《安全模型》PPT课件.ppt

《《安全模型》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《安全模型》PPT课件.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第二部分第二部分安全模型安全模型信息系统的安全目标是控制和管理主体信息系统的安全目标是控制和管理主体信息系统的安全目标是控制和管理主体信息系统的安全目标是控制和管理主体（SubjectsSubjects，包括用户和进程）对客体，包括用户和进程）对客体，包括用户和进程）对客体，包括用户和进程）对客体（Objects,Objects,包括数据和程序）的访问。包括数据和程序）的访问。包括数据和程序）的访问。包括数据和程序）的访问。安全模型：准确地描述安全的重要方面及其与系统行为的关系。提高对成功实现安全需求的理解层次。一、多级安全模型支持军用系统和数据库的安全保密。多级安全的信息结构示意；绝密级绝密

2、级机密级机密级秘密级秘密级开放级开放级1、Bell-LaPadula 模型Bell-LaPadula模型是第一个也是最著名的安全策略模型，由David Bell和len LaPadula在1973年提出，简称BLP模型BLP模型是可信系统的状态-转换（State-Transition)模型，主要任务是定义使得系统获得“安全”的状态集合，检查所有状态的变化均始于一个“安全状态”并终止于另一个“安全状态”，检查系统的初始是否为“安全状态”Bell-LaPadula 模型BLP模型定义了系统中的主体（Subjects)访问客体（Objects)的操作规则。每个主体有一个安全级别，通过众多条例约束其对

3、每个具有不同密级的客体的访问操作。BLP模型的安全策略采用了自主访问控制和强制访问控制相结合的方法，能够有效地保证系统内信息的安全，支持信息的保密性，但却不能保证信息的完整性。随着计算机安全理论和技术的发展，BLP模型已经不能满足人们的需要。2、Clark-Wilson模型Clark-Wilson模型是一个确保商业数据完整商业数据完整性性且在商业应用系统中提供安全评估框架的完整性及应用层的模型，由计算机科学家和会计师发表于1987年，在1989年进行了修正。简称为CW模型Clark-Wilson模型着重研究与保护信息和系统完整性，即组织完善的事务和清晰的责任划分。组织完善的事务意味着用户对信息

4、的处理必须限定在一定的权力和范围之内进行，以保证数据完整性。责任划分意味着任务需要两个以上的人完成，需要进行任务划分，避免个人欺骗行为发生。保证完整性有3项任务：防止非授权修改维护内部和外部的一致性防止授权但不适当的修改。访问控制方法有两种：访问控制方法有两种：一种是定义可以针对每个数据项完成的访问一种是定义可以针对每个数据项完成的访问操作；操作；另一种是定义主体完成的访问操作。另一种是定义主体完成的访问操作。Clark-Wilson模型考虑以下几点：主体必须被识别和认证客体只能通过一组规定的程序进行操作主体只能执行一组规定的程序。必须维护一个正确的审计日志系统必须被证明能够正确工作3、Bib

5、a模型Biba模型是涉及计算机系统完整性的的第一个模型，1977年发布。Biba模型将完整性威胁分为来源于子系统内部和外部的威胁。如果子系统的一个组件是恶意或不正确，则产生内部威胁；如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统，则产生外部威胁。Biba认为内部威胁可以通过程序测试或检验来解决。所以模型主要针对外部威胁。Biba模型基于两种规则来保障数据的完整性：下读(NRu)属性，主体不能读取安全级别低于它的数据。上写(NwD)属性，主体不能写入安全级别高于它的数据。二、多边安全模型多边安全的信息结构示意多边安全的信息结构示意目的是阻止信息在不同部分的横向流动目的是阻止信息

6、在不同部分的横向流动A B C D E共享数据1、Chinese Wall 模型访问数据受限于主体已经获得的对数据的访问权限，而不是数据的属性（密级）。Chinese Wall 模型的思想是将一些可能会产生访问冲突的数据分成不同的数据集，强制所有主体最多只能访问一个数据集，但访问哪个数据集并未受强制规则的限制。Chinese Wall 模型系统结构顶层；兴趣冲突组顶层；兴趣冲突组ABC中层：公司数据集中层：公司数据集FGHIJKLMN全部客体的集合全部客体的集合O底层：客体底层：客体各层定义如下：各层定义如下：底层由独立的数据项组成，每项涉及一个独立的公司法人中层将涉及同一公司法人的所有客体组

7、织起来，称为“公司数据集”上层将公司数据集结合成组，每个组之间互为竞争对手，称为“兴趣冲突组”Chinese Wall 模型有两种安全属性：简单安全属性用户只能访问那些与已经拥有的信息不冲突的信息*属性有时，在同一个兴趣冲突组中的公司数据集之间，会出现间接信息流。这是不允许发生的，违背Chinese Wall 模型的安全策略。*属性对写访问做规定如下：访问必须满足简单安全属性主体能够对一个客体写访问的前提，是主体未对任何属于其他公司数据集的客体进行读访问。Chinese Wall 模型安全访问定理定理1：一个主体一旦已经访问过一个客体，则该主体只能访问位于同一公司数据集中的客体或在不同兴趣冲突

8、组中的信息定律2：在一个兴趣冲突组中，一个主体最多只能访问一个公司数据集。定理3：如果在一个兴趣冲突组中有X y个公司数据集，则允许每一个客体被至少一个主体访问的最小主体数量为Xy.应用例子在软件公司里Microsoft和Netscape属于同一个利益冲突类，若某人充当了其中一个公司的财务顾问则不能再担当另一公司的同类工作。Chinese Wall 模型的策略第一，专业性强，实施起来需要大量专家；第二，需要清洁的信息2222三 其它安全模型1、P2DR安全模型（美国国安全模型（美国国际互互连网安全系网安全系统公司公司ISS提出）提出）（动态信息安全理论的主要模型动态信息安全理论的主要模型）政策

9、政策保护保护检测检测响应响应安全安全=风险分析分析+执行策略行策略+系系统实施施+漏洞漏洞检测+实时响响应Policy（安全策略）、（安全策略）、Protection（防护）（防护）Detection（检测）（检测）Response（响应）（响应）2323Policy(安全策略安全策略)由于安全策略是安全管理的核心，所由于安全策略是安全管理的核心，所以要想以要想实施施动态网网络安全循安全循环过程，程，必必须首先制定安全策略，所有的防首先制定安全策略，所有的防护、检测、响、响应都是依据安全策略都是依据安全策略实施的，施的，安全策略安全策略为安全管理提供管理方向和安全管理提供管理方向和支持手段。支

10、持手段。对于一个策略体系的建立包括：安全于一个策略体系的建立包括：安全策略的制策略的制订、安全策略的、安全策略的评估、安全估、安全策略的策略的执行等。行等。2424Protection（保护）保保护通常是通通常是通过采用一些采用一些传统的静的静态安全技安全技术及方法来及方法来实现的，主要有的，主要有防火防火墙、加密、加密、认证等方法。通等方法。通过防防火火墙监视限制限制进出网出网络的数据包，可的数据包，可以防范外以防范外对内及内内及内对外的非法外的非法访问，提高了网提高了网络的防的防护能力，当然需要根能力，当然需要根据安全策略制定合理的防火据安全策略制定合理的防火墙策略；策略；也可以利用也可以

11、利用SecureID这种一次性口令种一次性口令的方法来增加系的方法来增加系统的安全性等等。的安全性等等。2525Detection（检测）（检测）在网在网络安全循安全循环过程中，程中，检测是非常是非常重要的一个重要的一个环节，检测是是动态响响应的的依据，它也是依据，它也是强制落制落实安全策略的有安全策略的有力工具，通力工具，通过不断地不断地检测和和监控网控网络和系和系统，来，来发现新的威新的威胁和弱点，通和弱点，通过循循环反反馈来及来及时作出有效的响作出有效的响应。2626Response（响应）（响应）紧急响急响应在安全系在安全系统中占有最重要的中占有最重要的地位，是解决安全潜在性最有效的地

12、位，是解决安全潜在性最有效的办法。从某种意法。从某种意义上上讲，安全，安全问题就是就是要解决要解决紧急响急响应和异常和异常处理理问题。要。要解决好解决好紧急响急响应问题，就要制，就要制订好好紧急响急响应的方案，做好的方案，做好紧急响急响应方案中方案中的一切准的一切准备工作。工作。27272、PDRR安全模型美国国防部美国国防部 提出提出防防护、检测、响、响应、恢、恢复复安全的目安全的目标实际上就是上就是尽可能地增大保尽可能地增大保护时间，减少，减少检测和响和响应时间，在系，在系统遭受破遭受破坏之后，坏之后，应尽可能快尽可能快的恢复，减少系的恢复，减少系统暴暴露的露的时间。防防护护Protect

13、检测检测Detect响应响应React恢复恢复Restore2828防护防护网网络安全策略安全策略PDRR模型的最重要的部模型的最重要的部分就是防分就是防护（P）。防）。防护是是预先阻止先阻止攻攻击可以可以发生的条件，生的条件，让攻攻击者无法者无法顺利地入侵。利地入侵。防防护可以减少大多数的入侵事件。可以减少大多数的入侵事件。2929检测检测PDRR模型的第二个模型的第二个环节就是就是检测（D）。）。上面提到防上面提到防护系系统除掉入侵事件除掉入侵事件发生的生的条件，可以阻止大多数的入侵事件的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵。特生，但是它不能阻止所有的入侵。特别是

14、那些利用新的系是那些利用新的系统缺陷、新的攻缺陷、新的攻击手手段的入侵。因此安全策略的第二个安全段的入侵。因此安全策略的第二个安全屏障就是屏障就是检测，即如果入侵，即如果入侵发生就生就检测出来，出来，这个工具是入侵个工具是入侵检测系系统（IDS）。）。3030响应响应PDRR模型中的第三个模型中的第三个环节就是响就是响应（R）。）。响响应就是已知一个攻就是已知一个攻击（入侵）事件（入侵）事件发生之生之后，后，进行行处理。在一个大理。在一个大规模的网模的网络中，响中，响应这个工作都是有一个特殊部个工作都是有一个特殊部门负责，那就，那就是是计算机响算机响应小小组。世界上第一个。世界上第一个计算机响

15、算机响应小小组CERT，位于美国于，位于美国于1989年建立，是年建立，是世界上最著名的世界上最著名的计算机响算机响应小小组。从。从CERT建建立之后，世界各国以及各机构也立之后，世界各国以及各机构也纷纷建立自建立自己的己的计算机响算机响应小小组。我国第一个。我国第一个计算机算机紧急响急响应小小组CCERT，于，于1999年建立，主要服年建立，主要服务于中国教育和科研网。于中国教育和科研网。3131恢复恢复恢复是恢复是PDRR模型中的最后一个模型中的最后一个环节。恢。恢复是事件复是事件发生后，把系生后，把系统恢复到原来的状恢复到原来的状态，或者比原来更安全的状，或者比原来更安全的状态。恢复也可

16、。恢复也可以分以分为两个方面：系两个方面：系统恢复和信息恢复。恢复和信息恢复。系系统恢复指的是修恢复指的是修补该事件所利用的系事件所利用的系统缺陷，不缺陷，不让黑客再次利用黑客再次利用这样的缺陷入侵。的缺陷入侵。一般系一般系统恢复包括系恢复包括系统升升级、软件升件升级和和打打补丁等。系丁等。系统恢复的另一个重要工作是恢复的另一个重要工作是除去后除去后门。一般来。一般来说，黑客在第一次入侵，黑客在第一次入侵的的时候都是利用系候都是利用系统的缺陷。在第一次入的缺陷。在第一次入侵成功之后，黑客就在系侵成功之后，黑客就在系统打开一些后打开一些后门，如安装一个特洛伊木如安装一个特洛伊木马。32323、建立信息安全模型、建立信息安全模型安全模型安全模型MP2DRRMPPDRR安全策略安全策略管理管理备份与恢复机制备份与恢复机制安全响应机制安全响应机制入侵检测机制入侵检测机制访问控制机制访问控制机制3333成功的安全模型成功的安全模型在安全和通信方便之间建立平衡在安全和通信方便之间建立平衡-能够对存取进行控制能够对存取进行控制-保持系统和数据完整保持系统和数据完整-能对系统进行恢复和数据备份能对系统进行恢复和数据备份