信息安全安全模型课件

第二部分安全模型信息系统的安全目标是控制和管理主体（Subjects，包括用户和进程）对客体（Objects,包括数据和程序）的访问。第二部分安全模型信息系统的安全目标是控制和管理主体（Sub安全模型：准确地描述安全的重要方面及其与系统行为的关系。提高对成功实现安全需求的理解层次。安全模型：一、多级安全模型支持军用系统和数据库的安全保密。多级安全的信息结构示意；

绝密级机密级秘密级开放级一、多级安全模型支持军用系统和数据库的安全保密。绝密级机密级1、Bell-LaPadula模型Bell-LaPadula模型是第一个也是最著名的安全策略模型，由DavidBell和lenLaPadula在1973年提出，简称BLP模型BLP模型是可信系统的状态-转换（State-Transition)模型，主要任务是定义使得系统获得“安全”的状态集合，检查系统的初始是否为“安全状态”，检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”。1、Bell-LaPadula模型Bell-LaPadulBell-LaPadula模型BLP模型定义了系统中的主体（Subjects)访问客体（Objects)的操作规则。每个主体有一个安全级别，通过众多条例约束其对每个具有不同密级的客体的访问操作。Bell-LaPadula模型BLP模型定义了系统中的主体BLP模型的安全策略采用了自主访问控制和强制访问控制相结合的方法，能够有效地保证系统内信息的安全，支持信息的保密性，但却不能保证信息的完整性。随着计算机安全理论和技术的发展，BLP模型已经不能满足人们的需要。BLP模型的安全策略采用了自主访问控制和强制访问控制相结合的2、Clark-Wilson模型Clark-Wilson模型是一个确保商业数据完整性且在商业应用系统中提供安全评估框架的完整性及应用层的模型，由计算机科学家DavidD.Clark和会计师DavidR.Wilson发表于1987年，在1989年进行了修正。简称为CW模型2、Clark-Wilson模型Clark-Wilson模型Clark-Wilson模型着重研究与保护信息和系统完整性，即组织完善的事务和清晰的责任划分。组织完善的事务意味着用户对信息的处理必须限定在一定的权力和范围之内进行，以保证数据完整性。责任划分意味着任务需要两个以上的人完成，需要进行任务划分，避免个人欺骗行为发生。Clark-Wilson模型着重研究与保护信息和系统完整性，保证完整性有3项任务：防止非授权修改维护内部和外部的一致性防止授权但不适当的修改。保证完整性有3项任务：防止非授权修改Clark-Wilson模型考虑以下几点：主体必须被识别和认证客体只能通过一组规定的程序进行操作主体只能执行一组规定的程序。必须维护一个正确的审计日志系统必须被证明能够正确工作Clark-Wilson模型考虑以下几点：主体必须被识别和认3、Biba模型Biba模型是涉及计算机系统完整性的的第一个模型，1977年发布。Biba模型将完整性威胁分为来源于子系统内部和外部的威胁。如果子系统的一个组件是恶意或不正确，则产生内部威胁；如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统，则产生外部威胁。Biba认为内部威胁可以通过程序测试或检验来解决。所以模型主要针对外部威胁。3、Biba模型Biba模型是涉及计算机系统完整性的的第一个Biba模型基于两种规则来保障数据的完整性：——下读(NRu)属性，主体不能读取安全级别低于它的数据。——上写(NwD)属性，主体不能写入安全级别高于它的数据。Biba模型基于两种规则来保障数据的完整性：——下读(NRu二、多边安全模型多边安全的信息结构示意目的是阻止信息在不同部分的横向流动ABCDE共享数据二、多边安全模型多边安全的信息结构示意ABCDE共享数据1、ChineseWall模型访问数据受限于主体已经获得的对数据的访问权限，而不是数据的属性（密级）。该模型的思想是将一些可能会产生访问冲突的数据分成不同的数据集，强制所有主体最多只能访问一个数据集，但访问哪个数据集并未受强制规则的限制。1、ChineseWall模型访问数据受限于主体已经获得ChineseWall模型系统结构顶层；兴趣冲突组ABC中层：公司数据集FGHIJKLMN全部客体的集合

O底层：客体ChineseWall模型系统结构顶层；兴趣冲突组A各层定义如下：底层由独立的数据项组成，每项涉及一个独立的公司法人中层将涉及同一公司法人的所有客体组织起来，称为“公司数据集”上层将公司数据集结合成组，每个组之间互为竞争对手，称为“兴趣冲突组”各层定义如下：底层由独立的数据项组成，每项涉及一个独立的公司ChineseWall模型安全访问定理定理1：一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体或在不同兴趣冲突组中的信息定律2：在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集。ChineseWall模型安全访问定理定理1：一个主体一应用例子在软件公司里Microsoft和Netscape属于同一个利益冲突类，若某人充当了其中一个公司的财务顾问则不能再担当另一公司的同类工作。应用例子在软件公司里Microsoft和Netscape属于ChineseWall模型的策略第一，专业性强，实施起来需要大量专家；第二，需要清洁的信息ChineseWall模型的策略第一，专业性强，实施起来20三其它安全模型1、P2DR安全模型（美国国际互连网安全系统公司ISS提出）（动态信息安全理论的主要模型）政策防护检测响应安全=风险分析+执行策略+系统实施+漏洞检测+实时响应Policy（安全策略）、Protection（防护）Detection（检测）Response（响应）20三其它安全模型1、P2DR安全模型（美国国际互连网安全21Policy(安全策略)由于安全策略是安全管理的核心，所以要想实施动态网络安全循环过程，必须首先制定安全策略，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。对于一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。21Policy(安全策略)由于安全策略是安全管理的核心，所22Protection（保护）保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进出网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，当然需要根据安全策略制定合理的防火墙策略；也可以利用SecureID这种一次性口令的方法来增加系统的安全性等等。

22Protection（保护）保护通常是通过采用一些传统23

Detection（检测）在网络安全循环过程中，检测是非常重要的一个环节，检测是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。

23Detection（检测）在网络安全循环过程中，检测是24Response（响应）

紧急响应在安全系统中占有最重要的地位，是解决安全潜在性最有效的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。

24Response（响应） 紧急响应在安全系统中占有最重要252、PDRR安全模型美国国防部提出防护、检测、响应、恢复安全的目标实际上就是尽可能地增大保护时间，减少检测和响应时间，在系统遭受破坏之后，应尽可能快的恢复，减少系统暴露的时间。防护Protect检测Detect响应React恢复Restore252、PDRR安全模型美国国防部提出防护检测响应恢复26防护网络安全策略PDRR模型的最重要的部分就是防护（P

）。防护是预先阻止攻击可以发生的条件，让攻击者无法顺利地入侵。防护可以减少大多数的入侵事件。

26防护网络安全策略PDRR模型的最重要的部分就是防护（P27检测PDRR模型的第二个环节就是检测（D）。上面提到防护系统除掉入侵事件发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全策略的第二个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统（IDS）。27检测PDRR模型的第二个环节就是检测（D）。上面提到防护28响应

PDRR模型中的第三个环节就是响应（R）。响应就是已知一个攻击（入侵）事件发生之后，进行处理。在一个大规模的网络中，响应这个工作都是有一个特殊部门负责，那就是计算机响应小组。世界上第一个计算机响应小组CERT，位于美国于1989年建立，是世界上最著名的计算机响应小组。从CERT建立之后，世界各国以及各机构也纷纷建立自己的计算机响应小组。我国第一个计算机紧急响应小组CCERT，于1999年建立，主要服务于中国教育和科研网。28响应

PDRR模型中的第三个环节就是响应（R）。响29恢复

恢复是PDRR模型中的最后一个环节。恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为两个方面：系统恢复和信息恢复。系统恢复指的是修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是除去后门。一般来说，黑客在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后，黑客就在系统打开一些后门，如安装一个特洛伊木马。29恢复

恢复是PDRR模型中的最后一个环节。恢复是事303、建立信息安全模型安全模型MP2DRRMPPDRR安全策略管理备份与恢复机制安全响应机制入侵检测机制访问控制机制303、建立信息安全模型安全模型MPPDRR安全策略管理备份31成功的安全模型在安全和通信方便之间建立平衡-能够对存取进行控制-保持系统和数据完整-能对系统进行恢复和数据备份31成功的安全模型在安全和通信方便之间建立平衡32信息与网络安全组件信息整体安全是由操作系统、应用系统、防火墙、网络监视、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中的部分功能，而不能完成全部功能。32信息与网络安全组件信息整体安全是由操作系统、应用系统、防33防火墙防火墙通常被比喻为网络安全的大门，用来鉴别什么样的数据包可以进出企业内部网。在应对黑客入侵方面，可以阻止基于IP包头的攻击和非信任地址的访问。但防火墙无法阻止和检测基于数据内容的黑客攻击和病毒入侵，同时也无法控制内部网络之间的违规行为。33防火墙防火墙通常被比喻为网络安全的大门，用来鉴别什么样的34加密对称加密：使用同一个字符串加密解密数据非对称加密：使用一对密钥加密解密数据HASH散列算法：用HASH函数把信息混杂，使其不可恢复原状。34加密对称加密：使用同一个字符串加密解密数据35访问控制强制访问控制系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据或用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。35访问控制强制访问控制36访问控制自主访问控制（Discretionaryaccesscontrol)

自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问机制经常被用于商业系统。主流操作系统（WINDOWSServer，UNIX系统），防火墙等都是基于自主访问机制来实现访问控制

36访问控制自主访问控制（Discretionaryacc37认证密码认证智能卡生物特征（指纹、面部扫描、视网膜扫描、语音分析）位置认证（IP、反向DNS）37认证密码认证38扫描器扫描器可以说是入侵检测的一种，主要用来发现网络服务、网络设备和主机的漏洞，通过定期的检测与比较，发现入侵或违规行为留下的痕迹。当然，扫描器无法发现正在进行的入侵行为，而且它还可能成为攻击者的工具。38扫描器扫描器可以说是入侵检测的一种，主要用来发现网络服务39防毒软件防毒软件是人们最熟悉的安全工具，可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面，它可以查杀特洛依木马和蠕虫等病毒，但对于网络攻击行为（如扫描、针对漏洞的攻击）却无能为力。39防毒软件防毒软件是人们最熟悉的安全工具，可以检测、清除各40安全审计系统安全审计系统通过独立的、对网络行为和主机操作提供全面与忠实的记录，方便用户分析与审计事故原因，很像飞机上的黑匣子。由于数据量和分析量比较大，目前市场上比较成熟的产品：主动式审计（IDS部署）被动式审计（日志监控）40安全审计系统安全审计系统通过独立的、对网络行为和主机操作41IDSIDS的主要功能包括检测并分析用户在网络中的活动，识别已知的攻击行为，统计分析异常行为，核查系统配置和漏洞，评估系统关键资源和数据文件的完整性，管理操作系统日志，识别违反安全策略的用户活动等。41IDSIDS的主要功能包括检测并分析用户在网络中的活动，42NIDS网络型入侵检测系统（NetworkIntrusionDetectionSystem.NIDS)NIDS的数据源来自网络上的数据包。一般地，用户可以将某台主机网卡设定为混合模式，以监听本网段内所有数据包，判断是否合法。NIDS担负着监视整个网段的任务

42NIDS网络型入侵检测系统（NetworkIntrus43NIDSNIDS的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。43NIDSNIDS的优点主要是使用简便，不会给运行关键业务44HIDS主机型入侵检测系统（HostIntrusionDetectionSystem.HIDS)

往往以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段从所在的主机收集信息，并进行分析。HIDS主要针对所在的系统进行非法行为的检测。44HIDS主机型入侵检测系统（HostIntrusion45HIDSHIDS的优点：其内在的结构不受约束。它可以利用操作系统本身提供的功能，结合异常分析，更准确地报告攻击行为HIDS的缺点：必须为不同平台开发不同的应用程序，增加了网络系统运行负荷，而且所需安装的产品数量众多。

45HIDSHIDS的优点：46国际标准化组织（ISO）将“计算机安全”定义为：

“为数据处理系统建立和采取的技术及管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。46国际标准化组织（ISO）将“计算机安全”定义为：47国际信息安全标准化工作的情况国际上，信息安全标准化工作，兴起于二十世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上约有近300个国际和区域性组织，制定标准或技术规则，与信息安全标准化有关的主要的组织有：

国际标准化组织(ISO)、 国际电工委员会（IEC）、 国际电信联盟（ITU）、

Internet工程任务组（IETF）等。

47国际信息安全标准化工作的情况国际上，信息安全标准化工作，48

网上信息安全的防范技巧

48

网上信息安全的防范技巧

49

收到带有附件扩展名为ＥＸＥ的邮件，不能贸然运行它，因为这个不明真相的程序，有可能是一个系统破坏程序。1、不轻易运行不明真相的程序49

收到带有附件扩展名为ＥＸＥ的邮件，不能贸然运行它，50它是Web服务器发送到电脑里的数据文件，记录了用户名、口令和关于用户兴趣的信息。它使你访问同一站点时感到方便，如，不用重新输入口令。但Cookies收集到的个人信息可能会被一些喜欢搞“恶作剧”的人利用，它可能造成安全隐患，因此，我们可以在浏览器中做一些必要的设置，要求浏览器在接受Cookie之前提醒您，或者干脆拒绝它们。2、屏蔽小甜饼Cookie信息50它是Web服务器发送到电脑里的数据文件，记录了用户51对于经常上网的用户，可能会发现在网上需要设置密码的情况有很多。有很多用户图方便记忆，不论在什么地方，都使用同一个口令，殊不知他们已不知不觉地留下了一个安全隐患。另外一点就是在设定密码时，最好是字母、符号和数字混用，多用特殊字符，诸如%、&、#、和$,并且在允许的范围内，越长越好，以保证你的密码不易被人猜中。3、不同的地方用不同的口令51对于经常上网的用户，可能会发现在网上需要设置52

ActiveX控件可以被嵌入到HTML页面中，并下载到浏览器端加以执行，因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明，在客户端的浏览器中，如IE中插入某些ActiveX控件，也将直接对服务器端造成意想不到的安全威胁。同时，一些其他技术，如内嵌于IE的VBScript语言，同Java小程序一样，有可能给客户端带来安全性能上的漏洞。此外，还有一些新技术，如ASP(ActiveserverPages)技术，由于用户可以为ASP的输出随意增加客户脚本、ActiveX控件和动态HTML，因此在ASP脚本中同样也都存在着一定的安全隐患。可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件。4、屏蔽ActiveX控件52

ActiveX控件可以被嵌入到HTML页面中，并53我们在上网浏览信息时，浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中，这样下次再访问同样信息时可以很快地达到目的地，从而提高了我们的浏览效率。5、定期清除缓存、历史记录以及临时文件夹中的内容53我们在上网浏览信息时，浏览器会把我们在上网过54

上网过程中，突然觉得计算机工作不对劲，你必须及时停止手中的工作，立即按trl+Alt+Del键来查看一下系统是否运行了什么的程序，一旦发现有莫名其妙的程序在运行，你马上停止它，以免对整个计算机系统有更大的威胁。但是并不是所有的程序运行时出现在程序列表中，有些程序例如BackOrifice（一种黑客的后门程序）并不显示在Ctrl+Alt+Del复合键的进程列表中，可以运行“附件”/“系统工具”/“系统信息”，然后双击“软件环境”，选择“正在运行任务”，在任务列表中寻找自己不熟悉的或者自己并没有运行的程序，一旦找到程序后应立即终止它，以防后患。

6、突遇莫名其妙的故障时要及时检查系统信息54上网过程中，突然觉得计算机工作不对劲，你必须及时停55

我们在上网浏览信息时，应该做一个有心人，应经常通过一些报刊杂志来搜集一些黑客站点或其他一些具有破坏站点的相关信息，并注意哪些站点会恶意窃取别人的个人信息。在了解了这类网站的基本信息的情况下，如果想防止自己的站点不受上述那些站点的破坏，我们可以通过一些相关设置来拒绝这些站点对你的信息的访问，从而能使浏览器能够自动拒绝这些网站发出的某些对自己有安全威胁的指令。7、拒绝某些可能有威胁的站点对自己的访问55

我们在上网浏览信息时，应该做一个有心人，应经常通过56

在聊天室里讨论问题，恶意破坏者们利用网上聊天的一些漏洞，从中获取你的个人信息，如你所在机器的ＩＰ地址，你的姓名等等。然后利用这些个人信息对你进行一些恶意的攻击，例如在聊天室里，他们常常可以发给大家一个足以让用户计算机死机的HTML语句。因为这些HTML语句是不会在聊天室显示出来的，所以你遭攻击可能还不知道！防治的办法是在你的浏览器中预先关闭你的JAVA脚本。另外在网上有一种工具只要你在网上，输入你的QQ号，就可以知道你的IP地址，解决办法只有你上网后，把QQ状态设置为隐藏状态，这样破坏者才不知道你在网上！8、尽量少在聊天室里聊天56

在聊天室里讨论问题，恶意破坏者们利用网上聊天的一57

网上浏览信息以及注册免费E-mail时，常会需要用户注册个人信息资料。这些站点通过程序设计达到一种不填写表单就不能获取自己需要的信息的目的。我们最好是不要轻易把自己真实的信息提交给他们，不要向任何人透露你的密码。9、不随意透露任何个人信息57网上浏览信息以及注册免费E-mail时，常会需要用58

由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，因此保证邮件的真实性（即不被他人伪造）和不被其他人截取和偷阅也变得日趋重要。所以，对于敏感信息的邮件，最好利用数字标识对你写的邮件进行数字签名后再发送。10、加密重要的邮件58

由于越来越多的人通过电子邮件进行重要的商务活动和59注册表的安全技术

“注册表”数据库，允许用户按照自己的要求对计算机系统的硬件和软件进行各种配置，允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，还可以对系统即插即用登录的硬件部分数据提供支持，管理人员和用户通过注册表可以在网络上检查系统的配置和设置，使得远程管理得以实现。输入Regedit或Regedt32即可打开注册表编辑器

59注册表的安全技术“注册表”数据库，允许用户按照自己的要60一、注册表的结构

WIN2000注册表如下图所示。

60一、注册表的结构61·HKEY_CLASSES_ROOT根键

HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息，主要记录不同文件的文件名后缀和与之对应的应用程序。说明：HKEY_CLASSES_ROOT根键中存放的信息与HKEY_LOCAL_MACHINE\Software\Classes分支中存放的信息是一致的。61·HKEY_CLASSES_ROOT根键62·HKEY_CURRENT_USER根键

HKEY_CURRENT_USER根键中保存的信息（当前用户的子键信息）与HKEY_USERS\.Default分支中所保存的信息是相同的，任何对HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS\.Default中子键信息的修改，反之也是如此。62·HKEY_CURRENT_USER根键63·HKEY_LOCAL_MACHINE根键

HKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。63·HKEY_LOCAL_MACHINE根键64·HKEY_USERS根键

HKEY_USERS根键中保存的是默认用户（.DEFAULT）、当前登录用户与软件（Software）的信息。注意：HKEY_USERS\Software中保存的软件信息与HKEY_LOCAL_MACHINE\Software相同。64·HKEY_USERS根键65·HKEY_CURRENT_CONFIG根键

HKEY_CURRENT_CONFIG根键中存放的是当前配置文件的所有信息。65·HKEY_CURRENT_CONFIG根键661、导入与引出注册表注册表是以二进制方式存储在硬盘上。我们在修改注册表的时候难免会引起一些问题，甚至是致命的故障。那么对注册表文件进行备份和恢复就具有非常的意义。661、导入与引出注册表注册表是以二进制方式存储在硬盘上。676768命令行方法：当系统出现严重故障，只有使用命令行的方法，启动windows2000时，按Ｆ８，进入启动模式的菜单，选择＂带命令行的安全模式＂。登录后进入命令提示符窗口，在提示符号后面输入：windows\system\regedit,回车后，就可以进入图形界面的注册表编辑器了。进入图形界面的注册表编辑器后，同样导入注册表操作。68命令行方法：692、更改IE标题中的文字运行注册表编辑器，首先在注册表中找到下面的位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main，找到WindowTitle项，如果没有，新建一个字符串值，将其命名为WindowTitle（注意两个词中间有一个空格），如图。692、更改IE标题中的文字707071双击它，输入任何你喜欢的文字。

在

HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main，也找到WindowTitle项，做上述相同的操作，即可以将IE浏览器的标题进行更改。71双击它，输入任何你喜欢的文字。

723设置启动IE的连接首页页通过修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\Main\Start

Page和HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main\Start

Page的“Start

Page”的键值，就可以达到修改浏览者IE默认连接首页的目的。具体做法如下：

723设置启动IE的连接首页页73运行注册表编辑器，然后展开上述子键，更改的注册表项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\Main和HKEY_CURRENT_USER