计算机系统安全 zl第2章 计算机安全策略.ppt

第2章计算机安全策略 2 1系统的安全需求及安全策略的定义2 2安全策略的分类2 3安全策略的形式化描述2 4安全策略的选择2 5小结习题 2 1系统的安全需求及安全策略的定义 安全策略 描述用户对安全的要求 即你想要什么样的安全 是保证机密性 还是保障系统的可记账性 或是其他一些性质 一个系统是 安全系统 其安全的概念是指此系统达到了当初设计时所制定的安全策略 对于一个计算机信息系统而言 其安全策略的制定定位于以下决策 1 信息的机密性 完整性与可用性 2 谁可以以何种方式去访问什么样的信息 3 根据什么来制定访问决策 是用户的ID号呢 还是依据用户的其他什么特征 4 是要最大化的共享 还是要实现最小特权 5 是否要实现任务分离 6 对涉及到系统的安全性属性的操作是实行集中管理 还是实行分散管理 用户对计算机信息系统的安全需求基于以下几个方面 1 机密性要求 confidentiality 防止信息泄露给未授权的用户 2 完整性要求 integrity 防止未授权用户对信息的修改 3 可记账性 accountability 防止用户对访问过某信息或执行过某一操作予以否认 4 可用性 availability 保证授权用户对系统信息的可访问性 2 1 1信息的机密性要求信息的机密性要求是为了防止信息泄露给未授权的用户 一般来说 系统中的某些信息是非常重要的 如军事上的核武器的数据 法院将要强制执行的行动时间和对象 公司的财务信息以及个人用户的银行信用卡账号 任何的未经授权的泄露都会带来不可估量的损失 对于涉及国家安全的重要信息 要采用 强制安全策略 的要求 即系统中所有信息必须按照其敏感性等级和所属部门进行分类 而系统中的所有用户也都加以分类 以使他们仅能访问那些 需要知道 的信息 对于民用目的的信息系统 要采用 自主安全策略 即每一个信息有一个所有者 它可以决定是否允许其它用户或进程对此信息进行访问 2 1 2信息的完整性要求信息完整性要求是为了维护系统资源在一个有效的 预期的状态 防止资源被不正确 不适当的修改 例如入侵者在其银行账户内非法地修改其存款数额 或是为了维护系统不同部分的一致性 例如复式簿记 完整性要求的主要目的 是防止在涉及到记账或审计的事件中有 舞弊 行为的发生 如大型超市中对货物的采购就是一例 订购 签收 付款 每一环节都有相应人员签字 但同一人不能对两个环节签字 2 1 3信息的可记账性要求防止用户对访问过某信息或执行过某操作予以否认 应记录 什么人在何时对何文件进行了何种访问 这种信息 以防抵赖 在实际系统中 用户的任何操作都从某一方面反映出该用户的操作意图 特别是对系统中敏感文件的操作 或者由于用户操作的错误可能导致系统的紊乱或数据的丢失 或者系统本身设计的缺陷导致黑客对系统的攻击等 有必要知道用户执行了什么操作 是谁执行了该操作 用户通过该操作对系统中的什么文件进行了何种访问 2 1 4信息的可用性要求可用性是为了保证系统的顺利工作 即保证已获得授权的用户对系统信息的可访问性 这在一些大型服务企业中显得尤其重要 如中国移动公司的神州行业务 因其通信网络的问题造成用户打不出电话的事故 而导致很多用户的抱怨 可用性策略可描述 授权用户的任何正确的输入 系统都会有相应正确的输出 2 2安全策略的分类 两大类 访问控制策略 访问支持策略访问控制策略 是基于机密性和完整性而分类的 它确立相应的访问规则以控制对系统资源的访问 访问支持策略 是基于安全策略的内涵的后两个方面而分类的 由于它是以支持访问控制策略的面貌出现的 故称为 访问支持策略 2 2 1访问控制相关因素及其策略 1 访问控制相关因素一般来说 在计算机系统内和访问控制策略相关的因素有三大类 主体 用户 客体 文件 目录 数据库等 以及相应的可用作访问控制的主 客体属性 1 主体所谓主体 就是指系统内行为的发起者 通常是指由用户发起的进程 而对于系统内的用户来说 一般可分为如下几类 1 普通用户 user 一个获得授权可以访问系统资源的自然人 2 信息的拥有者 owner 是拥有对此信息的完全处理权限的用户 这些权限包括读 写 修理和删除该信息的权限以及他可以授权其他用户对其所拥有的信息拥有某些相应的权限 除非该信息被系统另外加以访问控制 3 系统管理员 systemadministrator 为使系统能进行正常运转 而对系统的运行进行管理的用户 Unix Root用户 2 客体同样 所谓客体 就是指在计算机系统内所有主体行为的直接承担者 总的来说 系统内的客体也可以分为三大类 1 一般客体 generalobject 指在系统内以客观 具体的形式存在的信息实体 如文件 目录等 2 设备客体 deviceobject 指系统内的设备 如软盘 打印机等 3 特殊客体 specialobject 有时系统内的某些进程也是另外一些进程行为的承担者 那么这类进程也属于客体的一部分 3 主 客体属性另外 信息系统的访问控制策略除了涉及到主 客体之外 还包括以下几个因素 1 将要访问该信息的用户的属性 即主体的属性 例如用户的ID号或许可级别等 2 将要被访问的信息的属性 即客体的属性 例如信息的安全性级别 信息来源等 3 系统的环境或上下文的属性 例如某天的某个时候 系统状态等 一般来说 信息安全策略的制定就是通过比较系统内的主 客体的相关属性来制定的 下面详述几类属性的具体内容 共分为5个方面 1 主体属性 用户特征 2 客体属性 客体特征 3 外部状况 4 数据内容 上下文环境 5 其它属性 1 用户特征 主体属性 1 用户ID 组ID 用在自主访问控制策略中 2 用户访问许可级别 强制访问策略就基于此属性 3 需知 原则用来表明用户需要知道哪一类的特定信息 4 角色5 能力列表 表明主体能够对内部的哪些信息进行何种访问 2 客体属性 客体特征 1 敏感性标签TCSEC将信息按安全性等级进行分类 unclassified 无等级信息 confidential 秘密信息 secret 机密信息 topsecret 绝密信息 信息所属的分类 称为范畴 于是 敏感性标签就由两部分组成 信息的敏感性级别 范畴 2 访问控制列表 ACL 表示系统中哪些用户可以对此信息进行何种访问 类似于主体的 能力列表 信息的拥有者可以对此ACL进行管理 他可决定谁可以访问此信息 3 外部状况 某些策略是基于主客体属性之外的某些状况来制定的 如时间 地点 状态 1 地点2 时间 对系统内信息的访问 可能会随着时间的变化而变化 如报社出版的新闻 在第二天早上9 00之前是敏感信息 9 00之后就是公共信息 3 状态 2 访问控制策略1 自主访问控制策略 DAC 自主访问控制策略 discretionaryaccesscontrolpolicy 之所以被称为 自主的 是因为它允许系统中信息的拥有者按照自己的意愿去制定谁可以以何种访问模式去访问该客体 与MAC相比 DAC能够提供 更为精细 的访问控制粒度 它能将策略细化到具体的某个人 这是MAC办不到的 自主访问控制策略是基于系统内用户 UID 以及访问授权 CAL 或者客体的访问属性 ACLs 来决定该用户是否有权限访问客体 1 自主访问控制策略 DAC 续 自主访问控制策略由一个三元组表示 即 S O A 其中 S表示主体Subject O表示客体Object A表示访问模式AccessDAC的优点 它的访问模式的设定是非常灵活的 而不像MAC中的访问模式只有 读 写 两种 DAC的缺点 不能防范 特洛伊木马 或某些形式的 恶意程序 2 强制访问控制策略 MAC 原理 在强制访问控制 mandatoryaccesscontrolpolicy 机制下 系统内的每一个用户或主体被赋予一个访问标签 accesslabel 每一个客体也被赋予一敏感性标签 sensitivitylabel 以反映该信息的敏感性级别 系统内的 引用监视器 通过比较主客体相应的标签来决定是否授予一个主体对客体的访问请求 MAC策略既能防止对信息的非授权篡改 保证信息的完整性 又能防止非授权的信息泄露 保证信息的机密性 在一个特定的MAC中 标签可以以不同的形式来实现信息的完整性和机密性 2 强制访问控制策略 MAC 续 在MAC策略中 三元组表示为 S O A 访问模式A只有两种 即 读 和 写 在不同的情况下 其访问控制策略在形式上可能略有不同 在保证机密性时 主体要想读客体 当且仅当主体的访问标签 高于 客体的敏感性标签 在保证完整性时 主体要想写访问客体 其完整性标签要 低于 客体的完整性标签 MAC策略的最显著特征 全局性 永久性 全局性 的含义 对于特定的信息 无论它处于何地 其敏感性级别相同 永久性 的含义 对于特定的信息 无论它处于何时 其敏感性程度相同 也就是说 在MAC中 无论何时何地 主客体的标签是不会改变的 这一特征被称为 宁静性原则 对于一个具体的访问控制策略 如果它具有 全局性 永久性 特征 那么标签的集合必定会形成 偏序关系 也就是说 标签集合内的元素之间可以用 支配 关系来描述 对于两个符合 偏序关系 的元素x和y来说 它们只存在三种关系 即 x支配y 写作x y y支配x 写作y x x与y无关对于两个符合 偏序关系 的元素x和y来说 并且它们在数学上具有三个基本特征 反身性 反对称性 传递性 如果一个访问控制策略使用的主 客体访问标签不满足 偏序 关系 则不能称为强制访问控制策略 只能称为自主访问控制策略 对于访问控制策略而言 要么是 强制的 要么是 自主的 二者之间没有交叉的部分 一个访问控制策略是强制访问控制策略 当且仅当它的访问标签集合中的元素满足 偏序 关系 否则它就是自主访问控制策略 MAC与DAC的最大区别 它们是否能够防备 特洛伊木马 或 恶意程序 的攻击 2 2 2访问支持策略它为保障访问控制策略的正确实施提供可靠的 支持 这类安全策略是为了将系统中的用户与访问控制策略中的 主体 联系起来 TCSEC中将系统的访问支持策略分为六类 1 标识与鉴别TCSEC的标识与鉴别策略要求以一个身份来标识用户 并且此身份必须经过系统的认证与鉴别 用户在执行任何由系统可信计算基 TCB 提供的操作前必须首先经过身份认证 在大多数的情况下 这一过程是在用户登录系统时完成的 同时 系统可信计算基会保留用户相应的认证信息并以此来验证用户的身份 一般说来 用来作为身份认证的信息主要有以下三类 用户所知道的信息 口令机制 用户所拥有的信息 智能卡机制 用户是谁 签名 指纹 上述任何一类均可建立身份认证机制 但若能利用多种信息 则会增强认证机制的有效性和强壮性 2 可记账性TCSEC的可记账性策略 Accountability 要求任何影响系统安全性的行为都要被跟踪并记录下来 系统可信计算基TCB必须拥有将用户的ID号与它被跟踪 审计下来的行为联系起来的能力 审计信息必须有选择性地保留下来并受到适当的保护 在TCSEC中规定 一个TCSEC审计系统应能够记录以下事件 1 和标识与鉴别机制相关的事件 2 将客体导入用户地址空间的操作 如文件的打开操作 程序的启动等 3 对客体的删除 4 由系统管理员 systemadministrator 和系统安全管理员 systemsecurityofficer 所执行的操作以及其他与安全相关的事件等 审计记录项包括 事件发生的日期和时间 用户的ID号 事件的类型 事件的成功或失败 2 3安全策略的形式化描述 一个安全策略把信息系统所有可能的状态划分为授权的和非授权的 符合安全策略的是授权的 否则是非授权的 可以用状态和状态转换的概念把安全策略形式化 设状态Q用三元组 S O A 表示 S 系统中所有主体的集合 O 客体的集合 A 系统的访问控制矩阵 描述主体对客体的访问权利 例2 1 管理由两个通信进程共享的消息缓冲区的简单策略 一个消息缓冲区只能由两个通信进程共享 其中一个进程只能写入缓冲区 而另一个只能从缓冲区读出 可以形式化描述如下 一个状态Q S O A 是授权的 当且仅当对每一缓冲区b O 恰好存在一个进程p 使得write A p b 并且恰好存在一个进程q且q p 使得read A q b 2 4安全策略的选择 理想的安全系统是能够同时保持信息的机密性 完整性 可记账性和可用性的 但是实际上不可能 也根本没必要做到信息的绝对安全 对于大多数用户和组织来说 制定一个安全性能够抵抗所有威胁的安全策略也许是不必要的 我们应分析一下系统当前面临的主要威胁是什么 然后根据需要选择相应的安全策略 一般 要设计一个安全的计算机系统 主要应考虑 机密性 完整性 的保护 主要考虑访问控制策略 其次才考虑 可用性 可记帐性 因此 访问控制是设计安全计算机系统的主要目的 2 5小结 本章 我们针对信息系统对安全性的不同要求 给出了信息系统安全策略的定义 并在此基础上 将安全策略分为了两大类 访问控制策略和访问支持策略 又将访问控制策略分为两个不相交的子类别 自主访问控制策略和强制访问控制策略 又将访问控制策略分为两个不相交的子类别 自主访问控制策略和非自主访问控制策略 即强制访问控制策略 并且对访问支持策略的标识与鉴别策略与可记账性策略进行了较为详细的阐述 此外 我们还使用状态和状态转换的概念