深入分析比较八个信息安全模型信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI安全体系结构:ISO7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T9387.2-1995》。ISO7498-2安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。ISO7498-2安全体系结构针对的是基于OSI参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO7498-2体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。P2DR模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(AdaptiveNetworkSecurityModel)。P2DR代表的分别是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。按照P2DR的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,因而可以用时间尺度来衡量一个体系的能力和安全性。PDRR模型,或者叫PPDRR(或者P2DR2),与P2DR非常相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中,安全策略、防护、检测、响应和恢复共同构成了完整的安全体系,利用这样的模型,任何信息安全问题都能得以描述和解释。当信息安全发展到信息保障阶段之后,人们越发认为,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)就是在这种背景下诞生的。IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于,它首次提出了信息保障依赖于人、操作和技术来共同实现组织职能/业务运作的思想,对技术/信息基础设施的管理也离不开这3个要素。IATF认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。尽管IATF提出了以人为核心的思想,但整个体系的阐述还是以技术为侧重的,对于安全管理的内容则很少涉及。所以,与其说IATF为我们提供了全面的信息安全体系模型,如说为我们指出了设计、构建和实施信息安全解决方案的一个技术框架信息安全体系建设与服务过程(ISMG-002),它为我们概括了信息安全应该关注的领域和范围、途径和方法、可选的技术性措施,但并没有指出信息安全最终的表现形态,这和P2DR、PDRR等模型有很大区别。BS7799是英国标准协会(BritishStandardsInstitute,BSI)制定的关于信息安全管理方面的标准,它包含两个部分:第一部分是被采纳为ISO/IEC17799:2000标准的信息安全管理实施细则(CodeofPracticeforInformationSecurityManagement),它在10个标题框架下列举定义127项作为安全控制的惯例,供信息安全实践者选择使用;BS7799的第二部分是建立信息安全管理体系(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。作为一套管理标准,BS7799-2指导相关人员怎样去应用ISO/IEC17799,其最终目的还在于建立适合企业需要的信息安全管理体系(ISMS)。单从安全体系作为信息安全建设指导蓝图和目标的作用来看,之前的几种体系或模型都或多或少存在一些不足,ISO7498-2就不多说,即使是目前较为流行的P2DR和PDRR模型,侧重的也只是安全体系的技术环节,并没有阐述构成信息安全的几个关键要素。至于IATF,虽然明确指出信息安全的构成要素,但它只是提供了一个用来选择技术措施的框架并没有勾画出一个安全体系的目标形态。同样的,BS7799标准虽然完全侧重于信息安全管理,但它所要求的信息安全管理体系(ISMS)也没有明确的目标形态。这里,我们提出了一种新的安全体系模型,即P2OTPDR2模型。实际上这是一个将IATF核心思想与PDRR基本形态结合在一起的安全体系模型,符合我们对信息安全体系设计的基本要求。P2OTPDR2,即Policy(策略)、People(人)、Operation(操作)、Technology(技术)、Protection(保护)、Detection(检测)、Response(响应)和Recovery(恢复)的首字母缩写。P2OTPDR2分为3个层次,最核心的部分是安全策略,安全策略在整个安全体系的设计、实施、维护和改进过程中都起着重要的指导作用,是一切信息安全实践活动的方针和指南。模型的中间层次体现了信息安全的3个基本要素:人员、技术和操作,这构成了整个安全体系的骨架,从本质上讲,安全策略的全部内容就是对这3个要素的阐述,当然,3个要素中,人是唯一具有能动性的,是第一位的。在模型的外围,是构成信息安全完整功能的PDRR模型的4个环节,信息安全3要素在这4个环节中都有渗透,并最终表现出信息安全完整的目标形态。概括来说,在策略核心的指导下,3个要素(人、技术、操作)紧密结合协同作用,最终实现信息安全的4项功能(防护、检测、响应、恢复),构成完整的信息安全体系。P2OTPDR2模型的核心思想在于:通过人员组织、安全技术以及运行操作3个支撑体系的综合作用,构成一个完整的信息安全管理体系。虽然只是简单的演绎归纳,但新的安全体系模型能够较好地体现信息安全的各个特点,因而具有更强的目标指导作用。从全面性来看,P2OTPDR2模型对安全本质和功能的阐述是完整的、全面的;模型的层次关系也很清晰;外围的PDRR模型的4个环节本身就是对动态性很好的诠释;无论是人员管理、技术管理还是操作管理,都体现了信息安全可管理性的特点。就防护来说,ISO7498-2所定义的传统的安全技术可以建立起信息安全的第一道防线,包括物理安全措施、操作系统安全、身份认证、访问控制、数据加密、完整性保护等技术;在检测环节,病毒检测、漏洞扫描、入侵检测、安全审计都是典型的技术和操作手段;在响应环节,包括突发事件处理、应急响应、犯罪辨析等技术和操作;而在恢复环节,备份和恢复则是最重要的内容。当然,在这4个环节中,无论是采用怎样的措施,都能够通过人、操作和技术三者的结合来共同体现安全策略的思想,最终实现信息安全的目标和要求。下面简单给出八种安全模型的比较:(1)状态机模型:无论处于什么样的状态,系统始终是安全的,一旦有不安全的事件发生,系统应该会保护自己,而不是是自己变得容易受到攻击。(2)Bell-LaPadula模型:多级安全策略的算术模型,用于定于安全状态机的概念、访问模式以及访问规则。主要用于防止未经授权的方式访问到保密信息。系统中的用户具有不同的访问级(clearance),而且系统处理的数据也有不同的类别(classification)。信息分类决定了应该使用的处理步骤。这些分类合起来构成格(lattice)。BLP是一种状态机模型,模型中用到主体、客体、访问操作(读、写和读/写)以及安全等级。也是一种信息流安全模型,BLP的规则,Simplesecurityrule,一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。(-propertyrule)为不能往下写。Strongstarpropertyrule,一个主体只能在同一安全登记内读写。图1-1Bell-Lapodupa安全模型解析图基本安全定理,如果一个系统初始处于一个安全状态,而且所有的状态转换都是安全的,那么不管输入是什么,每个后续状态都是安全的。不足之处:只能处理机密性问题,不能解决访问控制的管理问题,因为没有修改访问权限的机制;这个模型不能防止或者解决隐蔽通道问题;不能解决文件共享问题。(3)Biba模型:状态机模型,使用规则为,不能向上写:一个主体不能把数据写入位于较高完整性级别的客体。不能向下读:一个主体不能从较低的完整性级别读取数据。主要用于商业活动中的信息完整性问题。图1-2Biba安全模型解析图(4)Clark-Wilson模型:主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改,欺骗和错误来保护信息的完整性。在该模型中,用户不能直接访问和操纵客体,而是必须通过一个代理程序来访问客体。从而保护了客体的完整性。使用职责分割来避免授权用户对数据执行未经授权的修改,再次保护数据的完整性。在这个模型中还需要使用审计功能来跟踪系统外部进入系统的信息。完整性的目标,防止未授权的用户进行修改,防止授权用户进行不正确的修改,维护内部和外部的一致性。Biba只能够确认第一个目标。(5)信息流模型:Bell-LaPadula模型所关注的是能够从高安全级别流到低安全级别的信息。Biba模型关注的是从高完整性级别流到低完整性级别的信息。都使用了信息流模型,信息流模型能够处理任何类型的信息流,而不仅是流的方向。(6)非干涉模型:模型自身不关注数据流,而是关注主体对系统的状态有什么样的了解,以避免较高安全等级内的一个实体所引发的一种活动,被低等级的实体感觉到。(7)Brewer和Nash模型:是一个访问控制模型,这个模型可以根据用户以往的动作而动态地改变。模型的主要功能就是防止用户访问被认为是利益冲突的数据。(8)Graham-Denning安全模型:创建允许主体在客体上操作的相关权限;Harrison-Ruzzo-Ullman模型:允许修改访问权以及如何创建和删除主体和客体。软件安全性的10原则和相互作用原则1:保护最薄弱的环节安全性社区中最常见的比喻之一是:安全性是根链条;系统的安全程度只与最脆弱的环节一样。结论是系统最薄弱部分就是最易受攻击影响的部分。攻击者往往设法攻击最易攻击的环节,这对于您来说可能并不奇怪。如果他们无论因为什么原因将您的系统作为攻击目标,那么他们将沿阻力最小的路线采取行动。这意味着他们将试图攻击系统中看起来最薄弱的部分,而不是看起来坚固的部分。即便他们在您系统各部分上花费相同的精力,他们也更可能在系统最需要改进的部分中发现问题。这一直觉是广泛适用的。银行里的钱通常比便利店里的钱多,但是它们哪一个更易遭到抢劫呢?当然是便利店。为什么?因为银行往往有更强大的安全性防范措施;便利店则是一个容易得多的目标。让我们假定您拥有一家普通的银行和一家普通的便利店。是为保险库添加额外的门并将安全人员的数目翻倍,还是为便利店花费同