chap2：计算机安全策略

计算机平安CH2：计算机平安战略1/24/20242提要系统的平安需求平安战略的定义平安战略的分类平安战略的方式化描画平安策路的选择访问控制的属性平安战略及其分类访问控制战略访问支持战略1/24/20243信息平安与严密的构造层次物理平安平安控制平安效力1/24/20244物理平安是指在物理介质层次上对存储和传输的网络及信息的平安维护，它是网络及信息平安的最根本的保证，是整个平安系统不可短少和忽视的组成部分。该层次上的不平安要素主要有：〔1〕自然灾祸、物理破坏、设备保证〔2〕电磁辐射、乘机而入、痕迹泄露〔3〕操作失误、不测泄露1/24/20245平安控制是指在网络及信息平安中对存储和传输信息的操作进展控制和管理。重点是在信息处置层次上对信息进展初步的平安维护。可分为三个层次：〔1〕操作系统的平安控制〔2〕网络接口的平安控制〔3〕网络互联设备的平安控制平安控制主要经过现有的操作系统或网管软件、路由器配置等实现，只提供了初步的平安功能和信息维护。1/24/20246平安效力是指在运用层次上对信息的严密性、完好性和资源的真实性进展维护和鉴别。以满足用户平安需求，防止和抵御各种平安要挟和攻击手段。平安效力可以在一定程度上弥补和完善现有系统的平安破绽。

1/24/20247平安效力主要包括平安机制：是用来预防、检测和从平安攻击中恢复的机制，是平安效力乃至整个平安系统的中心和关键。平安协议：是多个实体为完成某些义务所采取的一些列有序步骤。协议特点：预先建立、相互赞同、非二义性和完好性。1/24/20248平安衔接：是在平安处置前网络通讯双方之间的衔接过程，主要包括会话密钥产生、分发和身份验证。平安战略：是决策的集合。它集中表达了一个组织对平安的态度。确切地说平安战略对于可接受的行为以及对违规作出何种呼应确定了界限。平安战略是平安机制、平安衔接和平安协议的有机结合，是信息系统平安性的完益处理方案。平安战略决议了网络信息平安系统的整体平安性和适用性。1/24/20249平安需求大多数平安战略思索的是性、完好性、可记账性、可用性这四项要求，但其偏重点各有不同。例如：军事平安战略偏重于信息的性要求商用平安战略那么偏重于信息的完好性与可记账性电信部门偏重于系统的可用性然而，仅思索某一方面的需求是远远不够的，还该当平衡思索。系统的平安需求的内容性〔confidentiality〕：防止信息泄露给未授权的用户。完好性〔integrity〕：防止未授权的用户对信息的修正。可记账性〔accountability〕：防止用户对访问过的信息或执行的操作予以否认。可用性〔availablity〕：保证授权用户对系统信息的可访问性。1/24/202410信息的性需求美国国防部在1985年12月发布了可信计算机评价规范〔TCSEC，“桔皮书〞〕对信息的性做出了详细的要求。提出了“强迫平安战略(MAC)〞的要求，即系统中一切的信息必需按照其敏感性等级和所属部门分类，而系统中的一切用户也加以分类，以使他们仅能访问那些“需求知道〞的信息。强迫平安战略也可用于非军事部门。1/24/202411信息的性需求另一种用于民用目的的平安战略是“自主平安战略(DAC)〞，即每个信息有一个一切者，它可以决议能否允许其他用户或进程对此信息进展访问。1/24/202412信息的完好性需求指维护系统资源在一个有效的、预期的形状，防止资源不正确、不适当地修正，或是为了维护系统不同部分的一致性。主要目的是防止在涉及到记账或审计的事件中舞弊行为的发生。1/24/202413信息的可记账性需求目的是为了知道用户执行了什么操作，是谁执行了该操作等。这对知晓系统破坏的程度、恢复丧失信息、评价系统平安性以及为对系统呵斥严重破坏的民事赔偿或法律诉讼提供根据。1/24/202414信息的可用性需求是为了保证系统的顺利任务，即保证已获得授权的用户对系统信息的可访问性。1/24/2024151/24/202416平安战略所谓平安战略，简单地说，就是用来描画用户对平安的要求。在计算机平安领域内，说一个系统是“平安系统〞，其“平安〞的概念就是指此系统到达了当初设计时所制定的平安战略的要求。1/24/202417平安战略对于一个信息系统而言，其平安战略的制定根据如下：信息的性、完好性与可用性什么人可以以何种方式去访问什么信息根据什么来制定访问决策，例如是根据用户的ID号呢？还是根据用户的其它什么特征是要最大化的共享，还是要实现最小特权能否要实行义务的分别对涉及到系统的平安性属性的操作是实行集中管理，还是实行分散管理……平安战略的分类平安战略：是关于信息系统平安性最高层次的指点原那么，是根据用户的需求、设备情况、单位章程和法律约束等要求制定的。在企事业单位信息系统的每一个层次，从管理活动到硬件维护都要做出平安性决策，其中包括企事业级平安决策、行政管理方面的平安决策、有关数据处置设备及运转环境的平安战略。1/24/202418如“职工的奖金数量不公开〞是企事业级的平安决策；“职工的表现记录在数据库中保管3年〞是行政决策；“修正计算机设备中的运用程序至少需求两位指点的赞同〞是设备决策；“维护存储器要以2048B为单位〞是操作系统决策等。1/24/202419平安战略是决策的集合，是对于可接受的行为以及应对违规做出何种呼应确定了界限。平安战略是对一个系统应该具有的平安性的描画，只需当一个系统与平安战略相称，也就是说该系统可以满足对它的平安要求，这个系统才是平安的。1/24/202420大多数平安战略都思索上述四点要求：性要求完好性要求可记账性要求可用性要求1/24/2024211/24/202422平安战略的分类基于信息系统平安战略的定义和内涵，我们将其分为两大类：访问控制战略(AccessControlPolicy)：基于平安战略内涵的性和完好性要求，它确立相应的访问规那么以控制对系统资源的访问访问支持战略(AccessSupportingPolicy)：基于平安战略内涵的可记账性要求和可用性要求。由于它是以支持访问控制战略的容颜出现的，故称为访问支持战略。1/24/202423访问控制〔AccessControl〕定义：是指对主体访问客体的权限或才干的限制，以及限制进入物理区域〔出入控制〕和限制运用计算机系统和计算机存储数据的过程〔存取控制〕。访问控制的目的：为了保证资源受控，合法的运用，用户只能根据本人的权限大小来访问资源，不能越权访问。同时访问控制也是记帐、审计的前提。访问控制〔AccessControl〕访问控制是计算机维护中极其重要的一环，它是在身份识别的根底上，根据身份对提出的资源访问恳求加以限制。1/24/2024241/24/202425一些重要的访问控制战略：1、最小权限战略：信息限于给那些完成某义务所需者。2、最大共享战略：是使存储的信息获得最大的运用。3、访问的开放与封锁：在封锁系统中，仅当明确的授权时才允许访问，在开放系统中，那么要求除非明确的制止，访问都允许。前者较平安，是最小权限战略的根本支持，后者费用较少，运用于采用最大共享战略的场所。1/24/2024264、离散访问控制：它是根据恳求的主、客体称号作出可否访问的决策，又称称号相关访问控制。由于不需求根据数据库中的数据内容就能作出决策，有时也称为内容无关访问控制。5、自主访问控制：客体的属主可以自主地决议哪个用户可以访问他的资源。1/24/2024276、强迫访问控制：主体和客体都有固定的平安属性，这些平安属性都描写在主、客体的平安标志中。平安标志是根据平安信息流对系统中的主、客体一致标定的。可否访问的决策是根据恳求访问的主、客体一致制定的，又称为非离散访问控制。它远比离散访问控制平安，但实现起来较困难。1/24/2024287、内容相关及其他访问控制：内容相关：访问与否与客体当前的数据有关；上下文相关：允许访问条件是数据集合的函数；时间相关：允许访问条件是系统时钟的函数；历史相关：允许访问条件是系统先前形状的函数。1/24/202429访问控制的属性普通来说，在计算机系统内和访问控制战略相关的要素有三大类：主体(用户)：就是指系统内行为的发起者，通常是指由用户发起的进程。客体(文件、目录、数据库等)：指在计算机系统内一切的主体行为的直接承当者。相应的可用作访问控制的主体属性、客体属性。1/24/202430主体普通可分为如下几类：普通用户(User)：一个获得授权可以访问系统资源的自然人。在一个计算机系统中，相应的授权包括对信息的读、写、删除、追加、执行以及授予或撤销另外一个用户对信息的访问权限等等。对某些信息而言，此用户能够是此信息的拥有者或系统管理员。信息的拥有者(Owner)：普通情况下，信息的拥有者指的是该用户拥有对此信息的完全处置权限，包括读、写、修正和删除该信息的权限以及它可以授权其它用户对其所拥有的信息拥有某些相应的权限，除非该信息被系统另外加以访问控制。系统管理员(SystemAdministrator)：为使系统能进展正常运转，而对系统的运转进展管理的用户。例如在普通的UNIX系统中，ROOT用户即为系统管理员。1/24/202431客体总的来说，系统内的客体也可以分为三大类：普通客体(GeneralObject)：指在系统内以客观、详细的方式存在的信息实体，如文件、目录等。设备客体(DeviceObject)：指系统内的设备，如软盘、打印机等。特殊客体(SpecialObject)：有时系统内的某些进程也是另外一些进程的行为的承当者，那么这类进程也是属于客体的一部分。1/24/202432主、客体属性另外，信息系统的访问控制战略除了涉及到主、客体之外，还包括以下几个要素：将要访问该信息的用户的属性，即主体的属性(例如，用户ID号或答应级别等)；将要被访问的信息的属性，即客体的属性(例如信息的平安性级别，信息来源等)；系统的环境或上下文的属性(例如某天的某个时候，系统形状等等)。1/24/202433每一个系统必需选择以上三类相关的属性来进展访问控制的决策。普通来说，信息平安战略的制定就是经过比较系统内的主、客体的相关属性来制定的。分别从以上几类属性来对访问控制战略的根底进展详细阐明，共分五个方面：主体特征、客体特征、外部情况、数据内容/上下文属性以及其他属性。1/24/202434主体属性(用户特征)用户特征是系统用来决议访问控制的最常用的要素。通常一个用户的任何一种属性，例如年龄、性别、居住地、出生日期等等，均可以作为访问控制的决策点。下面就是在普通系统访问控制战略中最常用的几种用户属性：用户ID╱组ID：用户访问答应级别“需知〞原那么(need-to-know)角色才干列表(CapabilityList)1/24/202435客体属性(客体特征)在信息系统中，除了主体的属性被用来作为访问控制的条件外，与系统内客体(即信息)相关联的属性也作为访问控制战略的一部分。普通来说，客体的特征属性有如下几个方面：敏感性标签：由信息的敏感性级别和范畴两部分组成访问列表〔accesslist〕1/24/202436外部形状某些战略是基于系统主客体属性之外的某些要素来制定的，例如时间、地点或者形状。另外，上面所述的大多数属性均属于静态信息，但也有些访问战略能够是基于某些动态信息。1/24/202437数据内容/上下文环境有些访问控制战略能够基于数据的内容。例如，用户Sunny能够不被允许看到那些月薪超越15000RMB的员工的文件。更为复杂的访问控制战略能够是基于上下文的，这在数据库系统中经常用到。运用静态的信息标签是用人工的方法来决议信息敏感性的一种延续，而基于数据内容/上下文的动态访问机制那么被以为是取代静态标签的一种潜在的方法。1/24/202438访问控制战略自主访问控制(DiscretionaryAccessControlPolicy，DAC)强迫访问控制(MandatoryAccessControlPolicy，MAC)1/24/202439自主访问控制战略自主性：它允许系统中信息的拥有者按照本人的志愿去指定谁可以以何种访问方式去访问该客体。普通来说，自主访问控制战略是基于系统内用户以及访问授权或者客体的访问属性来决议该用户能否有相应的权限访问该客体。也能够是基于要访问的信息的内容或是基于用户在发出对信息访问时的相应恳求所充任的角色来进展访问控制的。1/24/202440实践的计算机系统中，自主访问控制战略由一个三元组(S，O，A)表示，其中S表示主体，O表示客体，A表示访问方式。当用户恳求以某种方式访问某一个客体时，系统“援用监控器〞就根据系统自主访问控制战略来检查主、客体及其相应的属性或被用来实现自主访问控制的其他属性。假设恳求的访问属性与系统内所指定的授权一样，那么授予该主体所恳求的访问答应权，否那么那么回绝该用户对此信息的访问。1/24/202441自主访问控制战略的优点可以提供比强迫访问控制战略更为精细的访问控制粒度。它可以将所设的访问控制战略细化到详细的某个人。相对于强迫访问控制战略中的访问方式只能是“读〞和“写〞两种而言，自主访问控制战略“自主〞的优点还表如今它的访问方式的设定非常灵敏。例如，我们可以将它设为“每隔一周的周五可以读此文件〞或“只需读完文件1后才干读此文件〞等等。自主访问控制战略杰出的灵敏性特征使得它适用于各种各样的操作系统和运用程序，因此使得它在各种情况下得到大量的运用。1/24/202442自主访问控制战略的缺陷自主访问控制战略中危害最大的是它不能防备“特洛伊木马〞或某些方式的“恶意程序〞。例如，假设某程序中隐藏了“特洛伊木马〞，此“特洛伊木马〞一经用户执行，即可将一切属于他的并且只对他的文件在某一目录下生成一份拷贝；与此同时，还将这份拷贝设为系统中一切其他用户均可读。如此一来，这些本来属于该用户的、并且只能他本人读的文件如今已变得众人皆知了。这样，对这些文件的自主访问控制机制就形同虚设。为处理此类问题，在系统内实现自主访问控制的同时，利用强迫访问控制战略加强系统的平安性是必要的。1/24/202443强迫访问控制战略在强迫访问控制机制下，系统内的每一个用户或主体根据他对敏感性客体的访问答应级别被赋予一个访问标签；同样地，系统内的每一个客体也被赋予一敏感性标签以反映该信息的敏感性级别。系统内的“援用监视器〞经过比较主、客体相应的标签来决议能否授予一个主体对客体的访问恳求。所谓“强迫〞，就是平安属性由系统管理员人为设置，或由操作系统自动地按照严厉的平安战略与规那么进展设置，用户和他们的进程不能修正这些属性。1/24/202444强迫访问控制的本质是对系统当中一切的客体和一切的主体分配敏感性标签〔sensitivitylabel〕，用户的敏感性标签指定了该用户的敏感等级或信任等级，也称为平安答应〔clearance〕；而文件的敏感标签阐明了访问该文件的用户必需具备的信任等级。在大多系统内(例如单域系统，即一进程只拥有一个域)，主体只需一个访问标签，而在有些系统中(例如多域系统，即一个进程拥有多个域)，一个主体能够有多个访问标签(每一个域的进程拥有一个标签，分别代表着不同的含义)。1/24/202445强迫访问控制战略既可以用来防止对信息的非授权的篡改，又可以防止未授权的信息泄露。在一个特定的强迫访问控制战略中，标签可以以不同的方式来实现信息的完好性和性。例如在国防部门，标签能够是“〞、“〞、“绝密〞等等；而在一个企业内，标签很能够是“公共信息〞、“私有信息〞(为保证信息的性)，或是“技术信息〞、“管理信息〞(为保证信息的完好性)；另外，它还可以表示不同的部门分工，如“财务部〞、“人事部〞、“技术部〞等等，每个部门的人只能访问同一部门的信息。1/24/202446在强迫访问控制战略中，其访问三元组(S，O，A)与自主访问控制战略一样。但此三元组内的访问方式A与自主访问控制战略中的访问方式有所不同。后者可以有非常灵敏的方式，而前者只需两种，即“读〞和“写〞。在不同的情况下，其访问控制战略在方式上有能够表现不同：例如在有些情况下(如保证信息的性)，主体对客体要想拥有读权限，当且仅当主体的访问标签“高于〞客体的敏感性标签；而在另外一些情况下(如保证信息的完好性)能够正好相反，即主体要想读访问客体，其完好性标签要“低于〞客体的完好性标签。1/24/202447强迫访问控制战略的特性强迫访问控制战略最显著的特征是其“全局性〞(Global)和“永久性〞(Persistent)。“全局性〞的含义是指对特定的信息，无论它处于何地，其敏感性级别一样而“永久性〞的含义那么是指对特定的信息，无论在何时其敏感性程序一样换句话说，在强迫访问控制战略中，无论何时何地，主、客体的标签是不会改动的。这一特征在多级平安体系统中称为“安静性原那么〞(tranquility)。1/24/202448强迫访问控制战略的特性对于一个详细的访问控制战略而言，假设它具有以上两个特征〔全局性、永久性〕，那么其标签的集合在数学上必会构成“偏序关系〞(partialorder)1/24/202449偏序关系由于访问标签的集合具有偏序的关系，因此其集合内的元素之间的比较可以用“支配〞关系来描画，在数学上将这种关系以“≧〞来表示：对两个符合“偏序关系〞的元素x和y来说，它们之间只存在三种关系，即x支配y(写作x≧y)，y支配x(写作y≧x)，x与y无关(xy且yx)，并且它们在数学上具有三个根本的特征：自反性(reflexivity)反对称性(antisymmetry)传送性(transitivity)1/24/202450上述三种根本的特征，用“偏序关系〞来表示如下(假设有三个符合上述三种根本的特征的元素x、y和z)：自反性(reflexivity)：反对称性(antisymmetry)：传送性(transitivity)：假设在访问控制战略中，访问标签集合中元素间的关系与上述三种特征之一不符，那么强迫访问战略的两大特征“全局性〞和“永久性〞必有一个要遭到破坏，从而使得该访问控制战略不能从根本上防备“特洛伊木马〞或恶意程序的攻击。 1/24/202451自反性被破坏例如思索在一个访问控制战略中，主、客体的访问标签分别是“敏感〞和“公开〞中的一个，并且指定除了周末外，系统内的“公开〞的主体能够访问“公开〞的客体，这就呵斥了同一访问级别的标签不能总是支配其本身，即，这与“偏序关系〞中的“自反性原那么〞相违背，使得强迫访问控制战略中的“永久性〞特征遭到破坏；1/24/202452反对称性原那么被破坏例如假设访问控制战略指定“公开〞的主体可在每周末访问“敏感〞客体，那么访问标签“敏感〞在周末前支配标签“公开〞；而在周末，访问标签“公开〞支配标签“敏感〞，但这两个标签并不相等，即并且x1≠y1，但是有和，这就违反了“反对称性〞原那么，同样呵斥了强迫访问控制战略中“永久性〞特征的破坏。1/24/202453传送性原那么被破坏例如类似地，假设在一个访问控制战略中，除了运用标签“敏感〞和标签“公开〞外，还运用了标签“私有〞，假设“私有〞主体可以访问“敏感〞客体，同时“敏感〞主体可以访问“公开〞客体，但是假设系统内存在有某些“公开〞客体不能被“私有〞主体访问，即，但，那么违反了“传送性〞原那么，从而呵斥了强迫访问控制战略的“全局性〞的破坏。1/24/202454两种访问控制战略的关系对于访问控制战略而言，要么是“强迫的〞，要么是“自主的〞，二者之间没有相交的部分。如上所述的访问控制战略运用的主、客体访问标签由于不满足“偏序〞关系，违背了强迫访问控制战略的两大主要特征之一，因此不属于强迫访问控制战略，但它们却是