2021年2月18日
安全系统中访问控制涉及:主体和客体
主体:发出访问资源请求的用户或进程
客体:用户或进程想要访问的资源
封闭系统:专有标准,不公开,更安全
开放系统:更容易与其他开放系统集成
确保CIA的技术:(Confinement、Bound、Isolation)
1.限制:约束程序的行为,只能对某些内容位置资源读写
2.界限:由对其可以访问的内存地址和资源所设置的限制组成
3.隔离:执行访问界限时,进程处于隔离状态运行
控制:
1.强制访问控制(Mandatory Access Control,MAC)
2.自主访问控制(Discretionary Access Control,DAC)
安全模型:将抽象陈述映射到安全策略,为设计提供标准
1.可信计算基(TCB,Trusted Computing Base):参考监视器负责授权访问请求之间验证资源;安全内核是实现参考监视器功能的组件集合;安全边界是隔离内外系统的边界。
2.状态机模型:始终引导进入安全状态,在所有转换中保持安全状态,并允许主体仅以符合安全策略的安全方式访问资源。
3.信息流模型:防止未经授权、不安全或受限制的信息流
4.非干扰模型:防止一个主体的动作影响另一个主体的系统状态或动作。
5.Take-Grant模型:规定权限如何从一个主体传递到另一个主体,或从主体传递到客体。通过增删规则生成相应的权限规则。
6.访问控制矩阵:主体和客体组成的表,规定了每个主体可以对每个客体执行的动作或功能。
7.Bell-laPadula模型:主体具有一个许可级别,仅能访问具有相应分类级别的客体,实现了保密性。(不准上读,不准下写)
8.Biba模型:能够防止安全级别较低的主体对安全级别较高的客体执行写入操作(不准下读,不准上写),重点是完整性。
9.Clark-Wilson模型是一个依赖于审计的完整性模型,能够确保未经授权的主体无法访问客体且已授权用户可以正常访问客体。每个数据项且仅允许通过某一个小组程序进行修改:主体---程序---客体。
10.Brewer and Nash模型:基于用户以前的活动而改变访问控制。
11.Goguen-Meseguer模型:完整性,非干涉。
12.Sutherland模型(完整性),侧重于防止干扰。
13.Graham-Denning模型:专注于主体、客体的安全创建、删除。
安全评估的2个步骤:
1.对系统进行测试和技术评估
2.对安全标准和实际系统能够力性能进行比较,决定是否接受。
3.通用做法:通常会聘请可信第三方来执行评估
组织管理者的责任:决定是否接受系统和何时接受。
三个评估模型或分类标准模型:TCSEC、ITSEC、CC
TCSEC:橘皮书,四类别
A:已验证
B:强制保护
C:自主保护
D:最小保护
红皮书:连网环境下的橘皮书,重点增加了网络部分。
绿皮书:提供密码创建和管理的指南
ITSEC:欧洲的评估模型
CC(通过准则):1998年,加、法、德、英、美五国共同通过。后来成为国际标准:ISO15408,信息技术安全评估标准
两个要素:
1.保护范畴:为要评估的产品(TOE)指定安全要求和保护
2.安全目标:指定了供应商在TOE内构建的安全声明
三个部分:
1.简介和通用模型:一般概念和基础模型,评估目标、内容
2.安全功能要求:全部安全功能
3.安全保障:全部安全保证检查和保护范畴
PCI DSS
ISO
认证(Certification):对计算机系统各个部分的技术评估,以评估其与安全标准的一致性。
1.选择评估标准
2.认证分析(硬件、软件、配置)
3.评估整个系统后,对结果进行评估,确定安全级别
认证结果仅对特定环境和配置中的系统有效。如果环境和配置有任何变动,需要重新评估。
鉴定(Accreditation):是指定审批机构(DAA)正式声明:IT系统被批准在特定安全模式下使用规定的一套保障措施在可接受的风险水平下运行。
认证和鉴定系统: CNSSP: 1.定义,2.验证,3.确定,4.鉴定后。
信息系统安全功能:
1.内存保护:防止活动的进程与不是专门指派或分配给它的内存区域进行交互。
2.虚拟化
3.可信平台模块TPM,硬件安全模块HSM,ATM、POS通常使用专有的HSM
4.接口,受约束接口,目标是:限制或约束已授权和未授权用户的操作。
5.容错,冗余组件。
课后习题20题,错了7个。