计算机安全策略

2011-11-7
11
信息的机密性需求
另一种用于民用目的的安全策略是“自主安全策略 (DAC)”，即每个信息有一个所有者，它可以决定是否允 许其他用户或进程对此信息进行访问。
2011-11-7
12
信息的完整性需求
指维护系统资源在一个有效的、预期的状态，防止 资源不正确、不适当地修改，或是为了维护系统不 同部分的一致性。主要目的是防止在涉及到记账或 审计的事件中舞弊行为的发生。
9
系统的安全需求的内容
机密性（confidentiality）：防止信息泄露给未授权的 用户。 完整性（integrity）：防止未授权的用户对信息的修改。 可记账性（accountability）：防止用户对访问过的信 息或执行的操作予以否认。 可用性（availablity）：保证授权用户对系统信息的可 访问性。
2011-11-7
33
主体属性(用户特征) 主体属性(用户特征)
用户特征是系统用来决定访问控制的最常用的因素。通 常一个用户的任何一种属性，例如年龄、性别、居住地、 出生日期等等，均可以作为访问控制的决策点。下面就 是在一般系统访问控制策略中最常用的几种用户属性： 用户ID╱组ID： 用户访问许可级别 “需知”原则(need-to-know) 角色 能力列表(Capability List)
计算机安全
CH2：计算机安全策略 CH2：计算机安全策略
提 要 系统的安全需求
安全策略的定义 安全策略的分类 安全策略的形式化描述 安全策路的选择 访问控制的属性 安全策略及其分类 访问控制策略 访问支持策略
2011-11-7 2
信息安全与保密的结构层次
物理安全 安全控制 安全服务
2011-11-7
2011-11-7 31
主、客体属性
另外，信息系统的访问控制策略除了涉及到主、客体之外， 还包括以下几个因素：
将要访问该信息的用户的属性，即主体的属性(例如， 用户ID号或许可级别等)； 将要被访问的信息的属性，即客体的属性(例如信息 的安全性级别，信息来源等)； 系统的环境或上下文的属性(例如某天的某个时候， 系统状态等等)。
2011-11-7 30
客体 总的来说，系统内的客体也可以分为三大类：
一般客体(General Object)：指在系统内以客观、具体 的形式存在的信息实体，如文件、目录等。 设备客体(Device Object)：指系统内的设备，如软盘、 打印机等。 特殊客体(Special Object)：有时系统内的某些进程也 是另外一些进程的行为的承担者，那么这类进程也是 属于客体的一部分。
2011-11-7
13
信息的可记账性需求
目的是为了知道用户执行了什么操作，是谁执行 了该操作等。这对知晓系统破坏的程度、恢复丢 失信息、评估系统安全性以及为对系统造成严重 破坏的民事赔偿或法律诉讼提供依据。
2011-11-7
14
信息的可用性需求
是为了保证系统的顺利工作，即保证已获得授权的 用户对系统信息的可访问性。
2011-11-7 22
安全策略的分类
访问控制（Access Control） 访问控制（Access Control）
定义：是指对主体访问客体的权限或能力的限制，以及限 制进入物理区域（出入控制）和限制使用计算机系统和计 算机存储数据的过程（存取控制）。 访问控制的目的：为了保障资源受控，合法的使用，用户 只能根据自己的权限大小来访问资源，不能越权访问。同 时访问控制也是记帐、审计的前提。
2011-11-7
27
7、内容相关及其他访问控制：
内容相关：访问与否与客体当前的数据有关； 上下文相关：允许访问条件是数据集合的函数； 时间相关：允许访问条件是系统时钟的函数； 历史相关：允许访问条件是系统先前状态的函数。
2011-11-7
28
访问控制的属性
一般来说，在计算机系统内和访问控制策略相关的因素有 三大类：
2011-11-7
8
安全需求 大多数安全策略考虑的是机密性、完整性、可记账性、
可用性这四项要求，但其侧重点各有不同。例如： 军事安全策略侧重于信息的机密性要求 商用安全策略则偏重于信息的完整性与可记账性 电信部门侧重于系统的可用性 然而，仅考虑某一方面的需求是远远不够的，还应当均 衡考虑。
2011-11-7
2011-11-7
7
安全连接：是在安全处理前网络通信双方之间的连接 过程，主要包括会话密钥产生、分发和身份验证。 安全策略：是决策的集合。它集中体现了一个组织对 安全的态度。确切地说安全策略对于可接受的行为以 及对违规作出何种响应确定了界限。安全策略是安全 机制、安全连接和安全协议的有机结合，是信息系统 安全性的完整解决方案。安全策略决定了网络信息安 全系统的整体安全性和实用性。
2011-11-7
25
4、离散访问控制：它是根据请求的主、客体名称 作出可否访问的决策，又称名称相关访问控制。因 为不需要依据数据库中的数据内容就能作出决策， 有时也称为内容无关访问控制。 5、自主访问控制：客体的属主可以自主地决定哪 个用户能够访问他的资源。
2011-11-7
26
6、强制访问控制：主体和客体都有固定的安全属性， 这些安全属性都刻画在主、客体的安全标记中。安全标 记是根据安全信息流对系统中的主、客体统一标定的。 可否访问的决策是依据请求访问的主、客体统一制定的， 又称为非离散访问控制。它远比离散访问控制安全，但 实现起来较困难。
3
物理安全
是指在物理介质层次上对存储和传输的网络及信息的安 全保护，它是网络及信息安全的最基本的保障，是整个 安全系统不可缺少和忽视的组成部分。 该层次上的不安全因素主要有： （1）自然灾害、物理破坏、设备保障 （2）电磁辐射、乘机而入、痕迹泄露 （3）操作失误、意外泄露
2011-11-7
4
安全控制
2011-11-7
23
访问控制（Access Control） 访问控制（Access Control）
访问控制是计算机保护中极其重要的一环，它是在身 份识别的基础上，根据身份对提出的资源访问请求加 以限制。
2011-11-7
24
一些重要的访问控制策略：
1、最小权限策略：信息限于给那些完成某任务所需者。 2、最大共享策略：是使存储的信息获得最大的应用。 3、访问的开放与封闭：在封闭系统中，仅当明确的授 权时才允许访问，在开放系统中，则要求除非明确的禁 止，访问都允许。前者较安全，是最小权限策略的基本 支持，后者费用较少，应用于采用最大共享策略的场合。
2011-11-7
10
信息的机密性需求
美国国防部在1985年12月发布了可信计算机评估标准 （TCSEC，“桔皮书”）对信息的机密性做出了具体的 要求。提出了“强制安全策略(MAC)”的要求，即系统中
所有的信息必须按照其敏感性等级和所属部门分类，而 系统中的所有用户也加以分类，以使他们仅能访问那些 “需要知道”的信息。 强制安全策略也可用于非军事部门。
是指在网络及信息安全中对存储和传输信息的操作进 行控制和管理。重点是在信息处理层次上对信息进行 初步的安全保护。 可分为三个层次： （1）操作系统的安全控制 （2）网络接口的安全控制 （3）网络互联设备的安全控制 安全控制主要通过现有的操作系统或网管软件、路 由器配置等实现，只提供了初步的安全功能和信息保 护。
2011-11-7 35
外部状态
某些策略是基于系统主客体属性之外的某些因素来制 定的，例如时间、地点或者状态。 另外，上面所述的大多数属性均属于静态信息，但也 有些访问策略可能是基于某些动态信息。
2011-11-7
36
数据内容/ 数据内容/上下文环境
2011-11-7 17
安全策略的分类
安全策略：是关于信息系统安全性最高层次的指导原则， 是根据用户的需求、设备情况、单位章程和法律约束等 要求制定的。 在企事业单位信息系统的每一个层次，从管理活动到硬 件保护都要做出安全性决策，其中包括企事业级安全决 策、行政管理方面的安全决策、有关数据处理设备及运 行环境的安全策略。
主体(用户)：就是指系统内行为的发起者，通常是 指由用户发起的进程。 客体(文件、目录、数据库等)：指在计算机系统内 所有的主体行为的直接承担者。 相应的可用作访问控制的主体属性、客体属性。
2011-11-7
29
一般可分为如下几类：
主体
普通用户(User)：一个获得授权可以访问系统资源的自 然人。在一个计算机系统中，相应的授权包括对信息的 读、写、删除、追加、执行以及授予或撤销另外一个用 户对信息的访问权限等等。对某些信息而言，此用户可 能是此信息的拥有者或系统管理员。 信息的拥有者(Owner)：一般情况下，信息的拥有者指 的是该用户拥有对此信息的完全处理权限，包括读、写、 修改和删除该信息的权限以及它可以授权其它用户对其 所拥有的信息拥有某些相应的权限，除非该信息被系统 另外加以访问控制。 系统管理员(System Administrator)：为使系统能进行正 常运转，而对系统的运行进行管理的用户。例如在普通 的UNIX系统中，ROOT用户即为系统管理员。
2011-11-7 34
客体属性(客体特征) 客体属性(客体特征)
在信息系统中，除了主体的属性被用来作为访问控制的 条件外，与系统内客体(即信息)相关联的属性也作为访 问控制策略的一部分。一般来说，客体的特征属性有如 下几个方面：
敏感性标签：由信息的敏感性级别和范畴两部分 组成 访问列表（access list）
2011-11-7
18
如“职工的奖金数量不公开”是企事业级的安全 决策；“职工的表现记录在数据库中保存3年” 是行政决策；“修改计算机设备中的应用程序至 少需要两位领导的同意”是设备决策；“保护存 储器要以2048B为单位”是操作系统决策等。
2011-11-7
19
安全策略是决策的集合，是对于可接受的行为以及应 对违规做出何种响应确定了界限。 安全策略是对一个系统应该具有的安全性的描述，只 有当一个系统与安全策略相称，也就是说该系统能够 满足对它的安全要求，这个系统才是安全的。
2011-11-7 32
每一个系统必须选择以上三类相关的属性来进行访问控制的 决策。一般来说，信息安全策略的制定就是通过比较系统内 的主、客体的相关属性来制定的。 分别从以上几类属性来对访问控制策略的基础进行具体说明， 共分五个方面：主体特征、客体特征、外部状况、数据内容 /上下文属性以及其他属性。
2011-11-7
15
安全策略
所谓安全策略，简单地说，就是用来描述用户对安 全的要求。在计算机安全领域内，说一个系统是 “安全系统”，其“安全”的概念就是指此系统达 到了当初设计时所制定的安全策略的要求。
2011-11-7
16
安全策略 对于一个信息系统而言，其安全策略的制定依据
如下：
信息的机密性、完整性与可用性 什么人可以以何种方式去访问什么信息 根据什么来制定访问决策，例如是根据用户的ID号呢？ 还是依据用户的其它什么特征 是要最大化的共享，还是要实现最小特权 是否要实行任务的分离 对涉及到系统的安全性属性的操作是实行集中管理，还 是实行分散管理 ……
2011-11-7
5
安全服务
是指在应用层次上对信息的保密性、完整性和资源的 真实性进行保护和鉴别。以满足用户安全需求，防止 和抵御各种安全威胁和攻击手段。安全服务可以在一 定程度上弥补和完善现有系统的安全漏洞。
2011-11-7
6
安全服务主要包括
安全机制：是用来预防、检测和从安全攻击中恢复的机 制，是安全服务乃至整个安全系统的核心和关键ห้องสมุดไป่ตู้ 安全协议：是多个实体为完成某些任务所采取的一些列 有序步骤。协议特点：预先建立、相互同意、非二义性 和完整性。
2011-11-7
20
大多数安全策略都考虑上述四点要求：
机密性要求 完整性要求 可记账性要求 可用性要求
2011-11-7
21
基于信息系统安全策略的定义和内涵，我们将其 分为两大类：
访问控制策略(Access Control Policy)：基于安全 策略内涵的机密性和完整性要求，它确立相应的 访问规则以控制对系统资源的访问 访问支持策略(Access Supporting Policy)：基于 安全策略内涵的可记账性要求和可用性要求。由 于它是以支持访问控制策略的面貌出现的，故称 为访问支持策略。