《安全架构和设计》word版

1、安全架构和设计12安全架构和设计（1）如果把信息安全管理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构，它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。安全架构和设计CBK的内容大概可以分为四个部分：概念部分、保护机制、安全模型和系统测评，J0ker打算用5到6个文章的篇幅，逐一介绍这些内容并总结CISSP考试的重点。本文先从第一部分： 概念部分开始。在进行一个信息系统的设计时，我们需要对目标系统的众多需求进行平衡，这些需求包括功能、灵活性、性能、易用性、成

2、本、业务需求和安全。这里强调一下，安全应该在系统设计中的开始阶段就作为一个关键因素进行考虑，使用了超过业务需求的安全性能，就会导致用户体验的恶化，但降低的安全性能也会系统的部署和运行维护成本将会大大增加。系统设计的过程就是平衡多种需求的过程，设计者通常需要根据组成构架的每个元素的重要性，来确定如何Trade-off。在设计阶段考虑安全性，并不会对架构的设计增加太多的劳动量，它可以平滑的嵌入到架构设计的各个阶段，这样就可以保证安全性可以随着架构逐渐的设计完成而完成。安全架构从概念上说，便是从安全角度审视整个系统架构，它主要提供系统架构所需要的安全服务、机制、技术和功能，并提供如何进行安全设施部署

3、的建议。CISSP CBK中在安全架构概念部分的安排里面，还要求CISSP对最基本的架构有了解，它所指出的就是Layered Approach，也就是分层结构。请看下图： 图1 在这个架构中，用户只与应用程序进行交流，而操作系统向上负责与应用程序，向下负责与硬件、网络层进行联络。为了更好的理解安全架构，CISSP还需要进一步的了解分层结构包含的底层架构，列表如下：Platform Architecture 平台架构Network Environment 网络环境Enterprise Architecture 企业架构Security Model 安全模型Protection Mechanism

4、s 保护机制在深入讨论这些组成安全架构的元素之前，朋友们还要了解一点，安全架构的设计应该和组织的安全策略相吻合，否则就不能实现组织的安全目标。关于安全策略的详细内容大家可参与CISSP Official Guide、All in One或本系列文章的之前内容。平台架构主要指冯诺依曼的经典计算机模型，CISSP需要了解操作系统软件和工具的概念和功能、组成计算机的CPU、内存、存储设备的类型和输入输出设备的概念和功能、针对内存攻击的类型等。从CISSP考试的模拟题和J0ker自己参加过的考试来看，关于平台架构的题目一般只会简单的考察概念。网络环境方面主要是对常见的网络威胁进行分类，在Telecom

5、munication and Network Security CBK中有更深入的介绍。企业架构主要是指组织本身对人员和职能的划分，在Official Guide中定义了六个角色和与其相对应的职能，朋友们在复习时也需要记住。安全模型指的是一些常见的保证信息安全的保密性完整性可用性(CIA)三角的控制模型，这是本CBK的考察重点，J0ker在后面的文章还将详细讲述。另外，在这一节中，有以下的一些概念在复习时也需要理解一下：CPU的状态内存管理中的分页技术、虚拟内存技术以及相应的内存保护、攻击技术TOU/TOC Time of use/Time of check多种类型的操作系统类型的概念及其安全

6、性共享环境(Shared environment)下的攻击概念系统五种安全模式的概念Dedicated Security modeSystem high-security modeMulti-level security modeControlled modeCompartmentalized security mode 这一个CBK里的概念比较多也比较抽象，但因为这一章里面的内容对后面的CBK起了技术方面的总领作用，CISSP考试也以考概念为主，建议朋友们在复习这个CBK时尽量静下心来看。13安全架构和设计之安全模型我们都知道，信息安全的目的就是要保证信息资产的三个元素：保密性，完整性和可用

7、性（CIA），CIA这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的安全模型的出现的顺序也大概如此，先出现专门针对保密性的BLP模型，然后出现针对完整性的Biba模型、Clark-Wilson模型等，在访问控制中所使用的访问控制列表/矩阵（Access Control List(ACL)/Access Control Matrix(ACM)），在CISSP的CBK内容中也把它划分到安全模型的范围内。顺便说明一下，因为可用性本身涉及到的因素很多，并没有一个被广泛接受的通用安全模型，所以CISSP的CBK里只要求掌握针对保密性和完整性的安全模型。安全模型所依赖的理论基础状态

8、机模型和信息流模型状态机（State Machine）模型是信息安全里用来描述无论何时状态都是安全的系统模型，而处于特定时刻系统的快照便是一种状态(State)，如果这种状态满足安全策略的要求，我们就可以认为它是安全的。许多活动会导致系统状态的改变，称之为状态转换（States transaction），如果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全的状态机模型（Secure State Machine）。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。信息流（Information fl

9、ow）模型是状态机模型的具体化，在这个模型中，信息在的传递被抽象成流的形式，大家可以想象一下水流的样子。信息流模型由对象，状态转换和信息流策略所组成，其中的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类在BLP模型中，信息流模型处理的便是保密性，而在Biba模型中信息流所处理的则变成完整性。由于信息流动的行为可以在同安全级别的主体和客体之间发生，也可以在不同一个安全级别的情况下发生，所以信息流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方向上流动。状态机模型和信息流模型的

10、进一步具体化就是CISSP CBK中所包括的安全模型，CISSP CBK中所提到的安全模型有：Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、访问控制矩阵模型、China Wall模型、Lattice模型。下面J0ker将向大家逐一介绍。前面说过，在信息安全目标的三个元素里面最先为人们所关注的是保密性，因此，在1973年出现了第一个针对保密性的安全模型Bell-Lapadula模型，这个模型由David Bell和Len Lapadula为美国国防部的多级安全策略的具体化而开发。它基于强制访问控制系统（MAC），以信息的敏感度作为安全等级的划分标准，它的特

11、点如下：基于状态机和信息流模型只针对保密性进行处理基于美国政府信息分级标准分为：Unclassified、Restricted、Confidential、Secret、Top Secret使用“Need to know” 原则开始于安全状态，在多个安全状态中进行转换（要求初始状态必须为安全，转换结果才在安全状态）上图 来自CISSP Official Guide，是BLP模型的安全策略示意图，BLP模型规定，信息只能按照安全等级从下往上流动，或者根据策略的规定在同安全级别间流动。由于BLP模型存在不保护信息的完整性和可用性，不涉及访问控制等缺点，1977年Biba模型作为BLP模型的补充而提出

12、，它针对的是信息的完整性保护，主要用于非军用领域。它和BLP模型相类似，也是基于状态机和信息流模型，也使用了和BLP模型相似的安全等级划分方式，只不过Biba模型的划分标准是信息对象的完整性。上图 来自于CISSP Official Guide，Biba模型规定，信息只能从高完整性的安全等级向低完整性的安全等级流动，也就是要防止 低完整性的信息“污染”高完整性的信息。我们知道，信息安全对完整性的要求有3个目标：防止数据不被未授权用户修改、保护数据不被授权用户越权修改、维护数据的内部和外部一致性。Biba模型中只实现了完整性要求的第一点。于是，针对Biba模型的不足，1987年，另外一个完整性模

13、型Clark-Wilson模型被提出，这个模型实现了成型的事务处理机制，目前常用于银行系统中以保证数据完整性。Clark-Wilson模型的特点是：采用Subject/Program/Object 三元素的组成方式，Subject要访问Object只能通过Program进行权限分离原则：将关键功能分为由2个或多个Subject完成，防止已授权用户进行未授权的修改要求具有设计能力（Auditing）因为Clark-Wilson模型因为使用了Program这一元素进行Subject对Object的访问控制手段，因此Clark-Wilson模型也常称为Restricted Interface模型。访

14、问控制矩阵模型不属于信息流模型，它主要用于Subject对Object的访问进行控制的领域：上图 来自CISSP Official Guide，访问控制矩阵模型定义了每一个Subject对每一个Object的访问权限，而单个Subject对所用Object的访问权限控制模型通常称为访问控制列表，也即Access Control List。针对民用领域有对保密性控制灵活性的需求，同时安全要求也没有政府和军用领域的严格，Lattice模型作为BLP模型的扩展被提出。Lattice模型同样是基于信息流和状态机模型，但Lattice模型使用安全范围来代替BLP模型里面的安全等级概念，已实现更灵活的保密

15、性控制需求。如上图，在Lattice模型中，一个Subject可以访问安全级别基于Sensitive和Private之间的信息。这种权限设置常可以在企业中看到。China Wall模型于1989年由Brew和Nash提出，这个模型和上述的安全模型不同，它主要用于可能存在利益冲突的多边应用体系中。比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构，而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务。China Wall模型的特点是：用户必须选择一个他可以自由访问的领域用户必须拒绝来自其他与其已选区域的内容冲突的其他内容的访问。以上的安全模型便是CISSP C

16、BK中所包含的众多经典安全模型，在许多系统和应用也常常可以找到它们的使用，朋友们可以结合这些实际例子来加强理解。14系统架构和设计之保护机制安全模型只是个概念，要把它应用到实践中，就需要使用到本文要介绍的保护机制，它是比安全模型更具体，更接近实际应用的概念，当前的许多操作系统、安全软件产品的基础，都是建立在它之上的（再次提醒，CISSP考试不涉及具体的产品和技术细节）。保护机制实现的目标是将系统内的所有实体（数据、用户、程序等）进行隔离，并通过一定的规则允许实体间进行访问。因此从所执行的动作，保护机制可以分成主动（Active）和被动（Passive）两类：主动保护机制是根据所定义的规则，主动

17、阻止对指定实体的访问，访问控制、内存保护等技术都属于主动保护机制；而被动保护机制本身不会阻止对指定实体的访问，但会通过阻止对指定实体的使用来实现保护功能，我们使用加密技术来防止信息的泄漏、用Checksum来检测对信息的未授权修改，都属于被动保护机制。保护机制通常部署到操作系统、硬件或固件上，CISSP CBK中将它按照所部署的位置分成三类：平台（Platform）、大型机（Mainframe）、网络（Network），下面J0ker给逐一给大家介绍在这三个分类上使用的保护机制：平台保护和大型机保护机制：平台保护是主要用在通用操作系统上的保护机制，主要以软件实现为主；大型机保护则是主要应用于大

18、型机上的保护机制，一般使用专用的安全硬件实现。但随着近年来软硬件技术的发展，这两个分类所使用的保护技术都在互相融合，由于硬件产品集成度提高和价格的大大下降，许多PC和工作站上已经集成了原来只在大型机上使用的安全硬件，而大型机为了降低制造成本，也将越来越多的保护功能通过软件来实现，所以在CISSPOfficialGuide中不再将平台保护和大型机保护分开来列，而是将它们所用的保护技术列在一起。使用在这两个分类的保护技术可信计算基础（Trusted Computing Base，TCB）：TCB是一个计算机系统中所有提供保护功能的组件的总称，包括硬件、软件、固件、进程和一些进程间的通信等，它通过这

19、些组件完成对安全策略的实现。TCP功能的实现是根据其内置的保护机制或用户所输入的参数，来保证安全策略的实施或满足相应的安全标准（如TCSEC等）。不过要注意的是，TCB是一个定义而不是一个特定的产品，目前的大部分操作系统都没有完全使用TCB的全部组件，只使用了TCB用来执行功能的一部分，这个部分就是接下去要介绍到的引用监视器（Reference Monitor）。TCB的设计需求如下：1、TCB应该在一个不受外部干扰影响的自有域内执行2、TCB所控制的资源应根据使用关系分为使用者（Subject）和目标（Object）两个子集3、TCB应该把资源进行隔离以执行访问控制和审计功能TCB提供的基本

20、功能有：1、进程激活：在一个多重处理的环境内管理进程激活/挂起时提供寄存器、文件访问列表、进程状态信息和指针等敏感信息的管理功能2、执行域切换：确保在一个域内执行的进程不会影响到其他域内的其他进程3、内存保护：确保每个域所使用的内存的安全4、输入输出操作：监视程序对设备直接或间接的输入输出操作引用监视器（Reference Monitor）：RM的功能是根据访问控制数据库的定义，对抽象系统中所有使用者对目标的访问进行控制。安全内核（Security Kernel）：安全内核由TCB的硬件、软件和固件部分加上引用监视器所构成，我们可以这样来区分安全内核和引用监视器：引用监视器和安全内核的功能是相

21、同的，但引用监视器是执行访问控制功能的抽象模型，而安全内核则是使用在各种系统中的具体实现。安全内核的结构如下图：为了保证安全功能的实现，安全内核必须满足以下三个要求：1、安全内核能管理所有的访问（全局性）2、安全内核能保护自己不受有意或意外修改（隔离性）3、安全内核可以通过验证确定其有效性（可验证性）TCB、RM和Security Kernel这三个概念挺容易混淆，CISSP考试也经常考核与它们相关的内容，复习的时候应当注意一下。安全边界（Security Perimeter）：用来隔离安全内核内外的资源，安全边界外的资源是不可信的。注意将它和近两年常说的“边界安全“相区别。分层（Layeri

22、ng）：分层是指在系统设计时对功能和实现按照一定的原则进行分层，层次越低的权限越高，每一层的操作和使用的数据都尽量不对其它层次产生影响，这里会引入一个技术数据隐藏（Data Hiding）。此外，部署安全措施的层次越低，则安全措施的效能和控制范围就越好，因此应该把安全措施部署在系统的最底层，下面是一个示例系统的分层：TOC/TOU保护：系统设计时需要使用资源锁定防止权限低的进程/用户通过劫持或修改特权用户的操作的途径访问敏感信息。额外保护（Guard Protection）：系统常常需要使用其他的方案来提供额外的保护，比如在数据库系统中，除了在数据库本身对用户的访问权限进行控制之外，通常还会通

23、过提供一个带有查询检查功能的界面来限制用户提交不符合安全策略规定的查询。进程隔离（Process Isolation）：系统对同时执行的进程进行隔离，防止进程之间的互相影响，这个功能在现代操作系统中是一个基本功能。最低权限原则（Least Privilege）：系统中所有的权限给予满足操作所需的最低权限即可，这个在其他许多领域也能看到，比如许多企业内网用户只有User权限，不能够在自己的机器上安装或修改软件，要新增软件必须由管理员干涉。加固（Hardening）：加固是通过一定的操作和配置使系统的安全程度得到提高，它不属于系统设计阶段，而属于系统的部署和维护阶段。以上是在系统设计时常使用的安全

24、措施，此外，根据安全措施在系统中部署的层次不同，还可以将其分为通用操作系统级保护、应用程序级保护、存储设备保护、网络级保护。其中：操作系统级别保护需要满足的需求有：用户识别和认证（User Identification and Authentication）强制访问控制（Mandatory Access Control）自主访问控制（Discretionary Access Control）完全控制（Complete mediation）目标重用保护（Object reuse protection）审计 （Audit）审计日志的保护 （Protection of Audit logs）日志筛选

25、 （Audit logs reduction）可信路径 （Trusted Path）入侵检测 （Intrusion Detection）应用程序级别上所提供的保护措施主要是针对用户的输入和程序的输出进行保护、过滤，还使用上面说过的Guard Protection技术来提供额外的安全功能。存储设备保护关注的是保护存储在各种设备上的敏感信息的保密性和完整性，最近几年安全业界比较关注的企业移动设备安全和企业级加密就属于这个领域。网络级保护关注的是信息传输过程中的保密性和完整性，这个领域的内容在CISSP另外一个CBK电信和网络安全还会详细介绍。15系统架构和设计之安全标准在J0ker的CISSP之路

26、系列的上一篇文章保护机制里，J0ker给大家介绍了CISSP CBK中提到的，同时也是现实产品中最常使用的几个保护机制。在实践中采购一个信息技术产品之前，我们一般都会先了解目标产品的安全程度。但如果由不同需求的人员来对产品进行评估，如果没有统一的标准，结果也是千差万别这样就产生对统一标准的需求，因此世界上的许多国家和组织推出了自己的产品安全评估标准，其中使用最广泛的就是CISSP CBK中介绍到的TCSEC（橘皮书）、TNI（红皮书）、ITSEC和CC这几种。 在了解这些安全评估标准之前，我们先要了解一下基本的概念：产品和系统。我们知道，所有的安全评估标准，所针对的对象都是产品或系统，那这里所

27、提到的产品和系统到底指的是什么？在CISSP Official Guide里面提到，“产品”，指的是某个特定的可以使用在其设计目标场合的应用程序，或在某些预定义的规则下操作的应用程序，操作系统作为一个整体来看，就是一个产品；而“系统”则是指完成某个特定目标或者在某个特定场合下操作的许多产品的集合。明白这两个概念之间的差异，对理解安全评估标准很有帮助。说完了最基本的概念，J0ker开始给大家介绍CISSP CBK上所提到的安全评估标准： TCSEC，也就是俗称的橘皮书（Orange Book），它是第一个被广泛接受的安全评估标准，由美国国防部于1985年提出，目的在于评估所部署系统的安全程度。T

28、CSEC评估产品的出发点基于三个： 功能，目标系统所具有的安全功能，比如用户验证和审计； 有效性，安全功能的使用是否满足所需要提供的安全级别； 认可度：授权机构对系统所提供的安全级别的认可程度。 TCSEC把评估对象的安全程度分成了4个等级：A、B、C和D，安全程度从A到D逐级下降，确定为A的产品具有最高的安全性，而D等级的产品则完全没有安全性的考虑。这四个等级的分级标准包括：安全策略：目标系统的安全策略设置是强制或自主式访问控制策略 物件标记：是否对系统内的物件根据敏感程度的不同进行标记 使用者识别：使用者必须经过识别和验证 审计：安全相关的事件必须进行日志记录 保证性：指：1.操作保证性，

29、比如系统架构、对执行域的保护、系统完整性；2.生命周期保证性，如设计方法、安全测试和设置管理等 文档：用户和管理员应该了解如何安装和使用系统的安全功能，测试人员也需要文档去进行测试 持续保护：保护机制本身不容易被干扰或破坏根据这些分级标准，TCSEC的4个安全等级再细分为7个等级，这些等级的名字和详细内容如下：分级 安全功能 A1 （ Verified Security ） A1 级等于 B3 级，它提供最高的安全性，并设有系统安全管理员这一角色，不过A1级别系统的部署和维护成本也是非常高的，现实中只有极少数的系统要求达到这一安全级别。 B1 、 B2 、 B3（ Mandatory Prot

30、ection ） B1 级（ Labeled protection ）是安全等级 B 中最低一级，要求提供满足强制访问控制策略的模型，数据标签、已命名的访问者及访问目标控制、更详细的文档和测试、文档 / 源代码 / 目标代码需要经过分析，这个安全等级常用于 Compartment 环境 B2 级（ Structured Protection ）在 B1 的基础上，增加了更多系统设计要求。其中，要求实现规范的安全模型，隐蔽信道分析、更强的验证方式和可信机房管理。 B3 级（ Security Domains ）是安全等级 B 中最强的一级，它在 B2 的基础上增加的新元素是安全管理，包括安全事件

31、的自动通知、安全管理员的支持等 C1 、 C2 （ Discretionary Protection ） C1 级（ Discretionary Security Protection ）主要用于多用户环境，只提供防止用户的数据被其他用户修改或破坏的基本保护功能 C2 级（ Controlled Access Protection ）在 C1 的基础上增加了用户登录和审计功能，并使用 DAC 访问控制，尽管 C2 的安全功能较弱，但 C2 级是较适合用于商用系统和程序的安全级别，常见的 MS Windows 和 Linux 都是属于 C2 级别 D（ Minimal Protection ）

32、只提交给 TCSEC 评估，自身没有部署安全措施的系统都属于 D 级。 因为TCSEC是1960年代开始设计，并于1985年成型的标准，由于当时安全观点的局限性，TCSEC的评估目标只涉及了保密性，而没有涉及完整性和可用性的评估。因为逐渐不适合现代信息环境和新标准的纷纷推出，美国于2000年废除了TCSEC。 TNI：TNI也称为红皮书（Red Book），由于TCSEC存在评估对象只对单一系统，并且没有完整性评估的缺点，1987年提出了TNI安全标准。TNI用于评估电信和网络系统，它基于TCSEC，同样使用了TCSEC中的ABCD分级方法。 TNI中的关键功能如下： 完整性：TNI使用了Bi

33、ba安全模型来保证数据的完整性，并使用了信息源/目标认证、加密等方法来保证信息传输的完整性 标签：在使用和TCSEC类似的保密性标签之外，TNI还加入了完整性标签，以进行强制访问控制 其他安全服务，主要可分成以下几个类型：通讯完整性，包括验证、通讯域完整性、抗抵赖性；拒绝服务防御：操作持续性、基于协议的保护和网络管理；威胁保护：数据保密性和通讯保密性。 ITSEC：在TCSEC标准推出不久，许多欧洲国家也在酝酿推出自己的安全评测标准，结果便是ITSEC的推出。ITSEC于1990年推出第一版草稿，并最终于1995年又欧盟会议批准。尽管ITSEC借用了TCSEC的许多设计思想，但因为TCSEC被

34、认为过分死板，因此ITSEC的一个主要目标就是为安全评估提供一个更灵活的标准。ITSEC和TCSEC的主要区别在于，ITSEC不单针对了保密性，同时也把完整性和可用性作为评估的标准之一。 ITSEC的制定认识到IT系统安全的实现通常是要将技术和非技术手段结合起来，技术手段用来抵御威胁，而组织和管理手段则用来指导实现。因此ITSEC对目标的评估基于两个因素：有效性和准确性，有效性表明评估目标能够在多大程度上抵御威胁，而准确性则表明系统的设计和操作在多大程度上保证安全性。 为了涵盖这两个方面，ITSEC使用了“评估目标（TOE）“这一概念，它表述了目标产品的操作安全需求和面临的威胁，而另外一个概念

35、，”安全目标（Security Objectives）“，则表述了目标产品所要满足的安全功能和评估级别。ITSEC的安全等级划分与ITSEC不同，他分为功能性等级（F）和保证性等级（E），这两个等级的具体内容如下：功能性F：功能性等级（ F ） 内容 F1-F5 和 TCSEC 安全等级所提供的功能相同 F6 有高完整性要求的系统和应用程序（如数据库系统） F7 有高可用性要求或特殊要求的系统 F8 有通信完整性要求的系统 F9 有高保密性要求的系统（如加密系统） F10 网络要求高的保密性和完整性 确定性等级E：确定性等级（ E ） 内容 E0 无要求 E1 有安全目标和 TOE 的描述，满足安全目标的测试 E2 要求具体设计的描述，测试证据需要加以评估，配置管理，分发控制 E3 需要进行源代码和结构评估，安全机制的测试证据需要加以评估 E4 安全策略模型、需要有安全增强功能、架构设计和详细设计 E5 具体设计和源代码必须相符，并需要使用源代码进行漏洞分析 E6 TOE 的强制标准、安全策略模型的实施 E3级别被认为是最常用的安全