chap2：计算机安全策略

计算机安全CH2：计算机安全策略2019/9/72提要系统的安全需求安全策略的定义安全策略的分类安全策略的形式化描述安全策路的选择访问控制的属性安全策略及其分类访问控制策略访问支持策略2019/9/73信息安全与保密的结构层次物理安全安全控制安全服务2019/9/74物理安全是指在物理介质层次上对存储和传输的网络及信息的安全保护，它是网络及信息安全的最基本的保障，是整个安全系统不可缺少和忽视的组成部分。该层次上的不安全因素主要有：（1）自然灾害、物理破坏、设备保障（2）电磁辐射、乘机而入、痕迹泄露（3）操作失误、意外泄露2019/9/75安全控制是指在网络及信息安全中对存储和传输信息的操作进行控制和管理。重点是在信息处理层次上对信息进行初步的安全保护。可分为三个层次：（1）操作系统的安全控制（2）网络接口的安全控制（3）网络互联设备的安全控制安全控制主要通过现有的操作系统或网管软件、路由器配置等实现，只提供了初步的安全功能和信息保护。2019/9/76安全服务是指在应用层次上对信息的保密性、完整性和资源的真实性进行保护和鉴别。以满足用户安全需求，防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有系统的安全漏洞。2019/9/77安全服务主要包括安全机制：是用来预防、检测和从安全攻击中恢复的机制，是安全服务乃至整个安全系统的核心和关键。安全协议：是多个实体为完成某些任务所采取的一些列有序步骤。协议特点：预先建立、相互同意、非二义性和完整性。2019/9/78安全连接：是在安全处理前网络通信双方之间的连接过程，主要包括会话密钥产生、分发和身份验证。安全策略：是决策的集合。它集中体现了一个组织对安全的态度。确切地说安全策略对于可接受的行为以及对违规作出何种响应确定了界限。安全策略是安全机制、安全连接和安全协议的有机结合，是信息系统安全性的完整解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。2019/9/79安全需求大多数安全策略考虑的是机密性、完整性、可记账性、可用性这四项要求，但其侧重点各有不同。例如：军事安全策略侧重于信息的机密性要求商用安全策略则偏重于信息的完整性与可记账性电信部门侧重于系统的可用性然而，仅考虑某一方面的需求是远远不够的，还应当均衡考虑。系统的安全需求的内容机密性（confidentiality）：防止信息泄露给未授权的用户。完整性（integrity）：防止未授权的用户对信息的修改。可记账性（accountability）：防止用户对访问过的信息或执行的操作予以否认。可用性（availablity）：保证授权用户对系统信息的可访问性。2019/9/710信息的机密性需求美国国防部在1985年12月发布了可信计算机评估标准（TCSEC，“桔皮书”）对信息的机密性做出了具体的要求。提出了“强制安全策略(MAC)”的要求，即系统中所有的信息必须按照其敏感性等级和所属部门分类，而系统中的所有用户也加以分类，以使他们仅能访问那些“需要知道”的信息。强制安全策略也可用于非军事部门。2019/9/711信息的机密性需求另一种用于民用目的的安全策略是“自主安全策略(DAC)”，即每个信息有一个所有者，它可以决定是否允许其他用户或进程对此信息进行访问。2019/9/712信息的完整性需求指维护系统资源在一个有效的、预期的状态，防止资源不正确、不适当地修改，或是为了维护系统不同部分的一致性。主要目的是防止在涉及到记账或审计的事件中舞弊行为的发生。2019/9/713信息的可记账性需求目的是为了知道用户执行了什么操作，是谁执行了该操作等。这对知晓系统破坏的程度、恢复丢失信息、评估系统安全性以及为对系统造成严重破坏的民事赔偿或法律诉讼提供依据。2019/9/714信息的可用性需求是为了保证系统的顺利工作，即保证已获得授权的用户对系统信息的可访问性。2019/9/7152019/9/716安全策略所谓安全策略，简单地说，就是用来描述用户对安全的要求。在计算机安全领域内，说一个系统是“安全系统”，其“安全”的概念就是指此系统达到了当初设计时所制定的安全策略的要求。2019/9/717安全策略对于一个信息系统而言，其安全策略的制定依据如下：信息的机密性、完整性与可用性什么人可以以何种方式去访问什么信息根据什么来制定访问决策，例如是根据用户的ID号呢？还是依据用户的其它什么特征是要最大化的共享，还是要实现最小特权是否要实行任务的分离对涉及到系统的安全性属性的操作是实行集中管理，还是实行分散管理……安全策略的分类安全策略：是关于信息系统安全性最高层次的指导原则，是根据用户的需求、设备情况、单位章程和法律约束等要求制定的。在企事业单位信息系统的每一个层次，从管理活动到硬件保护都要做出安全性决策，其中包括企事业级安全决策、行政管理方面的安全决策、有关数据处理设备及运行环境的安全策略。2019/9/718如“职工的奖金数量不公开”是企事业级的安全决策；“职工的表现记录在数据库中保存3年”是行政决策；“修改计算机设备中的应用程序至少需要两位领导的同意”是设备决策；“保护存储器要以2048B为单位”是操作系统决策等。2019/9/719安全策略是决策的集合，是对于可接受的行为以及应对违规做出何种响应确定了界限。安全策略是对一个系统应该具有的安全性的描述，只有当一个系统与安全策略相称，也就是说该系统能够满足对它的安全要求，这个系统才是安全的。2019/9/720大多数安全策略都考虑上述四点要求：机密性要求完整性要求可记账性要求可用性要求2019/9/7212019/9/722安全策略的分类基于信息系统安全策略的定义和内涵，我们将其分为两大类：访问控制策略(AccessControlPolicy)：基于安全策略内涵的机密性和完整性要求，它确立相应的访问规则以控制对系统资源的访问访问支持策略(AccessSupportingPolicy)：基于安全策略内涵的可记账性要求和可用性要求。由于它是以支持访问控制策略的面貌出现的，故称为访问支持策略。2019/9/723访问控制（AccessControl）定义：是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。访问控制的目的：为了保障资源受控，合法的使用，用户只能根据自己的权限大小来访问资源，不能越权访问。同时访问控制也是记帐、审计的前提。访问控制（AccessControl）访问控制是计算机保护中极其重要的一环，它是在身份识别的基础上，根据身份对提出的资源访问请求加以限制。2019/9/7242019/9/725一些重要的访问控制策略：1、最小权限策略：信息限于给那些完成某任务所需者。2、最大共享策略：是使存储的信息获得最大的应用。3、访问的开放与封闭：在封闭系统中，仅当明确的授权时才允许访问，在开放系统中，则要求除非明确的禁止，访问都允许。前者较安全，是最小权限策略的基本支持，后者费用较少，应用于采用最大共享策略的场合。2019/9/7264、离散访问控制：它是根据请求的主、客体名称作出可否访问的决策，又称名称相关访问控制。因为不需要依据数据库中的数据内容就能作出决策，有时也称为内容无关访问控制。5、自主访问控制：客体的属主可以自主地决定哪个用户能够访问他的资源。2019/9/7276、强制访问控制：主体和客体都有固定的安全属性，这些安全属性都刻画在主、客体的安全标记中。安全标记是根据安全信息流对系统中的主、客体统一标定的。可否访问的决策是依据请求访问的主、客体统一制定的，又称为非离散访问控制。它远比离散访问控制安全，但实现起来较困难。2019/9/7287、内容相关及其他访问控制：内容相关：访问与否与客体当前的数据有关；上下文相关：允许访问条件是数据集合的函数；时间相关：允许访问条件是系统时钟的函数；历史相关：允许访问条件是系统先前状态的函数。2019/9/729访问控制的属性一般来说，在计算机系统内和访问控制策略相关的因素有三大类：主体(用户)：就是指系统内行为的发起者，通常是指由用户发起的进程。客体(文件、目录、数据库等)：指在计算机系统内所有的主体行为的直接承担者。相应的可用作访问控制的主体属性、客体属性。2019/9/730主体一般可分为如下几类：普通用户(User)：一个获得授权可以访问系统资源的自然人。在一个计算机系统中，相应的授权包括对信息的读、写、删除、追加、执行以及授予或撤销另外一个用户对信息的访问权限等等。对某些信息而言，此用户可能是此信息的拥有者或系统管理员。信息的拥有者(Owner)：一般情况下，信息的拥有者指的是该用户拥有对此信息的完全处理权限，包括读、写、修改和删除该信息的权限以及它可以授权其它用户对其所拥有的信息拥有某些相应的权限，除非该信息被系统另外加以访问控制。系统管理员(SystemAdministrator)：为使系统能进行正常运转，而对系统的运行进行管理的用户。例如在普通的UNIX系统中，ROOT用户即为系统管理员。2019/9/731客体总的来说，系统内的客体也可以分为三大类：一般客体(GeneralObject)：指在系统内以客观、具体的形式存在的信息实体，如文件、目录等。设备客体(DeviceObject)：指系统内的设备，如软盘、打印机等。特殊客体(SpecialObject)：有时系统内的某些进程也是另外一些进程的行为的承担者，那么这类进程也是属于客体的一部分。2019/9/732主、客体属性另外，信息系统的访问控制策略除了涉及到主、客体之外，还包括以下几个因素：将要访问该信息的用户的属性，即主体的属性(例如，用户ID号或许可级别等)；将要被访问的信息的属性，即客体的属性(例如信息的安全性级别，信息来源等)；系统的环境或上下文的属性(例如某天的某个时候，系统状态等等)。2019/9/733每一个系统必须选择以上三类相关的属性来进行访问控制的决策。一般来说，信息安全策略的制定就是通过比较系统内的主、客体的相关属性来制定的。分别从以上几类属性来对访问控制策略的基础进行具体说明，共分五个方面：主体特征、客体特征、外部状况、数据内容/上下文属性以及其他属性。2019/9/734主体属性(用户特征)用户特征是系统用来决定访问控制的最常用的因素。通常一个用户的任何一种属性，例如年龄、性别、居住地、出生日期等等，均可以作为访问控制的决策点。下面就是在一般系统访问控制策略中最常用的几种用户属性：用户ID╱组ID：用户访问许可级别“需知”原则(need-to-know)角色能力列表(CapabilityList)2019/9/735客体属性(客体特征)在信息系统中，除了主体的属性被用来作为访问控制的条件外，与系统内客体(即信息)相关联的属性也作为访问控制策略的一部分。一般来说，客体的特征属性有如下几个方面：敏感性标签：由信息的敏感性级别和范畴两部分组成访问列表（accesslist）2019/9/736外部状态某些策略是基于系统主客体属性之外的某些因素来制定的，例如时间、地点或者状态。另外，上面所述的大多数属性均属于静态信息，但也有些访问策略可能是基于某些动态信息。2019/9/737数据内容/上下文环境有些访问控制策略可能基于数据的内容。例如，用户Sunny可能不被允许看到那些月薪超过15000RMB的员工的文件。更为复杂的访问控制策略可能是基于上下文的，这在数据库系统中经常用到。使用静态的信息标签是用人工的方法来决定信息敏感性的一种延续，而基于数据内容/上下文的动态访问机制则被认为是取代静态标签的一种潜在的方法。2019/9/738访问控制策略自主访问控制(DiscretionaryAccessControlPolicy，DAC)强制访问