chap2：计算机的安全策略

chap2：计算机的安全策略11/13/20222提要系统的安全需求安全策略的定义安全策略的分类安全策略的形式化描述安全策路的选择访问控制的属性安全策略及其分类访问控制策略访问支持策略11/13/20223信息安全与保密的结构层次物理安全安全控制安全服务11/13/20224物理安全是指在物理介质层次上对存储和传输的网络及信息的安全保护，它是网络及信息安全的最基本的保障，是整个安全系统不可缺少和忽视的组成部分。该层次上的不安全因素主要有：（1）自然灾害、物理破坏、设备保障（2）电磁辐射、乘机而入、痕迹泄露（3）操作失误、意外泄露11/13/20225安全控制是指在网络及信息安全中对存储和传输信息的操作进行控制和管理。重点是在信息处理层次上对信息进行初步的安全保护。可分为三个层次：（1）操作系统的安全控制（2）网络接口的安全控制（3）网络互联设备的安全控制安全控制主要通过现有的操作系统或网管软件、路由器配置等实现，只提供了初步的安全功能和信息保护。11/13/20226安全服务是指在应用层次上对信息的保密性、完整性和资源的真实性进行保护和鉴别。以满足用户安全需求，防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有系统的安全漏洞。

11/13/20227安全服务主要包括安全机制：是用来预防、检测和从安全攻击中恢复的机制，是安全服务乃至整个安全系统的核心和关键。安全协议：是多个实体为完成某些任务所采取的一些列有序步骤。协议特点：预先建立、相互同意、非二义性和完整性。11/13/20228安全连接：是在安全处理前网络通信双方之间的连接过程，主要包括会话密钥产生、分发和身份验证。安全策略：是决策的集合。它集中体现了一个组织对安全的态度。确切地说安全策略对于可接受的行为以及对违规作出何种响应确定了界限。安全策略是安全机制、安全连接和安全协议的有机结合，是信息系统安全性的完整解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。11/13/20229安全需求大多数安全策略考虑的是机密性、完整性、可记账性、可用性这四项要求，但其侧重点各有不同。例如：军事安全策略侧重于信息的机密性要求商用安全策略则偏重于信息的完整性与可记账性电信部门侧重于系统的可用性然而，仅考虑某一方面的需求是远远不够的，还应当均衡考虑。系统的安全需求的内容机密性（confidentiality）：防止信息泄露给未授权的用户。完整性（integrity）：防止未授权的用户对信息的修改。可记账性（accountability）：防止用户对访问过的信息或执行的操作予以否认。可用性（availablity）：保证授权用户对系统信息的可访问性。11/13/202210信息的机密性需求美国国防部在1985年12月发布了可信计算机评估标准（TCSEC，“桔皮书”）对信息的机密性做出了具体的要求。提出了“强制安全策略(MAC)”的要求，即系统中所有的信息必须按照其敏感性等级和所属部门分类，而系统中的所有用户也加以分类，以使他们仅能访问那些“需要知道”的信息。强制安全策略也可用于非军事部门。11/13/202211信息的机密性需求另一种用于民用目的的安全策略是“自主安全策略(DAC)”，即每个信息有一个所有者，它可以决定是否允许其他用户或进程对此信息进行访问。11/13/202212信息的完整性需求指维护系统资源在一个有效的、预期的状态，防止资源不正确、不适当地修改，或是为了维护系统不同部分的一致性。主要目的是防止在涉及到记账或审计的事件中舞弊行为的发生。11/13/202213信息的可记账性需求目的是为了知道用户执行了什么操作，是谁执行了该操作等。这对知晓系统破坏的程度、恢复丢失信息、评估系统安全性以及为对系统造成严重破坏的民事赔偿或法律诉讼提供依据。11/13/202214信息的可用性需求是为了保证系统的顺利工作，即保证已获得授权的用户对系统信息的可访问性。11/13/20221511/13/202216安全策略所谓安全策略，简单地说，就是用来描述用户对安全的要求。在计算机安全领域内，说一个系统是“安全系统”，其“安全”的概念就是指此系统达到了当初设计时所制定的安全策略的要求。11/13/202217安全策略对于一个信息系统而言，其安全策略的制定依据如下：信息的机密性、完整性与可用性什么人可以以何种方式去访问什么信息根据什么来制定访问决策，例如是根据用户的ID号呢？还是依据用户的其它什么特征是要最大化的共享，还是要实现最小特权是否要实行任务的分离对涉及到系统的安全性属性的操作是实行集中管理，还是实行分散管理……安全策略的分类安全策略：是关于信息系统安全性最高层次的指导原则，是根据用户的需求、设备情况、单位章程和法律约束等要求制定的。在企事业单位信息系统的每一个层次，从管理活动到硬件保护都要做出安全性决策，其中包括企事业级安全决策、行政管理方面的安全决策、有关数据处理设备及运行环境的安全策略。11/13/202218如“职工的奖金数量不公开”是企事业级的安全决策；“职工的表现记录在数据库中保存3年”是行政决策；“修改计算机设备中的应用程序至少需要两位领导的同意”是设备决策；“保护存储器要以2048B为单位”是操作系统决策等。11/13/202219安全策略是决策的集合，是对于可接受的行为以及应对违规做出何种响应确定了界限。安全策略是对一个系统应该具有的安全性的描述，只有当一个系统与安全策略相称，也就是说该系统能够满足对它的安全要求，这个系统才是安全的。11/13/202220大多数安全策略都考虑上述四点要求：机密性要求完整性要求可记账性要求可用性要求11/13/20222111/13/202222安全策略的分类基于信息系统安全策略的定义和内涵，我们将其分为两大类：访问控制策略(AccessControlPolicy)：基于安全策略内涵的机密性和完整性要求，它确立相应的访问规则以控制对系统资源的访问访问支持策略(AccessSupportingPolicy)：基于安全策略内涵的可记账性要求和可用性要求。由于它是以支持访问控制策略的面貌出现的，故称为访问支持策略。11/13/202223访问控制（AccessControl）定义：是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。访问控制的目的：为了保障资源受控，合法的使用，用户只能根据自己的权限大小来访问资源，不能越权访问。同时访问控制也是记帐、审计的前提。访问控制（AccessControl）访问控制是计算机保护中极其重要的一环，它是在身份识别的基础上，根据身份对提出的资源访问请求加以限制。11/13/20222411/13/202225一些重要的访问控制策略：1、最小权限策略：信息限于给那些完成某任务所需者。2、最大共享策略：是使存储的信息获得最大的应用。3、访问的开放与封闭：在封闭系统中，仅当明确的授权时才允许访问，在开放系统中，则要求除非明确的禁止，访问都允许。前者较安全，是最小权限策略的基本支持，后者费用较少，应用于采用最大共享策略的场合。11/13/2022264、离散访问控制：它是根据请求的主、客体名称作出可否访问的决策，又称名称相关访问控制。因为不需要依据数据库中的数据内容就能作出决策，有时也称为内容无关访问控制。5、自主访问控制：客体的属主可以自主地决定哪个用户能够访问他的资源。11/13/2022276、强制访问控制：主体和客体都有固定的安全属性，这些安全属性都刻画在主、客体的安全标记中。安全标记是根据安全信息流对系统中的主、客体统一标定的。可否访问的决策是依据请求访问的主、客体统一制定的，又称为非离散访问控制。它远比离散访问控制安全，但实现起来较困难。11/13/2022287、内容相关及其他访问控制：内容相关：访问与否与客体当前的数据有关；上下文相关：允许访问条件是数据集合的函数；时间相关：允许访问条件是系统时钟的函数；历史相关：允许访问条件是系统先前状态的函数。11/13/202229访问控制的属性一般来说，在计算机系统内和访问控制策略相关的因素有三大类：主体(用户)：就是指系统内行为的发起者，通常是指由用户发起的进程。客体(文件、目录、数据库等)：指在计算机系统内所有的主体行为的直接承担者。相应的可用作访问控制的主体属性、客体属性。11/13/202230主体一般可分为如下几类：普通用户(User)：一个获得授权可以访问系统资源的自然人。在一个计算机系统中，相应的授权包括对信息的读、写、删除、追加、执行以及授予或撤销另外一个用户对信息的访问权限等等。对某些信息而言，此用户可能是此信息的拥有者或系统管理员。信息的拥有者(Owner)：一般情况下，信息的拥有者指的是该用户拥有对此信息的完全处理权限，包括读、写、修改和删除该信息的权限以及它可以授权其它用户对其所拥有的信息拥有某些相应的权限，除非该信息被系统另外加以访问控制。系统管理员(SystemAdministrator)：为使系统能进行正常运转，而对系统的运行进行管理的用户。例如在普通的UNIX系统中，ROOT用户即为系统管理员。11/13/202231客体总的来说，系统内的客体也可以分为三大类：一般客体(GeneralObject)：指在系统内以客观、具体的形式存在的信息实体，如文件、目录等。设备客体(DeviceObject)：指系统内的设备，如软盘、打印机等。特殊客体(SpecialObject)：有时系统内的某些进程也是另外一些进程的行为的承担者，那么这类进程也是属于客体的一部分。11/13/202232主、客体属性另外，信息系统的访问控制策略除了涉及到主、客体之外，还包括以下几个因素：将要访问该信息的用户的属性，即主体的属性(例如，用户ID号或许可级别等)；将要被访问的信息的属性，即客体的属性(例如信息的安全性级别，信息来源等)；系统的环境或上下文的属性(例如某天的某个时候，系统状态等等)。11/13/202233每一个系统必须选择以上三类相关的属性来进行访问控制的决策。一般来说，信息安全策略的制定就是通过比较系统内的主、客体的相关属性来制定的。分别从以上几类属性来对访问控制策略的基础进行具体说明，共分五个方面：主体特征、客体特征、外部状况、数据内容/上下文属性以及其他属性。11/13/202234主体属性(用户特征)用户特征是系统用来决定访问控制的最常用的因素。通常一个用户的任何一种属性，例如年龄、性别、居住地、出生日期等等，均可以作为访问控制的决策点。下面就是在一般系统访问控制策略中最常用的几种用户属性：用户ID╱组ID：用户访问许可级别“需知”原则(need-to-know)角色能力列表(CapabilityList)11/13/202235客体属性(客体特征)在信息系统中，除了主体的属性被用来作为访问控制的条件外，与系统内客体(即信息)相关联的属性也作为访问控制策略的一部分。一般来说，客体的特征属性有如下几个方面：敏感性标签：由信息的敏感性级别和范畴两部分组成访问列表（accesslist）11/13/202236外部状态某些策略是基于系统主客体属性之外的某些因素来制定的，例如时间、地点或者状态。另外，上面所述的大多数属性均属于静态信息，但也有些访问策略可能是基于某些动态信息。11/13/202237数据内容/上下文环境有些访问控制策略可能基于数据的内容。例如，用户Sunny可能不被允许看到那些月薪超过15000RMB的员工的文件。更为复杂的访问控制策略可能是基于上下文的，这在数据库系统中经常用到。使用静态的信息标签是用人工的方法来决定信息敏感性的一种延续，而基于数据内容/上下文的动态访问机制则被认为是取代静态标签的一种潜在的方法。11/13/202238访问控制策略自主访问控制(DiscretionaryAccessControlPolicy，DAC)强制访问控制(MandatoryAccessControlPolicy，MAC)11/13/202239自主访问控制策略自主性：它允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。一般来说，自主访问控制策略是基于系统内用户以及访问授权或者客体的访问属性来决定该用户是否有相应的权限访问该客体。也可能是基于要访问的信息的内容或是基于用户在发出对信息访问时的相应请求所充当的角色来进行访问控制的。11/13/202240实际的计算机系统中，自主访问控制策略由一个三元组(S，O，A)表示，其中S表示主体，O表示客体，A表示访问模式。当用户申请以某种方式访问某一个客体时，系统“引用监控器”就根据系统自主访问控制策略来检查主、客体及其相应的属性或被用来实现自主访问控制的其他属性。如果申请的访问属性与系统内所指定的授权相同，则授予该主体所申请的访问许可权，否则则拒绝该用户对此信息的访问。11/13/202241自主访问控制策略的优点能够提供比强制访问控制策略更为精细的访问控制粒度。它能够将所设的访问控制策略细化到具体的某个人。相对于强制访问控制策略中的访问模式只能是“读”和“写”两种而言，自主访问控制策略“自主”的优点还表现在它的访问模式的设定非常灵活。例如，我们可以将它设为“每隔一周的周五可以读此文件”或“只有读完文件1后才能读此文件”等等。自主访问控制策略卓越的灵活性特征使得它适用于各种各样的操作系统和应用程序，因而使得它在各种情况下得到大量的应用。11/13/202242自主访问控制策略的缺点自主访问控制策略中危害最大的是它不能防范“特洛伊木马”或某些形式的“恶意程序”。例如，如果某程序中隐藏了“特洛伊木马”，此“特洛伊木马”一经用户执行，即可将所有属于他的并且只对他的文件在某一目录下生成一份拷贝；与此同时，还将这份拷贝设为系统中所有其他用户均可读。如此一来，这些原本属于该用户的、并且只能他自己读的文件如今已变得众人皆知了。这样，对这些文件的自主访问控制机制就形同虚设。为解决此类问题，在系统内实现自主访问控制的同时，利用强制访问控制策略加强系统的安全性是必要的。11/13/202243强制访问控制策略在强制访问控制机制下，系统内的每一个用户或主体根据他对敏感性客体的访问许可级别被赋予一个访问标签；同样地，系统内的每一个客体也被赋予一敏感性标签以反映该信息的敏感性级别。系统内的“引用监视器”通过比较主、客体相应的标签来决定是否授予一个主体对客体的访问请求。所谓“强制”，就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。11/13/202244强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感性标签（sensitivitylabel），用户的敏感性标签指定了该用户的敏感等级或信任等级，也称为安全许可（clearance）；而文件的敏感标签说明了访问该文件的用户必须具备的信任等级。在大多系统内(例如单域系统，即一进程只拥有一个域)，主体只有一个访问标签，而在有些系统中(例如多域系统，即一个进程拥有多个域)，一个主体可能有多个访问标签(每一个域的进程拥有一个标签，分别代表着不同的含义)。11/13/202245强制访问控制策略既可以用来防止对信息的非授权的篡改，又可以防止未授权的信息泄露。在一个特定的强制访问控制策略中，标签可以以不同的形式来实现信息的完整性和机密性。例如在国防部门，标签可能是“秘密”、“机密”、“绝密”等等；而在一个企业内，标签很可能是“公共信息”、“私有信息”(为保证信息的机密性)，或是“技术信息”、“管理信息”(为保证信息的完整性)；另外，它还可以表示不同的部门分工，如“财务部”、“人事部”、“技术部”等等，每个部门的人只能访问同一部门的信息。11/13/202246在强制访问控制策略中，其访问三元组(S，O，A)与自主访问控制策略相同。但此三元组内的访问模式A与自主访问控制策略中的访问模式有所不同。后者可以有非常灵活的形式，而前者只有两种，即“读”和“写”。在不同的情况下，其访问控制策略在形式上有可能表现不同：例如在有些情况下(如保证信息的机密性)，主体对客体要想拥有读权限，当且仅当主体的访问标签“高于”客体的敏感性标签；而在另外一些情况下(如保证信息的完整性)可能正好相反，即主体要想读访问客体，其完整性标签要“低于”客体的完整性标签。11/13/202247强制访问控制策略的特性强制访问控制策略最显著的特征是其“全局性”(Global)和“永久性”(Persistent)。“全局性”的含义是指对特定的信息，无论它处于何地，其敏感性级别相同而“永久性”的含义则是指对特定的信息，无论在何时其敏感性程序相同换句话说，在强制访问控制策略中，无论何时何地，主、客体的标签是不会改变的。这一特征在多级安全体系统中称为“宁静性原则”(tranquility)。11/13/202248强制访问控制策略的特性对于一个具体的访问控制策略而言，如果它具有以上两个特征（全局性、永久性），那么其标签的集合在数学上必会形成“偏序关系”(partialorder)11/13/202249偏序关系由于访问标签的集合具有偏序的关系，因此其集合内的元素之间的比较可以用“支配”关系来描述，在数学上将这种关系以“≧”来表示：对两个符合“偏序关系”的元素x和y来说，它们之间只存在三种关系，即x支配y(写作x≧y)，y支配x(写作y≧x)，x与y无关(xy且yx)，并且它们在数学上具有三个基本的特征：自反性(reflexivity)反对称性(antisymmetry)传递性(transitivity)11/13/202250上述三种基本的特征，用“偏序关系”来表示如下(假设有三个符合上述三种基本的特征的元素x、y和z)：自反性(reflexivity)：反对称性(antisymmetry)：传递性(transitivity)：如果在访问控制策略中，访问标签集合中元素间的关系与上述三种特征之一不符，则强制访问策略的两大特征“全局性”和“永久性”必有一个要遭到破坏，从而使得该访问控制策略不能从根本上防备“特洛伊木马”或恶意程序的攻击。 11/13/202251自反性被破坏示例考虑在一个访问控制策略中，主、客体的访问标签分别是“敏感”和“公开”中的一个，并且指定除了周末外，系统内的“公开”的主体可能访问“公开”的客体，这就造成了同一访问级别的标签不能总是支配其本身，即，这与“偏序关系”中的“自反性原则”相违背，使得强制访问控制策略中的“永久性”特征遭到破坏；11/13/202252反对称性原则被破坏示例如果访问控制策略指定“公开”的主体可在每周末访问“敏感”客体，则访问标签“敏感”在周末前支配标签“公开”；而在周末，访问标签“公开”支配标签“敏感”，但这两个标签并不相等，即并且x1≠y1，但是有和，这就违反了“反对称性”原则，同样造成了强制访问控制策略中“永久性”特征的破坏。11/13/202253传递性原则被破坏示例类似地，如果在一个访问控制策略中，除了使用标签“敏感”和标签“公开”外，还使用了标签“私有”，如果“私有”主体可以访问“敏感”客体，同时“敏感”主体可以访问“公开”客体，但是如果系统内存在有某些“公开”客体不能被“私有”主体访问，即，但，则违反了“传递性”原则，从而造成了强制访问控制策略的“全局性”的破坏。11/13/202254两种访问控制策略的关系对于访问控制策略而言，要么是“强制的”，要么是“自主的”，二者之间没有相交的部分。如上所述的访问控制策略使用的主、客体访问标签由于不满足“偏序”关系，违背了强制访问控制策略的两大主要特征之一，因此不属于强制访问控制策略，但它们却是属于自主