CISSP备考系列之安全模型的原则[10-38]
【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
令牌,功能列表和安全标签
令牌(Token)与资源相关的独立个体,描述其安全属性。
功能列表(Capabilities List)为每个受控客体维护一行安全属性,不够灵活但可快速查找。
安全标签(Security Label)客体的永久部分,可以更好地防止篡改。
主要的计算机安全模型:
1,状态机
2,信息流
3,非干扰
4,Take-Grant
5,访问控制表
6,Bell-LaPadula
7,Biba
8,Clark-Wilson
9,Brewer And Nash(也称为Chinese Wall)
可信计算基(TCB)
桔皮书(Orange Book)是国防部Standard 5200.28的俗称,这个标准将可信计算基(Trusted Computing Base-TCB)描述为硬件,软件和控制方法的组合。
1,安全边界(Security Perimeter)
是TCB与系统的其他部分的分界,TCB与其他部分进行通信的通道被称为可信路径(Trusted Path),根据TCSEC指导原则,B2和较高级别的系统要求使用可信路径。
2,引用监控器和内核
引用监控器(Reference Monitor)位于主体和客体之间,用于验证和访问控制。
安全内核(Security Kernel)是实现引用监控器的TCB组件集合。
状态机模型(State Machine Model)
描述了一个无论处于何种状态下总是安全的系统。
公式1:下一状态=G(输入,当前状态)
公式2:输出=F(输入,当前状态)
信息流模型(Information Flow Model)
以状态机为基础,后面的Bell-LaPadula和Biba都是信息流模型。
用于避免未授权的,不安全的信息流。
无干扰模型(Noninterference Model)
关注高安全级别的主体如何影响系统状态或低安全级别的主体。
组合论(Composition Theory)
三种信息流动模式:
1,级联(Cascading)A的输入来自B的输出。
2,反馈(Feedback)A为B提供输入,然后B再为A提供输入。
3,挂接(Hookup)A为B提供输入的同时,也向外部实体发送输入。
Take-Grant模型
权利可以在主体之间传递。
具有授权资格的主体可以向另一个主体或客体授予所拥有的权限。
具有获得权利的主体可以从另一个主体获取权利。
访问控制表(Access Control Matrix)
是一个由主体和客体组成的表,指示了每个主体可以对每个客体执行的动作和功能。
Bell-LaPadula模型
衍生自DoD的多级安全策略,通常分为四类:非秘密,秘密,机密和绝密。(Sensitive but Unclassified,Confidential,Secret,Top Secret)(个人觉得原书的翻译有误,在中国,机密的密级高于秘密,这里把原书的机密和秘密顺序调整了)
规定任何主体可以访问相同或更低许可级别的资源。
具体规定可以理解为:
1,不能向上读。
2,不能向下写。
3,可以通过访问控制来加强管理。
Biba模型
与Bell-LaPadula模型相反,它用于保证完整性而非机密性。
具体规定可以理解为:
1,不准向上写(以免破坏上层数据)
2,准入向上读(不保证机密性)
用于解决三个完整性问题:
1,防止未授权的主体对客体进行修改。
2,防止己授权的主体对客体进行未授权的修改。
3,保证内部和外部客体的一致性。
Clark-Wilson模型
使用安全标签来授予对客体的访问权限,但是只能通过特定的过程和接口来完成。
可确保任何用户都不能非授权地修改数据。
Brewer And Nash模型(也称为Chinese Wall)
将存在利益冲突的数据归属到不同的域。
主体与客体
主体(Subject)是请求访问资源的用户或进程。
客体(Object)是用户或进程想要访问的资源。
封闭式系统与开放式系统
封闭式系统(Closed System)小范围,同厂商,专有,不对外,安全性高。
开放式系统(Open System)行业标准,可能来自于不同厂商,易受攻击。
确保机密性,完整性和可用性的技术
1,限制(Confinement)允许进程只能在特定的内存地址和资源中读取和写入数据。
2,界限(Bound)操作系统内部有两个授权级别:用户和内核。进程只能访问限定区域内的资源,界限可能是逻辑的,也可能是物理的。
3,隔离(Isolation)确保任何行为只影响与隔离进程有关的内存和资源。
控制(Control)是使用访问规则来限制主体对客体的访问。
强制访问控制(MAC)也可以称为规则型访问控制(Rule-Based Access Control)
自主访问控制(DAC)与强制访问控制的区别在于,主体具有一些定义访问客体的能力。根据主体的身份,我们可以准许主体增加或修改访问客体的规则。
信任与保证
可信系统(Trusted System)是所有保护机制协力工作的系统,能够在维护稳定和安全的计算环境的情况下为用户处理敏感数据。
保证(Assurance)为满足安全需求的置信度。保证必须被持续地维持,更新和重验证。
1,彩虹系列系统安全评估标准
著名的可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC),即桔皮书。
类别A 己验证保护
A1在开发阶段引入了更严格的管理,可提供比B3更为安全的环境,代表的是安全等级的最高级,被设计用于处理绝密数据。目前没有商业化操作系统达到这一级别。
类别B 强制性保护
分为标签式安全(B1),结构化保护(B2)和安全域(B3)
B1主体与客体都有安全标签,通过权限兼容性检查来授权访问。B1对已分类数据提供了足够的安全保护。
B2基于B1,还要求系统不能有隐蔽通道。操作者和管理员分离,进程也被隔离。
B3则采用安全域实现更好的分离,关注点转移到简易性,从而减少系统的脆弱性,B3系统难以攻破,为非常敏感或秘密的数据提供了安全保护。经过强化的UNIX或WindowsNT可以达到B级安全,金融行业的计算机系统通常要求达到B2级安全。
类别C 自主性保护
分为自主安全保护C1和受控访问保护C2,C1基于用户和组来实现访问控制,保护功能较弱。C2的安全性强于C1,用户必须被单独标识后才能获得访问客体的权限,C2系统还必须实施介质清除措施。普通的UNIX和WindowsNT系统属于C级。
类别D 最小化保护
此外:红皮书TNI=可信网络解释和绿皮书DoDPMG=国防部密码管理指导原则也是彩虹系列中比较重要的。像DOS和Windows95,98一类的系统属于D级。
ITSEC(通用准则=Common Criteria)
是欧洲创建的安全评估标准,不只关注私密性,同时也关注完整性和可用性。ITSEC也不依赖TCB的概念,在系统变化后不要求重新评估,只需做维护性的工作。
ITSEC的级别从E0到E6,与TCSEC的七个级别对应。
CC的评估级别从EAL1到EAL7共7级,与TCSEC的级别相对应。
认证和鉴定
1,认证(Certification)对IT系统的技术和非技术安全特性以及其他防护措施的综合评估。
2,鉴定(Accreditation)将系统的安全能力与组织机构的需求进行比较,如果达到要求,系统就通过了鉴定。
3,鉴定分为系统及,场所级和类型级。
常见的缺陷与安全问题
1,隐蔽通道(Convert Channel)违反,绕过或回避安全策略而不被发现的方法。包括时间隐蔽通道和存储隐蔽通道两种。
2,基于设计或编码缺陷的攻击和安全问题
分为无意的和有意的两种,有意的就是后门(Back Door)。
需要注意以下几种情况下的安全问题:
* 初始化和失败状态 通过可信恢复(Trusted Recovery)解决。
* 输入和参数检查 可应对缓冲区溢出(Buffer Overflow)一类的问题。
* 维护挂接和特权程序Maintenance Hook和Back Door不应该存在于正式发布的产品之中。
* 增量攻击 缓慢的,渐近的攻击,不易发现,包括数据欺骗(Data Diddling)(一次只篡改一小部分数据)和salami攻击(一次只窃取一小部分资产)。
3,编程 程序设计人员和分析测试人员要有足够的安全知识。
4,计时,状态改变和通信中断Time of Check是主体检查客体状态的时间,Time of Use是主体访问客体的时间,两者之间的时间差可能被利用。例如:数据在身份被验证后和被读取之前被替换。
5,电磁辐射(Electromagnetic,EM)可采用TEMPEST技术来防范(法拉弟笼,白噪声等)。
【本单元结束】
本文出自 “西蒙[爱生活,爱学习]” 博客
令牌,功能列表和安全标签
令牌(Token)与资源相关的独立个体,描述其安全属性。
功能列表(Capabilities List)为每个受控客体维护一行安全属性,不够灵活但可快速查找。
安全标签(Security Label)客体的永久部分,可以更好地防止篡改。
主要的计算机安全模型:
1,状态机
2,信息流
3,非干扰
4,Take-Grant
5,访问控制表
6,Bell-LaPadula
7,Biba
8,Clark-Wilson
9,Brewer And Nash(也称为Chinese Wall)
可信计算基(TCB)
桔皮书(Orange Book)是国防部Standard 5200.28的俗称,这个标准将可信计算基(Trusted Computing Base-TCB)描述为硬件,软件和控制方法的组合。
1,安全边界(Security Perimeter)
是TCB与系统的其他部分的分界,TCB与其他部分进行通信的通道被称为可信路径(Trusted Path),根据TCSEC指导原则,B2和较高级别的系统要求使用可信路径。
2,引用监控器和内核
引用监控器(Reference Monitor)位于主体和客体之间,用于验证和访问控制。
安全内核(Security Kernel)是实现引用监控器的TCB组件集合。
状态机模型(State Machine Model)
描述了一个无论处于何种状态下总是安全的系统。
公式1:下一状态=G(输入,当前状态)
公式2:输出=F(输入,当前状态)
信息流模型(Information Flow Model)
以状态机为基础,后面的Bell-LaPadula和Biba都是信息流模型。
用于避免未授权的,不安全的信息流。
无干扰模型(Noninterference Model)
关注高安全级别的主体如何影响系统状态或低安全级别的主体。
组合论(Composition Theory)
三种信息流动模式:
1,级联(Cascading)A的输入来自B的输出。
2,反馈(Feedback)A为B提供输入,然后B再为A提供输入。
3,挂接(Hookup)A为B提供输入的同时,也向外部实体发送输入。
Take-Grant模型
权利可以在主体之间传递。
具有授权资格的主体可以向另一个主体或客体授予所拥有的权限。
具有获得权利的主体可以从另一个主体获取权利。
访问控制表(Access Control Matrix)
是一个由主体和客体组成的表,指示了每个主体可以对每个客体执行的动作和功能。
Bell-LaPadula模型
衍生自DoD的多级安全策略,通常分为四类:非秘密,秘密,机密和绝密。(Sensitive but Unclassified,Confidential,Secret,Top Secret)(个人觉得原书的翻译有误,在中国,机密的密级高于秘密,这里把原书的机密和秘密顺序调整了)
规定任何主体可以访问相同或更低许可级别的资源。
具体规定可以理解为:
1,不能向上读。
2,不能向下写。
3,可以通过访问控制来加强管理。
Biba模型
与Bell-LaPadula模型相反,它用于保证完整性而非机密性。
具体规定可以理解为:
1,不准向上写(以免破坏上层数据)
2,准入向上读(不保证机密性)
用于解决三个完整性问题:
1,防止未授权的主体对客体进行修改。
2,防止己授权的主体对客体进行未授权的修改。
3,保证内部和外部客体的一致性。
Clark-Wilson模型
使用安全标签来授予对客体的访问权限,但是只能通过特定的过程和接口来完成。
可确保任何用户都不能非授权地修改数据。
Brewer And Nash模型(也称为Chinese Wall)
将存在利益冲突的数据归属到不同的域。
主体与客体
主体(Subject)是请求访问资源的用户或进程。
客体(Object)是用户或进程想要访问的资源。
封闭式系统与开放式系统
封闭式系统(Closed System)小范围,同厂商,专有,不对外,安全性高。
开放式系统(Open System)行业标准,可能来自于不同厂商,易受攻击。
确保机密性,完整性和可用性的技术
1,限制(Confinement)允许进程只能在特定的内存地址和资源中读取和写入数据。
2,界限(Bound)操作系统内部有两个授权级别:用户和内核。进程只能访问限定区域内的资源,界限可能是逻辑的,也可能是物理的。
3,隔离(Isolation)确保任何行为只影响与隔离进程有关的内存和资源。
控制(Control)是使用访问规则来限制主体对客体的访问。
强制访问控制(MAC)也可以称为规则型访问控制(Rule-Based Access Control)
自主访问控制(DAC)与强制访问控制的区别在于,主体具有一些定义访问客体的能力。根据主体的身份,我们可以准许主体增加或修改访问客体的规则。
信任与保证
可信系统(Trusted System)是所有保护机制协力工作的系统,能够在维护稳定和安全的计算环境的情况下为用户处理敏感数据。
保证(Assurance)为满足安全需求的置信度。保证必须被持续地维持,更新和重验证。
1,彩虹系列系统安全评估标准
著名的可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC),即桔皮书。
类别A 己验证保护
A1在开发阶段引入了更严格的管理,可提供比B3更为安全的环境,代表的是安全等级的最高级,被设计用于处理绝密数据。目前没有商业化操作系统达到这一级别。
类别B 强制性保护
分为标签式安全(B1),结构化保护(B2)和安全域(B3)
B1主体与客体都有安全标签,通过权限兼容性检查来授权访问。B1对已分类数据提供了足够的安全保护。
B2基于B1,还要求系统不能有隐蔽通道。操作者和管理员分离,进程也被隔离。
B3则采用安全域实现更好的分离,关注点转移到简易性,从而减少系统的脆弱性,B3系统难以攻破,为非常敏感或秘密的数据提供了安全保护。经过强化的UNIX或WindowsNT可以达到B级安全,金融行业的计算机系统通常要求达到B2级安全。
类别C 自主性保护
分为自主安全保护C1和受控访问保护C2,C1基于用户和组来实现访问控制,保护功能较弱。C2的安全性强于C1,用户必须被单独标识后才能获得访问客体的权限,C2系统还必须实施介质清除措施。普通的UNIX和WindowsNT系统属于C级。
类别D 最小化保护
此外:红皮书TNI=可信网络解释和绿皮书DoDPMG=国防部密码管理指导原则也是彩虹系列中比较重要的。像DOS和Windows95,98一类的系统属于D级。
ITSEC(通用准则=Common Criteria)
是欧洲创建的安全评估标准,不只关注私密性,同时也关注完整性和可用性。ITSEC也不依赖TCB的概念,在系统变化后不要求重新评估,只需做维护性的工作。
ITSEC的级别从E0到E6,与TCSEC的七个级别对应。
CC的评估级别从EAL1到EAL7共7级,与TCSEC的级别相对应。
认证和鉴定
1,认证(Certification)对IT系统的技术和非技术安全特性以及其他防护措施的综合评估。
2,鉴定(Accreditation)将系统的安全能力与组织机构的需求进行比较,如果达到要求,系统就通过了鉴定。
3,鉴定分为系统及,场所级和类型级。
常见的缺陷与安全问题
1,隐蔽通道(Convert Channel)违反,绕过或回避安全策略而不被发现的方法。包括时间隐蔽通道和存储隐蔽通道两种。
2,基于设计或编码缺陷的攻击和安全问题
分为无意的和有意的两种,有意的就是后门(Back Door)。
需要注意以下几种情况下的安全问题:
* 初始化和失败状态 通过可信恢复(Trusted Recovery)解决。
* 输入和参数检查 可应对缓冲区溢出(Buffer Overflow)一类的问题。
* 维护挂接和特权程序Maintenance Hook和Back Door不应该存在于正式发布的产品之中。
* 增量攻击 缓慢的,渐近的攻击,不易发现,包括数据欺骗(Data Diddling)(一次只篡改一小部分数据)和salami攻击(一次只窃取一小部分资产)。
3,编程 程序设计人员和分析测试人员要有足够的安全知识。
4,计时,状态改变和通信中断Time of Check是主体检查客体状态的时间,Time of Use是主体访问客体的时间,两者之间的时间差可能被利用。例如:数据在身份被验证后和被读取之前被替换。
5,电磁辐射(Electromagnetic,EM)可采用TEMPEST技术来防范(法拉弟笼,白噪声等)。
【本单元结束】
本文出自 “西蒙[爱生活,爱学习]” 博客
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻