第 3篇 信息系统安全体系结构与评估标准信息系统的安全是一个系统工程随着信息系统的广泛建立和各种网络的相互联通,也随着安全对抗技术的不断发展,人们开始发现,单纯地从安全功能及技术组合的层次上孤立地、个别地解决系统的安全问题,常常会事倍功半,顾此失彼,处理系统性的问题,必须从系统的层面上解决,即必须从体系结构的层面上全面地考虑问题。于是提出了安全管理问题。
对安全的要求不应当是是绝对的,而应当是是有效的。
有效性的评估依据是标准。
因此,信息系统安全体系和安全评估标准就成为信息系统安全管理的核心和最基本的内容。
第 9章 信息系统安全体系结构
9.1 典型信息系统的安全需求分析
9.2 信息系统安全策略
9.3 访问控制
9.4 开放系统互联安全体系结构
9.5 PPDR安全管理模型
习 题信息系统的安全体系结构研究,站在系统全局的角度,
将普遍性安全体系原理与信息系统自身的实际相结合,形成满足信息系统安全需求的安全体系结构。它涉及系统的安全需求、安全策略、安全服务、安全机制和安全模型等多个方面。
9.1 典型信息系统的安全需求分析
9.1.1 金融信息系统安全需求分析
9.1.2 电子商务系统安全需求分析
9.1.3 电子政务系统安全需求分析信息系统的安全需求分析是安全对策的依据。每一个信息系统所采取的任何安全对策,都来自对系统安全需求的分析。安全需求分析一般包括:安全风险分析和安全需求内容分析两方面的内容。安全需求是以安全风险为前提的。
不用系统具有不同的安全风险和安全需求。下面引用方勇和刘嘉勇在,信息系统安全导轮,中给出的三个典型系统的安全需求分析实例,供分析其他系统安全需求时参考。
9.1.1 金融信息系统安全需求分析
1.安全风险分析金融信息系统的普遍性安全风险包括:
( 1)非法用户通过网络进入系统;
( 2)通过窃取或者修改数据对金融机构的电子诈骗;
( 3)与系统有关人员勾结,通过非法修改程序与操作侵害系统,以谋私利;
2,安全需求基本原则金融信息系统的安全需求原则是:
( 1)授权原则所有接触信息系统的人员都必须获得授权。
·实行最小化授权;
·阻止越权操作行为;
·每种资源实行使用权限管理;
·阻止越权使用资源行为;
·确定每一授权用户的职责范围。
( 2)确认原则
·采集数据的合法性;
· 输入数据的有效性;
·业务与账务处理的正确性;
·传送存储数据的安全性。
( 3)跟踪原则
·设置完善的跟踪日志,进行有效跟踪;
·监视和发现系统故障差错以及恶意入侵行为;
·防止非法使用信息跟踪工具 。
( 4) 效能投资相容原则确定与金融信息系统价值相适应的安全需求,以最小的投资获得最大的安全。
3,安全需求内容
( 1) 传送数据应加密保护;
( 2) 加密保护应有等级之分;
( 3) 对联机柜台系统,联机清算系统和电子资金转账系统的密码应互相分离;
( 4) 对个人识别号 ( PIN) 应加密保护;
( 5) 对银行卡 ( CARD) 应加密保护;
( 6) 对 PIN,CARD要有身份鉴别;
( 7)丢失或盗来的银行凭证(如支票、存折、信用卡)
有防诈骗技术措施;
( 8)对伪造的银行凭证有防诈骗措施;
( 9) 对数据,应用进程应有标记,禁止符合安全策略的访问和操作;
( 10) 对入网者有身份验证,防止非法入网;
( 11) 对传送数据必须有强度合适的完整性和源鉴别保护措施;
( 12) 有强度合适的访问控制,访问控制策略不得不允许授权人以外的更动,变更访问控制策略必须持二人以上持卡串行操作;
( 13) 有强度合适的密钥分配与密钥管理措施;
( 14)金融信息系统内联网必须与公众的 Internet隔离,
也要与其他内联网隔离。
9.1.2 电子商务系统安全需求分析电子商务系统指参与商业活动的所有个人、公司、集团、商店集团等组织的网络交易和结算系统。其中的交易和结算行为与金融信息系统有关。
1,普遍性安全风险分析
( 1)非法用户通过网络进入系统;
( 2)窃取或修改数据进行电子犯罪;
( 3)与系统人员勾结、联合进行诈骗;
( 4)假冒他人行骗;
( 5)窃用信用卡或购物卡;
( 6)篡改商务信息,制造混乱;
( 7)抵赖已发生的交易或交易的内容。
2,安全需求的内容
( 1)完整性保护:使通过 Internet了解本部门信息的客户明白这些信息是完整的,没有受到修改。
( 2)源鉴别服务:对来自 Internet上的信息源进行鉴别,确认本部门提供的信息是真实可靠的,不是假冒和伪造的。
( 3)数字签名:当本部门与客户发生网上交易,在合同的签定、货物的交割、客户付款时需双方进行数字签名,以保证以上过程的有效性、完整性和真实性。
( 4)抗抵赖服务:当交易发生时,在订立合同、交货、收货、付款和收款全过程中,交易双方无法否认已发生过的行为和行为内容。
( 5)身份鉴别:对访问者身份进行鉴别以确认其成员资格;对信息存取实行等级权限管理。
( 6)访问控制:建立基于身份或规则的访问控制机制,防止非法用户进入系统。
( 7)加密:对机密或敏感的商务信息 加密存储和加密传输,并有适度的强度等级和相适应的密钥管理体制。
9.1.3 电子政务系统安全需求分析电子政务是政府在其管理和服务职能中运用现代信息和通信技术,实现政府组织结构和工作流程的重组优化;
超越时间、空间和部门分隔的制约,全方位地向社会提供优质、规范、透明的服务,是政府管理理念和管理手段的变革。它主要包含两大部分:
· 内部政务办公系统;
· 对外服务部分。
1,电子政务的普遍性安全风险分析
( 1)非法用户通过公共网络进入内部网内各级局域网系统,获取资源或支配资源;
( 2)篡改向社会公布的政务信息以制造混乱;
( 3)插入和修改传输中的数据;
( 4)窃听和截获传输数据;
( 5)假冒管理者和信息主体发布虚假信息。
2,与 Internet连接的安全需求
( 1)完整性保护:必须保证内部信息和向社会公开发布的国家、法令、布告、通知以及其他需要外界广泛了解的信息的完整性。任何形式的信息创建、插入、删除和篡改都是不被允许的。
( 2)源鉴别服务:对信息源进行鉴别以确认消息来源是真实可信的。
( 3)用户鉴别:政府部门的公开信息是内外有别的,
因此要按信息级别和类别对访问用户的身份合法性进行鉴别。
( 4)访问控制:访问控制包括对进入查询系统的控制以及访问的权限管理。
3,与内部网连接的安全需求
( 1)身份鉴别:鉴别操作实体的部门、级别及权限属性。
( 2)访问控制
·阻止系统外(非法)用户访问和进入系统;
·阻止系统内(合法)用户进行未授权的访问和操作;
·阻止越权操作;
·对越权者进行审计跟踪。
( 3)加密:按照规定对涉密信息进行加密存储和传输。
( 4)建立合适的密钥管理体系。
9.2 信息系统安全策略
9.2.1 基于网络的安全策略
9.2.2 基于主机的安全策略
9.2.3 基于设施的安全策略
9.2.4 基于数据管理的安全策略
9.2.5 信息系统开发、运行和维护中的安全策略
9.2.6 基于安全事件的安全策略
9.2.7 与开放性网络连接的信息系统应追加的安全措施信息系统是复杂的,信息系统的安全也是复杂的。可以说,有多么复杂的信息系统,就有多么复杂的信息系统安全。为此,在制定安全措施时必须考虑一套科学的、系统的安全策略。
信息安全策略 制定应以信息系统为对象,根据风险分析确立安全方针,并依照这个方针来制定相应的策略。
下面是中国信息安全产品评测认证中心提出的系统一般采取的安全策略,供安全管理人员制定系统安全策略时参考。
具体制定系统的安全策略时,可以根据风险分析,从中选择必要的内容,同时根据需求追加一部分内容。
9.2.1 基于网络的安全策略管理者为防止对网络的非法访问或非授权用户使用的情况发生,应采取以下策略。
1,监视日志
( 1)读取日志,日志的内容至少可确定访问者的情况;
( 2)确保日志本身的安全;
( 3)对日志进行定期检查;
( 4)应将日志保存到下次检查时。
2,对不正当访问的检测功能当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。
( 1)设置对网络及主机等工作状态的监控功能;
( 2)若利用终端进行访问,则对该终端设置指定功能;
( 3)设置发现异常情况时能够使网络、主机等停止工作的功能。
3,口令对依据口令进行认证的网络应采取以下策略:
( 1)用户必须设定口令,并努力做到保密;
( 2)若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
( 3)指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
( 4)限制口令的输入次数,采取措施使他人难以推测口令;
( 5)用户一旦忘记口令,就提供口令指示,确认后,
口令恢复;
( 6)对口令文本采取加密方法,努力做到保密;
( 7)在网络访问登录时,进行身份识别和认证;
( 8)对于认证方法,应按照信息系统的安全需求进行选择;
( 9)设定可以确认前次登录日期与时间的功能。
4,用户身份识别(用户 ID)管理
( 1)对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户 ID予以注销;
( 2)对长期未进行登记的用户以书面形式予以通知。
5,加密
( 1)进行通信时根据需要对数据实行加密;
( 2)要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
6,数据交换
( 1)在进行数据交换之前,对欲进行通信的对象进行必要的认证;
( 2)以数字签名等形式确认数据的完整性;
( 3)设定能够证明数据发出和接收以及可以防止欺骗的功能;
( 4)在前 3步利用加密操作的情况下,对用户的密钥进行集中管理时,要寻求妥善的管理方法。
7,灾害策略为防止因灾害、事故造成线路中断,有必要做成热备份线路。
9.2.2 基于主机的安全策略管理者为防止发生对主机非法访问或未授权用户使用等情况,应采取以下策略。
1,监视日志
( 1)读取日志,日志的内容至少可确定访问者的情况;
( 2)确保日志本身的安全;
( 3)对日志进行定期检查;
( 4)应将日志保存到下次检查时;
( 5)具备检测不正当访问的功能;
( 6)设置出现不正当访问时,能够将其查出并通知风险管理者的功能。
2,口令对依据口令进行认证的主机等应采取以下策略:
( 1)用户必须设定口令,并努力做到保密;
( 2)若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
( 3)指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
( 4)限制口令的输入次数,采取措施使他人难以推测口令;
( 5)用户一旦忘记口令,就提供口令指示,确认后,
口令恢复;
( 6)对口令文本采取加密方法,努力做到保密。
3,对主机的访问
( 1)在记录日志时,进行识别和认证;
( 2)对于认证方法,按照信息系统所需的安全要求进行选择;
( 3)设置可以确认前次日志记录日期的功能;
( 4)根据安全方针,除了对主机的访问加以控制外,
对数据库的数据、移动存储设备也应分别进行控制;
( 5)为确保访问控制等功能的安全,有必要选择具有相应功能的操作系统。
4,安全漏洞
( 1)采用专用软件,对是否存在安全漏洞进行检测;
( 2)发现安全漏洞时,要采取措施将其清除。
5,加密
( 1)在保管数据时,要根据需要对数据等实行加密;
( 2)要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
6,对主机的管理
( 1)应采取措施使各装置不易拆卸、安装或搬运;
( 2)要采取措施,避免显示屏上的信息让用户以外的人直接得到或易于发现。
7,预防灾害策略
( 1)根据需要将装置做成热备份的,并设置替代功能;
( 2)设置自动恢复功能。
9.2.3 基于设施的安全策略管理者为了防止重要的计算机主机系统设施不受外部人员的侵入或遭受灾害,应采取以下办法:
1,授予资格
( 1)建立进入设施的资格(以下称资格);
( 2)资格授予最小范围的必需者,并限定资格的有效时间;
( 3)资格仅授予个人;
( 4)授予资格时,要注明可能进入的设施范围及进入设施的目的。
2,建立身份标识
( 1)对拥有资格的人员发给记有以下事项的身份标识和 IC卡等(以下称身份证);
·资格的有效期;
·可进入的设施范围及进入的目的;
·照片等个人识别信息。
( 2)制作标识的材料应采用不易伪造的材料,另外要严格管理标识原件(指存档的),分之丢失。
( 3)有资格的人员标识遗失或损坏时,应立即报告安全总负责人。
( 4)当按照( 3)项报告后,即宣布该标识无效。
3,设施出入管理
( 1)为获准进入设施,要提交身份标识确认资格;
( 2)限定允许出入设施的期限;
( 3)将允许进入人员的姓名、准许有效期限、可进入的设施范围、进入目的以及进入设施的许可(以下称许可)
等记录下来并妥善保存;
( 4)对允许进入的人员发给徽章等进入设施的标志,
并将该标志佩带在明显的位置;
( 5)进入设施的标志应按照身份标识中的( 2) ~( 4)
项要求执行;
( 6)在建筑物或计算机房的出入口处查验是否具有资格和许可;
( 7)当从设施中般出 /入物资时,都应对该物资和搬运工作进行查验;
( 8)物资搬运出入时,应记录负责人的姓名、物资名称、数量、搬运出 /入时间等,并保存。
( 9)保安人员负责出入管理。
4,防范措施
( 1)限定设施出 /入口的数量,设置进行身份确认的措施;
( 2)在设施内装设报警和防范摄像装置,以便在发现侵入时采取必要的防范措施;
( 3)在建筑物、机房及外设间、配电室、空调室、主配电室( MDF)、中间配电室( IDF)、数据保存室等的入口处设置报警装置,以便在发现侵入时采取必要的防范措施;
( 4)让保安人员在设施内外进行巡视。
5,灭害策略
( 1)设施的地点应尽可能选在自然灾害较少的地方;
( 2)建筑物应选择抗震、防火结构;
( 3)各种设备都应采取措施防止因地震所导致的移动、
翻倒或震动;
( 4)内装修应使用耐燃材料,采取防火措施;
( 5)对电源设备要采取防止停电措施;
( 6)对空气调节装置要采取防火和防水措施,使用水冷 /热式空调设备时要采取防水的措施。
9.2.4 基于数据管理的安全策略
1,数据管理
( 1)当重要数据的日志不再使用时,应先将数据清除,
在将存储介质破坏,随后立即将该记录文件销毁;
( 2)对记录有重要数据的记录文件应采取措施,做好保管场所携带出入的管理,将数据用密码保护;
( 3)对移动存储介质,根据需要应采取数据加密或物理方法禁止写入等措施。
2,数据备份应定期或尽可能频繁地进行备份。备份介质应制定妥善的保存办法、保存期限,与原介质在不同地方保管。
3,审计
( 1)应从信息系统的安全性、可信度、保全性和预防犯罪的角度进行审计;
( 2)制定审计的方法并制成手册;
( 3)有计划、定期地进行审计;但若有重大事故发生或认为有危险发生时,应随时进行审计;
( 4)提交审计报告;
( 5)安全总负责人应根据审计结果迅速采取必要的措施。
9.2.5 信息系统开发、运行和维护中的安全策略
1,开发中的安全策略
( 1)采取措施防止将基础数据泄露给从事开发外的其他人员;
( 2)制定专门的系统设计文档;
( 3)制定专门的运行和维护手册;
( 4)运行手册中应制定出危机范围和风险策略。
2,运行中的安全策略
( 1)根据手册操作;
( 2)记录运行情况日志;
3,维护中的安全策略
( 1)根据手册操作;
( 2)记录维护情况。
9.2.6 基于安全事件的安全策略管理者为在发生犯罪事件时能确保与有关部门取得联系,为危机进行切实应对,从而确保安全,应采取以下策略。
1,发现攻击时应采取的管理措施
( 1)当发现对用户等进行攻击、事故或侵害其他信息系统安全的行为或事件(以下简称攻击)时,有义务立即向危机管理负责人报告;
( 2)应将受到攻击的对象、非法访问的结果、出入时的日志以及其后审计或调查所需的信息等,作为发现攻击行为的状态保存下来;
( 3)及时想相关部门通报;
( 4)发现非法访问行为且需要得到相关部门援助时,
提出申请,待相关部门调查结束,在进行系统恢复时,应将操作过程记录下来。
2,组织体制为明确责任和权限应建立以下体制:
( 1)日常事务体制,设立专职的安全总负责人和审计负责人;
( 2)风险管理体制,设专职的风险管理责任人、风险管理设备执行人员和其他责任人。
3,教育及培训
( 1)将风险发生时的防范措施制成手册发给用户并进行定期训练;
( 2)让用户了解风险对社会带来较大的危害、从而提高安全意识;
( 3)对用户策略实施情况进行审计,对措施不完备的地方加以改进。
9.2.7 与开放性网络连接的信息系统应追加的安全措施对于信息系统来说,除了前面所述安全策略之外,从预防非法访问、计算机病毒侵入的角度来看,与 Internet
等开放性网络连接,还应追加下列安全措施。
1,一般措施网络系统考虑通过开放性网络引入的不正当访问和恶意程序侵入,应当追加如下措施。
( 1)与开放性网络的连接应限定在最小范围的功能、
线路和主机;
( 2)与开放性网络连接时,应采取措施预防对信息系统进行不正当的访问;
( 3)利用防火墙时,应设定适当的条件;
( 4)使用计算机系统时,应采取一定的安全措施,以确保该信息系统的安全;
( 5)关于网络结构等重要信息除非必要时,不得公开。
2,监视措施应当设置对线路负荷状况的监视功能。发现异常情况时,应根据需要使之与相连接的开放性网络断开。
3,安全事件应对措施在确保攻击发生时能与相关部门取得联系,对危机进行准确应对的同时,还应采取如下措施。
( 1)与相关机构合作,把握受侵害的情况,采取措施,
防止侵害的扩大;
( 2)对攻击进行分析,查明原因,与相关机构合作采取措施,防止攻击再次发生;
( 3)限定用户,即尽可能将可通过开放性网络进行访问的用户(数)加以限制;
( 4)信息收集,即平时要注意收集通过开放性网络进行非法访问的信息。
9.3 访问控制
9.3.1 基本概念
9.3.2 访问控制结构
9.3.3,访问控制实施策略访问控制( Access Control)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说,就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者,但并非身份合法就什么都可以做,还要根据不同的访问者,规定他们分别可以访问哪些资源,以及对这些可以访问的资源可以用什么方式(读?写?执行?删除?等)访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定,
称为授权( Authorization)。
9.3.1 基本概念
1,主体与客体用术语可以将访问控制可以描述为:主动的主体
( Subject)使用某种特定的访问操作去访问一个被动的客体( Object),所使用的特定的访问操作受访问监视器控制。这就是图 9.1所示的安全系统逻辑模型。
主体 身份认证 访问控制 客体访问监视器访问请求 权限图 9.1 安全系统逻辑模型主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方,通常是用户或用户进程。客体是被访问的对象,通常是被调用的程序、进程,要存取的数据、
文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。所谓安全策略,
就是对这些访问进行约束的一组规则和目标,它反映了系统的安全需求,并可以用达到安全目的而采取的步骤进行描述。
2,访问权限
( 1) Bell-LaPadula安全模型中的访问权限
1973年 David Bell和 Len Lapadula提出了第一个也是最著名安全策略模型 Bell-LaPadula安全模型,简称 BLP模型。
在基本层面上,定义了两种访问方式:
·观察( Observe):查看客体的内容。
·改变( Alter):改变客体的内容。
在 Bell-LaPadula安全模型中定义了 4种访问权限:执行、读、添加(有时也称盲目的写)和写。表 9.1给出了这些访问权限与访问方法之间的关系。
执行 添加 读 写查 看 √ √
改 变 √ √
表 9.1 Bell-LaPadula安全模型中的访问权限注意,这里基于效率的考虑,写访问通常包含读访问。
这样,在编辑一个文件市,就无须先打开一次进行读(了解内容),再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。
( 2) Unix
Unix的访问控制用 3种权限表示:读( read)、写
( write)、执行( execute)。它们应用于文件和目录时含义有所不同,如表 9.2所示。
用于文件 用于目录读 从一个文件读 列出目录内容写 写进一个文件 创建或重命名目录中的一个文件执行 执行一个(程序)文件 搜索目录表 9.2 Unix的访问控制 3种权限
( 3) Windows NT/2000/XP
Windows NT/2000/XP的权限分为文件权限和目录权限。
每一个权限级别都确定了一个执行特定的任务组合的能力,
这些任务是,Read( R),Execute( X),Write( W)、
Set Permission( P),Take Ownership( O)。表 9.3表明任务与各种权限级别之间的关联。
权 限 RXWDPO 用 户 行 为目录权限
No Access 用户不能访问该目录
List RX 可以查看目录中的子目录和文件名,也可以进入其子目录
Read RX 具有 Linux权限,用户可以读取目录中的文件和运行目录中的应用程序
Add XW 用户可以添加文件和子目录
Add and
Read
RXW 具有 Add 和 Read的权限
Change RXWD 具有 Add 和 Read的权限,另外还可以更改文件的内容,删除文件和子目录
Full control RXWDPO 具有 Change的权限,另外用户可以更改权限和获取目录的所有权。
文件权限
No Access 用户不能访问该文件
Read RX 用户可以读取该文件,如果是应用程序可以运行
Change RXWD 具有 Read的权限,还可以修改和删除文件
Full control RXWDPO 具有 Change的权限,还可以更改权限和获取文件的所有权。
表 9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联
9.3.2 访问控制结构对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体,就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。
1,访问控制矩阵访问控制矩阵也称访问许可矩阵,它用行表示客体,列表示主体,在行和列的交叉点上设定访问权限。表 9.4为一个访问控制矩阵的例子。
File1 File2 File3 File4
张三 Own,R,W Own,R,W
李四 R Own,R,W W R
王五 R,W R Own,R,W
表 9.4 一个访问控制矩阵的例子表中,一个文件的 Own权限的含义是可以授予
( Authorize)或者撤销( Revoke)其他用户对该文件的访问控制权限。例如,张三对 File1具有 Own权限,所以张三可以授予或撤销李四和王五对 File1的读( R)写( W)权限。
访问矩阵比较直观,但是表中会出现空白。
2,访问能力表能力( Capability)是受一定机制保护的客体标志,标记了某一主体对客体的访问权限:某一主体对某一客体有无访问能力,表示了该主体能不能访问那个客体;而具有什么样的能力,表示能对那个客体进行一些什么样的访问。
图 9.2是表 9.4的能力表表示。
张三 File1
Own
R
W
File3
Own
R
W
李四 File1
R
File2
Own
R
W
File3
W
File4
R
王五 File1
R
W
File3
R
File4
Own
R
W
图 9.2 访问能力表的例子访问能力表着眼于某一主体的访问权限,从主体出发描述控制信息,很容易获得一个主体所被授权可以访问的客体及其权限。但要从客体出发获得哪些主体可以访问它,
就困难了。
3,访问控制表访问控制表( Access Control List,ACL)与访问能力表正好相反,是从客体出发描述控制信息,可以用来对某一资源指定任意一个用户的访问权限。图 9.3是表 9.4的访问控制表表示。
ACL的优点是可以容易地查出对某一特定资源拥有访问权的所有用户,有效地实施授权管理,是目前采用的最多的一种实现形式。
File1 张三
Own
R
W
李四
R
File2 李四
Own
R
W
王五
R
File3 张三
Own
R
W
李四
W
王五
R
W
File4 李四
R
王五
Own
R
W
图 9.3 访问控制表的例子
4,授权关系表授权关系表( Authorization Relations)描述了主体和客体之间各种授权关系的组合。表 9.5为表 9.4的授权关系表表示。
授权关系表便于使用关系数据库进行存储。只要按照客体进行排序,就得到了与访问能力表相当的二维表;按照主体进行排序,就得到了与访问控制表相当的二维表。
主 体 访问权限 客 体张三 Own File1
张三 R File1
张三 W File1
张三 Own File3
张三 R File3
张三 W File3
李四 R File1
李四 Own File2
李四 R File2
李四 W File2
李四 W File3
李四 R File4
王五 R File1
王五 W File1
王五 R File2
王五 Own File4
王五 R File4
王五 W File4
表 9.5 授权关系表的一个例子
9.3.3,访问控制实施策略计算机的活动主要是在主体和客体之间进行的。计算机安全的核心问题就是保证主体对客体访问的合法性,既通过对数据及程序的读出、写入、修改、删除、运行等的管理,确保主体对客体的访问是经过授权的,同时要拒绝非授权的访问,以保证信息的机密性、完整性和可用性。
例如,当用户或应用程序试图访问一个文件时,首先需要通过系统调用打开文件。在打开文件之前,访问控制机制被调用。访问控制机制利用访问控制表、访问权力表或访问控制矩阵等,检查用户的访问权限,如果在用户的访问权限内,则可以继续打开文件;如果用户超出授权权限,
则访问被拒绝,产生错误信息并退出。
然而,访问控制所提供的安全性还与访问控制实施的策略有关。下面介绍在计算机系统中常用的 3中访问控制实施策略。
1,自主访问控制自主访问控制,又称任选访问控制( Discretionary
Access Control,DAC)。所以称,自主,,意为:一个拥有一定访问权限的主体,被看作是一定资源的所有者(也往往是创建者),在其拥有的资源范围内,所有者可以自主地直接或间接地将权限传给(分发给)主体,即可以自主地谁可以访问这些资源。
例如,用户 A对客体 O具有访问权限,而 B没有。当 A将对 O的访问权限传递给 B后,B就有了对 O的访问权限。这是目前计算机系统中应用最广泛的一种策略,Unix和 Windows系统都是采用自主型的访问控制策略。 DAC的优点是应用灵活。缺点是,权限传递很容易造成漏洞,所以其安全级别比较低,
不太适合网络环境。
2,强制访问控制强制访问控制( Mandatory Access Control,MAC)的基本思想是系统要,强制,主体服从访问控制政策:系统
(系统管理员)给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员才可以确定用户或用户组的访问权限。
MAC主要用于多层次安全级别的系统(如军事系统)中。
它预先将主体和客体进行分级,定义出一些可信任级别及信息的敏感程度 —— 安全级别(如绝密级、机密级、秘密级、无密级等),然后分别给主体和客体以级别标记。用户必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时,系统对主、客体的安全属性进行比较,来决定该主体是否可以对所请求的客体进行访问。
在典型的应用中,MAC使用两种访问控制关系:上读 /下写 —— 用来保证数据完整性和下读 /上写 —— 用来保证数据机密性。下读 /上写相当于在一个层次组织中,上级领导可以看下级的资料;而下级不能看上级的资料,但可以向上级写资料。
MAC比 DAC具有更强的访问控制能力。但是实现的工作量大,管理不便,不够灵活。
3,基于角色的访问控制基于角色的访问控制( Role-Based Access Control,
RBAC)是 20世纪 90年代提出的访问控制策略。它克服了前面两种传统访问控制策略的不足,成为一种有效的访问控制策略。
为了说明 GBAC的原理,首先观察图 9.4,并从以下几个方面来理解角色。
用户 1 角色 1 权限 a
客体 1
用户 2
用户 3
角色 2
客体 2
客体 2
权限 b
权限 c
权限 d
图 9.4 角色的概念
( 1)在传统的访问控制中,主体与客体直接沟通。而在基于角色的访问控制中,角色是一个中间层,主体(用户)与客体之间没有直接的联系,只能靠角色沟通;用户标识主体本身仅对于身份认证具有意义,真正决定访问权限的是用户的角色标识。
( 2)角色相当于工作部门中的岗位、职位或分工。一个角色可以对应多个用户(相当于一个岗位可以有多个职员),也可以有多个权限(对多个资源的访问权)。角色一方面是用户的集合,一方面又是权限的集合,它作为中间媒介形成用户集合与某种授权的关联。这种关联相对于个体具有较强的稳定性。这样的权限管理与传统的权限管理相比,具有较强的可操作性和可管理性。
( 3)角色由系统管理员定义,角色成员的增减也只能由系统管理员执行,只有系统管理员才有权定义和分配角色,并且授权规则是强加给用户的,用户只能被动地接受,
不能自主地决定。
( 4)在 RBAC系统中,要求区分权限( Authority)和职责( Responsibility):
·一位系统管理员或安全主管可以修改、分配访问权限,
但不可具有访问任何资源的权限;
·一个用户可以具有某种访问权限,但不能涉及访问权限的分配工作。
( 5)角色的控制比较灵活,根据需要可以将某些角色配置得接近 DAC,而让某些角色接近 MAC。
4,多重访问控制策略前面介绍了三种访问控制策略。这些策略并非绝对相互排斥的。将不同的策略综合应用,形成多重访问控制策略,
可以获得更好、更安全的系统保护。在图 9.5所示的多重访问控制策略中,只有各种策略的交集策略允许,多重策略的访问才被许可。当出现一些冲突时,需要在管理层协商协调。 访问控制
DAC MAC
RBAC
图 9.5 多重访问控制策略
9.4 开放系统互联安全体系结构
9.4.1 开放系统互联安全体系结构概述
9.4.2 OSI安全体系结构的安全服务
9.4.3 OSI七层中的安全服务配置
9.4.4 OSI安全体系结构的安全机制
9.4.5 OSI安全体系的安全管理一个信息系统的安全涉及有关安全的众多因素和要求,
如保密性、完整性、可扩展性、方便性、以及成本等。这些要求往往是有冲突的。特别重要的是,存在安全理论与系统实际之间的特殊性冲突。因此一个系统安全的最后实现,一定是这些众多因素的协调和折中考虑,也是理论如何应用于实际的问题。研究信息系统安全体系结构的目的,
就是将普遍性的安全体系原理与信息系统自身的实际相结合,从所需要保护的信息系统资源出发,分析由系统可能的威胁和系统自身可能的漏洞形成的安全风险,建立系统安全需求,从管理和技术上保证安全策略得以完整准确地实现,安全需求得以全面准确地满足。
这一节介绍开放系统互联安全体系结构,即著名的
ISO/OSI安全体系结构。它是国际标准化组织 ISO于 1989年在对 OSI开放系统互联环境的安全性进行深入研究的基础上提出的 ISO-7498-2和,Internet安全体系结构,
( RFC2401)。国家标准,信息处理系统开放系统互联基本参考模型 —— 第二部分:安全体系结构,( GB/T9387.2-
1995)是一个与之等同的标准,它给出了基于 OSI参考模型七层协议之上的信息安全体系结构。
9.4.1 开放系统互联安全体系结构概述
OSI安全体系结构是一个普遍适用的安全体系结构,其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全,其基本思想是,为了全面而准确地满足一个开放系统的安全需求,必须在七个层次中提供必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。这个体系结构可以用图 9.6表示。
OSI参考模型安全机制安全服务应用层表示层会话层传输层网络层数据链路层物理层鉴别服务访问控制数据完整性数据机密性抗抵赖加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证图 9.6 OSI安全体系结构
OSI安全体系结构提供的内容有:
( 1)提供安全体系结构所配备的安全服务(亦称安全功能)和有关安全机制在体系结构下的一般描述;
( 2)确定体系结构内部可以提供相关安全服务的位置;
( 3)保证完全准确地配置安全服务,并且一直维持于信息系统安全的生命周期中,安全服务必须满足一定强度的要求;
( 4)一种安全服务可以通过某种单独的安全机制提供,
也可以通过多种安全机制联合提供,一种安全机制可用于提供一种或多种安全服务,在七层协议中除第五层(会话层)外,每一层均能提供相应的安全服务。
实际上,最适合配置安全服务的是在物理层、网络层、
传输层和应用层上。其他层都不宜配置安全服务。
9.4.2 OSI安全体系结构的安全服务
OSI安全体系结构中定义的 5大类安全服务,也称安全防护措施。
1,鉴别服务鉴别是最基本的安全服务,是对付假冒攻击的有效方法。
鉴别可以分为对等实体鉴别和数据源鉴别。
( 1)对等实体鉴别对等实体鉴别是在开放系统的两个同层对等实体间建立连接和传输数据期间,为证实一个或多个连接实体的身份而提供的一种安全服务。这种服务可以是单向的,也可以是双向的;
可以带有有效期检验,也可以不带。从七层参考模型看,
当由( N)层提供这种服务时,将使( N+1)层实体确信与之打交道的对等实体正是它所需要的对等( N+1)层实体。
( 2)数据源鉴别数据源鉴别服务是对数据单元的来源提供识别,但对数据单元的重复或篡改不提供鉴别保护。从七层参考模型看,
当由( N)层提供这种服务时,将使( N+1)层实体确信数据来源正是它所需要的对等( N+1)层实体。
2,访问控制访问控制用于防止资源的未授权使用。在 OSI安全体系结构中,访问控制的安全目标是:
( 1)通过进程(可以代表人员或其他进程行为)对数据不同进程或其他计算资源的访问控制。
( 2)在一个安全域内的访问或跨越一个或多个安全域的访问控制。
( 3)按照其上下文进行的访问控制。如根据试图访问的时间、访问者地点或访问路由等因素的访问控制。
( 4)在访问期间对授权更改做出反应的访问控制。
3,机密性机密性就是保护信息(数据)不泄露或不泄露给那些未授权掌握这一信息的实体。
在信息系统安全中需要区分两类机密性服务:
·数据机密性服务:使攻击者想要从某个数据项中推出敏感信息是十分困难的。
·业务流机密性服务:使攻击者想要通过观察通信系统的业务流来获得敏感信息是十分困难的。
根据所加密的数据项,机密性服务可以有如下几种类型;
( 1)连接机密性:为一次( N)连接上的所有( N)用户数据提供机密性保护。
( 2)无连接机密性:为单个无连接的( N) SDU中的全部( N)用户数据提供机密性保护。
( 3)选择字段机密性:为那些被选择的字段提供机密性保护。这些字段或处于( N)连接的( N)用户中,或者为单个无连接的( N) SDU中的字段。
( 4)通信业务流机密性:使得通过观察通信业务流而不可能推断出其中的机密信息。
4,完整性完整性服务用于对抗数据在存储、传输等处理过程中受到的非授权修改。
完整性服务有三种重要类型:
·连接完整性服务
·无连接完整性服务
·选择字段完整性服务完整性服务还可以按是否具有恢复功能,分为:
·不具有恢复功能的完整性服务:检测到数据的完整性破坏,仅仅给出报告而不采取进一步的措施。
·具有恢复功能的完整性服务:不仅检测到数据的完整性破坏,而且能正确地将数据恢复到破坏前的样子。
OSI安全体系把完整性服务概括为:
( 1)带恢复的连接完整性:为( N)连接上的所有( N)
用户数据保证其完整性,并检测整个 SDU序列中的数据遭受到的任何篡改、插入、删除、或者同时进行补救和 /或恢复。
( 2)不带恢复的连接完整性:同带恢复的连接完整性,
只是不做补救恢复。
( 3)选择字段的连接完整性:为一次连接上传送的( N)
SDU的( N)用户数据中的选择字段提供完整性保护,确定被选择字段是否遭受了篡改、插入、删除或不可用。
( 4)无连接完整性:为单个无连接上 SDU提供完整性保护,:检测一个接收到的 SDU是否遭受了篡改,并在一定程度上提供对连接重放检测。当这种服务由( N)提供时,对发出请求的那个( N+1)实体也就提供了完整性保护。
( 5)选择字段的无连接完整性:为单个无连接上的 SDU
中的选择字段提供完整性保护,检测被选择字段是否遭受了篡改。
5,抗抵赖其他安全服务是针对来自未知攻击者的威胁,而抗抵赖服务的目的是保护通信实体免遭来自其他合法实体的威胁。
OSI定义的抗抵赖服务有两种类型:
( 1)有数据原发证明的抗抵赖:为数据的接收者提供数据的原发证据,使发送者不能抵赖这些数据的发送或否认 \
发送内容。
( 2)有交付证明的抗抵赖:为数据的发送者提供数据交付证据,使接收者不能抵赖收到这些数据或否认接收内容。
9.4.3 OSI七层中的安全服务配置
1,安全分层及服务配置原则决定安全服务对层分配以及伴随而来的安全机制在这些层上的配置,按照下列原则进行。
( 1)实现一种服务的不同方法越少越好;
( 2)在多层上提供安全服务来建立安全系统是可取的;
( 3)为安全所需的附加功能不应该、不必要地重复 OSI
的现有功能;
( 4)避免破坏层的独立性;
( 5)可信功能 2的总量应尽量少;
( 6)只要一个实体依赖于由位于较低层的实体提供的安全机制,那么任何中间层应该按不违反安全的方式构建;
( 7)只要可能,应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能;
( 8)本标准被人定用于由包含所有 7层的端系统组成的开放系统以及中继系统。
2,在 OSI各层中的安全服务配置
OSI各层提供的安全服务配置如表 9.6所示。不论所要求的安全服务是由该层提供或下层提供,各层上的服务定义都可能需要修改。
安全服务 协 议 层
1 2 3 4 5 6 7
对等实体鉴别 √ √ √
数据源鉴别 √ √ √
访问控制 √ √ √
连接机密性 √ √ √ √ √ √
无连接机密性 √ √ √ √ √
连接字段机密性 √
通信业务流机密性 √ √
带恢复的连接完整性 √ √ √
不带恢复的连接完整性 √ √
选择字段连接完整性 √ √ √
无连接完整性 √
选择字段无连接完整性 √ √ √
有数据原发证明的抗抵赖 √
有交付证明的抗抵赖 √
表 9.6 OSI各层中的安全服务配置
9.4.4 OSI安全体系结构的安全机制
OSI安全体系结构没有说明 5种安全服务如何实现,但是它给出了 8种基本(特定的)安全机制,使用这 8种安全机制,再加上几种普遍性的安全机制,将它们设置在适当的
( N)层上,用以提供 OSI安全体系结构安全服务。
1,OSI的 8种特定的安全机制
( 1)加密在 OSI安全体系结构的安全机制中,加密涉及 3个方面的内容:
·密码体制的类型:对称密码体制和非对称密码体制。
·密钥管理。
·加密层的选取:表 9.7给出了加密层的选取时要考虑的因素,它不推荐在数据链路层上的加密。
加 密 要 求 加密层对全部通信业务提供加密 物理层细粒度保护(对每个应用提供不同的密钥)
抗抵赖或选择字段保护表示层提供机密性与不带恢复的完整性对所有端对端之间通信的简单块进行保护希望有一个外部的加密设备(如为了给算法和密钥提供物理保护或防止软件错误)
网络层提供带恢复的完整性以及细粒度保护 传输层表 9.7 加密层的选取时要考虑的因素
( 2)数字签名数据签名是附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种附加数据或变换可以起如下作用:
·供接收者确认数据来源;
·供接收者确认数据完整性;
·保护数据,防止他人伪造。
数字签名需要确定两个过程:
·对数据单元签名:使用签名者私有(独有或机密的)
信息。
·严正签过名的数据单元:使用的规程和信息是公开的,
但不能推断出签名者的私有信息。
( 3)访问控制访问控制是是一种实施对资源访问或操作加以限制的策略。此外,它还可以支持数据的机密性、数据完整性、可用性以及合法使用的安全目标。访问控制机制可应用于通信联系中的任一端点或任一中间点。
访问控制机制可以建立在下面的一种或多种手段之上;
·访问控制信息库:保存了对等实体的访问权限。
·鉴别信息,如口令等。
·权限。
·安全标记。
·试图访问的时间。
·试图访问的路由。
·访问持续期。
( 4)数据完整性数据完整性保护的目的是避免未授权的数据乱序、丢失、
重放、插入和篡改。下面讨论数据完整性的两个方面。
( a)单个数据或字段的完整性:决定单个数据单元的完整性涉及两个实体:一个在发送实体上,一个在接收实体上。发送实体给数据单元附上一个附加量,接收实体也产生一个相应的量,通过比较二者,可以判定数据在传输过程中是否被篡改。
( b)数据单元流或字段流的完整性:对于连接方式数据传送,保护数据单元序列的完整性(包括防止乱序、数据丢失、重放或篡改),还需要明显的排序标记,如顺序号、
时间标记或密码链;对于无连接数据传送,时间标记可以提供一定程度的保护,防止个别数据单元重放。
( 5)鉴别交换
( a)可用于鉴别交换的技术
·鉴别信息:如口令;
·密码技术;
·使用该实体特征(生物信息等)或占有物(信物等)。
( b)可以结合使用的技术
·时间标记与同步时钟;
·两次握手(单方鉴定)和三次握手(双方鉴定);
·数字签名和公证。
( 6)通信业务填充通信业务填充是一种反分析技术,通过虚假填充将协议数据单元达到一个固定长度。它只有受到机密服务保护才有效。
( 7)路由选择控制路由选择控制机制可以使敏感数据只在具有适当保护级别的路由上传输,并且采取如下一些处理:
·检测到持续的攻击,可以为端系统建立不同的路由的连接。
·依据安全策略,使某些带有安全标记的数据禁止通过某些子网、中继或链路。
·允许连接的发起者(或无连接数据单元的发送者)指定路由选择,或回避某些子网、中继或链路。
( 8)公证公证机制是由可信的第三方提供数据完整性、数据源、
时间和目的地等的认证和保证。
2,OSI安全服务与安全机制之间的关系表 9.8为 OSI安全服务与安全机制之间的关系。
安 全 服 务安 全 机 制加密 数字签名 访问控制数据完整性鉴别交换业务填充路由控制 公证对等实体鉴别 √ √ √
数据源鉴别 √ √
访问控制 √
连接机密性 √ √
无连接机密性 √ √
连接字段机密性 √
流量机密性 √ √ √
带恢复的连接完整性 √ √
不带恢复的连接完整性 √ √
选择字段连接完整性 √ √
无连接完整性 √ √ √
选择字段无连接完整性 √ √ √
原发方抗抵赖 √ √ √
接收方抗抵赖 √ √ √
表 9.8 OSI安全服务与安全机制之间的关系
9.4.5 OSI安全体系的安全管理
OSI安全管理活动有如下 3类:系统安全管理、安全服务管理和安全机制管理。此外还必须考虑 OSI本身的安全和特定的系统安全管理活动。
1,系统安全管理系统安全管理着眼于 OSI总体环境的管理,其典型活动有:
( 1)总体安全策略的管理,包括一致性修改与维护。
( 2)与别的 OSI安全管理的相互作用。
( 3)与安全服务管理和安全机制管理的交互。
( 4)事件处理管理。在 OSI中可以看到的是事件管理的实例,是远程报告的明显违反安全的企图以及对用来触发事件报告的阈值的修改。
( 5)安全审计管理。主要内容有:
·选择将被记录和被远程收集的事件;
·授予或取销对所选事件进行审计跟踪日志记录的能力;
·所选审计记录的收集;
·准备安全审计报告。
( 6)安全恢复管理。主要内容有:
·维护用于对实用或可疑安全事件做出反应的规则;
·远程报告明显的系统安全违规;
·安全管理者的交互。
2,安全服务管理安全服务管理指特定安全服务的管理。在管理一种特定安全服务时,可能的典型的活动有:
( 1)为该种服务决定并指派安全保护的目标。
( 2)在有可选择情况时,指定与维护选择规则。
( 3)对需要事先取得管理者同意的安全机制进行协商。
( 4)通过适当的安全机制管理功能,调用特定的安全机制。
( 5)与其他安全服务管理功能和安全机制管理功能交互。
3,安全机制管理安全机制管理指特定安全机制的管理。典型的安全机制管理有下列一些。
( 1)密钥管理
·间歇性地产生与所要求的安全级别相称的合适密钥;
·根据访问控制的要求,决定每个密钥应分发给哪个实体;
·用可靠办法使这些密钥对开放系统中的实体是可用的,
或将这些密钥分配给它们。
( 2)加密管理
·与密钥管理交互;
·建立密码参数;
·密码同步。
( 3)数字签名管理
·与密钥管理交互;
·建立密码参数与密码算法;
·在通信实体与可能有的第三方之间使用协议。
( 4)访问控制管理
·安全属性(包括口令)的分配;
·对访问控制表或权力表进行修改;
·在通信实体与其他提供访问控制服务的实体之间使用协议。
( 5)数据完整性管理
·与密钥管理交互;
·建立密码参数与密码算法;
·在通信实体间使用协议。
( 6)鉴别管理
·将说明信息、口令或密钥(使用密钥管理)分配给要求执行鉴别的实体;
·在通信的实体与其他提供鉴别服务的实体之间使用协议。
( 7)通信业务填充管理
·预定的数据率;
·指定随机数据率;
·指定报文特性,例如长度等;
·可能按时间或日历来改变这些规定。
( 8)路由选择控制管理路由选择管理的主要功能是确定那些按特定准则被认为是安全可靠和可信任的链路或子网络。
( 9)公证管理
·分配有关公证的信息;
·在公证方与通信的实体之间使用协议;
·与公证方的交互作用。
4,OSI管理的安全所有 OSI管理功能的安全以及 OSI管理信息的通信安全是
OSI安全的重要部分。这一类安全管理将对上面所列的 OSI
安全服务与机制进行适当的选取,以确保 OSI管理协议与信息获得足够的保护。例如,在管理信息库的管理实体之间的通信一般要求某种形式的保护。
5,特定的系统安全管理活动
( 1)事件处理管理
·远程报告违反系统安全的明显企图;
·对用来触发事件报告的阈值的修改。
( 2)安全审计管理
·选择将被记录和被远程收集的事件;
·授予或取消对所选事件进行审计跟踪日志记录的能力;
·所选审计记录的远程收集;
·准备安全审计报告。
( 3)安全恢复管理
·维护那些用来对实有的或可疑的安全事故作出反应的规则;
·远程报告对系统安全的明显违反;
·安全管理者的交互作用。
9.5 PPDR安全管理模型
9.5.1 安全管理思想的发展
9.5.2 PPDR模型的特点
9.5.1 安全管理思想的发展随着安全对抗技术拉锯式的发展,信息系统安全管理的思想有两个明显的发展趋势:
一是从被动加固和防护到主动防御。传统的信息安全技术都集中在系统自身的加固与保护上,例如数据传输和存储中的加密技术、集中的身份认证产品在网络的出口配置防火墙等。然而这样的被动防御,往往只有事倍功半的效果:由于构筑防御设施时,不了解安全威胁的严重程度和当前的安全现状,往往投资盲目又抓不住安全的关键。实际上,理想的系统安全需要一种检测机制,以便动态地发现危机。此外还需要响应机制,以便发现问题后快速进行处理和恢复。 PDR( Protection Detection Reaction,防护 -检测 -响应)模型,就是最早体现这一思想的安全模型。
另一个趋势是从静态防御向动态防御发展。因为早期主要基于主机 -终端环境的静态安全模型很难完全反映分布式的、动态变化的、发展迅速的 Internet的安全现实。 20世纪 90年代末,美国国际互联网安全系统公司( ISS)提出的动态的自适应网络安全模型( Adaptive Network Security
Model,ANSM),就是基于这种思想的一种安全管理模型。
实际上,这两种思想是一致的。因为动态防御,需要的正是动态检测与响应。所以 ANSM是一种以 PDR为核心的安全模型。不过,ANSM有更高的目标,它试图建立的模型是可量化的、可由数学证明的、基于时间的模型。它的基本思想是在整体的安全策略的指导下,在综合应用防护工具
(如防火墙、操作系统身份认证和加密等手段)的同时,
利用检测工具(如漏洞评估、入侵检测等)了解和评价系统的安全状态,将系统调整到,最安全,和,风险最低,
的状态。
基于这一思想,它在 PDR的基础上,强调了整体管理策略( Policy)在系统安全工程中的主导地位,形成图 9.7所示的 PPDR(或 P2DR)模型。
应检测响防护策 略图 9.7 PPDR(或 P2DR)模型这个图描述了这样一种模型:检测 — 响应 — 防护 — 检测 —
……,周而复始地围绕整体安全策略动态地运行着。它强调了安全策略的核心(主导)地位,又强调了检测 — 响应 —
防护 — 检测 — …… 的动态性。
9.5.2 PPDR模型的特点
PPDR模型也可以用下面的形式表述:
安全 = 风险分析 + 执行策略 + 系统实施 + 漏洞检测
+ 实时响应下面进一步讨论 PPDR模型的应用特点。
( 1)安全策略是整个系统安全的依据根据 PPDR模型理论,安全策略是整个网络安全的依据,
所有的检测、响应、防护都是依据安全策略实施的。不同的网络系统需要不同的安全策略。在制订安全策略之前,
需要全面地考虑各方面的安全性问题,如:
·局域网中如何在网络层实现安全性;
·如何控制远程用户的安全性;
·广域网上的数据传输如何实现数据加密和用户认证;
·…… 。
要对这些问题做出详细回答,并确定相应的防护手段和实施方法。
强调安全策略的实质是充分考虑了人的管理的因素。
( 2)加进了时间因素
PPDR模型最独特之处在于加进了时间因素。 PPDR模型有比较严格的理论体系,有数学模型作为其论述基础。在该模型中有两个典型的数学公式:
公式 1,Pt > Dt + Rt
式中:
Pt—— 防护时间,代表入侵者攻击安全目标所花费的时间 = 系统为保护安全目标而设置各种防护后的防护时间。
Dt—— 检测时间,代表从入侵者发动入侵开始,到系统能够检测到入侵行为所花费的时间。
Rt—— 响应时间,代表从发现入侵行为开始到系统能够做出响应并将系统调整到正常状态的时间。
这个公式可以称为防护时间充分条件,即防护时间大于检测时间与响应时间之和,则在入侵者危害安全目标之前就能将其检测到并及时处理。假设公式 2,Et = Dt + Rt - Pt
这个公式可以称为:系统安全条件公式。 Et称为安全目标系统的暴露时间。由于 Et越小,系统越安全,所以要求检测时间 Dt与响应时间 Rt都应尽量小,而系统防护时间应尽量长。
时间因素的引入,使安全成为可测即可控。
习 题
1,分析一个具体系统的安全需求 。
2,根据一个具体系统的安全需求,给出相应的安全策略 。
3,OSI安全体系包括了哪些安全机制和安全服务? 它们之间有哪些对应关系?
4,为学生成绩管理系统设计一个安全策略 。 这个系统最少要由学生,教师和管理人员访问 。
5,在一个具有读、写、准许和取消 4种访问操作的系统中,准许操作可以授予其他主体读和写的访问权限,并且还可以授予其他主体发布对你拥有的资源的访问权限。如果你要使用准许和取消操作来控制对你所拥有的一个客体的所有访问,你应当采用什么样的数据结构和算法来实现准许和取消操作。
6,如何理解 OSI安全体系的安全机制和安全服务之间的对应关系?
7,动态的自适应网络安全模型的基本思想是什么? 它有什么特点?
8,给出一个中等规模的局域网 ( 包含一些子网,但不跨多个地域 ),为其设计一个安全解决方案 。
9,收集国内外有关信息安全体系结构和安全模型的网站信息,简要说明各网站的特点
10,收集国内外有关信息安全体系结构和安全模型的最新动态。
对安全的要求不应当是是绝对的,而应当是是有效的。
有效性的评估依据是标准。
因此,信息系统安全体系和安全评估标准就成为信息系统安全管理的核心和最基本的内容。
第 9章 信息系统安全体系结构
9.1 典型信息系统的安全需求分析
9.2 信息系统安全策略
9.3 访问控制
9.4 开放系统互联安全体系结构
9.5 PPDR安全管理模型
习 题信息系统的安全体系结构研究,站在系统全局的角度,
将普遍性安全体系原理与信息系统自身的实际相结合,形成满足信息系统安全需求的安全体系结构。它涉及系统的安全需求、安全策略、安全服务、安全机制和安全模型等多个方面。
9.1 典型信息系统的安全需求分析
9.1.1 金融信息系统安全需求分析
9.1.2 电子商务系统安全需求分析
9.1.3 电子政务系统安全需求分析信息系统的安全需求分析是安全对策的依据。每一个信息系统所采取的任何安全对策,都来自对系统安全需求的分析。安全需求分析一般包括:安全风险分析和安全需求内容分析两方面的内容。安全需求是以安全风险为前提的。
不用系统具有不同的安全风险和安全需求。下面引用方勇和刘嘉勇在,信息系统安全导轮,中给出的三个典型系统的安全需求分析实例,供分析其他系统安全需求时参考。
9.1.1 金融信息系统安全需求分析
1.安全风险分析金融信息系统的普遍性安全风险包括:
( 1)非法用户通过网络进入系统;
( 2)通过窃取或者修改数据对金融机构的电子诈骗;
( 3)与系统有关人员勾结,通过非法修改程序与操作侵害系统,以谋私利;
2,安全需求基本原则金融信息系统的安全需求原则是:
( 1)授权原则所有接触信息系统的人员都必须获得授权。
·实行最小化授权;
·阻止越权操作行为;
·每种资源实行使用权限管理;
·阻止越权使用资源行为;
·确定每一授权用户的职责范围。
( 2)确认原则
·采集数据的合法性;
· 输入数据的有效性;
·业务与账务处理的正确性;
·传送存储数据的安全性。
( 3)跟踪原则
·设置完善的跟踪日志,进行有效跟踪;
·监视和发现系统故障差错以及恶意入侵行为;
·防止非法使用信息跟踪工具 。
( 4) 效能投资相容原则确定与金融信息系统价值相适应的安全需求,以最小的投资获得最大的安全。
3,安全需求内容
( 1) 传送数据应加密保护;
( 2) 加密保护应有等级之分;
( 3) 对联机柜台系统,联机清算系统和电子资金转账系统的密码应互相分离;
( 4) 对个人识别号 ( PIN) 应加密保护;
( 5) 对银行卡 ( CARD) 应加密保护;
( 6) 对 PIN,CARD要有身份鉴别;
( 7)丢失或盗来的银行凭证(如支票、存折、信用卡)
有防诈骗技术措施;
( 8)对伪造的银行凭证有防诈骗措施;
( 9) 对数据,应用进程应有标记,禁止符合安全策略的访问和操作;
( 10) 对入网者有身份验证,防止非法入网;
( 11) 对传送数据必须有强度合适的完整性和源鉴别保护措施;
( 12) 有强度合适的访问控制,访问控制策略不得不允许授权人以外的更动,变更访问控制策略必须持二人以上持卡串行操作;
( 13) 有强度合适的密钥分配与密钥管理措施;
( 14)金融信息系统内联网必须与公众的 Internet隔离,
也要与其他内联网隔离。
9.1.2 电子商务系统安全需求分析电子商务系统指参与商业活动的所有个人、公司、集团、商店集团等组织的网络交易和结算系统。其中的交易和结算行为与金融信息系统有关。
1,普遍性安全风险分析
( 1)非法用户通过网络进入系统;
( 2)窃取或修改数据进行电子犯罪;
( 3)与系统人员勾结、联合进行诈骗;
( 4)假冒他人行骗;
( 5)窃用信用卡或购物卡;
( 6)篡改商务信息,制造混乱;
( 7)抵赖已发生的交易或交易的内容。
2,安全需求的内容
( 1)完整性保护:使通过 Internet了解本部门信息的客户明白这些信息是完整的,没有受到修改。
( 2)源鉴别服务:对来自 Internet上的信息源进行鉴别,确认本部门提供的信息是真实可靠的,不是假冒和伪造的。
( 3)数字签名:当本部门与客户发生网上交易,在合同的签定、货物的交割、客户付款时需双方进行数字签名,以保证以上过程的有效性、完整性和真实性。
( 4)抗抵赖服务:当交易发生时,在订立合同、交货、收货、付款和收款全过程中,交易双方无法否认已发生过的行为和行为内容。
( 5)身份鉴别:对访问者身份进行鉴别以确认其成员资格;对信息存取实行等级权限管理。
( 6)访问控制:建立基于身份或规则的访问控制机制,防止非法用户进入系统。
( 7)加密:对机密或敏感的商务信息 加密存储和加密传输,并有适度的强度等级和相适应的密钥管理体制。
9.1.3 电子政务系统安全需求分析电子政务是政府在其管理和服务职能中运用现代信息和通信技术,实现政府组织结构和工作流程的重组优化;
超越时间、空间和部门分隔的制约,全方位地向社会提供优质、规范、透明的服务,是政府管理理念和管理手段的变革。它主要包含两大部分:
· 内部政务办公系统;
· 对外服务部分。
1,电子政务的普遍性安全风险分析
( 1)非法用户通过公共网络进入内部网内各级局域网系统,获取资源或支配资源;
( 2)篡改向社会公布的政务信息以制造混乱;
( 3)插入和修改传输中的数据;
( 4)窃听和截获传输数据;
( 5)假冒管理者和信息主体发布虚假信息。
2,与 Internet连接的安全需求
( 1)完整性保护:必须保证内部信息和向社会公开发布的国家、法令、布告、通知以及其他需要外界广泛了解的信息的完整性。任何形式的信息创建、插入、删除和篡改都是不被允许的。
( 2)源鉴别服务:对信息源进行鉴别以确认消息来源是真实可信的。
( 3)用户鉴别:政府部门的公开信息是内外有别的,
因此要按信息级别和类别对访问用户的身份合法性进行鉴别。
( 4)访问控制:访问控制包括对进入查询系统的控制以及访问的权限管理。
3,与内部网连接的安全需求
( 1)身份鉴别:鉴别操作实体的部门、级别及权限属性。
( 2)访问控制
·阻止系统外(非法)用户访问和进入系统;
·阻止系统内(合法)用户进行未授权的访问和操作;
·阻止越权操作;
·对越权者进行审计跟踪。
( 3)加密:按照规定对涉密信息进行加密存储和传输。
( 4)建立合适的密钥管理体系。
9.2 信息系统安全策略
9.2.1 基于网络的安全策略
9.2.2 基于主机的安全策略
9.2.3 基于设施的安全策略
9.2.4 基于数据管理的安全策略
9.2.5 信息系统开发、运行和维护中的安全策略
9.2.6 基于安全事件的安全策略
9.2.7 与开放性网络连接的信息系统应追加的安全措施信息系统是复杂的,信息系统的安全也是复杂的。可以说,有多么复杂的信息系统,就有多么复杂的信息系统安全。为此,在制定安全措施时必须考虑一套科学的、系统的安全策略。
信息安全策略 制定应以信息系统为对象,根据风险分析确立安全方针,并依照这个方针来制定相应的策略。
下面是中国信息安全产品评测认证中心提出的系统一般采取的安全策略,供安全管理人员制定系统安全策略时参考。
具体制定系统的安全策略时,可以根据风险分析,从中选择必要的内容,同时根据需求追加一部分内容。
9.2.1 基于网络的安全策略管理者为防止对网络的非法访问或非授权用户使用的情况发生,应采取以下策略。
1,监视日志
( 1)读取日志,日志的内容至少可确定访问者的情况;
( 2)确保日志本身的安全;
( 3)对日志进行定期检查;
( 4)应将日志保存到下次检查时。
2,对不正当访问的检测功能当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。
( 1)设置对网络及主机等工作状态的监控功能;
( 2)若利用终端进行访问,则对该终端设置指定功能;
( 3)设置发现异常情况时能够使网络、主机等停止工作的功能。
3,口令对依据口令进行认证的网络应采取以下策略:
( 1)用户必须设定口令,并努力做到保密;
( 2)若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
( 3)指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
( 4)限制口令的输入次数,采取措施使他人难以推测口令;
( 5)用户一旦忘记口令,就提供口令指示,确认后,
口令恢复;
( 6)对口令文本采取加密方法,努力做到保密;
( 7)在网络访问登录时,进行身份识别和认证;
( 8)对于认证方法,应按照信息系统的安全需求进行选择;
( 9)设定可以确认前次登录日期与时间的功能。
4,用户身份识别(用户 ID)管理
( 1)对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户 ID予以注销;
( 2)对长期未进行登记的用户以书面形式予以通知。
5,加密
( 1)进行通信时根据需要对数据实行加密;
( 2)要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
6,数据交换
( 1)在进行数据交换之前,对欲进行通信的对象进行必要的认证;
( 2)以数字签名等形式确认数据的完整性;
( 3)设定能够证明数据发出和接收以及可以防止欺骗的功能;
( 4)在前 3步利用加密操作的情况下,对用户的密钥进行集中管理时,要寻求妥善的管理方法。
7,灾害策略为防止因灾害、事故造成线路中断,有必要做成热备份线路。
9.2.2 基于主机的安全策略管理者为防止发生对主机非法访问或未授权用户使用等情况,应采取以下策略。
1,监视日志
( 1)读取日志,日志的内容至少可确定访问者的情况;
( 2)确保日志本身的安全;
( 3)对日志进行定期检查;
( 4)应将日志保存到下次检查时;
( 5)具备检测不正当访问的功能;
( 6)设置出现不正当访问时,能够将其查出并通知风险管理者的功能。
2,口令对依据口令进行认证的主机等应采取以下策略:
( 1)用户必须设定口令,并努力做到保密;
( 2)若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
( 3)指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
( 4)限制口令的输入次数,采取措施使他人难以推测口令;
( 5)用户一旦忘记口令,就提供口令指示,确认后,
口令恢复;
( 6)对口令文本采取加密方法,努力做到保密。
3,对主机的访问
( 1)在记录日志时,进行识别和认证;
( 2)对于认证方法,按照信息系统所需的安全要求进行选择;
( 3)设置可以确认前次日志记录日期的功能;
( 4)根据安全方针,除了对主机的访问加以控制外,
对数据库的数据、移动存储设备也应分别进行控制;
( 5)为确保访问控制等功能的安全,有必要选择具有相应功能的操作系统。
4,安全漏洞
( 1)采用专用软件,对是否存在安全漏洞进行检测;
( 2)发现安全漏洞时,要采取措施将其清除。
5,加密
( 1)在保管数据时,要根据需要对数据等实行加密;
( 2)要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
6,对主机的管理
( 1)应采取措施使各装置不易拆卸、安装或搬运;
( 2)要采取措施,避免显示屏上的信息让用户以外的人直接得到或易于发现。
7,预防灾害策略
( 1)根据需要将装置做成热备份的,并设置替代功能;
( 2)设置自动恢复功能。
9.2.3 基于设施的安全策略管理者为了防止重要的计算机主机系统设施不受外部人员的侵入或遭受灾害,应采取以下办法:
1,授予资格
( 1)建立进入设施的资格(以下称资格);
( 2)资格授予最小范围的必需者,并限定资格的有效时间;
( 3)资格仅授予个人;
( 4)授予资格时,要注明可能进入的设施范围及进入设施的目的。
2,建立身份标识
( 1)对拥有资格的人员发给记有以下事项的身份标识和 IC卡等(以下称身份证);
·资格的有效期;
·可进入的设施范围及进入的目的;
·照片等个人识别信息。
( 2)制作标识的材料应采用不易伪造的材料,另外要严格管理标识原件(指存档的),分之丢失。
( 3)有资格的人员标识遗失或损坏时,应立即报告安全总负责人。
( 4)当按照( 3)项报告后,即宣布该标识无效。
3,设施出入管理
( 1)为获准进入设施,要提交身份标识确认资格;
( 2)限定允许出入设施的期限;
( 3)将允许进入人员的姓名、准许有效期限、可进入的设施范围、进入目的以及进入设施的许可(以下称许可)
等记录下来并妥善保存;
( 4)对允许进入的人员发给徽章等进入设施的标志,
并将该标志佩带在明显的位置;
( 5)进入设施的标志应按照身份标识中的( 2) ~( 4)
项要求执行;
( 6)在建筑物或计算机房的出入口处查验是否具有资格和许可;
( 7)当从设施中般出 /入物资时,都应对该物资和搬运工作进行查验;
( 8)物资搬运出入时,应记录负责人的姓名、物资名称、数量、搬运出 /入时间等,并保存。
( 9)保安人员负责出入管理。
4,防范措施
( 1)限定设施出 /入口的数量,设置进行身份确认的措施;
( 2)在设施内装设报警和防范摄像装置,以便在发现侵入时采取必要的防范措施;
( 3)在建筑物、机房及外设间、配电室、空调室、主配电室( MDF)、中间配电室( IDF)、数据保存室等的入口处设置报警装置,以便在发现侵入时采取必要的防范措施;
( 4)让保安人员在设施内外进行巡视。
5,灭害策略
( 1)设施的地点应尽可能选在自然灾害较少的地方;
( 2)建筑物应选择抗震、防火结构;
( 3)各种设备都应采取措施防止因地震所导致的移动、
翻倒或震动;
( 4)内装修应使用耐燃材料,采取防火措施;
( 5)对电源设备要采取防止停电措施;
( 6)对空气调节装置要采取防火和防水措施,使用水冷 /热式空调设备时要采取防水的措施。
9.2.4 基于数据管理的安全策略
1,数据管理
( 1)当重要数据的日志不再使用时,应先将数据清除,
在将存储介质破坏,随后立即将该记录文件销毁;
( 2)对记录有重要数据的记录文件应采取措施,做好保管场所携带出入的管理,将数据用密码保护;
( 3)对移动存储介质,根据需要应采取数据加密或物理方法禁止写入等措施。
2,数据备份应定期或尽可能频繁地进行备份。备份介质应制定妥善的保存办法、保存期限,与原介质在不同地方保管。
3,审计
( 1)应从信息系统的安全性、可信度、保全性和预防犯罪的角度进行审计;
( 2)制定审计的方法并制成手册;
( 3)有计划、定期地进行审计;但若有重大事故发生或认为有危险发生时,应随时进行审计;
( 4)提交审计报告;
( 5)安全总负责人应根据审计结果迅速采取必要的措施。
9.2.5 信息系统开发、运行和维护中的安全策略
1,开发中的安全策略
( 1)采取措施防止将基础数据泄露给从事开发外的其他人员;
( 2)制定专门的系统设计文档;
( 3)制定专门的运行和维护手册;
( 4)运行手册中应制定出危机范围和风险策略。
2,运行中的安全策略
( 1)根据手册操作;
( 2)记录运行情况日志;
3,维护中的安全策略
( 1)根据手册操作;
( 2)记录维护情况。
9.2.6 基于安全事件的安全策略管理者为在发生犯罪事件时能确保与有关部门取得联系,为危机进行切实应对,从而确保安全,应采取以下策略。
1,发现攻击时应采取的管理措施
( 1)当发现对用户等进行攻击、事故或侵害其他信息系统安全的行为或事件(以下简称攻击)时,有义务立即向危机管理负责人报告;
( 2)应将受到攻击的对象、非法访问的结果、出入时的日志以及其后审计或调查所需的信息等,作为发现攻击行为的状态保存下来;
( 3)及时想相关部门通报;
( 4)发现非法访问行为且需要得到相关部门援助时,
提出申请,待相关部门调查结束,在进行系统恢复时,应将操作过程记录下来。
2,组织体制为明确责任和权限应建立以下体制:
( 1)日常事务体制,设立专职的安全总负责人和审计负责人;
( 2)风险管理体制,设专职的风险管理责任人、风险管理设备执行人员和其他责任人。
3,教育及培训
( 1)将风险发生时的防范措施制成手册发给用户并进行定期训练;
( 2)让用户了解风险对社会带来较大的危害、从而提高安全意识;
( 3)对用户策略实施情况进行审计,对措施不完备的地方加以改进。
9.2.7 与开放性网络连接的信息系统应追加的安全措施对于信息系统来说,除了前面所述安全策略之外,从预防非法访问、计算机病毒侵入的角度来看,与 Internet
等开放性网络连接,还应追加下列安全措施。
1,一般措施网络系统考虑通过开放性网络引入的不正当访问和恶意程序侵入,应当追加如下措施。
( 1)与开放性网络的连接应限定在最小范围的功能、
线路和主机;
( 2)与开放性网络连接时,应采取措施预防对信息系统进行不正当的访问;
( 3)利用防火墙时,应设定适当的条件;
( 4)使用计算机系统时,应采取一定的安全措施,以确保该信息系统的安全;
( 5)关于网络结构等重要信息除非必要时,不得公开。
2,监视措施应当设置对线路负荷状况的监视功能。发现异常情况时,应根据需要使之与相连接的开放性网络断开。
3,安全事件应对措施在确保攻击发生时能与相关部门取得联系,对危机进行准确应对的同时,还应采取如下措施。
( 1)与相关机构合作,把握受侵害的情况,采取措施,
防止侵害的扩大;
( 2)对攻击进行分析,查明原因,与相关机构合作采取措施,防止攻击再次发生;
( 3)限定用户,即尽可能将可通过开放性网络进行访问的用户(数)加以限制;
( 4)信息收集,即平时要注意收集通过开放性网络进行非法访问的信息。
9.3 访问控制
9.3.1 基本概念
9.3.2 访问控制结构
9.3.3,访问控制实施策略访问控制( Access Control)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说,就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者,但并非身份合法就什么都可以做,还要根据不同的访问者,规定他们分别可以访问哪些资源,以及对这些可以访问的资源可以用什么方式(读?写?执行?删除?等)访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定,
称为授权( Authorization)。
9.3.1 基本概念
1,主体与客体用术语可以将访问控制可以描述为:主动的主体
( Subject)使用某种特定的访问操作去访问一个被动的客体( Object),所使用的特定的访问操作受访问监视器控制。这就是图 9.1所示的安全系统逻辑模型。
主体 身份认证 访问控制 客体访问监视器访问请求 权限图 9.1 安全系统逻辑模型主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方,通常是用户或用户进程。客体是被访问的对象,通常是被调用的程序、进程,要存取的数据、
文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。所谓安全策略,
就是对这些访问进行约束的一组规则和目标,它反映了系统的安全需求,并可以用达到安全目的而采取的步骤进行描述。
2,访问权限
( 1) Bell-LaPadula安全模型中的访问权限
1973年 David Bell和 Len Lapadula提出了第一个也是最著名安全策略模型 Bell-LaPadula安全模型,简称 BLP模型。
在基本层面上,定义了两种访问方式:
·观察( Observe):查看客体的内容。
·改变( Alter):改变客体的内容。
在 Bell-LaPadula安全模型中定义了 4种访问权限:执行、读、添加(有时也称盲目的写)和写。表 9.1给出了这些访问权限与访问方法之间的关系。
执行 添加 读 写查 看 √ √
改 变 √ √
表 9.1 Bell-LaPadula安全模型中的访问权限注意,这里基于效率的考虑,写访问通常包含读访问。
这样,在编辑一个文件市,就无须先打开一次进行读(了解内容),再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。
( 2) Unix
Unix的访问控制用 3种权限表示:读( read)、写
( write)、执行( execute)。它们应用于文件和目录时含义有所不同,如表 9.2所示。
用于文件 用于目录读 从一个文件读 列出目录内容写 写进一个文件 创建或重命名目录中的一个文件执行 执行一个(程序)文件 搜索目录表 9.2 Unix的访问控制 3种权限
( 3) Windows NT/2000/XP
Windows NT/2000/XP的权限分为文件权限和目录权限。
每一个权限级别都确定了一个执行特定的任务组合的能力,
这些任务是,Read( R),Execute( X),Write( W)、
Set Permission( P),Take Ownership( O)。表 9.3表明任务与各种权限级别之间的关联。
权 限 RXWDPO 用 户 行 为目录权限
No Access 用户不能访问该目录
List RX 可以查看目录中的子目录和文件名,也可以进入其子目录
Read RX 具有 Linux权限,用户可以读取目录中的文件和运行目录中的应用程序
Add XW 用户可以添加文件和子目录
Add and
Read
RXW 具有 Add 和 Read的权限
Change RXWD 具有 Add 和 Read的权限,另外还可以更改文件的内容,删除文件和子目录
Full control RXWDPO 具有 Change的权限,另外用户可以更改权限和获取目录的所有权。
文件权限
No Access 用户不能访问该文件
Read RX 用户可以读取该文件,如果是应用程序可以运行
Change RXWD 具有 Read的权限,还可以修改和删除文件
Full control RXWDPO 具有 Change的权限,还可以更改权限和获取文件的所有权。
表 9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联
9.3.2 访问控制结构对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体,就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。
1,访问控制矩阵访问控制矩阵也称访问许可矩阵,它用行表示客体,列表示主体,在行和列的交叉点上设定访问权限。表 9.4为一个访问控制矩阵的例子。
File1 File2 File3 File4
张三 Own,R,W Own,R,W
李四 R Own,R,W W R
王五 R,W R Own,R,W
表 9.4 一个访问控制矩阵的例子表中,一个文件的 Own权限的含义是可以授予
( Authorize)或者撤销( Revoke)其他用户对该文件的访问控制权限。例如,张三对 File1具有 Own权限,所以张三可以授予或撤销李四和王五对 File1的读( R)写( W)权限。
访问矩阵比较直观,但是表中会出现空白。
2,访问能力表能力( Capability)是受一定机制保护的客体标志,标记了某一主体对客体的访问权限:某一主体对某一客体有无访问能力,表示了该主体能不能访问那个客体;而具有什么样的能力,表示能对那个客体进行一些什么样的访问。
图 9.2是表 9.4的能力表表示。
张三 File1
Own
R
W
File3
Own
R
W
李四 File1
R
File2
Own
R
W
File3
W
File4
R
王五 File1
R
W
File3
R
File4
Own
R
W
图 9.2 访问能力表的例子访问能力表着眼于某一主体的访问权限,从主体出发描述控制信息,很容易获得一个主体所被授权可以访问的客体及其权限。但要从客体出发获得哪些主体可以访问它,
就困难了。
3,访问控制表访问控制表( Access Control List,ACL)与访问能力表正好相反,是从客体出发描述控制信息,可以用来对某一资源指定任意一个用户的访问权限。图 9.3是表 9.4的访问控制表表示。
ACL的优点是可以容易地查出对某一特定资源拥有访问权的所有用户,有效地实施授权管理,是目前采用的最多的一种实现形式。
File1 张三
Own
R
W
李四
R
File2 李四
Own
R
W
王五
R
File3 张三
Own
R
W
李四
W
王五
R
W
File4 李四
R
王五
Own
R
W
图 9.3 访问控制表的例子
4,授权关系表授权关系表( Authorization Relations)描述了主体和客体之间各种授权关系的组合。表 9.5为表 9.4的授权关系表表示。
授权关系表便于使用关系数据库进行存储。只要按照客体进行排序,就得到了与访问能力表相当的二维表;按照主体进行排序,就得到了与访问控制表相当的二维表。
主 体 访问权限 客 体张三 Own File1
张三 R File1
张三 W File1
张三 Own File3
张三 R File3
张三 W File3
李四 R File1
李四 Own File2
李四 R File2
李四 W File2
李四 W File3
李四 R File4
王五 R File1
王五 W File1
王五 R File2
王五 Own File4
王五 R File4
王五 W File4
表 9.5 授权关系表的一个例子
9.3.3,访问控制实施策略计算机的活动主要是在主体和客体之间进行的。计算机安全的核心问题就是保证主体对客体访问的合法性,既通过对数据及程序的读出、写入、修改、删除、运行等的管理,确保主体对客体的访问是经过授权的,同时要拒绝非授权的访问,以保证信息的机密性、完整性和可用性。
例如,当用户或应用程序试图访问一个文件时,首先需要通过系统调用打开文件。在打开文件之前,访问控制机制被调用。访问控制机制利用访问控制表、访问权力表或访问控制矩阵等,检查用户的访问权限,如果在用户的访问权限内,则可以继续打开文件;如果用户超出授权权限,
则访问被拒绝,产生错误信息并退出。
然而,访问控制所提供的安全性还与访问控制实施的策略有关。下面介绍在计算机系统中常用的 3中访问控制实施策略。
1,自主访问控制自主访问控制,又称任选访问控制( Discretionary
Access Control,DAC)。所以称,自主,,意为:一个拥有一定访问权限的主体,被看作是一定资源的所有者(也往往是创建者),在其拥有的资源范围内,所有者可以自主地直接或间接地将权限传给(分发给)主体,即可以自主地谁可以访问这些资源。
例如,用户 A对客体 O具有访问权限,而 B没有。当 A将对 O的访问权限传递给 B后,B就有了对 O的访问权限。这是目前计算机系统中应用最广泛的一种策略,Unix和 Windows系统都是采用自主型的访问控制策略。 DAC的优点是应用灵活。缺点是,权限传递很容易造成漏洞,所以其安全级别比较低,
不太适合网络环境。
2,强制访问控制强制访问控制( Mandatory Access Control,MAC)的基本思想是系统要,强制,主体服从访问控制政策:系统
(系统管理员)给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员才可以确定用户或用户组的访问权限。
MAC主要用于多层次安全级别的系统(如军事系统)中。
它预先将主体和客体进行分级,定义出一些可信任级别及信息的敏感程度 —— 安全级别(如绝密级、机密级、秘密级、无密级等),然后分别给主体和客体以级别标记。用户必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时,系统对主、客体的安全属性进行比较,来决定该主体是否可以对所请求的客体进行访问。
在典型的应用中,MAC使用两种访问控制关系:上读 /下写 —— 用来保证数据完整性和下读 /上写 —— 用来保证数据机密性。下读 /上写相当于在一个层次组织中,上级领导可以看下级的资料;而下级不能看上级的资料,但可以向上级写资料。
MAC比 DAC具有更强的访问控制能力。但是实现的工作量大,管理不便,不够灵活。
3,基于角色的访问控制基于角色的访问控制( Role-Based Access Control,
RBAC)是 20世纪 90年代提出的访问控制策略。它克服了前面两种传统访问控制策略的不足,成为一种有效的访问控制策略。
为了说明 GBAC的原理,首先观察图 9.4,并从以下几个方面来理解角色。
用户 1 角色 1 权限 a
客体 1
用户 2
用户 3
角色 2
客体 2
客体 2
权限 b
权限 c
权限 d
图 9.4 角色的概念
( 1)在传统的访问控制中,主体与客体直接沟通。而在基于角色的访问控制中,角色是一个中间层,主体(用户)与客体之间没有直接的联系,只能靠角色沟通;用户标识主体本身仅对于身份认证具有意义,真正决定访问权限的是用户的角色标识。
( 2)角色相当于工作部门中的岗位、职位或分工。一个角色可以对应多个用户(相当于一个岗位可以有多个职员),也可以有多个权限(对多个资源的访问权)。角色一方面是用户的集合,一方面又是权限的集合,它作为中间媒介形成用户集合与某种授权的关联。这种关联相对于个体具有较强的稳定性。这样的权限管理与传统的权限管理相比,具有较强的可操作性和可管理性。
( 3)角色由系统管理员定义,角色成员的增减也只能由系统管理员执行,只有系统管理员才有权定义和分配角色,并且授权规则是强加给用户的,用户只能被动地接受,
不能自主地决定。
( 4)在 RBAC系统中,要求区分权限( Authority)和职责( Responsibility):
·一位系统管理员或安全主管可以修改、分配访问权限,
但不可具有访问任何资源的权限;
·一个用户可以具有某种访问权限,但不能涉及访问权限的分配工作。
( 5)角色的控制比较灵活,根据需要可以将某些角色配置得接近 DAC,而让某些角色接近 MAC。
4,多重访问控制策略前面介绍了三种访问控制策略。这些策略并非绝对相互排斥的。将不同的策略综合应用,形成多重访问控制策略,
可以获得更好、更安全的系统保护。在图 9.5所示的多重访问控制策略中,只有各种策略的交集策略允许,多重策略的访问才被许可。当出现一些冲突时,需要在管理层协商协调。 访问控制
DAC MAC
RBAC
图 9.5 多重访问控制策略
9.4 开放系统互联安全体系结构
9.4.1 开放系统互联安全体系结构概述
9.4.2 OSI安全体系结构的安全服务
9.4.3 OSI七层中的安全服务配置
9.4.4 OSI安全体系结构的安全机制
9.4.5 OSI安全体系的安全管理一个信息系统的安全涉及有关安全的众多因素和要求,
如保密性、完整性、可扩展性、方便性、以及成本等。这些要求往往是有冲突的。特别重要的是,存在安全理论与系统实际之间的特殊性冲突。因此一个系统安全的最后实现,一定是这些众多因素的协调和折中考虑,也是理论如何应用于实际的问题。研究信息系统安全体系结构的目的,
就是将普遍性的安全体系原理与信息系统自身的实际相结合,从所需要保护的信息系统资源出发,分析由系统可能的威胁和系统自身可能的漏洞形成的安全风险,建立系统安全需求,从管理和技术上保证安全策略得以完整准确地实现,安全需求得以全面准确地满足。
这一节介绍开放系统互联安全体系结构,即著名的
ISO/OSI安全体系结构。它是国际标准化组织 ISO于 1989年在对 OSI开放系统互联环境的安全性进行深入研究的基础上提出的 ISO-7498-2和,Internet安全体系结构,
( RFC2401)。国家标准,信息处理系统开放系统互联基本参考模型 —— 第二部分:安全体系结构,( GB/T9387.2-
1995)是一个与之等同的标准,它给出了基于 OSI参考模型七层协议之上的信息安全体系结构。
9.4.1 开放系统互联安全体系结构概述
OSI安全体系结构是一个普遍适用的安全体系结构,其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全,其基本思想是,为了全面而准确地满足一个开放系统的安全需求,必须在七个层次中提供必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。这个体系结构可以用图 9.6表示。
OSI参考模型安全机制安全服务应用层表示层会话层传输层网络层数据链路层物理层鉴别服务访问控制数据完整性数据机密性抗抵赖加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证图 9.6 OSI安全体系结构
OSI安全体系结构提供的内容有:
( 1)提供安全体系结构所配备的安全服务(亦称安全功能)和有关安全机制在体系结构下的一般描述;
( 2)确定体系结构内部可以提供相关安全服务的位置;
( 3)保证完全准确地配置安全服务,并且一直维持于信息系统安全的生命周期中,安全服务必须满足一定强度的要求;
( 4)一种安全服务可以通过某种单独的安全机制提供,
也可以通过多种安全机制联合提供,一种安全机制可用于提供一种或多种安全服务,在七层协议中除第五层(会话层)外,每一层均能提供相应的安全服务。
实际上,最适合配置安全服务的是在物理层、网络层、
传输层和应用层上。其他层都不宜配置安全服务。
9.4.2 OSI安全体系结构的安全服务
OSI安全体系结构中定义的 5大类安全服务,也称安全防护措施。
1,鉴别服务鉴别是最基本的安全服务,是对付假冒攻击的有效方法。
鉴别可以分为对等实体鉴别和数据源鉴别。
( 1)对等实体鉴别对等实体鉴别是在开放系统的两个同层对等实体间建立连接和传输数据期间,为证实一个或多个连接实体的身份而提供的一种安全服务。这种服务可以是单向的,也可以是双向的;
可以带有有效期检验,也可以不带。从七层参考模型看,
当由( N)层提供这种服务时,将使( N+1)层实体确信与之打交道的对等实体正是它所需要的对等( N+1)层实体。
( 2)数据源鉴别数据源鉴别服务是对数据单元的来源提供识别,但对数据单元的重复或篡改不提供鉴别保护。从七层参考模型看,
当由( N)层提供这种服务时,将使( N+1)层实体确信数据来源正是它所需要的对等( N+1)层实体。
2,访问控制访问控制用于防止资源的未授权使用。在 OSI安全体系结构中,访问控制的安全目标是:
( 1)通过进程(可以代表人员或其他进程行为)对数据不同进程或其他计算资源的访问控制。
( 2)在一个安全域内的访问或跨越一个或多个安全域的访问控制。
( 3)按照其上下文进行的访问控制。如根据试图访问的时间、访问者地点或访问路由等因素的访问控制。
( 4)在访问期间对授权更改做出反应的访问控制。
3,机密性机密性就是保护信息(数据)不泄露或不泄露给那些未授权掌握这一信息的实体。
在信息系统安全中需要区分两类机密性服务:
·数据机密性服务:使攻击者想要从某个数据项中推出敏感信息是十分困难的。
·业务流机密性服务:使攻击者想要通过观察通信系统的业务流来获得敏感信息是十分困难的。
根据所加密的数据项,机密性服务可以有如下几种类型;
( 1)连接机密性:为一次( N)连接上的所有( N)用户数据提供机密性保护。
( 2)无连接机密性:为单个无连接的( N) SDU中的全部( N)用户数据提供机密性保护。
( 3)选择字段机密性:为那些被选择的字段提供机密性保护。这些字段或处于( N)连接的( N)用户中,或者为单个无连接的( N) SDU中的字段。
( 4)通信业务流机密性:使得通过观察通信业务流而不可能推断出其中的机密信息。
4,完整性完整性服务用于对抗数据在存储、传输等处理过程中受到的非授权修改。
完整性服务有三种重要类型:
·连接完整性服务
·无连接完整性服务
·选择字段完整性服务完整性服务还可以按是否具有恢复功能,分为:
·不具有恢复功能的完整性服务:检测到数据的完整性破坏,仅仅给出报告而不采取进一步的措施。
·具有恢复功能的完整性服务:不仅检测到数据的完整性破坏,而且能正确地将数据恢复到破坏前的样子。
OSI安全体系把完整性服务概括为:
( 1)带恢复的连接完整性:为( N)连接上的所有( N)
用户数据保证其完整性,并检测整个 SDU序列中的数据遭受到的任何篡改、插入、删除、或者同时进行补救和 /或恢复。
( 2)不带恢复的连接完整性:同带恢复的连接完整性,
只是不做补救恢复。
( 3)选择字段的连接完整性:为一次连接上传送的( N)
SDU的( N)用户数据中的选择字段提供完整性保护,确定被选择字段是否遭受了篡改、插入、删除或不可用。
( 4)无连接完整性:为单个无连接上 SDU提供完整性保护,:检测一个接收到的 SDU是否遭受了篡改,并在一定程度上提供对连接重放检测。当这种服务由( N)提供时,对发出请求的那个( N+1)实体也就提供了完整性保护。
( 5)选择字段的无连接完整性:为单个无连接上的 SDU
中的选择字段提供完整性保护,检测被选择字段是否遭受了篡改。
5,抗抵赖其他安全服务是针对来自未知攻击者的威胁,而抗抵赖服务的目的是保护通信实体免遭来自其他合法实体的威胁。
OSI定义的抗抵赖服务有两种类型:
( 1)有数据原发证明的抗抵赖:为数据的接收者提供数据的原发证据,使发送者不能抵赖这些数据的发送或否认 \
发送内容。
( 2)有交付证明的抗抵赖:为数据的发送者提供数据交付证据,使接收者不能抵赖收到这些数据或否认接收内容。
9.4.3 OSI七层中的安全服务配置
1,安全分层及服务配置原则决定安全服务对层分配以及伴随而来的安全机制在这些层上的配置,按照下列原则进行。
( 1)实现一种服务的不同方法越少越好;
( 2)在多层上提供安全服务来建立安全系统是可取的;
( 3)为安全所需的附加功能不应该、不必要地重复 OSI
的现有功能;
( 4)避免破坏层的独立性;
( 5)可信功能 2的总量应尽量少;
( 6)只要一个实体依赖于由位于较低层的实体提供的安全机制,那么任何中间层应该按不违反安全的方式构建;
( 7)只要可能,应以不排除作为自容纳模块起作用的方法来定义一个层的附加安全功能;
( 8)本标准被人定用于由包含所有 7层的端系统组成的开放系统以及中继系统。
2,在 OSI各层中的安全服务配置
OSI各层提供的安全服务配置如表 9.6所示。不论所要求的安全服务是由该层提供或下层提供,各层上的服务定义都可能需要修改。
安全服务 协 议 层
1 2 3 4 5 6 7
对等实体鉴别 √ √ √
数据源鉴别 √ √ √
访问控制 √ √ √
连接机密性 √ √ √ √ √ √
无连接机密性 √ √ √ √ √
连接字段机密性 √
通信业务流机密性 √ √
带恢复的连接完整性 √ √ √
不带恢复的连接完整性 √ √
选择字段连接完整性 √ √ √
无连接完整性 √
选择字段无连接完整性 √ √ √
有数据原发证明的抗抵赖 √
有交付证明的抗抵赖 √
表 9.6 OSI各层中的安全服务配置
9.4.4 OSI安全体系结构的安全机制
OSI安全体系结构没有说明 5种安全服务如何实现,但是它给出了 8种基本(特定的)安全机制,使用这 8种安全机制,再加上几种普遍性的安全机制,将它们设置在适当的
( N)层上,用以提供 OSI安全体系结构安全服务。
1,OSI的 8种特定的安全机制
( 1)加密在 OSI安全体系结构的安全机制中,加密涉及 3个方面的内容:
·密码体制的类型:对称密码体制和非对称密码体制。
·密钥管理。
·加密层的选取:表 9.7给出了加密层的选取时要考虑的因素,它不推荐在数据链路层上的加密。
加 密 要 求 加密层对全部通信业务提供加密 物理层细粒度保护(对每个应用提供不同的密钥)
抗抵赖或选择字段保护表示层提供机密性与不带恢复的完整性对所有端对端之间通信的简单块进行保护希望有一个外部的加密设备(如为了给算法和密钥提供物理保护或防止软件错误)
网络层提供带恢复的完整性以及细粒度保护 传输层表 9.7 加密层的选取时要考虑的因素
( 2)数字签名数据签名是附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种附加数据或变换可以起如下作用:
·供接收者确认数据来源;
·供接收者确认数据完整性;
·保护数据,防止他人伪造。
数字签名需要确定两个过程:
·对数据单元签名:使用签名者私有(独有或机密的)
信息。
·严正签过名的数据单元:使用的规程和信息是公开的,
但不能推断出签名者的私有信息。
( 3)访问控制访问控制是是一种实施对资源访问或操作加以限制的策略。此外,它还可以支持数据的机密性、数据完整性、可用性以及合法使用的安全目标。访问控制机制可应用于通信联系中的任一端点或任一中间点。
访问控制机制可以建立在下面的一种或多种手段之上;
·访问控制信息库:保存了对等实体的访问权限。
·鉴别信息,如口令等。
·权限。
·安全标记。
·试图访问的时间。
·试图访问的路由。
·访问持续期。
( 4)数据完整性数据完整性保护的目的是避免未授权的数据乱序、丢失、
重放、插入和篡改。下面讨论数据完整性的两个方面。
( a)单个数据或字段的完整性:决定单个数据单元的完整性涉及两个实体:一个在发送实体上,一个在接收实体上。发送实体给数据单元附上一个附加量,接收实体也产生一个相应的量,通过比较二者,可以判定数据在传输过程中是否被篡改。
( b)数据单元流或字段流的完整性:对于连接方式数据传送,保护数据单元序列的完整性(包括防止乱序、数据丢失、重放或篡改),还需要明显的排序标记,如顺序号、
时间标记或密码链;对于无连接数据传送,时间标记可以提供一定程度的保护,防止个别数据单元重放。
( 5)鉴别交换
( a)可用于鉴别交换的技术
·鉴别信息:如口令;
·密码技术;
·使用该实体特征(生物信息等)或占有物(信物等)。
( b)可以结合使用的技术
·时间标记与同步时钟;
·两次握手(单方鉴定)和三次握手(双方鉴定);
·数字签名和公证。
( 6)通信业务填充通信业务填充是一种反分析技术,通过虚假填充将协议数据单元达到一个固定长度。它只有受到机密服务保护才有效。
( 7)路由选择控制路由选择控制机制可以使敏感数据只在具有适当保护级别的路由上传输,并且采取如下一些处理:
·检测到持续的攻击,可以为端系统建立不同的路由的连接。
·依据安全策略,使某些带有安全标记的数据禁止通过某些子网、中继或链路。
·允许连接的发起者(或无连接数据单元的发送者)指定路由选择,或回避某些子网、中继或链路。
( 8)公证公证机制是由可信的第三方提供数据完整性、数据源、
时间和目的地等的认证和保证。
2,OSI安全服务与安全机制之间的关系表 9.8为 OSI安全服务与安全机制之间的关系。
安 全 服 务安 全 机 制加密 数字签名 访问控制数据完整性鉴别交换业务填充路由控制 公证对等实体鉴别 √ √ √
数据源鉴别 √ √
访问控制 √
连接机密性 √ √
无连接机密性 √ √
连接字段机密性 √
流量机密性 √ √ √
带恢复的连接完整性 √ √
不带恢复的连接完整性 √ √
选择字段连接完整性 √ √
无连接完整性 √ √ √
选择字段无连接完整性 √ √ √
原发方抗抵赖 √ √ √
接收方抗抵赖 √ √ √
表 9.8 OSI安全服务与安全机制之间的关系
9.4.5 OSI安全体系的安全管理
OSI安全管理活动有如下 3类:系统安全管理、安全服务管理和安全机制管理。此外还必须考虑 OSI本身的安全和特定的系统安全管理活动。
1,系统安全管理系统安全管理着眼于 OSI总体环境的管理,其典型活动有:
( 1)总体安全策略的管理,包括一致性修改与维护。
( 2)与别的 OSI安全管理的相互作用。
( 3)与安全服务管理和安全机制管理的交互。
( 4)事件处理管理。在 OSI中可以看到的是事件管理的实例,是远程报告的明显违反安全的企图以及对用来触发事件报告的阈值的修改。
( 5)安全审计管理。主要内容有:
·选择将被记录和被远程收集的事件;
·授予或取销对所选事件进行审计跟踪日志记录的能力;
·所选审计记录的收集;
·准备安全审计报告。
( 6)安全恢复管理。主要内容有:
·维护用于对实用或可疑安全事件做出反应的规则;
·远程报告明显的系统安全违规;
·安全管理者的交互。
2,安全服务管理安全服务管理指特定安全服务的管理。在管理一种特定安全服务时,可能的典型的活动有:
( 1)为该种服务决定并指派安全保护的目标。
( 2)在有可选择情况时,指定与维护选择规则。
( 3)对需要事先取得管理者同意的安全机制进行协商。
( 4)通过适当的安全机制管理功能,调用特定的安全机制。
( 5)与其他安全服务管理功能和安全机制管理功能交互。
3,安全机制管理安全机制管理指特定安全机制的管理。典型的安全机制管理有下列一些。
( 1)密钥管理
·间歇性地产生与所要求的安全级别相称的合适密钥;
·根据访问控制的要求,决定每个密钥应分发给哪个实体;
·用可靠办法使这些密钥对开放系统中的实体是可用的,
或将这些密钥分配给它们。
( 2)加密管理
·与密钥管理交互;
·建立密码参数;
·密码同步。
( 3)数字签名管理
·与密钥管理交互;
·建立密码参数与密码算法;
·在通信实体与可能有的第三方之间使用协议。
( 4)访问控制管理
·安全属性(包括口令)的分配;
·对访问控制表或权力表进行修改;
·在通信实体与其他提供访问控制服务的实体之间使用协议。
( 5)数据完整性管理
·与密钥管理交互;
·建立密码参数与密码算法;
·在通信实体间使用协议。
( 6)鉴别管理
·将说明信息、口令或密钥(使用密钥管理)分配给要求执行鉴别的实体;
·在通信的实体与其他提供鉴别服务的实体之间使用协议。
( 7)通信业务填充管理
·预定的数据率;
·指定随机数据率;
·指定报文特性,例如长度等;
·可能按时间或日历来改变这些规定。
( 8)路由选择控制管理路由选择管理的主要功能是确定那些按特定准则被认为是安全可靠和可信任的链路或子网络。
( 9)公证管理
·分配有关公证的信息;
·在公证方与通信的实体之间使用协议;
·与公证方的交互作用。
4,OSI管理的安全所有 OSI管理功能的安全以及 OSI管理信息的通信安全是
OSI安全的重要部分。这一类安全管理将对上面所列的 OSI
安全服务与机制进行适当的选取,以确保 OSI管理协议与信息获得足够的保护。例如,在管理信息库的管理实体之间的通信一般要求某种形式的保护。
5,特定的系统安全管理活动
( 1)事件处理管理
·远程报告违反系统安全的明显企图;
·对用来触发事件报告的阈值的修改。
( 2)安全审计管理
·选择将被记录和被远程收集的事件;
·授予或取消对所选事件进行审计跟踪日志记录的能力;
·所选审计记录的远程收集;
·准备安全审计报告。
( 3)安全恢复管理
·维护那些用来对实有的或可疑的安全事故作出反应的规则;
·远程报告对系统安全的明显违反;
·安全管理者的交互作用。
9.5 PPDR安全管理模型
9.5.1 安全管理思想的发展
9.5.2 PPDR模型的特点
9.5.1 安全管理思想的发展随着安全对抗技术拉锯式的发展,信息系统安全管理的思想有两个明显的发展趋势:
一是从被动加固和防护到主动防御。传统的信息安全技术都集中在系统自身的加固与保护上,例如数据传输和存储中的加密技术、集中的身份认证产品在网络的出口配置防火墙等。然而这样的被动防御,往往只有事倍功半的效果:由于构筑防御设施时,不了解安全威胁的严重程度和当前的安全现状,往往投资盲目又抓不住安全的关键。实际上,理想的系统安全需要一种检测机制,以便动态地发现危机。此外还需要响应机制,以便发现问题后快速进行处理和恢复。 PDR( Protection Detection Reaction,防护 -检测 -响应)模型,就是最早体现这一思想的安全模型。
另一个趋势是从静态防御向动态防御发展。因为早期主要基于主机 -终端环境的静态安全模型很难完全反映分布式的、动态变化的、发展迅速的 Internet的安全现实。 20世纪 90年代末,美国国际互联网安全系统公司( ISS)提出的动态的自适应网络安全模型( Adaptive Network Security
Model,ANSM),就是基于这种思想的一种安全管理模型。
实际上,这两种思想是一致的。因为动态防御,需要的正是动态检测与响应。所以 ANSM是一种以 PDR为核心的安全模型。不过,ANSM有更高的目标,它试图建立的模型是可量化的、可由数学证明的、基于时间的模型。它的基本思想是在整体的安全策略的指导下,在综合应用防护工具
(如防火墙、操作系统身份认证和加密等手段)的同时,
利用检测工具(如漏洞评估、入侵检测等)了解和评价系统的安全状态,将系统调整到,最安全,和,风险最低,
的状态。
基于这一思想,它在 PDR的基础上,强调了整体管理策略( Policy)在系统安全工程中的主导地位,形成图 9.7所示的 PPDR(或 P2DR)模型。
应检测响防护策 略图 9.7 PPDR(或 P2DR)模型这个图描述了这样一种模型:检测 — 响应 — 防护 — 检测 —
……,周而复始地围绕整体安全策略动态地运行着。它强调了安全策略的核心(主导)地位,又强调了检测 — 响应 —
防护 — 检测 — …… 的动态性。
9.5.2 PPDR模型的特点
PPDR模型也可以用下面的形式表述:
安全 = 风险分析 + 执行策略 + 系统实施 + 漏洞检测
+ 实时响应下面进一步讨论 PPDR模型的应用特点。
( 1)安全策略是整个系统安全的依据根据 PPDR模型理论,安全策略是整个网络安全的依据,
所有的检测、响应、防护都是依据安全策略实施的。不同的网络系统需要不同的安全策略。在制订安全策略之前,
需要全面地考虑各方面的安全性问题,如:
·局域网中如何在网络层实现安全性;
·如何控制远程用户的安全性;
·广域网上的数据传输如何实现数据加密和用户认证;
·…… 。
要对这些问题做出详细回答,并确定相应的防护手段和实施方法。
强调安全策略的实质是充分考虑了人的管理的因素。
( 2)加进了时间因素
PPDR模型最独特之处在于加进了时间因素。 PPDR模型有比较严格的理论体系,有数学模型作为其论述基础。在该模型中有两个典型的数学公式:
公式 1,Pt > Dt + Rt
式中:
Pt—— 防护时间,代表入侵者攻击安全目标所花费的时间 = 系统为保护安全目标而设置各种防护后的防护时间。
Dt—— 检测时间,代表从入侵者发动入侵开始,到系统能够检测到入侵行为所花费的时间。
Rt—— 响应时间,代表从发现入侵行为开始到系统能够做出响应并将系统调整到正常状态的时间。
这个公式可以称为防护时间充分条件,即防护时间大于检测时间与响应时间之和,则在入侵者危害安全目标之前就能将其检测到并及时处理。假设公式 2,Et = Dt + Rt - Pt
这个公式可以称为:系统安全条件公式。 Et称为安全目标系统的暴露时间。由于 Et越小,系统越安全,所以要求检测时间 Dt与响应时间 Rt都应尽量小,而系统防护时间应尽量长。
时间因素的引入,使安全成为可测即可控。
习 题
1,分析一个具体系统的安全需求 。
2,根据一个具体系统的安全需求,给出相应的安全策略 。
3,OSI安全体系包括了哪些安全机制和安全服务? 它们之间有哪些对应关系?
4,为学生成绩管理系统设计一个安全策略 。 这个系统最少要由学生,教师和管理人员访问 。
5,在一个具有读、写、准许和取消 4种访问操作的系统中,准许操作可以授予其他主体读和写的访问权限,并且还可以授予其他主体发布对你拥有的资源的访问权限。如果你要使用准许和取消操作来控制对你所拥有的一个客体的所有访问,你应当采用什么样的数据结构和算法来实现准许和取消操作。
6,如何理解 OSI安全体系的安全机制和安全服务之间的对应关系?
7,动态的自适应网络安全模型的基本思想是什么? 它有什么特点?
8,给出一个中等规模的局域网 ( 包含一些子网,但不跨多个地域 ),为其设计一个安全解决方案 。
9,收集国内外有关信息安全体系结构和安全模型的网站信息,简要说明各网站的特点
10,收集国内外有关信息安全体系结构和安全模型的最新动态。
