CISP-05-信息安全模型

信息安全模型和体系结构中国信息安全测评中心CISP-05-信息安全模型2010年7月目录安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架11223344556677一、安全模型和体系结构信息安全模型ƒ安全模型用于精确和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。•安全策略，是达到你所认为的安全和可接受的程度时，需要满足或达到的目标或目的•安全模型用来描述为了实现安全策略，而应当满足的要求ƒ安全模型的作用•能准确地描述安全的重要方面与系统行为的关系。•能提高对成功实现关键安全需求的理解层次。•从中开发出一套安全性评估准则，和关键的描述变量。安全模型的特点ƒ构建一个安全模型包括定义系统的环境类型、授权方式等内容，并证明在真实环境下是可以实现的，然后应用于系统的安全性设计，可以最大限度地避免安全盲点•精确，无歧义•简单和抽象，容易理解•模型一般的只涉及安全性质，具有一定的平台独立性，不过多抑制平台的功能和实现•形式化模型是对现实世界的高度抽象，精确地描述了系统的安全需求和安全策略•形式化模型适用于对信息安全进行理论研究。建立安全模型的方法ƒ建立安全模型的方法（从模型所控制的对象分）•信息流模型：主要着眼于对客体之间的信息传输过程的控制。ƒ彻底切断系统中信息流的隐蔽通道,防止对信息的窃取.•访问控制模型：从访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。ƒ但“安全模型”的表达能力有其局限性。•但是我们说现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求（如：保密性），未给出实现要求的任何相关机制和方法系统体系架构ƒ操作系统运行在硬件系统之上，为用户提供接口ƒ操作系统所采用的安全机制——保护环（0环、1环、2环、3环）•在内环中执行的进程比在外环中执行的进程有更高的权限•通常处于特权模式或监控模式环0操作系统内核环1操作系统环2环3文件系统驱动程序电子邮件客户端字处理器数据库操作系统工具Windows体系结构简化的Windows体系架构系统体系架构ƒ理念•可信计算基础（TCBTrustComputeBase）：计算机系统内部协调工作实现一项安全策略的保护机制的总和。ƒ包括硬件、固件、软件和负责执行安全策略的组合体。•参考监控器（RMReferenceMonitor）：访问控制的概念•安全核心（SKSecuritykernel）：实现并增强了RM的概念个人=部件社会=核心法律=参考监控器如果个人走出法律之外，那么就会给社会带来威胁法律的作用就像通过规则实行的一个参考监控器系统体系架构ƒ参考监控器•参考监控器是一个抽象的概念，它表现的是一种思想。•解决用户程序的运行控制问题，在用户（程序）与系统资源之间实施一种授权的访问关系。ƒ安全核心（满足3个原则）•必须具有自我保护的能力•必须总是处于活跃状态•必须设计得足够小，以利于分析和测试，从而能够证明它的实现是正确的。安全操作系统的发展ƒ1965，失败的Multics操作系统ƒ1973，Bell和LaPadula的BLP模型ƒ1977，K.J.Biba提出了与BLP异曲同工的Biba模型，Biba模型支持的是信息的完整性ƒ第一个可以实际投入使用安全操作系统是Adept-50；随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLASecureUNIX、KSOS和PSOS。我国的安全操作系统发展ƒ1993年，国防科技大学对基于TCSEC标准和UNIXSystemV3.2版的安全操作系统SUNIX进行了探讨ƒ国家“八五”科技攻关项目中，围绕着UNIX类国产操作系统COSIXV2.0的安全子系统的设计与实现工作ƒ中国科学院计算技术研究所研究开发了基于Linux的安全操作系统LIDS10ƒ南京大学开发了基于Linux的安全操作系统SoftOSƒ中国科学院信息安全技术工程研究中心开发了基于Linux的安全操作系统SecLinux二、访问控制模型基本概念1ƒ访问控制服务•授权+访问控制•身份认证和访问控制技术的区别ƒ安全系统的逻辑模型访问监视器授权数据库审计用户目标认证访问控制基本概念2ƒ访问控制系统•主体（Subject):访问操作中的主动实体，通常可以是用户或用户的某个进程。•客体（Object):访问操作中被动实体，通常是被调用的程序、进程，要存取的数据、信息等资源。•安全访问策略：一套策略，用以确定一个主体是否对客体拥有访问能力。常用的实现方法ƒ访问矩阵（AccessMatrix):以主体为行索引、以客体为列索引的矩阵，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第j个客体Oj的访问方式，比如Mij等于{read,write}表示Si可以对Oj进行读和写访问。访问矩阵File1File2File3File4Account1JohnOwnRWOwnRWInquiryCreditAliceROwnRWWRInquiryDebitBobRWROwnRW常用的实现方法ƒ访问能力表•从主体（行）出发，表达矩阵某一行信息。•着眼某一主体的访问权限，以主体的出发点描述控制信息，容易获得一个主体所被授权可以访问的客体及其权限AliceFile1File2File3RWRRW常用的实现方法ƒ访问控制表ACL（AccessControlList）•从客体（列）出发，表达矩阵某一列的信息。•便于权限分组、表述直观、易于理解File3JoinAliceORWWAC模型类型ƒ基本访问控制模型•自主访问控制DAC（DiscretionaryAccessControl）保密性与完整性木马程序•强制访问控制MAC（MandatoryAccessControl）保密性隐通道•基于角色访问控制RBAC管理方式自主访问控制自主访问控制针对访问资源的用户或者应用设置访问控制权限；根据主体的身份及允许访问的权限进行决策；自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。特点：根据主体的身份和授权来决定访问模式。缺点：信息在移动过程中，其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。实现机制：ACL(s,o)Capabilities（s,s)强制访问控制特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：上读/下写（保密性），下读/上写（完整性）注：在MAC模型中，系统通过比较主体和客体的安全标签来作访问决策。3）通过梯度安全标签实现单向信息流通模式。4）与DAC相比：强耦合，集中式授权。强制访问控制ƒ规定•一般安全属性可分为四个级别：最高秘密级（TopSecret）、秘密级（Secret）、机密级（Confidential）以及无级别级（Unclassified）。ƒ规定如下的四种强制访问控制策略：•–下读:用户级别大于文件级别的读操作;•–上写:用户级别低于文件级别的写操作;•–下写:用户级别大于文件级别的写操作;•–上读:用户级别低于文件级别的读操作;ƒ这些策略保证了信息流的单向性，上读/下写方式保证了数据的保密性，下读/上写方式则保证了信息的完整性MAC模型－BLP（1/4）¾背景：20世纪70年代，美国的军方使用了采用分时系统的大型主机，他们关心这些系统的安全性，以及分类信息是否会泄露出去，于是就开发出了Bell-Lapadula（BLP）模型。¾BLP模型下，系统的用户具有不同的访问级（绝密、秘密、机密、公开），系统处理的数据也有不同的类别。将主体的访问级同客体的类别进行比较；如果访问级高于或者等于客体的类别，则主体能够访问客体而不会违反安全策略。¾BLP模型的两种规则：上读/下写（保密性）绝密秘密机密公开不能“向上读”不能“向下写”上限下限MAC模型－BLP（2/4）ƒ“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。MAC模型－BLP（3/4）ƒBLP模型定义的状态是一个四元组（b,M,f,H），其中，b是当前访问的集合，当前访问由三元组（主体，客体，访问方式）表示，是当前状态下允许的访问；M是访问控制矩阵；f是安全级别函数，用于确定任意主体和客体的安全级别；H是客体间的层次关系。抽象出的访问方式有四种，分别是只可读r、只可写a、可读写w和不可读写（可执行）e。ƒBLP模型的核心内容：•简单安全公理：当且仅当SC（s）≥SC（o），且s对o具有自主读权限时，允许s对o读操作。•*-属性公理：当且仅当SC（s）≤SC（o），且s对o具有自主读权限时，允许s对o写操作。•这一特性可以防止高级实体向低级实体发送信号，例如，防止潜入系统的木马将机密信息传递给外部的商业间谍。MAC模型－BLP（4/4）ƒ注意：Bell-Lapadula模型为了守住秘密；因此，它提供了机密性。这个模型并未解决所维护的数据的完整性。ƒBLP模型的缺点：•它只能处理机密性问题，不能解决完整性问题。•它不能解决访问控制的管理问题，因为没有修改访问权限的机制；•这个模型不能防止或者解决隐蔽通道问题。•这个模型不能解决在较为现代的系统中使用的文件共享问题。L-BLP及EL-BLP模型简介ƒL-BLP安全模型：•解决局域网内数据的机密性控制问题•通过在系统中增加动态监控单元,定义其拓扑结构,并构造了新的状态转换规则,实现对主体间通信行为的控制.ƒ局域网中的计算机——主体C^ƒ局域网中的资源数据——客体Pƒ特点•满足多级安全策略“不可向上读，不可向下写”的基本安全原则•L-BLP模型中要求局域网环境中的受控终端均是无盘计算机•缺少局域网中终端的细节行为（如主体间共享客体的描述）L-BLP及EL-BLP模型简介ƒEL-BLP模型•EL-BLP通过定义终端的关键属性（如ＰＣ机上的操作系统不能被随意修改），增加L-BLP模型中安全终端的限定条件使得安全降级规则可以扩展到普通PC机、可信计算机和无盘计算机MAC模型－CW在信息流处理中，在一些情况下不是阻止信息流从高层流向低层，而是要阻止信息在不同的部分横向流动，这种系统在信息处理系统中占有很大的比例，因此提出了多边安全（MultilateralSecure）的概念。CW（ChineseWall）模型就属于一种多边安全模型——一道若隐若现的墙。CW模型由Brewer和Nash发布，经常被用于金融机构的信息处理系统，为市场分析家提供更好的服务。与BLP模型不同的是，访问数据不是受限于数据的属性（密级），而是受限于主体获得了对哪些数据的访问权限。MAC模型－CWƒ中国墙（Chinesewall）模型的主要功能就是防止用户访问被认为是利益冲突的数据。公司A公司B用户MAC模型－CWƒChineseWall模型访问规则主要通过组织的管理规则和过程实现：•ChineseWall模型为访问条件加入了时间属性。在系统初始化时，主体可访问的客体数据并不固定•在使用ChineseWall模型构建IT安全体系时，需考虑不同安全域之间的相互关系和相互依赖，及相互影响等问题。自主VS.强制1.自主式太弱2.强制式太强3.二者工作量大，不便管理例，1000主体访问10000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需10，000，000/（3600*8）=347.2天RBAC模型ƒ角色的概念：角色的抽象定义是指相对于特定的工作活动的一系列行动和职责集合，角色面向于用户组，但不同于用户组，角色包含了用户集和权限集。角色１角色２用户１角色３客体１客体２客体３角色２权限ａ权限ｂ权限ｃ权限ｄRBAC模型的特点ƒ基于角色的访问控制（RBAC）•一套可以简化