单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,,*,安全架构和设计,Security Architecture and Design,安全架构和设计Security Architecture a,关键知识领域,?,?,A.,理解安全模型的基本概念(如保密性、完整性与多,层次模型),B.,理解信息系统安全评估模型的组成,?,?,B.1,产品评估模型(如通用准则),B.2,工业与国际安全实施准则(如,PIC-DSS,、,ISO,),?,?,C.,理解信息系统的安全功能(如内存保护、虚拟技术、,可信平台模块),D.,理解安全架构的漏洞,?,?,D.1,系统(如隐蔽通道、状态攻击、电子发射),D.2,技术与流程的整合(如单点故障、面向服务的架构),E.1,基于,Web,(如,XML,、,SAML,、,OWASP,),E.2,基于客户端(如小程序),?,E.,理解软件与系统的漏洞与威胁,?,?,关键知识领域??A. 理解安全模型的基本概念(如保密性、完整,目录,?,?,?,?,?,?,?,?,?,?,?,?,计算机安全,系统架构,计算机系统结构,操作系统架构,系统安全体系结构,安全模型,操作安全模式,系统评价方法,橘皮书和彩虹系列,信息技术安全评估标准,通用标准,认证与认可,目录????????????计算机安全系统架构计算机系统结构,计算机安全(,Computer Security,),?,可用性:防止丢失或访问,数据和资源流失,?,Availability: Prevention of loss of, or loss of access to, data and,resources,?,完整性:防止数据和资源的未经授权的修改,?,Integrity: Prevention of unauthorized modification of data and,resources,Confidentiality: Prevention of unauthorized disclosure of data and,resources,?,保密性:防止未授权披露的数据和资源,?,计算机安全(Computer Security )?可用性:,系统架构(,System Architecture,),?,?,?,架构(,Architecture,):体现在其组成部分,它们彼此,之间以及与环境的关系,和指导原则其设计和演进的,系统的基本组织。
架构描述(,Architectural description,,,AD,):以正式,的方式表述一个架构的文档集合利益相关者(,Stakeholder,):对于系统有利益关系或关注,系统的个人、团队、组织(或集体),视图(,View,):从相关的一组关注点透视出的整个系统的,表述,视角(,Viewpoint,):关于建设和使用视图的惯例性说明,,也是通过明确视图建立目的、读者,确立视图与分析技巧,后开发单个视图的模板系统架构(System Architecture )???架,正式的架构术语和关系,正式的架构术语和关系,计算机系统结构(,Computer Architecture,),?,计算机体系结构包括所有用于它的计算机系统的所必,需的部件的功能,包括操作系统,存储芯片,逻辑电,路,存储设备,输入和输出设备,安全组件,总线和,网络接口中央处理器(,The Central Processing Unit,),多重处理(,Multiprocessing,),操作系统组件(,Operating System Components,),计算机系统结构(Computer Architecture,中央处理器(,The Central Processing Unit,,,CPU,),?,计算机的大脑。
对,CPU,最常见的描述可能是:它从存,储器中提取指令并加以执行控制单元,算术逻辑单元,寄存器,解码单元,预取单元,指令高速缓存器,数据高速缓存器,总线单元,(主存储器),中央处理器(The Central Processing U,中央处理器(,The Central Processing Unit,,,CPU,),?,中央处理单元是计算机硬件的核心,主要任务是执行,各种命令,完成各种运算和控制功能,是计算机的心,脏,决定着系统的类型、性能和速度,,CPU,中包含:,?,?,?,(1),算术逻辑运算单元,ALU (Arithmetic Logic Unit),:主要负,责数据的计算或处理2),控制单元,(Control unit),:控制数据流向,例如数据或指,令进出,CPU,;并控制,ALU,的动作3),寄存器,/,缓存器,(Registers),:负责储存数据,以利,CPU,快,速地存取累加器,(Accumulator),程序记数器,(Program Counter),内存地址寄存器,(Memory Address Register),内存数据寄存器,(Memory Buffer Register),指令寄存器,(Instruction Register),中央处理器(The Central Processing U,CPU,运行状态,?,?,运行状态:,Run/operating state,?,执行指令,执行应用程序,仅执行非特权,(nonprivileged instructions),指令,特权模式下执行,程序可以访问整个系统,同时执行特权,( Privileged,instructions ),和非特权指令,解题状态:,Application/Problem state,?,?,?,管理程序状态:,Supervisor state,?,?,?,等待状态:,Wait state,?,等待特定事件完成,CPU运行状态??运行状态:Run/operating st,多重处理(,Multiprocessing,),?,?,对称模式多重处理(,Symmetric mode multiprocessing,),?,计算机有两个或者多个,CPU,且每个,CPU,都使用加载均衡方式,计算机有两个或者多个,CPU,,且有一个,CPU,仅专门处理一个特定程序,,而其他,CPU,执行通用的处理程序,非对称模式多重处理(,Asymmetric mode multiprocessing,),?,多重处理(Multiprocessing)??对称模式多重处,关键概念,?,?,?,中央处理单元,CPU,,算术逻辑单元,ALU,,寄存器,控制单元,通用寄存器(,General registers,):,CPU,在执行指令过程中,使用的临时存储位置。
特殊寄存器(,Special registers,):,保存关键处理参数的,临时存储位置保存诸如程序计数器,堆栈指针,程,序状态字(,PSW,)程序计数器(,Program counter,):为,CPU,所要执行的指令,保存存储器地址,栈(,Stack,):进程用来彼此传输指令和数据的存储器分,段,程序状态字(,Program status word,):,向,CPU,表明需要,用什么状态(内核模式还是用户模式)运行的条件变,量,关键概念???中央处理单元CPU,算术逻辑单元ALU,寄存器,关键概念,?,?,?,?,?,用户模式(问题状态)(,User mode (problem state),):,CPU,在执行不太可信的进程指令时所用的保护模式,内核模式(监管状态、特权模式)(,Kernel mode,(supervisory state, privilege mode),):,CPU,在执行较为,可信的进程指令时所用的工作状态,进程在内核模式,下比在用户模式下可以访问更多的计算机资源,地址总线(,Address bus,):处理组件和存储器段之间,的物理连接,用来传输处理过程中所拥到的物理存储,器地址,数据总线(,Data bus,):处理组件和存储器段之间的,物理连接,用来传输处理过程中所用到的数据。
对称模式多重处理,不对称模式多重处理,关键概念?????用户模式(问题状态)(User mode,操作系统组件(,Operating System,Components,),?,?,?,?,进程管理(,Process Management,),线程管理(,Thread Management,),进程调度(,Process Scheduling,),进程活动(,Process Activity,),操作系统组件(Operating System Compon,进程管理(,Process Management,),?,进程管理:,操作系统的职能之一,主要是对处理机进行管,理为了提高,CPU,的利用率而采用多道程序技术通过进,程管理来协调多道程序之间的关系,使,CPU,得到充分的利,用进程:,Process,?,?,?,一个独立运行的程序,有自己的地址空间,,,是程序运行的动,态过程,只能有限地与其它进程通信,由,OS,负责处理进程间的通信,进程是程序运行的一个实例,是运行着的程序,进程管理(Process Management)?进程管理:,关键概念,?,多程序设计,(MultiProgramming),?,?,?,一个处理器允许多处程序的将交叉运行,,,即两个或两个以上,程序在计算机系统中同处于开始个结束之间的状态:多道、,宏观上并行、微观上串行,解决主机和外转设备速度不匹配问题,为提高,CPU,的利用,率。
通过进程管理,协调多道程序之间的,CPU,分配调度、,冲突处理及资源回收等关系对象重用问题,, TOC/TOU,单个处理器对两个或两个以上的任务并行执行、交叉执行,实时多任务,(Realtime),、抢占式多任务,(Preemptive),、协作,式多任务,(Cooperative),协调式多任务各个进程控制释放,CPU,时间,抢占式多任务主要由操作系统控制时间,?,多任务(,MultiTasking,),?,?,关键概念?多程序设计(MultiProgramming)??,关键概念,?,?,进程表,PCB,:包含,CPU,所需的进程状态数据,中断(,Interrupts,):,?,?,?,分配给计算机部件(硬件和软件)的值,以对计算机资源,进行有效的时间分片可屏蔽中断(,Maskable interrupt,):分配给非关键操作系,统活动中断值不可屏蔽中断(,Nonmaskable interrupt,):分配给关键操作,系统活动中断值,如复位键,关键概念??进程表PCB:包含CPU所需的进程状态数据中断(,线程管理(,Thread Management,),?,?,线程(,Thread,):是为了节省资源而可以在同一个进,程中共享资源的一个执行单位。
多线程(,Multithreading,):通过生成不同指令集(线程),同时执行多个活动的应用程序,线程管理(Thread Management)??线程(Th,进程调度(,Process Scheduling,),?,?,无论是在批处理系统还是分时系统中,用户进程数一,般都多于处理机数、这将导致它们互相争夺处理机另外,系统进程也同样需要使用处理机这就要求进,程调度程序按一定的策略,动态地把处理机分配给处,于就绪队列中的某一个进程,以使之执行软件死锁(,Software deadlock,):,两个进程都在等待系,统资源被释放额导致不能完成他们的活动的情况进程调度(Process Scheduling)??无论是在,进程活动,?,?,早期操作系统中,一个进程挂起,其它所有程序也会挂起,进程隔离:对象封装,共享资源时分复用,命名区分,虚,拟映射,进程活动??早期操作系统中,一个进程挂起,其它所有程序也会挂,关键概念,?,?,?,?,?,?,?,?,?,进程,多程序设计:操作系统交叉执行不止一个进程,多任务处理:操作系统同时执行不止一个任务,协调式多任务,抢占式多任务,进程状态:就绪,运行,阻塞,中断,可屏蔽中断,线程,多线程,软件死锁,关键概念?????????进程多程序设计:操作系统交叉执行不,存储器管理,?,管理目标,?,?,?,为编程人员提供一个抽象层,通过有限的可用存储器提供最高性能,保护操作系统与加载入存储器的应用程序,重新部署,?,?,存储器管理器五项基本功能,?,?,根据需要,在,RAM,和硬盘之间交换内容,限制进程只与分配给它们的存储器段交互,,为存储器段提供访,保护,?,?,问控制,共享,?,当进程需要使用相同的共享存储器段时,使用复杂的控制来确保,完整性和机密性,?,逻辑组织,存储器管理?管理目标???为编程人员提供一个抽象层通过有限的,存储器类型,?,随机存取存储器(,Random access memory,,,RAM,),?,?,可随时写入或读出数据,用于操作系统和应用所执行的读写活动,即通常所说的内,存,?,?,?,?,?,寄存器,,Register,Cache,动态随机储存内存,(Dynamic RAM, DRAM),静态随机储存内存,(Static RAM,,,SRAM),:面积更大,造价更高,,速度更快,由,CPU,直接存取,?,?,关闭电源存放在,DRAM,、寄存器、,Cache,的内容消失,不可,永久保存资料,抖动:读取数据所花时间超过处理数据的时间,存储器类型?随机存取存储器(Random access me,存储器类型,?,只读存储器(,Read only memory,,,ROM,),?,只能读不能写,?,关闭电源内容不消失,可永久保存数据。
而使用,SRAM,进,行存储,需要有电池等设备种类:,?,?,?,?,PROM( programmable ROM),:数据或程序可依使用者的需求来,烧录,程序或数据一经烧录便无法更改EPROM( erasable PROM),:可擦拭可程序规划的,ROM,,旧有的,数据或程序可利用紫外线的照射来加以消除,使用者可以重复使,用该颗,EPROM,,来烧录不同程序的程序或数据EEPROM( electrically erase PROM),:电子式可擦拭可程序规划的,ROM,MASK ROM,:屏蔽式,数据由制造厂商在内存制造过程时写入存储器类型?只读存储器(Read only memory,R,存储器类型,?,高速缓存(,Cache Memory,),?,为了缓和,CPU,与主存储器之间速度的矛盾,在,CPU,和,主存储器之间设置一个缓冲性的高速存储部件,它的,工作速度接近,CPU,的工作速度,但其存储容量比主存,储器小得多高速缓存分为两种,一种是内建在,CPU,中的,L1,快取,,另一种则是在,CPU,之外,称为,L2,快取高速缓存愈大,对计算机执行效率的帮助愈大速度最快、最贵,存储器映射(,Memory Mapping,):逻辑地址引导到特定,的物理地址,缓冲区溢出(,Buffer Overflows,),?,缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的,?,?,存储器类型?高速缓存(Cache Memory)?为了缓和C,虚拟存储器(,Virtual Memory,),?,?,?,?,?,通过使用二级存储器,(,部分硬盘空间,),来扩展内存,(RAM),的容量,对未被执行的程序页进行处理,虚拟存储器属于操作系统中存储管理的内容,因此,,其大部分功能由软件实现。
虚拟存储器是一个逻辑模型,并不是一个实际的物理,存储器虚拟存储器的作用:分隔地址空间;解决主存的容量,问题;程序的重定位,虚拟存储器不仅解决了存储容量和存取速度之间的矛,盾,而且也是管理存储设备的有效方法有了虚拟存,储器,用户无需考虑所编程序在主存中是否放得下或,放在什么位置等问题虚拟存储器(Virtual Memory)?????通过使用,关键概念,?,?,?,?,?,?,?,进程隔离,动态链接库,基础寄存器(起始地址),限制寄存器(终止地址),RAM ROM,高速缓冲存储器,绝对地址,逻辑地址,缓冲区溢出,,ASLR,,,DEP,垃圾收集器,虚拟存储器,关键概念???????进程隔离动态链接库基础寄存器(起始地址,输入输出设备管理,?,输入是把信息送入计算机系统的过程,输出是从计算,机系统送出信息的过程,用户通过输入,/,输出设备与计,算机系统互相通信常用输入设备:键盘、鼠标器、扫描仪,常用输出设备:显示器、打印机、绘图仪,输出,/,输入接口,?,数据要从计算机内部输出时,它会将内部的表示法转,成外围设备看得懂的表示法以利输出反之,若要从,外围设备传数据到计算机内部,它也会将外界的数据,格式转成计算机内部看得懂的表示法。
检验数据的完,整性,输入输出设备管理?输入是把信息送入计算机系统的过程,输出是从,I/O,技术,?,?,可编程,Programmed I/O,?,速度慢,由外部发出请求,请求,CPU,中断或结束正常程序运行,处理中断导致时间消耗,是一种完全由硬件执行,I/O,交换的工作方式速度快,I/O,取得足够信任,,IIO,与存储器直接交互数据,中断驱动,Interrupt-driven I/O,?,?,?,DMA I/O using DMA,?,?,?,映射前,Premapped I/O,?,全映射,Fully mapped I/O,?,不完全信任,I/O,,,IO,设备只与逻辑地址直接交互,I/O技术??可编程Programmed I/O?速度慢由外,CPU,架构,?,保护环,Protection Ring,?,?,?,?,?,一组同心的编号环,环数决定可以访问的层次,越低的环数,表示越高的特权,程序假定执行环数的位置,程序不可以直接访问比自身高的层次,,如需访问,系统调用,(system call),一般使用,4,个保护环:,?,?,?,?,Ring 1,操作系统安全核心,Ring 2,其他操作系统功能,–,设图示控制器,Ring 3,系统应用程序,数据库功能等,Ring 4,应用程序空间,CPU架构?保护环Protection Ring?????一,操作系统架构(,Operating System,Architectures,),单块操作系统架构,分层操作系统架构,操作系统架构(Operating System Archit,操作系统架构,?,?,单片(,Monolithic,),?,所有操作系统进程在内核模式下运行。
所有操作系统进程在内核模式下的分层模型上运行内核,过大,核心操作系统进程运行在内核模式,其余运行在用户模式内核过小,所有操作系统进程在内核模式下运行核心进程运行在微,内核,其他运行在客户端,\,服务器模式分层(,Layered,),?,?,微内核(,Microkernel,),?,?,混合微内核(,Hybrid microkernel,),?,操作系统架构??单片(Monolithic )?所有操作系统,分层操作系统,分层操作系统,微内核操作系统,微内核操作系统,Windows,混合微内核架构,Windows混合微内核架构,主要的操作系统内核架构,主要的操作系统内核架构,虚拟机,虚拟机,虚拟机优势,?,?,?,?,?,?,?,?,多个服务器整合,遗留应用程序运行,运行不可信程序,提供安全的隔离的沙箱,模仿独立计算机网络,多个系统,多种硬件适合,强大的调试和性能监控,超强隔离能力,备份、恢复、迁移更简单,虚拟机优势????????多个服务器整合遗留应用程序运行运行,系统安全体系结构(,System Security,Architecture,),?,?,安全策略(,Security Policy,),安全架构要求(,Security Architecture Requirements,),系统安全体系结构(System Security Archi,安全策略(,Security Policy,),?,指导性纲领,为系统整体和构成它的组件从安全角度提出,根本的目标,是战略工具。
安全策略是一个系统的基础规,范,使系统集成后评估它的基准安全策略(Security Policy)?指导性纲领,为系,安全架构要求(,Security Architecture,Requirements,),?,?,?,?,可信计算基(,Trusted Computing Base,),安全边界(,Security Perimeter,),引用监视器(,Reference Monitor,,,RM,),安全内核(,Security Kernel,),安全架构要求(Security Architecture R,可信计算基(,Trusted Computing Base,),?,?,?,TCB,是计算机系统内保护机制的总体,,,包括硬件、固体、,软件和负责执行安全策略的组合体TCB,由一系列的部件构成,在产品或系统中执行统一,的安全策略TCB,的三个要求,?,?,?,TCB,必须保证其自身在一个域中的执行,防止被外界干扰,或破坏,TCB,所控制的资源必须是已经定义的主体或客体的子集,TCB,必须隔离被保护的资源,以便进行访问控制和审计,?,TCB,维护每个域的保密性和完整性,监视,4,个基本功能,?,?,?,进程激活:,Process activation,执行域的切换:,Execution domain switching,内存保护:,Memory protection,可信计算基(Trusted Computing Base)?,引用监视器(,Reference Monitor,,,RM,),?,?,RM,是一个抽象机的访问控制概念,基于访问控制数,据库协调所有主体对客体的访问,RM,的任务,?,根据访问控制数据库,对主体对客体的访问请求做出是否,允许的裁决,并将该请求记录到审计数据库中。
注意:基,准监视器有动态维护访问控制数据库的能力RM,的特性:,?,?,?,执行主体到对象所有访问的抽象机,必须执行所有访问,能够在修改中被保护,能够恢复正常,,并且总是被调用处理所有主体到客体访问的抽象机,引用监视器(Reference Monitor,RM)??R,安全内核(,Security Kernel,),?,?,?,安全内核是,TCB,中执行引用监视器概念的硬件、固件,和软件元素,理论基础:在一个大的操作系统中,只将相对比较小,的一部分软件负责实施系统安全,并将实施安全的这,部分软件隔离在一个可信的安全核,这个核就称为安,全核需要满足三个原则,?,?,?,完备性:协调所有的访问控制,隔离性:受保护,不允许被修改,可验证性:被验证是正确的,?,?,安全核技术是早期构建安全操作系统最为常用的技术,,几乎可以说是唯一能够实用的技术引用监视器,RM,是概念,抽象的机器,协调所有主体,安全内核(Security Kernel)???安全内核是T,关键概念,?,?,?,?,?,?,虚拟化,Hypervisor:,用来管理模拟环境中的虚拟机的中央程序,安全策略,可信计算基,可信路径:进程之间用来通信的,不能被绕过的可信软件,通道,安全边界,引用监视器,安全内核,多级安全策略,?,?,?,关键概念??????虚拟化Hypervisor:用来管理模拟,安全模型(,Security Models,),?,状态机模型(,State Machine Models,),?,?,?,?,?,?,?,?,?,Bell-LaPadula,模型,Biba,模型,Clark-Wilson,模型,信息流模型(,Information Flow Model,),非干涉模型(,Noninterference Model,),格子模型(,Lattice Model,),Brewer and Nash,模型,Graham-Denning,模型,Harrison-Ruzzo-Ullman,(,HRU,)模型,安全模型(Security Models )?状态机模型(S,安全策略与安全模型,?,安全策略勾勒出目标,宽泛、模糊而抽象,安全模型提供,了实现这些目标应该做什么,不应该做什么,具有实践指,导意义,给出了策略的形式,安全策略与安全模型?安全策略勾勒出目标,宽泛、模糊而抽象,安,状态机模型(,State Machine Models,),?,?,状态机模型描述了一种无论处于何种状态都是安全的,系统,一个状态(,State,)是处于特定时刻系统的一个快照,,如果该状态所有方面都满足安全策略的要求,就称之,为安全的,?,?,?,?,State transition,:状态转换,,许多活动可能会改变系统状态,成为状态迁移(,State,transition,),迁移总是导致新的状态的出现,如果所有的行为都在系统中允许并且不危及系统使之处于,不安全状态,则系统执行一个,——,安全状态机模型:,secure,state model,。
一个安全的状态机模型系统,总是从一个安全状态启动,,并且在所有迁移当中保持安全状态,只允许主体以和安全,策略相一致的安全方式来访问资源,状态机模型(State Machine Models)??状,状态机模型(,State Machine Models,),状态机模型(State Machine Models),Bell-LaPadula,模型,?,?,?,?,1973,年,,David Bell,和,Len LaPadula,提出了第一个正式,的安全模型,该模型基于强制访问控制系统,以敏感,度来划分资源的安全级别将数据划分为多安全级别,与敏感度的系统称之为多级安全系统,为美国国防部多级安全策略形式化而开发,Bell-LaPadula,保密性模型是第一个能够提供分级别数,据机密性保障的安全策略模型,(,多级安全,),特点:,?,?,?,?,信息流安全模型,只对机密性进行处理,运用状态机模型和状态转换的概念,基于政府信息分级,——,无密级、敏感但无密级、机密、秘,密、绝密,Bell-LaPadula 模型????1973年,Davi,Bell-LaPadula,模型安全规则,?,简单安全规则,ss (Simple Security Property ),?,安全级别低的主体不能读安全级别高的客体信息,(No Read,Up),?,?,星规则,* The * (star) security Property,?,安全级别高的主体不能往低级别的客体写,(No write Down),不允许对另一级别进行读取,使用访问控制矩阵来定义说明自由存取控制,内容相关,Content Dependent,上下文相关,Context Dependent,强星规则,Strong * property,?,?,自主安全规则,ds (Discretionary security Property ),?,?,?,Bell-LaPadula 模型安全规则?简单安全规则ss,BLP,模型的缺陷,?,?,?,?,?,?,不能防止隐蔽通道,(covert channels),不针对使用文件共享和服务器的现代信息系统,没有明确定义何谓安全状态转移,(secure state,transition),基于多级安全保护,(multilevel security),而未针对其他策,略类型,不涉及访问控制管理,不保护完整性和可用性,BLP模型的缺陷??????不能防止隐蔽通道(covert,Biba,模型,?,?,?,?,完整性的三个目标:保护数据不被未授权用户更改;,保护数据不被授权用户越权修改,(,未授权更改,),;维持,数据内部和外部的一致性,1977,作为,Bell-Lapadula,的完整性补充而提出,,,用于非军,事行业,Biba,基于一种层次化的完整性级别格子,(hierarchical,lattice of integrity levels),,是一种信息流安全模型。
特点:,?,基于小于或等于关系的偏序的格,?,?,?,最小上限,(,上确界,),,,least upper bound (LUB),最大下限,(,下确界,),,,greatest lower bound (GLB),Lattice = (IC,<= , LUB, GUB),?,数据和用户分级,Biba模型????完整性的三个目标:保护数据不被未授权用户,Biba,模型安全规则,?,?,*,完整性公理:主题不能向位于较高完整性级别的客体写数,据,不能向上写,简单完整性公理:主题不能从较低完整性级别读取数据,,不能向下读,调用属性:主体不能请求完整性级别更高的主体服务,信息来源,可信数据,?,?,Biba模型安全规则??*完整性公理:主题不能向位于较高完整,Clark-Wilson,模型,?,在,1987,年被提出的,?,?,?,经常应用在银行应用中以保证数据完整性,实现基于成形的事务处理机制,要求完整性标记,受限数据条目,Constrained Data Item (CDI),完整性检查程序,Integrity Verification Procedure (IVP),转换程序,Transformation Procedure (TP),自由数据条目,Unconstrained Data Item,?,定义:,?,?,?,?,?,Clark-Wilson,需要,integrity label,用于确定一个数据项的,完整级别,并在,TP,后验证其完整性是否维持,采用了,实现内,/,外一致性的机制,,separation of duty,,mandatory integrity policy,Clark-Wilson模型?在1987年被提出的???经常,Clark-Wilson,模型,?,?,?,完整性的模型,没有像,Biba,那样使用,lattice,结构,而是使用,Subject/Program/Object,这样的三方关系(,triple,),,Subject,并不能直接访问,Object,,只能通过,Program,来,访问,两个原则:,?,?,well-formed transactions,:采用了,program,的形式,主体只,能通过,program,访问客体,每个恰当设计的,program,都有特,定的限制规则,这就有效限制了主体的能力,separation of duties,:将关键功能分成两个或多个部分,必,须由不同的主体去完成各个部分,可防止已授权用户进行,未授权的修改,?,要求具有审计能力(,Auditing,),Clark-Wilson模型???完整性的模型没有像Biba,信息流模型(,Information Flow Model,),?,?,?,?,?,基于状态机,由对象、状态转换以及格,(,流策略,),状态,组成,,,对象可以是用户,每个对象都被分配一个安全等,级和值,Bell-LaPadula,和,Biba,模型都是信息流模型,前者要防,止信息从高安全等级流向低安全等级,后者要防止信,息从低安全等级流向高安全等级,信息流模型并不是只处理信息流向,也可以处理流类,型,信息流模型用于防止未授权的、不安全的或者受到限,制的信息流,信息流可以是同一级别主体与客体之间,的,也可以是不同级别间的,信息流模型允许所有授权信息流,无论是否在同一级,别,;,信息流模型防止所有未授权的信息流,无论是否,信息流模型(Information Flow Model)?,隐蔽信道(,Covert Channels,),?,?,隐蔽通道是一种让一个实体以未授权方式接收信息。
条件,?,在产品,开发过程中不当监督,?,在软件中实施不当的访问控制,?,两个实体之间未适当地控制共享,资源,?,隐蔽通道有两种类型:,?,存储:,?,?,存储隐蔽通道,进程能够通过系统的一些类型的存储空间通信木马),通过创建文件一个进程通过调整其使用系统资源的信息转发到另一个进程中继,续传送数据计时,?,隐蔽信道(Covert Channels)??隐蔽通道是一种,非干涉模型(,Noninterference Model,),?,?,?,?,?,基于信息流模型,非干涉模型并不关心信息流,而是关心影响系统状态,或者其他主体活动的某个主体的活动,确保在较高安全级别发生的任何活动不会影响,或者,干涉在较低安全级别发生的活动如果在较高安全级,内的一个实体执行一项操作,那么它不能改变在较低,安全级内实体的状态,如果一个处于较低安全级的实体感受到了由处于较高,安全级内的一个实体所引发的某种活动,那么该实体,可能能够推断出较高级别的信息,引发信息泄漏,基本原理为,一组用户,(A),使用命令,(C),,不被用户组,(B)(,使用命令,D),干扰,可以表达成,A, C:| B, D,,同样,,使用命令,C,的组,A,的行为不能被使用命令,D,的组,B,看到,非干涉模型(Noninterference Model)??,格子模型(,Lattice Model,),?,?,?,?,Lattice,模型通过划分安全边界对,BLP,模型进行了扩充,,它将用户和资源进行分类,并允许它们之间交换信息,,这是多边安全体系的基础。
多边安全的焦点是在不同的安全集束(部门,组织等),间控制信息的流动,而不仅是垂直检验其敏感级别建立多边安全的基础是为分属不同安全集束的主体划,分安全等级,同样在不同安全集束中的客体也必须进,行安全等级划分,一个主体可同时从属于多个安全集,束,而一个客体仅能位于一个安全集束在执行访问控制功能时,,lattice,模型本质上同,BLP,模型,是相同的,而,lattice,模型更注重形成,,安全集束,,BLP,模型中的,,上读下写,,原则在此仍然适用,但前提条件,必须是各对象位于相同的安全集束中主体和客体位,格子模型(Lattice Model)????Lattice,Brewer and Nash Model,?,?,?,?,Brew and Nash: Chinese Wall,Chinese Wall,模型是应用在多边安全系统中的安全模,型(也就是多个组织间的访问控制系统),应用在可,能存在利益冲突的组织中最初是为投资银行设计的,,但也可应用在其它相似的场合Chinese Wall,安全策略的基础是客户访问的信息不会,与目前他们可支配的信息产生冲突在投资银行中,,一个银行会同时拥有多个互为竞争者的客户,一个银,行家可能为一个客户工作,但他可以访问所有客户的,信息。
因此,应当制止该银行家访问其它客户的数据Chinese Wall,安全模型的两个主要属性:,?,?,用户必须选择一个他可以访问的区域,用户必须自动拒绝来自其它与用户所选区域的利益冲突区,Brewer and Nash Model????Brew,Graham-Denning,模型,?,?,?,?,?,?,?,?,如何安全地创建一个客体,如何安全地创建一个主体,如何安全地删除客体,如何安全地删除主体,如何安全地提供读访问权,如何安全地提供准许接入权,如何安全地提供删除访问权限,如何安全地提供转移访问权限,Graham-Denning模型????????如何安全地创,Harrison-Ruzzo-Ullman,(,HRU,)模型,?,?,?,主体的访问权限以及这些权限的完整性主体只能对客体执行一组有限的操作,HRU,被软件设计人员用来确保没有引入意外脆弱性,从而,可以实现访问控制目标,Harrison-Ruzzo-Ullman(HRU)模型??,操作安全模式(,Security Modes of,Operation,),访问系统上所有信息的适当许可,专用安全模式,访问系统上所有信息的正式访问批准,Dedicated Security,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,Mode,任何用户都能够访问所有数据,系统高安全模式,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,根据他们的,“,知其所需,”,,所有用户都能访问一些数据,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,根据他们的,“,知其所需,”,和正式批准,,,所有用户都能访问一些数据,System High-,Security Mode,分隔安全模式,Compartmented,Security Mode,访问系统上所有信息的适当许可,多级安全模式,访问系统上所有信息的正式访问批准,Multilevel Security,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,Mode,根据他们的,“,知其所需,”,、许可和正式批准,,,所有用户都能访问一些数据,操作安全模式(Security Modes of Opera,信任与保证,?,TCSEC,中,较低保证级别评定工作会考察系统的保护机制和,测试结果,较高保证级别评定工作更多考查系统的设计、,规范、开发过程、支持文档以及测试结果,信任与保证?TCSEC中,较低保证级别评定工作会考察系统的保,系统评估方法(,Systems Evaluation,Methods,),ITSEC,1991,CTCPEC,1993,CC 1.0,1996,CC 2.0,1998,TCSEC,1985,FC,1992,CD,1997,FCD,1998,GB 17859,1999,ISO15408,1999,GB/T 18336,2001,ISO15408,1999,GIB 2646,1996,GB/T 18336,2008,系统评估方法(Systems Evaluation Meth,橘皮书(,Orange Book,),?,?,?,?,Trusted Computer System Evaluation Criteria,(,TCSEC,),是一个评估,OS,、应用的、系统的规范,,评价不同系统的尺度,检查系统的功能性、有效性和,保证程度,提供多种级别。
1970,年由美国国防科学委员会提出1985,年公布主要为军用标准,延用至民用TCSEC2000,年被,Common Criteria,所替代,是第一个,涉及计算机系统的安全规范橘皮书(Orange Book)????Trusted Co,TCSEC,等级,?,?,D,—,最小保护,(minimal protection),C,—,自主保护,(discretionary protection),?,?,C1:,选择安全性保护,,Discretionary Security Protection,C2:,受约束的访问保护,,Controlled Access Protection,B1:,标签式安全保护,,Labeled Security,B2:,结构化保护,,Structure Protection,B3:,安全域,,Security Domain,A1:,验证设计,,Verified Design,?,B,—,强制保护,(mandatory protection),?,?,?,?,A,—,校验保护,(verified protection),?,TCSEC等级??D —最小保护(minimal prote,类别,A,B3,名称,验证设计,(,verity design,),安全域,(security domain),结构防护,(,structured,protection,),标号安全防护,(,label security,protection,),受控的访问环境,选择性安全防护,(,discretionary,security,protection,),最小保护,主要特征,安全要求,形式化的最高级描述和验证,形,设计必须从数学角度上经过验证,,式化的隐密通道分析,非形式,而且必须进行秘密能道和可信任分,化的代码一致性证明,布的分析。
安全内核,高抗渗透能力,设计系统时必须有一个合理的总,体设计方案,面向安全的体系结,构,遵循最小授权原则,较好的,渗透能力,访问控制应对所有的,主体和客体提供保护,对系统进,行隐蔽通道分析,除了,C2,级别的安全需求外,增加,安全策略模型,数据标号(安全,和属性),存取控制以用户为单位广泛的审,计,有选择的存取控制,用户与数据,分离,数据的保护以用户组为单,位,用户工作站或终端能过可信任途径,连接网络系统,计算机系统中所有对象都加标签,,而且给设备(如工作站、终端和磁,盘驱动器)分配安全级别B2,B1,C2,在不同级别对敏感信息提供更高级,的保护,让每个对象都有有一个敏,感标签,加入身份认证级别,系统对发生的,事件加以审计并写入日志,硬件有一定的安全保护(如硬件有,带锁装置),用户在使用计算机系,统前必须先登录允许系统管理员,为一些程序或数据设立访问许可权,限不要求用户进行登记(要求用户提,供用户名)或使用密码(要求用户,提供惟一的字符串来进行访问),C1,D,保护措施很小,没有安全功能,类别AB3名称验证设计(verity design)安全域(,橘皮书和彩虹系列(,The Orange Book and,the Rainbow Series,),?,橘皮书(,Orange Book,),?,专门针对操作系统,?,主要着眼于安全的一个属性(机密性),?,适用于政府分类,?,评级数量较少,红皮书(,Red,Book,),?,单个系统的安全问题,?,解决网络和网络组件的安全评估问题,主要针对独立局域,网和广域网系统,?,涉及通信完整性、防止拒绝服务、泄露保护,?,橘皮书和彩虹系列(The Orange Book and t,信息技术安全评估标准(,Information,Technology Security,),?,Information Technology Security Evaluation Criteria,(,ITSEC,),?,?,?,?,?,欧洲多国安全评价方法的综合产物,军用,政府用和商用。
以超越,TCSEC,为目的,将安全概念分为功能与功能评估两,部分首次提出了信息安全的保密性、完整性、可用性的概念,评估对象,TOE(Target of Evaluation ),?,产品和系统,安全增强机制,安全策略,安全性目标,security target,?,?,信息技术安全评估标准(Information Technol,通用标准(,Common Criteria,),?,?,?,定义了作为评估信息技术产品和系统安全性的基础准,则,全面地考虑了与信息技术安全性有关的所有因素,,与,PDR(,防护、检听、反应,),模型和现代动态安全概念,相符合的,强调安全的假设、威胁的、安全策略等安,全需求的针对性,充分突出保护轮廓,强调把安全需求划分为安全功能需求和安全保证需求,两个独立的部分,根据安全保证需求定义安全产品的,安全等级,定义了,7,个评估保证级别,(EAL),,每一级均需评估,7,个功,能类,通用标准(Common Criteria )???定义了作为,通用标准(,Common Criteria,),?,CC,(,ISO/IEC 15408-X,)分为三个部分:,?,?,?,第一部分:介绍和一般模型,——,一般性概念,,IT,安全评估,的原则,高级编写规范,对目标受众的有用价值。
对消费,者来说是不错的背景介绍和参考第二部分:安全功能需求,——,功能性需求,组件,评估目,标,(Target of Evaluation,,,TOE),;对消费者来说是不错的指,导和参考,可以用来阐述对安全功能的需求第三部分:安全保障,——,对,TOE,的保障需求,(assurance,requirement),,对保护轮廓,(Protection Profile),和安全目标,(Security Target),的评估标准指导消费者提出相应的保障,等级,通用标准(Common Criteria )?CC(ISO/,通用标准概念,?,?,?,?,?,?,保护轮廓(,Protection profile,,,PP,)满足特定用户需求、,与一类,TOE,实现无关的一组安全要求评估对象(,Target of evaluation,,,TOE,),作为评估主体的,IT,产品及系统以及相关的管理员和用户指南文档安全目标(,Security target,),作为指定的,TOE,评估基础的,一组安全要求和规范安全功能(,Security functional requirements,),规范,IT,产,品和系统的安全行为,应做的事,安全保证(,Security assurance requirements,),对功能产,生信心的方法,包,-,功能保证级(,Packages,—,EALs,)把功能和保证要求,封装起来,以便今后使用。
这部分描述必须得到满足,,以实现特定的,EAL,等级通用标准概念??????保护轮廓(Protection pr,评估标准间的比较,CC,标准,美国,TCSEC,D:,最小保护,--,C1:,任意安全保护,C2:,控制存取保护,B1:,标识安全保护,B2:,结构保护,B3:,安全域,A1:,验证设计,欧洲,ITSEC,E0,--,F1+E1,F2+E2,F3+E3,F4+E4,F5+E5,F6+E6,加拿大,CTCPE,C,T0,T1,T2,T3,T4,T5,T6,T7,1:,用户自主保护级,2:,系统审计保护级,3:,安全标记保护级,4:,结构化保护级,5:,访问验证保护级,中国,GB17859-1999,--,EAL1-,功能测试,EAL2-,结构测试,EAL3-,方法测试和检验,EAL4-,方法设计,测试和评审,EAL5-,半正式设计和测试,EAL6-,半正式验证的设计和测试,EAL7-,正式验证的设计和测试,评估标准间的比较CC标准美国TCSECD:最小保护--C1:,认证与认可(,Certification vs.,Accreditation,),?,?,认证,, Certification,?,评估技术和非技术特征以确定设计是否符合安全要求,认证权威,DAA (Designated Approving Authority ),来自于指定的认证权威的正式声明,表明系统已被认可在,安全状态下运行,认可,, Accreditation,?,?,认证与认可(Certification vs. Accred,一些威胁的评估(,A Few Threats to,Review,),?,?,维护钩子(,Maintenance Hooks,),检验时间,/,使用时间攻击,(Time-of-Check/Time-of-Use,Attacks,,,TOC/TOU),一些威胁的评估(A Few Threats to Revie,维护钩子(,Maintenance Hooks,),?,?,软件内开发人员才知道和能够调用的指令,,,使他们能够,方便的访问代码,.,对策,?,?,?,使用主机入侵检测系统监视通过后门进入系统的供给者,使用文件系统加密来保护敏感信息,实现审计,,,以检测任何类型的后门使用,维护钩子(Maintenance Hooks)??软件内开发,检验时间,/,使用时间攻击,(Time-of-,Check/Time-of-Use Attacks,,,TOC/TOU),?,?,也称异步攻击。
攻击者利用系统进程请求和执行任务,的方法发动攻击对策,?,应用“软件锁”,在执行“检查”任务时锁定要使用的项,检验时间/使用时间攻击(Ti。