信息安全模型中國信息安全產(chǎn)品測評認(rèn)證中心徐長醒信息安全模型1安全模型概念2訪問控制模型3信息流模型4完整性模型5信息安全模型1安全模型概念安全模型用于精確地和形式地描述信息系統(tǒng)的安全特征，以及用于解釋系統(tǒng)安全相關(guān)行為的理由。分類1：訪問控制模型，信息流模型。分類2：機密性要求，完整性，可用性DoS，等現(xiàn)有的“安全模型”本質(zhì)上不是完整的“模型”：僅描述了安全要求(如：機密性)，未給出實現(xiàn)要求的任何相關(guān)機制和方法。

1.1安全模型安全目標(biāo)：機密性，完整性，DoS，……控制目標(biāo)：保障（TCBTrustComputeBase,ReferenceMonitor），安全政策（PolicyDACMAC），審計安全模型的形式化方法：

——狀態(tài)機，狀態(tài)轉(zhuǎn)換，不變量

——模塊化，抽象數(shù)據(jù)類型（面向?qū)ο螅?.2安全模型作用設(shè)計階段實現(xiàn)階段檢查階段（Review）維護(hù)階段1.3安全模型抽象過程Step1:IdentifyRequirementsontheExternalInterface.(input,output,attribute.)Step2:IdentifyInternalRequirementsStep3:DesignRulesofOperationforPolicyEnforcementStep4:DetermineWhatisAlreadyKnown.Step5:Demonstrate(論證)ConsistencyandCorrectnessStep6:DemonstrateRelevance（適當(dāng)?shù)模?.4Overview機密性訪問控制信息流DAC自主MAC強制完整性RBACBLPChineseWall（非干擾性，非觀察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrolpolicyforstockmarketanalysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange.2訪問控制模型2.1自主訪問控制（DiscretionaryAccessControl--DAC）機密性與完整性

木馬程序2.2強制訪問控制（MandatoryAccessControl--MAC）機密性

隱通道2.3基于角色訪問控制(RBAC)管理方式2.1自主訪問控制特點：

根據(jù)主體的身份和授權(quán)來決定訪問模式。缺點：

信息在移動過程中，其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對O訪問權(quán)限的B可訪問O。狀態(tài)機Lampson模型 模型的結(jié)構(gòu)被抽象為狀態(tài)機， 狀態(tài)三元組(S,O,M)，

——

S訪問主體集，

——

O為訪問客體集（可包含S的子集），

——

M為訪問矩陣，矩陣單元記為M[s,o]，表示 主體s對客體o的訪問權(quán)限。所有的訪問權(quán)限構(gòu)成一有限集A。

——狀態(tài)變遷通過改變訪問矩陣M實現(xiàn)。

該安全模型盡管簡單，但在計算機安全研究史上具有較大和較長的影響，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。HRU模型型(1)系統(tǒng)統(tǒng)請請求求的的形形式式ifa1inM[s1;o1]anda2inM[s2;o2]and...aminM[sm;om]thenop1...opnHRU模型型(2)系統(tǒng)統(tǒng)請請求求分分為為條件件和操作作兩部部分分，，其其中中ai∈A，并并且且opi屬于于下下列列六六種種元元操操作作之之一一（（元元操操作作的的語語義義如如其其名名稱稱示示意意））：：enterainto(s,o),（矩陣陣）deleteafrom(s,o),createsubjects,（主體體）destroysubjects,createobjecto,（客體體）destroyobjecto。HRU模型型(3)系統(tǒng)統(tǒng)的的安安全全性性定定義義：：若存存在在一一個個系系統(tǒng)統(tǒng)，，其其初初始始狀狀態(tài)態(tài)為為Q0，訪訪問問權(quán)權(quán)限限為為a，當(dāng)當(dāng)從從狀狀態(tài)態(tài)Q0開始始執(zhí)執(zhí)行行時時，，如如果果不存存在在將將訪訪問問矩矩陣陣單單元元不不包包含含的的訪訪問問權(quán)權(quán)限限寫寫入入矩矩陣陣單單元元的的系系統(tǒng)統(tǒng)請請求求，那那么么我我們們說說Q0對權(quán)權(quán)限限a而言言是是安安全全的的。。系統(tǒng)統(tǒng)安安全全復(fù)復(fù)雜雜性性基基本本定定理理：：對于于每每個個系系統(tǒng)統(tǒng)請請求求僅僅含含一一個個操操作作的的單單操操作作請請求求系系統(tǒng)統(tǒng)（（mono-operationalsystem-MOS），，系系統(tǒng)統(tǒng)的的安安全全性性是是可判判定定的的；對于一般般的非單單操作請請求系統(tǒng)統(tǒng)（NMOS）的安全全性是不可判定定的。HRU模型(4)基本定理理隱含的窘窘境：一般的HRU模型具有有很強的安全政策策表達(dá)能力力，但是，，不存在決定相關(guān)關(guān)安全政政策效果果的一般可計計算的算算法；（遞歸歸可枚舉舉）雖然存在決定滿足足MOS條件的HRU模型的安安全政策策效果的的一般的的可計算算的算法法，但是是，滿足足MOS條件的HRU模型的表達(dá)能力力太弱，以至于于無法表表達(dá)很多多重要的的安全政政策。HRU模型(5)對HRU模型進(jìn)一一步的研研究表明明，即使使我們完完全了解解了擴散散用戶的的訪問權(quán)權(quán)限的程程序，在在HRU模型中也也很難預(yù)測測訪問權(quán)權(quán)限怎樣樣被擴散散。與此相關(guān)關(guān)，由于于用戶通通常不了了解程序序?qū)嶋H進(jìn)進(jìn)行的操操作內(nèi)容容，這將將引起更更多的安安全問題題。例如如，用戶戶甲接受受了執(zhí)行行另一個個用戶乙乙的程序序的權(quán)利利，用戶戶甲可能能不知道道執(zhí)行程程序?qū)⒂糜脩艏讚頁碛械呐c與用戶乙乙完全不不相關(guān)的的訪問權(quán)權(quán)限轉(zhuǎn)移移給用戶戶乙。類類似的，，這類表表面上執(zhí)執(zhí)行某功功能（如如提供文文本編輯輯功能）），而私私下隱藏藏執(zhí)行另另外的功功能（如如擴散被被編輯文文件的讀讀權(quán)限））的程序序稱為特特洛伊木馬程序序。2.2強制訪問問控制特點：(1).將主體和和客體分分級，根根據(jù)主體體和客體體的級別別標(biāo)記來來決決定定訪問模模式。如如，絕密密級，機機密級，，秘密級級，無密密級。(2).其訪問控控制關(guān)系系分為：：上讀/下寫，，下下讀/上寫（完整性性）（機密性性）(3).通過梯度度安全標(biāo)標(biāo)簽實現(xiàn)現(xiàn)單向信信息流通通模式。LnHiHnHiHnLiLnLiBLP模型類似于HRU模型，BLP模型的組組成元素素包括訪訪問主體體、訪問問客體、、訪問權(quán)權(quán)限和訪訪問控制制矩陣。。但BLP在集合S和O中不改變變狀態(tài)函數(shù)F:S∪O→→L，語義是是將函數(shù)數(shù)應(yīng)用于于某一狀狀態(tài)下的的訪問主主體與訪訪問客體體時，導(dǎo)導(dǎo)出相應(yīng)應(yīng)的安全全級別。。安全級別別L構(gòu)成不變變格，狀態(tài)集V在該模型型中表現(xiàn)現(xiàn)為序偶偶（F，M）的集合合，M是訪問矩矩陣。變遷函數(shù)數(shù)T：V×R→→V。R請求集合合，在系系統(tǒng)請求求執(zhí)行時時，系統(tǒng)統(tǒng)實現(xiàn)狀狀態(tài)變遷遷。BLP模型(1)定義4.1：狀態(tài)(F,M)是“讀安全”（也稱為為“simplesecurity”）的充分分必要條條件是定義4.2：狀態(tài)(F,M)是“寫安全”（也稱為為“*-property”）的充分分必要條條件是定義4.3：狀態(tài)是“狀態(tài)安全全”（statesecure）的充分分必要條條件是它它既是“讀安全”又是“寫安全全”。定義4.4：系統(tǒng)(v0,R,T)是安全全的充分必必要條條件是是初始狀狀態(tài)v0是“狀態(tài)安安全”的，并并且由由初始始狀態(tài)態(tài)v0開始通通過執(zhí)執(zhí)行一一系列列有限限的系系統(tǒng)請請求R可達(dá)的的每個個狀態(tài)態(tài)v也是“狀態(tài)安安全”的。BLP模型(2)定理4.3：系統(tǒng)(v0,R,T)是安全全的充分必必要條條件是其中，，T為轉(zhuǎn)移移函數(shù)數(shù)，是是指由由初始始狀態(tài)態(tài)v0通過執(zhí)執(zhí)行一一系列列有限限的系系統(tǒng)請請求R到達(dá)可可達(dá)狀狀態(tài)v。BLP模型(3)“讀安全全”禁止低低級別別的用用戶獲獲得高高級別別文件件的讀讀權(quán)限限?！皩懓踩狈乐垢吒呒墑e別的特特洛伊伊木馬馬程序序把高高級別別文件件內(nèi)容容拷貝貝到低低級別別用戶戶有讀讀訪問問權(quán)限限的文文件。。自主vs.強制1.自主式式太弱弱2.強制式式太強強3.二者工工作量量大，，不便便管理理例，1000主體訪訪問10000客體，，須1000萬次配配置。。如每每次配配置需需1秒，每每天工工作8小時，，就需需10，000，000/（3600*8）=347.2天自主vs.強制2.3RBAC模型角色的的概念念：角色的的抽象象定義義是指指相對對于特特定的的工作作活動動的一一系列列行動動和職職責(zé)集集合，，角色色面向向于用用戶組組，但但不同同于用用戶組組，角角色包包含了了用戶集集和權(quán)權(quán)限集集。2.3角色控控制與與DAC、MAC角色控控制相相對獨獨立，，根據(jù)據(jù)配置置可使使某些些角色色接近近DAC，某某些角角色接接近MAC2.3RBAC模型基本模模型RBAC0角色分分級模模型RBAC1角色限限制模模型RBAC2統(tǒng)一模模型RBAC3RBAC3RBAC1RBAC2RBAC02.3RBAC模型2.3RBAC模型2.3RBAC模型2.3RBAC模型2.3角色控控制優(yōu)優(yōu)勢便于授授權(quán)管管理便于角角色劃劃分便于賦賦予最最小特特權(quán)便于職職責(zé)分分擔(dān)便于目目標(biāo)分分級強制vs.信息流流隱通道道：訪問控控制模模型通通過對對訪問問主體體與訪訪問客客體的的控制制實施施安全全策略略，但但惡意意的用用戶仍仍然可可能利利用系系統(tǒng)的的副作作用（（邊界界效應(yīng)應(yīng)）形形成從從高安安全級級別到到低安安全級級別的的隱通道道。信息流流模型型：不不對訪訪問主主體與與客體體實施施控制制，而而是直直接控控制用用戶間間的信信息流流例如：：ifa=0thenb:=c,informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb=c).3信息流流模型型信息流流概念念：信息流流可表表述為為“從對象象a流向?qū)ο骲的信息息（信信息流流）是是指對對象b的值按某種種方式式依靠靠對象a的值”。3信息流流模型型對于程程序語語言代代碼我我們可可以通通過枚枚舉所所有程程序變變量間間的信信息流流，從從而驗驗證是是否存存在不不合法法信息息流。。信息流模模型的形形式化是是狀態(tài)機模型，因因此可以以形成一一系列信信息流“斷言”，信息流流“斷言”也稱為安安全性質(zhì)質(zhì)，安全全性質(zhì)包包括非干干擾性(noninterference)和非觀察察性(nonobservability)等描述工具具使用Hoare邏輯的SPA語言（SecurityProcessAlgebra–SPA）（trace）3信息流模模型4完整性模模型數(shù)據(jù)完整整性信息保護(hù)護(hù)，DATABASE（域，實體體，引用用，應(yīng)用用語義，，并發(fā)控控制）系統(tǒng)完整整性系統(tǒng)保護(hù)護(hù)，硬件件保護(hù)，，容錯技技術(shù)完整性目目標(biāo)PreventingUnauthorizedUsersFromMakingModifications(機密性)MaintainingInternalandExternalConsistency(一致性)PreventingAuthorizedUsersFromMakingImproperModifications(邏輯一致致性)完整性原原理1IDENTITY2CONSTRAINTS3OBLIGATION(職責(zé))4ACCOUNTABILITY5AUTHORIZATION6LEASTPRIVILEGE7SEPARATION8MONITORING9ALARMS10NON-REVERSIBLEACTIONS11REDUNDANCY12MINIMIZATION.VariableMinimizationDataMinimizationTargetValueMinimizationAccessTimeMinimization……BIBA模型完整性策策略BIBA認(rèn)為內(nèi)部部威脅已已經(jīng)由程程序測試試與驗證證技術(shù)作作了充分分地處理理；BIBA;模型僅針針對外部部威脅。。低限策略略Low-WaterMarkPolicy針對客體體的低限限策略Low-WaterMarkPolicyforObjects低限的完完整性審審計策略略LowWaterMarkIntegrityAuditPolicy環(huán)策略RingPolicy嚴(yán)格的完完整性策策略StrictIntegrityPolicy低限策略略for_allselement_ofS,oelement_ofOsmo==>il(o)leqil(s)for_alls1,s2element_ofSs1is2==>il(s2)leqil(s1)Foreachobserveaccessbyasubjectstoanobjecto:il'(s)=min{il(s),il(o)}whereil'(s)istheintegritylevelofsimmediatelyfollowingtheaccess.Clark-Wilson模型Clark-Wilson模型定義義的四個個要素:constraineddataitems(CDIs),unconstraineddataitems(UDIs),integrityverificationprocedures(IVPs),andtransformationprocedures(TPs).Thereareninecertification(C)andenforcement(E)rulesthatgoverntheinteractionofthesemodelelements.Certificationisdonebythesecurityofficer,systemowner,andsystemcustodianwithrespecttoanintegritypolicy;enforcementisdonebythesystem.Clark-Wilson完整性原原理Theprincipleofseparationofdutystatesnosinglepersonshouldperformataskfrombeginningtoend,butthatthetaskshouldbedividedamongtwoormorepeopletopreventfraud(欺騙)byonepersonactingalone.Theprincipleofwell-formedtransaction(合式事務(wù)務(wù))isdefinedasatransactionwheretheuserisunablemanipulatedataarbitrarily,butonlyinconstrained(limitationsorboundaries)waysthatpreserveorensuretheintegrityofthedata.Asecuritysysteminwhichtransactionsarewell-formedensuresthatonlylegitimateactionscanbeexecuted.Ensurestheinternaldataisaccurateandconsistenttowhatitrepresentsintherealworld.驗證性規(guī)規(guī)則C1(IVPCertification)-ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.C2(Validity)-TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDI.CDIsmustbecertifiedtoensurethattheyresultinavalidCDIC3-ACDIcanonlybechangedbyaTP.TPsmustbecertifiedtoensuretheyimplementtheprinciplesofseparationofduties&leastprivilegeC4(JournalCertification)-TPsmustbecertifiedtoensurethattheiractionsareloggedC5-TPswhichactonUDIsmustbecertifiedtoensurethattheyresultinavalidCDI強制性規(guī)規(guī)則(Amoroso)E1(EnforcementofValidity)-OnlycertifiedTPscanoperateonCDIsE2(EnforcementofSeparationofDuty)-UsersmustonlyaccessCDIsthroughTPsforwhichtheyareauthorized.E3(UserIdentity)-ThesystemmustauthenticatetheidentityofeachuserattemptingtoexecuteaTPE4(Initiation)-OnlyadministratorcanspecifyTPauthorizationsTheCWmodeldiffersfromtheothermodelsthatallowsubjectstogainaccesstoobjectsdirectly,ratherthanthroughprograms.TheaccesstripleisattheheartoftheCWmodel,whichpreventsunauthorizedusersfrommodifyingdataorprograms.NT安全全模模型型概概要要基本本組組件件:Logonprocess,whichacceptlogonrequestfromusers.Itistheprocessthatacceptstheuser’’sinitialinteractivelogon,password,authenticatesit,andgrantsentryintothesystem.LSA(LocalSecurityAuthority).istheheartofthesecuritysubsystem.ItverifiesthelogoninformationfromtheSAMdatabaseandensuresthattheuserhaspermissiontoaccessthesystem.Itgeneratesaccesstoken,administersthelocalsecuritypolicydefinedinthesystemandisresponsibleforauditingandloggingsecurityevents.SecurityAccountManager(SAM)isthedatabasethatcontainsinformationforalluserandgroupaccountinformationandvalidatesusers.SecurityReferenceMonitorprovidesreal-timeservicestovalidateeveryobjectaccessandactionmadebyausertoensurethattheaccessoractionisauthorized.ThispartenforcestheaccessvalidationandauditgenerationpolicydefinedbytheLocalSecurityAuthority.SecurityIdentifiers(SIDs),EachuserofWindowsNThasauniquesecurityID(SID).Whenauserlogson,WindowsNTcreatesasecurityaccesstoken.Resources,suchasprocesses,files,shares,andprintersarerepresentedinWindowsNTasobjects.Usersneveraccesstheseobjectsdirectly,butWindowsNTactsasaproxytotheseobjects,controllingaccesstoandusageoftheseobjects.AsubjectinWindowsNTisthecombinationoftheuser'saccesstokenplustheprogramactingontheuser'sbehalf.WindowsNTusessubjectstotrackandmanagepermissionfortheprogramseachuserruns.Rule1.ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.InWindowsNTthereisalocalsecurityauthority(LSA)whichchecksthesecurityinformationinthesubject'saccesstokenwiththesecurityinformationintheobject'ssecuritydescriptorRule2.TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDIInWindowsNT,mostsubjectscannotchangetheattributionoftheobjects,butsomesubjectshavethisprivilege,suchasadministratorButthisisonlylimitedtosomespecialusers.Sothisruleis

not

appliedtoWindowsNT

strictlyRule3.

ACDIcanonlybechangedbyaTPAsmentionedabovesomespecialuserscanchangeattributionoftheobjects,andnoothermethodscanbeappliedtochangeobjectsRule4.SubjectscanonlyinitiatecertainTPsoncertainCDIsInwindowsNT,thesubject'saccesstokenincludeswhatkindsofoperationsarepermitted.Onlywheninformationoftheaccesstokenisconsistentwiththeinformationintheobject'ssecuritydescriptor,theoperationisallowedC-W模型的NT解釋Rule5.CW-triplesmustenforcesomeappropriateseparationofdutypolicyonsubjectsInWindowsNT,administratorcandoanything.SothisruleisnotappliedRule6.CertainspecialTPsonUDIscanproduceCDIsasoutputInWindowsNT,userscanchangetheobjectfromwithoutACLstatetowithACLstate.Generally,thisoperationisperformedbyAdministratorRule7.EachTPapplicationmustcauseinformationsufficienttoreconstructtheapplicationtobewrittentoaspecialappend-onlyCDIInWindowsNT,auditservicescancollectinformationabouthowthesystemisbeingusedRule8.ThesystemmustauthenticatesubjectsattemptingtoinitiateaTPInWindowsNT,anyuserhasherorhisSID,andanyprocessinbehalfofthisusercopiesthesameSID.Bythisway,WindowsNTcanauthenticatesubjectsattemptingtoinitialaTPRule9.Thesystemmustonlypermitspecialsubjects(i.e.,securityofficers)tomakeanyauthorization-relatedlists.InWindowsNT,onlyadministratorcandoandviewsomehighsecurityevents5信息安全模模型主要參考文文獻(xiàn)"AGuidetoUnderstandingSecurityModelinginTrustedSystems"NCSC-1992"IntegrityinAutomatedInformationSystems"NCSC-19911．給計算機機系統(tǒng)的資資產(chǎn)分配的的記號被稱稱為什么？？CA．安全屬性性B．安全特征征C．安全標(biāo)記記D．安全級別別2．ITSEC標(biāo)準(zhǔn)是不包包括以下哪哪個方面的的內(nèi)容？DA．功能要求求B．通用框架架要求C．保證要求求D．特定系統(tǒng)統(tǒng)的安全要要求3．以下哪些些模型可以以用來保護(hù)護(hù)分級信息息的機密性性？BA．Biba模型和Bell－Lapadula模型B．Bell－Lapadula模型和信息息流模型C．Bell－Lapadula模型和Clark－Wilson模型D．Clark－Wilson模型和信息息流模型4．桔皮書主主要強調(diào)了了信息的哪哪個屬性？？BA．完整性B．機密性C．可用性D．有效性5．ITSEC的功能要求求不包括以以下哪個方方面的內(nèi)容容？DA．機密性B．完整性C．可用性D．有效性6．OSI中哪一層不不提供機密密性服務(wù)？？DA．表示層B．傳輸層C．網(wǎng)絡(luò)層D．會話層7．在參考監(jiān)監(jiān)控器的概概念中，一一個參考監(jiān)監(jiān)控器不需需要符合以以下哪個設(shè)設(shè)計要求？？BA．必須是TAMPERPROOFB．必須須足夠夠大C．必須須足夠夠小D．必須須總在在其中中8．在以以下哪哪種安安全模模型中中，系系統(tǒng)的的訪問問至少少在最最高層層是安安全的的？C（301頁）A．多級級安全全模型型B．Dedicated安全模模型C．Compartmented模型D．受控控模型型ThanksAnyQuestions?9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。03:48:1603:48:1603:4812/29/20223:48:16AM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2203:48:1603:48Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。03:48:1603:48:1603:48Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2203:48:1603:48:16December29,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。29十二二月20223:48:16上上午03:48:1612月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:48上上午12月-2203:48December29,202216、行動動出成成果，，工作作出財財富。。。2022/12/293:48:1603:48:1629December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。3:48:16上上午午3:48上上午午03:48:1612月月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什