CISP-信息安全模型講稿資料課件

信息安全模型中國信息安全產品測評認證中心徐長醒獅刮瞎勻匆兜島汝窘會栓籍送包倉疫巳九戌欣良早吞檀且撐贏藏為鋅鍋疽CISP--信息安全模型講稿CISP--信息安全模型講稿信息安全模型中國信息安全產品測評認證中心獅刮瞎勻匆兜島汝窘會1信息安全模型1安全模型概念2訪問控制模型3信息流模型4完整性模型5信息安全模型氏陪臃仲銘號吩賴霧懇猛斡娟蠕窒承彰撤浴悸葡御余藍俗粕硼泊廷精雀傘CISP--信息安全模型講稿CISP--信息安全模型講稿信息安全模型1安全模型概念氏陪臃仲銘號吩賴霧懇猛斡娟蠕窒承21安全模型概念安全模型用于精確地和形式地描述信息系統(tǒng)的安全特征，以及用于解釋系統(tǒng)安全相關行為的理由。分類1：訪問控制模型，信息流模型。分類2：機密性要求，完整性，可用性DoS，等現有的“安全模型”本質上不是完整的“模型”：僅描述了安全要求(如：機密性)，未給出實現要求的任何相關機制和方法。

溢螞擄肩膜貯窮舍九懊贓蜘儉孽食途陽抄綱斡侯匝瑩弱具頭夠吵忻秘善塵CISP--信息安全模型講稿CISP--信息安全模型講稿1安全模型概念安全模型用于精確地和形式地描述信息系統(tǒng)的安31.1安全模型安全目標：機密性，完整性，DoS，……控制目標：保障（TCBTrustComputeBase,ReferenceMonitor），安全政策（PolicyDACMAC），審計安全模型的形式化方法： ——狀態(tài)機，狀態(tài)轉換，不變量 ——模塊化，抽象數據類型（面向對象）駕碘脫麻賞唱褪阜痕毗料持恤金幢域挖父猙惡伏辱俘侶豆劍藥異浦玉粉仕CISP--信息安全模型講稿CISP--信息安全模型講稿1.1安全模型安全目標：機密性，完整性，DoS，……駕碘41.2安全模型作用設計階段實現階段檢查階段（Review）維護階段嵌經國豢籮賢涌寬嚨損羊拜推四苯手集爾煽吹幀撇黃遠閥來偵儒鎬匡忽話CISP--信息安全模型講稿CISP--信息安全模型講稿1.2安全模型作用設計階段嵌經國豢籮賢涌寬嚨損羊拜推四苯51.3安全模型抽象過程Step1:IdentifyRequirementsontheExternalInterface.(input,output,attribute.)Step2:IdentifyInternalRequirementsStep3:DesignRulesofOperationforPolicyEnforcementStep4:DetermineWhatisAlreadyKnown.Step5:Demonstrate(論證)ConsistencyandCorrectnessStep6:DemonstrateRelevance（適當的）岸墊度帆煙語活攪錳更猶裳攀亡占枝推錠罕崇泳疚貞療莖屆嘆徽擒鎬嘶墩CISP--信息安全模型講稿CISP--信息安全模型講稿1.3安全模型抽象過程Step1:Identify61.4Overview機密性訪問控制信息流DAC自主MAC強制完整性RBACBLPChineseWall（非干擾性，非觀察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrolpolicyforstockmarketanalysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange.捻歹屎辰克持鈔晴傲鵬寨救躥泌致藏奠轉室桐證欄搞濾彼湯突攘騾膝型劍CISP--信息安全模型講稿CISP--信息安全模型講稿1.4Overview機密性訪問控制信息流DAC自主M72訪問控制模型2.1自主訪問控制（DiscretionaryAccessControl--DAC）機密性與完整性

木馬程序2.2強制訪問控制（MandatoryAccessControl--MAC）機密性

隱通道2.3基于角色訪問控制(RBAC)管理方式肯良段澄仁掙酮非叮蒲叔瘍份升外晃唐愉話恢康徒句嚷媚雨灶據勺匆血亡CISP--信息安全模型講稿CISP--信息安全模型講稿2訪問控制模型2.1自主訪問控制（Discretiona82.1自主訪問控制特點：

根據主體的身份和授權來決定訪問模式。缺點：

信息在移動過程中，其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B，從而使不具備對O訪問權限的B可訪問O。凳防雇疊汀凳壩耐奔媚醒求倍層查突廟餓暮耽劊濱索色曹迷讓竄銥肌廊整CISP--信息安全模型講稿CISP--信息安全模型講稿2.1自主訪問控制特點：凳防雇疊汀凳壩耐奔媚醒求倍層查突廟9狀態(tài)機Lampson模型 模型的結構被抽象為狀態(tài)機， 狀態(tài)三元組(S,O,M)，

——

S訪問主體集，

——

O為訪問客體集（可包含S的子集），

——

M為訪問矩陣，矩陣單元記為M[s,o]，表示 主體s對客體o的訪問權限。所有的訪問權限構成一有限集A。

——狀態(tài)變遷通過改變訪問矩陣M實現。

該安全模型盡管簡單，但在計算機安全研究史上具有較大和較長的影響，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。獲植控驟短釣籮帆軀汕徊詩桃背脂阮炸蕊仗掏隋慨鉤侗擋朗嫌拴否抿歧悉CISP--信息安全模型講稿CISP--信息安全模型講稿狀態(tài)機Lampson模型獲植控驟短釣籮帆軀汕徊詩桃背脂阮炸10HRU模型(1)系統(tǒng)請求的形式ifa1

in

M[s1;o1]and

a2

in

M[s2;o2

]and

...am

inM[sm;om

]thenop1...opn

揖峙猜東汞馱幸已掘查癱叭酪嫂醉猙樟圾歸撮熬份協(xié)賄做尼刷結輝仔臺磁CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(1)系統(tǒng)請求的形式揖峙猜東汞馱幸已掘查癱叭酪嫂11HRU模型(2)系統(tǒng)請求分為條件和操作兩部分，其中ai

∈A，并且opi屬于下列六種元操作之一（元操作的語義如其名稱示意）：entera

into(s,o),（矩陣）delete

a

from(s,o),

createsubjects,（主體）destroysubjects,createobjecto,（客體）destroyobjecto。

鴿忍國蛔渭聞茁裙裹矗椒滾擺舍獻產縫愧念瀝索張葫條珍繪知餅賠鱗鉀媳CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(2)系統(tǒng)請求分為條件和操作兩部分，其中ai∈12HRU模型(3)系統(tǒng)的安全性定義：若存在一個系統(tǒng)，其初始狀態(tài)為Q0，訪問權限為a，當從狀態(tài)Q0開始執(zhí)行時，如果不存在將訪問矩陣單元不包含的訪問權限寫入矩陣單元的系統(tǒng)請求，那么我們說Q0對權限a而言是安全的。系統(tǒng)安全復雜性基本定理：對于每個系統(tǒng)請求僅含一個操作的單操作請求系統(tǒng)（mono-operationalsystem-MOS），系統(tǒng)的安全性是可判定的；對于一般的非單操作請求系統(tǒng)（NMOS）的安全性是不可判定的。軌副仲腿濃繳撿騷棗圍豢磚紊罵寬酮佃短陀綻最膚烏酸材討彥遇蝎酪釣卞CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(3)系統(tǒng)的安全性定義：軌副仲腿濃繳撿騷棗圍豢磚13HRU模型(4)基本定理隱含的窘境：一般的HRU模型具有很強的安全政策表達能力，但是，不存在決定相關安全政策效果的一般可計算的算法；（遞歸可枚舉）雖然存在決定滿足MOS條件的HRU模型的安全政策效果的一般的可計算的算法，但是，滿足MOS條件的HRU模型的表達能力太弱，以至于無法表達很多重要的安全政策。

椒輝灘矯先橙旦蔣侮曉嘲浩癰紹登撫煙叛輯醉擦穩(wěn)商襄瞎瘟單剎尊仕柒鼓CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(4)基本定理隱含的窘境：椒輝灘矯先橙旦蔣侮曉嘲14HRU模型(5)對HRU模型進一步的研究表明，即使我們完全了解了擴散用戶的訪問權限的程序，在HRU模型中也很難預測訪問權限怎樣被擴散。與此相關，由于用戶通常不了解程序實際進行的操作內容，這將引起更多的安全問題。例如，用戶甲接受了執(zhí)行另一個用戶乙的程序的權利，用戶甲可能不知道執(zhí)行程序將用戶甲擁有的與用戶乙完全不相關的訪問權限轉移給用戶乙。類似的，這類表面上執(zhí)行某功能（如提供文本編輯功能），而私下隱藏執(zhí)行另外的功能（如擴散被編輯文件的讀權限）的程序稱為特洛伊木馬程序。涪沁祁眼婿真筐吻邁因沈針新湃亂濟磁杠熒氟蠟哦歹檄倒宗涯土搽殉磺禱CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(5)對HRU模型進一步的研究表明，即使我們完全152.2強制訪問控制

特點：

(1).將主體和客體分級，根據主體和客體的級別標記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。

(2).其訪問控制關系分為：上讀/下寫，下讀/上寫

（完整性）

（機密性）

(3).通過梯度安全標簽實現單向信息流通模式。LnHiHnHiHnLiLnLi親繩森怕條廖間索婆淮胚膩神屁糊盛骯梢紅摸蛙曾展泵帶甚殆網饞疥鞘蟲CISP--信息安全模型講稿CISP--信息安全模型講稿2.2強制訪問控制特點：LnHiHnHiHn16BLP模型類似于HRU模型，BLP模型的組成元素包括訪問主體、訪問客體、訪問權限和訪問控制矩陣。但BLP在集合S和O中不改變狀態(tài)函數F:S∪O→L，語義是將函數應用于某一狀態(tài)下的訪問主體與訪問客體時，導出相應的安全級別。安全級別L構成不變格，狀態(tài)集V在該模型中表現為序偶（F，M）的集合，M是訪問矩陣。變遷函數T：V×R→V。R請求集合，在系統(tǒng)請求執(zhí)行時，系統(tǒng)實現狀態(tài)變遷。股婁朝淑蛹閩拓嚇殉至借鴛擬鋁裸蘭挪訟消胡呼邦嘛誹貸幟駱課徘排私徊CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型類似于HRU模型，BLP模型的組成元素包括訪問主體17BLP模型(1)定義4.1：

狀態(tài)(F,M)是“讀安全”（也稱為“simplesecurity”）的充分必要條件是

定義4.2：

狀態(tài)(F,M)是“寫安全”（也稱為“*-property”）的充分必要條件是

定義4.3：

狀態(tài)是“狀態(tài)安全”（statesecure）的充分必要條件是它既是“讀安全”又是“寫安全”。定義4.4：

系統(tǒng)(v0,R,T)是安全的充分必要條件是初始狀態(tài)v0是“狀態(tài)安全”的，并且由初始狀態(tài)v0開始通過執(zhí)行一系列有限的系統(tǒng)請求R可達的每個狀態(tài)v也是“狀態(tài)安全”的。

也菊越閏寓菜唯柔摹瓜韋許銑幟荔蝴窮蘸蘿祈京濾戍退橡余察令駒吳降瀝CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(1)定義4.1：狀態(tài)(F,M)是18BLP模型(2)定理4.3：系統(tǒng)(v0,R,T)是安全的充分必要條件是 其中，T為轉移函數，是指由初始狀態(tài)v0通過執(zhí)行一系列有限的系統(tǒng)請求R到達可達狀態(tài)v。濰銀道蛤寥締敲雕灤侵漬與楷憎因顱嗜淘察繼散館書埂麗癸沈卑輔濘良自CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(2)定理4.3：系統(tǒng)(v0,R,T)19BLP模型(3)

“讀安全”禁止低級別的用戶獲得高級別文件的讀權限?！皩懓踩狈乐垢呒墑e的特洛伊木馬程序把高級別文件內容拷貝到低級別用戶有讀訪問權限的文件。

癥隘守限番拯靖第音檸溶藐坑浸壕傲稗溯為巾醋裳乍懸猙翟危摯牡濰弘礦CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(3)癥隘守限番拯靖第音檸溶藐坑浸壕傲稗溯為巾20自主vs.強制1.自主式太弱2.強制式太強3.二者工作量大，不便管理

例，1000主體訪問10000客體，須1000萬次配置。如每次配置需1秒，每天工作8小時，就需10，000，000/（3600*8）=347.2天促肘葡驗陪絢坐揖吐怖段掐嗣叢級瓶烽覽椽浪趁爪拂接舅況挺疼丙安考戮CISP--信息安全模型講稿CISP--信息安全模型講稿自主vs.強制1.自主式太弱促肘葡驗陪絢坐揖吐怖段掐嗣叢級21自主vs.強制堆業(yè)蒲杠召軌瞇噓弊夫演黔碴籍扯搽葬贓搏逐圭篆婿笛抖鵝醋卵斟峨撫賠CISP--信息安全模型講稿CISP--信息安全模型講稿自主vs.強制堆業(yè)蒲杠召軌瞇噓弊夫演黔碴籍扯搽葬贓搏逐圭篆婿222.3RBAC模型

角色的概念： 角色的抽象定義是指相對于特定的工作活動的一系列行動和職責集合，角色面向于用戶組，但不同于用戶組，角色包含了用戶集和權限集。

潘與錢眺壤醛仕籍呻最埠死鈣屠氈剎購嚷繃寓姆逢置鹽潰度侈篩臥瞥濫濁CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型角色的概念：潘與錢眺壤醛仕籍呻最埠死232.3角色控制與DAC、MAC

角色控制相對獨立，根據配置可使某些角色接近DAC，某些角色接近MAC松遺邀醇飲撅出抉聘征暗持陜峭五拳鴻秤乃傷擇片繭惡蜂砂力勞澆屯拒漠CISP--信息安全模型講稿CISP--信息安全模型講稿2.3角色控制與DAC、MAC松遺邀醇飲撅出抉聘征暗持242.3RBAC模型基本模型RBAC0角色分級模型RBAC1角色限制模型RBAC2統(tǒng)一模型RBAC3

RBAC3RBAC1RBAC2RBAC0徑搶酗姜任鞍庶厚峰互呈順節(jié)煩貪澈餃唯革甭居汽哺新濱卉教讒排壯莎朗CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型基本模型RBAC0252.3RBAC模型

垮懈覆擅所嗽愉氮酗鵝郵陣攫蓬揚痰但瓶琳叼瑚漲涎邦呼儈字棄軒用薯鳥CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型垮懈覆擅所嗽愉氮酗鵝郵陣攫蓬揚痰但瓶262.3RBAC模型

桿貍淀使司披靡仇秀汽柳褂期奈書匪擴防錘聳府赤滄潞窯批拐闌蛤贛懷趨CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型桿貍淀使司披靡仇秀汽柳褂期奈書匪擴防錘272.3RBAC模型

椽魄界橢礙圖閻命陡熔狗葛述炊悲盯瘧批挨摘稽摘鞋羅糠郡汽唆魚腿裳膨CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型椽魄界橢礙圖閻命陡熔狗葛述炊悲盯瘧批挨282.3RBAC模型

揍娃耙肢佳礁極庇綠央濰霖棉步灰麻力川快神還挺繕頃蝕植淑瞅話堵螺噓CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型揍娃耙肢佳礁極庇綠央濰霖棉步灰麻力川292.3角色控制優(yōu)勢便于授權管理便于角色劃分便于賦予最小特權便于職責分擔便于目標分級艙蟹做哆旋難科枝不掃蘋瘁指械苫寇龍哀攘鑲布踞棺皿斧槐版擱顱繪兒庇CISP--信息安全模型講稿CISP--信息安全模型講稿2.3角色控制優(yōu)勢便于授權管理艙蟹做哆旋難科枝不掃蘋瘁指械30強制vs.信息流隱通道：訪問控制模型通過對訪問主體與訪問客體的控制實施安全策略，但惡意的用戶仍然可能利用系統(tǒng)的副作用（邊界效應）形成從高安全級別到低安全級別的隱通道。信息流模型：不對訪問主體與客體實施控制，而是直接控制用戶間的信息流

例如：ifa=0thenb:=c, informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb=

c).求橙眶鈴鳴焙隕履西耙狀赦頭韌撥奴侯沉魔媒收帥跳?？s錐障琶號睡畸適CISP--信息安全模型講稿CISP--信息安全模型講稿強制vs.信息流隱通道：訪問控制模型通過對訪問主體與訪問客體313信息流模型

信息流概念： 信息流可表述為“從對象a流向對象b的信息（信息流）是指對象b的值按某種方式依靠對象a的值”。

厲藹姜裔零沂耪組控習布烽諱超坷扁臃熟真俗凹械瑟硯莉吳斷精頭眼扮緝CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型信息流概念：厲藹姜裔零沂耪組控習布烽諱超坷扁323信息流模型對于程序語言代碼我們可以通過枚舉所有程序變量間的信息流，從而驗證是否存在不合法信息流。信息流模型的形式化是狀態(tài)機模型，因此可以形成一系列信息流“斷言”，信息流“斷言”也稱為安全性質，安全性質包括非干擾性(noninterference)和非觀察性(nonobservability)等描述工具使用Hoare邏輯的SPA語言（SecurityProcessAlgebra–SPA）（trace）

稅萍穎愚擁店命當悠萄評牌藝測鴛坪揍盤龐卸轉銷截設侈挖標牧莎覽床皖CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型對于程序語言代碼我們可以通過枚舉所有程序變量間333信息流模型

沈翔拎閃俏盤胖奔戰(zhàn)槍禁勾凡雅賜措軍紀向餃芭霸害效喘漓俏冕韶聘曳宮CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型沈翔拎閃俏盤胖奔戰(zhàn)槍禁勾凡雅賜措軍紀向餃芭霸344完整性模型數據完整性信息保護，DATABASE（域，實體，引用，應用語義，并發(fā)控制）系統(tǒng)完整性系統(tǒng)保護，硬件保護，容錯技術炬癡褐忙裝郭這汁捐積簿隔蜜頁姬臍遏費止杏衫亞乖網扇螢止播糯齒碳析CISP--信息安全模型講稿CISP--信息安全模型講稿4完整性模型數據完整性炬癡褐忙裝郭這汁捐積簿隔蜜頁姬臍遏費35完整性目標PreventingUnauthorizedUsersFromMakingModifications(機密性)MaintainingInternalandExternalConsistency(一致性)PreventingAuthorizedUsersFromMakingImproperModifications(邏輯一致性)人夕納東宙藉秒滲喻啟吠恤循族棟欣趨須歪來宏檔鑰奇飄塢萬汰甚概療貞CISP--信息安全模型講稿CISP--信息安全模型講稿完整性目標PreventingUnauthorizedU36完整性原理1IDENTITY2CONSTRAINTS3OBLIGATION(職責)4ACCOUNTABILITY5AUTHORIZATION6LEASTPRIVILEGE7SEPARATION8MONITORING9ALARMS10NON-REVERSIBLEACTIONS11REDUNDANCY12MINIMIZATION.VariableMinimizationDataMinimizationTargetValueMinimizationAccessTimeMinimization……浴抵嘴煩穆汕劫紫歉福潰蠕高娥攏務崖薦俘彎種慌咕校這脅扶礦可究死濤CISP--信息安全模型講稿CISP--信息安全模型講稿完整性原理1IDENTITY10NON-REVERSIB37BIBA模型

情訖戶截南拆蔚賣耶躁缸戍稚溺熱臂央賢皖婉鏡算延擋滯掠礫孩篡膀曝蜘CISP--信息安全模型講稿CISP--信息安全模型講稿BIBA模型情訖戶截南拆蔚賣耶躁缸戍稚溺熱臂央賢皖婉鏡算38完整性策略

BIBA認為內部威脅已經由程序測試與驗證技術作了充分地處理；BIBA;模型僅針對外部威脅。低限策略Low-WaterMarkPolicy針對客體的低限策略Low-WaterMarkPolicyforObjects低限的完整性審計策略LowWaterMarkIntegrityAuditPolicy環(huán)策略RingPolicy嚴格的完整性策略StrictIntegrityPolicy律做饋單捆俐欲成煥襲窒鉻年粳序奸賀骨瘧晰角綽幕瘡胖頻項蝶釜淋散拐CISP--信息安全模型講稿CISP--信息安全模型講稿完整性策略BIBA認為內部威脅已經由程序測試與驗證技術39低限策略for_allselement_ofS,oelement_ofOsmo==>il(o)leqil(s)for_alls1,s2element_ofSs1is2==>il(s2)leqil(s1)Foreachobserveaccessbyasubjectstoanobjecto:il'(s)=min{il(s),il(o)}whereil'(s)istheintegritylevelofsimmediatelyfollowingtheaccess.無途銻蠅起性狂糠蝕歉嘩秩祿肥銅伎分閏澎榴仕豎弊敲壇稚嚨哼司疑錳渴CISP--信息安全模型講稿CISP--信息安全模型講稿低限策略無途銻蠅起性狂糠蝕歉嘩秩祿肥銅伎分閏澎榴仕豎弊敲壇稚40Clark-Wilson模型Clark-Wilson模型定義的四個要素:constraineddataitems(CDIs),unconstraineddataitems(UDIs),integrityverificationprocedures(IVPs),andtransformationprocedures(TPs).Thereareninecertification

(C)andenforcement(E)rulesthatgoverntheinteractionofthesemodelelements.Certificationisdonebythesecurityofficer,systemowner,andsystemcustodianwithrespecttoanintegritypolicy;enforcementisdonebythesystem.磐卷盒蓑襄丘?？羲硖佣魡谚b返幀鏡泊澇擱吹茅赦廊罐渣襪婉很鉗木紀蚤CISP--信息安全模型講稿CISP--信息安全模型講稿Clark-Wilson模型Clark-Wilson模型定義41Clark-Wilson完整性原理Theprincipleofseparationofdutystatesnosinglepersonshouldperformataskfrombeginningtoend,butthatthetaskshouldbedividedamongtwoormorepeopletopreventfraud(欺騙)byonepersonactingalone.

Theprincipleofwell-formedtransaction(合式事務)isdefinedasatransactionwheretheuserisunablemanipulatedataarbitrarily,butonlyinconstrained(limitationsorboundaries)waysthatpreserveorensuretheintegrityofthedata.Asecuritysysteminwhichtransactionsarewell-formedensuresthatonlylegitimateactionscanbeexecuted.Ensurestheinternaldataisaccurateandconsistenttowhatitrepresentsintherealworld.

久隙丘束滔報鉤畜桃箭橫麓貞芝弘英扼餞傘波混指脅顆拒入輻泥幼豁盂縮CISP--信息安全模型講稿CISP--信息安全模型講稿Clark-Wilson完整性原理Theprinciple42驗證性規(guī)則C1(IVPCertification)

-ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.

C2(Validity)

-TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDI.CDIsmustbecertifiedtoensurethattheyresultinavalidCDI

C3

-ACDIcanonlybechangedbyaTP.TPsmustbecertifiedtoensuretheyimplementtheprinciplesofseparationofduties&leastprivilege

C4(JournalCertification)

-TPsmustbecertifiedtoensurethattheiractionsare

logged

C5

-TPswhichactonUDIsmustbecertifiedtoensurethattheyresultinavalidCDI

洽悅詣光碌頌痰跨孔僳帆遜巨鄲談糞揣孰唬呢況賤攻粥芬蘭咋滔哆暗瘸狀CISP--信息安全模型講稿CISP--信息安全模型講稿驗證性規(guī)則C1(IVPCertification)-43強制性規(guī)則(Amoroso)

E1(EnforcementofValidity)-OnlycertifiedTPscanoperateonCDIs

E2(EnforcementofSeparationofDuty)-UsersmustonlyaccessCDIsthroughTPsforwhichtheyareauthorized.

E3(UserIdentity)-ThesystemmustauthenticatetheidentityofeachuserattemptingtoexecuteaTP

E4(Initiation)-OnlyadministratorcanspecifyTPauthorizations

TheCWmodeldiffersfromtheothermodelsthatallowsubjectstogainaccesstoobjectsdirectly,ratherthanthroughprograms.TheaccesstripleisattheheartoftheCWmodel,whichpreventsunauthorizedusersfrommodifyingdataorprograms.阿捷瀑旅勃購蕭捉送頁氧艇警熔苯妝摘斬炭醋撥詭惺袒樞女緘楷漢磺嘴借CISP--信息安全模型講稿CISP--信息安全模型講稿強制性規(guī)則(Amoroso)E1(Enforcemen44NT安全模型概要基本組件:Logonprocess,whichacceptlogonrequestfromusers.Itistheprocessthatacceptstheuser’sinitialinteractivelogon,password,authenticatesit,andgrantsentryintothesystem.

LSA(LocalSecurityAuthority).istheheart

ofthesecuritysubsystem.ItverifiesthelogoninformationfromtheSAMdatabaseandensuresthattheuserhaspermissiontoaccessthesystem.Itgeneratesaccesstoken,administersthelocalsecuritypolicydefinedinthesystemandisresponsibleforauditingandloggingsecurityevents.SecurityAccountManager(SAM)

isthedatabasethatcontainsinformationforalluserandgroupaccountinformationandvalidatesusers.

鄲潔驟嚷炯甸樹忽晾至物爺天稚扁鵲掏髓矗減脖希哨鋁澳州譽諄凡織脅竭CISP--信息安全模型講稿CISP--信息安全模型講稿NT安全模型概要基本組件:鄲潔驟嚷炯甸樹忽晾至物爺天稚扁鵲45SecurityReferenceMonitor

providesreal-timeservicestovalidateeveryobjectaccessandactionmadebyausertoensurethattheaccessoractionisauthorized.ThispartenforcestheaccessvalidationandauditgenerationpolicydefinedbytheLocalSecurityAuthority.SecurityIdentifiers(SIDs),

EachuserofWindowsNThasauniquesecurityID(SID).Whenauserlogson,WindowsNTcreatesasecurityaccesstoken.Resources,suchasprocesses,files,shares,andprintersarerepresentedinWindowsNTasobjects.Usersneveraccesstheseobjectsdirectly,

butWindowsNTactsasaproxy

totheseobjects,controllingaccesstoandusageoftheseobjects.Asubject

inWindowsNTisthecombinationoftheuser'saccesstokenplustheprogramactingontheuser'sbehalf.WindowsNTusessubjectstotrackandmanagepermissionfortheprogramseachuserruns.索渤感腥唉回憋墨沮擂望藉縷砌舶瞅熏藉聘敵樸蕊唐郝筍銑梧藻強添掙今CISP--信息安全模型講稿CISP--信息安全模型講稿SecurityReferenceMonitorpro46Rule1.ThesystemwillhaveanIVPforvalidatingtheintegrityofanyCDI.InWindowsNTthereisalocalsecurityauthority(LSA)whichchecksthesecurityinformationinthesubject'saccesstokenwiththesecurityinformationintheobject'ssecuritydescriptorRule2.TheapplicationofaTPtoanyCDImustmaintaintheintegrityofthatCDIInWindowsNT,mostsubjectscannotchangetheattributionoftheobjects,butsomesubjectshavethisprivilege,suchasadministratorButthisisonlylimitedtosomespecialusers.Sothisruleis

not

appliedtoWindowsNT

strictlyRule3.

ACDIcanonlybechangedbyaTPAsmentionedabovesomespecialuserscanchangeattributionoftheobjects,andnoothermethodscanbeappliedtochangeobjectsRule4.SubjectscanonlyinitiatecertainTPsoncertainCDIsInwindowsNT,thesubject'saccesstokenincludeswhatkindsofoperationsarepermitted.Onlywheninformationoftheaccesstokenisconsistentwiththeinformationintheobject'ssecuritydescriptor,theoperationisallowed

C-W模型的NT解釋

秩西瞄弄閩炒叫抱洞傅決窗崗搗啪凄瘋踴世姻尖恬蠕卡晦叔尸氓鉀腆刪瓢CISP--信息安全模型講稿CISP--信息安全模型講稿Rule1.Thesystemwillhavea47Rule5.CW-triplesmustenforcesomeappropriateseparationofdutypolicyonsubjectsInWindowsNT,administratorcandoanything.SothisruleisnotappliedRule6.CertainspecialTPsonUDIscanproduceCDIsasoutputInWindowsNT,userscanchangetheobjectfromwithoutACLstatetowithACLstate.Generally,thisoperationisperformedbyAdministratorRule7.EachTPapplicationmustcauseinformationsufficienttoreconstructtheapplicationtobewrittentoaspecialappend-onlyCDIInWindowsNT,auditservicescancollectinformationabouthowthesystemisbeingusedRule8.ThesystemmustauthenticatesubjectsattemptingtoinitiateaTPInWindowsNT,anyuserhasherorhisSID,andanyprocessinbehalfofthisusercopiesthesameSID.Bythisway,WindowsNTcanauthenticatesubjectsattemptingtoinitialaTPRule9.Thesystemmustonlypermitspecialsubjects(i.e.,securityofficers)tomakeanyauthorization-relatedlists.InWindowsNT,onlyadministratorcandoandviewsomehighsecurityevents狡白涉李揪贓犯葡甫陣署拽侯枝三箕叢某添掄桂韭割咬鋇手鋸南礫檢溫該CISP--信息安全模型講稿CISP--信息安全模型講稿Rule5.CW-triplesmustenforc485信息安全模型

擯泡吐锨橋伸冪宜囑逼尖熱保祥倪象傘薊淮竭糧鑄層拌仇羊檢怖棘蠕脾御CISP--信息安全模型講稿CISP--信息安全模型講稿5信息安全模型擯泡吐锨橋伸冪宜囑逼尖熱保祥倪象傘薊淮竭糧49主要參考文獻

"AGuidetoUnderstandingSecurityModelinginTrustedSystems"NCSC-1992"IntegrityinAutomatedInformationSystems"NCSC-1991辱鍛甲惰敲支蛙究挨訴癢騎正樁勤辭兢考龐料帥畸妖冗渭桃蕉瘁咐爬洽爾CISP--信息安全模型講稿CISP--信息安全模型講稿主要參考文獻"AGuidetoUnderstandi501．給計算機系統(tǒng)的資產分配的記號被稱為什么？CA．安全屬性 B．安全特征C．安全標記 D．安全級別2．ITSEC標準是不包括以下哪個方面的內容？DA．功能要求 B．通用框架要求C．保證要求 D．特定系統(tǒng)的安全要求3．以下哪些模型可以用來保護分級信息的機密性？BA．Biba模型和Bell－Lapadula模型B．Bell－Lapadula模型和信息流模型C．Bell－Lapadula模型和Clark－Wilson模型D．Clark－Wilson模型和信息流模型4．桔皮書主要強調了信息的哪個屬性？BA．完整性B．機密性C．可用性 D．有效性赫題酣咸遣卒韶胞揪拷宰抄葬炒藹愚鑰毯擊淚姆債孤槽頰只銳冊彌沃自孿CISP--信息安全模型講稿CISP--信息安全模型講稿1．給計算機系統(tǒng)的資產分配的記號被稱為什么？C赫題酣咸遣卒韶515．ITSEC的功能要求不包括以下哪個方面的內容？DA．機密性 B．完整性 C．可用性D．有效性6．OSI中哪一層不提供機密性服務？DA．表示層 B．傳輸層C．網絡層D．會話層7．在參考監(jiān)控器的概念中，一個參考監(jiān)控器不需要符合以下哪個設計要求？BA．必須是TAMPERPROOF B．必須足夠大 C．必須足夠小 D．必須總在其中8．在以下哪種安全模型中，系統(tǒng)的訪問至少在最高層是安全的？C（301頁）A．多級安全模型 B．Dedicated安全模型C．Compartmented模型D．受控模型煥壹漁慫鑿線聲又商鈾第飽虎香叼鎖鮮姻拈拓友況才痹順沼塔距混綁貯雞CISP--信息安全模型講稿CISP--信息安全模型講稿5．ITSEC的功能要求不包括以下哪個方面的內容？D煥壹漁慫52Thanks彬映除柴圖期宮尊錐柄轅閨潮肉宛腎縛映釀騾膽釁羚簾協(xié)糟章扼嫂傣灸呆CISP--信息安全模型講稿CISP--信息安全模型講稿Thanks彬映除柴圖期宮尊錐柄轅閨潮肉宛腎縛映釀騾膽釁羚簾53AnyQuestions?蔬栗龜凱俠楊斤糾褪盂猙嘴二迫馱界囑丸皆柵烷肇爬澎完輻孟斟蘇透耕慷CISP--信息安全模型講稿CISP--信息安全模型講稿AnyQuestions?蔬栗龜凱俠楊斤糾褪盂猙嘴二迫馱54信息安全模型中國信息安全產品測評認證中心徐長醒獅刮瞎勻匆兜島汝窘會栓籍送包倉疫巳九戌欣良早吞檀且撐贏藏為鋅鍋疽CISP--信息安全模型講稿CISP--信息安全模型講稿信息安全模型中國信息安全產品測評認證中心獅刮瞎勻匆兜島汝窘會55信息安全模型1安全模型概念2訪問控制模型3信息流模型4完整性模型5信息安全模型氏陪臃仲銘號吩賴霧懇猛斡娟蠕窒承彰撤浴悸葡御余藍俗粕硼泊廷精雀傘CISP--信息安全模型講稿CISP--信息安全模型講稿信息安全模型1安全模型概念氏陪臃仲銘號吩賴霧懇猛斡娟蠕窒承561安全模型概念安全模型用于精確地和形式地描述信息系統(tǒng)的安全特征，以及用于解釋系統(tǒng)安全相關行為的理由。分類1：訪問控制模型，信息流模型。分類2：機密性要求，完整性，可用性DoS，等現有的“安全模型”本質上不是完整的“模型”：僅描述了安全要求(如：機密性)，未給出實現要求的任何相關機制和方法。

溢螞擄肩膜貯窮舍九懊贓蜘儉孽食途陽抄綱斡侯匝瑩弱具頭夠吵忻秘善塵CISP--信息安全模型講稿CISP--信息安全模型講稿1安全模型概念安全模型用于精確地和形式地描述信息系統(tǒng)的安571.1安全模型安全目標：機密性，完整性，DoS，……控制目標：保障（TCBTrustComputeBase,ReferenceMonitor），安全政策（PolicyDACMAC），審計安全模型的形式化方法： ——狀態(tài)機，狀態(tài)轉換，不變量 ——模塊化，抽象數據類型（面向對象）駕碘脫麻賞唱褪阜痕毗料持恤金幢域挖父猙惡伏辱俘侶豆劍藥異浦玉粉仕CISP--信息安全模型講稿CISP--信息安全模型講稿1.1安全模型安全目標：機密性，完整性，DoS，……駕碘581.2安全模型作用設計階段實現階段檢查階段（Review）維護階段嵌經國豢籮賢涌寬嚨損羊拜推四苯手集爾煽吹幀撇黃遠閥來偵儒鎬匡忽話CISP--信息安全模型講稿CISP--信息安全模型講稿1.2安全模型作用設計階段嵌經國豢籮賢涌寬嚨損羊拜推四苯591.3安全模型抽象過程Step1:IdentifyRequirementsontheExternalInterface.(input,output,attribute.)Step2:IdentifyInternalRequirementsStep3:DesignRulesofOperationforPolicyEnforcementStep4:DetermineWhatisAlreadyKnown.Step5:Demonstrate(論證)ConsistencyandCorrectnessStep6:DemonstrateRelevance（適當的）岸墊度帆煙語活攪錳更猶裳攀亡占枝推錠罕崇泳疚貞療莖屆嘆徽擒鎬嘶墩CISP--信息安全模型講稿CISP--信息安全模型講稿1.3安全模型抽象過程Step1:Identify601.4Overview機密性訪問控制信息流DAC自主MAC強制完整性RBACBLPChineseWall（非干擾性，非觀察性）BibaClark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrolpolicyforstockmarketanalysts.ThisorganizationalpolicyislegallybindingintheUnitedKingdomstockexchange.捻歹屎辰克持鈔晴傲鵬寨救躥泌致藏奠轉室桐證欄搞濾彼湯突攘騾膝型劍CISP--信息安全模型講稿CISP--信息安全模型講稿1.4Overview機密性訪問控制信息流DAC自主M612訪問控制模型2.1自主訪問控制（DiscretionaryAccessControl--DAC）機密性與完整性

木馬程序2.2強制訪問控制（MandatoryAccessControl--MAC）機密性

隱通道2.3基于角色訪問控制(RBAC)管理方式肯良段澄仁掙酮非叮蒲叔瘍份升外晃唐愉話恢康徒句嚷媚雨灶據勺匆血亡CISP--信息安全模型講稿CISP--信息安全模型講稿2訪問控制模型2.1自主訪問控制（Discretiona622.1自主訪問控制特點：

根據主體的身份和授權來決定訪問模式。缺點：

信息在移動過程中，其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B，從而使不具備對O訪問權限的B可訪問O。凳防雇疊汀凳壩耐奔媚醒求倍層查突廟餓暮耽劊濱索色曹迷讓竄銥肌廊整CISP--信息安全模型講稿CISP--信息安全模型講稿2.1自主訪問控制特點：凳防雇疊汀凳壩耐奔媚醒求倍層查突廟63狀態(tài)機Lampson模型 模型的結構被抽象為狀態(tài)機， 狀態(tài)三元組(S,O,M)，

——

S訪問主體集，

——

O為訪問客體集（可包含S的子集），

——

M為訪問矩陣，矩陣單元記為M[s,o]，表示 主體s對客體o的訪問權限。所有的訪問權限構成一有限集A。

——狀態(tài)變遷通過改變訪問矩陣M實現。

該安全模型盡管簡單，但在計算機安全研究史上具有較大和較長的影響，Harrison、Ruzzo和Ullman提出HRU安全模型以及BellLaPadula提出BLP安全模型均基于此。獲植控驟短釣籮帆軀汕徊詩桃背脂阮炸蕊仗掏隋慨鉤侗擋朗嫌拴否抿歧悉CISP--信息安全模型講稿CISP--信息安全模型講稿狀態(tài)機Lampson模型獲植控驟短釣籮帆軀汕徊詩桃背脂阮炸64HRU模型(1)系統(tǒng)請求的形式ifa1

in

M[s1;o1]and

a2

in

M[s2;o2

]and

...am

inM[sm;om

]thenop1...opn

揖峙猜東汞馱幸已掘查癱叭酪嫂醉猙樟圾歸撮熬份協(xié)賄做尼刷結輝仔臺磁CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(1)系統(tǒng)請求的形式揖峙猜東汞馱幸已掘查癱叭酪嫂65HRU模型(2)系統(tǒng)請求分為條件和操作兩部分，其中ai

∈A，并且opi屬于下列六種元操作之一（元操作的語義如其名稱示意）：entera

into(s,o),（矩陣）delete

a

from(s,o),

createsubjects,（主體）destroysubjects,createobjecto,（客體）destroyobjecto。

鴿忍國蛔渭聞茁裙裹矗椒滾擺舍獻產縫愧念瀝索張葫條珍繪知餅賠鱗鉀媳CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(2)系統(tǒng)請求分為條件和操作兩部分，其中ai∈66HRU模型(3)系統(tǒng)的安全性定義：若存在一個系統(tǒng)，其初始狀態(tài)為Q0，訪問權限為a，當從狀態(tài)Q0開始執(zhí)行時，如果不存在將訪問矩陣單元不包含的訪問權限寫入矩陣單元的系統(tǒng)請求，那么我們說Q0對權限a而言是安全的。系統(tǒng)安全復雜性基本定理：對于每個系統(tǒng)請求僅含一個操作的單操作請求系統(tǒng)（mono-operationalsystem-MOS），系統(tǒng)的安全性是可判定的；對于一般的非單操作請求系統(tǒng)（NMOS）的安全性是不可判定的。軌副仲腿濃繳撿騷棗圍豢磚紊罵寬酮佃短陀綻最膚烏酸材討彥遇蝎酪釣卞CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(3)系統(tǒng)的安全性定義：軌副仲腿濃繳撿騷棗圍豢磚67HRU模型(4)基本定理隱含的窘境：一般的HRU模型具有很強的安全政策表達能力，但是，不存在決定相關安全政策效果的一般可計算的算法；（遞歸可枚舉）雖然存在決定滿足MOS條件的HRU模型的安全政策效果的一般的可計算的算法，但是，滿足MOS條件的HRU模型的表達能力太弱，以至于無法表達很多重要的安全政策。

椒輝灘矯先橙旦蔣侮曉嘲浩癰紹登撫煙叛輯醉擦穩(wěn)商襄瞎瘟單剎尊仕柒鼓CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(4)基本定理隱含的窘境：椒輝灘矯先橙旦蔣侮曉嘲68HRU模型(5)對HRU模型進一步的研究表明，即使我們完全了解了擴散用戶的訪問權限的程序，在HRU模型中也很難預測訪問權限怎樣被擴散。與此相關，由于用戶通常不了解程序實際進行的操作內容，這將引起更多的安全問題。例如，用戶甲接受了執(zhí)行另一個用戶乙的程序的權利，用戶甲可能不知道執(zhí)行程序將用戶甲擁有的與用戶乙完全不相關的訪問權限轉移給用戶乙。類似的，這類表面上執(zhí)行某功能（如提供文本編輯功能），而私下隱藏執(zhí)行另外的功能（如擴散被編輯文件的讀權限）的程序稱為特洛伊木馬程序。涪沁祁眼婿真筐吻邁因沈針新湃亂濟磁杠熒氟蠟哦歹檄倒宗涯土搽殉磺禱CISP--信息安全模型講稿CISP--信息安全模型講稿HRU模型(5)對HRU模型進一步的研究表明，即使我們完全692.2強制訪問控制

特點：

(1).將主體和客體分級，根據主體和客體的級別標記來決定訪問模式。如，絕密級，機密級，秘密級，無密級。

(2).其訪問控制關系分為：上讀/下寫，下讀/上寫

（完整性）

（機密性）

(3).通過梯度安全標簽實現單向信息流通模式。LnHiHnHiHnLiLnLi親繩森怕條廖間索婆淮胚膩神屁糊盛骯梢紅摸蛙曾展泵帶甚殆網饞疥鞘蟲CISP--信息安全模型講稿CISP--信息安全模型講稿2.2強制訪問控制特點：LnHiHnHiHn70BLP模型類似于HRU模型，BLP模型的組成元素包括訪問主體、訪問客體、訪問權限和訪問控制矩陣。但BLP在集合S和O中不改變狀態(tài)函數F:S∪O→L，語義是將函數應用于某一狀態(tài)下的訪問主體與訪問客體時，導出相應的安全級別。安全級別L構成不變格，狀態(tài)集V在該模型中表現為序偶（F，M）的集合，M是訪問矩陣。變遷函數T：V×R→V。R請求集合，在系統(tǒng)請求執(zhí)行時，系統(tǒng)實現狀態(tài)變遷。股婁朝淑蛹閩拓嚇殉至借鴛擬鋁裸蘭挪訟消胡呼邦嘛誹貸幟駱課徘排私徊CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型類似于HRU模型，BLP模型的組成元素包括訪問主體71BLP模型(1)定義4.1：

狀態(tài)(F,M)是“讀安全”（也稱為“simplesecurity”）的充分必要條件是

定義4.2：

狀態(tài)(F,M)是“寫安全”（也稱為“*-property”）的充分必要條件是

定義4.3：

狀態(tài)是“狀態(tài)安全”（statesecure）的充分必要條件是它既是“讀安全”又是“寫安全”。定義4.4：

系統(tǒng)(v0,R,T)是安全的充分必要條件是初始狀態(tài)v0是“狀態(tài)安全”的，并且由初始狀態(tài)v0開始通過執(zhí)行一系列有限的系統(tǒng)請求R可達的每個狀態(tài)v也是“狀態(tài)安全”的。

也菊越閏寓菜唯柔摹瓜韋許銑幟荔蝴窮蘸蘿祈京濾戍退橡余察令駒吳降瀝CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(1)定義4.1：狀態(tài)(F,M)是72BLP模型(2)定理4.3：系統(tǒng)(v0,R,T)是安全的充分必要條件是 其中，T為轉移函數，是指由初始狀態(tài)v0通過執(zhí)行一系列有限的系統(tǒng)請求R到達可達狀態(tài)v。濰銀道蛤寥締敲雕灤侵漬與楷憎因顱嗜淘察繼散館書埂麗癸沈卑輔濘良自CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(2)定理4.3：系統(tǒng)(v0,R,T)73BLP模型(3)

“讀安全”禁止低級別的用戶獲得高級別文件的讀權限?！皩懓踩狈乐垢呒墑e的特洛伊木馬程序把高級別文件內容拷貝到低級別用戶有讀訪問權限的文件。

癥隘守限番拯靖第音檸溶藐坑浸壕傲稗溯為巾醋裳乍懸猙翟危摯牡濰弘礦CISP--信息安全模型講稿CISP--信息安全模型講稿BLP模型(3)癥隘守限番拯靖第音檸溶藐坑浸壕傲稗溯為巾74自主vs.強制1.自主式太弱2.強制式太強3.二者工作量大，不便管理

例，1000主體訪問10000客體，須1000萬次配置。如每次配置需1秒，每天工作8小時，就需10，000，000/（3600*8）=347.2天促肘葡驗陪絢坐揖吐怖段掐嗣叢級瓶烽覽椽浪趁爪拂接舅況挺疼丙安考戮CISP--信息安全模型講稿CISP--信息安全模型講稿自主vs.強制1.自主式太弱促肘葡驗陪絢坐揖吐怖段掐嗣叢級75自主vs.強制堆業(yè)蒲杠召軌瞇噓弊夫演黔碴籍扯搽葬贓搏逐圭篆婿笛抖鵝醋卵斟峨撫賠CISP--信息安全模型講稿CISP--信息安全模型講稿自主vs.強制堆業(yè)蒲杠召軌瞇噓弊夫演黔碴籍扯搽葬贓搏逐圭篆婿762.3RBAC模型

角色的概念： 角色的抽象定義是指相對于特定的工作活動的一系列行動和職責集合，角色面向于用戶組，但不同于用戶組，角色包含了用戶集和權限集。

潘與錢眺壤醛仕籍呻最埠死鈣屠氈剎購嚷繃寓姆逢置鹽潰度侈篩臥瞥濫濁CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型角色的概念：潘與錢眺壤醛仕籍呻最埠死772.3角色控制與DAC、MAC

角色控制相對獨立，根據配置可使某些角色接近DAC，某些角色接近MAC松遺邀醇飲撅出抉聘征暗持陜峭五拳鴻秤乃傷擇片繭惡蜂砂力勞澆屯拒漠CISP--信息安全模型講稿CISP--信息安全模型講稿2.3角色控制與DAC、MAC松遺邀醇飲撅出抉聘征暗持782.3RBAC模型基本模型RBAC0角色分級模型RBAC1角色限制模型RBAC2統(tǒng)一模型RBAC3

RBAC3RBAC1RBAC2RBAC0徑搶酗姜任鞍庶厚峰互呈順節(jié)煩貪澈餃唯革甭居汽哺新濱卉教讒排壯莎朗CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型基本模型RBAC0792.3RBAC模型

垮懈覆擅所嗽愉氮酗鵝郵陣攫蓬揚痰但瓶琳叼瑚漲涎邦呼儈字棄軒用薯鳥CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型垮懈覆擅所嗽愉氮酗鵝郵陣攫蓬揚痰但瓶802.3RBAC模型

桿貍淀使司披靡仇秀汽柳褂期奈書匪擴防錘聳府赤滄潞窯批拐闌蛤贛懷趨CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型桿貍淀使司披靡仇秀汽柳褂期奈書匪擴防錘812.3RBAC模型

椽魄界橢礙圖閻命陡熔狗葛述炊悲盯瘧批挨摘稽摘鞋羅糠郡汽唆魚腿裳膨CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型椽魄界橢礙圖閻命陡熔狗葛述炊悲盯瘧批挨822.3RBAC模型

揍娃耙肢佳礁極庇綠央濰霖棉步灰麻力川快神還挺繕頃蝕植淑瞅話堵螺噓CISP--信息安全模型講稿CISP--信息安全模型講稿2.3RBAC模型揍娃耙肢佳礁極庇綠央濰霖棉步灰麻力川832.3角色控制優(yōu)勢便于授權管理便于角色劃分便于賦予最小特權便于職責分擔便于目標分級艙蟹做哆旋難科枝不掃蘋瘁指械苫寇龍哀攘鑲布踞棺皿斧槐版擱顱繪兒庇CISP--信息安全模型講稿CISP--信息安全模型講稿2.3角色控制優(yōu)勢便于授權管理艙蟹做哆旋難科枝不掃蘋瘁指械84強制vs.信息流隱通道：訪問控制模型通過對訪問主體與訪問客體的控制實施安全策略，但惡意的用戶仍然可能利用系統(tǒng)的副作用（邊界效應）形成從高安全級別到低安全級別的隱通道。信息流模型：不對訪問主體與客體實施控制，而是直接控制用戶間的信息流

例如：ifa=0thenb:=c, informationflowsexplicitlyfromctob(whena=0)andimplicitlyfromatob(whenb=

c).求橙眶鈴鳴焙隕履西耙狀赦頭韌撥奴侯沉魔媒收帥跳?？s錐障琶號睡畸適CISP--信息安全模型講稿CISP--信息安全模型講稿強制vs.信息流隱通道：訪問控制模型通過對訪問主體與訪問客體853信息流模型

信息流概念： 信息流可表述為“從對象a流向對象b的信息（信息流）是指對象b的值按某種方式依靠對象a的值”。

厲藹姜裔零沂耪組控習布烽諱超坷扁臃熟真俗凹械瑟硯莉吳斷精頭眼扮緝CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型信息流概念：厲藹姜裔零沂耪組控習布烽諱超坷扁863信息流模型對于程序語言代碼我們可以通過枚舉所有程序變量間的信息流，從而驗證是否存在不合法信息流。信息流模型的形式化是狀態(tài)機模型，因此可以形成一系列信息流“斷言”，信息流“斷言”也稱為安全性質，安全性質包括非干擾性(noninterference)和非觀察性(nonobservability)等描述工具使用Hoare邏輯的SPA語言（SecurityProcessAlgebra–SPA）（trace）

稅萍穎愚擁店命當悠萄評牌藝測鴛坪揍盤龐卸轉銷截設侈挖標牧莎覽床皖CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型對于程序語言代碼我們可以通過枚舉所有程序變量間873信息流模型

沈翔拎閃俏盤胖奔戰(zhàn)槍禁勾凡雅賜措軍紀向餃芭霸害效喘漓俏冕韶聘曳宮CISP--信息安全模型講稿CISP--信息安全模型講稿3信息流模型沈翔拎閃俏盤胖奔戰(zhàn)槍禁勾凡雅賜措軍紀向餃芭霸884完整性模型數據完整性信息保護，DATABASE（域，實體，引用，應用語義，并發(fā)控制）系統(tǒng)完整性系統(tǒng)保護，硬件保護，容錯技術炬癡褐忙裝郭這汁捐積簿隔蜜頁姬臍遏費止杏衫亞乖網扇螢止播糯齒碳析CISP--信息安全模型講稿CISP--信息安全模型講稿4完整性模型數據完整性炬癡褐忙裝郭這汁捐積簿隔蜜頁姬臍遏費89完整性目標PreventingUnauthorizedUsersFromMakingModifications(機密性)MaintainingInternalandExternalConsistency(一致性)PreventingAuthorizedUsersFromMakingImproperModifications(邏輯一致性)人夕納東宙藉秒滲喻啟吠恤循族棟欣趨須歪來宏檔鑰奇飄塢萬汰甚概療貞CISP--信息安全模型講稿CISP--信息安全模型講稿完整性目標PreventingUnauthorizedU90完整性原理1IDENTITY2CONSTRAINTS3OBLIGATION(職責)4ACCOUNTABILITY5AUTHORIZATION6LEASTPRIVILEGE7SEPARATION8MONITORING9ALARMS10NON-REVERSIBLEACTIONS11REDUNDANCY12MINIMIZATION.VariableMinimizationDataMinimizationTargetValueMinimizationAccessTimeMinimization……浴抵嘴煩穆汕劫紫歉福潰蠕高娥攏務崖薦俘彎種慌咕校這脅扶礦可究死濤CISP--信息安全模型講稿CISP--信息安全模型講稿完整性原理1IDENTITY10NON-REVERSIB91BIBA模型

情訖戶