安全架构与设计.ppt

GooAnnCISSPTraining SecurityArchitectureandDesign安全架构与设计 2 内容目录 保护机制安全模型系统测评 3 保护机制安全模型系统测评 4 保护机制的基本概念 主体和客体主体 即主动实体 导致信息在系统中流动及改变系统状态的用户或进程等客体 包含或接受信息的被动实体 如文件 内存块等安全策略一系列的规则 实践和过程的组合 指示敏感信息如何管理 保护和发布 多层次安全策略 Multilevelsecuritypolicy 防止信息从高级别安全流向低安全级别的安全策略 这种类型策略只允许一个主体在其安全级别高于或等于对象安全分类时才能访问该对象 安全机制实现安全策略的一整套软件 硬件的实体 它的作用就是保证安全策略的实现 5 保护机制 TCB TCB是计算机系统内保护机制的总体 包括硬件 固体 软件和负责执行安全策略的组合体 TCB由一系列的部件构成 在产品或系统中执行统一的安全策略 TCB的三个要求TCB必须保证其自身在一个域中的执行 防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源 以便进行访问控制和审计TCB维护每个域的保密性和完整性 监视4个基本功能进程激活 Processactivation执行域的切换 Executiondomainswitching内存保护 MemoryprotectionI O操作 I Ooperation 6 保护机制 ReferenceMonitor RM是一个抽象机的访问控制概念 基于访问控制数据库协调所有主体对客体的访问RM的任务根据访问控制数据库 对主体对客体的访问请求做出是否允许的裁决 并将该请求记录到审计数据库中 注意 基准监视器有动态维护访问控制数据库的能力 RM的特性 执行主体到对象所有访问的抽象机必须执行所有访问 能够在修改中被保护 能够恢复正常 并且总是被调用 处理所有主体到客体访问的抽象机 7 保护机制 SecurityKernel 安全内核是TCB中执行引用监视器概念的硬件 固件和软件元素理论基础 在一个大的操作系统中 只将相对比较小的一部分软件负责实施系统安全 并将实施安全的这部分软件隔离在一个可信的安全核 这个核就称为安全核 需要满足三个原则完备性 协调所有的访问控制隔离性 受保护 不允许被修改可验证性 被验证是正确的安全核技术是早期构建安全操作系统最为常用的技术 几乎可以说是唯一能够实用的技术 引用监视器RM是概念 抽象的机器 协调所有主体对对象间的访问 安全内核是硬件 是TCB中执行RM的部分 TCB中除安全内核外还有其它安全机制 8 保护机制 ProtectionRing 一组同心的编号环环数决定可以访问的层次 越低的环数表示越高的特权程序假定执行环数的位置程序不可以直接访问比自身高的层次 如需访问 系统调用 systemcall 一般使用4个保护环 Ring1操作系统安全核心Ring2其他操作系统功能 设图示控制器Ring3系统应用程序 数据库功能等Ring4应用程序空间 9 保护机制 SecurityLabels 分配给一个资源以说明分类级别根据标签以及主体的级别确定主体是否可以访问客体资源不常改变是一种有效的访问控制机制需要额外的验证开销 10 保护机制 SecurityDomain 安全内核和其它联系安全的系统功能都限制在一个TCB边界内 即安全区域安全区域以外的系统元件不需要是可靠的 例如 一个完全的计算机系统或者一个局域网应该属于安全区域内部 通过网关同外部的系统和网络相连接安全边界 Securityperimeter将TCB与系统的其它部分隔离的边界 11 保护机制 分层 不同的领域有不同的安全要求 在不同的层次执行 用户端 数据端或操作端 因而安全机制可应用于硬件 内核 OS 业务和程序等各个层次 操作系统设计的一个重要概念是将安全机制放置在系统的低层 操作系统 操作系统内核 安全内核 12 保护机制 进程隔离 硬件分离 最小特权 进程隔离 ProcessIsolation进程可以互不干扰地运行 每个进程都被分配了各自的内存空间 多个进程并发运行时不会相互影响在进程切换时系统跟踪进程的所有状态 如寄存器等硬件分离 HardwareIsolation将TCB与系统中其它不可信的部分隔离最小特权 LeastPrivilege一个进程只拥有它运行所需的权限和访问 只有需要完全特权的进程才可以运行在内核 其他进程只当需要时才调用这些特权进程 13 保护机制 Hardening 传统的Hardening针对操作系统 指保护内核 内存不受其它在主机上已运行程序的影响目前这个概念已经扩展到网络接口上 用于限制可运行的服务和行为涉及系统的各个方面 物理和逻辑访问操作系统应用数据接口一些硬件厂商目前提供相应系统的hardening版本 如用于访问控制的sandbox层次 用于分离资源和访问请求 14 保护机制安全模型系统测评 15 安全模型的基本概念 模型 是一个综合的概念 是具体事物的高度抽象 信息安全的模型是用来描述基本的安全目标 安全特征或技术的基本组成的一种工具 其目的是以简洁明了形式说明安全功能的设计和开发中应该考虑的事项 信息安全模型中往往也包括了工程实践中的经验和某些具体的考虑 安全策略提供了实现安全的抽象目标 安全模型将抽象的安全策略目标映射为信息系统的表达 通过确定的数据结构和必要的技术执行行安全策略 16 信息安全模型分类 访问控制模型 Accesscontrolmodels 也称为保密性模型 ConfidentialityModel 状态机Bell LaPadula访问矩阵模型Take Grant模型完整性模型 IntegrityModelsBiba模型Clark Wilson模型信息流模型 InformationFlowModels非干涉模型 17 状态机模型 StateMachineModel状态机模型描述了一种无论处于何种状态都是安全的系统一个状态 State 是处于特定时刻系统的一个快照 如果该状态所有方面都满足安全策略的要求 就称之为安全的Statetranisition 状态转换 许多活动可能会改变系统状态 成为状态迁移 Statetransition 迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态 则系统执行一个 安全状态机模型 securestatemodel 一个安全的状态机模型系统 总是从一个安全状态启动 并且在所有迁移当中保持安全状态 只允许主体以和安全策略相一致的安全方式来访问资源安全的状态机模型是其他安全模型的基础 18 信息流模型 InformationFlowModels 基于状态机 由对象 状态转换以及格 流策略 状态组成 对象可以是用户 每个对象都被分配一个安全等级和值Bell LaPadula和Biba模型都是信息流模型 前者要防止信息从高安全等级流向低安全等级 后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向 也可以处理流类型信息流模型用于防止未授权的 不安全的或者受到限制的信息流 信息流可以是同一级别主体与客体之间的 也可以是不同级别间的信息流模型允许所有授权信息流 无论是否在同一级别 信息流模型防止所有未授权的信息流 无论是否在同一级别信息被限制在策略允许的方向流动 19 Bell LaPadula模型 1973年 DavidBell和LenLaPadula提出了第一个正式的安全模型 该模型基于强制访问控制系统 以敏感度来划分资源的安全级别 将数据划分为多安全级别与敏感度的系统称之为多级安全系统为美国国防部多级安全策略形式化而开发Bell LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型 多级安全 特点 信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级 无密级 敏感但无密级 机密 秘密 绝密 Needtoknow 谁需要知道 开始于安全状态 在多个安全状态中转换 初始状态必须安全 转变结果才在安全状态 20 Bell LaPadula模型安全规则 简单安全规则ss SimpleSecurityProperty 安全级别低的主体不能读安全级别高的客体信息 NoReadUp 星规则 The star securityProperty安全级别高的主体不能往低级别的客体写 NowriteDown 强星规则Strong property不允许对另一级别进行读取自主安全规则ds DiscretionarysecurityProperty 使用访问控制矩阵来定义说明自由存取控制内容相关ContentDependent上下文相关ContextDependent 21 BLP模型的缺陷 不能防止隐蔽通道 covertchannels 不针对使用文件共享和服务器的现代信息系统没有明确定义何谓安全状态转移 securestatetransition 基于多级安全保护 multilevelsecurity 而未针对其他策略类型不涉及访问控制管理不保护完整性和可用性 22 Biba模型 完整性的三个目标 保护数据不被未授权用户更改 保护数据不被授权用户越权修改 未授权更改 维持数据内部和外部的一致性1977作为Bell Lapadula的完整性补充而提出 用于非军事行业Biba基于一种层次化的完整性级别格子 hierarchicallatticeofintegritylevels 是一种信息流安全模型 特点 基于小于或等于关系的偏序的格最小上限 上确界 leastupperbound LUB 最大下限 下确界 greatestlowerbound GLB Lattice IC LUB GUB 数据和用户分级强制访问控制 23 完整性公理IntegrityAxioms 简单完整条件 一个主体能够对一个客体持有read访问方式 仅当客体的完整性级别支配主体的完整性级别 Noreaddown完整性星规则 一个主体能够对一个客体持有write访问方式 仅当主体的完整性级别支配客体的完整性级别 Nowriteup援引规则 一个主体能够对另一个主体持有调用 invoke 访问方式 仅当第一个主体的完整性级别支配第二个主体的完整性级别 24 Lattice模型 Lattice模型通过划分安全边界对BLP模型进行了扩充 它将用户和资源进行分类 并允许它们之间交换信息 这是多边安全体系的基础 多边安全的焦点是在不同的安全集束 部门 组织等 间控制信息的流动 而不仅是垂直检验其敏感级别 建立多边安全的基础是为分属不同安全集束的主体划分安全等级 同样在不同安全集束中的客体也必须进行安全等级划分 一个主体可同时从属于多个安全集束 而一个客体仅能位于一个安全集束 在执行访问控制功能时 lattice模型本质上同BLP模型是相同的 而lattice模型更注重形成 安全集束 BLP模型中的 上读下写 原则在此仍然适用 但前提条件必须是各对象位于相同的安全集束中 主体和客体位于不同的安全集束时不具有可比性 因此在它们中没有信息可以流通 25 Clark Wilson模型 在1987年被提出的经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记定义 受限数据条目ConstrainedDataItem CDI 完整性检查程序IntegrityVerificationProcedure IVP 转换程序TransformationProcedure TP 自由数据条目UnconstrainedDataItemClark Wilson需要integritylabel用于确定一个数据项的完整级别 并在TP后验证其完整性是否维持 采用了实现内 外一致性的机制 separationofduty mandatoryintegritypolicy 26 Clark Wilson模型 续 也是一个保护完整性的模型没有像Biba那样使用lattice结构 而是使用Subject Program Object这样的三方关系 triple Subject并不能直接访问Object 只能通过Program来访问两个原则 well formedtransactions 采用了program的形式 主体只能通过program访问客体 每个恰当设计的program都有特定的限制规则 这就有效限制了主体的能力separationofduties 将关键功能分成两个或多个部分 必须由不同的主体去完成各个部分 可防止已授权用户进行未授权的修改要求具有审计能力 Auditing Clark Wilsonmodel也被称作restrictedinterfacemodel该模型考虑到了完整性的3个目标 而Biba模型只考虑了第一个 27 中国墙模型 BrewandNash ChineseWall ChineseWall模型是应用在多边安全系统中的安全模型 也就是多个组织间的访问控制系统 应用在可能存在利益冲突的组织中 最初是为投资银行设计的 但也可应用在其它相似的场合 ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突 在投资银行中 一个银行会同时拥有多个互为竞争者的客户 一个银行家可能为一个客户工作 但他可以访问所有客户的信息 因此 应当制止该银行家访问其它客户的数据 ChineseWall安全模型的两个主要属性 用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问这种模型同时包括了DAC和MAC的属性 银行家可以选择为谁工作 DAC 但是一旦选定 他就被只能为该客户工作 MAC 28 非干涉模型 Non interferenceModel 基于信息流模型非干涉模型并不关心信息流 而是关心影响系统状态或者其他主体活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响 或者干涉在较低安全级别发生的活动 如果在较高安全级内的一个实体执行一项操作 那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动 那么该实体可能能够推断出较高级别的信息 引发信息泄漏基本原理为 一组用户 A 使用命令 C 不被用户组 B 使用命令D 干扰 可以表达成A C B D 同样 使用命令C的组A的行为不能被使用命令D的组B看到 29 取 予模型 Take Grant 4种存取方式accessmode 4种权限 1 Read2 Write3 Take AtakeBA可以 取 B所持有的对系统中其他主体或客体的任何权限 4 Grant AgrantBA可以 授予 B任何A所持有的对系统中其他主体或客体的任何权限 1 2为安定型 inert 权限 不改变系统的授权 保护状态3 4为变换型 transport 权限 允许权限变换 30 访问矩阵模型 AccessMatrix 为主体提供访问客体的直接访问访问权限AccessRights读Read 写write 执行execute主体 Subject主动实体 寻求对客体或资源的权限人 程序或进程客体Objects被动实体文件或存储设备支持自定义访问控制 Discretionary 31 访问矩阵模型 续 访问矩阵的列称为AccessControlLists ACLs 行称为capabilitylists 在访问矩阵中 一个主体的能力为三元组 object rights random 它定义了一个主体对客体的权限 通常含有一个随机数用于防止replay或spoofing 类似于Kerberos的ticket 32 保护机制安全模型系统测评 33 系统测评 检查一个系统与安全相关的部分 TCB 访问控制机制 referencemonitor kernel 保护机制以及它们之间的关系和作用 有多种不同的方法评估为系统提供安全和信任级别 称之为规范 criteria TrustLevel 告诉用户其对系统的期望如何 系统提供何种级别的安全Assurance 在每个计算条件下 系统可以一个正确和可预见的方式执行 更细化 程度更深 34 信息系统评估标准 35 TCSEC 桔皮书 TrustedComputerSystemEvaluationCriteria 是一个评估OS 应用的 系统的规范 评价不同系统的尺度 检查系统的功能性 有效性和保证程度 提供多种级别 1970年由美国国防科学委员会提出 1985年公布 主要为军用标准 延用至民用 TCSEC2000年退休 被CommonCriteria所替代 是第一个涉及计算机系统的安全规范 36 TCSEC的等级 D 最小保护 minimalprotection C 自主保护 discretionaryprotection C1 选择安全性保护 DiscretionarySecurityProtectionC2 受约束的访问保护 ControlledAccessProtectionB 强制保护 mandatoryprotection B1 标签式安全保护 LabeledSecurityB2 结构化保护 StructureProtectionB3 安全域 SecurityDomainA 校验保护 verifiedprotection A1 验证设计 VerifiedDesign 37 TCSEC总结 D1级是不具备最低安全限度的等级C1和C2级是具备最低安全限度的等级B1和B2级是具有中等安全保护能力的等级 基本可以满足一般的重要应用的安全要求B3和A1属于最高安全等级 其成本增加很多 只有极其重要的应用才需要使用这种等级的系统 38 ITSEC InformationTechnologySecurityEvaluationCriteria欧洲多国安全评价方法的综合产物 军用 政府用和商用 以超越TCSEC为目的 将安全概念分为功能与功能评估两部分 首次提出了信息安全的保密性 完整性 可用性的概念评估对象TOE TargetofEvaluation 产品和系统安全性目标securitytarget安全增强机制安全策略 39 加拿大CTCPEC 1989年公布 专为政府需求而设计与ITSEC类似 将安全分为功能性需求和保证性需要两部分 功能性要求分为四个大类 a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类 表示安全性上的差别 分级条数为0 5级 40 CC CommonCriteria CC定义了作为评估信息技术产品和系统安全性的基础准则 全面地考虑了与信息技术安全性有关的所有因素 与PDR 防护 检测 反应 模型和现代动态安全概念相符合的 强调安全的假设 威胁的 安全策略等安全需求的针对性 充分突出保护轮廓仍强调把安全需求划分为安全功能需求和安全保证需求两个独立的部分 根据安全保证需求定义安全产品的安全等级定义了7个评估保证级别 EAL 每一级均需评估7个功能类CC分为三个部分 第一部分 介绍和一般模型 一般性概念 IT安全评估的原则 高级编写规范 对目标受众的有用价值 对消费者来说是不错的背景介绍和参考 第二部分 安全功能需求 功能性需求 组件 评估目标 TargetofEvaluation TOE 对消费者来说是不错的指导和参考 可以用来阐述对安全功能的需求 第三部分 安全保障 对TOE的保障需求 assurancerequirement 对保护轮廓 ProtectionProfile 和安全目标 SecurityTarget 的评估标准 指导消费者提出相应的保障等级 41 关键概念 评估对象 TOE TargetofEvaluation 保护轮廓 PP ProtectionProfile 安全目标 ST SecurityTarget 功能 Function 保证 Assurance 组件 Component 包 Package 评估保证级 EAL EvaluationAssuranceLevel 42 评估目标 对象 TOE 产品 系统 子系统 43 保护轮廓 PP 表达一类产品或系统的用户的安全目标和需求PP描述用户的安全需求 指出TOE要解决的安全问题例如 SmartCardPP FirewallPP 44 安全目标 ST 某一特定产品 系统IT安全需求和要求解释产品的安全功能和保障机制 是否满足安全需求 是评估依据的基础例如 某公司的FirewallST 功能要求 定义产品 系统的安全功能 将需求变为安全功能 保障要求 建立对安全功能的信心准确地实现功能并有效地满足安全目标 产品做什么 产品是否满足需