CIS信息安全模型讲稿

信息安全模型中国信息安全产品测评认证中心徐长醒信息安全模型1安全模型概念2访问控制模型3信息流模型4完整性模型5信息安全模型1安全模型概念安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。分类1：访问控制模型，信息流模型。分类2：机密性要求，完整性，可用性DoS，等现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：机密性)，未给出实现要求的任何相关机制和方法。

1.1安全模型安全目标：机密性，完整性，DoS，……控制目标：保障（TCBTrustComputeBase,ReferenceMonitor），安全政策（PolicyDACMAC），审计安全模型的形式化方法：

——状态机，状态转换，不变量

——模块化，抽象数据类型（面向对象）1.2安全模型作用设计阶段实现阶段检查阶段（Review）维护阶段1.3安全模型抽象过程Step1:IdentifyRequirementsontheExternalInterface.(input,output,attribute.)Step2:IdentifyInternalRequirementsStep3:DesignRulesofOperationforPolicyEnforcementStep4:DetermineWhatisAlreadyKnown.Step5:Demonstrate(论证)ConsistencyandCorrectnessStep6:DemonstrateRelevance（适当的）1.4Overview机密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrolpolicyforstockmarketanalysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange.2访问控制模型2.1自主访问控制（DiscretionaryAccessControl--DAC）机密性与完整性

木马程序2.2强制访问控制（MandatoryAccessControl--MAC）机密性

隐通道2.3基于角色访问控制(RBAC)管理方式2.1自主访问控制特点：

根据主体的身份和授权来决定访问模式。缺点：

信息在移动过程中，其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。状态机Lampson模型 模型的结构被抽象为状态机， 状态三元组(S,O,M)，

——

S访问主体集，

——

O为访问客体集（可包含S的子集），

——

M为访问矩阵，矩阵单元记为M[s,o]，表示 主体s对客体o的访问权限。所有的访问权限构成一有限集A。

——状态变迁通过改变访问矩阵M实现。

该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。HRU模型(1)系统请求的的形式ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opnHRU模型(2)系统请求分分为条件和操作两部分，其其中ai∈A，并且opi属于下列六六种元操作作之一（元元操作的语语义如其名名称示意））：enterainto(s,o),（矩阵）deleteafrom(s,o),createsubjects,（主体）destroysubjects,createobjecto,（客体）destroyobjecto。HRU模型(3)系统的安全全性定义：：若存在一个个系统，其其初始状态态为Q0，访问权限限为a，当从状态态Q0开始执行时时，如果不存在将访访问矩阵单单元不包含含的访问权权限写入矩矩阵单元的的系统请求求，那么我们们说Q0对权限a而言是安全全的。系统安全复复杂性基本本定理：对于每个系系统请求仅仅含一个操操作的单操操作请求系系统（mono-operationalsystem-MOS），系统的的安全性是是可判定的；对于一般的的非单操作作请求系统统（NMOS）的安全性性是不可判定的的。HRU模型(4)基本定理隐含的窘境境：一般的HRU模型具有很强的安全政策表达能力，但是，不存在决定相关安安全政策效效果的一般可计算算的算法；（递归可可枚举）虽然存在决定满足MOS条件的HRU模型的安全全政策效果果的一般的的可计算的的算法，但但是，满足足MOS条件的HRU模型的表达能力太太弱，以至于无无法表达很很多重要的的安全政策策。HRU模型(5)对HRU模型进一步步的研究表表明，即使使我们完全全了解了扩扩散用户的的访问权限限的程序，，在HRU模型中也很难预测访访问权限怎怎样被扩散散。与此相关，，由于用户户通常不了了解程序实实际进行的的操作内容容，这将引引起更多的的安全问题题。例如，，用户甲接接受了执行行另一个用用户乙的程程序的权利利，用户甲甲可能不知知道执行程程序将用户户甲拥有的的与用户乙乙完全不相相关的访问问权限转移移给用户乙乙。类似的的，这类表表面上执行行某功能（（如提供文文本编辑功功能），而而私下隐藏藏执行另外外的功能（（如扩散被被编辑文件件的读权限限）的程序序称为特洛洛伊木马程序。2.2强制访问控控制特点：(1).将主体和客客体分级，，根据主体体和客体的的级别标记记来决决定访访问模式。。如，绝密密级，机密密级，秘密密级，无密密级。(2).其访问控制制关系分为为：上读/下写，下下读/上写（完整性））（机密性））(3).通过梯度安安全标签实实现单向信信息流通模模式。LnHiHnHiHnLiLnLiBLP模型类似于HRU模型，BLP模型的组成成元素包括括访问主体体、访问客客体、访问问权限和访访问控制矩矩阵。但BLP在集合S和O中不改变状状态函数F:S∪∪O→→L，语义是将将函数应用用于某一状状态下的访访问主体与与访问客体体时，导出出相应的安安全级别。。安全级别L构成不变格格，状态集V在该模型中中表现为序序偶（F，M）的集合，，M是访问矩阵阵。变迁函数T：V×R→V。R请求集合，，在系统请请求执行时时，系统实实现状态变变迁。BLP模型(1)定义4.1：状态(F,M)是“读安全”（也称为“simplesecurity”）的充分必必要条件是是定义4.2：状态(F,M)是“写安全”（也称为“*-property”）的充分必必要条件是是定义4.3：状态是“状态安全”（statesecure）的充分必必要条件是是它既是“读安全”又是“写安全”。定义4.4：系统(v0,R,T)是安全的充分必要条条件是初始状态v0是“状态安全”的，并且由由初始状态态v0开始通过执执行一系列列有限的系系统请求R可达的每个个状态v也是“状态安全”的。BLP模型(2)定理4.3：系统(v0,R,T)是安全的充分必要条条件是其中，T为转移函数数，是指由由初始状态态v0通过执行一一系列有限限的系统请请求R到达可达状状态v。BLP模型(3)“读安全”禁止低级别别的用户获获得高级别别文件的读读权限。“写安全”防止高级别别的特洛伊伊木马程序序把高级别别文件内容容拷贝到低低级别用户户有读访问问权限的文文件。自主vs.强制1.自主式太弱弱2.强制式太强强3.二者工作量量大，不便便管理例，1000主体访问10000客体，须1000万次配置。。如每次配配置需1秒，每天工工作8小时，就需需10，000，000/（3600*8）=347.2天自主vs.强制2.3RBAC模型角色的概念念：角色的抽象象定义是指指相对于特特定的工作作活动的一一系列行动动和职责集集合，角色色面向于用用户组，但但不同于用用户组，角角色包含了了用户集和权权限集。2.3角色控制与与DAC、MAC角色控制相相对独立，，根据配置置可使某些些角色接近近DAC，某某些角色接接近MAC2.3RBAC模型基本模型RBAC0角色分级模模型RBAC1角色限制模模型RBAC2统一模型RBAC3RBAC3RBAC1RBAC2RBAC02.3RBAC模型2.3RBAC模型2.3RBAC模型2.3RBAC模型2.3角色控制优优势便于授权管管理便于角色划划分便于赋予最最小特权便于职责分分担便于目标分分级强制vs.信息流隐通道：访问控制模模型通过对对访问主体体与访问客客体的控制制实施安全全策略，但但恶意的用用户仍然可可能利用系系统的副作作用（边界界效应）形形成从高安安全级别到到低安全级级别的隐通道。信息流模型型：不对访访问主体与与客体实施施控制，而而是直接控控制用户间间的信息流流例如：ifa=0thenb:=c,informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb=c).3信息流模模型信息流概概念：信息流可可表述为为“从对象a流向对象象b的信息（（信息流流）是指指对象b的值按某种方方式依靠靠对象a的值”。3信息流模模型对于程序序语言代代码我们们可以通通过枚举举所有程程序变量量间的信信息流，，从而验验证是否否存在不不合法信信息流。。信息流模模型的形形式化是是状态机模型，因因此可以以形成一一系列信信息流“断言”，信息流流“断言”也称为安安全性质质，安全全性质包包括非干干扰性(noninterference)和非观察察性(nonobservability)等描述工具具使用Hoare逻辑的SPA语言（SecurityProcessAlgebra–SPA）（trace）3信息流模模型4完整性模模型数据完整整性信息保护护，DATABASE（域，实体体，引用用，应用用语义，，并发控控制）系统完整整性系统保护护，硬件件保护，，容错技技术完整性目目标PreventingUnauthorizedUsersFromMakingModifications(机密性)MaintainingInternalandExternalConsistency(一致性)PreventingAuthorizedUsersFromMakingImproperModifications(逻辑一致致性)完整性原原理1IDENTITY2CONSTRAINTS3OBLIGATION(职责)4ACCOUNTABILITY5AUTHORIZATION6LEASTPRIVILEGE7SEPARATION8MONITORING9ALARMS10NON-REVERSIBLEACTIONS11REDUNDANCY12MINIMIZATION.VariableMinimizationDataMinimizationTargetValueMinimizationAccessTimeMinimization……BIBA模型完整性策策略BIBA认为内部部威胁已已经由程程序测试试与验证证技术作作了充分分地处理理；BIBA;模型仅针针对外部部威胁。。低限策略略Low-WaterMarkPolicy针对客体体的低限限策略Low-WaterMarkPolicyforObjects低限的完完整性审审计策略略LowWaterMarkIntegrityAuditPolicy环策略RingPolicy严格的完完整性策策略StrictIntegrityPolicy低限策略略for_allselement_ofS,oelement_ofOsmo==>il(o)leqil(s)for_alls1,s2element_ofSs1is2==>il(s2)leqil(s1)Foreachobserveaccessbyasubjectstoanobjecto:il'(s)=min{il(s),il(o)}whereil'(s)istheintegritylevelofsimmediatelyfollowingtheaccess.Clark-Wilson模型Clark-Wilson模型定义义的四个个要素:constraineddataitems(CDIs),unconstraineddataitems(UDIs),integrityverificationprocedures(IVPs),andtransformationprocedures(TPs).Thereareninecertification(C)andenforcement(E)rulesthatgoverntheinteractionofthesemodelelements.Certificationisdonebythesecurityofficer,systemowner,andsystemcustodianwithrespecttoanintegritypolicy;enforcementisdonebythesystem.Clark-Wilson完整性原原理Theprincipleofseparationofdutystatesnosinglepersonshouldperformataskfrombeginningtoend,butthatthetaskshouldbedividedamongtwoormorepeopletopreventfraud(欺骗)byonepersonactingalone.Theprincipleofwell-formedtransaction(合式事务务)isdefinedasatransactionwheretheuserisunablemanipulatedataarbitrarily,butonlyinconstrained(limitationsorboundaries)waysthatpreserveorensuretheintegrityofthedata.Asecuritysysteminwhichtransactionsarewell-formedensuresthatonlylegitimateactionscanbeexecuted.Ensurestheinternaldataisaccurateandconsistenttowhatitrepresentsintherealworld.验证性规规则C1(IVPCertification)-ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.C2(Validity)-TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDI.CDIsmustbecertifiedtoensurethattheyresultinavalidCDIC3-ACDIcanonlybechangedbyaTP.TPsmustbecertifiedtoensuretheyimplementtheprinciplesofseparationofduties&leastprivilegeC4(JournalCertification)-TPsmustbecertifiedtoensurethattheiractionsareloggedC5-TPswhichactonUDIsmustbecertifiedtoensurethattheyresultinavalidCDI强制性规则则(Amoroso)E1(EnforcementofValidity)-OnlycertifiedTPscanoperateonCDIsE2(EnforcementofSeparationofDuty)-UsersmustonlyaccessCDIsthroughTPsforwhichtheyareauthorized.E3(UserIdentity)-ThesystemmustauthenticatetheidentityofeachuserattemptingtoexecuteaTPE4(Initiation)-OnlyadministratorcanspecifyTPauthorizationsTheCWmodeldiffersfromtheothermodelsthatallowsubjectstogainaccesstoobjectsdirectly,ratherthanthroughprograms.TheaccesstripleisattheheartoftheCWmodel,whichpreventsunauthorizedusersfrommodifyingdataorprograms.NT安全模型概概要基本组件:Logonprocess,whichacceptlogonrequestfromusers.Itistheprocessthatacceptstheuser’sinitialinteractivelogon,password,authenticatesit,andgrantsentryintothesystem.LSA(LocalSecurityAuthority).istheheartofthesecuritysubsystem.ItverifiesthelogoninformationfromtheSAMdatabaseandensuresthattheuserhaspermissiontoaccessthesystem.Itgeneratesaccesstoken,administersthelocalsecuritypolicydefinedinthesystemandisresponsibleforauditingandloggingsecurityevents.SecurityAccountManager(SAM)isthedatabasethatcontainsinformationforalluserandgroupaccountinformationandvalidatesusers.SecurityReferenceMonitorprovidesreal-timeservicestovalidateeveryobjectaccessandactionmadebyausertoensurethattheaccessoractionisauthorized.ThispartenforcestheaccessvalidationandauditgenerationpolicydefinedbytheLocalSecurityAuthority.SecurityIdentifiers(SIDs),EachuserofWindowsNThasauniquesecurityID(SID).Whenauserlogson,WindowsNTcreatesasecurityaccesstoken.Resources,suchasprocesses,files,shares,andprintersarerepresentedinWindowsNTasobjects.Usersneveraccesstheseobjectsdirectly,butWindowsNTactsasaproxytotheseobjects,controllingaccesstoandusageoftheseobjects.AsubjectinWindowsNTisthecombinationoftheuser'saccesstokenplustheprogramactingontheuser'sbehalf.WindowsNTusessubjectstotrackandmanagepermissionfortheprogramseachuserruns.Rule1.ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.InWindowsNTthereisalocalsecurityauthority(LSA)whichchecksthesecurityinformationinthesubject'saccesstokenwiththesecurityinformationintheobject'ssecuritydescriptorRule2.TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDIInWindowsNT,mostsubjectscannotchangetheattributionoftheobjects,butsomesubjectshavethisprivilege,suchasadministratorButthisisonlylimitedtosomespecialusers.Sothisruleis

not

appliedtoWindowsNT

strictlyRule3.

ACDIcanonlybechangedbyaTPAsmentionedabovesomespecialuserscanchangeattributionoftheobjects,andnoothermethodscanbeappliedtochangeobjectsRule4.SubjectscanonlyinitiatecertainTPsoncertainCDIsInwindowsNT,thesubject'saccesstokenincludeswhatkindsofoperationsarepermitted.Onlywheninformationoftheaccesstokenisconsistentwiththeinformationintheobject'ssecuritydescriptor,theoperationisallowedC-W模型的NT解释Rule5.CW-triplesmustenforcesomeappropriateseparationofdutypolicyonsubjectsInWindowsNT,administratorcandoanything.SothisruleisnotappliedRule6.CertainspecialTPsonUDIscanproduceCDIsasoutputInWindowsNT,userscanchangetheobjectfromwithoutACLstatetowithACLstate.Generally,thisoperationisperformedbyAdministratorRule7.EachTPapplicationmustcauseinformationsufficienttoreconstructtheapplicationtobewrittentoaspecialappend-onlyCDIInWindowsNT,auditservicescancollectinformationabouthowthesystemisbeingusedRule8.ThesystemmustauthenticatesubjectsattemptingtoinitiateaTPInWindowsNT,anyuserhasherorhisSID,andanyprocessinbehalfofthisusercopiesthesameSID.Bythisway,WindowsNTcanauthenticatesubjectsattemptingtoinitialaTPRule9.Thesystemmustonlypermitspecialsubjects(i.e.,securityofficers)tomakeanyauthorization-relatedlists.InWindowsNT,onlyadministratorcandoandviewsomehighsecurityevents5信息安全模模型主要参考文文献"AGuidetoUnderstandingSecurityModelinginTrustedSystems"NCSC-1992"IntegrityinAutomatedInformationSystems"NCSC-19911．给计算机机系统的资资产分配的的记号被称称为什么？？CA．安全属性性B．安全特征征C．安全标记记D．安全级别别2．ITSEC标准是不包包括以下哪哪个方面的的内容？DA．功能要求求B．通用框架架要求C．保证要求求D．特定系统统的安全要要求3．以下哪些些模型可以以用来保护护分级信息息的机密性性？BA．Biba模型和Bell－Lapadula模型B．Bell－Lapadula模型和信息息流模型C．Bell－Lapadula模型和Clark－Wilson模型D．Clark－Wilson模型和信息息流模型4．桔皮书主主要强调了了信息的哪哪个属性？？BA．完整性B．机密性C．可用性D．有效性5．ITSEC的功能要求求不包括以以下哪个方方面的内容容？DA．机密性B．完整性C．可用性D．有效性6．OSI中哪一层不不提供机密密性服务？？DA．表示层B．传输层C．网络层D．会话层7．在参考监监控器的概概念中，一一个参考监监控器不需需要符合以以下哪个设设计要求？？BA．必须是TAMPERPROOFB．必须足够够大C．必须足够够小D．必须总在在其中8．在以下哪哪种安全模模型中，系系统的访问问至少在最最高层是安安全的？C（301页）A．多级安全全模型B．Dedicated安全模型C．Compartmented模型D．受控模型型ThanksAnyQuestions?9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Tuesday,December20,202210、雨中中黄叶叶树，，灯下下白头头人。。。17:28:2517:28:2517:2812/20/20225:28:25PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2217:28:2517:28Dec-2220-Dec-2212、故人江江海别，，几度隔隔山川。。。17:28:2517:28:2517:28Tuesday,December20,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2217:28:2517:28:25December20,202214、他乡生白白发，旧国国见青山。。。20十二二月20225:28:25下下午17:28:2512月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。。十二月月225:28下下午午12月月-2217:28December20,202216、行动出出成果，，工作出出财富。。。2022/12/2017:28:2517:28:2520December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。5:28:25下下午5:28下下午17:28:2512月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Tuesday,December20,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。17:28:2517:28:2517:2812/20/20225:28:25PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月-2217:28:2517:28Dec-2220-D