第二部分第二部分 安全模型安全模型信息系统的安全目标是控制和管理主体信息系统的安全目标是控制和管理主体(SubjectsSubjects,包括用户和进程)对客体,包括用户和进程)对客体(Objects,Objects,包括数据和程序)的访问包括数据和程序)的访问 安全模型: 准确地描述安全的重要方面及其与系统行为的关系提高对成功实现安全需求的理解层次一、多级安全模型一、多级安全模型 支持军用系统和数据库的安全保密 多级安全的信息结构示意; 绝密级机密级秘密级开放级Bell-LaPadula Bell-LaPadula 模型模型 BLP模型定义了系统中的主体(Subjects)访问客体(Objects)的操作规则 每个主体有一个安全级别,通过众多条例约束其对每个具有不同密级的客体的访问操作BLPBLP模型的安全策略模型的安全策略 采用了自主访问控制和强制访问控制相结采用了自主访问控制和强制访问控制相结合的方法,能够有效地保证系统内信息的合的方法,能够有效地保证系统内信息的安全,支持信息的保密性,但却不能保证安全,支持信息的保密性,但却不能保证信息的完整性信息的完整性 随着计算机安全理论和技术的发展,随着计算机安全理论和技术的发展,BLPBLP模型已经不能满足人们的需要。
模型已经不能满足人们的需要2 2、Clark-WilsonClark-Wilson模型模型 Clark-Wilson模型是一个确保商业数据完整性且在商业应用系统中提供安全评估框架的完整性及应用层的模型,由计算机科学家David D.Clark和会计师David R.Wilson发表于1987年,在1989年进行了修正 简称为CW模型 Clark-Wilson模型着重研究与保护信息和系统完整性,即组织完善的事务和清晰的责任划分 组织完善的事务意味着用户对信息的处理必须限定在一定的权力和范围之内进行,以保证数据完整性 责任划分意味着任务需要两个以上的人完成,需要进行任务划分,避免个人欺骗行为发生保证完整性有保证完整性有3 3项任务:项任务: 防止非授权修改 维护内部和外部的一致性 防止授权但不适当的修改 访问控制方法有两种:一种是定义可以针对每个数据项完成的访问操作;另一种是定义主体完成的访问操作Clark-WilsonClark-Wilson模型考虑以下几点:模型考虑以下几点: 主体必须被识别和认证 客体只能通过一组规定的程序进行操作 主体只能执行一组规定的程序 必须维护一个正确的审计日志 系统必须被证明能够正确工作3 3、BibaBiba模型模型 Biba模型是涉及计算机系统完整性的的第一个模型,1977年发布。
Biba模型将完整性威胁分为来源于子系统内部和外部的威胁如果子系统的一个组件是恶意或不正确,则产生内部威胁;如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统,则产生外部威胁 Biba认为内部威胁可以通过程序测试或检验来解决所以模型主要针对外部威胁BibaBiba模型基于两种规则来模型基于两种规则来保障数据的完整性:保障数据的完整性:下读下读(NRu)(NRu)属性,主体不能读取安全级别低属性,主体不能读取安全级别低于它的数据于它的数据上写上写(NwD)(NwD)属性,主体不能写入安全级别高属性,主体不能写入安全级别高于它的数据于它的数据二、多边安全模型二、多边安全模型 多边安全的信息结构示意 目的是阻止信息在不同部分的横向流动A B C D E共享数据1 1、Chinese Wall Chinese Wall 模型模型 访问数据受限于主体已经获得的对数据的访问权限,而不是数据的属性(密级) Chinese Wall 模型的思想是将一些可能会产生访问冲突的数据分成不同的数据集,强制所有主体最多只能访问一个数据集,但访问哪个数据集并未受强制规则的限制Chinese Wall Chinese Wall 模型系统结构模型系统结构顶层;兴趣冲突组ABC中层:公司数据集FGHIJKLMN全部客体的集合O底层:客体各层定义如下:各层定义如下: 底层由独立的数据项组成,每项涉及一个独立的公司法人 中层将涉及同一公司法人的所有客体组织起来,称为“公司数据集” 上层将公司数据集结合成组,每个组之间互为竞争对手,称为“兴趣冲突组” Chinese Wall 模型有两种安全属性: 简单安全属性 用户只能访问那些与已经拥有的信息不冲突的信息 *属性 有时,在同一个兴趣冲突组中的公司数据集之间,会出现间接信息流。
这是不允许发生的,违背Chinese Wall 模型的安全策略 *属性对写访问做规定如下: 访问必须满足简单安全属性 主体能够对一个客体写访问的前提,是主体未对任何属于其他公司数据集的客体进行读访问Chinese Wall Chinese Wall 模型安全访问定理模型安全访问定理 定理1:一个主体一旦已经访问过一个客体,则该主体只能访问位于同一公司数据集中的客体或在不同兴趣冲突组中的信息 定律2:在一个兴趣冲突组中,一个主体最多只能访问一个公司数据集 定理3:如果在一个兴趣冲突组中有X y个公司数据集,则允许每一个客体被至少一个主体访问的最小主体数量为Xy.应用例子应用例子 在软件公司里Microsoft和Netscape属于同一个利益冲突类,若某人充当了其中一个公司的财务顾问则不能再担当另一公司的同类工作Chinese Wall Chinese Wall 模型的策略模型的策略第一,专业性强,实施起来需要大量专家;第一,专业性强,实施起来需要大量专家;第二,需要清洁的信息第二,需要清洁的信息2222三三 其它安全模型其它安全模型1、P2DR安全模型(美国国际际互连连网安全系统统公司ISS提出)(动态信息安全理论的主要模型 )政策保护检测响应安全=风险风险 分析+执执行策略+系统实统实 施+漏洞检测检测 +实时实时 响应应Policy(安全策略)、Protection(防护)Detection(检测)Response(响应)2323Policy(Policy(安全策略安全策略) ) 由于安全策略是安全管理的核心,所以要想实实施动态动态 网络络安全循环过环过 程,必须须首先制定安全策略,所有的防护护、检测检测 、响应应都是依据安全策略实实施的,安全策略为为安全管理提供管理方向和支持手段。
对对于一个策略体系的建立包括:安全策略的制订订、安全策略的评评估、安全策略的执执行等2424ProtectionProtection(保护)(保护) 保护护通常是通过过采用一些传统传统 的静态态安全技术术及方法来实现实现 的,主要有防火墙墙、加密、认证认证 等方法通过过防火墙监视墙监视 限制进进出网络络的数据包,可以防范外对对内及内对对外的非法访问访问 ,提高了网络络的防护护能力,当然需要根据安全策略制定合理的防火墙墙策略;也可以利用SecureID这这种一次性口令的方法来增加系统统的安全性等等2525DetectionDetection(检测)(检测) 在网络络安全循环过环过 程中,检测检测 是非常重要的一个环节环节 ,检测检测 是动态动态 响应应的依据,它也是强制落实实安全策略的有力工具,通过过不断地检测检测 和监监控网络络和系统统,来发现发现 新的威胁胁和弱点,通过过循环环反馈馈来及时时作出有效的响应应2626ResponseResponse(响应)(响应)紧紧急响应应在安全系统统中占有最重要的地位,是解决安全潜在性最有效的办办法从某种意义义上讲讲,安全问题问题 就是要解决紧紧急响应应和异常处处理问题问题 。
要解决好紧紧急响应问题应问题 ,就要制订订好紧紧急响应应的方案,做好紧紧急响应应方案中的一切准备备工作27272 2、PDRRPDRR安全模型安全模型美国国防部 提出防护护、检测检测 、响应应、恢复安全的目标实际标实际 上就是尽可能地增大保护时护时间间,减少检测检测 和响应应时间时间 ,在系统统遭受破坏之后,应应尽可能快的恢复,减少系统统暴露的时间时间 防护Protect检测Detect响应React恢复Restore2828防护防护 网络络安全策略PDRR模型的最重要的部分就是防护护(P )防护护是预预先阻止攻击击可以发发生的条件,让让攻击击者无法顺顺利地入侵 防护护可以减少大多数的入侵事件2929检测检测 PDRR模型的第二个环节环节 就是检测检测 (D)上面提到防护护系统统除掉入侵事件发发生的条件,可以阻止大多数的入侵事件的发发生,但是它不能阻止所有的入侵特别别是那些利用新的系统统缺陷、新的攻击击手段的入侵因此安全策略的第二个安全屏障就是检测检测 ,即如果入侵发发生就检测检测出来,这这个工具是入侵检测检测 系统统(IDS) 3030响应响应 PDRR模型中的第三个环节环节 就是响应应(R)。
响应应就是已知一个攻击击(入侵)事件发发生之后,进进行处处理在一个大规规模的网络络中,响应这应这 个工作都是有一个特殊部门负责门负责 ,那就是计计算机响应应小组组世界上第一个计计算机响应应小组组CERT,位于美国于1989年建立,是世界上最著名的计计算机响应应小组组从CERT建立之后,世界各国以及各机构也纷纷纷纷 建立自己的计计算机响应应小组组我国第一个计计算机紧紧急响应应小组组CCERT,于1999年建立,主要服务务于中国教育和科研网 3131恢复恢复 恢复是PDRR模型中的最后一个环节环节 恢复是事件发发生后,把系统统恢复到原来的状态态,或者比原来更安全的状态态恢复也可以分为为两个方面:系统统恢复和信息恢复系统统恢复指的是修补该补该 事件所利用的系统统缺陷,不让让黑客再次利用这样这样 的缺陷入侵一般系统统恢复包括系统统升级级、软软件升级级和打补补丁等系统统恢复的另一个重要工作是除去后门门一般来说说,黑客在第一次入侵的时时候都是利用系统统的缺陷在第一次入侵成功之后,黑客就在系统统打开一些后门门,如安装一个特洛伊木马马 32323、建立信息安全模型安全模型MP2DRRMPPDRR安全策略管理备份与恢复机制安全响应机制入侵检测机制访问控制机制3333成功的安全模型在安全和通信方便之间建立平衡-能够对存取进行控制-保持系统和数据完整-能对系统进行恢复和数据备份。