信息系统安全概论.docx

第一章定义1.2由一套应用软件及支撑其运行的所有硬件和软件构成的整体称为一个信息系统。定义1.3如果信息系统A的某些功能需要由主机系统H实施，则称信息系统A依赖主机系统H，或称主机系统H承载信息系统A。 引理1.1承载任何一个信息系统所需要的主机系统数量是有限的。定义1.4如果信息系统A的某些功能需要由网络设施D实施，则称信息系统A依赖网络设施D，或称网络设施D承载信息系统A。 定理1.1任何一个信息系统都只需要由有限数量的主机系统和有限数量的网络设施承载。信息安全经典要素CIA：机密性是指防止私密的或机密的信息泄露给非授权的实体的属性。完整性分为数据完整性和系统完整性，数据完整性指确保数据（包括软件代码）只能按照授权的指定方式进行修改的属性，系统完整性指系统没有受到未经授权的操控进而完好无损的执行预定功能的属性。可用性是指确保系统及时工作并向授权用户提供所需服务的属性。信息系统基本概念：安全策略是指规定一个组织为达到安全目标如何管理、保护和发布信息资源的法律、规章和条例的集合。安全策略是指为达到一组安全目标而设计的规则的集合。安全策略是指关于允许什么和禁止什么的规定。安全模型是指拟由系统实施的安全策略的形式化表示。安全模型是指用更加形式化的或数学化的术语对安全策略的重新表述。安全机制是指实现安全功能的逻辑或算法。安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。安全机制是指实施安全策略的方法、工具或规程。安全机制设计八大原则 经济性原则 默认拒绝原则 完全仲裁原则 开放设计原则 特权分离原则 最小特权原则 最少公共机制原则 心理可接受原则第二章贝- 拉模型的构成贝- 拉模型的核心内容由简单安全特性（ss- 特性）、星号安全特性（*-特性）、自主安全特性（ds-特性）和一个基本安全定理构成。(基本安全定理)如果系统状态的每一次变化都满足ss- 特性、*- 特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性一定不会被破坏。毕巴模型 一个信息传递路径是一个客体序列O1, O 2, , O n+1 和一个对应的主体序列S1, S 2, , S n ，其中，对于所有的i（1in3 ），有Si rO i 和S i wO i+1。“ 写” 操作的实施由下面的规则控制，“ 执行” 操作的实施由下面的规则控制： 当且仅当i(O)i(S)时，主体S可以写客体O。 当且仅当i(S 2 )i(S 1 )时，主体S 1可以执行主体S2。！低水标模型读规则设S是任意主体，O是任意客体，imin =min(i(S),i(O)，那么，不管完整性级别如何，S都可以读O，但是，“ 读”操作实施后，主体S的完整性级别被调整为imin。低水标模型的信息传递 在毕巴低水标模型的控制下，如果系统中存在一个从客体O1 到客体O n+1的信息传递路径，那么，对于任意的n1，必有i(O n+1 )i(O 1 )。环模型读规则 不管完整性级别如何，任何主体都可以读任何客体。严格完整性读规则 当且仅当i(S)i(O)时，主体S可以读客体O。克拉克-威尔逊模型 概念：事务、良构事务、CDI（约束数据项）、 UDI（非约束数据项）、有效状态（所有的CDI都满足完整性策略要求）、 IVP（完整性验证过程：验证系统是否处于有效状态的事务）、 TP（转换过程：是系统从一个有效状态转换到另一个有效状态的事务）、E规则（实施规则：系统实施的规则）、C规则（证明规则：证明系统实施的规则的有效性的规则）四条E规则、5条C规则模型基本框架：规则C1、 规则C2、 规则E1TP可以操作所有的CDI:对职责分离原则的支持: 规则E2、 规则C3只有表中的用户才能执行相关的TP对相应的CDI进行操作，用户表示UserID，关系表格式如下：对身份认证的要求 E3 对审计的要求 C4对UDI的处理 C5 安全属性维护 E4类型实施模型TE(域-进程（主体）、类型-文件)-强制访问控制模型还存在一个域间作用表DIT（主体对主体的访问权限二维表）权限：发信号、创建进程、杀死进程TE模型的不足 访问控制权限的配置比较复杂 二维表结构无法反映系统的内在关系 控制策略的定义需要从零开始域类实施模型DTE DTEL语言 类型描述 类型赋值 域描述 初始域设定访问权限 域对类型：r、w、x（执行）、d（搜索） 域对域（执行入口点程序的权限）：exec、 auto策略定义语言DTEL的域描述功能：定义DTE模型中的主体域、定义域的入口点、设定域对类型的访问权限、域对其它域的访问权限。策略定义语言初始域设定语句功能：设定操作系统中第一个进程的工作域。莫科尔树模型适用范围：设计一个算法，使得对于任意一个数据项Di（1in ），该算法能够快速验证该数据项的完整性，并且，占用较少的内存空间。第四章重要的身份认证技术： 基于口令的身份认证（口令猜测攻击-字典攻击） 质询- 响应式身份认证（随机消息计算返回结果） 基于生物特征的身份认证 基于位置的身份认证身份标识与认证 单个用户：用户名-内部身份标识（整数值-操作系统生成的） 用户组： 组名-组标识号UNIX系统用/etc/passwd表示账户信息数据库口令处理方法：口令信息管理：口令字段中保存口令的明文（直接明文）、对口令加密，保存口令的密文（直接密文）、用算法对口令进行运算，在口令字段中保存运算结果口令信息与账户信息的分离：口令信息数据库文件/etc/shadow/网络环境下的身份认证：把用户身份认证信息组织起来，集中放到服务器上，借助服务器实现身份认证信息的共享，解决用户在网络中不同主机上的身份认证问题。网络身份认证方法的三步：身份认证信息管理：统一的身份认证框架：PAM实现服务程序与认证机制的分离，通过一个插拔式的接口，让服务器程序和认证机制分别插到接口的两端，从而实现两者的随意组合。PAM认证系统的构成：PAM应用编程接口（API） 、PAM模块（动态装载共享库）、PAM配置文件PAM模块（动态装载共享库）提供以下服务功能支持（4种）： 身份认证（auth） 账户管理（account） 口令管理（password） 会话管理（session）命令控制标记： Requisite：模块执行失败时报告失败并结束认证。 Required：模块执行失败时报告失败但继续认证。 Sufficient：模块执行成功时报告成功并结束认证。 Optional：模块的执行不影响报告结果和认证过程第五章基于权限位的访问控制机制：简单访问控制权限模式描述 f(文件, 用户)权限 用户：可以是一个用户，也可以是一类用户。 权限：读+写+执行。 权限位串字符串数字 位串：长度为3的二进制位。 字符串：长度为3。 数字：1个八进制数。对用户划分三类：属主、属组、其余类。用户域：分别在用户划分后加上域。基本访问控制权限模式描述 f(文件, 用户群)权限体 用户群：属主用户+属组用户+其余用户。 权限体：属主权限+属组权限+其余权限。 权限：读+写+执行。 权限体新位串新字符串新数字 新位串：长度为9位的二进制位。 新字符串：长度为9个字符。 新数字：3个八进制数。 例：111101001 - rwxr-x-x - 751！基本访问控制判定算法任务：判断用户U可否对文件F执行a 操作（a 是r、w 或x 之一）？设：F的属主和属组分别为Uo 和G o。1.当U等于Uo 时，如果F的左3权限位串中与a 对应的位为1，则允许U对F执行a 操作，否则，不允许U对F执行a 操作，判定结束。2.当Go 是U的属组时，如果F的中3权限位串中与a 对应的位为1，则允许U对F执行a 操作，否则，不允许U对F进行a 操作，判定结束。3.如果F的右3权限位串中与a 对应的位为1，则允许U对F执行a 操作，否则，不允许U对F进行!进程在系统中代表用户在工作，用户对系统的操作是由进程代实施的。进程到文件用户域的映射 已知：f(文件, 用户群)权限体 亦即：f(文件, 用户域)权限 设想：g (进程)用户域 应有：f(文件, g (进程)权限 所以： 只要把进程映射到文件对应的用户域中，就可以根据用户域对文件的访问权限，确定进程对文件的访问权限!方案5.7 判定进程的访问权问题：进程P是否拥有对文件F的访问权限y？假设：给进程P分配用户标识和组标识Iup 和I gp，文件F的属主、属组和权限位串分别为Iuf、I gf 和S1 S 2 S 3。1. 当Iup 等于I uf 时，检查S 1 中是否有y 权限，有则允许访问，否则，不允许访问，结束判定；2. 当Igp 等于I gf 时，检查S 2 中是否有y 权限，有则允许访问，否则，不允许访问，结束判定；3. 检查S3 中是否有y 权限，有则允许访问，否则，不允许访问。进程的用户属性 用户属性：用户标识(UID)+组标识(GID) 真实用户：进程为谁工作？ 有效用户：进程拥有的权限与谁相同？ 真实用户属性：RUID+RGID 有效用户属性：EUID+EGID 访问判定时，进程到用户域的映射： g (进程)-EUID+EGID进程映像!方案5.10 确定进程的用户属性 用户U启动进程P时： 进程P的RUID和EUID用户U的ID 进程P的RGID和EGID用户U的属组ID 进程P变身且映像文件F允许时： 进程P的EUID文件F的属主ID（1） 进程P的EGID文件F的属组ID（2） （1）的条件：文件F有SETUID标记 （2）的条件：文件F有SETGID标记！文件的SETUID/SETGID标记的表示 位串表示法： ut gt s t r o w o x o r g w g x g r a w a x a ut =1SETUID；gt =1SETGID 字符串表示法： Ro W o X o R g W g X g R a W a X a ut =1X o = “ s” ；gt =1X g = “ s” 例子： 100101001001r-s-x-x 010101001001r-x-sx基于ACL访问控制机制：（用户粒度细化）基于特权分离的访问控制机制特权集的定义 有效的特权集E： 访问判定的依据 许可的特权集P： 允许分配给进程的特权集合 可继承的特权集I： 可被新进程继承的特权集合进程特权集属性的确定 系统第一个进程： 由操作系统在初始化时设定 新生子进程： 与父进程相同 更新程序映像后的进程： 结合程序映像文件确定审计：系统运行足迹的分析。审计记录日志。第六章 SELinux实现的TE模型：访问控制模型的核心- DTE模型- TE模型 语言：SEPL-DTEL访问判定：输入：访问请求(source_type, target_type, object_class, perm_list) 判定依据：访问控制的授权规则 输出：授权结论访问向量（AV）：与访问请求中的perm_list相对应的判定结论的位图表示。访问向量的类型 Allow型 描述允许哪些访问 Auditallow型 描述哪些允许的访问需审计 Dontaudit型 描述哪些被拒绝的访问无需审计访问判定涉及的审计要求 获得批准的访问请求是否要审计？ 默认情况下，不审计 明确说明时，要审计：auditallow 遭到拒绝的访问请求是否要审计？ 默认情况下，要审计 明确说明时，不审计：dontauditSETE模型访问判定原则 如果明确授权，则允许访问，否则，不许访问。 如果请求