金融信息安全访问控制.pptVIP

一致性验证过程 第三十页，共八十七页。 基于授权证书，可实现一个独立于具体应用的信息管理模型。 在这个模型，应用服务器是策略实施点，在进行交易过程中，应用服务器方向信任管理引擎发送一个验证的请求。 信任管理引擎是策略决策点，根据授权证书和本地策略库中的相关策略，输出是否容许访问的应答。 策略准确定义了什么时候权限验证者应该确定一套已存在的权限是“充分的”，可以对要求的对象、资源，应用等等进行访问。 由于要进行授权证书的查找验证解析，信任管理引擎会导致一定的性能损失。但是，可以在PMI中使用缓冲技术，只是在用户登录系统时验证解析证书，在整个访问过程中证书的验证解析上损失的时间很小。 第三十一页，共八十七页。 BLP模型 BLP模型是一种为保护信息的机密性提出的模型，防止信息的非授权泄漏。 在BLP模型中，主体和客体都有一个安全等级，安全等级包含两方面的内容：密级和部门（或称类别），即某个主体能否成功地访问到某客体，不仅取决于二者的密级是否匹配，还取决二者的部门是否匹配。 一般将文档的密级从下到上分为未分级、敏感、秘密和绝密，具体划分标准是变化的。例如，一开始将关系到人的生命安全的信息标记为“秘密”，将关系到许多人安全的信息标为“绝密”。政府雇员要接受严格的背景调查。有时在未分级、敏感之间加入一个“受限制的”级别。 安全等级的支配关系≥定义如下： 令Ｌ、Ｌ＇是安全密级，Ｃ、Ｃ＇是安全类别，当且仅当L ≥ L’ 且C包含C时，有（L，C） ≥ （L‘，C’）。 第三十二页，共八十七页。 BLP模型的访问控制策略 BLP模型形式化地定义了系统状态及状态间的转换规则，并制定了一组约束系统状态间转换规则的安全公理。 BLP模型的自主存取控制通过存取控制矩阵按用户的意愿来进行存取控制。 在BLP模型中，强制存取控制部分下面的简单安全特性和*－特性组成： 简单安全公理 当且仅当SC(s)≥SC(o)，且s对o具有自主读权限时，允许s对o读操作。 *－特性公理　 当且仅当SC (s) ≤SC(o)，且s对o具有自主写权限时，允许s对o写操作。 第三十三页，共八十七页。 BLP模型的*特性 *特性可以防止高级实体向低级实体发送信号，能够对抗恶意和有缺陷的代码所造成的危害。 商业间谍可以潜入商业软件公司，在其产品中嵌入代码，具有“机密”权限的系统管理员可能会执行木马代码，这样木马可以将其自身拷贝到系统的机密区域并且将信息传递给代码的编写者，则安全失效。 如果一个应用程序本身可以向下写，应用程序的漏洞将会导致安全策略的违反。 基本安全定理 系统是安全系统，当且仅当初始状态是安全状态，且对每一次状态转换满足简单安全特性、*－特性和自主安全特性。 第三十四页，共八十七页。 BLP模型应用中的问题 强宁静特性规定系统运行中安全标记不可改变。 弱宁静属性执行最宽松的原则，允许安全标记在不违反已定义的安全策略时可以改变。 弱宁静属性的引入动机是在实际中，我们经常要处理具有最低权限的主体。即使一个主体被标记为“绝密”，他也首先开始执行一个无密级的进程。 在弱宁静属性中，如果要处理一个敏感级的邮件，则会话自动升级到“敏感”级。每次处理较高级别的数据时，会话和进程也进行自动升级，并且在缺省情况下，其随后所写的文件都具有升级后的密级，即实现高水标原则。 进一步，BLP模型使用了可信主体的概念，用于表示在实际系统中不受*—特性制约的主体，以保证系统正常运行和管理。 例如，在HP-UX/CMW中，将安全内核外的一些应用进程视为可信进程,使它们可以绕过系统的访问控制机制等。 这种可信主体不受*—特性约束，其访问权限往往太大，不符合最小特权原则。因此应对可信主体的操作权限和应用范围进一步细化。 第三十五页，共八十七页。 BLP模型中的可信主体 策略举例： 1所有从外部组件流入内部组件的信息必须经过访问控制组件； 2系统还要求所有模块可以读取系统配置信息,但不能对其修改； 3所有模块可以追加日志信息,但不能读取该信息。 可信主体 为了实现访问控制模块的信道控制功能,可将访问控制模块设置为可信主体，信息流除了通过访问控制模块能向下流入内外模块以外,其他所有信息流都只能从下向上流。 可信主体的局限性 访问控制模块是可信实体,但其密级的设置要低于日志，因而不能读取日志信息； 其完整性级别低于配置文件，因而不能篡改配置信息。 这说明，访问控制模块作为可信实体，其行为仍然受到访问控制机制的严格控制,并在其职责范围内完成信息降密的任务。 第三十六页，共八十七页。 Biba模型 Biba是多级完整性访问控制模型，通常被称为BLP模型的对偶。 一个认证控制装置可能具有两种不同的模式：校准和使用。对正常用户，可清除使用过程积累的数据；而对校准参数，普通用户只能进行读取而不能进行修改，以防