CISP考试复习-信息安全模型讲义.pptVIP

模型概念 安全模型用于精确和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。 按机制分类：访问控制模型、信息流模型等。 按服务分类：机密性、完整性、可用性模型等 但“安全模型”的表达能力有其局限性，通常的模型是形式语法多于形式语义，甚至只是自然语言的描述。 重要 自主访问控制 特点： 根据主体的身份和授权来决定访问模式。 与MAC相比：松耦合，分布式授权 缺点： 信息在移动过程中，其访问权限关系会被改变。 实现机制： 访问控制列表ACL(s,o)；权能列表Capabilities（s,s) 数据分类 被限制数据（CDI），完整性保护的客体。 非限制数据（UDI），不需保护的客体。 访问控制方法 定义可以针对每一个数据（数据类型）完成的访问操作（转换过程）； 定义可以由主体（角色）完成的访问操作。 保护方法 完整性确认过程（IVP）：确认数据处于一种有效状态。 转换过程（TP）：将数据从一种有效状态改变到另一种有效状态。 如果只有一个转换过程能够改变数据，则该数据是完整的。 完整性系统记录所有转换过程，并提供对数据改变的审计跟踪。 实践中，Clark和Wilson提出完整性监控（“证明规则”）和完整性保持（“强制规则”）来实现。前者由管理员来执行，后者由系统来保证。 多级安全模型Biba模型 模型简介 涉及计算机完整性的第一个模型 一个计算机系统由多个子系统组成 子系统是按照功能或权限将系统（主体和客体）进行划分的 在子系统级进行评估系统的完整性 系统完整性威胁来源 内部威胁：子系统的一个组件是恶意的/不正确的。 外部威胁：一个子系统通过提供错误数据/不正确的函数调用来修改另一个子系统。 Biba认为可以通过程序测试和检验来消除内部威胁，因此，该模型仅针对外部模型。 完整性策略 最低点策略 针对客体的最低点策略 最低点完整性审计策略 Ring策略 严格的完整性策略 Biba模型的缺点 Biba定义的完整性只是一个相对的，而不是绝对的度量。没有使用明确的属性来判断系统是否拥有完整性。 它没有关于明确的信息分级的标准。 多边安全模型 信息结构 多边安全控制模型控制数据在A、B、C、D、E之间的流动。 多边安全模型Chinese Wall模型 模型简介 访问数据不是受限于数据的属性（密级），而是受限于主体已经获得了对哪些数据的访问权限。 将一些可能会产生访问冲突的数据分成不同的数据集，并规定所有主体最多只能访问一个数据集。而不限制到底选择访问哪个数据集。 模型安全策略 主体只能访问那些与已经拥有的信息不冲突的信息。 一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体，或在不同兴趣冲突组中的信息。 在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集。 模型举例 有公司A、B，数据类型分为石油业务数据、银行数据 组划分 访问控制 第一次访问是自由的，不妨设为A石油业务数据集； 可以访问A金融数据集； 不可以访问B石油数据集。 总结：1）可以访问与主体曾经访问过的信息同属于同一个公司的数据集，即墙内信息；2）可以访问一个完全不同的兴趣冲突组。 多边安全模型BMA 模型简介 英国医学会（BMA）提出的。 由客体同意哪些主体可以有条件地查看并使用客体信息。 保证客体信息的完整性和可用性。 BMA安全策略主要原理 访问控制表——每一份病历记录都有一个访问控制表标记，用以说明可以读取和添加数据的人和组。 打开记录——医生可以打开访问控制列表中与他有关的病人的病历。需要经过病人委托。 控制——在每个访问控制列表中必须有一个是可信的，只有他才能对病历进行写入。 同意和通报——可靠的医生在打开病历时，应将访问控制列表中的名字、后续条件、可靠性的传递通知病人。 持续性——任何人都不能删除病历记录，除非它已过期。 日志——记录对病历记录的全部访问。 可信计算——处理以上原理的计算机应该有一个有效的方法实现，实现方法需要由独立专家评估。 三、多维模型与安全技术框架 目录 概述 信息安全模型简介 多维模型与安全技术框架 多维安全模型 安全服务 抗抵赖 可鉴别 保密性 完整性 可用性 信息状态 安全措施 处理 存储 传输 技术 人员 运行 IATF技术框架 预 防 检 测 响 应 恢 复 安全策略 安全管理 安 全 管 理 安全管理 安 全 管 理 * 从模型所有控制的对象分： 信息流模型 访问控制模型 * 1965年，美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个被称为Multics的操作系统，其目标要设计一款有着强大计算能力、存储能力、并发能力及高安全性的新操作系统。虽然由于该项目的目标过多，对当时计算机理论水平来讲过于理想，项目最终失败