【正文】 信息安全模型信息安全模型中國信息安全產(chǎn)品測評認(rèn)證中心中國信息安全產(chǎn)品測評認(rèn)證中心徐徐 長長 醒醒信息安全模型信息安全模型n 1 安全模型概念安全模型概念n 2 訪問控制模型訪問控制模型n 3 信息流模型信息流模型n 4 完整性模型完整性模型n 5 信息安全模型信息安全模型1 安全模型概念安全模型概念n 安全模型用于安全模型用于 精確地和形式地描述精確地和形式地描述 信息系統(tǒng)的安信息系統(tǒng)的安全特征，以及用于全特征，以及用于 解釋解釋 系統(tǒng)安全相關(guān)行為的理系統(tǒng)安全相關(guān)行為的理由。由。n 分類分類 1：訪問控制模型，信息流模型。：訪問控制模型，信息流模型。n 分類分類 2：機(jī)密性要求，完整性，可用性：機(jī)密性要求，完整性，可用性 DoS，等，等n 現(xiàn)有的現(xiàn)有的 ““ 安全模型安全模型 ”” 本質(zhì)上不是完整的本質(zhì)上不是完整的 ““ 模型模型 ””：僅描述了安全要求：僅描述了安全要求 (如：機(jī)密性如：機(jī)密性 )，未給出實(shí)現(xiàn)，未給出實(shí)現(xiàn)要求的任何相關(guān)要求的任何相關(guān) 機(jī)制機(jī)制 和方法。和方法。 安全模型安全模型n 安全目標(biāo)：機(jī)密性，完整性，安全目標(biāo)：機(jī)密性，完整性， DoS， …………n 控制目標(biāo)：保障（控制目標(biāo)：保障（ TCB Trust Compute Base, Reference Monitor ），安全政策（），安全政策（ Policy DAC MAC），審計(jì)），審計(jì)n 安全模型的形式化方法：安全模型的形式化方法：———— 狀態(tài)機(jī)，狀態(tài)轉(zhuǎn)換，狀態(tài)機(jī)，狀態(tài)轉(zhuǎn)換， 不變量不變量———— 模塊化，抽象數(shù)據(jù)類型（面向?qū)ο竽K化，抽象數(shù)據(jù)類型（面向?qū)ο?）） 安全模型作用安全模型作用n 設(shè)計(jì)階段設(shè)計(jì)階段n 實(shí)現(xiàn)階段實(shí)現(xiàn)階段n 檢查階段（檢查階段（ Review））n 維護(hù)階段維護(hù)階段 安全模型抽象過程安全模型抽象過程n Step 1: Identify Requirements on the External Interface.(input,output,attribute.)n Step 2: Identify Internal Requirementsn Step 3: Design Rules of Operation for Policy Enforcementn Step 4: Determine What is Already Known.n Step 5: Demonstrate (論證論證 )Consistency and Correctnessn Step 6: Demonstrate Relevance（適當(dāng)?shù)模ㄟm當(dāng)?shù)模? Overview機(jī)密性訪問控制信息流DAC自主MAC強(qiáng)制完整性RBACBLPChinese Wall（非干擾性，非觀察性）BibaClarkWilsonthe “Chinese Wall” Policy is a mandatory access control policy for stock market analysts. This anizational policy is legally binding in the United Kingdom stock exchange.2 訪問控制模型訪問控制模型n 自主訪問控制（自主訪問控制（ Discretionary Access Control DAC）） 機(jī)密性與完整性機(jī)密性與完整性 木馬程序木馬程序n 強(qiáng)制訪問控制（強(qiáng)制訪問控制（ Mandatory Access Control MAC）） 機(jī)密性機(jī)密性 隱通道隱通道n 基于角色訪問控制基于角色訪問控制 (RBAC) 管理方式管理方式 自主訪問控制自主訪問控制特點(diǎn)特點(diǎn) ：： 根據(jù)主體的根據(jù)主體的 身份身份 和和 授權(quán)授權(quán) 來決定訪問模式。來決定訪問模式。缺點(diǎn)缺點(diǎn) ：： 信息在移動過程中，其信息在移動過程中，其 訪問權(quán)限關(guān)系訪問權(quán)限關(guān)系 會被改會被改變。如用戶變。如用戶 A可將其對目標(biāo)可將其對目標(biāo) O的訪問權(quán)限傳遞給用的訪問權(quán)限傳遞給用戶戶 B， 從而使不具備對從而使不具備對 O訪問權(quán)限的訪問權(quán)限的 B可訪問可訪問 O。狀態(tài)機(jī)狀態(tài)機(jī)n Lampson 模型模型模型的結(jié)構(gòu)被抽象為狀態(tài)機(jī)，模型的結(jié)構(gòu)被抽象為狀態(tài)機(jī)，狀態(tài)三元組狀態(tài)三元組 ( S, O, M )， ———— S 訪問訪問 主體集主體集 ，———— O 為訪問為訪問 客體集客體集 （可包含（可包含 S的子集），的子集），———— M 為為 訪問矩陣訪問矩陣 ，矩陣單元記為，矩陣單元記為 M[s,o]，表示，表示主體主體 s對客體對客體 o的訪問權(quán)限。所有的訪問權(quán)限構(gòu)成一的訪問權(quán)限。所有的訪問權(quán)限構(gòu)成一有限集有限集 A?！?狀態(tài)變遷狀態(tài)變遷 通過改變訪問矩陣通過改變訪問矩陣 M實(shí)現(xiàn)。實(shí)現(xiàn)。該安全模型盡管簡單，但在計(jì)算機(jī)安全研究史上具有較大和較長的該安全模型盡管簡單，但在計(jì)算機(jī)安全研究史上具有較大和較長的影響，影響， Harrison、 Ruzzo和和 Ullman提出提出 HRU安全模型以及安全模型以及 Bell LaPadula提出提出 BLP安全模型均基于此。安全模型均基于此。HRU模型模型 (1)系系 統(tǒng)請統(tǒng)請 求的形式求的形式if a1 in M [s1 。 o1 ] and a2 in M [s2 。 o2 ] and ... am in M [sm 。 om ] then op1 ... opn HRU模型模型 (2)n 系統(tǒng)請求分為系統(tǒng)請求分為 條件條件 和和 操作操作 兩部分，其中兩部分，其中 ai ∈∈ A，并且并且 opi屬于下列六種元操作之一（元操作的語義屬于下列六種元操作之一（元操作的語義如其名稱示意）：如其名稱示意）：n enter a into (s, o), （（ 矩矩 陣陣 ））n delete a from (s, o), n create subject s , （（ 主體主體 ）） n destroy subject s , n create object o , （（ 客體客體 ））n destroy object o 。 HRU模型模型 (3)n 系統(tǒng)的安全性定義：系統(tǒng)的安全性定義：n 若存在一個系統(tǒng)，其初始狀態(tài)為若存在一個系統(tǒng)，其初始狀態(tài)為 Q0，訪問權(quán)限為，訪問權(quán)限為 a，當(dāng)從狀態(tài)，當(dāng)從狀態(tài) Q0開開始執(zhí)行時，如果始執(zhí)行時，如果 不存在將訪問矩陣單元不包含的訪問權(quán)限寫入矩不存在將訪問矩陣單元不包含的訪問權(quán)限寫入矩陣單元的系統(tǒng)請求陣單元的系統(tǒng)請求 ，那么我們說，那么我們說 Q0對權(quán)限對權(quán)限 a而言是安全的。而言是安全的。n 系統(tǒng)安全復(fù)雜性基本定理：系統(tǒng)安全復(fù)雜性基本定理：n 對于每個系統(tǒng)請求僅含一個操作的單操作請求系統(tǒng)（對于每個系統(tǒng)請求僅含一個操作的單操作請求系統(tǒng)（ monooperational systemMOS），系統(tǒng)的安全性是），系統(tǒng)的安全性是 可判定的可判定的 ；；216。 對于一般的非單操作請求系統(tǒng)（對于一般的非單操作請求系統(tǒng)（ NMOS）的安全性是）的安全性是 不可判定的不可判定的 。HRU模型模型 (4)n 基本定理基本定理 隱含的窘境隱含的窘境 ：：216。 一般的一般的 HRU模型具有模型具有 很強(qiáng)的很強(qiáng)的 安全政策安全政策 表達(dá)能力表達(dá)能力，但是，但是， 不存在不存在 決定相關(guān)安全政策效果的決定相關(guān)安全政策效果的 一般一般可計(jì)算的算法可計(jì)算的算法 ；（遞歸可枚舉）；（遞歸可枚舉）216。 雖然雖然 存在存在 決定滿足決定滿足 MOS條件的條件的 HRU模型的安全模型的安全政策效果的一般的可計(jì)算的算法，但是，滿足政策效果的一般的可計(jì)算的算法，但是，滿足MOS條件的條件的 HRU模型的模型的 表達(dá)能力太弱表達(dá)能力太弱 ，以至于，以至于無法表達(dá)很多重要的安全政策。無法表達(dá)很多重要的安全政策。 HRU模型模型 (5)n 對對 HRU模型進(jìn)一步的研究表明，即使我們完全了解模型進(jìn)