《CISP-05-信息安全模型.pdf》由会员分享,可在线阅读,更多相关《CISP-05-信息安全模型.pdf(78页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全模型和体系结构信息安全模型和体系结构中国信息安全测评中心CISP-05-信息安全模型2010年7月目录目录安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架安全模型和体系结构访问控制模型完整性模型多边安全模型信息流模型对安全模型和体系结构的威胁多维模型与安全技术框架1 12 23 34 45 56 67 7一、
2、安全模型和体系结构一、安全模型和体系结构信息安全模型信息安全模型?安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。安全策略,是达到你所认为的安全和可接受的程度时,需要满足或达到的目标或目的 安全模型用来描述为了实现安全策略,而应当满足的要求?安全模型的作用 能准确地描述安全的重要方面与系统行为的关系。能提高对成功实现关键安全需求的理解层次。从中开发出一套安全性评估准则,和关键的描述变量。安全模型的特点安全模型的特点?构建一个安全模型包括定义系统的环境类型、授权方式等内容,并证明在真实环境下是可以实现的,然后应用于系统的安全性设计,可以最大限度地避免安全盲点
3、精确,无歧义 简单和抽象,容易理解 模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现 形式化模型是对现实世界的高度抽象,精确地描述了系统的安全需求和安全策略 形式化模型适用于对信息安全进行理论研究。建立安全模型的方法建立安全模型的方法?建立安全模型的方法(从模型所控制的对象分)信息流模型:主要着眼于对客体之间的信息传输过程的控制。?彻底切断系统中信息流的隐蔽通道,防止对信息的窃取.访问控制模型:从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。?但“安全模型”的表达能力有其局限性。但是我们说现有的“安全模型”本质上不是完整的“模型”:仅描述了安
4、全要求(如:保密性),未给出实现要求的任何相关机制和方法系统体系架构系统体系架构?操作系统运行在硬件系统之上,为用户提供接口?操作系统所采用的安全机制保护环(0环、1环、2环、3环)在内环中执行的进程比在外环中执行的进程有更高的权限 通常处于特权模式或监控模式环0操作系统内核环1操作系统环2环3文件系统驱动程序电子邮件客户端字处理器数据库操作系统工具Windows体系结构体系结构简化的简化的Windows体系架构体系架构系统体系架构系统体系架构?理念 可信计算基础(TCBTrustComputeBase):计算机系统内部协调工作实现一项安全策略的保护机制的总和。?包括硬件、固件、软件和负责执行
5、安全策略的组合体。参考监控器(RM ReferenceMonitor):访问控制的概念 安全核心(SKSecurity kernel):实现并增强了RM的概念个人=部件社会=核心法律=参考监控器如果个人走出法律之外,那么就会给社会带来威胁法律的作用就像通过规则实行的一个参考监控器系统体系架构系统体系架构?参考监控器 参考监控器是一个抽象的概念,它表现的是一种思想。解决用户程序的运行控制问题,在用户(程序)与系统资源之间实施一种授权的访问关系。?安全核心(满足3个原则)必须具有自我保护的能力 必须总是处于活跃状态 必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。安全操作系统的发
6、展安全操作系统的发展?1965,失败的Multics操作系统?1973,Bell和LaPadula 的BLP模型?1977,K.J.Biba提出了与BLP异曲同工的Biba模型,Biba模型支持的是信息的完整性?第一个可以实际投入使用安全操作系统是Adept-50;随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLA Secure UNIX、KSOS和PSOS。我国的安全操作系统 发展我国的安全操作系统 发展?1993年,国防科技大学对基于TCSEC标准和UNIX SystemV 3.2版的安全操作系统SUNIX进行了探讨?国家“八五”科技攻关项目中,围绕着U
7、NIX类国产操作系统COSIX V2.0的安全子系统的设计与实现工作?中国科学院计算技术研究所研究开发了基于Linux的安全操作系统LIDS10?南京大学开发了基于Linux的安全操作系统SoftOS?中国科学院信息安全技术工程研究中心开发了基于Linux的安全操作系统SecLinux二、访问控制模型二、访问控制模型基本概念1?访问控制服务 授权+访问控制 身份认证和访问控制技术的区别?安全系统的逻辑模型访问监视器授权数据库审计用户目标认证访问控制基本概念2?访问控制系统 主体(Subject):访问操作中的主动实体,通常可以是用户或用户的某个进程。客体(Object):访问操作中被动实体,通
8、常是被调用的程序、进程,要存取的数据、信息等资源。安全访问策略:一套策略,用以确定一个主体是否对客体拥有访问能力。常用的实现方法常用的实现方法?访问矩阵(Access Matrix):以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。矩阵中第i 行第j 列的元素Mij 记录着第i 个主体Si 可以执行的对第j 个客体Oj 的访问方式,比如Mij等于read,write表示Si 可以对Oj 进行读和写访问。访问矩阵访问矩阵File1File2File3File4Account1JohnOwnRWOwnRWInquiryCreditAliceROwnR
9、WWRInquiryDebitBobRWROwnRW常用的实现方法常用的实现方法?访问能力表 从主体(行)出发,表达矩阵某一行信息。着眼某一主体的访问权限,以主体的出发点描述控制信息,容易获得一个主体所被授权可以访问的客体及其权限AliceFile1File2File3R WR R W常用的实现方法常用的实现方法?访问控制表ACL(Access Control List)从客体(列)出发,表达矩阵某一列的信息。便于权限分组、表述直观、易于理解File3JoinAliceOR WWAC模型类型模型类型?基本基本访问控制模型 自主访问控制DAC(DiscretionaryAccessControl
10、)保密性与完整性木马程序 强制访问控制MAC(Mandatory Access Control)保密性 隐通道 基于角色访问控制RBAC管理方式自主访问控制自主访问控制自主访问控制自主访问控制针对访问资源的用户或者应用设置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。特点:特点:根据主体的身份和授权来决定访问模式。缺点:缺点:信息在移动过程中,其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。实现机制:实现机制:ACL(s,o)Capabilities(s,
11、s)强制访问控制强制访问控制特点:特点:1)将)将主体主体和和客体客体分级,根据主体和客体的级别标记来 决定访问模式。如,绝密级,机密级,秘密级,无密级。分级,根据主体和客体的级别标记来 决定访问模式。如,绝密级,机密级,秘密级,无密级。2)其访问)其访问控制关系控制关系分为:上读分为:上读/下写(保密性),下读下写(保密性),下读/上写(完整性)上写(完整性)注:在注:在MAC模型中,系统通过比较主体和客体的安全标签来作访问决策。模型中,系统通过比较主体和客体的安全标签来作访问决策。3)通过梯度安全标签实现单向信息流通模式)通过梯度安全标签实现单向信息流通模式。4)与)与DAC相比:强耦合,
12、集中式授权。相比:强耦合,集中式授权。强制访问控制强制访问控制?规定?一般安全属性可分为四个级别:最高秘密级(Top Secret)、秘密级(Secret)、机密级(Confidential)以及无级别级(Unclassified)。?规定如下的四种强制访问控制策略:下读:用户级别大于文件级别的读操作;上写:用户级别低于文件级别的写操作;下写:用户级别大于文件级别的写操作;上读:用户级别低于文件级别的读操作;?这些策略保证了信息流的单向性,上读/下写方式保证了数据的保密性,下读/上写方式则保证了信息的完整性MAC模型模型BLP(1/4)?背景:20世纪70年代,美国的军方使用了采用分时系统的大
13、型主机,他们关心这些系统的安全性,以及分类信息是否会泄露出去,于是就开发出了Bell-Lapadula(BLP)模型。?BLP模型下,系统的用户具有不同的访问级(绝密、秘密、机密、公开),系统处理的数据也有不同的类别。将主体的访问级同客体的类别进行比较;如果访问级高于或者等于客体的类别,则主体能够访问客体而不会违反安全策略。?BLP模型 的两种规则:上读/下写(保密性)绝密秘密机密公开不能“向上读”不能“向下写”上限下限MAC模型模型BLP(2/4)?“读安全”禁止低级别的用户获得高级别文件的读权限。“写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有读访问权限的文件。MAC
14、模型模型BLP(3/4)?BLP 模型定义的状态是一个四元组(b,M,f,H),其中,b 是当前访问的集合,当前访问由三元组(主体,客体,访问方式)表示,是当前状态下允许的访问;M 是访问控制矩阵;f 是安全级别函数,用于确定任意主体和客体的安全级别;H 是客体间的层次关系。抽象出的访问方式有四种,分别是只可读r、只可写a、可读写w 和不可读写(可执行)e。?BLP 模型的核心内容:简单安全公理:当且仅当SC(s)SC(o),且s对o具有自主读权限时,允许s对o读操作。*-属性公理:当且仅当SC(s)SC(o),且s对o具有自主读权限时,允许s对o写操作。这一特性可以防止高级实体向低级实体发送
15、信号,例如,防止潜入系统的木马将机密信息传递给外部的商业间谍。MAC模型模型BLP(4/4)?注意:Bell-Lapadula模型为了守住秘密;因此,它提供了机密性。这个模型并未解决所维护的数据的完整性。?BLP模型的缺点:它只能处理机密性问题,不能解决完整性问题。它不能解决访问控制的管理问题,因为没有修改访问权限的机制;这个模型不能防止或者解决隐蔽通道问题。这个模型不能解决在较为现代的系统中使用的文件共享问题。L-BLP及及EL-BLP模型简介模型简介?L-BLP安全模型:解决局域网内数据的机密性控制问题 通过在系统中增加动态监控单元,定义其拓扑结构,并构造了新的状态转换规则,实现对主体间通
16、信行为的控制.?局域网中的计算机主体C?局域网中的资源数据客体P?特点 满足多级安全策略“不可向上读,不可向下写”的基本安全原则 L-BLP模型中要求局域网环境中的受控终端均是无盘计算机 缺少局域网中终端的细节行为(如主体间共享客体的描述)L-BLP及及EL-BLP模型简介模型简介?EL-BLP模型 EL-BLP通过定义终端的关键属性(如机上的操作系统不能被随意修改),增加L-BLP模型中安全终端的限定条件使得安全降级规则可以扩展到普通PC机、可信计算机和无盘计算机MAC模型模型CW在信息流处理中,在一些情况下不是阻止信息流从高层流向低层,而是要阻止信息在不同的部分横向流动,这种系统在信息处理
17、系统中占有很大的比例,因此提出了多边安全(Multilateral Secure)的概念。CW(Chinese Wall)模型就属于一种多边安全模型多边安全模型一道若隐若现的墙一道若隐若现的墙。CW模型由Brewer和Nash发布,经常被用于金融机构的信息处理系统,为市场分析家提供更好的服务。与BLP模型不同的是,访问数据不是受限于数据的属性(密级),而是受限于主体获得了对哪些数据的访问权限。MAC模型模型 CW?中国墙(Chinese wall)模型的主要功能就是防止用户访问被认为是利益冲突的数据。公司公司A公司公司B用户MAC模型模型CW?Chinese Wall模型访问规则主要通过组织的
18、管理规则和过程实现:Chinese Wall模型为访问条件加入了时间属性。在系统初始化时,主体可访问的客体数据并不固定 在使用Chinese Wall模型构建IT安全体系时,需考虑不同安全域之间的相互关系和相互依赖,及相互影响等问题。自主自主VS.强制强制1.自主式太弱2.强制式太强3.二者工作量大,不便管理例,1000主体访问10000客体,须1000万次配置。如每次配置需1秒,每天工作8小时,就需10,000,000/(3600*8)=347.2天RBAC模型模型?角色的概念角色的概念:角色的抽象定义是指相对于特定的工作活动的一系列行动和职责集合,角色面向于用户组,但不同于用户组,角色包含
19、了用户集和权限集。角色角色用户角色客体客体客体角色权限权限权限权限RBAC模型的特点模型的特点?基于角色的访问控制(RBAC)一套可以简化管理的框架?权限同角色关联,角色更为稳定?用户和适当的角色关联 根据用户在系统里表现的活动性质(activities)而定的,这种活动性质表明用户充当了一定的角色。用户访问系统时,系统必须先检查用户的角色,一个用户可以充当多个角色,一个角色也可以由多个用户担任。一种有效而灵活的安全措施。但目前这方面的研究及应用还处在探索阶段。RBAC是一种中立的访问控制策略RBAC模型优势模型优势?便于授权管理?便于角色划分?便于赋予最小特权?便于职责分担?便于目标分级RB
20、AC与与DAC、MAC?角色控制相对独立,根据配置可使某些角色接近DAC,某些角色接近MAC。三、完整性模型三、完整性模型4.1 完整性类别完整性类别?数据完整性 信息保护,DBMS(如:域,实体,引用,应用语义,并发控制)?系统完整性 系统保护,硬件保护,容错技术4.2 完整性目标完整性目标?防止被非授权用户修改(保密性)?维护内外部的一致性(一致性)?防止授权用户不正确的修改(逻辑一致性)4.3 完整性原理完整性原理?1 标识 Identity?2 约束 Constraints?3 职责 Obligation?4 可审计Accountability?5 授权Authorization?6
21、最小特权Least Privilege?7 权限分离Separation?8 监视Monitoring?9 报警Alarms?10 不可逆Non-Reversible Actions?11 冗余Redundancy?12 最小化 Minimization?变量最小化Variable?数据最小化 Data?目标值最小化Target Value?访问时间最小化 Access Time?完整性模型完整性模型BIBA?Biba 1977?Biba模型解决了当位于较低安全级内的主体能够向位于较高安全级内的客体写入时,以及主体能够读取较低安全级的数据时,受到威胁的数据的完整性问题。?Biba的两条主要规则
22、:第一条规则“不能向上写”;(一个主体不能把数据写入位于较高完整性级别的客体。)第二条规则“不能向下读”(主体不能从较低的完整性级别读取数据);完整性模型完整性模型BIBA?设l是从主客体到完整性等级的一个函数,则访问规则是:写规则:对任意的主体s和客体o,当且仅当l(o)l(s),允许写操作。?这一规则不允许一个主体向更高等级的可信任客体进行写入,以防止倒入不正确的或者是伪造的信息。读规则:对任意的主体s和客体o,当且仅当l(o)l(s),允许读操作。?这一规则不允许一个主体读更低层次的数据,防止低级数据“污染”主体或主体的操作,降低其完整性级别。完整性模型完整性模型BIBA?所提出的第一个
23、解决计算机系统完整性的模型;?解决了完整性的第一个目标:防止非授权用户的篡改;Biba定义的完整性是相对的、而不是绝对的度量;?Bell-Lapadula和Biba的对比?Bell-Lapadula模型用于提供机密性,Biba模型用于提供完整性。?Bell-Lapadula和Biba模型都是信息流模型,他们都关心从一个安全等级流向另一个安全等级的数据。?Bell-Lapadula使用安全性级别而Biba使用完整性级别。完整性模型完整性模型Clark-Wilson?Clark-Wilson模型是在Biba模型之后开发出来的,它考虑了授权用户对数据进行修改或欺骗。?在Clark-Wilson模型中
24、,用户不能直接访问和操控客体,而是必须通过一个程序来访问客体。?Clark-Wilson使用“职责分离”,用不同的用户或规则来执行每一项操作。?Clark-Wilson模型还使用审计功能跟踪从系统外部进入系统的信息。模型的特征对比模型的特征对比模型模型模型特征模型特征BLP模型保密性、军事安全、中央集权信息系统、较低的执行开销中国墙策略模型保密性、金融制度、可能有负作用、安全管理的开销较大Biba模型完整性、强制访问控制、难于应用,中央集权信息系统ClarkWilson模型完整性、商业安全、能应用面向对象系统、能作为与应用无关的策略、灵活四、多边安全模型四、多边安全模型多边安全模型多边安全模型
25、?信息结构?多边安全控制模型控制数据在A、B、C、D、E之间的流动。多边安全模型多边安全模型Chinese Wall模型模型?模型简介 访问数据不是受限于数据的属性(密级),而是受限于主体已经获得了对哪些数据的访问权限。将一些可能会产生访问冲突的数据分成不同的数据集,并规定所有主体最多只能访问一个数据集。而不限制到底选择访问哪个数据集。?模型安全策略 主体只能访问那些与已经拥有的信息不冲突的信息。一个主体一旦已经访问过一个客体,则该主体只能访问位于同一公司数据集中的客体,或在不同兴趣冲突组中的信息。在一个兴趣冲突组中,一个主体最多只能访问一个公司数据集。模型举例模型举例?有公司A、B,数据类型
26、分为石油业务数据、银行数据?组划分?访问控制第一次访问是自由的,不妨设为A石油业务数据集;可以访问A金融数据集;不可以访问B石油数据集。?总结:1)可以访问与主体曾经访问过的信息同属于同一个公司的数据集,即墙内信息;2)可以访问一个完全不同的兴趣冲突组。多边安全模型多边安全模型BMA?模型简介 在个人隐私信息保护领域,利益冲突并不是关键问题,确保记录不被非法访问,确保信息的完整性完整性和可用性可用性才是着重关心得问题。BMA模型用于对数据的利用、再加工、发布和交流实施管理,并建立审计跟踪机制保护客户隐私。?英国医学会(BMA)提出的,其初始安全目标是实现病历记录访问控制,但后来也逐渐用于其他领
27、域。?由客体同意哪些主体可以有条件地查看并使用客体信息。多边安全模型多边安全模型BMA?BMA模型的两类规则:BMA模型的第一类规则主要处理医疗记录的阅读和添加权限的问题,表明那些人员可以阅读或添加医疗记录。这些人员需要有病人的认可,通常以一个组或一个集合的形式出现。?访问控制表每一份病历记录都有一个访问控制表标记,用以说明可以读取和添加数据的人和组。?打开记录医生可以打开访问控制列表中与他有关的病人的病历。需要经过病人委托。?控制在每个访问控制列表中必须有一个是可信的,只有他才能对病历进行写入。?同意和通报可靠的医生在打开病历时,应将访问控制列表中的名字、后续条件、可靠性的传递通知病人。BM
28、A模型的另一类原则主要是关于记录的创建和删除,例如:?创建原则?删除原则?五、信息流模型五、信息流模型状态机模型状态机模型?状态机模型为重要的安全模型提供了一个基础。用状态机语言将安全系统描述成抽象的状态机,用状态变量表示系统的状态,用转换规则描述变量变化的过程。?状态机模型不可能描述操作系统的所有状态变量只能描述安全操作系统中若干与安全相关的主要状态变量。系统被描述成一个抽象的数学状态机 状态变量(state variables)表征机器状态 转移函数(transition functions)描述状态变量如何变化?状态三元组(S,O,M),S访问主体集,O为访问客体集(可包含S的子集),M
29、 为访问矩阵,矩阵单元记为Ms,o,表示主体s对客体o的访问权限。所有的访问权限构成一有限集A。信息流模型信息流模型?模型简介 信息流模型是一种基于事件或踪迹的模型,其焦点是系统用户可见的行为,着眼于对客体之间的信息传输过程的控制。信息流模型需要遵守的安全规则是:在系统状态转换时,信息流只能从访问级别低的状态流向访问级别高的状态。信息流模型实现的关键在于对系统的描述,即对模型进行彻底的信息流分析,找出所有的信息流,并根据信息流安全规则判断其是否为异常流,若是就反复修改系统的描述或模型,直到所有的信息流都不是异常流为止。信息流模型信息流模型?定义所期望的外部可见行为 例如不干扰安全模型中提到:?
30、一个组中的用户的行为并不会对另一个组中的用户得到的结果产生影响.?结论:1.定义漂亮而简单2.安全性的输入输出规范对于实际系统的实现和验证没有太多的帮助和指导?模型的缺点 需要制定输入输出的安全性规范 信息流模型对具体的实现只能提供较少的帮助和指导?结论 这些把焦点放在系统用户的可见行为上的安全模型不能对内部具有因果限制关系的保密性要求进行很好的建模.信息安全模型分类信息安全模型分类?信息流模型和访问控制模型?多级安全模型 Bell-Lapadula模型(1973)Clark-Wilson模型(1987)Biba模型(1977)?多边安全模型 Chinese wall模型 BMA模型(1995
31、)小结小结1 信息安全模型信息安全模型保密性保密性访问控制信息流DAC自主MAC强制完整性完整性RBACBLPChinese Wall(非干扰性,非观察性)BibaClark-Wilson完整性、可用性完整性、可用性BMA六、对安全模型和体系结构的威胁六、对安全模型和体系结构的威胁对安全模型和体系结构的威胁对安全模型和体系结构的威胁?软件几乎总会有缺陷(bug)和脆弱性(vulnerability)存在。?威胁类型:隐通道 后门 缓冲区溢出隐通道隐通道?隐通道-某个实体以一种未经授权的方式接收信息的一条途径。?隐通道的两种类型:隐蔽计时通道 进程通过调整自己对系统资源的使用来向另一个进程传递信
32、息。?一个进程对系统性能产生的影响能够被另一个进程所观察,并且可以利用一个时间基准进行测量。隐蔽存储通道 一个进程向存储器写入数据时,另一个进程以直接或间接的方式读取它。?一个进程对某个客体进行写操作,而另一个进程可以观察到写的结果?对策 需要在构造和开发系统的时候来解决他们 采用审计发现网络中的隐通道违规现象后门后门?也被称为维护分支(maintenance hook);?在产品投入使用前没有把它们删除掉;?用户通常束手无策?对策 使用主机入侵检测系统来监视攻击者利用后门进入系统 设置文件权限尝试保护配置文件和敏感信息不被修改 增加严格的访问控制防止对系统的访问 使用文件系统加密保护敏感信息
33、 用审计手段检测任何类型使用后门的行为缓冲区溢出缓冲区溢出?当程序没有检查输入程序并由CPU处理的数据的长度时,就发生了缓冲区溢出。?溢出的数据执行另一个程序或代码,产生破坏。?对策:正确的编程和良好的编程习惯 使用主机入侵检测系统监视可疑行为 增加严格的访问控制防止对系统的访问 使用文件系统加密保护敏感信息 用审计手段来获得缓冲区溢出攻击的模式或者征兆防护性措施七、多维模型与安全技术框架七、多维模型与安全技术框架7.1信息安全保障模型信息安全保障模型技术技术工程工程管理管理人员人员保障要素保障要素开发采购开发采购实施交付实施交付运行维护运行维护完整性可用性完整性可用性废弃废弃保密性保密性安全
34、特征安全特征计划组织计划组织生命周期生命周期7.2 IATF技术框架技术框架预防检测响应恢复安全策略安全策略安全管理安全管理安全管理安全管理IATF技术框架技术框架7.3 基于基于OSI的安全体系结构的安全体系结构OSI 参考模型OSI 参考模型7 应用层6 表示层5 会话层4 传输层3 网络层2 链路层1 物理层安全机制安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖五种安全服务五种安全服务?鉴别:鉴别:提供对通信中的对等实体和数据来源的鉴别。提供对通信中的对等实体和数据来源的鉴别。?访问控制:访问控制:提供
35、保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源的操作),或应用于对某种资源的所有访问提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问(例如,使用通信资源,读、写或删除信息资源,处理资源的操作),或应用于对某种资源的所有访问?数据保密性:数据保密性:对数据提供保护使之不被非授权地泄露对数据提供保护使之不被非授权地泄露?数据完整性:数据完整性:对付主动威胁。在一次连接上,连接开始时使用对某实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元
36、的来源提供确证,为这些数据单元的完整性提供确证。对付主动威胁。在一次连接上,连接开始时使用对某实体鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。?抗抵赖:抗抵赖:可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一。可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式,或两者之一。与网络各层相关的与网络各层相关的ISO/OSI安全服务安全服务协议层安全服务协议层安全服务1234567对等实体鉴别YYY数据源鉴别YYY访问控制访问控制访问控制服务YYY有恢复功能的连接完整性YYY无恢复功能的连
37、接完整性YY选择字段连接完整性YYY无连接完整性Y选择字段非连接完整性YYY连接保密性YYYYYY连接保密性YYYYY流量保密性YY抗抵赖性抗抵赖性抗抵赖Y注:Y:提供=不提供*第七层的应用服务本身可能提供安全服务数据保密性数据完整性鉴别服务数据保密性数据完整性鉴别服务八种安全机制(八种安全机制(1)?加密:加密:加密既能为数据提供保密性,也能为通信业务流信息提供保密性。加密既能为数据提供保密性,也能为通信业务流信息提供保密性。?数字签名:数字签名:确定两个过程:对数据单元签名和验证签过名的数据单元。确定两个过程:对数据单元签名和验证签过名的数据单元。?访问控制:访问控制:为了决定和实施一个实
38、体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权力。为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权力。?数据完整性:数据完整性:包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。八种安全机制(八种安全机制(2)?鉴别交换机制:鉴别交换机制:可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在
39、安全审计跟踪中增加一个记录,或给安全管理中心一个报告。可以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。?通信业务填充机制:通信业务填充机制:能用来提供各种不同级别的保护,对抗通信业务分析。能用来提供各种不同级别的保护,对抗通信业务分析。?路由选择控制机制:路由选择控制机制:路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。
40、在检测到持续的操作攻击时,端系统可希望指示网络服务的提供者经不同的路由建立连接。?公证机制:公证机制:有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。安全服务安全机制安全服务安全机制加密数字签名访问控制数据完整性鉴别交换业务填充路由控制加密数字签名访问控制数据完整性鉴别交换业务填充路由控制公证公证对等实体鉴别YYY数据源鉴别YY访问控制访问控制服务Y具有恢复功能连接完整性YY无恢复功能的连接完整性YY选择字段连接完整性YY无连接完整性Y
41、YY选择字段非连接完整性YYY连接、无连接保密性YY流量保密性YYY抗抵赖性抗抵赖YYY注:Y=提供 一=不提供数据保密性数据完整性鉴别服务P2DR安全攻防模型安全攻防模型?体现被动保护主动防御的思想?传统的安全防护方法是:对网络进行风险分析,制定相应的安全策略,采取一种或多种安全技术作为防护措施。?PDR模型是最早体现这样一种思想的安全模型?P2DR模型是一个从安全攻防角度来考虑的动态的安全模型?通过适当的反应将系统调整到“最安全”和“风险最低”的状态?特点?动态性?基于时间的特性?信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为还是响应行为等等都要消耗时间?安全防护(攻击)时间P
42、t:表示从入侵开始到侵入系统的时间?检测时间Dt:从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。?响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。?系统暴露时间Et:系统的暴露时间是指系统处于不安全的时间P2DR安全攻防模型安全攻防模型?该模型提出的安全目标 安全防护(攻击)时间安全检测时间+安全响应时间”?Pt Dt+Rt(公式(公式1)系统暴露时间Et:Et=Dt+Rt-Pt?Et00?如果安全防护时间为0暴露时间=安全检测时间+安全响应时间Et=Dt+Rt(公式(公式2)?提高系统的防护时间提高系统的防护时间Pt,降低检测时间,降低检测时间Dt和响应时间和响应时间Rt。P2DR安全攻防模型安全攻防模型主要参考文献主要参考文献?A Guide to Understanding Security Modeling in Trusted Systems NCSC-1992?Integrity in Automated Information Systems NCSC-1991。问题?问题?