攻防安全模型.ppt

计算机网络攻防安全模型 COPYRIGHIT BY S.T.C.N 中国网络安全部队 HTTP://WWW.STCNHACK.COM 2005.7.30 报告大纲 传统安全模型 攻防模型 总体结构 信息系统模型 脆弱性分析模型 攻击场景模型 防御系统模型 攻防模型小结 传统安全模型 形式化安全策略模型 完整性模型 Biba模型 Clark-Wilson模型 保密性模型 访问控制模型 （规范并描述了系统实现保密的特定机制 ） BLP模型[BLP76] RBAC模型[FK92] DTE模型 传统安全模型 接口模型（规范保密性需求，但不描述实现该需求的机制 ） 信息流模型[Denn76] 不干扰模型[GM82] 新近的发展包括基于程序设计语言的安全模型 非形式化的安全风险模型 如PDCA[Dale02]、P2DR [ISS04]、PDRR[ISS04]、IATF[IATF02]和SSE-CMM[Cai04]模型等等。还有新近的博弈模型 传统安全模型 相关模型 ITIL指南 COBIT模型 传统安全模型的缺点 形式化安全模型的缺点（以BLP模型为例） BLP模型的四个缺点： 首先，访问控制的颗粒度问题。 其次，BLP模型不能防止隐通道[QLW04]。 再者，BLP模型中存在系统安全转移问题 最后，BLP模型中可信主体不受星特性约束，访问权限太大，不符合最小特权原则，应对可信主体的操作权限和应用范围进一步细化。这个可以使用RBAC模型克服。 传统安全模型的缺点 基于形式化方法的安全模型经历了近三十年的研究，至今仍然在理论与实践中存在巨大的困难，主要体现在以下方面：首先，严格的形式化方法使得系统的可用性大大降低，而且依据严格形式化的安全模型建构系统开销太大，给实际应用带来困难。其次，形式化方法的局限使得系统不能对所有安全模型的安全性进行证明，更糟糕的是，形式化方法建立的安全，往往被攻击者从模型假定条件之外入侵，即形式化方法并不能建立或保证完全的安全，比如现实中的安全问题常常是软件的使用违背了软件设计中对目标环境的假定造成的。还有，现在的安全模型还受到来自新的分布式系统发展的挑战，比如随着移动系统、网格系统等新型分布式系统的发展，传统安全模型的表达能力、分析能力都不能满足要求。 传统安全模型的缺点 除了形式化方法本身的问题，在实际的安全工程实践中，形式化安全模型还存在一些实际设施上的困难：1）形式化规范常常只能在一些高安全系统和小系统中实现，比如基于形式化BLP模型的网络可信计算基理论已经很成熟，但是却很少在实际中大量使用。2）访问控制的控制对象粒度很粗，这就容易导致存在不受访问控制约束的对象，造成安全漏洞。粗粒度的访问控制也容易被突破。3）信息系统中过程、人、组织等造成的风险不能使用形式化规避。4）软件使用中的配置、环境假定违背等也不能通过形式化方法解决，因为它们通过违背形式化假定达到目的[Matt04]。5）现有大量信息系统的实现因为缺乏安全指导或项目进度等原因没有考虑安全因素。6）形式化安全模型常常是一种开环控制构成的一道屏障，一旦突破即会失去安全屏障。 传统安全模型的缺点 从上述模型可以看出，要对信息系统实施安全保障，都需要掌握组织的安全情况，也就是进行风险评估。根据风险评估的结果，才能对系统进行有效的风险控制。风险评估需要了解信息系统资产、威胁、脆弱性及其影响。所以，基于非形式化的风险安全模型需要具体的信息系统资产、威胁、脆弱性模型支持。但目前的安全风险模型都没有这些具体的模型。此外，上述模型分别从不同角度刻画了信息系统安全的各个方面，它们之间具有的关系并没有在各自模型或标准中说明，这些模型或标准之间的关系也是目前研究的热点。 报告大纲 传统安全模型 攻防模型 总体结构 信息系统模型 脆弱性分析模型 攻击场景模型 防御系统模型 攻防模型小结 攻防模型 攻防模型希望在如下方面进行改进以克服已有模型的不足：1）攻防模型是基于风险的安全模型，从而可以克服形式化安全策略模型的一些不足，如不能规避信息系统中过程、人、组织等造成的风险以及不能解决软件使用中的配置、环境假定违背等。2）攻防模型中含有详细的信息系统资产、威胁、脆弱性模型，为风险评估提供依据。3）在攻防模型中为现有安全风险模型（及其标准）提供融合的、协调的统一框架。4)将攻击和防御包含在一个模型中，从而全面地刻画安全系统的信息。5）利用博弈思想刻画攻防双方的互动特性。 攻防模型 具体地说，攻防模型的一些假定如下： 1）攻防模型将安全系统的研究对象定义为构建可信信息系统并抵御信息系统的脆弱性，研究对象的建模分为两个层次：首先是信息系统模型，然后是信息系统的脆弱性模型。 2）信息系统的定义采用我国信息系统安全保障通用评估准则（草稿）中给出的信息系统的定义。即