8.1 使用安全設(shè)計(jì)原則實(shí)施和管理工程過程
- 項(xiàng)目開發(fā)的早起階段考慮安全是非常重要的
8.1.1 客體和主體
- 主體: 請求訪問資源的用戶或進(jìn)程
- 客體: 用戶或進(jìn)程想要的訪問
- 信任傳遞: A信任B并且B信任C启昧,則A通過信任傳遞信任C
8.1.2 封閉式系統(tǒng)和開放式系統(tǒng)
- 封閉式系統(tǒng)被設(shè)計(jì)用于較小范圍內(nèi)的其他系統(tǒng)協(xié)調(diào)工作握爷,優(yōu)點(diǎn):更安全新啼,缺點(diǎn):缺乏容易集成的特點(diǎn)
- 開放式系統(tǒng)被設(shè)計(jì)為使用同一的行業(yè)標(biāo)準(zhǔn)
8.1.3 用于確保機(jī)密性燥撞、完整性和可用性的技術(shù)
- 限制:軟件設(shè)計(jì)人員使用進(jìn)程限制來約束陳程序的操作物舒,限制僅允許進(jìn)程在確定的內(nèi)存地址和資源中讀取和寫入數(shù)據(jù)
- 界限:為每一個進(jìn)程都分配一個授權(quán)級別
- 簡單的系統(tǒng)僅兩個授權(quán)級別,用戶和內(nèi)核锦针,每個進(jìn)程劃分內(nèi)存邏輯區(qū)域悉盆,操作系統(tǒng)負(fù)責(zé)實(shí)施邏輯界限不準(zhǔn)許其他的進(jìn)程訪問
- 物理界限通過物理方式隔開舀瓢,物理界限更貴也更安全
- 隔離:進(jìn)程隔離能夠確保任何行為只影響與隔離進(jìn)程有關(guān)的內(nèi)存和資源
8.1.4 控制
- 控制使用訪問規(guī)則來限制主體對客體的訪問
- 兩種控制:強(qiáng)制訪問控制(MAC)和自主訪問控制(DAC)
- 自主訪問控制與強(qiáng)制訪問控制的不同之處在意,主體具有一些定義訪問客體的能力
- 訪問控制目的:通過組織授權(quán)或未經(jīng)授權(quán)的主體的未授權(quán)訪問商架,從而確保數(shù)據(jù)的機(jī)密性和完整性
8.1.5 信任與保證
- 安全 原則蛇摸、控制和機(jī)制設(shè)計(jì)和開發(fā)之前及期間考慮
8.2 理解安全模型的基本概念
8.2.1 可信計(jì)算基:硬件赶袄、軟件和控制方法的組合揽涮,行程實(shí)施安全控制的可信基準(zhǔn)
1:安全邊界
- 假象的界限,將TCB于系統(tǒng)的其他部分隔開
- 可信路徑:安全邊界必須建立安全的通道饿肺,被稱為可信路徑
2:引用監(jiān)視器和內(nèi)核 - 在準(zhǔn)許訪問請求之前驗(yàn)證對每種資源的訪問的這部分TCB被稱為引用監(jiān)視器
- 共同工作從而實(shí)現(xiàn)引用監(jiān)視器的TCB中組件的集合被稱為安全內(nèi)核
- 安全內(nèi)核的目的是使用適當(dāng)?shù)慕M件實(shí)施引用監(jiān)視器的功能和抵抗所有已知的攻擊
8.2.2 狀態(tài)機(jī)模型
- 狀態(tài)機(jī)模型描述了一個無論處于何種狀態(tài)下重是安全的系統(tǒng)
- 安全狀態(tài)機(jī)模型是許多安全模型的基礎(chǔ)
8.2.3 信息流模型
- 信息流模型關(guān)注信息流
- Bell-LaPadula的目的是防止信息從高安全級別向點(diǎn)低安全級別流動
- Biba是防止信息從低級別向高安全級別流動
- 信息流模型被設(shè)計(jì)用于避免未授權(quán)的蒋困、不安全的或受限的信息流
8.2.4 無干擾模型
- 無干擾模型建立在信息流模型的基礎(chǔ)上,關(guān)注位于安全級別的主體的動作如何影響系統(tǒng)狀態(tài)
8.2.5 Take-Grant模型
- 采用有向圖指示權(quán)限如何從一個主體傳遞至另一個主體或者如何從一個主體傳遞至一個客體
8.2.6 訪問控制矩陣
- 訪問控制矩陣:由主體和客體組成的表敬辣,表示每個主體可以對每個客體執(zhí)行的動作或功能
8.2.7 Bell-LaPadula模型
- Bell-LaPadula模型防止分類信息泄露或傳輸至較低的安全許可級別
- Bell-LaPadula專注維護(hù)客體的機(jī)密性
- Bell-LaPadula模型已狀態(tài)機(jī)概念和信息流模型為基礎(chǔ)雪标,采用強(qiáng)制訪問控制和格子型概念
-
Bell-LaPadula 的三種屬性:
1:簡單安全屬性:規(guī)定主體不能讀取位于較高敏感度級別的信息
2:*安全屬性,規(guī)定主體不能在位于較低敏感度級別的客體上寫入信息
3: 自主訪問控制溉跃,規(guī)定系統(tǒng)使用訪問控制矩陣來實(shí)施自主訪問控制
image.png
8.2.7 Biba模型
- Biba模型解決完整性問題
- 簡單完整性屬性:規(guī)定主體不能讀取位于較低完整性級別的客體(不能向下讀)
-
*完整性屬性村刨,規(guī)定主體不能更改位于較高完整性級別的客體(不能向上寫)
image.png - Biba模型解決問題:
1:防止未授權(quán)的主體對可以的修改
2:防止已授權(quán)的主體對客體進(jìn)行未授權(quán)的修改
3:保持內(nèi)部和外部客體的一致性 - Biba模型的缺陷:
1、沒有解決機(jī)密性和可用性問題
2嵌牺、沒有解決內(nèi)部威脅
3绎签、沒有說明訪問控制管理,也沒有提供分配和改變主體或客體分類的方法
4、沒有防止隱蔽通道
8.2.9 Clark-Wilson模型
- 客體只能通過程序進(jìn)行訪問,通過使用格子良好的事物處理和職責(zé)分離提供保護(hù)完整性的有效方法
- Clark的優(yōu)勢:
1:任何用戶都不能未授權(quán)的修改數(shù)據(jù)
2:實(shí)現(xiàn)職責(zé)分離
8.2.10 Brewer and Nash模型(Chinese Wall)
- 準(zhǔn)許訪問控制基于用戶以前的活動而改變
8.2.11 Goguen-Mesegure 模型
- 基于主體可以訪問的預(yù)設(shè)的域或客體列表
8.2.12 Sutherland模型
- 一個完整性模型,預(yù)防對完整性支持的干擾
8.2.13 Graham-Denning模型
- 關(guān)注主體和客體在創(chuàng)建和刪除時的安全性
8.3 基于系統(tǒng)安全評估模型選擇控制和對策
8.3.1 彩虹系列
- 出現(xiàn)可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)(TCSEC)震缭,因?yàn)榉饷姹环Q為彩虹系列
8.3.2 TCSEC分類和所需功能
-
TCSEC將系統(tǒng)挺的功能性和機(jī)密性保護(hù)等級保證組合成4個主要類別
1:已驗(yàn)證保護(hù),最高的安全級別
2:強(qiáng)制性保護(hù)
3:自主性保護(hù)
4:最小化保護(hù)
image.png - 保護(hù)分類:
1:自主性安全保護(hù)(C1) 通過用戶ID或用戶組實(shí)現(xiàn)訪問控制骑祟,對客體訪問采取一些控制措施缸棵,
2:受控訪問保護(hù)(C2):用戶必須被單獨(dú)表示后才能獲得訪問客體的權(quán)限踏志,必須實(shí)施介質(zhì)清除措施,限制無效或未授權(quán)用戶訪問的嚴(yán)格登錄措施
3:標(biāo)簽式安全(B1):每個主體和客體都有安全標(biāo)簽,通過匹配主體和客體的安全標(biāo)簽比較他們的權(quán)限兼容性
4:結(jié)構(gòu)化保護(hù)(B2) :確保不存在隱蔽通道,操作者和管理員職責(zé)分離,進(jìn)程隔離
5:安全域(B3):進(jìn)一步增加無關(guān)進(jìn)程的分離和隔離宇挫,系統(tǒng)關(guān)注點(diǎn)轉(zhuǎn)移到簡易信,從而減少暴露出來的脆弱性
6:已驗(yàn)證保護(hù)(A1),與B3的差距在于開發(fā)周期,開發(fā)周期每個階段都使用正式的方法進(jìn)行控制
8.3.3 彩虹系列的其他顏色
- 紅皮書:應(yīng)用于為連接網(wǎng)絡(luò)的獨(dú)立計(jì)算機(jī)
- 綠皮書:提供創(chuàng)建和管理密碼的指導(dǎo)原則
8.3.4 ITSEC類別與所需的保證和功能性
- TCSEC幾乎只關(guān)注機(jī)密性杠娱,ITSEC除了機(jī)密性外還關(guān)注TCSEC的完整性和可用性
- ITSEC并不依賴TCB的概念室叉,不要求系統(tǒng)的安全組件在TCB內(nèi)是隔離的
- TCSEC要求發(fā)生任何變化的系統(tǒng)都要重新評估
8.3.5 通用準(zhǔn)則
- 通用準(zhǔn)則(CC)全球性的標(biāo)準(zhǔn)曼氛,定義了測試和確定系統(tǒng)安全能力的各個級別
- 通用準(zhǔn)則的認(rèn)可
通用準(zhǔn)則關(guān)注保護(hù)輪廓和安全目標(biāo):
保護(hù)輪廓:指定被評估產(chǎn)品的安全需求和保護(hù)
安全目標(biāo):指定通硬傷在TOE內(nèi)構(gòu)成的安全申明 - 通用準(zhǔn)則的結(jié)構(gòu)
部分1:介紹和一般模型描述用于評估IT安全性和指定評估目標(biāo)設(shè)計(jì)的一般概念和基礎(chǔ)模型
部分2:安全功能描述
部分3:安全保證 - 行業(yè)和國際安全實(shí)施指南
常見安全標(biāo)準(zhǔn): CC標(biāo)準(zhǔn),PCI-DSS(支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)),國際化標(biāo)準(zhǔn)組織(ISO)
8.3.6 認(rèn)證和鑒定
- 認(rèn)證
認(rèn)證:對IT系統(tǒng)的技術(shù)和非技術(shù)安全特性以及其他防護(hù)措施的綜合評估
評估完所有的因素和確定系統(tǒng)的安全級別之后殴胧,認(rèn)證階段就完成了 - 鑒定
測試和記錄具有特定配置的系統(tǒng)的安全能力拱燃,認(rèn)證和鑒定是一個不斷重復(fù)的過程 - 認(rèn)證和鑒定系統(tǒng)
認(rèn)證和鑒定過程的4個階段:
1弄跌、定義:項(xiàng)目人員分配格仲、項(xiàng)目需求的記錄以及指導(dǎo)整個認(rèn)證和鑒定過程的同安全許可協(xié)議的注冊侮东、協(xié)商和創(chuàng)建
2握牧、驗(yàn)證 : 包括細(xì)化SSAA、系統(tǒng)開發(fā)活動以及認(rèn)證分析
3友雳、確定:細(xì)化SSAA流礁,集成系統(tǒng)的認(rèn)證評估萌抵、DAA建議的開發(fā)以及DAA的鑒定結(jié)果
4霎桅、后鑒定:維護(hù)SSAA、系統(tǒng)操作旋恼、變更管理以及遵從性驗(yàn)證
8.4 理解信息系統(tǒng)的安全功能
8.4.1 內(nèi)存保護(hù)
- 內(nèi)存保護(hù)是一個核心安全組件审葬,必須對它進(jìn)行設(shè)計(jì)和在操作系統(tǒng)中加以實(shí)現(xiàn)
8.4.2 虛擬化
- 虛擬化技術(shù)被用于在單一系統(tǒng)的內(nèi)存中運(yùn)行 一個或多個操作系統(tǒng)
8.4.3 可信平臺模塊
- 可信平臺模塊:及時對主板上加密處理芯片的描述根吁,同時也是描述實(shí)施的通用名稱
- HSM(硬件安全模塊):用于管理/存儲數(shù)字加密秘鑰、加速加密操作合蔽、支持更快的數(shù)字簽名击敌,以及提高身份認(rèn)證的速度
8.4.4 接口
- 約束接口的目的是限制或制止授權(quán)和未經(jīng)授權(quán)用戶的行為,是Clark-Wilson安全模型的一種實(shí)踐
8.4.5 容錯
- 容錯能力時指系統(tǒng)遭受故障拴事,但持續(xù)運(yùn)行的能力沃斤,容錯是添加冗余組件
