信息安全技术 课件大纲

1、1.信息系统的脆弱性1.1可用、可靠和安全u 可用、可靠安全l 信息系统的一个安全漏洞都会使整个系统的安全控制机制变得毫无价值l 工业界已经承认这样一个事实：任何（操作）系统都是不可靠安全的l 但是我们可以说绝大多数（操作）系统是可靠的，可以 成其设计功能l 系统而合理的使用安全技术，是保障计算机系统的 u 安全性、功能性和易用性安全性服务易用性功能性u 接收非扫描类事件年度统计CNCERT/CC（国家计算机网络应急技术处理协调中心）发布2003年2004年2005年2006年25574485911226476u 信息系统安全漏洞美国CERT/CC发布1995年1996年1997年1998年1

2、999年2000年2001年2002年2003年2004年2005年2006年1713453112624171090243741293784378059908064u 中国大陆地区被木马控制的计算机IP分布图广东18%，北京15%，福建8%，浙江8%，上海5%.u 通过木马控制我国计算机的境外IP分布图美国25%，韩国12%，中国台湾9%，日本8%，香港7%，加拿大4%，印尼4%，法国3%，印度3%，英国3%，其他22%1.2系统面临的安全威胁 书P4P9u 计算机病毒l 定义：能够破坏计算机功能或者摧毁数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。l 特点：隐蔽性、传染性、

3、潜伏性、破坏性u 特洛伊木马l 定义：一段程序、表面上在执行合法功能，事实上去完成了用户不曾料到的非法功能l （特点）木马和病毒的区别：木马和病毒不同，它不具备自我复制能力，但是它同病毒一样，具有潜伏性，具有更大的欺骗性和危险性。u 逻辑炸弹l 定义：添加在现有程序上的程序，基于条件触发；触发后造成程序中断，系统崩溃，破坏数据等；不能复制本身，或者传染其他程序l 触发方式：计数器触发方式、时间触发方式、复制触发方式u 隐蔽通道l 定义：系统中不受安全策略控制的，违反安全策略的信息泄漏途径；两个进程利用不受安全策略控制的存储单元传递信息l 按系统传递的方式和方法分类：存储隐蔽通道、时间隐蔽通道u

4、 天窗l 概念：嵌在操作系统里的一段非法代码；渗透者利用该代码提供的方法侵入操作系统而不受检查；天窗由专门命令激活；天窗只能利用操作系统的缺陷或者混入系统的开发队伍中安装。1.3安全威胁来自哪里 书P5P9u 内因：人们认识能力和实战能力的局限性 系统规模 windows3.1300万行代码 windows20005000万行代码u 外因：国家安全威胁（信息战士、情报机构）、共同威胁（恐怖分子、工业间谍、犯罪团伙）、局部威胁（社会型黑客、娱乐型黑客）1.4信息安全发展的阶段 书P24u 通信保密阶段COMSEC：60年代u 计算机安全阶段COMPUSEC：70年代u 信息安全阶段INFOSEC

5、：7080年代u 信息保障阶段IA：90年代1.5信息安全的需求 书P4u 信息安全的三个基本方面l 保密性 信息的机密性，对于无授权的个体而言，信息不可用l 完整性 信息的完整性，一致性，分为 数据完整性，未被授权篡改或者损坏 系统完整性，系统未被非法授权，按规定的目标运行l 可用性 服务连续性 真实性个体身份的认证，适用于用户、进程、系统等 Accountability（可说明性）确保全体的活动可被跟踪 Reliability（可靠性）行为和结果的可靠性、一致性2.计算机系统安全2.1安全系统的基本要求u 系统本身具备一系列特定的安全属性，并能够使用这些属性提供的支持来控制对系统中信息的存

6、取访问，从而确保只有具备合理授权的用户或是代表这些用户的进程有能力对指定的信息进行读、写、创建或删除。2.2 可信计算机系统的基本要求安全策略、标记、标识、审计、保证、连续保护2.3安全模型 书P22332.3.1安全模型简介u 什么样的系统是安全的？l 是指它满足某一个给定的安全策略，所以安全系统在设计和开发时，也要围绕一个给定的安全策略进行。u 安全模型的定义l 是对安全策略所表达的安全需求的简单抽象和无歧义的描述，为安全策略与其实现机制的关联提供了一种框架。u 安全模型、安全策略、安全系统之间的关系l 安全模型给出安全系统的形式化定义l 安全模型描述了对某个安全策略需要用哪种机制来满足l

7、 安全模型的实现则描述了如何把特定的机制应用于安全系统中，从而实现某一特列的安全策略所需的安全保护u J.P. Anderson指出，要开发安全系统，首先必须建立系统的安全模型u 安全模型需要表达的系统的因素l 系统的使用方式，使用环境类型l 授权的定义l 共享的客体（系统资源），共享的类型和受控共享思想等u 对安全模型的因素的要求使得系统可以被证明是完整的；反映真实环境的；逻辑上能够实现程序的受控执行的2.3.2 P2DR安全模型u P2DR安全模型简介失败恢复(R)失败响应(R)成功成功成功检测(D)失败防护(P)攻击响应（R）防护（P）策略检测（D）模型示意图u 模型中的时间概念Pt表示

8、从系统受攻击到被破坏所经历的时间Dt是系统检测到攻击所需的时间Rt表示系统对攻击进行响应所需要的时间u 时间关系决定了安全如果：Pt Rt + Dt，则系统是安全的如果：Pt Rt + Dt，则表示系统无法在其保护时间内完成检测和响应u 模型的元素部件策略、防护、检测、响应u P2DR安全模型可以描述为：安全=风险分析u P2DR安全模型的要素l 策略 安全策略实质：在安全领域的范围内，什么操作是明确允许的，什么操作是明确不允许的 安全策略的重要性建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步 安全策略的制定是一个不断精确细化的策划过程。l 防护 防护的含义：就是采用

9、一切手段保护计算机系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生 防护可以分为三大类：系统安全防护、网络安全防护、信息安全防护l 检测检测的意义防护系统可以阻止大多数入侵的发生，但是阻止所有入侵，特别是那些利用新的系统缺陷，新的攻击手段的入侵检测的含义是动态响应和加强维护的依据，是强制落实安全策略的工具检测的作用通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应入侵检测系统（IDS）入侵检测系统的种类根据检测环境不同分为：基于主机的IDS、基于网络的IDS根据检测所使用方法分为：误用检测、异常检测入侵检测系统一般和紧急响应及

10、系统恢复有密切关系l 响应2.3.3状态机模型u 概念采用模仿操作系统和硬件执行过程的方法描述了计算机系统，它将一个系统描述为一个抽象的数字状态机器。状态变量表示机器的状态，即系统运行时发生变化的每一位u 缺点问题：一个系统模拟为状态机的思想很早就有了，但是为什么在软件开发方面并没有起到主要作用？因为模拟一个操作系统的所有状态变量是不可能的，安全模型并未涉及到系统的所有变量和函数，它只涉及几个安全相关的主要状态变量，所以是可行的。u 安全机制开发一个状态机安全模型包含确定模型的要素（变量、函数、规则等）和安全初始状态一旦证明了初始状态是安全的并且所有的函数也都是安全的，精确地推导会表明，如果系

11、统在安全状态中开始运行，那么不论调用函数的命令如何，系统都将保持在安全状态。u 开发一个状态机模型的步骤l 定义安全相关的状态变量状态变量表示了系统的主体和客体，它们的安全属性以及主体与客体之间的存取权限l 定义安全状态的条件这个定义是一个不变式，它表达在状态转换期间状态变量的数值必须始终保持的关系l 定义状态转换函数这些函数描述状态变量可能发生的变化，它们也被称为操作规则，因为它们的意图是限制系统可能产生的类型，而非列举所有可能的变化。l 检验函数维持在安全状态为了确定模型与安全状态的定义是否一致，必须检验每项函数，如果系统在运行之前处于安全状态，那么系统在运行之后将保持在安全状态。l 定义

12、初始状态l 选择每个状态变量的值，这些值模拟系统在最初的安全状态中是如何启动的l 依据安全状态的定义，证明初始状态安全2.3.4 BLP模型u 模型介绍l D. Elliott Bell和Leonard J LaPaduta于1973年创立的一种模拟军事安全策略的计算机操作模型l 它是最早，也是最常用的一种计算机多级安全模型l 在BLP模型中将主体定义为能够发起行为的实体，如进程l 将客体定义为被动的主体行为承担者，如数据，文件等l 将主体对客体的访问分为r（只读），w（读写），a（只写），e（执行），以及c（控制）等几种访问模式u BLP模型的安全策略l 自主安全策略自主安全策略使用一个访问

13、矩阵表示，访问矩阵第i行，第j列的元素Mij，表示主体S对客体O的所有允许的访问模式l 强制安全策略强制安全策略包括简单安全性和*特性，系统对所有的主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问。2.3.5 信息流模型2.3.6 RBAC模型 书P762.4 防卫策略3安全操作系统3.1安全服务3.1.1认证服务书P47u 概念l 认证就是识别和证实 识别是辨别一个对象的身份 证实是证明该对象的身份就是其声明的身份l 认证安全服务是防止主动攻击的重要措施l 提供对通信中的对等实体和数据来源的鉴别u 类型：对等实体认证、信源认证

14、3.1.2 访问控制服务书P48u 含义：是针对越权使用资源和非法访问的防御措施u 类型：自主访问控制、强制访问控制u 实现机制基于访问控制属性的访问控制表基于“安全标签”，用户分类和资源分档的多级访问控制等u 服务层次主要位于应用层，传输层和网络层可以放在通信源，通信目标或两者之间的某一部分3.1.3 数据保密服务书P48u 含义：数据保密性安全服务是针对信息泄露，窃听等被动威胁的防御措施u 类型：l 信息保密：保护通信系统中的信息或网络数据库数据l 数据字段保密：保护信息中被选择的部分数据段l 业务流保密：防止攻击者通过观察业务流，如信源，信宿，转送时间，频率和路由等来得到敏感的信息3.1

15、.4 数据完整性服务书P4849u 含义：数据完整性安全服务是针对非法地篡改和破坏信息，文件和业务流而设置的防范措施u 类型l 基于连接的数据完整l 基于数据单元的数据完整性l 基于字段的数据完整性3.1.5 防抵赖安全服务书P49u 含义：针对对方进行抵赖的防范措施，可用来证实已发生过的操作u 类型：数据源发证明的抗抵赖、交付证明的抗抵赖3.1.6 安全审计服务书P49503.1.7 安全检测和防范服务书P503.2安全基本机制3.2.1安全机制引入原因书P51为了实现上述5种安全服务，ISO 7408-2中制定了支持安全服务的8种安全机制3.2.2具体机制书P5154加密机制/数字签名机制

16、/访问控制机制/数据完整性机制/鉴别交换机制/通信业务填充机制/路由控制机制/公证机制3.3安全辅助机制书P5456u 安全服务基本机制直接地保护计算机安全，但真正实现这些机制必须有下面一些机制的配合u 种类：安全机制可信度评估、安全标准、安全审计、安全响应与恢复3.4安全服务和安全机制的关系 书P563.5系统的安全观念3.6安全操作系统重要性u 操作系统是基础性平台软件安全：应用软件安全，数据库安全，操作系统安全，网络软件安全u 很多安全问题都源于操作系统的安全脆弱性u 与主机和网络系统的安全直接相关没有操作系统的安全性，就没有主机系统的安全性，从而也就不可能有网络系统的安全性3.7安全操

17、作系统的发展概况3.7.1初期（1965年1985年）u Multicsl 简介1965年，美国贝尔实验室和麻省理工学院联合开发Multics是开发安全操作系统最早期的尝试l 目标和特点 其目标是要向大的用户团体提供对计算机的同时访问，支持强大的计算能力和数据存储，并且有很高的安全性 由于Multics预期的复杂性和理想性，结果未能达到预期的目标 Mitre公司的Bell和LaPadula合作设计的安全模型Bell-LaPadula首次成功的用于Multicsu KSOSl KSOS背景1977年，美国国防部研发计划局发起的一个安全操作系统研制项目，由Ford太空通讯公司承担l 目标和特点 目

18、标是高安全可信性 KSOS采用了形式化说明与验证的方法u UCLA Secure Unixl 背景：是美国国防部研发计划局发起的研制项目，由加利福尼亚大学承担l 目标和特点：UCLA Secure Unix的系统设计方法及目标几乎与KSOS相同u LINVS IV背景：1984年开发的基于UNIX的一个实验安全操作系统特点：系统的安全性可达到美国国防部橘皮书的B2级3.7.2发展期（1985年1997年）u Secure XenixIBM公司1984年在SCO Xenix的基础上开发的一个安全操作系统采用了一些形式化说明与验证技术，目标是TCSEC的B2到A1级u OSF/1l 背景：开放软件

19、基金会于1990年推出的一个安全操作系统l 特点： 被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级 其主要安全性表现为：系统标识、口令管理、强制存取控制和自主存取控制、审计u UNIX SVR4.1ESl 背景：1991年U（UNIX国际组织）推出的一个安全操作系统，被美国国家计算机中心认可为符合TCSEC的B2级l 特点：只有OSF/1外的安全性，另外：更全面的存取控制、最小特权管理、可信通路隐蔽通道分析和处理u DTOSl 1997年美国安全计算公司（SCC）和国家安全局（NSA）完成了DTOS安全操作系统l 与传统的基于TCSEC标准的开发方法不同，DTOS采用了基于安

20、全威胁的开发方法l 设计目标 策略灵活性：DTOS内核应该能够支持一系列的安全策略，包括诸如国防部的强制访问控制多级安全策略 兼容性：与Mach兼容，原有的Mach应用能在不做任何改变的情况下运行3.7.3快速发展期（1997年 ）u SeLinuxl 背景：2001年美国国家安全局（NSA）等以Flask安全体系结构为指导，在Linux基础上开发l 特点：复合型安全策略、一个类型实施TE策略、RBAC策略、多段安全（MLS）策略组合u EROSl 背景：1999第一版，开始有PSU大学，后来JHU开发l 特点：完全基于权能、高性能，面向对象微内核、实施安全操作系统、具有透明全局系统持久性4.

21、安全评估4.1国际安全评价标准简介4.4.1国际安全评价标准4.4.1.1美国国防部TCSECu 简介可信计算机系统评价准则，1983推出，1985修改第一个计算机安全评估标准u 特点提出了可信计算基（Trusted Computer Base，TCB）的概念将计算机系统的安全划分为4类7个安全级别u 示意图u 安全级别l C类 自主保护类 C1级 自主安全保护系统 存在一定的自主存取控制 TCB通过用户和数据分开来达到安全目的，使所有的用户都以同样地灵敏度处理数据（可认为所有文档有相同机密性） C2级 受控制的存取控制系统 在CI基础上，通过登录。安全事件和资源隔离增强可调的审慎控制。在连接

22、到网上时，用户分别对自己的行为负责l B类 强制保护类 B级具有强制性保护功能 强制性意味着在没有与安全等级相连的情况下，系统就不会让用户存取对象 B1级 标记安全保护 对每个对象都进行灵敏度标记，导入非标记对象前要先标记它们 用灵敏度标记作为强制访问控制的基础 灵敏度标记必须准确地表示其所联系的对象的安全级别 系统必须使用用户口令或身份认证来决定用户的安全访问级别 系统必须通过审计来记录未授权访问的企图 B2级 结构保护 必须符合B1级系统的所有要求 具有形式化的安全模型、描述式顶层设计说明 更完美的MAC机制 可信通路机制 系统结构化设计 最小特权管理 隐蔽通道分析和处理 B3级 安全域级

23、 必须符合B2系统所有安全需求 全面的存取控制机制 严格的结构化设计 TCB最小复杂性设计 审计实时报告机构 更高分析和解决隐蔽通道问题 使用安装硬件的方法增强域的安全性l A类（只含1级） 验证保护类 最高安全级别，包含前面各级所有特性 设计必须是数学上经过验证的 必须进行隐蔽通道和可信任分布的分析 形式化顶层设计说明（FTDS） 形式化验证FTDS与形式化模型的一致性 采用形式化技术解决隐蔽通道问题u TCSEC的发展l 初衷主要是针对集中式计算的分时多用户操作系统l 后来又针对网络（分布式）和数据库管理系统（C/S结构）补充了一些附加说明和解释l 典型的有：1987年可信网络解释（TNI

24、）红皮书、可信数据库管理系统解释等u TCSEC的不足l TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和车队，不适合企业。这个模型是静态的l NCSC的TNI是把TCCSEC的思想用到网络上，缺少成功实践的支持l Moores Law：计算机的发展周期18个月，现在还有可能减少到一件。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律4.4.1.2欧共体信息技术安全评价准则ITSECu 背景l 1991年，西欧四国（英、法、荷、德）联合提出了ITSECl 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业l 比桔皮书更

25、宽松，目的是适应各种产品。应用和环境的需要，试图超越桔皮书u 主要内容l 首次提出了信息安全的保密性、完整性和可用性的概念l 将安全性要求分为“功能”和“保证”两个部分 功能：为满足安全需求而采取的一系列技术安全系统，如AC，审计，鉴别等 保证：确保功能正确实现及有效性的安全措施l ITSEC提出一个基本观点：分别衡量安全功能和安全保证 安全功能等级（Functionality，F1F10） F1 F5与桔皮书的C1 B3相对性 F6 F10对应数据和程序的完整性，系统的可用性，数据通信的完整性、保密性 安全保证等级（European Assurance，E0 E6 ITSEC还首次提出了安全

26、目标（ST）的概念 ITSEC认为，被评估的应是整个系统，而不只是计算平台 ITSEC成为欧共体信息安全计划的基础4.4.1.3加拿大可信计算机产品安全评价准则CTCPEC4.4.1.4美国信息技术安全评价联邦准则FC4.4.1.5国际通用准则CC 见P255.信息安全技术与产品5.1密码学基础知识5.1.1传统加密模型5.1.2密码算法分类u 按发展进程或体制分l 古典密码基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源l 对称密钥体制（Symmetric System）加密密钥和解密密钥相同，这些算法也叫做单钥密码体制（one-key system）l 非对称密钥体制（Asym

27、metric System）加密密码和解密密钥不同，也叫公钥密码体制（public key system）或双钥密码体制（two-key system）u 按加密模式分5.1.3古典密码u 代替密码：简单代替，多表代替，多字母或多码代替u 换位密码：凯撒密码u 凯撒密码将字母循环前移K位，k=5时l a b c d e f g h I j k l m n o p q r s t u v w x y zl f g h I j k l m n o p q r s t u v w x y z a b c d el University Zsnajwxnyd5.1.4公开密钥算法基本思想5.2访问控制

28、和安全模型5.2.1访问控制术语u 授权：资源的所有者或者控制者准许其他人访问该资源u 访问权：加强或者实施授权的方法u 资源：信息资源、处理资源、通信资源、物理资源等u 访问资源：意味着从这个资源中得到信息、篡改资源、或完成某种功能u 客体（Object）：一种信息实体，它们蕴涵或授权信息，如文件、目录、管道、消息、信号量、IPC、存储量、存储段等，甚至可以包括字、位、通信线路、网络节点等u 主体（Subject）：这样的一种实体，它引起信息在客体之间的流动，通常，这种实体是指人、进程或设备等，一般是代表用户执行操作的过程，如编辑一个文件，编辑进程是存取文件的主体，编辑的文件是客体5.2.2

29、访问控制的任务u 在计算机系统中，安全机制的主要内容是存取控制，它包括以下三个任务：l 授权确定可给予哪些主体存取客体的权利l 确定存取权限（读，写，执行，删除，追加等存取方式的组合）l 实施存取权限这里，术语“存取 控制“仅适用与计算机系统内部的主体和客体，而不包括外界对系统的存取，控制外界对系统存取的技术是标识与鉴别。5.2.3访问控制策略的概念u 访问控制策略在系统安全策略级上表示授权u 访问控制直接通过系统部件实施u 任何访问控制策略最终都可以被模型化为访问控制矩阵u 访问控制策略类型l 自主访问控制基于身份的策略l 强制访问控制基于规则的策略5.2.4自主存取控制（访问控制）书P73

30、u 基本概念l DAC含义： 文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权 自主也指具有授予某种访问权力的用户能够自主的（可能是间接的）将访问权或访问权的某个子集授予另外的用户l 实现方式 存取控制矩阵的每一行表示一个主体 每一列表示一个受控保护的客体 矩阵中的元素表示主体可对客体进行的访问模式 实际的方法是基于矩阵的行或列表达访问控制信息u 基于行的自主存取控制机制l 定义：在每个主体上都附加一个该主体可访问的客体的明细表l 形式 能力表（Capabilities List）能力决定用户是否可以对客体进行访问以及进行何种模式的访问（读，写，执行） 前缀表（Profi

31、les）对每个主体赋予的前缀表，包括受保护客体名和主体对它的访问权限 口令（Password）在基于口令机制的自主存取控制机制中，每个客体都相应的有一个口令u 基于列的自主存取控制机制l 形式 保护性（Protection Bits）对所有主体、主题组以及客体的拥有者指明一个访问模式集合、保护位机制不能完备的表达访问控制矩阵，一般很少使用 存取控制表（Access Control List，简称ACL）国际上流行的一种十分有效的自主存取控制模式，它在每个客体上都附加一个主体明细表，表示存取控制矩阵，表中的每一项都包括主体的身份和主体对应客体的访问权限l 举例对于客体 file1.主体ID1对它

32、只具有读（r）和运行（x）的权力，主体ID2只具有读权力，主体ID3只具有运行的权力，而主体IDn则对它同时具有读，写和运行的权力客体file1ID1（r，x）ID2（r）ID3（e）。IDn（r，x，e）l 存取控制表简化如把用户按其所属或其工作性质进行分类，构成相应的组，并设置一个通配符“*”，代表任何组名或主体标识符文件ALFRAJoneCRYFTOr w a*CRYFTOr aGreen*- - -*r5.2.5强制存取控制书P75u 基本概念l 系统中的同个进程、每个文件、每个IPC客体（消息队列、信号量集合和共享存储区）都被赋予了相应的安全属性，这些安全属性是不能改变的，由管理部门

33、（如安全管理员）或由操作系统自动的按照严格的规则来设置l 不像存取控制表那样，由用户或他们的程序直接或间接的修改l 当一进程访问一个客体时，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。l 代表用户的进程不能改变自身的或任何客体的安全属性l 进程也不能通过授予其他用户文件存取权限简单地实现文件共享l 如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体，从这种意义上讲，是“强制”的l 强制存取控制用于将系统中的信息分密级和类进行管理，还用于政府部门、军事和金融等领域u 多级安全思想产生的背景l 多级安全思想起源于20世纪

34、60年代末期，当时美国国防部决定研究开发保护计算机中机密信息的新方式l 其实，美国国防部对人工管理和存储机密信息早有严格的政策，即军事安全策略l 多级安全（又称MLS）是军事安全策略的数学描述，是计算机能实现的形式定义u 军事安全策略l 含义 计算机内的所有信息（如文件）都具有相应的密级，每个人都拥有一个许可证 为了确定是否应该允许某人阅读一个文件，要把该人的许可证同文件的密级进行比较 仅当用户的许可证大于或等于文件的密级时，他才可以合法的获得文件的信息l 目的防止用户取得他不应得到的密级较高的信息，密级，安全属性，许可证，存取类等含义是一样的，分别对应于主体或客体，一般都统称安全级l 安全级

35、的概念 构成元素： 保密级别（或叫做敏感级别或级别）。例如，可分为公开、秘密、机密和绝密等级别 范畴集：该安全级涉及的领域，如人事处、财务处等 安全级的构成 安全级包括一个保密级别，和范畴集（包括任意多个范畴） 安全级通常写成保密级别后随一范畴集的形式。例如（机密：人事处、财务处、科技处） 实际上，范畴集常常是空的，而且很少有几个范畴名 在安全级中保密级别是线性排列的。例如，公开秘密机密= CLASS(O)then Read(S,O) or Execute(S,O)n If CLASS(S) = CLASS(O)then Write(S,O) or Append(S,O) 以密级和类别（安全级

36、的要素）表示 分别以S.I,S.C表示主体的密级和类别O.I,O.C表示客体的密级和类别，授权规则可表示如下n 当(S.I=O.I)且（S.C包含O.C）时，主体可以读（执行）客体n 当(S.I=O.I)且（S.C=O.C）时，主体可以写客体 强制存取控制可以防止特洛伊木马 特洛伊木马的原理n 用户的程序通常继承了与用户相同的唯一ID，优先权和存取权n 因此，特洛伊木马能在不破坏系统的任何安全规则的情况下进行非法活动从而成为最难防御的一种危害n 多数操作系统不是为防止特洛伊木马而专门设计的，因而仅能在有限的情况下进行防御 强制存取控制防止特洛伊木马n 解决特洛伊木马的一个有效方法是使用强制存取

37、控制机制n 在强制存取控制的情况下，对于违反强制存取控制的特洛伊木马，可以防止它取走信息 举例在多级安全系统中，*特性能阻止正在机密安全级上运行的进程中的特洛伊木马把机密信息写入一个公开的文件里，因为用机密进程写入的每一信息的安全级必须至少是机密级的例如，一个公司对系统中自己拥有的信息指定强制存取范畴，具有该公司的雇员才可能进入这个范畴，如果它的一个雇员使用了特洛伊木马，他不可能将该公司的信息传递到这个范畴以外的地方去，但在这个范畴内，信息可以在各用户间自由传递。5.3开发路径6常用的安全模型6.1 BLP模型书P296.1.1 BLP模型元素u 系统状态表示l 状态是系统中元素的表示形式，它

38、由主体、客体、访问属性、访问矩阵以及标识主体和客体的访问类属性的函数组成，状态vV由一个有序的四元组（b，M，1,H）表示，其中l b（S O A）表示在某个特定的状态下，哪些主体以何种访问属性访问哪些客体，其中S是主体集，O为客体集，A=（r,w,a,e）是访问属性集l M表示访问矩阵，其中元素MA 表示主体S对客体O，具有的访问权限l fF表示访问类函数，记作f=（fs，fo，fc） 其中f表示主体的安全级函数（包括主体的密级f1（S）和范畴f3（S） fo表示主体当前安全级函数（包括主体的密级和范畴） fc表示客体的安全级函数（包括客体的密级和范畴人）l H表示当前的层次结构，即当前客体

39、的树形结构 OjH（C）表示在此树形结构中，Oj为子结点，O为父结点u 安全系统的定义l 规则产生函数 定义规则为函数 R=VD=V，对规则的解释为，给定一个请求和一个状态，规则决定系统产生的一个响应和下一状态，其中， R为请求集，V为状态集，D为判定集（yes，no，error，？）“yes”表示请求被执行，“no”表示请求被拒绝，“error”表示有多个规则适用于这一请求一状态对，“？”表示规则不能处理此请求 =（1，2，, s）是相于R,D,V的一组规则集 关系W（）R D V V，定义为（Rk，Dm，v2，v）W（），iff Dm ?,并且存在唯一的i，1 i f2（O）, f3（S）

40、 f4（O）l b（S：x1，x2，x3，xn）表示b中主体S对其具有访问权限，xi（tin）的所有客体集合u * 特性如前所述，S是S的一个子集。状态v=（b，M，f，H）满足相于S的 * 特性，(记为 * property rel S) ，iff所有的SS u 自主安全性状态v=（b，M，f，H）满足自主安全性，iff所有的（Si，Oj，x） b x Miju 兼容性公理状态v=（b，M，f，H）满足兼容性，iff所有的oO，有Oj H(O) fv（Oi） fv（O）6.1.3状态转换规则规则定义为函数 R V D V ，规则保持系统安全状态，iff所有的（Rk，v）=（Dm，v2），均有

41、v是安全状态v2是安全状态，即：规则保持简单安全性，保持*特性，保持自主安全性6.1.4 BLP模型分析u BLP模型的特点l BLP模型的安全策略包括强制存取控制和自主存取控制两部分l 使用了可信主体的概念，用于表示在实际系统中不受*特性制约的主体，以保证系统的正常运行和管理u BLP模型的不足l 在BLP模型中，可信主体不受*特性约束访问权限太大，不符合最小特权原则，应对可信主体的操作权限和应用范围进一步细化l BLP模型主要注重保密性控制，缺少完整性控制控制信息从低安全级传向高安全级，而缺少完整性控制，不能控制“向上写”操作，而“向上写”操作存在着潜在的问题，它不能有效的限制隐蔽通道6.

42、2 RBAC模型基本概念书P7780u 访问控制类型：一种强制存取控制机制u 角色：用一般业务系统中的术语来说，实际上就是业务系统中的岗位、职位或者分工u 角色的思想：将若干特定的用户集合和某种授权连接在一起，即与某种业务分工（岗位、工种等）相关联的授权连接在一起u 权限和职责：两者间的区别要从u 角色管理的优点l 动态管理：有利于对系统的存取权限的动态管理，并可随时根据业务变化对角色的存取权限进行管理l 操作性和可管理性好：基于角色的授权管理与针对个体的授权相比，操作性和可信管理性都要好l 适合多种类型用户需求：美国国家标准技术研究所（NIST）对28个组织进行的调查结果表明，RBAC的功能

43、相当强大，适用于许多类型用户需求u 角色与用户组l 用户组将用户作为一个集合对待，并不涉及它的授权许可，而角色则既是一个用户的集合，又是一个授权许可的集合l 对一个用户组的授权的分派指定相当不集中，而且比较随意l 基于用户组的授权是可以传递的，要判定某一特定的对象的授权情况需要遍历整个文件树u RBAC的优点l 支持多种访问控制类型：支持DAC、MAC，或在兼容这两种模型的系统l 管理上的简化和集中管理角色的授权许可所花费的时空代价应当与管理角色的从属关系的代价大致相当l 表示简化，支持语义丰富u RBAC家族系列关系RBAC0是基本模型，是层次结构模型，RBAC0是约束模型RBAC3RBAC

44、1 RBAC2RBAC0RBAC3u RBAC模型的构成PPERMISSIONSConstraintsRBAC1RHROLE HIERARCHYUAUSER ASSIGNMENTRROLESUUSERPAPERMISSION ASSIGNMENTRBAC2USER ROLESSESSIONSu 基本模型RBAC0l 由4个基本要素构成，即用户（U），角色（R），会话（S）和授权（P）l 一个系统中，定义并存在着多个用户，定义并存在着多个角色l 对每个角色设置了多个授权关系，称为授权的赋予（PA）l 在RBAC中，用户与角色的关系式多对多的关系l 在RBAC中每个角色至少具备一个授权，每个用户至

45、少扮演一个角色u 会话l 每个用户进入系统得到控制权时，就得到了一个会话 每个会话都是动态产生的，从属于一个用户 只要静态定义过这些角色与该用户的关系，会话就会根据用户的要求负责将它映射到多个角色上去l 一个会话可能激活的角色是该用户的全部角色的一个子集 对于该用户而言，在一个会话内可以获得全部被激活的角色所代表的授权l 角色和会话的设置带来的好处是容易实施最小特权原则u RBAC0的形式定义书P78RBAC0模型包括下列几个部分U，R，P及S（用户，角色，授权和会话）PAP R PA是授权到角色的多对多关系UAU R UA是用户到角色的多对多关系Roles（Si） r I（user（Si），

46、r）UA 其中，User：SU，将各个会话映射到一个用户去的函数user（Si） Roles：S2R，将各个会话Si与一个角色集合连接起来的映射，可以随时间变化而变化，且会话Si的授权Urroles（Si） p I （p，r）PA u 角色互斥l 含义角色的互斥状态是最常见的约束条件对于互斥的角色集，用户只能被分配其中一个与角色互斥相似的是授权的互斥机制，对特权授予的约束可以防止系统内重要特权的失控约束的其他表现有时可以对角色附加数量的约束可以对角色施加前提约束：即某个用户被指派为角色A的前提条件是已经被指派为角色B7 防火墙简介书P1097.1问题u 企业上网面临的安全问题之一l 内部网域互

47、联网的有效隔离l 网络间的访问需隔离7.2防火墙的概念u 定义1：l 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组l 强制执行对内部网和外部网的访问控制l 通过建立一整套规则和策略来监测，限制，更改跨越防火墙的数据流，达到保护内部网络的目的u 定义2l 防火墙是建立在内外网络边界上的过滤封锁机构，内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。l 防火墙的作用是防止不希望的，未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。7.3防火墙的作用u 降低了网络中主机安全的风险l 如果没有防火墙，则整个

48、内部网络的安全性完全依赖于每个主机l 根据“木桶原理”，所有的主机都必须达到一致的高度安全水平l 网络越大，对主机进行管理使它们达到统一的安全级别水平就越不容易7.4防火墙相对主机有哪些特点u 相对少一些缺陷和安全漏洞l 防火墙隔离了内部网络和外部网络，它被设计为只运行专用的访问控制软件的设备，而没有其他的服务u 可以进行专用的管理l 防火墙改进了登录和监测功能u 内部网络中的主机将不再直接暴露给外部的攻击u 安全管理更为方便l 对整个内部网络的主机的安全管理就变成了防火墙的安全管理，使安全管理变得更为方便，易于控制，也会使内部网络更加安全7.5防火墙的实质u 防火墙是在被保护网络和非信任网络之间进行访问控制的一个或者一组访问控制部件u 防火墙是一种逻辑隔离部件，而不是物理隔离部件l 它所遵循的原则是，在保证网络畅通的情况下，尽可能的保证内部网络的安全l 防火墙是在已经制定好的安全策略下进行访问控制，所以一般情况下它是一种静态安全部件l 随防火墙技术的发展，防火墙或通过与IDS（入侵检测系统）进行联动，或自身集成IDS功能，将能够根