安全需求与安全策略课件.ppt

《安全需求与安全策略课件.ppt》由会员分享，可在线阅读，更多相关《安全需求与安全策略课件.ppt（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 安全需求与安全策略在项目启动阶段进行安全设计，而不是在实现或维护阶段后来加上的服务包和补丁会带来新的漏洞容易陷入补丁、修复、再补丁的恶性循环启动阶段目标：定义系统的需求确定系统的用户起草一份针对系统的安全策略这是这一阶段必不可少的部分，是构建一个可信系统的基础安全需求安全策略内容提要安全需求安全策略安全策略的分类访问控制策略访问支持策略DTE策略1 安全需求1.1 安全需求的定义所谓安全需求，就是在设计一个安全系统时期望得到的安全保障。不同的用户、不同的行业、不同的地点以及不同的社会制度有不同的安全需求个人隐私、商业机密、军事安全、防假冒、防篡改、可审计等举例：电子交易中的安全需求目的：保证

2、电子交易的安全安全需求保证交易双方身份的确定性需求电子交易的双方，可能素昧平生、相隔千里要能确认对方的身份客户端是否是一个骗子？商店是否黑店？因此，电子交易的前提是能方便而可靠地确认对方身份信息的完整性需求输入时可能会发生意外差错，或者故意欺诈传输时可能会发生信息丢失、重复或者发生次序差异因此，电子交易的基础是保持交易双方的信息完整性信息的不可伪造性需求电子交易中，交易双方的文件必须是不可伪造的，否则将损害某一方的利益这也是不可抵赖性的前提信息的不可抵赖性需求交易一旦达成，是不能被抵赖的，否则也将损害某一方的利益交易过程中，各个环节都必须是不可抵赖的一般化的安全需求机密性需求，防止信息被泄漏给

3、未授权的用户自主安全策略、强制安全策略；需知原则完整性需求，防止未授权用户对信息的修改维护系统资源在一个有效的、预期的状态，防止资源被不正确、不适当的修改；维护系统不同部分的一致性；防止在涉及记账或审计的事件中“舞弊”行为的发生。可记账性需求，防止用户对访问过某信息或执行过某一操作以否认可用性需求，保证授权用户对系统信息的可访问性“授权用户的任何正确的输入，系统会有相应的正确的输出”例子机密性完整性可记账性可用性军事军事安全策略侧重商用商用安全策略侧重侧重电信电信部门侧重3.2 安全策略安全策略：针对面临的威胁决定采用何种对策的方法安全策略为针对威胁而选择和实行对策提供了框架安全不安全3.1.

4、1 定义“安全系统”定义在计算机安全领域内，一个系统是“安全系统”是指该系统达到了当初设计时所制定的安全策略的要求。在有限状态自动机下，安全策略：是“这样一种状态，它将系统状态分为已授权/安全状态和未授权/非安全的状态”一个“安全系统”：是“一个如果起始状态为授权状态，其后也不会进入未授权状态的系统”策略语言策略语言：用来表达安全性或完整性策略的语言策略与实现无关，它描述对系统中实体或行为的约束高级策略语言使用抽象的方法表达对于实体的约束精确低级策略语言根据输入或者调用选项来表达对系统中的程序约束高级策略语言设：系统连接到Internet上。Web浏览器从远程站点下载程序并在本地执行。Pand

5、ey和Hashii：针对Java程序的策略约束语言（Policy constraint language）实体：类或方法类：一些被实施特定的访问约束的对象的集合方法：调用一个操作的方法的集合实例化：主体s创建了某个类c的一个实例，“s-|c”调用：主体s1执行了另一个主体s2，“s1|s2”访问约束deny(s op x)when bop为“-|”或“|”；x为另一个主体或类 条件b为真时，主体s不能对x执行操作op省略x，表示禁止s对所有实体进行操作继承：用来将各个访问约束关联起来。例：deny(s-|c1.f)when b1deny(s-|c2.f)when b2若c1是c2的子类，则正确

6、的约束为：deny(s-|c1.f)when b1b2例，策略规定下载的程序不能访问Unix的password文件。程序中访问本地文件的类和方法如下：class File public file(String name);public String getfilename();public char read();则约束规则如下：deny(|file.read)when(file.getfilename()=“/etc/passwd”)例：类Socket定义为网络套接字，方法Network.numconns定义为当前活动的网络连接数下面的访问约束禁止在达到100个连接数后再建立任何新的连接de

7、ny(|Socket)when(Network.numconns=100)这种策略语言忽略了策略的具体实现，因此是高级策略语言DTEL语言Domain Type Enforcement LanguageBoebert和Kain将类型限制为两种：数据和指令根据语言的类型，在实现一级上进行构造来表达约束成为防火墙系统以及其他安全系统的组成要素该语言将低级语言和高级语言的元素结合起来，抽象地对配置加以描述，因此也属于高级策略语言DTEL将每个客体与一个type关联，而每个主体与一个domain相关连限制domain成员对某type的客体所能执行的操作DTEL将Unix系统分为4个相互隔离的主体域us

8、er_d：普通用户域admin_d：管理员用户域login_d：兼容DTE认证过程的域daemon_d：系统后台守护进程的域系统从daemon_d域开始运行（init进程）当用户试图登录系统，init进程就创建一个login_d域的login进程login进程控制user_d和admin_dDTE提出了如下5个客体型sysbin_t：可执行文件readable_t：可读文件writeable_t：可写文件dte_t：DTE数据generic_t：由用户进程产生的数据当init进程开始时，首先在daemon_d域中启动对writeable_t中的任何客体，能创建c、读取r、写入w和搜索d对sys

9、bin_t中的任何客体，能够读取r、搜索d和执行x对generic_t，readable_t，dte_t中的任何客体，能够读取和搜索当init进程调用登录程序时，登录程序自动转换到login_d域中表示为：domain daemon_d=(/sbin/init),(crwd-writable_t),(rxd-sysbin_t),(rd-generic_t,dte_t,readable_t),(auto-login_d);与写权限分离若一个daemon_d的主体被攻破？另外：domain admin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd

10、-generic_t),(crwxd-readable_t,writable_t,dte_t,sysbin_t),(sigtstp-daemon_d);还有domain user_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd-generic_t),(rxd-sysbin_t),(crwd-writable_t),(rd-readable_t,dte_t);若用户进程试图改变系统二进制文件？注意：用户进程不能跳出用户域。以及domain login_d=(/usr/bin/login),(crwd-writable_t),(rd-readabl

11、e_t,generic_t,dte_t),setauth,(exec-user_d,admin_d);起初，系统始于daemon_d域initial_domain=daemon_d;用一系列的assign语句来设置客体的初始型，如assign r generic_t/;assign r writable_t/usr/var,/dev,/tmp;assign r readable_t/etc;assign r-s dte_t/dte;assign r-s sysbin_t/sbin,/bin,/usr/bin,/usr/sbin-r，表示该型被递归的应用-s，表示该型与名称绑定。（删除后重建，同

12、名同型）有序添加对用户更改系统日志的限制为日志文件定义一个新的型log_t，只有daemon_d的主体和新加的log_d的主体才能更改系统日志domain daemon_d=(/sbin/init),(crwd-writable_t),(rxd-readable_t),(rd-generic_t,dte_t,sysbin_t),(auto-login_d,log_d);domain log_d=(/usr/sbin/syslogd),(crwd-log_t),(rwd-writable_t),(rd-generic_t,readable_t);assign-r log_t/usr/var/lo

13、g;assign writable_t/usr/var/log/wtmp,/usr/var/log/utmp;syslogd是否能访问系统的可执行文件？若用户试图操作日志客体？低级策略语言低级策略语言只是一系列命令的输入或参数设置，用来设置或检查系统中的约束例如：基于UNIX的窗口系统X11为控制台访问提供一种语言。该语言由一条命令xhost和指导此命令的语法组成，可以根据主机名（IP地址）控制访问。以下命令 xhost+groucho chico对系统进行设定，允许主机groucho连接控制台，但禁止来自主机chico的连接又如：文件系统的扫描程序采用规定的策略检查文件系统的一致性。该策略由

14、按需要设定的数据库构成。每个扫描程序使用自己的小型语言来描述需要的设定。扫描程序tripwire假设了一种一致性策略。它记录初始状态。在以后运行时，将报告设置发生改变的文件。策略由两个文件：tw.config和database组成。前者包括待检查属性的描述；后者为上次运行时属性的值。数据库可读，但难以编辑。安全策略的分类基于应用场合的分类军事安全策略/政府安全策略以提供信息机密性为主要目的也涉及完整性、可记账性以及可用性商业安全策略以提供完整性为主要目的面向事务也要涉及机密性、可记账性以及可用性Lipner指出了商业安全策略中需注意的五个方面用户不能写自己的程序程序员可以在非产品的系统中开发和

15、测试程序必须要有一个特殊处理上述特殊处理必须被控制和审计管理员和审计员能访问系统状态和系统日志体现了职责分离、功能分离、审计三个原则基于安全策略内涵的分类内涵如下：信息的机密性、完整性、可用性谁可以以何种方式去访问什么样的信息根据什么来制定访问策略：用户ID或其他最大化共享 or 最小特权任务分离？集中管理 or 分散管理等等访问控制策略：针对前两个方面分类反映系统的机密性和完整性要求确立相应的访问规则以控制对系统资源的访问访问支持策略：针对后两个方面分类反映系统的可记账性要求和可用性要求支持访问控制策略3.3 访问控制策略访问控制属性主体：系统内行为的发起者。通常是用户发起的进程普通用户：一

16、个获得授权可以访问系统资源的自然人。授权包括：对信息的读/写/删除/追加/执行以及授予/撤销另外一个用户对信息的访问权限等等。信息的拥有者：该用户拥有对此信息的完全处理权限（如上），除非，该信息被系统另外加以访问控制。系统管理员：为使系统能正常云展，而对系统的运行进行管理的用户客体：系统内所有主体行为的直接承担者。一般客体：在系统内以客观、具体的形式存在的信息实体，如文件、目录等设备客体：指系统内的设备，如软盘、打印机等特殊客体：某些主体系统必须选择下列三类相关属性进行访问控制策略。主体属性客体属性系统环境（上下文）具体而言，涉及如下五个主要方面：1）用户特征，即主体属性。这是系统用来决定访问

17、控制的最常用的因素。一个用户的任何属性均可作为访问控制的决策点，如年龄、性别、居住地、出生日期等。常用的有：用户ID/组ID；例如用于Unix按位的访问控制、常规自主访问控制用户访问许可级别；例如用于强制访问控制。“需知”原则；角色；权能表2）客体特征，即客体属性也是访问控制策略的很重要的一部分。一般涉及如下几个方面：敏感性标签；（用于强制访问控制）TCSEC中将信息的安全等级分为：Unclassified（无等级信息）Confidential（机密信息）Secret（秘密信息）Top secret（绝密信息）还模拟人力资源系统的分类，形成如下范畴：如参谋部；作战部；后勤部。因此，一个敏感性标

18、签由2部分组成：信息的敏感性级别和范畴访问控制表 （用于自主访问控制）表示系统中哪些用户可以对此信息进行何种访问。由信息的拥有者加以管理。3）外部状态某些策略是基于系统主客体属性之外的某些状态来制定的，例如地点，时间，状态另外，前述大多属性为静态信息，也有些访问策略可能是基于动态信息的地点：例如来自总经理办公室的人员才能被允许看某些文件时间：对系统内信息的访问可能会随着时间的变化而变化。例如，某报社内第二天将要出版的新闻稿：在第二天早上9点前后的敏感性就不一样状态：例如问一个人问题，他高兴与否，结果可能不一样4）数据内容/上下文属性某些可能基于数据的值。例如Sunny可能不被允许看到月薪超过1

19、5K￥的员工的文件。某些可能基于上下文。这种访问机制具有较大的动态性，适用于数据库之类的应用5）其他属性自主访问控制策略“自主”：允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。自主访问控制策略通常基于系统内用户（如用户ID），加上对用户的访问授权（如权能表），或者客体的访问属性（如访问控制表ACL）来决定该用户是否有某权限访问该客体或者基于要访问信息的内容或者基于用户当时所处的角色等等自主访问控制机制：通常在系统中实现。典型方式是标明计算机系统内的用户和由此用户发起的进程对系统内给定信息的访问许可。例如：基于位掩码的保护方式，Unix基于访问控制表ACL的保护方式

20、基于文件密码的保护方式对于访问申请，“引用监视器”根据系统自主访问控制策略来检查主体、客体及其相应的属性，或被用来实现自主访问控制的其他属性访问属性 VS 授权：允许 or 不允许自主访问控制的优点：访问模式设定灵活。读；写；执行；“每隔一周的周五可以读”；“读完文件x后才能读此文件”等等具有较好的适应性，常用与商用OS和应用中缺点：不能防范木马和某些形式的恶意代码。思考：一个用户的经典程序中隐藏了木马，将会如何？自主访问控制，往往需要和强制访问控制结合起来强制访问控制策略经典场景：军事机密及其管理。无密级；保密；机密；绝密。强制访问控制，基于上述原型而来。主体/客体：贴上标签引用监视器：比较

21、标签，决定是否许可效果：保证完整性和机密性强制访问控制的访问模式比较简单：读 写在不同的需求下，访问控制策略的形式可能不同例如，在机密性要求下：低读；高写；而在完整性要求下：高读最显著的特征：全局性和永久性无论何时何地，主体和客体的标签是不会改变的。全局性：对特定的信息，从任何地方访问，它的敏感级别相同永久性：对特定的信息，在任何时间访问，它的敏感级别相同上述特征在多级安全体系中称为“宁静性原则”（tranquility）一旦不满足该原则，则无法从根本上防备木马和恶意代码偏序关系对于一个具体的访问控制策略，若具有全局性和永久性，则其标签集合在数学上必会形成“偏序关系”（partial orde

22、r）支配关系：“”满足偏序关系的两个元素x和y，只可能存在3种关系xy；或者yx；或者无关：即x和y不可比偏序关系的特征反自身性：x x反对称性：若x y 并且 y x，则xy传递性：若x y并且y z，则x z为保持全局性和永久性，标签的选择不能随便。举例，设主/客体的访问标签：敏感 or 公开且，除周末外，系统内“公开”的主体可能访问“公开”的客体。破坏了自反性；永久性。又如，允许“公开”的主体可以在周末访问“敏感”的客体。则“敏感”在周末前支配“公开”，而周末则反过来了。但由于“敏感”不等于“公开”，因此违反了反对称性，破坏了永久性。再如，引入“私有”标签。如果“私有”主体可以访问“敏感

23、”客体，同时“敏感”主体可以访问“公开”客体，但若系统内存在某些“公开”客体，不能被“私有”主体访问，则违反了传递性，从而破坏了全局性。因此，主客体访问标签不满足偏序关系的访问控制策略，不能称为强制访问控制策略，只能称之为自主访问控制策略。即，要么“强制”，要么“自主”，没有相交的部分两者最大的区别在于，是否能够防备木马和恶意程序的攻击若一个系统内有2个或以上的强制访问控制策略，则每个都必须分别满足偏序关系。例如机密性标签；完整性标签。3.4 访问支持策略访问支持策略，为保障访问控制策略的正确实施提供可靠的“支持”将系统中的用户与访问控制策略中的主体关联起来，即身份的合法性认证在用户进入系统后

24、，执行与其身份不相称的操作或非法访问了它无权访问的文件，应“记录在案”等等TCSEC中，将访问支持策略分为6类Identification&authentication，标识与鉴别Accountability，可记账性Assurance，确切保证Continuous protection，连续保护Object reuse，客体重用Covert channels，隐通道处理标识与鉴别策略要求以一个身份来标识用户，并且此身份必须经过系统的认证与鉴别。在用户执行任何由系统TCB提供的操作前由用户登录系统完成TCB将保留用户的认证信息，并以此来验证用户的身份身份认证信息用户所知道的：最常见的实现机制：

25、口令用户所拥有的用户是谁可记账性策略任何影响系统安全性的行为都要被跟踪并记录下来TCB必须拥有将用户ID与它被跟踪、审计下来的行为联系起来的能力审计信息必须有选择性的保留下来，并受到适当的保护一个可信系统必须能够将系统内发生的所有与安全相关的事件记录在审计日志文件中，并且所有的审计数据必须防止受到未授权的侵入、修改或者损坏，以作为日后对事件的调查的依据TCSEC规定，审计系统应能够记录以下事件与标识与鉴别机制相关的事件将客体导入用户地址空间的操作，如文件的打开操作，程序的启动等对客体的删除由系统管理员和/或系统安全管理员所执行的操作以及其他与安全相关的事件事件的审计记录项，一般应至少包含事件发

26、生的日期和时间用户ID事件的类型事件的成功/失败信息对不同的需求，审计记录项可能还有其他信息确切保证TCSEC中，确切保证是指系统事先制定的安全策略能够得到正确地执行并且系统保护相关的元素能够真正精确可靠的实施安全策略的意图。作为扩展，确切保证必须确保系统的TCB严格按照事先设计的方式来运行TCSEC规定了两种类型的确切保证生命周期保证：涉及系统设计、开发和维护各个环节操作保证生命周期保证安全系统开发企业要从系统的设计、开发和分发、安装、维护各个环节所制定的措施、目标以及执行的步骤加以保证必须进行严格的测试和评估任何改变，都要重新评估包括：安全性测试设计规范验证在B2级以上，还包括配置管理在A

27、级，还要求可信分发操作保证是指用来保证系统在操作过程中安全策略不会被歪曲的功能特征和系统架构TCSEC要求的操作保证包括系统架构系统的完整性B2以上，还包括隐通道分析，可信实施管理以及可信恢复连续保护TCSEC的连续保护策略要求可信机制的实施必须连续不断地保护系统免遭篡改和非授权的改变连续保护机制必须在计算机系统整个生命周期内起作用客体重用TCSEC，C2及以上开始重新分配给某些主体的介质（例如内存的页框、磁盘的簇、磁带）包含有一个或多个客体，为达到安全的重新分配这些资源的目的，这些资源在重新分配给新的主体时，不能包含任何残留信息即防止在系统中的存储介质在被重新分配时，确保曾经在介质中存放过的

28、信息不会泄露给新的主体包括加密形式存在的信息隐通道TCSEC关于隐通道的定义：可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道存储隐通道时间隐通道使用带宽来衡量低带宽的威胁小（login_d,trusted_d):直到某个进程调用login_d域的入口程序login，或者调用trusted_d域的入口程序fsck，syslogd等(rxd-sysbin_t):不能修改系统二进制文件没有wx组合：不能够生成一个随后可执行的程序(rd-base_t,conf_t)base_t缺省的赋给根（递归）conf_t赋给/etc及其下所有文件可信域 trusted_d入口文件：/sbin/

29、fsck,mount_mfs;/usr/sbin/syslogdtrusted_d不再转化到其他域能rwd型syslog_t和disk_tsyslog_t赋给系统审计日志文件/usr/var/log,/usr/var/run/syslog.pid,utmpdisk_t赋给磁盘设备特殊文件/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h只有trusted_d和admin_d才能写访问这两个类型只能(rd-base_t,conf_t)注册域 login_d入口文件/usr/bin/dtelogin在daemon_d、user_d、system_d、a

30、dmin_d调用dtelogin的时候，都会自动转入login_d域中只有通过login_d域，才能按要求转入user_d、system_d、admin_d中，这是不可绕过的只有dtelogin能运行在login_t中，但不能调用其他任意二进制文件，除非是转入其他域的人口文件rd-base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,ciper_t其中，secpolicy_t赋给/dte及其下所有文件ciper_t赋给目录/etc下的master.passwd,spwd.db,pwd.db,passwd和其他与认证相关的文件可以写访问usr_lo

31、g_t的文件，即/usr/var/log下的wtmp和lastlog其他域均不能访问usr_log_tDTE对login的扩展和增强：注册时，用户提出角色和域要求。认证后按要求进行域转换常规认证和角色认证库分别是conf_t和secpolicy_t，DTE策略严格控制这两个类型的文件，以免未授权的修改用户域 user_d入口文件，各种shell程序，/bin/ash,bash,csh,sh,tcsh转入user_d的方式：Login时，用户提出普通角色要求，并认证通过admin_d时，提出转化要求能转入network_appli_d和login_d能rd所有类型的文件能x类型sysbin_t,

32、base_t,user_tuser_t:/home及其下的所有文件等等系统操作用户域 system_d入口文件，各种shell程序5中管理员角色都进入这个域系统管理员安全管理员审计管理员网络管理员可以进入network_apli_d、login_d、daemon_d可以rd所有类型的文件系统操作用户域中的操作员，不能做一些重要的系统修改，但能使这些更改生效能发送信号sigtstp到daemon_d使系统重启管理域 admin_d入口文件，各种shell五种角色都可以进入这个域能进入network_apli_d、login_d、trusted_drwd所有类型的文件system_d能使上述更改生

33、效能执行sysbin_t网络应用域 network_appli_d入口文件，与网络应用有关的可执行文件，mosaic、netscape、ftp、telnet、http等可以从user_d、system_d、admin_d进入本域不能进入其他域限制修改重要文件创建的文件，为network_t/usr/home/ken/可以执行sysbin_t和network_t类型的文件只能写writeable_t和network_t型的划分所有的文件和客体被分类到15种型base_t：基型sysbin_tconf_twritable_tuser_tsecpolicy_tsyslog_tusr_log_tsys

34、policy_log_tcipher_tnetwork_ttrusted_t：可信进程mem_t：内存设备特殊文件disk_t：磁盘设备特殊文件lp_t：打印设备文件赋型规则DTE策略共有21条赋型规则assign-r base_t/;assign-r secpolicy_t/dte;assign-r base_t/;作业操作系统的安全威胁有哪些？什么是自主访问控制；什么是强制访问控制？在信息系统内，和访问控制策略相关的因素有哪些？在系统中，主体通常表现为什么？客体有哪些？什么是访问控制策略；什么是访问支持策略？根据TCSEC，系统中可能存在那两类隐通道？什么是客体重用？Thanks！The end.