当前位置:文档之家 › 第2讲 信息安全模型

第2讲 信息安全模型

  • 格式:pptx
  • 大小:2.36 MB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

信息安全管理体系模型

信息安全管理体系模型

信息安全管理体系模型
信息安全管理体系(ISMS)模型是一个基于风险管理的框架,旨在确保组织管理其信息资产的安全。

ISMS模型是指定信息安全管理系统的标准,以协助组织实施、监督、维护和改进其信息安全管理体系,以确保其信息资产的保密性、完整性和可用性。

下面是常用的ISMS模型:
1. ISO 27001: 这是全球范围内最常使用的信息安全管理体系国际标准,其基于风险管理方法构建,旨在确保信息资产的保密性、完整性和可用性。

2. NIST Cybersecurity Framework: 由美国国家标准技术研究院(NIST)发布的这个框架是用来帮助组织实现其信息安全风险管理的。

3. CIS Controls: 由CIS(Center of Internet Security)制定的一套基于实践的安全控制,以协助组织防范最常见的攻击。

4. COBIT:这是一个由信息系统审计和控制协会(ISACA)及其附属机构颁布的框架,旨在帮助组织管理其信息技术和信息安全。

5. HIPAA:这是美国卫生保健行业需要遵守的一组安全标准,以确保个人健康信息的保密性、完整性和可用性。

这些ISMS模型都可以用作一个操作性的标准,帮助组织实现其信息安全管理体
系。

信息安全模型讲义

信息安全模型讲义

信息安全模型讲义信息安全模型是指在信息系统中,通过建立安全策略和安全控制措施来保护信息资源的技术体系和理论模型。

它以解决信息系统中的安全问题为目标,为实现信息系统的安全性提供了一种全面、系统的方法和手段。

本篇文章将对信息安全模型进行详细的讲解。

一、信息安全概述信息安全是指保护信息资源不受未经授权的访问、使用、泄露、破坏、篡改或丢失的能力。

在信息化快速发展的今天,信息安全已经成为一个非常重要的问题。

信息资源安全主要包括机密性、完整性和可用性三个方面。

1. 机密性:信息的机密性是指只有经过授权的用户才能访问和使用信息,未经授权的用户无法获取和使用信息。

2. 完整性:信息的完整性是指信息在传输和存储过程中,不受篡改和损坏的保证,保证信息真实、完整和正确。

3. 可用性:信息的可用性是指信息能够在需要的时候正常地使用,不受拒绝服务攻击和其他因素的影响。

二、信息安全模型的基本概念信息安全模型是指在信息系统中,通过建立安全策略和安全控制措施来保护信息资源的技术体系和理论模型。

它以解决信息系统中的安全问题为目标,为实现信息系统的安全性提供了一种全面、系统的方法和手段。

信息安全模型主要包括安全策略、安全目标、访问控制和身份验证等要素。

1. 安全策略:安全策略是指为了保护信息系统中的信息资源安全而制定的一系列规则和措施。

它包括安全目标的确定、安全政策的制定和安全规则的建立等。

2. 安全目标:安全目标是制定和实施安全策略的目的和依据,主要包括保密性、完整性和可用性等安全目标。

3. 访问控制:访问控制是指通过建立安全机制和措施,对信息系统中的用户进行身份验证和授权访问。

它包括访问控制策略、访问控制模型、访问控制机制等。

4. 身份验证:身份验证是确认用户的身份是否合法和可信的过程。

常用的身份验证方式包括用户名和密码、生物特征识别、数字证书等。

三、信息安全模型的分类信息安全模型根据安全策略的不同,可以分为强制访问控制(MAC)、自主访问控制(DAC)和角色访问控制(RBAC)等。

信息安全技术 信息安全能力成熟度模型-概述说明以及解释

信息安全技术 信息安全能力成熟度模型-概述说明以及解释

信息安全技术信息安全能力成熟度模型-概述说明以及解释1.引言1.1 概述信息安全技术在当今社会中扮演着至关重要的角色,随着信息技术的快速发展和普及,信息安全问题也随之愈发凸显。

信息安全技术不仅是保障个人隐私和数据的安全,更是企业经营和国家安全的重要保障。

信息安全能力成熟度模型是评估和提升组织信息安全能力的重要工具。

通过对组织信息安全管理系统的评估,可以帮助组织全面了解其信息安全现状,找出存在的问题和风险,进而制定有效的信息安全策略和措施。

本文将探讨信息安全技术的重要性以及信息安全能力成熟度模型的定义和应用,旨在帮助读者深入了解信息安全领域的发展和实践。

希望通过本文的阐述,读者能够对信息安全的重要性有更深入的认识,并了解如何利用成熟度模型提升信息安全能力。

1.2 文章结构文章结构部分的内容主要涉及整篇文章的组织架构和写作方式。

在本篇文章中,我们将分为引言、正文和结论三个部分来展开论述。

引言部分主要包括概述、文章结构和目的。

在概述部分,我们将介绍信息安全技术和信息安全能力成熟度模型的重要性和背景,引发读者对本文主题的兴趣。

文章结构部分则是本节主要内容,介绍整篇文章所包含的大纲和各个章节的主要内容,以便读者对全文有一个清晰的整体认识。

最后,在目的部分,我们将明确本文的撰写目的和预期效果,为读者提供明确的阅读导向。

正文部分将分为信息安全技术的重要性、信息安全能力成熟度模型的定义和信息安全能力成熟度模型的应用三个小节。

信息安全技术的重要性将讨论信息安全在现代社会中的重要性,以及信息安全所面临的挑战和威胁。

信息安全能力成熟度模型的定义将解释该模型的概念和组成要素,为读者建立对模型的基础认知。

信息安全能力成熟度模型的应用部分将介绍该模型在实际应用中的价值和作用,为读者提供实际应用案例和参考。

结论部分将在总结、展望和结语三个小节中对全文内容进行总结归纳,展望未来信息安全技术和信息安全能力成熟度模型的发展趋势,并留下一句简短的结语,以结束整篇文章。

信息安全安全模型

信息安全安全模型

就是防护(P )。防护是预先阻止攻击 可以发生的条件,让攻击者无法顺利地 入侵。 防护可以减少大多数的入侵事件。
26
检测
PDRR模型的第二个环节就是检测(D)。上面
提到防护系统除掉入侵事件发生的条件,可以 阻止大多数的入侵事件的发生,但是它不能阻 止所有的入侵。特别是那些利用新的系统缺陷
、新的攻击手段的入侵。因此安全策略的第二
38
防毒软件
防毒软件是人们最熟悉的安全工具,可
以检测、清除各种文件型病毒、宏病毒 和邮件病毒等。在应对黑客入侵方面, 它可以查杀特洛依木马和蠕虫等病毒, 但对于网络攻击行为(如扫描、针对漏 洞的攻击)却无能为力。
39
安全审计系统
安全审计系统通过独立的、对网络行为和主
机操作提供全面与忠实的记录,方便用户分 析与审计事故原因,很像飞机上的黑匣子。 由于数据量和分析量比较大,目前市场上比 较成熟的产品: 主动式审计(IDS部署) 被动式审计(日志监控)
安全=风险分析+执行策略+系统实施+漏洞检测+实时响应
20
Policy(安全策略)
由于安全策略是安全管理的核心,所以
要想实施动态网络安全循环过程,必须 首先制定安全策略,所有的防护、检测 、响应都是依据安全策略实施的,安全 策略为安全管理提供管理方向和支持手 段。 对于一个策略体系的建立包括:安全策 略的制订、安全策略的评估、安全策略 的执行等。
第二部分 安全模型
信息系统的安全目标是控制和管理主体 (Subjects,包括用户和进程)对客体 (Objects, 包括数据和程序)的访问。
安全模型:
准确地描述安全的重要方面及 其与系统行为的关系。提高对成功 实现安全需求的理解层次。

PDR模型、PPDRR模型和信息安全三维模型概述

PDR模型、PPDRR模型和信息安全三维模型概述

PDR模型、PPDRR模型和信息安全三维模型概述PDR模型、PPDRR模型和信息安全三维模型概述什么是PDR模型PDR模型是由美国国际互联网安全系统公司(ISS)提出,它是最早体现主动防御思想的一种网络安全模型。

PDR模型包括protection(保护)、detection(检测)、response(响应)3个部分。

保护就是采用一切可能的措施来保护网络、系统以及信息的安全。

保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。

检测可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。

检测技术主要包括入侵检测、漏洞检测以及网络扫描等技术。

应急响应在安全模型中占有重要地位,是解决安全问题的最有效办法。

解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。

PDR模型的原理[1]PDR模型,即引入时间参数、构成动态的具有时间特性的安全系统。

用Pt表示攻击所需的时间,即从人为攻击开始到攻击成功的时间,也可是故障或非人为因素破坏从发生到造成生产影响的时间;用Dt表示检测系统安全的时间;用Rt表示对安全事件的反应时间,即从检查到漏洞或攻击触发反应程序到具体抗击措施实施的时间。

显然,由于主观不可能完全取消攻击或遭受破坏的动因,无论从理论还是实践上都不可能杜绝事故或完全阻止入侵,因此只能尽量延长P_t值,为检测和反应留有足够时间,或者尽量减少D_t和R_t值,以应对可能缩短的攻击时间。

根据木桶原理,攻击会在最薄弱的环节突破,因此进一步要求系统内任一具体的安全需求应满足:Pti > Dt + Rti这一要求非常高,实现的代价也非常高昂,因此对某些漏洞或攻击可以放宽尺度。

设Pti < Dt + Rti,则Eti = Dti + Rti ? Pti 其中,Et > 0,称为暴露时间,应使其尽量小。

PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。

信息管理安全模型有哪些

信息管理安全模型有哪些

信息管理安全模型有哪些
信息系统安全模型的构建是获得信息系统安全的基础和保障。

安全模型是安全策略的一种精确描述,它在安全系统开发中起着关键的作用。

最早的安全模型是用于描述军事安全策略的,随着计算机的迅速普及,适应各种应用领域安全需求的安全模型不断地被提出。

随着计算机技术的发展与普及,许多企事业单位和管理机构都建立了自己的管理信息系统。

在信息系统开发设计过程中,安全性能总是被放在首要的位置,成为信息系统生存的关键。

构建企业级信息系统的安全模型已日益成为一个重要的研究领域。

信息系统安全性提升,主要来自信息安全产品和服务的贡献。

整个市场保持着以商用密码、防火墙、防病毒、入侵检测、身份识别、网络隔离、防信息泄露和备份恢复等产品为主导的格局,反垃圾邮件技术、大规模网络化技术和安全存储技术等方面取得很大进展。

很多信息系统安全模型为层次模型,可以把信息系统安全归结为一个层次模型,模型中各层之间互相依赖,下层向上层提供支持。

云安全参考模型解决的是分类的关系。

信息系统安全等级保护基本模型

信息安全技术信息系统安全等级保护基本模型Information security technology-Fundamental model of security classification protection forinformation system目次前言 ............................................................................ I I 引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4信息系统安全总体模型 (1)5信息系统安全等级保护基本模型 (2)5.1一级安全信息系统 (2)5.2二级安全信息系统 (2)5.3三级安全信息系统 (3)5.4四级安全信息系统 (5)5.5五级安全信息系统 (7)参考文献 (10)I引言信息系统安全等级保护的基本模型是从系统角度对信息系统安全等级保护各个保护级别的安全模型的描述。

本标准首先给出了信息系统安全的总体模型,然后分别给出了信息系统安全等级保护 1 到5 级的每一级的可供参考的基本模型。

对于一个复杂的大型信息系统,其不同的组成部份一般会有不同的安全保护要求。

本标准以划分安全域的思想给出的信息系统安全等级保护的基本模型能够反映信息系统安全等级保护的需要。

安全域是信息系统中实施相同安全保护策略的最小单元。

安全域以信息系统所支撑的业务应用的安全需求为基本依据,以数据信息的保护需求为中心划分和确定。

III信息安全技术信息系统安全等级保护基本模型1范围本标准规定了按照GB 17859-1999 的五个安全保护等级的要求对信息系统实施安全等级保护,其中每一个安全保护等级的基本模型。

本标准适用于按照GB 17859-1999 的五个安全保护等级的要求对信息系统实施安全等级保护所进行的设计。

2规范性引用文件下列文件中的有关条款通过本标准的引用而成为本标准的条款。

信息安全模型

信息安全模型1.安全模型定义:安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。

2.安全模型的作用:能准确地描述安全的重要方面与系统行为的关系;能提高对成功实现关键安全需求的理解层次;从中开发出一套安全性评估准则,和关键的描述变量。

3.安全模型分类:按机制分类:访问控制模型、信息流模型等;按服务分类:机密性、完整性、可用性模型等。

典型模型如下:3.1信息流模型:主要着眼于对客体之间的信息传输过程的控制。

信息流模型需要遵守的安全规则是:在系统状态转换时,信息流只能从访问级别低的状态流向访问级别高的状态。

信息流模型实现的关键在于对系统的描述,即对模型进行彻底的信息流分析,找出所有的信息流,并根据信息流安全规则判断其是否为异常流,若是就反复修改系统的描述或模型,直到所有的信息流都不是异常流为止。

模型的缺点为需要制定输入输出的安全性规范,且信息流模型对具体的实现只能提供较少的帮助和指导。

3.2访问控制模型:访问控制模型决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。

适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。

在用户身份认证(如果必要)和授权之后,访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。

3.2.1自主访问控制Discretionary Access Control,简称DAC自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主进行的。

访问控制矩阵:访问控制策略最终可被模型化为访问矩阵形式, 行对应于用户, 列对应于目标, 每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可实施行为。

3.2.1.1访问控制表(Access Control List)访问控制表是基于访问制矩阵列的自主访问控制。

每个客体都有一张ACL,用于说明可以访问该客体的主体及其访问权限。

信息安全系统评估模型

信息安全系统评估模型信息安全系统评估模型是一种衡量和评估信息安全系统安全性的方法。

它可以帮助组织识别、评估和管理其信息系统的安全风险,以确保其信息资产的保密性、完整性和可用性。

信息安全系统评估模型通常由以下几个组成部分组成:1. 评估准则:评估准则是指在评估过程中所使用的标准和规范。

这些准则可以是法规、政策、框架或行业最佳实践等。

常用的评估准则包括ISO 27001/27002、NIST Cybersecurity Framework等。

2. 评估方法:评估方法是指评估者在执行评估过程中所采用的方法和技巧。

评估方法可以是定性的、定量的或混合的。

常用的评估方法包括漏洞扫描、安全审计、渗透测试等。

3. 评估过程:评估过程是指评估者执行评估任务的阶段和步骤。

评估过程可以包括需求收集、系统分析、风险评估、漏洞扫描、安全测试、报告撰写等。

4. 评估报告:评估报告是评估结果的总结和记录。

报告中应包含对系统安全性的评估结果、发现的安全漏洞、改进建议等。

信息安全系统评估模型的目的是帮助组织了解其信息安全系统的弱点和安全风险,并采取相应的措施加以改进和管理。

通过使用评估模型,组织可以有效识别潜在的安全漏洞和威胁,为信息安全决策提供科学依据。

信息安全系统评估模型的优点包括:1. 量化安全风险:通过评估模型,可以定量评估信息安全系统的风险水平,帮助组织更好地理解其面临的安全威胁和风险。

2. 指导决策:评估结果可以帮助组织识别关键的安全问题,并提供改进建议,为决策者提供指导。

3. 持续改进:通过定期进行评估,组织可以不断改进和加强其信息安全系统,提高安全性。

总而言之,信息安全系统评估模型是一种帮助组织评估和管理信息安全风险的方法。

通过使用评估模型,组织可以识别潜在的安全漏洞和威胁,并采取相应的措施加以改进和管理,以确保信息资产的安全。

信息安全保障体系模型

信息安全保障体系模型随着信息技术的不断发展,以及对信息安全认识的不断发展,信息安全概念已经从最初的信息本身保密,发展到以计算机和网络为对象的信息系统安全保护,信息安全属性也扩展到保密性、完整性、可用性三个方面,进而又形成信息安全保障,尤其是息系统基础设施的信息保障。

信息安全保障将安全属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面,保障对象明确为信息、信息系统。

保障能力明确来源于技术、管理和人员三个方面。

信息安全保障中,安全目标不仅是信息或者系统某一时刻的防护水平,而是系统与拥有系统的组织在信息系统整个生命周期中所具有的持续保护能力,是一个长期而复杂的系统工程,不仅需要适当的技术防护措施、安全管理措施,更需要在系统工程的理论指导下,合理规划、设计、实施、维护这些措施,以保证系统安全状态的保持与持续改进。

为此,我们提出了电力系统的信息安全保障体系框架。

信息安全保障体系是指通过对技术、管理、工程等手段的合理运用和防护资源的有效配置,形成的保障信息系统安全性的机制。

信息安全保障体系框架是对技术、管理和安全工程等信息安全保障体系主要内容间的关系进行的抽象描述。

见下图:图五,电力系统的信息安全保障体系框架SPMTE模型由4个部分组成,分别是:信息安全总方针、信息安全管理体系、信息安全技术体系和信息安全工程模型。

电力系统的信息安全保障体系框架包含的详细内容见图六:图六,SPMTE模型的内容1.信息安全方针信息安全总方针,是信息安全保障的最高纲领和指导原则,包括:组织的信息安全目标、组织的信息安全理念、组织所采用的信息安全模型和组织的信息安全策略。

2.信息安全管理体系信息安全管理体系是信息安全保障体系运作的核心驱动力,包括:制度体系、组织体系、运行体系。

●安全制度(子策略)是由最高方针统率的一系列文件,结合有效的发布和执行、定期的回顾机制保证其对信息安全的管理指导和支持作用。

●安全组织明确安全工作中的角色和责任,以保证在组织内部开展和控制信息安全的实施。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

BLP模型的不足
• 可信主体不受*特性约束,访问权限太大,不符合最 小特权原则 • BLP模型注重保密性控制,而缺少完整性控制,不 能控制“向上写”,不能有效限制隐通道 • 仅能处理单级客体,缺乏处理多级客体 • 不支持系统运行时动态调节安全级的机制
“向上写”导致的隐蔽通道示例
• 假定在一个系统中,“向上写”是允许的,如果系统中 的文件/data的安全级支配进程B的安全级,即进程B对 文件/data有MAC写权限而没有MAC读权限,进程B可以 写打开、关闭文件/data。 • 因此,每当进程B为写而打开文件/data时,总返回一个 是否成功打开文件的标志信息。这个标志信息就是一个 隐蔽通道,它可以导致信息从高安全级流向低安全级。 即可以用来向进程B传递它本不能存取的信息。
• BLP模型是遵守军事安全策略的多级安全模型。
BLP模型现实意义
总统 机要文件 读写
不上读
X
读 写
X
不下写
读写
街头告示 注:箭头表示信息的传递方向。
平民
“不上读,不下写”规定
① ② ③ ④ ⑤ ⑥ 总统可以读街头告示,因为他的地位高于它的敏感性; 平民可以写机要文件,因为他的地位低于它的敏感性; 总统可以读和写机要文件,因为他的地位匹配它的敏感性; 平民可以读和写街头告示,因为他的地位匹配它的敏感性; 总统不能写街头告示,因为他的地位高于它的敏感性; 平民不能读机要文件,因为他的地位低于它的敏感性。
强制访问控制
• 强制访问控制(Mandatory Access Control),简称MAC。
• 在强制访问控制中,每个主体及客体都被赋予一定的安全级别(包括安全 域),系统通过比较主体和客体的安全级别来决定主体是否可以访问该客 体。 • 如,绝密级,机密级,秘密级,无密级。 • 通过安全标签实现单向信息流通模式。 普通用户不能改变自身或任何客体的安全级别,即不允许 • 系统“强制”主体服从访问控制策略。 普通用户确定访问权限,只有系统管理员可以确定用户的 访问权限。
自主访问控制
• 自主访问控制的实现机制
• 访问控制矩阵(Access Control Matrix)
• 访问控制列表( Access Control Lists)
• 访问控制能力列表(Access Control Capabilities Lists, ACCLs)
访问控制矩阵
• 访问控制矩阵(Access Control Matrix)
第2讲
信息安全模型
经典安全模型
• James P.Anderson在1972年提出的引用监控器(The Reference Monitor)的概念是经典安全模型的最初雏形
经典安全模型
授权
授权信息
身份认证
访问控制
主体
审计
客体
Log
经典安全模型
• 谁可以进入系统? • 用户可以做什么? • 用户做了什么?
上述两个特性是BLP模型的两条主要性质, 约束了所允许的访问操作。在访问一个客 体时,两个特性都将被验证。
自主安全特性
基本安全定理
• 定理2.1(基本安全定理) 如果系统状态的每一次 变化都满足ss-特性、*-特性和ds-特性的要求,那 么,在系统的整个状态变化过程中,系统的安全 性一定不会被破坏。
低水标模型读规则
• 规则2.2 设S是任意主体,O是任意客体,imin = min(i(S), i(O)),那 么,不管完整性级别如何,S都可以读O,但是,“读”操作实施 后,主体S的完整性级别被调整为imin。
低水标模型的信息传递
• 定理2.2 在Biba低水标模型的控制下,如果系统中存在一个从客 体O1到客体On+1的信息传递路径,那么,对于任意的k (1≤k≤n),必有i(Ok+1) ≤ i(O1)。 • 信息不会从低完整性级别的客体传向高完整性级别的客体。
自主访问控制问题
• DAC的优缺点
• 优点:授权机制比较灵活 • 缺点:存在较大的安全隐患,不能对系统资源提供充分保护,尤其不能抵 御特洛伊木马的攻击
强制访问控制与安全策略
• 定义2.3 如果只有系统才能控制对客体的访问,而用户个体不能 改变这种控制,那么这样的访问控制称为强制访问控制。 • 定义2.4 如果一个安全策略的策略逻辑的定义与安全属性的分配 只能由系统安全策略管理员进行控制,则该安全策略称为强制安 全策略。
• 例如,若某用户A有权访问文件F,而用户B无权访问F,则一旦A获取F后再 传送给B,则B也可访问F。 • 原因:在自主访问控制策略中,用户在获得文件的访问后,并没有限制对 该文件信息的操作,即并没有控制数据信息的分发。
自主访问控制问题
important
SOS:RW
use-it-please
pocket
SPY:RW SOS:W
(1)SOS将重要信息放在important文件中,权限为只有自己可读 (2)SPY是一个恶意攻击者,试图读取important.doc文件内容,他首先准 备好一个文件pocket.doc,并将其权限设置成为SOS:w,SPY:rw (3)设计一个有用的程序use_it_please,该程序除了有用部分,还包含一 个木马。 (4)当诱使SOS下载并运行该程序时,木马会将important.doc中的信息写 入pocket.doc文件,这样SPY就窃取了important.doc的内容
访问控制策略的实施原则
• 最小泄漏原则
• 当主体执行任务时,按照主体所需知道的信息最小化 的原则分配给主体权力。 • 例:综合教务管理系统中教员只能查询所授班次学生 的信息
自主访问控制与安全策略
• 定义2.1 如果作为客体的拥有者的用户个体可以通过设置访问控 制属性来准许或拒绝对该客体的访问,那么这样的访问控制称 为自主访问控制。 • 定义2.2 如果普通用户个体能够参与一个安全策略的策略逻辑的 定义或安全属性的分配,则这样的安全策略称为自主安全策略。
Authentication (身份认证)
Authorization (授权控制) Audit (审计)
AAA (3A)
访问控制策略的实施原则
• 最小特权原则
• 当主体执行操作时,按照主体所需权力的最小化原则 分配给主体权力。
• 最小泄漏原则
• 当主体执行任务时,按照主体所需知道的信息最小化 的原则分配给主体权力。
强制访问控制
• BLP模型 • Biba模型 • Clark-Wilson模型 • TE模型
• Merkle树模型
2.1 Bell-LaPadula模型
• 1973年,David Bell和Len Lapadula提出了第一个也是最著名安全 策略模型Bell-LaPadula安全模型,简称BLP模型。
信息传递路径定义
• 定义2.13 一个信息传递路径是一个客体序列O1, O2, …, On+1和 一个对应的主体序列S1, S2, …, Sn,其中,对于所有的i(1 ≤ i ≤ n),有Si r Oi和Si w Oi+1。
信息从客体O1中传递到客体On+1中
O1 O1
读 写
O2 O2
读 写
O3 O3
读 写
… …
On On
读 写
On+1 On+1
S1 S1
S2 S2
S3 S3
…ห้องสมุดไป่ตู้…
Sn Sn
写/执行规则
• 规则2.1 “写”操作的实施由下面的规则①控制,“执行”操作 的实施由下面的规则②控制:
① 当且仅当 i(O) ≤ i(S) 时,主体S可以写客体O。 ② 当且仅当 i(S2) ≤ i(S1) 时,主体S1可以执行主体S2。
完整性级别绝对支配关系
• 定义2.11 设i1和i2是任意两个完整性级别,如果完整性级别为i2的 实体比完整性级别为i1的实体具有更高的完整性,则称完整性级 别i2绝对支配完整性级别i1,记为: i1 < i2
完整性级别支配关系
• 定义2.12 设i1和i2是任意两个完整性级别,如果i2绝对支配i1,或 者,i2与i1相同,则称i2支配i1,记为: i1 ≤ i2
隐蔽通道场景描述
/control
(3)观察文件长度增长 (同步信号)
(2)创建并写入
绝密进程A
(4)读并修改其DAC属性
公开进程B
比如:允许,发送1,拒绝发送0
(1)创建
(5)尝试写入:
成功,接收1,不成功接收1
/data
2.2 Biba模型
• 1977年,Biba等人提出了第一个完整性安全模型-Biba模型, 它基本是BLP模型的对偶,不同的只是它对系统中的每 个主体和客体均分配一个完整性级别(integrity level)。 • 通过信息完整性级别的定义,在信息流向的定义方面不 允许从级别低的进程到级别高的进程,也就是说用户只 能向比自己安全级别低的客体写入信息。 • 防止非法用户创建安全级别高的客体信息,避免越权、 篡改等行为的产生。
BLP模型的构成
• 定义2.5 BLP模型的核心内容由简单安全特性 (ss-特性)、星号安全特性(*-特性)、自主安 全特性(ds-特性)和一个基本安全定理构成。
简单安全特性
星号安全特性
BLP模型
• 简单安全特性:是指任何一个主体不能读安全级别高 于它的安全级别的客体,即不能“向上读”; • 星号安全特性:“*”特性是指任何一个主体不能写安 全级别低于它的安全级别的客体,即不能“向下写”。
2.2 Biba模型
• 客体的完整性级别:用于描述对一个客体中所包含信息 的信任度“trustworthiness” 。比如:过路人的报告和专 家组的报告。记为:i(o) • 主体的完整性级别:用于衡量主体产生/处理信息能力上 的信心“confidence” 。比如:经鉴定软件产品和网上自 由下载的软件。记为:i(s) • 三种访问模式:observe(read), modify(write), invoke (execute)