返回
13-信息安全模型

13-信息安全模型

ID:33548195

大小:639.37 KB

页数:70页

时间:2019-02-27

13-信息安全模型_第1页
13-信息安全模型_第2页
13-信息安全模型_第3页
13-信息安全模型_第4页
13-信息安全模型_第5页
资源描述:

《13-信息安全模型》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全理论信息安全模型讲师:陈洪波中国信息安全产品测评认证中心信息安全模型OverView•什么是信息安全模型?•一个典型的例子:Bell-LaPadula模型•其它的典型例子–Biba–Clark-Wilson–ChineseWall–信息流模型信息安全模型1安全模型概念2访问控制模型3信息流模型4完整性模型5信息安全模型1安全模型概念安全模型用于精确地和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。分类1:访问控制模型,信息流模型。分类2:保密性要求,完整性,DoS,等现有的

2、“安全模型”本质上不是完整的“模型”:仅描述了安全要求(如:保密性),未给出实现要求的任何相关机制和方法。信息安全体系结构保密性可用性完整性鉴别认证访问控制管理审计安全模型安全目标:保密性,完整性,DoS,……控制目标:保障(TCB,ReferenceMonitor),安全政策(Policy),审计安全模型的形式化方法:——状态机,状态转换,不变量——模块化,抽象数据类型(面向对象)安全模型的特点•精确、无歧义•简单和抽象,容易理解•模型的一般的,只涉及安全性质,具有一定的平台独立性,不过多抑制系统的

3、功能或实现;形式化模型是对现实世界的高度抽象,可以设定具体应用目标,并可以利用工具来验证;形式化模型适用于对信息安全进行理论研究。安全模型目标•“在功能说明书的安全功能中提供额外保障,以增强TSP策略(TOE安全策略)。”(CC,ADV_SPM类目标).•对“TOE应增强的重要安全原则的一个抽象陈述”(ITSEC)及其分析安全模型作用设计阶段实现阶段检查阶段(Review)维护阶段安全模型抽象过程•Step1:确定外部界面需求(输入,输出,属性)•Step2:确定内部需求•Step3:设计策略执行的操

4、作规则•Step4:确定哪些是已知的•Step5:证明一致性和正确性•Step6:证明适当性概述BLPMAC强制ChineseWall访问控制DAC自主保密性RBAC信息流(非干扰性,非观察性)Biba完整性Clark-Wilsonthe“ChineseWall”Policyisamandatoryaccesscontrol(MAC)policyforstockmarket(股票市场)analysts.ThisorganizationalpolicyislegallybindingintheUnite

5、dKingdomstockexchange(股票交易).基本概念主体(Subject):访问操作中的主动实体客体(Object):访问操作中被动实体访问矩阵(AccessMatrix):以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。矩阵中第i行第j列的元素M记录着ij第i个主体S可以执行的对第j个客体O的访问方式ij,比如M等于{read,write}表示S可以对O进行读ijij和写访问。2访问控制模型2.1自主访问控制(DiscretionaryAc

6、cessControl--DAC)保密性与完整性木马程序2.2强制访问控制(MandatoryAccessControl--MAC)保密性隐通道2.3基于角色访问控制(RBAC)管理方式访问控制模型的基本组成提交访问请求提出访问请求发起者访问控制实施功能Present目标SubmitInitiatorAccessRequestAEFAccessRequestTarget请求决策 决策DecisionRequestDecision访问控制决策功能ADF@访问控制规定了主体对客体访问的限制,并在身份识别的

7、基础上,根据身份对提出资源访问请求加以控制。在访问控制中,客体是指资源,包括文件、设备、信号量等;主体是指对客体访问的活动资源,主体是访问的发起者,通常是指进程、程序或用户。访问控制的策略和机制{访问控制策略(AccessControlPolicy)访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。{访问控制机制(AccessControlMechanisms)是访问控制策略的软硬件低层实现。@访问控制机制与策略独立,可允许安全机制的重用@安全策略之间没有更好的说法

8、,只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制的一般策略访问控制自主强制访问控制访问控制基于角色访问控制2.1自主访问控制{自主访问控制针对访问资源的用户或者应用设置访问控制权限;根据主体的身份及允许访问的权限进行决策;自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。特点:根据主体的身份和授权来决定访问模式缺点:信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。