安全工程之信息安全模型 .pdf

安全⼯程之信息安全模型

⼀.信息安全模型

1.信息安全模型，具体特点：

1)是精确的，⽆歧义的

2)简单的，抽象的，易于理解的

3)涉及安全性质，不过分限制系统的功能与实现

2.访问控制模型分类

1)⾃主访问控制模型（DAC）

linux下对于⽂件、⽂件夹的rwx权限控制，windows下的⽂件、⽂件夹的权限控制均属于⾃主访问控制。

特点是权限是由主体来控制。

（1）在windows的权限控制

右击⽂件、⽂件夹选择[属性]功能，进⼊[属性]界⾯选择[安全]功能

（2）linux的权限

在bash下执⾏ls-l查看⽂件的所属者、所属组、其他组的权限

-rw-rw-rw-1rootroot0Sep2213:14access

2)强制访问控制模型（MAC）

主体、客体都会有标签，根据标签的关系确定访问控制，⼀般由客体控制。

BLP和Biba模型都属于强制访问控制（MAC）模型。其中，BLP⽤于保护数据机密性，⽽Biba则针对完整性。

随之⽽后的是Clark-Wilson模型。

3)基于⾓⾊的访问控制模型（RBAC）

RBAC（Role-BasedAccessControl）基于⾓⾊的访问控制。

在20世纪90年代期间，⼤量的专家学者和专门研究单位对RBAC的概念进⾏了深⼊研究，先后提出了许多类型的RBAC模型，其中以美国GeorgeMason⼤学信

息安全技术实验室（LIST）提出的RBAC96模型最具有系统性，得到普遍的公认。

RBAC认为权限的过程可以抽象概括为：判断【Who是否可以对What进⾏How的访问操作（Operator）】这个逻辑表达式的值是否为True的求解过程。

即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。

RBAC⽀持公认的安全原则：最⼩特权原则、责任分离原则和数据抽象原则。

最⼩特权原则得到⽀持，是因为在RBAC模型中可以通过限制分配给⾓⾊权限的多少和⼤⼩来实现，分配给与某⽤户对应的⾓⾊的权限只要不超过该⽤户

完成其任务的需要就可以了。

责任分离原则的实现，是因为在RBAC模型中可以通过在完成敏感任务过程中分配两个责任上互相约束的两个⾓⾊来实现，例如在清查账⽬时，只需要设

置财务管理员和会计两个⾓⾊参加就可以了。

数据抽象是借助于抽象许可权这样的概念实现的，如在账⽬管理活动中，可以使⽤信⽤、借⽅等抽象许可权，⽽不是使⽤操作系统提供的读、写、执⾏等

具体的许可权。但RBAC并不强迫实现这些原则，安全管理员可以允许配置RBAC模型使它不⽀持这些原则。因此，RBAC⽀持数据抽象的程度与RBAC模

型的实现细节有关。

RBAC96是⼀个模型族，其中包括RBAC0~RBAC3四个概念性模型。

基本模型RBAC0定义了完全⽀持RBAC概念的任何系统的最低需求。

RBAC1和RBAC2两者都包含RBAC0，但各⾃都增加了独⽴的特点，它们被称为⾼级模型。RBAC1中增加了⾓⾊分级的概念，⼀个⾓⾊可以从另⼀个

⾓⾊继承许可权。

RBAC2中增加了⼀些限制，强调在RBAC的不同组件中在配置⽅⾯的⼀些限制。

RBAC3称为统⼀模型，它包含了RBAC1和RBAC2，利⽤传递性，也把RBAC0包括在内。这些模型构成了RBAC96模型族。

4)基于属性的访问控制模型（ABAC）

ABAC通常使⽤配置⽂件（XML、YAML）或DSL配合规则解析来使⽤。其中XACML（eXtensildeAccesscontorlmarkupLanguage）是其中的⼀种实现⽅

式。

ABAC有时候也被成为PBAC（Policy-BasedAccessControl）或CBAC（Claims-BasedAccessControl）

关于访问控制类型具体要素在此不过多阐述，下⼀篇⽂章会对这些访问控制模型进⾏详细介绍。

3.状态机模型的概念

状态机模型（StateMachineModel）：安全的状态机模型是其他安全模型的基础，描述了⼀种⽆论处于何种状态都是安全的系统。

状态（State）是处于特定时刻系统的⼀个快照，如果该状态所有⽅⾯都满⾜安全策略的要求，就称之为安全的。

状态机可归纳为4个要素：现态、条件、动作、次态

这样的归纳，主要是出于对状态机的内在因果关系的考虑

“现态”和“条件”是因

动作和次态是果

状态转换/迁移：许多活动可能会改变系统状态，状态迁移总