信息安全模型

多维安全模型
可 安全服务 用 性 完 整 性 保 密 性 可 鉴 别 抗 抵 赖
传输
存储
处理
信息状态
安全措施 运行 人员 技术
IATF技术框架
安全管理
安 全 管 理
安全策略
安 全 管 理
安全管理
IATF安全目标
可用性：
合法用户的正常请求能及时、正确、安全地得到服务 或回应。
完整性：
信息安全模型
安全模型的作用 能准确地描述安全的重要方面与系统行为的关系。 能提高对成功实现关键安全需求的理解层次。 从中开发出一套安全性评估准则，和关键的描述变量。
建立安全模型的方法（从模型所控制的对象）
信息流模型：主要着眼于对客体之间的信息传输过程 的控制。（处于理论阶段）
强制访问控制模型
特点：
1） 将主体和客体分级，根据主体和客体的级别标 记来 决定访问模式。如，绝密级，机密级，秘密级， 无密级。
2） 其访问控制关系分为：下写/上读， 写 （完整性） （保密性） 下读/上
3）通过梯度安全标签实现单向信息流通模式。 4）强耦合，集中式授权。
多级安全模型 BLP模型
模型简介
该模型是可信系统的状态-转换模型。 定义所有可以使系统获得“安全”的状态集合，检 查所有状态的变化均开始于一个“安全状态”并终 止于另一个“安全状态”，并检查系统的初始状态 是否为“安全状态”。 该模型是一种机密性访问控制的状态机模型。
模型定义的主客体访问规则
模型使用状态来表示系统中主体对客体的访问方式。 高级别的“可下读，不可下写”； 低级别的“可上写，不可上读”。
基于角色访问控制模型 （RBAC） 信息流模型
二、信息安全模型简介
目录
一． 概述 二． 信息安全模型简介 三． 多维模型与安全技术框架
信息安全模型分类
信息流模型和访问控制模型 多级安全模型
Bell-Lapadula模型（1973） Clark-Wilson模型（1987） Biba模型（1977）
保护方法
完整性确认过程（IVP）：确认数据处于一种有效状态。 转换过程（TP）：将数据从一种有效状态改变到另一种有效状态。 如果只有一个转换过程能够改变数据，则该数据是完整的。 完整性系统记录所有转换过程，并提供对数据改变的审计跟踪。
实践中，Clark和Wilson提出完整性监控（“证明规则”） 和完整性保持（“强制规则”）来实现。前者由管理员来 执行，后者由系统来保证。
多边安全模型
Chinese wall模型 BMA模型（1995）
信息流模型
模型简介
主要着眼于对客体之间的信息传输过程的控制。 信息流模型需要遵守的安全规则是：在系统状态转换 时，信息流只能从访问级别低的状态流向访问级别高 的状态。 信息流模型实现的关键在于对系统的描述，即对模型 进行彻底的信息流分析，找出所有的信息流，并根据 信息流安全规则判断其是否为异常流，若是就反复修 改系统的描述或模型，直到所有的信息流都不是异常 流为止。
模型安全策略
主体只能访问那些与已经拥有的信息不冲突的信息。 一个主体一旦已经访问过一个客体，则该主体只能访 问位于同一公司数据集中的客体，或在不同兴趣冲突 组中的信息。 在一个兴趣冲突组中，一个主体最多只能访问一个公 司数据集。
模型举例
有公司A、B，数据类型分为石油业务数据、银行数据 组划分 访问控制
第一次访问是自由的，不妨设为A石油业务数据集； 可以访问A金融数据集； 不可以访问B石油数据集。
总结：1）可以访问与主体曾经访问过的信息同属于同一个公司的数 据集，即墙内信息；2）可以访问一个完全不同的兴趣冲突组。
多边安全模型 BMA
模型简介
英国医学会（BMA）提出的。 由客体同意哪些主体可以有条件地查看并使用客体信息。 保证客体信息的完整性和可用性。
Biba认为可以通过程序测试和检验来消除内部威胁， 因此，该模型仅针对外部模型。
完整性策略
最低点策略 针对客体的最低点策略 最低点完整性审计策略 Ring策略 严格的完整性策略
Biba模型的缺点
Biba定义的完整性只是一个相对的，而不是绝对的度 量。没有使用明确的属性来判断系统是否拥有完整性。 它没有关于明确的信息分级的标准。
多级安全模型 Clark-Wilson模型
模型简介
它偏重于满足商业应用的安全需求。 它着重研究信息和系统的完整性保护。
• 信息的完整性：是指系统中信息的质量、正确性、真实性和精 确性。 • 系统的完整性：是指对信息资源成功且正确的操作。
信息的完整性保护
• 组织完善的事务（Well-formed transaction）：用户不能随 意处理信息，只能在限定的权限和范围内进行。 • 清晰的责任划分（Separation of duty）：一项任务需要两个 以上的人完成，需要进行任务划分，避免个人欺骗行为。
边界防御
网络访问控制 远程访问 多级别安全
计算环境防御
端用户环境 应用系统安全
支撑性基础设施
KMI/PKI 监视和响应
基于OSI的安全体系结构
OSI 参考模型
7 6 5 4 3 2 1 鉴别服务 访问控制 数据保密性 数据完整性 抗抵赖 应用层 表示层 会话层 传输层 网络层 链路层 物理层
安全 模型
信息安全模型基础
访问控制模型
其他安全模型
知识类 （PT）
知识体 （BD）
知识域 （KA）
安全目的
信息安全终极目的
在系统实现过程中，对组织、合作伙伴、及其客户 的IT相关风险给出应有的关心考虑，从而促使组织 实现其使命/业务（Mission/Business）的全部目 的。
安全目标
BMA安全策略主要原理
访问控制表——每一份病历记录都有一个访问控制表标记，用以说明可 以读取和添加数据的人和组。 打开记录——医生可以打开访问控制列表中与他有关的病人的病历。需 要经过病人委托。 控制——在每个访问控制列表中必须有一个是可信的，只有他才能对病 历进行写入。 同意和通报——可靠的医生在打开病历时，应将访问控制列表中的名字、 后续条件、可靠性的传递通知病人。 持续性——任何人都不能删除病历记录，除非它已过期。 日志——记录对病历记录的全部访问。 可信计算——处理以上原理的计算机应该有一个有效的方法实现，实现 方法需要由独立专家评估。
可用性（Availability） 完整性（Integrity） 保密性（Confidentiality）
模型概念
安全模型用于精确和形式地描述信息系统的安全 特征，以及用于解释系统安全相关行为的理由。 按机制分类：访问控制模型、信息流模型等。 按服务分类：机密性、完整性、可用性模型等 但“安全模型”的表达能力有其局限性，通常的 模型是形式语法多于形式语义，甚至只是自然语 言的描述。
模型的缺点
需要制定输入输出的安全性规范 信息流模型对具体的实现只能提供较少的帮助和指导
多级安全模型
多级安全模型最初使用 在军用系统和数据库系 统中。 它通常把密级由低到高 分为开放级、秘密级、 机密级和绝密级。 它使不同的密级包含不 同的信息。 它确保每一密级的信息 仅能让那些具有高于或 等于该级权限的人使用。
信息安全模型
目录
一． 概述 二． 信息安全模型简介 三． 多维模型与安全技术框架
一、概述
目录
一． 概述 二． 信息安全模型简介 三． 多维模型与安全技术框架
知识类：信息安全体系和模型 知识体系概述
信息安全保障框架
安全 体系
OSI开放系统互联安全体系架 构
信息技术安全性评估 信息安全保障评估
信息安全体 系和模型
安全机制
加 数 字 密 签 名 访 问 控 制 数 据 完 整 性
鉴 别 交 换
通 信 业 务 填 充
路 公 由 选 证 择 控 制
安全服务
五种安全服务
鉴别：
提供对通信中的对等实体和数据来源的鉴别。
访问控制：
提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资 源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资 源，处理资源的操作），或应用于对某种资源的所有访问
多级安全模型 Biba模型
模型简介
涉及计算机完整性的第一个模型 一个计算机系统由多个子系统组成 子系统是按照功能或权限将系统（主体和客体）进行 划分的 在子系统级进行评估系统的完整性 系统完整性威胁来源
• 内部威胁：子系统的一个组件是恶意的/不正确的。 • 外部威胁：一个子系统通过提供错误数据/不正确的函数调用 来修改另一个子系统。
多边安全模型
信息结构 多边安全控制模型控制数据在A、B、C、D、E之间 的流动。
多边安全模型 Chinese Wall模型
模型简介
访问数据不是受限于数据的属性（密级），而是受限 于主体已经获得了对哪些数据的访问权限。 将一些可能会产生访问冲突的数据分成不同的数据集， 并规定所有主体最多只能访问一个数据集。而不限制 到底选择访问哪个数据集。
系统的完整性保护
• 防止非授权修改 • 维护内部与外部的一致性 • 访问授权但不恰当的修改
数据分类
被限制数据（CDI），完整性保护的客体。 非限制数据（UDI），不需保护的客体。
访问控制方法
定义可以针对每一个数据（数据类型）完成的访问操作（转换过 程）； 定义可以由主体（角色）完成的访问操作。
自主访问控制
特点：
根据主体的身份和授权来决定访问模式。
与MAC相比：松耦合，分布式授权
缺点：
信息在移动过程中，其访问权限关系会被改 变。 实现机制： 访问控制列表ACL(s,o)；权能列表Capabilities（ s,s)
三、多维模型与安全技术框架
目录
一． 概述 二． 信息安全模型简介 三． 多维模型与安全技术框架
自主访问控制模型 （DAC）
访问矩 阵模型
实现
访问控制列表 （ACL） 权能列表 （Capacity List）
访问控 制模型 强制访问控制模型 （MAC） 模型
静态
多级 环境
Bell-Lapudula 模 型 Biba 模型 Clark-Wilson 模型
保密性
完整性
动态
多边 环境
Chinese Wall 模型 BMA 模型
BLP模型的缺点
只定义了主体对客体的访问，未说明主体对主体的访问，因此该 模型无法应用于网络。 该模型不能很好应对隐蔽通道问题。
应用中的问题
内存管理能够在所有级别进行读和写，在实际应用中有悖于模型 本身。除了对它进行“可信假设”外别无他法。 当低级别数据写入高级别程序时（即上写），由于模型的限制， 低级别主体无法得到任何反馈，仿佛碰到了“黑洞”一般。 文件管理中，重名导致的信息泄露问题。而分立的系统使得BLP显 得多余。 同样数据库系统中，如果高级别用户发送了一批机密货物到轮船 上，而系统不会把这个信息传递给低级别用户（否则就是泄密）， 那么低级别用户将会认为船是空的，并分配其他货物或改变航行 的目的地。
来自百度文库
访问控制模型：从访问控制的角度描述安全系统，主 要针对系统中主体对客体的访问及其安全控制。
安全模型的发展
1965，失败的Multics操作系统 1973， Bell和LaPadula 的BLP模型 1977，K.J.Biba提出了与BLP异曲同工的Biba模型， Biba模型支持的是信息的完整性 第一个可以实际投入使用安全操作系统是Adept50；随后有很多安全操作系统被开发出来。典型 的有Multics、Mitre安全内核、UCLA Secure UNIX、KSOS和PSOS。
信息在存储和传输时不被篡改、破坏，或避免信息包 的丢失、乱序等不破坏信息的正确性和完整性。
保密性：
静态信息防止非授权访问和/或动态信息防止被窃听、 解密。
可靠性：
指信息的可信度，包括信息完整性、准确性和发送人 的身份的可信度。
IATF保护对象和技术
网络和基础设施的防御
骨干网可用性 无线网安全框架 VPN和紧耦合连接