第七章安全架构与安全模型.ppt

BLP 模型 Bell-LaPadula Model 用来描述美国国防部的多级安全政策 用户与文件分成不同的安全级别，各自带有一个安全标签 Unclassified, Confidential , Secret, Top Secret 每个用户只可以读同级或级别更低的文件 BLP模型只描述了保密性，没有描述完整性和可用性的要求 BLP 模型 向下写是不允许的 向上读是不允许的 Subjects Objects 简单安全特性 * 特性 BLP 模型 TS S C U TS S C U R/W W R/W R R/W R W R R R R/W R W W W W Subjects Objects Information Flow BLP 模型的信息流 完整性模型 Biba 模型 安全政策需求：完整性 规则：no read down , no write up 基本内容 1 安全体系结构 2 安全模型 3 安全等级评估 安全等级评估 安全等级评估的意义 计算机与网络的应用环境不同 对安全性的要求也不同 安全等级评估可以为用户选择计算机系统提供指导、依据或参考 安全等级评估标准的发展历程 1983(1985) TCSEC 1991年欧洲 ITSEC 1990年加拿大 CTCPEC 1991年美国 联邦准则FC 1996年国际 通用准则 CC 1996年 国际标准 ISO 15408 安全等级评估 美国： Trusted Computer System Evaluation Criteria(TCSEC) Trusted Network Interpretation (TNI) 欧洲： ITSEC 加拿大：CTCPEC ISO : CC( Common Criteria for Information Technology Security Evaluation ) V2.0, 1999 中国：GB17859-99 可信计算机系统评估准则（TCSEC） 可信计算基（Trusted Computing Base） 一个实现安全政策的所有安全机制的集合，包括硬件、软件与固件，它根据安全政策来处理主体（Subject）对客体（Object）的访问 TCB 安全政策 Subject Object TCSEC 相关概念 主体（Subject）：用户，进程 客体（Object）：文件、内存等资源 访问（Access Control）：读、写、执行、等 标识（Identification）： 标签（Label）：主体或客体安全级别的一种属性 安全政策，主要指访问控制政策 TCSEC 相关概念 自主型访问控制（Discretionary Access Control） 客体的所有者可以将访问权限自主的分配个其他主体 灵活 强制型访问控制（Mandatory Access Control） 由安全管理员决定主体与客体的属性 由操作系统规则根据属性决定访问控制权限 TCSEC 四类、七个级别 D ： 最小保护类，D级 C：自主保护类 安全措施：自主访问控制，审计跟踪 C1：自主安全保护 用户与数据隔离 C2：可控的安全保护 唯一标识 审计记录 可追查责任 TCSEC 四类、七个级别 B： 强制安全保护类 要求实行强制型访问控制政策 B1 ：标记安全保护 B2： 结构安全保护 B3： 安全区域级保护 A： 验证安全保护类 要求用形式化的方法证明系统的安全型 A1：验证设计级保护 ＝B3+设计安全性证明 A2：验证实现级保护 , 无法提出具体要求 我国的等级评测标准（GB17859-99） 第一级 用户自主保护级 身份认证，自主型访问控制 第二级 系统审计保护级 认证、自主型访问控制、审计 第三级 安全标记保护级 强制型访问控制 第四级 结构化保护级 形式化的安全策略模型，考虑隐蔽信道 第五级 访问验证级保护 访问监控器抗篡改、可分析测试 自动终止安全事件 系统可恢复 CC的范围与目标用户 范围 评估对象（TOE）：操作系统、计算机网络、分布式应用系统，包括保密性、完整性与可用性； 逻辑上的安全控制机制，不包括行政管理、物理安全、密码强度等 用户 消费者：可以用评估结果决定一个已评估的产品和系统是否满足要求； 开发者：为评测产品的安全需求提供支持 评估者：提供评估准则 其他：安全的规划和设计 CC的评估类型 保护轮廓（PP） 一组独立于实现的安全需求，描述用户对一类评估对象的技术特殊需要。 PP的评估目的是证明PP是完整的一致的、技术合理的 安全目标（ST） 一组安全需求与说明，用于评估TOE的基础，包括功能的和保障的尺度。ST是开发者、评估者、消费者关于TOE安全特性和评估范围的共同的约定。 对ST的评估有双重目的：一是ST是完