（计算机科学与技术专业论文）高安全级别信息系统管理机制研究.pdf

独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：型塾导师签名：位 、 互 摘要 摘要 信息安全领域遵循“三分技术，七分管理”的原则，究其原则是因为无论技 术水平多么先进，如果没有良好的管理机制作为支撑，也难以发挥出应有的作用。 随着现代高安全级别信息系统和其上应用的复杂性以及所使用安全技术的 增强，安全管理的难度和复杂程度也直线上升。因此，有必要通过技术手段，建 立综合的安全管理体系和安全管理机制，以方便安全管理的实施，防范恶意用户 攻击行为和合法用户的越权操作。本文通过分析现有安全管理标准和各种安全策 略及策略模型，提出一个支持三权分立思想的安全管理机制。主要研究工作集中 在以下几个方面： 第一，策略模型是保证信息系统安全的核心部分，策略模型的好坏直接影响 到系统的安全性和易用性。本文通过对高安全级别信息系统应用运行特征进行分 析，提过基于多信任域的访问控制模型。该模型对将不同应用部署在不同的信任 域中，通过对域内实施访问控制、域间行为度量，维护应用运行的预期性，进而 保证管理流程按照预期运行。 第二，管理机制是系统安全的保障，安全管理实施是否到位直接关系到系统 是否能够抵御来自内部、外部的攻击行为。本文采用依托基于多信任域的访问控 制模型的三权分立的管理机制，通过对管理流程的设计，建立管理员间相互协作、 相互制约的关系，增强管理的安全性。 第三，依据策略模型和管理流程，本文给出了分层、模块化的管理体系框架 的设计，并基于l i n u x 内核层的安全机制，在l i n u x 环境下实现了一个原型系统。 论文的创新在于遵循三权分立的管理原则，结合l i n u x 环境的安全机制，设 计了一个系统管理员、审计管理员和安全管理员互相制约的安全管理流程，并通 过基于多信任域的访问控制机制，保障了该安全管理流程的正确运行。 关键词访问控制模型；三权分立；管理机制；安全管理 a b s t r a c t a b s t r a c t i nt h ea r e ao fi n f o r m a t i o ns e c u r i t y , t h ep r i n c i p l eo f ”t h r e et e n t h so ft e c h n o l o g y , s e v e nt e n t h so fm a n a g e m e n t ”i sw i d e l ya c k n o w l e d g e d i n v e s t i g a t i n gt h i sp r i n c i p l e ，w e c a nf i n dt h a tn om a t t e rh o wa d v a n c e dt h et e c h n o l o g yl e v e li s ，i fi ti sn o ts u p p o r t e db y ag o o da d m i n i s t r a t i o nm e c h a n i s m i ti sd i f f i c u l tt om a k ef u l lu s eo f t e c h n o l o g y a l o n gw i t ht h ec o m p l e x i t yo fm o d e mm f o r m a t i o ns y s t e m sa n dt h o s ea p p l i c a t i o n b a s e do nt h e m ，a sw e l la st h ee n h a n c e m e n to ft h es e c u r i t yt e c h n o l o g i e s t h ed i f f i c u l t y a n dc o m p l e x i t yo ft h es e c u r i t ym a n a g e m e n ta l s os t r a i g h tu p t h e r e f o r e ，i ti sn e c e s s a r y t oe s t a b l i s ha n i n t e g r a t e ds e c u r i t ym a n a g e m e n ts y s t e ma n ds a f e t ym a n a g e m e n t m e c h a n i s mb ym e a n so ft e c h n o l o g y , w h i c ha i m st of a c i l i t a t et h ei m p l e m e n t a t i o no f s a f e t ym a n a g e m e n ta n dt h ep r e v e n t i o no fm a l i c i o u su s e r s ，a sw e l la st h ei l l e g a l b e h a v i o ro fr e g i s t e r e du s e r s t h r o u g ha n a l y z i n gt h ee x i s t i n gs e c u r i t ym a n a g e m e n t s t a n d a r d sa n dav a r i e t yo fs e c u r i t yp o l i c ya n ds t r a t e g ym o d e l ，t h i sp a p e r p r o p o s e da s e c u r i t ym a n a g e m e n tm e c h a n i s mw h i c hs u p p o r ts e p a r a t i o no fp o w e r sm a n a g e m e n t t h i sp a p e r sm a j o rr e s e a r c hw o r kf o c u s e do nf o l l o w i n ga r e a s ： f i r s t ，t h ep o l i c ym o d e li st h ec o r eg u a r a n t e e so ft h es e c u r i t yi n f o r m a t i o ns y s t e m i tp o s e sad i r e c ti m p a c to nt h es y s t e m ss e c u r i t ya n de a s yu s i n g t h r o u g ha n a l y z i n g t h eo p e r a t i o n a lc h a r a c t e r i s t i c so fi n f o r m a t i o ns y s t e ma p p l i c a t i o n ，a na c c e s sc o n t r o l m o d e lb a s e do nm u l t it r u s t d o m a i ni sp r o p o s e d t h i sm o d e li sd e p l o y e dd i f f e r e n t a p p l i c a t i o n si nd i f f e r e n tt r u s td o m a i n s ，a c c o r d i n gt om e a s u r et h ec r e d i b i l i t yo f a p p l i c a t i o nb e h a v i o r , t h e s es t e p sf a c i l i t a t et h ea n t i c i p a t o r ym a i n t e n a n c eo f a p p l i c a t i o n sr u n n i n g ，a n dt h e ne n s u r et h a tm a n a g e m e n tp r o c e s s e sr u na se x p e c t e d s e c o n d ，t h em a n a g e m e n tm e c h a n i s mi st h ei n d e m n i f i c a t i o no fs y s t e ms a f e t y , t h e i m p l e m e n to fs e c u r i t ym a n a g e m e n tr e l a t e dt ow h e t h e rt h es y s t e mc a nw i t h s t a n df r o m i n t e r n a la n de x t e r n a la t t a c k s i nt h i sp a p e r , r e l y i n gt r u s tm u l t i - d o m a i na c c e s sc o n t r o l m o d e lo fm a n a g e m e n tm e c h a n i s mo f s e p a r a t i o no fp o w e r s ，t h r o u g ht h ed e s i g no f t h e m a n a g e m e n tp r o c e s s ，t h ee s t a b l i s h m e n to f m u t u a l c o o p e r a t i o n b e t w e e n a d m i n i s t r a t o r sa n dm u t u a l c h e c k sa n db a l a n c e s e n h a n c i n gt h em a n a g e m e n to f s e c u r i t y t h i r d ，i n s p i r e df r o mt h ep o l i c ym o d e la n dm a n a g e m e n tp r o c e s s e s ，t h i sp a p e r g i v e s ah i e r a r c h i c a l ，m o d u l a r d e s i g n f o rt h em a n a g e m e n t s y s t e m f r a m e w o r k f u r t h e r m o r e ，ap r o t o t y p es y s t e mu n d e rt h el i n u xe n v i r o n m e n ti si m p l e m e n t e db a s e d o nt h es e c u r i t ym e c h a n i s mo fl i n u xk e r n e ll a y e r t h ei n n o v a t i o no ft h i s p a p e ri s ：f o l l o w i n gt h em a n a g e m e n tp r i n c i p l eo f s e p a r a t i o no fp o w e r s ，as e c u r i t ym a n a g e m e n tp r o c e s si n f l u e n c e dm u t u a l l yb yt h e s y s t e ma d m i n i s t r a t o r ，t h ea u d i ta d m i n i s t r a t o ra n ds e c u r i t ya d m i n i s t r a t o ri sd e s i g n e d w h i c hc o m b i n e sw i t ht h e s e c u r i t ym e c h a n i s m so fl i n u xe n v i r o n m e n t s a f e t y o p e r a t i o no ft h es e c u r i t ym a n a g e m e n tp r o c e s si sa c h i e v e dt h r o u g ht h em a n d a t o r y 1 2 i a c c e s sc o n t r o lm e c h a n i s m k e y w o r d sa c c e s sc o n t r o lm a n a g e m e n t ； s a f e t ym a n a g e m e n t s y s t e mo fs e p a r a t i o no fp o w e r s ；m o d e lo f i v 目录 目录 摘要i a b s t r a c t i i i 第l 章绪论1 1 1 研究背景1 1 2 研究现状1 1 3 目前存在的问题2 1 4 研究内容和文章结构：3 第2 章相关理论与技术5 2 1 信息安全安全管理相关标准5 2 1 1 国外信息安全管理相关标准5 2 1 2 我国信息安全管理相关标准6 2 2 信息系统安全策略研究与发展现状7 2 2 1 自主访问控制策略7 2 2 2 强制访问控制策略8 2 3 经典安全模型8 2 3 1b l p 模型8 2 3 2b i b a 模型9 2 3 3d t e 模型1 0 2 3 4r b a c 模型1 0 2 4 本章小结1 1 第3 章基于多信任域的访问控制模型1 3 3 1 引言1 3 3 2 信息系统中多信任域的定义1 3 3 3 基于多信任域的访问控制模型1 5 3 3 1 信任度变化规则15 3 3 2 访问控制规则1 7 3 4 本章小结l8 第4 章三权分立的管理机制1 9 4 1 引言19 4 2 安全管理遵循原则1 9 4 3 三权分立的管理机制1 9 4 3 1 协作管理机制一2 0 4 3 2 相互制约机制一2 l 4 4 管理机制的实施规则2 2 4 4 1 管理机制遵循原则。2 2 4 4 2 相关的安全规则2 2 4 5 本章小结2 3 第5 章管理机制实施框架2 5 5 1 管理框架设计总体框架2 5 5 2 管理服务中心模块2 7 5 2 1 系统管理2 7 5 2 2 策略管理2 8 v 北京工业大学工学硕士学位论文 5 2 3 审计管理2 9 5 3 系统判定模块2 9 5 4 支撑模块2 9 5 5 决策模块3 0 5 6 本章小结3 0 第6 章l in u x 系统下安全管理框架的实现。3 3 6 1 引言3 3 6 2 实现环境3 3 6 2 1l i n u x 系统调用3 3 6 2 2l i n u x 安全钩子函数3 4 6 3 基于l s m 框架的管理框架实现3 5 6 3 1 重要数据结构3 5 6 3 2l s m 下实现方法3 7 6 4 本章小结4 l 结论4 3 参考文献4 5 攻读硕士学位期间发表的学术论文4 9 致谢51 v i 第1 章绪论 1 1 研究背景 第1 章绪论 随着计算机技术的飞速发展，信息系统深入到社会各个行业，在人们生活和 工作中起着越来越重要的作用。信息系统的安全也成为人们日常生活安全以及国 家安全的重要组成部分【l 】【2 1 ，并引起众多研究者的广泛关注【3 1 。 根据影响信息系统安全因素的来源不同，可将危害行为分为f 4 】内部因素和外 部因素：内部因素主要指系统在技术上存在的安全隐患；外部因素包括人为因素 和自然因素。从早期的数据加密技术、数据备份、病毒防护手段等，到近期保证 信息系统安全的防火墙、入侵检测和身份验证等安全体系的建立【5 】，在保障信息 安全的手段上，人们往往偏重于依靠技术，把信息安全误认为仅仅是安全技术上 的问题【6 j 。为了进一步加强系统安全，科技人员在安全技术和产品上的研发不遗 余力，新的技术和产品也不断涌现，但事实却不尽人意越来越复杂、多变的 安全威胁和隐患层出不穷，事实表明，只靠技术是无法消除安全威胁的【7 1 。 显然，安全技术的提高使得信息系统的安全功能越来越强大，理论上抵御来 自外部入侵的能力将会越来越强，但是，该方法抵御攻击的效果却差强人意【8 1 ， 在实际使用过程中，由于配置管理出现漏洞，经常导致功能强大的安全防御技术 形同虚设，没有达到防御对来内部用户误操作或外部恶意攻击的目的 9 1 。据分析 表明，8 0 以上的泄密和恶意攻击事件都是在内部客户端上发生的。特别是没有 对合法用户行为进行合理控制，使其可以进行越权访问，造成不安全事故【1 0 】。文 献 11 】对1 9 9 6 年到2 0 0 2 年间安全事件进行分析指出，安全机制的设计不合理或 相关安全管理和安全策略执行不到位是引起系统安全的最大隐患。公安部( ( 2 0 0 4 年全国信息网络安全状况调查分析报告显示【眨】，从2 0 0 3 年5 月至2 0 0 4 年5 月，发生在被调查企业中的信息安全事件，大多与安全管理有关，特别是安全管 理制度不完备、执行不到位、安全防范意识薄弱，因此，安全管理必需得到足够 的重视才能保证系统资源的安全性。 如果信息系统中所有用户都经过认证和授权，其操作都是符合规定的，那么 就不会产生攻击性的事件，就能保证整个信息系统的安全1 1 3 】。因此“三分技术， 七分管理这个在其他领域总结出的实践经验和原则，在信息安全领域也同样适 用1 1 4 。 1 2 研究现状 从二十世纪九十年代，信息系统安全管理开始得到众多研究者的关注，各种 安全模型层数不穷。 北京工业大学工学硕士学位论文 1 9 8 9 年，i s 0 7 4 9 8 2 从安全服务角度建立7 0 s i 模型【1 5 l ( 开放式系统互联参 考模型) ，对安全管理活动以及安全管理自身的安全做了定义，将安全管理活动 分为：系统安全管理、安全服务管理和安全机制管理三种。o s i 模型对安全管理 从功能上作了明确的界定和分类，对其后各类安全产品的发展起到了积极的指导 作用。 为了适应动态变化的网络环境，i s s 公司提出的能适应动态变化的多维互联 的网络环境p p d r 安全管理模型【16 1 。安全策略在安全管理中占核心地位【1 7 】，在安 全策略的指导下，防护、检测和响应组成了一个完整的、动态的安全循环，以及 一个螺旋上升的过程。增强了防御的主动性，达到了更好的维护网络的目的。 1 9 9 8 年，g e o r g em a s o n 大学的s a n d h u 等人提出t c c s a 安全管理模型【l 踟。与 p p d r 安全管理模型类似，c c s a 模型也将安全管理看作是连续的循环活动过程， 不过它更注重可操作性，按管理的职责将安全管理过程分为管理、操作和评估三 个阶段。 2 0 0 2 年，美国国家安全局( n s a ) 制t t t i a t f 信息保障体系结构【1 9 1 ，此体 系结构中包含了人、技术和操作三个要素；其核心的理念是人借助技术的支持， 实施一系列的操作过程，最终实现信息安全保障的目标。只有将技术、管理、策 略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和 建设的有力依据。队t f 创造性的地方在于首次提出了信息保障依赖于人、技术和 操作来共同实现，认为稳健的信息保障状态意味着信息保障的策略、过程、技术 和机制在整个组织的信息基础设施的所有层面上都能得以实施。 我们国家也早在上世纪9 0 年代就开始了高安全操作系统的研究。计算机信 息系统安全保护等级划分准则1 2 0 ( g b l 7 8 5 9 1 9 9 9 ) 规定了计算机系统安全保 护能力的五个等级，其中四级以上的系统要求取消系统超级用户，实现权职分离 和最小特权的要求。 1 3 目前存在的问题 目前信息安全主要面临两大类安全威胁【2 1 】：误用和入侵。误用是由于用户权 限配置有误、访问控制不到位和应用的缺陷而造成的；入侵则包括外部人员攻击 企图进入未授权的系统和内部人员有意、无意的越权操作等两种来源。而造成这 些安全问题的很重要一个原因是安全策略实施不到位，安全管理出现漏洞1 2 2 j 。 现有信息系统在管理上，即使从技术上提供了某些安全手段来保证信息的安 全，但是在使用过程中，往往会因为管理的漏洞造成系统无法按照预想的行为达 到某种预期的目的【2 3 】。例如：用户通过现有的口令鉴别机制进入操作平台就会被 认为是合法的用户，而一般系统只将合法用户分为两类，具有一切特权的超级用 户和不具有任何特权的普通用户，在这种情况下，任何用户，只要能进入系统， 并切换成超级用户身份，就能完全控制整个系统。因此，随着信息系统功能的增 2 第】章绪论 加，如何有效的对信息系统进行管理，成为日益严重的问题【2 4 1 。目前安全管理 主要面临以下几个方面： 1 缺乏整体的管理架构设计 在保障系统资源的安全性上，通常企业会在安全技术研发上投入大量的财 力、物力，但是如何将先进的技术手段合理利用起来通常是个被忽略的问题。由 于缺乏合理的管理架构，造成无法及时发现系统的弱点和威胁，进而无法形成相 对应的控制措施【2 5 】。 2 安全管理无法有效落实 安全性和易用性是对不可调和的矛盾，由于无法让使用者都能认知信息安全 问题的重要性，并承担信息安全的相关责任。信息系统的使用者经常为了操作方 便，忽视安全相关问题 2 6 】，以至于安全管理不能有效落实到位，良好的安全功能 无法发挥自身的优势。 3 安全管理缺乏制约机制 目前很多信息系统为了方便管理，经常在系统中设置超级用户，管理系统中 所有资源。超级用户具有系统一切管理特权，可以任意访问系统任何资源，因此， 超级用户权限的丢失和有意无意的失误操作成为系统安全的最大隐患【2 7 1 。如何有 效的建立相互间制约关系，成为系统管理面临的最大问题。 因此，安全的管理体系在整个信息系统安全方面起着关键性因素。要想保证 信息系统的安全，首先就必须保证用户和系统的行为都是合法的，系统中的安全 功能够按照用户可预期的方式达到某种预期目的【2 8 】，而预期目的即包括功能目的 又包括安全目的。由于只有合理的管理流程才能发挥系统的安全性，进而确保用 户操作行文的合法性和资源的一致性。因此，本文主要针对以上问题，研究采用 何种安全管理体系才能最大限度发挥系统的安全功能，保障信息系统的安全性。 1 4 研究内容和文章结构 高安全级别信息系统主要指g b l 7 8 5 9 1 9 9 9 中三级以上的系统，当其安全性 受到破坏后，将严重影响社会秩序、公众利益甚至国家的安全和稳定，因此它的 安全性在保障国家信息安全起到举足轻重的地位。 本文围绕高安全级别信息系统当前存在的问题，从管理角度对安全管理系统 设计及其相关理论模型进行研究，力争从管理角度提高信息系统的安全性，本论 文主要针对高安全级别信息系统的策略模型，管理机制和管理体系设计三个方面 进行具体研究，具体内容如下： 第1 章主要介绍安全管理的研究的背景以及目前研究现状，并对信息安全管 理的必要性和目前存在的问题进行分析。 第2 章主要对国内外安全管理相关标准、安全策略和典型的安全策略模型相 关内容，使用场景进行介绍，并在此基础上对强制访问控制中经典安全策略模型 北京工业大学工学硕士学位论文 优缺点进行对比分析。 第3 章，根据各种策略模型优缺点进行分析，从保障系统资源安全和应用正 常运行两个方面，结合可信计算提出一种新的安全策略模型基于多信任域的 访问控制模型。该模型通过不同应用间隔离、应用内部实施访问控制实现对系统 安全的防护。 第4 章对安全策略授权和系统管理机制进行介绍，结合三权分立的权职分离 方法，在系统中，进行管理特权的划分和不同管理员间相互制约关系的建立，达 到降低了由于管理员误操作带来的威胁和非法用户对系统的破坏。在此基础上， 利用域的划分，隔离域间信息流的流动，限制了非法信息流扩散，进一步增强了 系统的安全性。 第5 章主要介绍为使策略模型、管理机制在系统中实施而提出的一种管理框 架设计方法。该框架根据信息系统安全设计原则，将策略管理、访问控制相分离， 提高系统的可用性和灵活性。 第6 章主要介绍管理框架在l i n u x 系统中的实现方法，并以主体访问客体为 例，对本框架中的上层应用行为的控制流程进行详细介绍。 4 第2 章相关理论与技术 第2 章相关理论与技术 近年来，信息安全管理相关理论与新技术层出不穷。国内外研究机构也提出 了很多与信息安全管理相关的标准、安全策略以及安全策略模型。本章首先对信 息安全管理相关标准的国内外研究与制订情况做一介绍，然后对常用访问控制策 略以及访问控制策略模型进行阐述。 2 1 信息安全安全管理相关标准 信息安全技术的发展极大地促进了信息安全管理理念的产生和发展，各种有 关信息安全管理的法规、标准也应运而生，截止目前为止，国内外都已发布相关 标准。 2 1 1 国外信息安全管理相关标准 2 1 1 1b s7 7 9 9 标准 b s7 7 9 9 ( i s o i e c l7 7 9 9 ) 2 9 】：即国际信息安全管理标准体系0 s o17 7 9 9 b s 7 7 9 9i n f o r m a t i o ns e c u r i t yc e r t i f i c a t i o n ) 是由b s i d i s c 的b d d 2 信息安全管理委员 的指导下制订完成。b s7 7 9 9 分为两个部分：b s 7 7 9 9 1 ，信息安全管理实施细则， 主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护 信息安全；b s 7 7 9 9 2 ，信息安全管理体系规范，详细说明了建立、实施和维护信 息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制 对象，并对自己的需求采取适当的控制。 2 1 1 2i s o i e c2 7 0 0 x 系列标准 i s 0 2 7 0 0 0 系列标准于2 0 0 5 年正式推出，初步考虑制定将近1 0 个标准全面 规范信息安全管理体系( i s m s ) 。目前发布有其中六个：2 7 0 0 0 1 3 0 】是术语和定义， 2 7 0 0 1 t 3 1 】主要用于阐述i s m s 的基本原理和词汇，2 7 0 0 2 3 2 】是实践指导，给出了1 1 个安全域3 9 个安全控制目标和1 3 3 个安全控制措施，2 7 0 0 3 3 2 】是实施的指南， 2 7 0 0 4 1 3 4 】主要阐述信息安全管理的过程度量和控制度量，2 7 0 0 5 3 5 1 主要阐述风险 评估和风险处置，2 7 0 0 6 3 6 】信息安全管理认可认证。 2 1 1 3i t 安全管理指南( i s o i e ct r1 3 3 3 5 ) 它是由i s o i e cj t c l l 37 】制订的技术报告，是一个信息安全管理方面的指导性 标准，其目的是为有效实施i t 安全管理提供建议和支持。其特点是强调以风险管 理为核心的信息安全管理。 2 1 1 4 信息及相关技术控制目标( c o b i t ) 信息及相关技术控制目标c o b i t ( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n d 北京工业大学工学硕士学位论文 r e l a t e d t e c h n o l o g y ) 1 3 8 是目前国际上通用的信息系统审计的标准，是由信息系统 审计与控制协会在1 9 9 6 年发布的。它为i t 、安全、审计经理和用户提供了一套 完整的参考框架。 c o b i t 是以组织的业务目标为核心，为组织提供其所需的信息，同时，平 衡在信息技术领域的投资与风险，把握技术发展带来的机会，以达到利益最大化， 机会资本化，获取竞争优势。为了实现这些目标，c o b i t 采用了层次结构的管 理方法，把i t 过程按其性质划分为4 个域，分别为：规划与组织、获得与实施、 交付与支持、监控。 2 1 1 5i t 服务流程管理( i t i l ) 信息技术基础设施库i t i l 【3 列( i n f o r m a t i o nt e c h n o l o g yi n f r a s t r u c t u r el i b r a r y ) 是由英国政府的中央计算机和通信机构提出的，由英国商务部负责维护的一套i t 服务管理标准。目前在欧洲非常盛行，在北美也日益普及，它通过描述l t 的关键 的1 0 个核心流程的目标、活动、输入、输出以及各个流程之间的关系，为i t 服 务管理领域确立了一套最佳实践方法。到9 0 年代中期，i t i l 已成为世界服务管 理领域事实上的标准，i t 著名厂商i b m 、h p 、c a 根据i t i l 都提出了自己的服务 管理模型，i t i l 在世界上得到了广泛的认可。 与i s o2 7 0 0 1 相比，i t i l 关注面更为广泛( 信息技术) ，而且更侧重于具体 的实施流程，i s m s 实施者可以将i s o2 7 0 0 x 系列作为i t i l 在信息安全方面的补 充，同时引入i t i l 流程的方法，以此加强信息安全管理的实施能力。 2 1 2 我国信息安全管理相关标准 在信息安全管理标准的制订方面，我国主要采用与国际标准靠拢的方式，充 分借鉴吸收国际标准的长处。在全国信息安全标准化技术委员会内，第7 工作 组( w g 7 ) 主要负责研究和制订适用于涉密和敏感领域之外的安全保障的通用 安全管理方法、安全控制措施以及安全支撑和服务等方面的标准、规范及指南。 在w g 7 的努力下，目前我国己正式转化的信息安全管理国际标准有： g b t1 9 7 1 6 2 0 0 5 信息技术信息安全管理实用规则( 修改采用国际标 准i s o i e c17 7 9 9 ：2 0 0 0 ) ； g b t1 9 7 1 5 1 - 2 0 0 5 信息技术i t 安全管理指南第1 部分：i t 安全概 念和模型( 等同采用i s o i e ct r1 3 3 3 5 1 ：1 9 9 6 ) g b t1 9 7 1 5 2 2 0 0 5 信息技术i t 安全管理指南第2 部分：管理和规划 i t 安全( 等同采用i s o i e ct r1 3 3 3 5 2 ：1 9 9 7 ) g b t2 2 0 8 0 2 0 0 8 信息技术安全技术信息安全管理体系要求( 等同 采用i s o i e c2 7 0 01 ：2 0 0 5 ) g b t2 2 0 8 1 2 0 0 8 信息技术安全技术信息安全管理实用规则( 代替 6 第2 荦相关理论与技术 g b 厂r1 9 7 1 6 - 2 0 0 5 ，等同采用i s o i e c2 7 0 0 2 ：2 0 0 5 ) 等级保护工作的开展为我国安全管理标准的制定工作提出了新的要求。在吸 收原有等级保护有关行标经验的基础上，w g 7 组织完成了2 项安全管理类行业 标准的提升国标工作：g b t2 0 2 6 9 2 0 0 6 信息安全技术信息系统安全管理要求 和g b t2 0 2 8 2 2 0 0 6 信息安全技术信息系统安全工程管理要求。 2 2 信息系统安全策略研究与发展现状 对于信息系统来讲，安全需求由该系统应用的场合、实施的目标决定，具体 表现为一系列的安全策略1 4 们。安全策略定义了应用需要实现的安全目标、以及实 现既定安全目标途径的一组规则。因此，通常说一个信息系统是安全的，指的是 它满足特定的安全策略。由于不同用户对信息安全需求的侧重点是不同的，大多 用户对安全的需求集中在保护数据的机密性、完整性和可用性，因此保护系统资 源的安全集中在保证信息系统的正常执行的前提条件下，保护数据不被非授权用 户非法访问、恶意篡改等1 4 q 。 访问控制是信息安全保障机制的核心内容，它的主要任务是保证系统资源不 被非法使用和访问，保护数据机密性和完整性机【4 2 1 。访问控制是为了限制访问主 体对访问客体的访问权限，决定了什么用户能够访问系统，能以何种方式访问系 统的何种资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数 据，从而使信息系统在合法范围内使用。根据实现的基本理念不同，访问控制可 分为：强制访问控制和自主访问控制【4 3 1 。 2 2 1 自主访问控制策略 自主访问控制i 4 4 j ( d i s c r e t i o n a r ya c c e s sc o n t r o ls t r a t e g y ) 是一种允许主体 对客体访问控制施加限制的访问控制类型，它允许主体针对主体所属的资源进行 访问访问控制权限设置，用户对资源的每次访问都会检查用户对资源的访问权 限，只有通过验证的用户才能访问资源。自主访问控制是基于用户的，具有很强 的灵活性，因此，自主访问控制策略适合任何类型的信息系统，尤其是商业和工 业领域的信息系统。例如，在很多应用环境中，用户需要自主设定自己所属资源 能够被哪类用户采用何种方式进行访问。在这种环境下，用户对信息的访问控制 是动态的，适合采用自主访问控制。 自主访问控制的任意性导致自主访问控制策略存在严重的安全隐患，用户不 能对已经具有权限的用户行为和已授权用户对其他用户的授权进行控制，因为入 侵者可以很容易通过一定的手段来获得对系统资源的访问权限。例如，文件的属 主授予某用户读取该文件的权限，然后该用户就可以将读取的该文件信息传递给 其他没有对该文件没有读权限的用户。 自主访问控制的方式包括身份型( i d e n t i t y b a s e d ) 访问控制和用户指定型 北京工业大学工学硕士学位论文 ( u s e r - d i r e c t e d ) 访问控制，通常包括目录式访问控制，访问控制表，访问控制矩阵 和面向过程的访问控制等方式。 2 2 2 强制访问控制策略 强制访问控制【4 5 】( m a n d a t o r ya c c e s sc o n t r 0 1 ) 是一种不允许主体干涉的访 问控制策略。它是采用安全标识和信息分级等措施的信息敏感性访问控制，通过 比较资源的敏感性与主体的级别来确定是否允许访问。系统将所有主体和客体分 成不同的安全等级，给予客体的安全等级能反映出客体本身的敏感程度；主体的 安全等级，标志着用户不会将信息透露给未经授权的用户。通常安全可根据实际 需求分为不同的等级，并根据该等级进行信息流流动控制。 强制访问控制在军事和政务信息系统中使用较多。例如，如果在某信息系统 中实施了强制访问控制，则该系统中所有资源安全级别由系统管理员严格按照一 定的流程进行设置，不允许其他用户随意修改。如果经系统管理员设置安全级别 后，用户安全级别没有访问某文件的权限，那么即使该用户是该文件的拥有者也 不能进行访问。 与自主访问控制相比强制访问控制的安全性更高，但灵活性要差。因此在使 用过程中常常需要自主访问控制作为补充。 2 3 经典安全模型 安全模型【4 6 】( s e c u r i t ym o d e l ) ，就是描述信息系统保密性、完整性、可用性 需求的形式化的方法，也是对安全策略的高度抽象和无歧义的描述。通常，安全 模型是建立在特定的安全策略之上，它为安全策略与其实现机制的关联提供了一 种框架。安全模型描述了对某个安全策略需要用哪种机制来满足，而模型的实现 则描述了如何把特定的机制应用于系统中，从而实现某种特别的安全策略所需的 安全保护。 j p a n d e r s o n t 4 7 】指出，要开发安全信息系统，首先必须建立信息系统的安全 模型。安全模型中给出了安全系统中关于安全控制的形式化定义，并对系统的使 用方式、使用环境类型、授权的定义、共享的客体( 系统资源) 、共享的类型和受 控共享思想等，进行综合分析和形式化描述，用以证明系统是安全的、是能够反 映真实环境的，并在逻辑上证明程序的受控执行是可实现的。 由于安全模型在高安全等级操作系统的设计和实现中具有至关重要的地位， 下面则对常用的安全策略模型进行介绍。 2 3 1b l p 模型 b l p 模型1 4 8 】在1 9 7 3 年由d e b e l l 和l j l a p a d u l a 提出的可证明的安全系统 的数学模型，i i l j b e l l & l a p a d u l a 模型，简称b l p 模型。b l p 模型是典型的信息保 第2 章相关理论与技术 密性多级安全模型，主要应用于军事系统，维护系统的保密性，有效地防止信息 泄露，是处理多级安全信息系统的设计基础 b l p 模型将系统赋给主体和客体不同的安全标签，将主体对客体的访问方式 分为：，- 、w 、a 、e 四种，分别对应只读、读写、只写、执行。只要包含括简单 安全特性和畸等性，其中： 简单安全特性：主体s 能读客体o ，一定有主体的安全级别高于客体的安全 级别 幸特性： 主体j 能读客体0 ，一定有主体的安全级别高于客体的安全级别 主体s 能添加写客体o ，一定有主体的安全级别低于客体的安全级别 主体s 能读写客体o ，一定有主体的安全级别等于客体的安全级别 b l p 模型主要解决的核心问题是对具有密级划分的信息的访问进行控制， 对客体机密性的控制，防止信息由高安全级别信息流向低安全级。其基本思想是， 给每个主体和客体赋予一个安全级( 机密级) ，当主体申请对客体进行操作时，安 全机制通过安全级来判别是否允许其操作。如果主体的安全级高于客体，则允许f 主体读取客体信息，不允许其写。反过来，当主体的安全级低于客体的安全级 时，只允许主体写客体信息，但不允许读。这样就保证了机密信息不被泄露给安 全级较低的主体。 b l p 模型的不足在于无法保护资源的完整性，低保密级向高保密级“写”带 来了潜在的威胁：如果低保密级别信息被病毒感染，则携带病毒的低保密级别主 体可以通过“写 动作将病毒传播给高保密等级。因此不少安全操作系统在实现。