CISP-04-信息安全模型-2011最新

信息安全模型,中国信息安全测评中心2008年10月,目录,概述信息安全模型简介多维模型与安全技术框架,一、概述,目录,概述信息安全模型简介多维模型与安全技术框架,信息安全保障框架,知识类：信息安全体系和模型知识体系概述,安全模型,安全体系,知识类（PT）,知识体（BD）,知识域（KA）,信息安全体系和模型,OSI开放系统互联安全体系架构,信息技术安全性评估,信息安全保障评估,信息安全模型基础,访问控制模型,其他安全模型,安全目的,信息安全终极目的在系统实现过程中，对组织、合作伙伴、及其客户的IT相关风险给出应有的关心考虑，从而促使组织实现其使命/业务（Mission/Business）的全部目的。安全目标可用性（Availability）完整性（Integrity）保密性（Confidentiality）,模型概念,安全模型用于精确和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。按机制分类：访问控制模型、信息流模型等。按服务分类：机密性、完整性、可用性模型等但“安全模型”的表达能力有其局限性，通常的模型是形式语法多于形式语义，甚至只是自然语言的描述。,信息安全模型,安全模型的作用能准确地描述安全的重要方面与系统行为的关系。能提高对成功实现关键安全需求的理解层次。从中开发出一套安全性评估准则，和关键的描述变量。建立安全模型的方法（从模型所控制的对象）信息流模型：主要着眼于对客体之间的信息传输过程的控制。（处于理论阶段）访问控制模型：从访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。,安全模型的发展,1965，失败的Multics操作系统1973，Bell和LaPadula的BLP模型1977，K.J.Biba提出了与BLP异曲同工的Biba模型，Biba模型支持的是信息的完整性第一个可以实际投入使用安全操作系统是Adept-50；随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLASecureUNIX、KSOS和PSOS。,模型,访问控制模型,信息流模型,强制访问控制模型（MAC）,自主访问控制模型（DAC）,访问矩阵模型,访问控制列表（ACL）,权能列表（CapacityList）,实现,多级环境,多边环境,静态,动态,Bell-Lapudula模型,Biba模型,Clark-Wilson模型,ChineseWall模型,BMA模型,保密性,完整性,基于角色访问控制模型（RBAC）,二、信息安全模型简介,目录,概述信息安全模型简介多维模型与安全技术框架,信息安全模型分类,信息流模型和访问控制模型多级安全模型Bell-Lapadula模型（1973）Clark-Wilson模型（1987）Biba模型（1977）多边安全模型Chinesewall模型BMA模型（1995）,信息流模型,模型简介主要着眼于对客体之间的信息传输过程的控制。信息流模型需要遵守的安全规则是：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高的状态。信息流模型实现的关键在于对系统的描述，即对模型进行彻底的信息流分析，找出所有的信息流，并根据信息流安全规则判断其是否为异常流，若是就反复修改系统的描述或模型，直到所有的信息流都不是异常流为止。模型的缺点需要制定输入输出的安全性规范信息流模型对具体的实现只能提供较少的帮助和指导,多级安全模型,多级安全模型最初使用在军用系统和数据库系统中。它通常把密级由低到高分为开放级、秘密级、机密级和绝密级。它使不同的密级包含不同的信息。它确保每一密级的信息仅能让那些具有高于或等于该级权限的人使用。,强制访问控制模型,特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：下写/上读，下读/上写（完整性）（保密性）3）通过梯度安全标签实现单向信息流通模式。4）强耦合，集中式授权。,多级安全模型BLP模型,模型简介该模型是可信系统的状态-转换模型。定义所有可以使系统获得“安全”的状态集合，检查所有状态的变化均开始于一个“安全状态”并终止于另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。该模型是一种机密性访问控制的状态机模型。模型定义的主客体访问规则模型使用状态来表示系统中主体对客体的访问方式。高级别的“可下读，不可下写”；低级别的“可上写，不可上读”。,BLP模型的缺点只定义了主体对客体的访问，未说明主体对主体的访问，因此该模型无法应用于网络。该模型不能很好应对隐蔽通道问题。应用中的问题内存管理能够在所有级别进行读和写，在实际应用中有悖于模型本身。除了对它进行“可信假设”外别无他法。当低级别数据写入高级别程序时（即上写），由于模型的限制，低级别主体无法得到任何反馈，仿佛碰到了“黑洞”一般。文件管理中，重名导致的信息泄露问题。而分立的系统使得BLP显得多余。同样数据库系统中，如果高级别用户发送了一批机密货物到轮船上，而系统不会把这个信息传递给低级别用户（否则就是泄密），那么低级别用户将会认为船是空的，并分配其他货物或改变航行的目的地。,多级安全模型Clark-Wilson模型,模型简介它偏重于满足商业应用的安全需求。它着重研究信息和系统的完整性保护。信息的完整性：是指系统中信息的质量、正确性、真实性和精确性。系统的完整性：是指对信息资源成功且正确的操作。信息的完整性保护组织完善的事务（Well-formedtransaction）：用户不能随意处理信息，只能在限定的权限和范围内进行。清晰的责任划分（Separationofduty）：一项任务需要两个以上的人完成，需要进行任务划分，避免个人欺骗行为。系统的完整性保护防止非授权修改维护内部与外部的一致性访问授权但不恰当的修改,数据分类被限制数据（CDI），完整性保护的客体。非限制数据（UDI），不需保护的客体。访问控制方法定义可以针对每一个数据（数据类型）完成的访问操作（转换过程）；定义可以由主体（角色）完成的访问操作。保护方法完整性确认过程（IVP）：确认数据处于一种有效状态。转换过程（TP）：将数据从一种有效状态改变到另一种有效状态。如果只有一个转换过程能够改变数据，则该数据是完整的。完整性系统记录所有转换过程，并提供对数据改变的审计跟踪。实践中，Clark和Wilson提出完整性监控（“证明规则”）和完整性保持（“强制规则”）来实现。前者由管理员来执行，后者由系统来保证。,多级安全模型Biba模型,模型简介涉及计算机完整性的第一个模型一个计算机系统由多个子系统组成子系统是按照功能或权限将系统（主体和客体）进行划分的在子系统级进行评估系统的完整性系统完整性威胁来源内部威胁：子系统的一个组件是恶意的/不正确的。外部威胁：一个子系统通过提供错误数据/不正确的函数调用来修改另一个子系统。Biba认为可以通过程序测试和检验来消除内部威胁，因此，该模型仅针对外部模型。,完整性策略最低点策略针对客体的最低点策略最低点完整性审计策略Ring策略严格的完整性策略Biba模型的缺点Biba定义的完整性只是一个相对的，而不是绝对的度量。没有使用明确的属性来判断系统是否拥有完整性。它没有关于明确的信息分级的标准。,多边安全模型,信息结构多边安全控制模型控制数据在A、B、C、D、E之间的流动。,多边安全模型ChineseWall模型,模型简介访问数据不是受限于数据的属性（密级），而是受限于主体已经获得了对哪些数据的访问权限。将一些可能会产生访问冲突的数据分成不同的数据集，并规定所有主体最多只能访问一个数据集。而不限制到底选择访问哪个数据集。模型安全策略主体只能访问那些与已经拥有的信息不冲突的信息。一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体，或在不同兴趣冲突组中的信息。在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集。,模型举例,有公司A、B，数据类型分为石油业务数据、银行数据组划分访问控制第一次访问是自由的，不妨设为A石油业务数据集；可以访问A金融数据集；不可以访问B石油数据集。总结：1）可以访问与主体曾经访问过的信息同属于同一个公司的数据集，即墙内信息；2）可以访问一个完全不同的兴趣冲突组。,多边安全模型BMA,模型简介英国医学会（BMA）提出的。由客体同意哪些主体可以有条件地查看并使用客体信息。保证客体信息的完整性和可用性。BMA安全策略主要原理访问控制表每一份病历记录都有一个访问控制表标记，用以说明可以读取和添加数据的人和组。打开记录医生可以打开访问控制列表中与他有关的病人的病历。需要经过病人委托。控制在每个访问控制列表中必须有一个是可信的，只有他才能对病历进行写入。同意和通报可靠的医生在打开病历时，应将访问控制列表中的名字、后续条件、可靠性的传递通知病人。持续性任何人都不能删除病历记录，除非它已过期。日志记录对病历记录的全部访问。可信计算处理以上原理的计算机应该有一个有效的方法实现，实现方法需要由独立专家评估。,自主访问控制,特点：根据主体的身份和授权来决定访问模式。与MAC相比：松耦合，分布式授权缺点：信息在移动过程中，其访问权限关系会被改变。实现机制：访问控制列表ACL(s,o)；权能列表Capabilities（s,s),三、多维模型与安全技术框架,目录,概述信息安全模型简介多维模型与安全技术框架,多维安全模型,IATF技术框架,安全策略,安全管理,安,全,管,理,安全管理,安,全,管,理,IATF安全目标,可用性：合法用户的正常请求能及时、正确、安全地得到服务或回应。完整性：信息在存储和传输时不被篡改、破坏，或避免信息包的丢失、乱序等不破坏信息的正确性和完整性。保密性：静态信息防止非授权访问和/或动态信息防止被窃听、解密。可靠性：指信息的可信度，包括信息完整性、准确性和发送人的身份的可信度。,IATF保护对象和技术,网络和基础设施的防御骨干网可用性无线网安全框架VPN和紧耦合连接边界防御网络访问控制远程访问多级别安全计算环境防御端用户环境应用系统安全支撑性基础设施KMI/PKI监视和响应,基于OSI的安全体系结构,五种安全服务,鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据保密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。,八种安全机制（1）,加密：加密既能为数据提供保密性，也能为通信业务流信息提供保密性。数字签名：确定两个过程：对数据单元签名和验证签过名的数据单元。访问控制：为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息（例如它与一个已知的实体集的从属关系），或使用该实体的权力。数据完整性：包括单个数据单元或字段的完整性以及数据单元流或字段流的完整性。,八种安全机制（2）,鉴别交换机制：可以提供对等实体鉴别。如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增加一个记录，或给安全管理中心一个报告。通信业务填充机制：能用来提供各种不同级别的保护，对抗通信业务分析。路由选择控制机制：路由能动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时，端系统可希望指示网络服务的提供者经不同的路由建立连接。公证机制：有关在两个或多个实体之间通信的数据的性质，如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。,健壮性模型,从用户角度引入安全总体需求安全服务安全机制安全技术安全技术功能强度表基本强度中等强度高强度安全价值安全价值表按照损失程度分成不同级别安全威胁安全威胁表单点个体攻击多点协同攻击网络工具,安全策略依据威胁表和价值表，可以得出一个威胁价值表，称为健壮性表从健壮性表中得出安全质量标准（安全功能）同时根据安全技术的安全功能强度定出不同的安全级别（保证功能）以保证功能为依据，得出最后的安全级别CC，信息技术安全评估通用准则，其模型也是一种健壮性模型功能要求保证要求（EAL1-EAL7）,基于时间的PDR模型,PDR（TimeBasedSecurityProtectionDetectionReaction）其思想是：承认漏洞，正视威胁，适度防护，加强监测，落实反应，建立威慑它认为如果防护时间检测时间+反应时间，那么是安全的如果防护时间检测时间+反应时间，那么暴露时间=检测时间+反应时间-防护时间固定防守，测试攻击时间；固定攻击手法，测试防守时间，这样就得出攻防时间表。,分布式动态主动模型,即P2DR模型，它结合健壮性模型和PDR。它增加了安全策略功能，突出管理策略的主