北理工戴林安全模型PPT课件

1 第二部分安全模型 信息系统的安全目标是控制和管理主体 Subjects 包括用户和进程 对客体 Objects 包括数据和程序 的访问 2 安全模型 准确地描述安全的重要方面及其与系统行为的关系 提高对成功实现安全需求的理解层次 3 4 一 多级安全模型 支持军用系统和数据库的安全保密 多级安全的信息结构示意 绝密级 机密级 秘密级 开放级 一种支持不同权限的用户和资源同时访问系统 同时确保用户和资源都只能访问其有权访问的信息的机制 多级安全机制要求一种能够为主体和客体分配特定访问权限的计算机安全策略模型 5 1 Bell LaPadula模型 Bell LaPadula模型是第一个也是最著名的安全策略模型 由DavidBell和lenLaPadula在1973年提出 简称BLP模型BLP模型是可信系统的状态 转换 State Transition 模型 主要任务是定义使得系统获得 安全 的状态集合 检查所有状态的变化均始于一个 安全状态 并终止于另一个 安全状态 检查系统的初始是否为 安全状态 即可判定系统是否安全 6 Bell LaPadula模型 BLP模型定义了系统中的主体 Subjects 访问客体 Objects 的操作规则 每个主体有一个安全级别 通过众多条例约束其对每个具有不同密级的客体的访问操作 7 BLP模型的基本安全策略是 下读上写 即主体对客体向下读 向上写 主体可以读安全级别比他低或相等的客体 可以写安全级别比他高或相等的客体 下读上写 的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动 从而保证了敏感数据不泄露 8 BLP模型的安全策略 采用了自主访问控制和强制访问控制相结合的方法 能够有效地保证系统内信息的安全 支持信息的保密性 但却不能保证信息的完整性 随着计算机安全理论和技术的发展 BLP模型已经不能满足人们的需要 9 2 Clark Wilson模型 Clark Wilson模型是一个确保商业数据完整性且在商业应用系统中提供安全评估框架的完整性及应用层的模型 由计算机科学家DavidD Clark和会计师DavidR Wilson发表于1987年 在1989年进行了修正 简称为CW模型 10 举个栗子 考虑这样一个例子 一家公司预定货物 然后付款 典型的流程如下 1 采购员先做一张供应订单 并把订单同时发给供货方和收货部门 2 供货方将货物运到收货部门 接受员检查货物 确保收到货物的种类和数量是正确的 然后在运货单上签字 送货单和原始订单再交给会计部门 3 供货方将发票送到会计部门 会计人员将发票同原始订单进行校对 校对价格和其他条款 并将发票同送货单进行校对 校对数量和品种 然后开支票给供货方 11 Clark Wilson模型着重研究与保护信息和系统完整性 即组织完善的事务和清晰的责任划分 组织完善的事务意味着用户对信息的处理必须限定在一定的权力和范围之内进行 以保证数据完整性 责任划分意味着任务需要两个以上的人完成 需要进行任务划分 避免个人欺骗行为发生 12 保证完整性有3项任务 防止非授权修改维护内部和外部的一致性防止授权但不适当的修改 13 访问控制方法有两种 一种是定义可以针对每个数据项完成的访问操作 另一种是定义主体完成的访问操作 14 Clark Wilson模型考虑以下几点 主体必须被识别和认证客体只能通过一组规定的程序进行操作主体只能执行一组规定的程序必须维护一个正确的审计日志系统必须被证明能够正确工作 15 3 Biba模型 Biba模型是涉及计算机系统完整性的的第一个模型 1977年发布 Biba模型将完整性威胁分为来源于子系统内部和外部的威胁 如果子系统的一个组件是恶意或不正确 则产生内部威胁 如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统 则产生外部威胁 Biba认为内部威胁可以通过程序测试或检验来解决 所以模型主要针对外部威胁 16 Biba模型基于两种规则来保障数据的完整性 不下读 NRu 属性 主体不能读取安全级别低于它的数据 不上写 NwD 属性 主体不能写入安全级别高于它的数据 17 二 多边安全模型 多边安全的信息结构示意目的是阻止信息在不同部分的横向流动 A B C D E 共享数据 18 1 ChineseWall模型 访问数据受限于主体已经获得的对数据的访问权限 而不是数据的属性 密级 ChineseWall模型的思想是将一些可能会产生访问冲突的数据分成不同的数据集 强制所有主体最多只能访问一个数据集 但访问哪个数据集并未受强制规则的限制 19 ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突 在投资银行中 一个银行会同时拥有多个互为竞争者的客户 一个银行家可能为一个客户工作 但他可以访问所有客户的信息 因此 应当制止该银行家访问其它客户的数据 比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构 而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务 20 ChineseWall模型系统结构 21 各层定义如下 底层由独立的数据项组成 每项涉及一个独立的公司法人中层将涉及同一公司法人的所有客体组织起来 称为 公司数据集 上层将公司数据集结合成组 每个组之间互为竞争对手 称为 兴趣冲突组 22 ChineseWall模型有两种安全属性 简单安全属性用户只能访问那些与已经拥有的信息不冲突的信息 属性有时 在同一个兴趣冲突组中的公司数据集之间 会出现间接信息流 这是不允许发生的 违背ChineseWall模型的安全策略 属性对写访问做规定如下 访问必须满足简单安全属性主体能够对一个客体写访问的前提 是主体未对任何属于其他公司数据集的客体进行读访问 23 ChineseWall模型安全访问定理 定理1 一个主体一旦已经访问过一个客体 则该主体只能访问位于同一公司数据集中的客体或在不同兴趣冲突组中的信息定律2 在一个兴趣冲突组中 一个主体最多只能访问一个公司数据集 24 应用例子 在软件公司里Apple iOS 和Google Android 属于同一个利益冲突类 若某人充当了其中一个公司的财务顾问则不能再担当另一公司的同类工作 25 ChineseWall模型的策略 第一 专业性强 实施起来需要大量专家第二 需要清洁的信息 26 三 其它安全模型 1 P2DR安全模型 美国国际互连网安全系统公司ISS提出 动态信息安全理论的主要模型 安全 风险分析 执行策略 系统实施 漏洞检测 实时响应 Policy 安全策略 Protection 防护 Detection 检测 Response 响应 27 Policy 安全策略 由于安全策略是安全管理的核心 所以要想实施动态网络安全循环过程 必须首先制定安全策略 所有的防护 检测 响应都是依据安全策略实施的 安全策略为安全管理提供管理方向和支持手段 对于一个策略体系的建立包括 安全策略的制订 安全策略的评估 安全策略的执行等 28 Protection 保护 保护通常是通过采用一些传统的静态安全技术及方法来实现的 主要有防火墙 加密 认证等方法 通过防火墙监视限制进出网络的数据包 可以防范外对内及内对外的非法访问 提高了网络的防护能力 当然需要根据安全策略制定合理的防火墙策略 也可以利用SecureID这种一次性口令的方法来增加系统的安全性等等 29 Detection 检测 在网络安全循环过程中 检测是非常重要的一个环节 检测是动态响应的依据 它也是强制落实安全策略的有力工具 通过不断地检测和监控网络和系统 来发现新的威胁和弱点 通过循环反馈来及时作出有效的响应 30 Response 响应 紧急响应在安全系统中占有最重要的地位 是解决安全潜在性最有效的办法 从某种意义上讲 安全问题就是要解决紧急响应和异常处理问题 要解决好紧急响应问题 就要制订好紧急响应的方案 做好紧急响应方案中的一切准备工作 31 2 PDRR安全模型 美国国防部提出防护 检测 响应 恢复安全的目标实际上就是尽可能地增大保护时间 减少检测和响应时间 在系统遭受破坏之后 应尽可能快的恢复 减少系统暴露的时间 32 防护 网络安全策略PDRR模型的最重要的部分就是防护 P 防护是预先阻止攻击可以发生的条件 让攻击者无法顺利地入侵 防护可以减少大多数的入侵事件 33 检测 PDRR模型的第二个环节就是检测 D 上面提到防护系统除掉入侵事件发生的条件 可以阻止大多数的入侵事件的发生 但是它不能阻止所有的入侵 特别是那些利用新的系统缺陷 新的攻击手段的入侵 因此安全策略的第二个安全屏障就是检测 即如果入侵发生就检测出来 这个工具是入侵检测系统 IDS 34 响应 PDRR模型中的第三个环节就是响应 R 响应就是已知一个攻击 入侵 事件发生之后 进行处理 在一个大规模的网络中 响应这个工作都是有一个特殊部门负责 那就是计算机响应小组 世界上第一个计算机响应小组CERT 位于美国于1989年建立 是世界上最著名的计算机响应小组 从CERT建立之后 世界各国以及各机构也纷纷建立自己的计算机响应小组 我国第一个计算机紧急响应小组CCERT 于1999年建立 主要服务于中国教育和科研网 35 恢复 恢复是PDRR模型中的最后一个环节 恢复是事件发生后 把系统恢复到原来的状态 或者比原来更安全的状态 恢复也可以分为两个方面 系统恢复和信息恢复 系统恢复指的是修补该事件所利用的系统缺陷 不让黑客再次利用这样的缺陷入侵 一般系统恢复包括系统升级 软件升级和打补丁等 系统恢复的另一个重要工作是除去后门 一般来说 黑客在第一次入侵的时候都是利用系统的缺陷 在第一次入侵成功之后 黑客就在系统打开一些后门 如安装一个特洛伊木马 36 3 建立信息安全模型 安全模型MP2DRR M P P D R R 安全策略 管理 备份与恢复机制 安全响应机制 入侵检测机制 访问控制机制 37 成功的安全模型 在安全和通信方便之间建立平衡 能够对存取进行控制 保持系统和数据完整 能对系统进行恢复和数据备份 38 信息安全标准 TCSEC标准信息安全标准是有关信息安全状况的标准 在TCSEC中 美国国防部按信息的等级和应用采用的响应措施 将计算机安全从高到低分为 A B C D四类八个级别 39 通用准则CCCC共包含11个安全功能类 美国政府同加拿大及欧共体共同起草单一的通用准则 CC标准 并将其推到国际标准 40 2015 6 24 人大常委 审议 网络安全法 草案2015 03月 政府采购名单调整 将一些全球知名技术品牌从政府采购名单中删除2015 01 23 中共中央政治局 审议通过 国家安全战略纲要 2014 10月 中央军委 关于进一步加强军队信息安全工作的意见 2014 09月 银监会 发改委 科技部和工信部联合发布 关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见 2014 08月 工信部 加强电信和互联网行业网络安全工作指导意见 2014 08月 网信办 2014年国家网络安全检查工作方案 2014 05月 网信办 关于加强党政机关网站安全管理的通知 2014 02月 中央网络安全和信息化领导小组成立 习