攻防安全模型

报告大纲
传统安全模型 攻防模型 ➢ 总体结构 ➢ 信息系统模型 ➢ 脆弱性分析模型 ➢ 攻击场景模型 ➢ 防御系统模型 ➢ 攻防模型小结
攻防模型
攻防模型希望在如下方面进行改进以克服已有模型 的不足：1）攻防模型是基于风险的安全模型，从 而可以克服形式化安全策略模型的一些不足，如不 能规避信息系统中过程、人、组织等造成的风险以 及不能解决软件使用中的配置、环境假定违背等。 2）攻防模型中含有详细的信息系统资产、威胁、 脆弱性模型，为风险评估提供依据。3）在攻防模 型中为现有安全风险模型（及其标准）提供融合的、 协调的统一框架。4)将攻击和防御包含在一个模型 中，从而全面地刻画安全系统的信息。5）利用博 弈思想刻画攻防双方的互动特性。
权限太大，不符合最小特权原则，应对可信主体的 操作权限和应用范围进一步细化。这个可以使用 RBAC模型克服。
传统安全模型的缺点
基于形式化方法的安全模型经历了近三十年的研究，至今仍 然在理论与实践中存在巨大的困难，主要体现在以下方面： 首先，严格的形式化方法使得系统的可用性大大降低，而且 依据严格形式化的安全模型建构系统开销太大，给实际应用 带来困难。其次，形式化方法的局限使得系统不能对所有安 全模型的安全性进行证明，更糟糕的是，形式化方法建立的 安全，往往被攻击者从模型假定条件之外入侵，即形式化方 法并不能建立或保证完全的安全，比如现实中的安全问题常 常是软件的使用违背了软件设计中对目标环境的假定造成的。 还有，现在的安全模型还受到来自新的分布式系统发展的挑 战，比如随着移动系统、网格系统等新型分布式系统的发展， 传统安全模型的表达能力、分析能力都不能满足要求。
定机制 ） • BLP模型[BLP76] • RBAC模型[FK92] • DTE模型
传统安全模型
✓ 接口模型（规范保密性需求，但不描述实现该需求 的机制 ）
• 信息流模型[Denn76] • 不干扰模型[GM82] ✓ 新近的发展ห้องสมุดไป่ตู้括基于程序设计语言的安全模型 非形式化的安全风险模型 如PDCA[Dale02]、P2DR [ISS04]、PDRR[ISS04]、
传统安全模型的缺点
除了形式化方法本身的问题，在实际的安全工程实践中，形 式化安全模型还存在一些实际设施上的困难：1）形式化规 范常常只能在一些高安全系统和小系统中实现，比如基于形 式化BLP模型的网络可信计算基理论已经很成熟，但是却很 少在实际中大量使用。2）访问控制的控制对象粒度很粗， 这就容易导致存在不受访问控制约束的对象，造成安全漏洞。 粗粒度的访问控制也容易被突破。3）信息系统中过程、人、 组织等造成的风险不能使用形式化规避。4）软件使用中的 配置、环境假定违背等也不能通过形式化方法解决，因为它 们通过违背形式化假定达到目的[Matt04]。5）现有大量信息 系统的实现因为缺乏安全指导或项目进度等原因没有考虑安 全因素。6）形式化安全模型常常是一种开环控制构成的一 道屏障，一旦突破即会失去安全屏障。
报告大纲
传统安全模型 攻防模型 ➢ 总体结构 ➢ 信息系统模型 ➢ 脆弱性分析模型 ➢ 攻击场景模型 ➢ 防御系统模型 ➢ 攻防模型小结
传统安全模型
形式化安全策略模型 完整性模型 ✓ Biba模型 ✓ Clark-Wilson模型 保密性模型 ✓ 访问控制模型 （规范并描述了系统实现保密的特
攻防模型
具体地说，攻防模型的一些假定如下： 1）攻防模型将安全系统的研究对象定义为构建可信信息系统并抵御信息系统的脆弱性，研究对象的建
模分为两个层次：首先是信息系统模型，然后是信息系统的脆弱性模型。 2）信息系统的定义采用我国信息系统安全保障通用评估准则（草稿）中给出的信息系统的定义。即信
息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总 和。信息技术系统是作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分 发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的或固件的任何组合。信息系统是 在信息技术系统的基础上，综合考虑了人员、管理等系统综合运行环境的一个整体。攻防模型的信息系 统模型不仅考虑技术因素，还考虑人员、管理等运行环境因素。 3）脆弱性（也叫漏洞，本文脆弱性和漏洞相互等同使用）是客观存在的，信息系统（及其防御系统） 本身存在脆弱性，而信息系统、脆弱性、攻击者、防御系统随时间演化也可能产生脆弱性。 4）安全的本质是攻防双方不断利用脆弱性知识进行的博弈：攻防双方不断地发现漏洞并利用这些信息 达到各自的目的，但是攻防双方在实施攻击或防御时必须考虑对方策略的影响。所以安全模型必须内含 防御方和攻击方，而不是仅仅有防御方而不包含攻击方。事实上，博弈方可以多达三个以上，本文为了 简单起见，仅含防御方和攻击方。攻击方受防御方影响，防御方受攻击方影响是攻防模型的基本假定。 5) 作为博弈一方的攻击方，受防御方和环境影响而存在不确定性，所以攻击方有风险。 6）作为博弈一方的防御方，受攻击方和环境影响而存在不确定性，所以防御方也有风险。防御方必须 坚持持续改进原则，其安全机制即含事前保障，亦含事后监控。防御方模型为现有安全风险模型提供融 合的、协调的统一框架。
IATF[IATF02]和SSE-CMM[Cai04]模型等等。还有 新近的博弈模型
传统安全模型
相关模型 ITIL指南 COBIT模型
传统安全模型的缺点
形式化安全模型的缺点（以BLP模型为例） BLP模型的四个缺点： 首先，访问控制的颗粒度问题。 其次，BLP模型不能防止隐通道[QLW04]。 再者，BLP模型中存在系统安全转移问题 最后，BLP模型中可信主体不受星特性约束，访问
传统安全模型的缺点
从上述模型可以看出，要对信息系统实施安全保障， 都需要掌握组织的安全情况，也就是进行风险评估。 根据风险评估的结果，才能对系统进行有效的风险 控制。风险评估需要了解信息系统资产、威胁、脆 弱性及其影响。所以，基于非形式化的风险安全模 型需要具体的信息系统资产、威胁、脆弱性模型支 持。但目前的安全风险模型都没有这些具体的模型。 此外，上述模型分别从不同角度刻画了信息系统安 全的各个方面，它们之间具有的关系并没有在各自 模型或标准中说明，这些模型或标准之间的关系也 是目前研究的热点。