信息安全模型中国信息安全测评中心注册信息安全专业人员(CISP)知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础知识类:信息安全体系和模型目录安全模型概念访问控制模型信息流模型完整性模型多维模型与安全技术框架安全模型概念访问控制模型信息流模型完整性模型多维模型与安全技术框架1122334455一、安全模型概念模型概念安全策略:描述了系统要被认为是安全和可以接受时,需要满足和达到的目的和目标。安全模型是一份说明,描述正确支持某种安全策略所必须满足的要求。安全模型的分类•按机制分类:访问控制模型、信息流模型等。•按服务分类:保密性、完整性、可用性模型等现有的“安全模型”本质上不是完整的“模型”:仅描述了安全要求(如:保密性),未给出实现要求的任何相关机制和方法。安全模型的特点精确,无歧义简单和抽象,容易理解模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现形式化模型是对现实世界的高度抽象,可以设定具体应用目标,并可以利用工具来验证;形式化模型适用于对信息安全进行理论研究。系统体系架构操作系统所采用的安全机制——保护环(0环、1环、2环、3环)•在内环中执行的进程比在外环中执行的进程有更高的权限•通常处于特权模式或监控模式环0操作系统内核环1操作系统环2环3文件系统驱动程序电子邮件客户端字处理器数据库操作系统工具系统体系架构理念•可信计算基础(TCBTrustComputeBase):计算机系统内部协调工作实现一项安全策略的保护机制的总和。•参考监控器(RMReferenceMonitor):访问控制的概念•安全核心(SKSecuritykernel):实现并增强了RM的概念个人=部件社会=核心法律=参考监控器如果个人走出法律之外,那么就会给社会带来威胁法律的作用就像通过规则实行的一个参考监控器安全模型目标“在功能说明书的安全功能中提供额外保障,以增强TSP策略(TOE安全策略)。”(CC,ADV_SPM类目标).对“TOE应增强的重要安全原则的一个抽象陈述”(ITSEC)及其分析模型作用模型是策略的符号表示安全策略和安全模型之间的关系安全模型明确指定实现安全策略所需的数学公式、关系和结构模型在策略和实现之间建立起一座桥梁安全模型抽象过程Step1:确定外部界面需求(输入,输出,属性)Step2:确定内部需求Step3:设计策略执行的操作规则Step4:确定哪些是已知的Step5:证明一致性和正确性Step6:证明适当性1.4介绍的模型保密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall(非干扰性,非观察性)BibaClark-Wilson二、访问控制模型状态机模型用状态机语言将安全系统描述成抽象的状态机,用状态变量表示系统的状态,用转换规则描述变量变化的过程。状态机模型不可能描述操作系统的所有状态变量只能描述安全操作系统中若干与安全相关的主要状态变量。状态三元组(S,O,M),•——S访问主体集,•——O为访问客体集(可包含S的子集),•——M为访问矩阵,矩阵单元记为M[s,o],表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。状态变迁通过改变访问矩阵M实现。重要安全模型的基础。基本概念主体(Subject):访问操作中的主动实体,客体(Object):访问操作中被动实体,访问矩阵(AccessMatrix):以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第j个客体Oj的访问方式,比如Mij等于{read,write}表示Si可以对Oj进行读和写访问。AC模型类型基本访问控制模型自主访问控制DAC(DiscretionaryAccessControl)保密性与完整性木马程序强制访问控制MAC(MandatoryAccessControl)保密性隐通道基于角色访问控制RBAC管理方式自主访问控制自主访问控制针对访问资源的用户或者应用设置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。特点:根据主体的身份和授权来决定访问模式。缺点:信息在移动过程中,其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。实现机制:ACL(s,o)Capabilities(s,s)强制访问控制特点:1)将主体和客体分级,根据主体和客体的级别标记来决定访问模式。如,绝密级,机密级,秘密级,无密级。2)其访问控制关系分为:上读/下写(保密性),下读/上写(完整性)注:在MAC模型中,系统通过比较主体和客体的安全标签来作访问决策。3)通过梯度安全标签实现单向信息流通模式。4)与DAC相比:强耦合,集中式授权。强制访问控制规定•一般安全属性可分为四个级别:最高秘密级(TopSecret)、秘密级(Secret)、机密级(Confidential)以及无级别级(Unclassified)。规定如下的四种强制访问控制策略:•–下读:用户级别大于文件级别的读操作;•–上写:用户级别低于文件级别的写操作;•–下写:用户级别大于文件级别的写操作;•–上读:用户级别低于文件级别的读操作;这些策略保证了信息流的单向性,上读/下写方式保证了数据的保密性,下读/上写方式则保证了信息的完整性MAC模型-BLP(1/3)¾背景:20世纪70年代,美国的军方使用了采用分时系统的大型主机,他们关心这些系统的安全性,以及分类信息是否会泄露出去,于是就开发出了Bell-Lapadula(BLP)模型。¾BLP模型下,系统的用户具有不同的访问级(绝密、秘密、机密、公开),系统处理的数据也有不同的类别。将主体的访问级同客体的类别进行比较;如果访问级高于或者等于客体的类别,则主体能够访问客体而不会违反安全策略。¾BLP模型的两种规则:上读/下写(保密性)绝密秘密机密公开不能“向上读”不能“向下写”上限下限MAC模型-BLP(2/3)“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。MAC模型-BLP(3/3)注意:Bell-Lapadula模型为了守住秘密;因此,它提供了机密性。这个模型并未解决所维护的数据的完整性。BLP模型的缺点:•它只能处理机密性问题,不能解决完整性问题。•它不能解决访问控制的管理问题,因为没有修改访问权限的机制;•这个模型不能防止或者解决隐蔽通道问题。•这个模型不能解决在较为现代的系统中使用的文件共享问题。MAC模型-CW在信息流处理中,在一些情况下不是阻止信息流从高层流向低层,而是要阻止信息在不同的部分横向流动,这种系统在信息处理系统中占有很大的比例,因此提出了多边安全(MultilateralSecure)的概念。CW(ChineseWall)模型就属于一种多边安全模型。CW模型由Brewer和Nash发布,经常被用于金融机构的信息处理系统,为市场分析家提供更好的服务。与BLP模型不同的是,访问数据不是受限于数据的属性(密级),而是受限于主体获得了对哪些数据的访问权限。CW模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集,并强制所有的主体最多只能访问一个数据集,而选择哪个数据集并未受到强制规则的限制,这种策略无法用BLP模型完整表述。MAC模型-CWChineseWall模型的主要设计思想是将一些可能会产生访问冲突的数据分成不同的数据集(Datasets),并强制所有主体最多只能访问一个数据集,而选择访问哪个数据集并未受强制规则的限制。这种策略无法用BLP模型完整表达。MAC模型-CW中国墙(Chinesewall)模型的主要功能就是防止用户访问被认为是利益冲突的数据。公司A公司B用户自主VS.强制1.自主式太弱2.强制式太强3.二者工作量大,不便管理例,1000主体访问10000客体,须1000万次配置。如每次配置需1秒,每天工作8小时,就需10,000,000/(3600*8)=347.2天RBAC模型角色的概念:角色的抽象定义是指相对于特定的工作活动的一系列行动和职责集合,角色面向于用户组,但不同于用户组,角色包含了用户集和权限集。RBAC特点:角色控制相对独立,根据配置可使某些角色接近DAC,某些角色接近MAC。RBAC被认为本质上仍然是DAC,因为数据所有者可以决定特定的角色或用户组是否可以访问他负责的资源。RBAC模型-优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级RBAC模型的特点基于角色的访问控制(RBAC)•一套可以简化管理的框架权限同角色关联,角色更为稳定用户和适当的角色关联•根据用户在系统里表现的活动性质(activities)而定的,这种活动性质表明用户充当了一定的角色。用户访问系统时,系统必须先检查用户的角色,一个用户可以充当多个角色,一个角色也可以由多个用户担任。•便于授权管理、根据工作需要分级、赋于最小特权、任务分担及文件分级管理•一种有效而灵活的安全措施。但目前这方面的研究及应用还处在探索阶段。•RBAC是一种中立的访问控制策略RBAC与DAC、MAC角色控制相对独立,根据配置可使某些角色接近DAC,某些角色接近MAC。三、信息流模型3.0信息流模型¾信息流模型:不对访问主体与客体实施控制,而是直接控制用户间的信息流。¾这种类型的模型考察的是能够在统计并且是客体之间出现的不安全的信息流,以及不同级别之间的信息流。¾信息被限制在它自己的流中,只流向被批准的安全级,或者从被批准的安全级流出。四、完整性模型4.1完整性类别数据完整性•信息保护,DBMS(如:域,实体,引用,应用语义,并发控制)系统完整性•系统保护,硬件保护,容错技术4.2完整性目标防止被非授权用户修改(保密性)维护内外部的一致性(一致性)防止授权用户不正确的修改(逻辑一致性)4.3完整性原理1标识Identity2约束Constraints3职责Obligation4可审计Accountability5授权Authorization6最小特权LeastPrivilege7权限分离Separation8监视Monitoring9报警Alarms10不可逆Non-ReversibleActions11冗余Redundancy12最小化Minimization变量最小化Variable数据最小化Data目标值最小化TargetValue访问时间最小化AccessTime……完整性模型-BIBABiba1977Biba模型解决了当位于较低安全级内的主体能够向位于较高安全级内的客体写入时,以及主体能够读取较低安全级的数据时,受到威胁的数据的完整性问题。Biba的两条主要规则:•第一条规则“不能向上写”;(一个主体不能把数据写入位于较高完整性级别的客体。)•第二条规则“不能向下读”(主体不能从较低的完整性级别读取数据);完整性模型-BIBA所提出的第一个解决计算机系统完整性的模型;解决了完整性的第一个目标:•防止非授权用户的篡改;¾Bell-Lapadula和Biba的对比¾Bell-Lapadula模型用于提供机密性,Biba模型用于提供完整性。¾Bell-Lapadula和Biba模型都是信息流模