)(Structured Protection)。在B1的基礎(chǔ)上，增加以下幾條要求：所有的用戶都被授予一個(gè)安全等級(jí)；安全等級(jí)較低的用戶不能訪問(wèn)高等級(jí)用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達(dá)到B2級(jí)。Henric Johnson109.1 計(jì)算機(jī)安全等級(jí)的劃分 B3級(jí)安全域保護(hù)(Security Domain)。在B2的基礎(chǔ)上，增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。 A1級(jí)可驗(yàn)證設(shè)計(jì)(Verified Design)。在B3的基礎(chǔ)上，增加以下要求：系統(tǒng)的整體安全策略一經(jīng)建立便不能修改。Henric Johnson119.

6、1 計(jì)算機(jī)安全等級(jí)的劃分 1999年9月13日，我國(guó)頒布了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB178591999)，定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí) 第一級(jí)：用戶自主保護(hù)級(jí)； 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)； 第三級(jí)：安全標(biāo)記保護(hù)級(jí)； 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)； 第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。Henric Johnson129.2 訪 問(wèn) 控 制 9.2.1 基本概念 訪問(wèn)控制(Access Control)是指對(duì)主體訪問(wèn)客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程(存取控制)。 在訪問(wèn)控制中，主體是指必須被控制對(duì)客體的訪問(wèn)的活動(dòng)資源，它是訪問(wèn)

7、的發(fā)起者，通常為進(jìn)程、程序或用戶。 客體則是指對(duì)其訪問(wèn)必須進(jìn)行控制的資源，客體一般包括各種資源，如文件、設(shè)備、信號(hào)量等。 保護(hù)規(guī)則，它定義了主體與客體之間可能的相互作用途徑。Henric Johnson139.2 訪 問(wèn) 控 制 9.2.1 基本概念 保護(hù)域 每一主體(進(jìn)程)都在一特定的保護(hù)域下工作，保護(hù)域規(guī)定了進(jìn)程可以訪問(wèn)的資源。每一域定義了一組客體及可以對(duì)客體采取的操作?？蓪?duì)客體操作的能力稱為訪問(wèn)權(quán)(Access Right)，訪問(wèn)權(quán)定義為有序?qū)Φ男问健?一個(gè)域是訪問(wèn)權(quán)的集合。Henric Johnson14保護(hù)域 X保護(hù)域 Y圖9-3 有重疊的保護(hù)域Henric Johnson159.2

8、 訪 問(wèn) 控 制 9.2.1 基本概念 訪問(wèn)控制 自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制 基于角色的訪問(wèn)控制Henric Johnson169.2 訪 問(wèn) 控 制 9.2.1 基本概念 訪問(wèn)控制 自主訪問(wèn)控制 根據(jù)訪問(wèn)者的身份和授權(quán)來(lái)決定訪問(wèn)模式的 強(qiáng)制訪問(wèn)控制 將主體和客體分級(jí)，然后根據(jù)主體和客體的級(jí)別標(biāo)記來(lái)決定訪問(wèn)模式?！皬?qiáng)制”主要體現(xiàn)在系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略上。 基于角色的訪問(wèn)控制 授權(quán)給用戶的訪問(wèn)權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。它根據(jù)用戶在組織內(nèi)所處的角色作出訪問(wèn)授權(quán)和控制，但用戶不能自主地將訪問(wèn)權(quán)限傳給他人。Henric Johnson179.2 訪 問(wèn) 控 制 9.2.2 自

9、主訪問(wèn)控制 自主，是指具有授與某種訪問(wèn)權(quán)力的主體(用戶)能夠自己決定是否將訪問(wèn)權(quán)限授予其它的主體。 安全操作系統(tǒng)需要具備的特征之一就是自主訪問(wèn)控制，它基于對(duì)主體及主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的存取。在大多數(shù)的操作系統(tǒng)中，自主訪問(wèn)控制的客體不僅僅是文件，還包括郵箱、通信信道、終端設(shè)備等。Henric Johnson189.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 存取模式主要有：讀(read)，即允許主體對(duì)客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行.Henric Johnson

10、199.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 在許多操作系統(tǒng)當(dāng)中，對(duì)文件或者目錄的訪問(wèn)控制是通過(guò)把各種用戶分成三類來(lái)實(shí)施的：屬主(self)、同組的其它用戶(group)和其它用戶(public)。 每個(gè)文件或者目錄都同幾個(gè)稱為文件許可(File Permissions)的控制比特位相關(guān)聯(lián)。各個(gè)文件許可位的含義通常如圖9-4所示。Henric Johnson20r讀wx寫執(zhí)行r讀wx寫執(zhí)行r讀wx寫執(zhí)行屬主組內(nèi)其它圖9-4 self/group/public訪問(wèn)控制Henric Johnson219.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 1) 目錄表(Director

11、y List) 在目錄表訪問(wèn)控制方法中借用了系統(tǒng)對(duì)文件的目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪問(wèn)操作的主體，建立一個(gè)能被其訪問(wèn)的“客體目錄表(文件目錄表)”。例如某個(gè)主體的客體目錄表可能為客體1:權(quán)限客體2:權(quán)限客體i:權(quán)限客體j:權(quán)限客體n:權(quán)限Henric Johnson229.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 1) 目錄表(Directory List) 目錄表訪問(wèn)控制機(jī)制的優(yōu)點(diǎn)是容易實(shí)現(xiàn)，每個(gè)主體擁有一張客體目錄表，這樣主體能訪問(wèn)的客體及權(quán)限就一目了然了，依據(jù)該表對(duì)主體和客體的訪問(wèn)與被訪問(wèn)進(jìn)行監(jiān)督比較簡(jiǎn)便。 缺點(diǎn)之一是系統(tǒng)開銷、浪費(fèi)較大，這是由于每個(gè)用戶都有一張目錄表，如

12、果某個(gè)客體允許所有用戶訪問(wèn)，則將給每個(gè)用戶逐一填寫文件目錄表，因此會(huì)造成系統(tǒng)額外開銷；二是由于這種機(jī)制允許客體屬主用戶對(duì)訪問(wèn)權(quán)限實(shí)施傳遞并可多次進(jìn)行，造成同一文件可能有多個(gè)屬主的情形，各屬主每次傳遞的訪問(wèn)權(quán)限也難以相同，甚至可能會(huì)把客體改用別名，因此使得能越權(quán)訪問(wèn)的用戶大量存在，在管理上繁亂易錯(cuò)。Henric Johnson239.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 2) 訪問(wèn)控制列表(Access Control List) 從客體角度進(jìn)行設(shè)置的、面向客體的訪問(wèn)控制。每個(gè)客體有一個(gè)訪問(wèn)控制列表，用來(lái)說(shuō)明有權(quán)訪問(wèn)該客體的所有主體及其訪問(wèn)權(quán)限。Henric Johnson24

13、Jane可以讀文件可以寫文件PAYROLL文件訪問(wèn)控制列表:jane可以讀和寫john可以讀不能讀文件不能寫文件Sam可以讀文件不能寫文件John圖9-5 訪問(wèn)控制列表的DACHenric Johnson259.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 2) 訪問(wèn)控制列表(Access Control List) 優(yōu)點(diǎn)就是能較好地解決多個(gè)主體訪問(wèn)一個(gè)客體的問(wèn)題，不會(huì)像目錄表訪問(wèn)控制那樣因授權(quán)繁亂而出現(xiàn)越權(quán)訪問(wèn)。 缺點(diǎn)是由于訪問(wèn)控制列表需占用存儲(chǔ)空間，并且由于各個(gè)客體的長(zhǎng)度不同而出現(xiàn)存放空間碎片，造成浪費(fèi)；每個(gè)客體被訪問(wèn)時(shí)都需要對(duì)訪問(wèn)控制列表從頭到尾掃描一遍，影響系統(tǒng)運(yùn)行速度和浪費(fèi)

14、了存儲(chǔ)空間。Henric Johnson269.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 3) 訪問(wèn)控制矩陣(Access Control Matrix) 訪問(wèn)控制矩陣是對(duì)上述兩種方法的綜合。存取控制矩陣模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換進(jìn)行定義的，系統(tǒng)和狀態(tài)用矩陣表示，狀態(tài)的轉(zhuǎn)換則用命令來(lái)進(jìn)行描述。直觀地看，訪問(wèn)控制矩陣是一張表格，每行代表一個(gè)用戶(即主體)，每列代表一個(gè)存取目標(biāo)(即客體)，表中縱橫對(duì)應(yīng)的項(xiàng)是該用戶對(duì)該存取客體的訪問(wèn)權(quán)集合(權(quán)集)。圖9-6是訪問(wèn)控制矩陣原理的簡(jiǎn)單示意圖。 Henric Johnson27目標(biāo)3讀寫目標(biāo)1讀執(zhí)行目標(biāo)2讀寫用戶1用戶2用戶3目標(biāo)主體圖9-6 訪

15、問(wèn)控制矩陣原理示意圖Henric Johnson289.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 具體實(shí)施 4) 能力表(Capability List) 能力表是訪問(wèn)控制矩陣的另一種表示方式。在訪問(wèn)控制矩陣表中可以看到，矩陣中存在一些空項(xiàng)(空集)，這意味著有的用戶對(duì)一些客體不具有任何訪問(wèn)或存取的權(quán)力，顯然保存這些空集沒(méi)有意義。能力表的方法是對(duì)存取矩陣的改進(jìn)，（錯(cuò)誤），（錯(cuò)誤）它將矩陣的每一列作為一個(gè)客體而形成一個(gè)存取表。每個(gè)存取表只由主體、權(quán)集組成，無(wú)空集出現(xiàn)。為了實(shí)現(xiàn)完善的自主訪問(wèn)控制系統(tǒng)，由訪問(wèn)控制矩陣提供的信息必須以某種形式保存在系統(tǒng)中，這種形式就是用訪問(wèn)控制表和能力表來(lái)實(shí)施的。H

16、enric Johnson299.2 訪 問(wèn) 控 制 9.2.2 自主訪問(wèn)控制 在自主訪問(wèn)控制中，具有某種訪問(wèn)權(quán)的主體能夠自行決定將其訪問(wèn)權(quán)直接或間接地轉(zhuǎn)交給其它主體。自主訪問(wèn)控制允許系統(tǒng)的用戶對(duì)于屬于自己的客體，按照自己的意愿，允許或者禁止其它用戶訪問(wèn)。在基于DAC的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問(wèn)權(quán)限。也就是說(shuō)，主體擁有者對(duì)訪問(wèn)的控制有一定權(quán)利。但正是這種權(quán)利使得信息在移動(dòng)過(guò)程中，其訪問(wèn)權(quán)限關(guān)系會(huì)被改變。如用戶A可以將其對(duì)客體目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問(wèn)權(quán)限的B也可以訪問(wèn)O，這樣做很容易產(chǎn)生安全漏洞，所以自主訪問(wèn)控制的安全級(jí)別很低。Henric Johnson309.

17、2 訪 問(wèn) 控 制 9.2.3 強(qiáng)制訪問(wèn)控制 強(qiáng)制訪問(wèn)控制(Mandatory Access Control，MAC)是根據(jù)客體中信息的敏感標(biāo)簽和訪問(wèn)敏感信息的主體的訪問(wèn)等級(jí)，對(duì)客體的訪問(wèn)實(shí)行限制的一種方法。 主要用于保護(hù)那些處理特別敏感數(shù)據(jù)(例如，政府保密信息或企業(yè)敏感數(shù)據(jù))的系統(tǒng)。在強(qiáng)制訪問(wèn)控制中，用戶的權(quán)限和客體的安全屬性都是固定的，由系統(tǒng)決定一個(gè)用戶對(duì)某個(gè)客體能否進(jìn)行訪問(wèn)。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。Henric Johnson319.2 訪 問(wèn) 控 制 9.2.3 強(qiáng)制訪問(wèn)控制

18、所謂“強(qiáng)制訪問(wèn)控制”，是指訪問(wèn)發(fā)生前，系統(tǒng)通過(guò)比較主體和客體的安全屬性來(lái)決定主體能否以他所希望的模式訪問(wèn)一個(gè)客體。 強(qiáng)制訪問(wèn)控制的實(shí)質(zhì)是對(duì)系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感標(biāo)簽(Sensitivity Label)。用戶的敏感標(biāo)簽指定了該用戶的敏感等級(jí)或者信任等級(jí)，也被稱為安全許可(Clearance)；而文件的敏感標(biāo)簽則說(shuō)明了要訪問(wèn)該文件的用戶所必須具備的信任等級(jí)。Henric Johnson329.2 訪 問(wèn) 控 制 9.2.3 強(qiáng)制訪問(wèn)控制 只要系統(tǒng)支持強(qiáng)制訪問(wèn)控制，那么系統(tǒng)中的每個(gè)客體和主體都有一個(gè)敏感標(biāo)簽同它相關(guān)聯(lián)。敏感標(biāo)簽由兩個(gè)部分組成：類別(Classification)和類

19、集合(Compartments)(有時(shí)也稱為隔離間)。例如:SECRET VENUS, TANK, ALPHAClassification CategoriesHenric Johnson33敏感標(biāo)簽：SECRETVENUS ALPHAJaneSECRETALPHA不能讀文件可以寫文件TOP SECRETVENUS TANK ALPHA可以讀文件不能寫文件JohnLOGISTIC文件圖9-7 強(qiáng)制訪問(wèn)控制Henric Johnson349.2 訪 問(wèn) 控 制 9.2.3 強(qiáng)制訪問(wèn)控制 特點(diǎn)： 強(qiáng)制性 限制性Henric Johnson359.2 訪 問(wèn) 控 制 9.2.4 基于角色的訪問(wèn)控制

20、核心思想： 授權(quán)給用戶的訪問(wèn)權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定，如圖9-8所示。在RBAC中，引入了“角色”這一重要的概念，所謂“角色”，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁。這是與傳統(tǒng)的訪問(wèn)控制策略的最大區(qū)別所在。Henric Johnson36主體角色客體圖9-8 基于角色的訪問(wèn)控制Henric Johnson379.2 訪 問(wèn) 控 制 9.2.4 基于角色的訪問(wèn)控制 五個(gè)特點(diǎn)： 1) 以角色作為訪問(wèn)控制的主體 2) 角色繼承Henric Johnson38角色3角色4角色2角色1包含包含包含圖9-9 角色繼承Henri

21、c Johnson399.2 訪 問(wèn) 控 制 9.2.4 基于角色的訪問(wèn)控制 五個(gè)特點(diǎn)： 3) 最小特權(quán)原則(Least Privilege Theorem) 最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。 4) 職責(zé)分離(主體與角色的分離) 對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作?！奥氊?zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。 靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色

22、與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。 動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。Henric Johnson409.2 訪 問(wèn) 控 制 9.2.4 基于角色的訪問(wèn)控制 五個(gè)特點(diǎn)： 5) 角色容量 在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。 優(yōu)點(diǎn) 便于授權(quán)管理、便于根據(jù)工作需要分級(jí)、便于賦于最小特權(quán)、便于任務(wù)分擔(dān)、便于文件分級(jí)管理、便于大規(guī)模實(shí)現(xiàn)。Henric Johnson419.3 系 統(tǒng) 審 計(jì) 可信系統(tǒng)定義為：“能夠提供足夠的硬件和軟件，以確保系統(tǒng)同時(shí)處理一定范圍內(nèi)的敏感或分級(jí)信息”

23、。因此，可信系統(tǒng)主要是為軍事和情報(bào)組織在同一計(jì)算機(jī)系統(tǒng)中存放不同敏感級(jí)別(通常對(duì)應(yīng)于相應(yīng)的分級(jí))信息而提出的。 審計(jì)機(jī)制被納入可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(“橙皮書”)中，作為對(duì)C2及C2以上級(jí)系統(tǒng)的要求的一部分。Henric Johnson429.3 系 統(tǒng) 審 計(jì) 9.3.1 審計(jì)及審計(jì)跟蹤 審計(jì)(Audit)是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程。 是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及其以上安全級(jí)別的計(jì)算機(jī)系統(tǒng)來(lái)講，審計(jì)功能是其必備的安全機(jī)制。 審計(jì)是其它安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過(guò)程，從身份認(rèn)證到訪問(wèn)控制這些都離不開審計(jì)。同時(shí)，審計(jì)還是后來(lái)人們研究的入侵檢測(cè)系統(tǒng)的前提。Henric Johnson439.3 系 統(tǒng) 審 計(jì) 9.3.1 審計(jì)及審計(jì)跟蹤 計(jì)算機(jī)系統(tǒng)的審計(jì)機(jī)制的安全目標(biāo) 審查基于每個(gè)目標(biāo)或每個(gè)用戶的訪問(wèn)模式，并使用系統(tǒng)的保護(hù)機(jī)制。 發(fā)現(xiàn)試圖繞過(guò)保護(hù)機(jī)制的外部人員和內(nèi)部人員。 發(fā)現(xiàn)用戶從低等級(jí)到高等級(jí)的訪問(wèn)權(quán)限轉(zhuǎn)移。 制止用戶企圖繞過(guò)系統(tǒng)保護(hù)機(jī)制的嘗試。 作為另一種機(jī)制確保記錄并發(fā)現(xiàn)用戶企圖繞過(guò)保護(hù)的嘗試，為損失控制提供足夠的信息。Henric Johnson449.3 系 統(tǒng) 審 計(jì) 9.3.2 安全審計(jì) 安全審計(jì)跟蹤機(jī)制的價(jià)值在于：經(jīng)過(guò)事后的安全審計(jì)可以檢測(cè)