《CISP-04-信息安全模型.pdf》由会员分享,可在线阅读,更多相关《CISP-04-信息安全模型.pdf(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全模型信息安全模型中国信息安全测评中心2008年10月目录目录一概述二信息安全模型简介三多维模型与安全技术框架一、概述一、概述目录目录一一概述概述二信息安全模型简介三多维模型与安全技术框架信息安全保障框架信息安全保障框架知识类:信息安全体系和模型知识类:信息安全体系和模型知识体系概述知识体系概述安全安全模型模型安全安全体系体系知识类知识类(PT)知识体知识体(BD)知识域知识域(KA)信息安全体系信息安全体系和模型和模型OSI开放系统互联安全体系架构开放系统互联安全体系架构信息技术安全性评估信息技术安全性评估信息安全保障评估信息安全保障评估信息安全模型基础信息安全模型基础访问控制模型访问
2、控制模型其他安全模型其他安全模型安全目的安全目的 信息安全终极目的 在系统实现过程中,对组织、合作伙伴、及其客户的IT相关风险给出应有的关心考虑,从而促使组织实现其使命/业务(Mission/Business)的全部目的。安全目标 可用性(Availability)完整性(Integrity)保密性(Confidentiality)信息安全模型信息安全模型 安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。安全模型的作用 能准确地描述安全的重要方面与系统行为的关系。能提高对成功实现关键安全需求的理解层次。从中开发出一套安全性评估准则,和关键的描述变量。建立安全
3、模型的方法(从模型所有控制的对象分)信息流模型:主要着眼于对客体之间的信息传输过程的控制。访问控制模型:从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。但“安全模型”的表达能力有其局限性。安全模型与安全目的的关系安全模型与安全目的的关系保密性保密性访问控制信息流DAC自主MAC强制完整性完整性RBACBLPChinese Wall(非干扰性,非观察性)BibaClark-Wilson安全操作系统的发展安全操作系统的发展 1965,失败的Multics操作系统 1973,Bell和LaPadula 的BLP模型 1977,K.J.Biba提出了与BLP异曲同工的Biba
4、模型,Biba模型支持的是信息的完整性 第一个可以实际投入使用安全操作系统是Adept-50;随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLA Secure UNIX、KSOS和PSOS。二、信息安全模型简介二、信息安全模型简介目录目录一概述二二信息安全模型简介信息安全模型简介三多维模型与安全技术框架信息安全模型分类信息安全模型分类 信息流访问控制模型 多级安全模型 Bell-Lapadula模型(1973)Clark-Wilson模型(1987)Biba模型(1977)多边安全模型 Chinese wall模型 BMA模型(1995)信息流模型信息流模型
5、 模型简介 主要着眼于对客体之间的信息传输过程的控制。信息流模型需要遵守的安全规则是:在系统状态转换时,信息流只能从访问级别低的状态流向访问级别高的状态。信息流模型实现的关键在于对系统的描述,即对模型进行彻底的信息流分析,找出所有的信息流,并根据信息流安全规则判断其是否为异常流,若是就反复修改系统的描述或模型,直到所有的信息流都不是异常流为止。模型的缺点 需要制定输入输出的安全性规范 信息流模型对具体的实现只能提供较少的帮助和指导多级安全模型多级安全模型 多级安全模型最初使用在军用系统和数据库系统中。它通常把密级由低到高分为开放级、秘密级、机密级和绝密级。它使不同的密级包含不同的信息。它确保每
6、一密级的信息仅能让那些具有高于或等于该级权限的人使用。特点:特点:1)将将主体主体和和客体客体分级,根据主体和客体的级别标记来分级,根据主体和客体的级别标记来决决定访问模式。如,绝密级,机密级,秘密级,无密级。定访问模式。如,绝密级,机密级,秘密级,无密级。2)其访问控制关系分为:下写其访问控制关系分为:下写/上读,上读,下读下读/上写上写(完整性)(完整性)(保密性)(保密性)3)通过梯度安全标签实现单向信息流通模式)通过梯度安全标签实现单向信息流通模式。4)强耦合,集中式授权。)强耦合,集中式授权。多级安全模型多级安全模型BLP模型模型 模型简介 该模型是可信系统的状态-转换模型。定义所有
7、可以使系统获得“安全”的状态集合,检查所有状态的变化均开始于一个“安全状态”并终止于另一个“安全状态”,并检查系统的初始状态是否为“安全状态”。该模型是一种机密性访问控制的状态机模型。模型定义的主客体访问规则 模型使用状态来表示系统中主体对客体的访问方式。高级别的“可下读,不可下写”;低级别的“可上写,不可上读”。BLP模型的缺点 只定义了主体对客体的访问,未说明主体对主体的访问,因此该模型无法应用于网络。该模型不能很好应对隐蔽通道问题。应用中的问题 内存管理能够在所有级别进行读和写,在实际应用中有悖于模型本身。除了对它进行“可信假设”外别无他法。当低级别数据写入高级别程序时(即上写),由于模
8、型的限制,低级别主体无法得到任何反馈,仿佛碰到了“黑洞”一般。文件管理中,重名导致的信息泄露问题。而分立的系统使得BLP显得多余。同样数据库系统中,如果高级别用户发送了一批机密货物到轮船上,而系统不会把这个信息传递给低级别用户(否则就是泄密),那么低级别用户将会认为船是空的,并分配其他货物或改变航行的目的地。多级安全模型多级安全模型Clark-Wilson模型模型 模型简介 它偏重于满足商业应用的安全需求。它着重研究信息和系统的完整性保护。信息的完整性:是指系统中信息的质量、正确性、真实性和精确性。系统的完整性:是指对信息资源成功且正确的操作。信息的完整性保护 组织完善的事物(Well-for
9、med transaction):用户不能随意处理信息,只能在限定的权限和范围内进行。清晰的责任划分(Separation of duty):一项任务需要两个以上的人完成,需要进行任务划分,避免个人欺骗行为。系统的完整性保护 防止非授权修改 维护内部与外部的一致性 访问授权但不恰当的修改 数据分类 被限制数据(CDI),完整性保护的客体。非限制数据(UDI),不需保护的客体。访问控制方法 定义可以针对每一个数据(数据类型)完成的访问操作(转换过程);定义可以由主体(角色)完成的访问操作。保护方法 完整性确认过程(IVP):确认数据处于一种有效状态。转换过程(TP):将数据从一种有效状态改变到另
10、一种有效状态。如果只有一个转换过程能够改变数据,则该数据是完整的。完整性系统记录所有转换过程,并提供对数据改变的审计跟踪。实践中,Clark和Wilson提出完整性监控(“证明规则”)和完整性保持(“强制规则”)来实现。前者由管理员来执行,后者由系统来保证。多级安全模型多级安全模型Biba模型模型 模型简介 涉及计算机完整性的第一个模型 一个计算机系统由多个子系统组成 子系统是按照功能或权限将系统(主体和客体)进行划分的 在子系统级进行评估系统的完整性 系统完整性威胁来源 内部威胁:子系统的一个组件是恶意的/不正确的。外部威胁:一个子系统通过提供错误数据/不正确的函数调用来修改另一个子系统。B
11、iba认为可以通过程序测试和检验来消除内部威胁,因此,该模型仅针对外部模型。完整性策略 最低点策略 针对客体的最低点策略 最低点完整性审计策略 Ring策略 严格的完整性策略 Biba模型的缺点 Biba定义的完整性只是一个相对的,而不是绝对的度量。没有使用明确的属性来判断系统是否拥有完整性。它没有关于明确的信息分级的标准。多边安全模型多边安全模型 信息结构 多边安全控制模型控制数据在A、B、C、D、E之间的流动。多边安全模型多边安全模型Chinese Wall模型模型 模型简介 访问数据不是受限于数据的属性(密级),而是受限于主体已经获得了对哪些数据的访问权限。将一些可能会产生访问冲突的数据
12、分成不同的数据集,并规定所有主体最多只能访问一个数据集。而不限制到底选择访问哪个数据集。模型安全策略 主体只能访问那些与已经拥有的信息不冲突的信息。一个主体一旦已经访问过一个客体,则该主体只能访问位于同一公司数据集中的客体,或在不同兴趣冲突组中的信息。在一个兴趣冲突组中,一个主体最多只能访问一个公司数据集。模型举例模型举例有公司A、B,数据类型分为石油业务数据、银行数据组划分访问控制第一次访问是自由的,不妨设为A石油业务数据集;可以访问A金融数据集;不可以访问B石油数据集。总结:1)可以访问与主体曾经访问过的信息同属于同一个公司的数据集,即墙内信息;2)可以访问一个完全不同的兴趣冲突组。多边安
13、全模型多边安全模型BMA模型简介英国医学会(BMA)提出的。由客体同意哪些主体可以有条件地查看并使用客体信息。保证客体信息的完整性和可用性。BMA安全策略主要原理访问控制表每一份病历记录都有一个访问控制表标记,用以说明可以读取和添加数据的人和组。打开记录医生可以打开访问控制列表中与他有关的病人的病历。需要经过病人委托。控制在每个访问控制列表中必须有一个是可信的,只有他才能对病历进行写入。同意和通报可靠的医生在打开病历时,应将访问控制列表中的名字、后续条件、可靠性的传递通知病人。持续性任何人都不能删除病历记录,除非它已过期。日志记录对病历记录的全部访问。可信计算处理以上原理的计算机应该有一个有效
14、的方法实现,实现方法需要由独立专家评估。三、多维模型与安全技术框架三、多维模型与安全技术框架目录目录一概述二信息安全模型简介三三多维模型与安全技术框架多维模型与安全技术框架多维安全模型多维安全模型安全服务抗抵赖可鉴别保密性完整性可用性信息状态安全措施处理存储传输技术人员运行IATF技术框架技术框架安全策略安全策略安全管理安全管理安全管理安全管理IATF安全目标安全目标 可用性:合法用户的正常请求能及时、正确、安全地得到服务或回应。完整性:信息在存储和传输时不被篡改、破坏,或避免信息包的丢失、乱序等不破坏信息的正确性和完整性。保密性:静态信息防止非授权访问和/或动态信息防止被窃听、解密。可靠性:
15、指信息的可信度,包括信息完整性、准确性和发送人的身份的可信度。IATF保护对象和技术保护对象和技术 网络和基础设施的防御 骨干网可用性 无线网安全框架 VPN和紧耦合连接 边界防御 网络访问控制 远程访问 多级别安全 计算环境防御 端用户环境 应用系统安全 支撑性基础设施 KMI/PKI 监视和响应基于基于OSI的安全体系结构的安全体系结构OSIOSI 参考模型参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖五种安全服务五种安全服务 鉴别:
16、鉴别:提供对通信中的对等实体和数据来源的鉴别。提供对通信中的对等实体和数据来源的鉴别。访问控制:访问控制:提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源的操作),或应用于对某种资源的所有访问的操作),或应用于对某种资源的所有访问 数据保密性:数据保密性:对数据提供保护使之不被非授权地泄露对数据提供保护使之不被非授权地泄露 数据完整性:数据完整性:对付主动威胁。在一次连接上
17、,连接开始时使用对某实体鉴别服务,并在连接对付主动威胁。在一次连接上,连接开始时使用对某实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。的来源提供确证,为这些数据单元的完整性提供确证。抗抵赖:抗抵赖:可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一。可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一。八种安全机制(八种安全机制(1)加密加密:加密既能为数据提供保密性,也能为通信业务流信息提供保密性。加密既
18、能为数据提供保密性,也能为通信业务流信息提供保密性。数字签名数字签名:确定两个过程:对数据单元签名和验证签过名的数据单元。确定两个过程:对数据单元签名和验证签过名的数据单元。访问控制访问控制:为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权力。属关系),或使用该实体的权力。数据完整性数据完整性:包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。包括单个数据单元
19、或字段的完整性以及数据单元流或字段流的完整性。八种安全机制(八种安全机制(2)鉴别交换机制鉴别交换机制:可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。或给安全管理中心一个报告。通信业务填充机制通信业务填充机制:能用来提供各种不同级别的保护,对抗通信业务分析。能用来提供各种不同级别的保护,对抗通信业务分析。路由选择控制机制路由选择控制机制:路由能动态地或预定地选取
20、,以便只使用物理上安全的子网络、中继站路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。供者经不同的路由建立连接。公证机制公证机制:有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。时间和目的地等能够借助公证机制而得到确保。健壮性模型健壮性模型 从用户角度引入安全总体需求 安全服务 安全机制 安全技术安全技术功能强度表基
21、本强度中等强度高强度 安全价值 安全价值表按照损失程度分成不同级别 安全威胁 安全威胁表单点个体攻击多点协同攻击网络工具 安全策略 依据威胁表和价值表,可以得出一个威胁价值表,称为健壮性表 从健壮性表中得出安全质量标准(安全功能)同时根据安全技术的安全功能强度定出不同的安全级别(保证功能)以保证功能为依据,得出最后的安全级别 CC,信息技术安全评估通用准则,其模型也是一种健壮性模型 功能要求 保证要求(EAL1-EAL7)基于时间的基于时间的PDR模型模型 PDR(Time Based Security Protection Detection Reaction)其思想是:承认漏洞,正视威胁,
22、适度防护,加强监测,落实反应,建立威慑 它认为 如果防护时间检测时间+反应时间,那么是安全的 如果防护时间检测时间+反应时间,那么暴露时间=检测时间+反应时间-防护时间 固定防守,测试攻击时间;固定攻击手法,测试防守时间,这样就得出攻防时间表。分布式动态主动模型分布式动态主动模型 即P2DR模型,它结合健壮性模型和PDR。它增加了安全策略功能,突出管理策略的主导地位。该模型在整体安全策略控制下,综合运用防护工具和检测工具,分析和评估系统的安全状态,将系统调到“最安全”和“风险最低”。P2DR四个组成部分:P(安全策略),P(防护),D(检测),R(反应);它们组成一个完整的、动态的安全循环。PDR强调落实反应,P2DR强调控制和对抗。它适用的环境:动态的、多维的互联网环境。主要参考文献主要参考文献 A Guide to Understanding Security Modeling in Trusted Systems NCSC-1992 Integrity in Automated Information Systems NCSC-1991问题?