CISP-04-信息安全模型信息安全培训 .docxVIP

信息安全模型

中国信息安全测评中心

目录

一．概述二．信息安全模型简介三．多维模型与安全技术框架

一、概述

目录

一．概述二．信息安全模型简介三．多维模型与安全技术框架

知识类：信息安全体系和模型知识体系概述

信息安全保障框架

OSI开放系统互联安全体系架构

安全

体系 信息技术安全性评估

信息安全体系

和模型 信息安全保障评估

安全模型

信息安全模型基础

访问控制模型

其他安全模型

知识类知识体知识域（PT）（BD）（KA）

安全目的

?信息安全终极目的

?在系统实现过程中，对组织、合作伙伴、及其客户的IT相关风险给出应有的关心考虑，从而促使组织实现其使命/业务（Mission/Business）的全部目的。

?安全目标

?可用性（Availability）?完整性（Integrity）

?保密性（Confidentiality）

信息安全模型

?安全模型用于精确和形式地描述信息系统的安全特征，以及用

于解释系统安全相关行为的理由。

?安全模型的作用

?能准确地描述安全的重要方面与系统行为的关系。?能提高对成功实现关键安全需求的理解层次。

?从中开发出一套安全性评估准则，和关键的描述变量。

?建立安全模型的方法（从模型所有控制的对象分）

?信息流模型：主要着眼于对客体之间的信息传输过程的控

制。

?访问控制模型：从访问控制的角度描述安全系统，主要针对

系统中主体对客体的访问及其安全控制。?但“安全模型”的表达能力有其局限性。

安全模型与安全目的的关系

MAC强制

访问控制 DAC自主

BLP

ChineseWall

保密性 RBAC

信息流 （非干扰性，非观察性）

Biba完整性

Clark-Wilson

安全操作系统的发展

?1965，失败的Multics操作系统?1973，Bell和LaPadula的BLP模型

?1977，K.J.Biba提出了与BLP异曲同工的Biba模型，Biba模型支持的是信息的完整性

?第一个可以实际投入使用安全操作系统是Adept-50；随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLASecureUNIX、KSOS和PSOS。

二、信息安全模型简介

目录

一．概述二．信息安全模型简介三．多维模型与安全技术框架

信息安全模型分类

?信息流模型和访问控制模型?多级安全模型

?Bell-Lapadula模型（1973）?Clark-Wilson模型（1987）?Biba模型（1977）

?多边安全模型

?Chinesewall模型?BMA模型（1995）

信息流模型

?模型简介

?主要着眼于对客体之间的信息传输过程的控制。

?信息流模型需要遵守的安全规则是：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高的状态。

?信息流模型实现的关键在于对系统的描述，即对模型进行彻底的信息流分析，找出所有的信息流，并根据信息流安全规则判断其是否为异常流，若是就反复修改系统的描述或模型，直到所有的信息流都不是异常流为止。

?模型的缺点

?需要制定输入输出的安全性规范

?信息流模型对具体的实现只能提供较少的帮助和指导

多级安全模型

?多级安全模型最初使用在军用系统和数据库系统中。

?它通常把密级由低到高分为开放级、秘密级、机密级和绝密级。

?它使不同的密级包含不同的信息。

?它确保每一密级的信息仅能让那些具有高于或等于该级权限的人使用。

特点：

1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。

2）其访问控制关系分为：下写/上读，下读/上写（完整性）（保密性）

3）通过梯度安全标签实现单向信息流通模式。4）强耦合，集中式授权。

多级安全模型

BLP模型

?模型简介

?该模型是可信系统的状态-转换模型。

?定义所有可以使系统获得“安全”的状态集合，检查所有状态的变化均开始于一个“安全状态”并终止于另一个“安全状态”，并检查系统的初始状态是否为“安全状态”。

?该模型是一种机密性访问控制的状态机模型。?模型定义的主客体访问规则

?模型使用状态来表示系统中主体对客体的访问方式。

?高级别的“可下读，不可下写”；

?低级别的“可上写，不可上读”。

?BLP模型的缺点

?只定义了主体对客体的访问，未说明主体对主体的访问，因此该模型无法应用于网络。

?该模型不能很