信息系统安全总结-中期

发表于

 

信息系统安全总结-中期

1.什么是信息安全

信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。

2.安全系统工程的含义?意味着什么?

安全系统工程(System Safety), 是运用系统论的观点和方法 ,结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科,是系统工程学的一个分支。其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响,协调各单元之间的关系,取得系统安全的最佳设计等。目的是使生产条件安全化,使事故减少到可接受的水平。

3.安全需求如何确定

第一步:定义风险等级

在生产装置中引进安全防护手段,其作用是为了将风险减低到企业可接受的水平。任何防护手段都不可能完全消除风险。

由于石化生产装置的复杂性导致了潜在风险数目极大,不可能对所有的风险都采取措施。因此,需要在设计安全相关系统之前,就明确地定义多大程度的风险可以接受,而什么样的风险必须采取措施。只有将风险等级进行明确的定义和划分后,才能以此为衡量指标,在众多的潜在风险中找到必须要解决的关键风险。

第二步:识别所有潜在风险

定义了风险等级后,使用合理的安全评价方法对装置中可能存在的风险进行充分、彻底地识别,获得装置中每个风险发生原因和所导致后果之间的对偶关系。只有在获得所有可能的潜在风险的基础上,才能对装置进行充分、完整地防护层设计与校核。

第三步:校核防护层设计

针对第二步中所识别出来的每一个可能的风险,考虑当前已有的保护措施对风险的降低程度,校核其是否满足在风险矩阵中定义的可接受范围。如果不能满足要求,则需要引入新的防护措施,并对引入新的防护措施后的风险降低程度重新进行计算。

第四步:结论审查

检查所有不可接受的风险是否都已受到防护,即所有风险的等级都达到“可接受”范围内。如若不然,回到第三步重新进行防护层校核与设计。

4.安全需求如何描述,描述什么,举例

分析系统的安全环境,安全目标,安全需求

1支持学校的主页服务器系统:

安全环境:

a).TOE物理环境:服务器在校区中或在租用地,维护人员主要是校内的老师或技术人员。网站主要供校内学生交换教务信息,校外人员查询资料下载文件等。

b). 拥有较强的资源独立要求,即拥有不同权限的用户能访问到的数据应加以区分。授权凭证为用户的账号密码。

c).TOE用途:网站主要用于公布,支持用户检索信息。用户可以上传自己的信息,也可以下载自己权限内的资料。

 

安全目标:(假设,威胁,组织安全策略)

这种网站通常会遭受可能的两种安全问题,其一是同时访问的人数过多,哪怕不是DDos,但是通常的学生选课期间等都可能造成服务器拒绝服务。故需要用过一定的安全配置策略使得处理这种风险。

另外一种风险就是越权风险,可能有恶意用户想要修改某些数据,通过后门等入侵数据库,拿到管理员权限,导致权限管理出现问题。因此需要一套监控系统,以及不同权限的管理分类。

安全需求:

a).功能要求:通过某种,或多种方式认证用户身份,并限定严格的权限。建立严密的监视已经管理分工,不能有越权行为。

b).保证要求:用户在自己的权限范围内应当享受确定的权限,不能多也不能少。且在信息交换上应保证时效性。保证密码认证的唯一性。

c).环境要求:保证服务器连接的稳定,尽可能降低拒绝服务的问题产生。网站因定期监控维护,实时更新已发现的漏洞。

5.安全标准如何定义安全级别?

TCSEC标准

在TCSEC中,美国国防部按信息的等级和应用采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别,共27条评估准则。其中D为无保护级,C为自主保护级,B为强制保护级,A为验证保护级。

通用准则CC

CC共包含11个安全功能类:

FAU

安全审计

FCO

通信

FCS

密码支持

FDP

用户数据保护

FIA

标识与鉴别

FMT

安全管理

FRR

隐秘

FPT

TFS保护

FRU

资源利用

FTA

TOE访问

FTP

可信信道/路径

安全保证部分提出7个评估保证级别(EALs):

(1)EAL1:功能测试

(2)EAL2:结构测试

(3)EAL3:系统测试和检查

(4)EAL4:系统设计、测试和复查

(5)EAL5:半形式化设计和测试

(6)EAL6:半形式化验证的设计和测试

(7)EAL7:形式化验证的设计和测试

6.如何理解TCB

TCB是Trusted Computing Base的简称,指的是计算机内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。

7.如何设计TCB

在安全策略的前提 [ 编辑 ]

应当指出,由于上述橙皮书定义的结果,在TCB的边界时的安全策略如何充实具体密切依赖。 在上面的网络服务器的例子,尽管,也就是说,一个Web服务器 ,供应多用户应用程序不是操作系统的TCB的一部分,它具有执行的职责的访问控制 ,以使用户无法篡的身份和特权彼此。 在这个意义上说,这绝对是包括所述UNIX服务器中,用户的浏览器和Web应用程序的更大的计算机系统的TCB的一部分; 换句话说,违约成通过例如,一个Web服务器的缓冲区溢出可能不会被视为操作系统适当的妥协,但它确实构成了破坏性开发的Web应用程序。

在TCB边界的这一基本的相对论是由评测 (TOE) 的目标的概念exemplifed 通用标准安全流程:在通用标准安全评估的过程中,必须做出的第一个决定之一是在系统的组件的列表,这将受到详细审查方面审计边界。

前提条件安全 [ 编辑 ]

没有一个可信计算基作为其设计的一部分,系统不提供自己的安全性:他们只保证只要安全性是由外部手段提供给他们(例如计算机坐在一个上锁的房间没有网络连接可考虑的安全取决于政策,无论是软件的运行)。 这是因为,正如大卫·法布尔J.等人。 所说的那样, [5] [I]呐计算机系统,较低层的完整性通常是由较高层视为不言自明的 。 至于计算机安全而言,有关计算机系统的安全性能要求的推理能够对什么是可以的,更重要的是,不能做声音的假设; 然而,除非任何理由不相信,一台电脑能做到的一切,一般的冯·诺依曼机即可。 这显然包括将被视为违背所有,但最简单的安全策略,如泄露的业务电子邮件密码应当保密; 然而,在系统的架构除非特别规定,但无可否认的计算机可被编程来执行这些不良任务。

这些特殊的规定,旨在防止某些种类的动作被执行,在本质上构成了可信计算基。 出于这个原因, 橙皮书 (对安全操作系统的设计在2007年的设计仍参考 )特征,它主要定义的TCB的结构和安全功能方面的各种安全保证级别。

TCB的软件部分需要保护自己 [ 编辑 ]

所概述上述橙皮书,可信计算基础软件部分需要保护自己免受篡改具有任何效力。 这是由于冯·诺依曼架构几乎所有现代计算机实现的:因为机器代码可以只是另一种类型的数据进行处理,它可以读取和任何程序除非特殊覆盖内存管理规定,即后来有作为的一部分来对待的TCB。 具体来说,可信计算基至少要防止自己的软件被写入。

在许多现代的CPU ,存储器的承载TCB中保护是通过在一个专门的硬件称为加法实现存储器管理单元 (MMU),其由操作系统是可编程的,以允许和拒绝访问的特定范围内系统内存程序正在运行。 当然,操作系统也能这样编程禁止向其他程序。 这种技术被称为监控模式 ; 相比更粗的方法(如存储在TCB中的ROM ,或等同地,使用哈佛体系结构 ),它具有允许安全关键软件在现场升级的优点,虽然允许可信计算基础的安全升级构成其自己的自举的问题。 [6]

可信与值得信赖 [ 编辑 ]

如前所述以上 ,在可信计算基信任才能使在确定计算机系统的安全性没有任何进展。 换句话说,可信计算基础是在这个意义上“受信任”,首先,它已被信任,而不一定,这是值得信赖的。 真实世界的操作系统通常在他们发现的安全关键错误,这证明这种信任的实际限制。 [7]

另一种是正规的软件验证 ,它使用数学证明的技术,显示没有错误。 在研究人员NICTA及其分拆开放核心实验室最近执行的这样一种形式验证[1] ,所述的一个件L4微内核系列 ,证明了C实现的内核的功能正确性。 [8]这使得了seL4第一operating-它封闭信任守信之间的间隙,假设数学证明系统内核和编译器是从错误的分类。

TCB尺寸 [ 编辑 ]

由于上述需要应用昂贵的技术如正式验证或人工审核,在TCB的大小对TCB保证方法的经济(直接后果,将所得产物的可信的方面数学期望的验证或审核)过程中未发现的缺陷数量。 为了降低成本和安全风险,在TCB因此应当保持尽可能小。 这是在辩论宁愿一个关键参数微内核 ,以单内核[9]

8.访问控制策略的安全性如何界定

访问控制安全策略安全性集中在主体、客体和安全控制规则集三者之间的关系。

(1)最小特权原则。在主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。优点是最大限度地限制了主体实施授权行为,可避免来自突发事件、操作错误和未授权主体等意外情况的危险。为了达到一定目的,主体必须执行一定操作,但只能做被允许的操作,其他操作除外。这是抑制特洛伊木马和实现可靠程序的基本措施。

(2)最小泄露原则。主体执行任务时,按其所需最小信息分配权限,以防泄密。

(3)多级安全策略。主体和客体之间的数据流向和权限控制,按照安全级别的绝密(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U)5级来划分。其优点是避免敏感信息扩散。具有安全级别的信息资源,只有高于安全级别的主体才可访问。

在访问控制实现方面,实现的安全策略包括8个方面:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。

9.访问控制有哪些典型的模型

访问控制的核心是授权策略。以授权策略来划分, 访问控制模型可分为: 传统的访问控制模型、基于角色的访问控制( RBAC) 模型、基于任务和工作流的访问控制( TBAC) 模型、基于任务和角色的访问控制( T-RBAC) 模型等。

1.     传统的访问控制模型

自主访问控制DAC

自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。

特点

授权的实施主体(1、可以授权的主体;2、管理授权的客体;3、授权组)自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。

( ACL) 是DAC 中常用的一种安全机制, 系统安全管理员通过维护ACL(访问控制表) 来控制用户访问有关数据。

缺点

主体的权限太大, 无意间就可能泄露信息

不能防备特洛伊木马的攻击访问控制表

当用户数量多、管理数据量大时, ACL 就会很庞大。不易维护。

强制访问控制MAC

是一种强加给访问主体( 即系统强制主体服从访问控制策略) 的一种访问方式, 它利用上读/ 下写来保证数据的完整性, 利用下读/上写来保证数据的保密性。

特点

通过梯度安全标签实现信息的单向流通

可以有效地阻止特洛伊木马的泄露

缺陷

主要在于实现工作量较大, 管理不便, 不够灵活, 而且它过重强调保密性, 对系统连续工作能力、授权的可管理性方面考虑不足。

上读/下写 下读/上写

(1)向下读(rd,read down):主体安全级别高于客体信息资源的安全级别时允许查阅的读操作;

(2)向上读(ru,read up):主体安全级别低于客体信息资源的安全级别时允许的读操作;

(3)向下写(wd,write down):主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作;

(4)向上写(wu,write up):主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。

MAC通过分级的安全标签实现了信息的单向流通,其中最著名的是Bell-LaPadula模型和Biba模型:Bell-LaPadula模型具有只允许向下读、向上写的特点,可以有效地防止机密信息向下级泄露;Biba模型则具有不允许向下读、向上写的特点,可以有效地保护数据的完整性。

1).Lattice模型

在Lattices模型中,每个资源和用户都服从于一个安全类别。这些安全类别我们称为安全级别,五个安全级别,TS,S,C,R,U。在整个安全模型中,信息资源对应一个安全类别,用户所对应的安全级别必须比可以使用的客体资源高才能进行访问。Lattices模型是实现安全分级的系统,这种方案非常适用于需要对信息资源进行明显分类的系统。

2).Bell-LaPadula模型

Bell-LaPadula模型通常是处理多级安全信息系统的设计基础,客体在处理绝密级数据和秘密级数据时,要防止处理绝密级数据的程序把信息泄露给处理秘密级数据的程序。BLP模型的出发点是维护系统的保密性,有效地防止信息泄露。

Top Secret (TS), Secret (S), Confidential (C), and Unclassified (U),

 

3).Biba模型

Biba模型是和BLP模型相对立的模型,Biba模型改正了被BLP模型所忽略的信息完整性问题,但在一定程度上却忽视了保密性。

integrity levels: Crucial (C), Important (I), and Unknown (U).

 

2.     基于角色的访问控制模型RBAC

 

基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权

五个基本数据元素 :

用户 users(USERS) 、角色 roles(ROLES) 、目标 objects(OBS) 、操作 operations(OPS) 、许可权 permissions(PRMS)

•       模型的优点

o      通过角色配置用户及权限,增加了灵活性

o      支持多管理员的分布式管理,管理比较方便

o      支持由简到繁的层次模型,适合各种应用需要

o      完全独立于其它安全手段,是策略中立的( policy-neutral )

通过对resource的粒度控制,可以做到大到整个系统,小到数据库表字段的控制

3.     基于任务和工作流的访问控制模型TBAC

所谓任务( 或活动) , 就是要进行的一个个操作的统称。TBAC 模型是一种基于任务、采用动态授权的主动安全模型

基本思想

(1) 将访问权限与任务相结合, 每个任务的执行都被看作是主体使用相关访问权限访问客体的过程。在任务执行过程中, 权限被消耗, 当权限用完时, 主体就不能再访问客体了。

(2) 系统授予给用户的访问权限, 不仅仅与主体、客体有关, 还与主体当前执行的任务、任务的状态有关。客体的访问控制权限并不是静止不变的, 而是随着执行任务的上下文环境

的变化而变化。

缺点

TBAC 中并没有将角色与任务清楚地分离开来, 也不支持角色的层次等级; 另外, TBAC并不支持被动访问控制, 需要与RBAC 结合使用 。

4.     基于任务和角色的访问控制模型T-RBAC

T-RBAC 模型把任务和角色置于同等重要的地位, 它们是两个独立而又相互关联的重要概念。任务是RBAC 和TBAC 能结合的基础。

T-RBAC 模型中是先将访问权限分配给任务, 再将任务分配给角色, 角色通过任务与权限关联, 任务是角色和权限交换信息的桥梁。

 

在T-RBAC 模型中, 任务具有权限,角色只有在执行任务时才具有权限, 当角色不执行任务时不具有权限; 权限的分配和回收是动态进行的,任务根据流程动态到达角色, 权限随之赋予角色, 当任务完成时, 角色的权限也随之收回; 角色在工作流中不需要赋予权限。这样, 不仅使角色的操作、维护和任务的管理变得简单方便, 也使得系统变得更为安全。

5.     基于对象的访问控制模型

控制策略和控制规则是OBAC访问控制系统的核心所在,在基于受控对象的访问控制模型中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合;同时允许对策略和规则进行重用、继承和派生操作。这样,不仅可以对受控对象本身进行访问控制,受控对象的属性也可以进行访问控制,而且派生对象可以继承父对象的访问控制设置,这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。

 

OBAC从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。OBAC从受控对象的角度出发,将访问主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制列表,增、删、修改访问控制项易于操作,另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了访问主体的权限管理,降低了授权数据管理的复杂性。

6.     下一代访问控制模型UCON

使用控制( Usage Control:UCON) 模型 , 也称ABC 模型。UCON模型包含三个基本元素: 主体、客体、权限和另外三个与授权有关的元素: 授权规则、条件、义务, 如图3 所示。

 

UCON模型中的主要元素如下:

主体( Subjects) 。它是具有某些属性和对客体( Objects)操作权限的实体。主体的属性包括身份、角色、安全级别、成员资格等。这些属性用于授权过程。客体( Objects) 。它是主体的操作对象, 它也有属性, 包括安全级别、所有者、等级等。这些属性也用于授权过程。

权限( Rights) 。它是主体拥有的对客体操作的一些特权。权限由一个主体对客体进行访问或使用的功能集组成。UCON中的权限可分成许多功能类, 如审计类、修改类等。

授权规则( Authorization Rules) 。它是允许主体对客体进行访问或使用前必须满足的一个需求集。授权规则是用来检查主体是否有资格访问客体的决策因素。

条件( Conditions) 。它是在使用授权规则进行授权过程中, 允许主体对客体进行访问权限前必须检验的一个决策因素集。条件是环境的或面向系统的决策因素。条件可用来检查存在的限制, 使用权限是否有效, 哪些限制必须更新等。

义务( Obligations) 。它是一个主体在获得对客体的访问权限后必须履行的强制需求。分配了权限, 就应有执行这些权限的义务责任。

在UCON模型中, 授权规则、条件、义务与授权过程相关,它们是决定一个主体是否有某种权限能对客体进行访问的决策因素。基于这些元素, UCON有四种可能的授权过程, 并由此可以证明: UCON模型不仅包含了DAC,MAC, RBAC, 而且还包含了数字版权管理( DRM)、信任管理等。UCON 模型涵盖了现代商务和信息系统需求中的安全和隐私这两个重要的问题。因此, UCON模型为研究下一代访问控制提供了一种有希望的方法, 被称作下一代访问控制模型。

7.     基于属性的访问控制(ABAC)

ABAC是一种为解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的,可将实体的属性分为主体属性、实体属性和环境属性,这与传统的基于身份的访问控制(IBAC)不同。在基于属性的访问控制中,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC 中通过特性来标识,而不像IBAC 那样只通过ID 来标识,这使得ABAC 具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能,这在大型分布式环境下是十分重要的。

参考文献

访问控制 http://www.cec-ceda.org.cn/information/book/info_6.htm

Access Control: Plicies, Models, and Mechanisms

10.访问控制的结构

(1)认证。包括主体对客体的识别及客体对主体的检验确认。

(2)控制策略。通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。同时对合法用户,也不能越权行使权限以外的功能及访问范围。

(3)安全审计。系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。 图1 访问控制功能及原理

11.访问控制的实现(策略机制)

1. 入网访问控制

2. 网络权限限制

3. 目录级安全控制

4. 属性安全控制

5.网络服务器安全控制

6.网络监测和锁定控制

7. 网络端口和节点的安全控制

8.防火墙控制

发表评论