CISP信息安全模型

目录一．概述二．信息安全模型简介三．多维模型与安全技术框架一、概述目录一．概述二．信息安全模型简介三．多维模型与安全技术框架信息安全保障框架知识类：信息安全体系和模型知识体系概述安全模型安全体系知识类（PT）知识体（BD）知识域（KA）信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型安全目的信息安全终极目的•在系统实现过程中，对组织、合作伙伴、及其客户的IT相关风险给出应有的关心考虑，从而促使组织实现其使命/业务（Mission/Business）的全部目的。安全目标•可用性（Availability）•完整性（Integrity）•保密性（Confidentiality）模型概念安全模型用于精确和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。按机制分类：访问控制模型、信息流模型等。按服务分类：机密性、完整性、可用性模型等但“安全模型”的表达能力有其局限性，通常的模型是形式语法多于形式语义，甚至只是自然语言的描述。信息安全模型安全模型的作用•能准确地描述安全的重要方面与系统行为的关系。•能提高对成功实现关键安全需求的理解层次。•从中开发出一套安全性评估准则，和关键的描述变量。建立安全模型的方法（从模型所控制的对象）•信息流模型：主要着眼于对客体之间的信息传输过程的控制。（处于理论阶段）•访问控制模型：从访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。安全模型的发展1965，失败的Multics操作系统1973，Bell和LaPadula的BLP模型1977，K.J.Biba提出了与BLP异曲同工的Biba模型，Biba模型支持的是信息的完整性第一个可以实际投入使用安全操作系统是Adept-50；随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLASecureUNIX、KSOS和PSOS。模型访问控制模型信息流模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（CapacityList）实现多级环境多边环境静态动态Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型BMA模型保密性完整性基于角色访问控制模型（RBAC）二、信息安全模型简介目录一．概述二．信息安全模型简介三．多维模型与安全技术框架信息安全模型分类信息流模型和访问控制模型多级安全模型•Bell-Lapadula模型（1973）•Clark-Wilson模型（1987）•Biba模型（1977）多边安全模型•Chinesewall模型•BMA模型（1995）信息流模型模型简介•主要着眼于对客体之间的信息传输过程的控制。•信息流模型需要遵守的安全规则是：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高的状态。•信息流模型实现的关键在于对系统的描述，即对模型进行彻底的信息流分析，找出所有的信息流，并根据信息流安全规则判断其是否为异常流，若是就反复修改系统的描述或模型，直到所有的信息流都不是异常流为止。模型的缺点•需要制定输入输出的安全性规范•信息流模型对具体的实现只能提供较少的帮助和指导多级安全模型多级安全模型最初使用在军用系统和数据库系统中。它通常把密级由低到高分为开放级、秘密级、机密级和绝密级。它使不同的密级包含不同的信息。它确保每一密级的信息仅能让那些具有高于或等于该级权限的人使用。强制访问控制模型特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：下写/上读，下读/上写（完整性）（保密性）3）通过梯度安全标签实现单向信息流通模式。4）强耦合，集中式授权。多级安全模型BLP模型模型简介•该模型是可信系统的状态-转换模型。•定义所有可以使系统获得“安全”的状态集合，检查所有状态的变化均开始于一个“安全状态”并终止于另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。•该模型是一种机密性访问控制的状态机模型。模型定义的主客体访问规则•模型使用状态来表示系统中主体对客体的访问方式。•高级别的“可下读，不可下写”；•低级别的“可上写，不可上读”。BLP模型的缺点•只定义了主体对客体的访问，未说明主体对主体的访问，因此该模型无法应用于网络。•该模型不能很好应对隐蔽通道问题。应用中的问题•内存管理能够在所有级别进行读和写，在实际应用中有悖于模型本身。除了对它进行“可信假设”外别无他法。•当低级别数据写入高级别程序时（即上写），由于模型的限制，低级别主体无法得到任何反馈，仿佛碰到了“黑洞”一般。•文件管理中，重名导致的信息泄露问题。而分立的系统使得BLP显得多余。•同样数据库系统中，如果高级别用户发送了一批机密货物到轮船上，而系统不会把这个信息传递给低级别用户（否则就是泄密），那么低级别用户将会认为船是空的，并分配其他货物或改变航行的目的地。多级安全模型Clark-Wilson模型模型简介•它偏重于满足商业应用的安全需求。•它着重研究信息和系统的完整性保护。信息的完整性：是指系统中信息的质量、正确性、真实性和精确性。系统的完整性：是指对信息资源成功且正确的操作。•信息的完整性保护组织完善的事务（Well-formedtransaction）：用户不能随意处理信息，只能在限定的权限和范围内进行。清晰的责任划分（Separationofduty）：一项任务需要两个以上的人完成，需要进行任务划分，避免个人欺骗行为。•系统的完整性保护防止非授权修改维护内部与外部的一致性访问授权但不恰当的修改数据分类•被限制数据（CDI），完整性保护的客体。•非限制数据（UDI），不需保护的客体。访问控制方法•定义可以针对每一个数据（数据类型）完成的访问操作（转换过程）；•定义可以由主体（角色）完成的访问操作。保护方法•完整性确认过程（IVP）：确认数据处于一种有效状态。•转换过程（TP）：将数据从一种有效状态改变到另一种有效状态。•如果只有一个转换过程能够改变数据，则该数据是完整的。•完整性系统记录所有转换过程，并提供对数据改变的审计跟踪。实践中，Clark和Wilson提出完整性监控（“证明规则”）和完整性保持（“强制规则”）来实现。前者由管理员来执行，后者由系统来保证。多级安全模型Biba模型模型简介•涉及计算机完整性的第一个模型•一个计算机系统由多个子系统组成•子系统是按照功能或权限将系统（主体和客体）进行划分的•在子系统级进行评估系统的完整性•系统完整性威胁来源内部威胁：子系统的一个组件是恶意的/不正确的。外部威胁：一个子系统通过提供错误数据/不正确的函数调用来修改另一个子系统。•Biba认为可以通过程序测试和检验来消除内部威胁，因此，该模型仅针对外部模型。完整性策略•最低点策略•针对客体的最低点策略•最低点完整性审计策略•Ring策略•严格的完整性策略Biba模型的缺点•Biba定义的完整性只是一个相对的，而不是绝对的度量。没有使用明确的属性来判断系统是否拥有完整性。•它没有关于明确的信息分级的标准。多边安全模型信息结构多边安全控制模型控制数据在A、B、C、D、E之间的流动。多边安全模型ChineseWall模型模型简介•访问数据不是受限于数据的属性（密级），而是受限于主体已经获得了对哪些数据的访问权限。•将一些可能会产生访问冲突的数据分成不同的数据集，并规定所有主体最多只能访问一个数据集。而不限制到底选择访问哪个数据集。模型安全策略•主体只能访问那些与已经拥有的信息不冲突的信息。•一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体，或在不同兴趣冲突组中的信息。•在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集。模型举例有公司A、B，数据类型分为石油业务数据、银行数据组划分访问控制•第一次访问是自由的，不妨设为A石油业务数据集；•可以访问A金融数据集；•不可以访问B石油数据集。总结：1）可以访问与主体曾经访问过的信息同属于同一个公司的数据集，即墙内信息；2）可以访问一个完全不同的兴趣冲突组。多边安全模型BMA模型简介•英国医学会（BMA）提出的。•由客体同意哪些主体可以有条件地查看并使用客体信息。•保证客体信息的完整性和可用性。BMA安全策略主要原理•访问控制表——每一份病历记录都有一个访问控制表标记，用以说明可以读取和添加数据的人和组。•打开记录——医生可以打开访问控制列表中与他有关的病人的病历。需要经过病人委托。•控制——在每个访问控制列表中必须有一个是可信的，只有他才能对病历进行写入。•同意和通报——可靠的医生在打开病历时，应将访问控制列表中的名字、后续条件、可靠性的传递通知病人。•持续性——任何人都不能删除病历记录，除非它已过期。•日志——记录对病历记录的全部访问。•可信计算——处理以上原理的计算机应该有一个有效的方法实现，实现方法需要由独立专家评估。自主访问控制特点：根据主体的身份和授权来决定访问模式。与MAC相比：松耦合，分布式授权缺点：信息在移动过程中，其访问权限关系会被改变。实现机制：访问控制列表ACL(s,o)；权能列表Capabilities（s,s)三、多维模型与安全技术框架目录一．概述二．信息安全模型简介三．多维模型与安全技术框架多维安全模型安全服务抗抵赖可鉴别保密性完整性可用性信息状态安全措施处理存储传输技术人员运行IATF技术框架安全策略安全管理安全管理安全管理安全管理IATF安全目标可用性：•合法用户的正常请求能及时、正确、安全地得到服务或回应。完整性：•信息在存储和传输时不被篡改、破坏，或避免信息包的丢失、乱序等不破坏信息的正确性和完整性。保密性：•静态信息防止非授权访问和/或动态信息防止被窃听、解密。可靠性：•指信息的可信度，包括信息完整性、准确性和发送人的身份的可信度。IATF保护对象和技术网络和基础设施的防御•骨干网可用性•无线网安全框架•VPN和紧耦合连接边界防御•网络访问控制•远程访问•多级别安全计算环境防御•端用户环境•应用系统安全支撑性基础设施•KMI/PKI•监视和响应基于OSI的安全体系结构OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖五种安全服务鉴别：•提供对通信中的对等实体和数据来源的鉴别。访问控制：•提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据保密性：•对数据提供保护使之不被非授权地泄露数据完整性：•对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：•可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。八种安全机制（1）加密：•加密既能为数据提供保密性，也能为通信业务流信息提供保密性。数字签名：•确定两个过程：对数据单元签名和验证签过名的数据单元。访问控制：•为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。数据完整性：•包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。八种安全机制（2）鉴别交换机制：•可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。通信业务填充机制：