信息安全模型讲稿.ppt

信息安全模型 张利 博士 中国信息安全产品测评认证中心 信息安全模型 1 安全模型概念 2 访问控制模型 3 信息流模型 4 完整性模型 5 信息安全模型 1 安全模型概念 安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释系统安全相关行为的理由。 分类1：访问控制模型，信息流模型。 分类2：机密性要求，完整性，DoS，等 现有的“安全模型”本质上不是完整的“模型”：仅描述了安全要求(如：机密性)，未给出实现要求的任何相关机制和方法。 信息安全层次关系 信息安全体系结构 安全模型的作用 .provide additional assurance that the security functions in the functional specification enforce the policies in the TSP [TOE security policy].. (CC, objectives of Class ADV_SPM Achieved by means of an abstract statement of the important principles of security that TOE will enforce(ITSEC) 安全策略模型 适于分析的、对于安全特征和原理的抽象描述 包括两个部分： 安全特征模型： 安全属性模型 安全模型 安全目标：机密性，完整性，DoS，…… 控制目标：保障（TCB, Reference Monitor），安全政策（Policy），审计 安全模型的形式化方法： ——状态机，状态转换，不变量 ——模块化，抽象数据类型（面向对象） 安全模型的特点 精确、无歧义 简单和抽象，容易理解 模型的一般的，只涉及安全性质，具有一定的平台独立性，不过多抑制系统的功能或实现； 形式化模型是对现实世界的高度抽象，可以设定具体应用目标，并可以利用工具来验证；形式化模型适用于对信息安全进行理论研究。 安全模型作用 设计阶段 实现阶段 检查阶段（Review） 维护阶段 安全模型抽象过程 Step 1: Identify Requirements on the External Interface.(input,output,attribute.) Step 2: Identify Internal Requirements Step 3: Design Rules of Operation for Policy Enforcement Step 4: Determine What is Already Known. Step 5: Demonstrate Consistency and Correctness Step 6: Demonstrate Relevance Overview 2 访问控制模型 2.1 自主访问控制（Discretionary Access Control-- DAC）机密性与完整性 木马程序 2.2 强制访问控制（Mandatory Access Control-- MAC） 机密性 隐通道 2.3 基于角色访问控制(RBAC) 管理方式 访问控制模型的基本组成 访问控制的策略和机制 访问控制策略(Access Control Policy) 访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。 访问控制机制（Access Control Mechanisms) 是访问控制策略的软硬件低层实现。 访问控制的一般策略 2.1 自主访问控制 自主访问控制 针对访问资源的用户或者应用设置访问控制权限；根据主体的身份及允许访问的权限进行决策；自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 特点： 灵活性高,根据主体的身份和授权来决定访问模式。 缺点： 信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 2.2 强制访问控制 强制访问控制 在自主访问控制的基础上，增加了对资源的属性(安全属性）划分，规定不同属性下的访问权限。 规定 一般安全属性可分为四个级别：最高秘密级（Top Secret）、 秘密级（Secret）、机密级（Confidential）以及无级别级（Unclassified ） 规定如下的四种强制访问控制策略： 下读:用户级别大于文件级别的读操作; 上写:用户级别低于文件级别的写操作; 下写:用户级别大于文件级别的写操作; 上读:用户级别低于文件级别的读操作; BLP模型 BLP模型的组成元素包括访问主体、访问客体、访问权