CISP信息安全模型讲稿.pptx

信息安全模型 中国信息安全产品测评认证中心 徐 长 醒 信息安全模型 1 安全模型概念 2 访问控制模型 3 信息流模型 4 完整性模型 5 信息安全模型 1 安全模型概念 安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。 分类1：访问控制模型，信息流模型。 分类2：机密性要求，完整性，可用性 DoS，等 现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：机密性)，未给出实现要求的任何相关机制和方法。 1.1 安全模型 安全目标：机密性，完整性，DoS，…… 控制目标：保障（TCB Trust Compute Base, Reference Monitor ），安全政策（Policy DAC MAC），审计 安全模型的形式化方法： ——状态机，状态转换，不变量 ——模块化，抽象数据类型（面向对象） 1.2 安全模型作用 设计阶段 实现阶段 检查阶段（Review） 维护阶段 1.3 安全模型抽象过程 Step 1: Identify Requirements on the External Interface.(input,output,attribute.) Step 2: Identify Internal Requirements Step 3: Design Rules of Operation for Policy Enforcement Step 4: Determine What is Already Known. Step 5: Demonstrate (论证)Consistency and Correctness Step 6: Demonstrate Relevance（适当的） 1.4 Overview the “Chinese Wall” Policy is a mandatory access control policy for stock market analysts. This organizational policy is legally binding in the United Kingdom stock exchange. 2 访问控制模型 2.1 自主访问控制（Discretionary Access Control-- DAC）机密性与完整性 木马程序 2.2 强制访问控制（Mandatory Access Control-- MAC） 机密性 隐通道 2.3 基于角色访问控制(RBAC) 管理方式 2.1 自主访问控制 特点： 根据主体的身份和授权来决定访问模式。 缺点： 信息在移动过程中，其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。 状态机 Lampson 模型 模型的结构被抽象为状态机， 状态三元组( S, O, M )， —— S 访问主体集， —— O 为访问客体集（可包含S的子集）， —— M 为访问矩阵，矩阵单元记为M[s,o]，表示 主体s对客体o的访问权限。所有的访问权限构成一有限集A。 ——状态变迁通过改变访问矩阵M实现。 该安全模型尽管简单，但在计算机安全研究史上具有较大和较长的影响，Harrison、Ruzzo和Ullman提出HRU安全模型以及Bell LaPadula提出BLP安全模型均基于此。 HRU模型 (1) 系统请求的形式 if a1 in M [s1 ; o1 ] and a2 in M [s2 ; o2 ] and ... am in M [sm ; om ] then op1 ... opn HRU模型 (2) 系统请求分为条件和操作两部分，其中ai ∈A，并且opi属于下列六种元操作之一（元操作的语义如其名称示意）： enter a into (s, o), （矩阵） delete a from (s, o), create subject s , （主体） destroy subject s , create object o , （客体） destroy object o 。 HRU模型 (3) 系统的安全性定义： 若存在一个系统，其初始状态为Q0，访问权限为a，当从状态Q0开始执行时，如果不存在将访问矩阵单元不包含的访问权限写入矩阵单元的系统请求，那么我们说Q0对权限a而言是安全的。 系统安全复杂性基本定理： 对于每个系统请求仅含一个操作的单操作请求系统（mono-operational system-MOS），系