《計(jì)算機(jī)系統(tǒng)安全》課件第2章

第2章計(jì)算機(jī)安全策略2.1系統(tǒng)的安全需求及安全策略的定義2.2安全策略的分類2.3安全策略的形式化描述2.4安全策略的選擇2.5小結(jié)習(xí)題

2.1系統(tǒng)的安全需求及安全策略的定義

用戶對(duì)計(jì)算機(jī)信息系統(tǒng)的安全需求基于以下幾個(gè)方面：

(1)機(jī)密性要求(confidentiality)：防止信息泄露給未授權(quán)的用戶。

(2)完整性要求(integrity)：防止未授權(quán)用戶對(duì)信息的修改。(3)可記賬性(accountability)：防止用戶對(duì)訪問過某信息或執(zhí)行過某一操作予以否認(rèn)。

(4)可用性(availability)：保證授權(quán)用戶對(duì)系統(tǒng)信息的可訪問性。2.1.1信息的機(jī)密性要求信息的機(jī)密性要求是為了防止信息泄露給未授權(quán)的用戶。一般來說，系統(tǒng)中的某些信息是非常重要的，如軍事上的核武器的數(shù)據(jù)、法院將要強(qiáng)制執(zhí)行的行動(dòng)時(shí)間和對(duì)象、公司的財(cái)務(wù)信息以及個(gè)人用戶的銀行信用卡賬號(hào)等。2.1.2信息的完整性要求信息完整性要求是為了維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止資源被不正確、不適當(dāng)?shù)男薷?例如入侵者在其銀行賬戶內(nèi)非法地修改其存款數(shù)額)；或是為了維護(hù)系統(tǒng)不同部分的一致性(例如復(fù)式簿記)。完整性要求的主要目的是防止在涉及到記賬或?qū)徲?jì)的事件中有“舞弊”行為的發(fā)生。2.1.3信息的可記賬性要求在實(shí)際系統(tǒng)中，用戶的任何操作都從某一方面反映出該用戶的操作意圖(特別是對(duì)系統(tǒng)中敏感文件的操作)；或者由于用戶操作的錯(cuò)誤可能導(dǎo)致系統(tǒng)的紊亂或數(shù)據(jù)的丟失，或者系統(tǒng)本身設(shè)計(jì)的缺陷導(dǎo)致黑客對(duì)系統(tǒng)的攻擊等。2.1.4信息的可用性要求可用性是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的用戶對(duì)系統(tǒng)信息的可訪問性。這在一些大型服務(wù)企業(yè)中顯得尤其重要。2.2安全策略的分類2.2.1訪問控制相關(guān)因素及其策略

1.訪問控制相關(guān)因素一般來說，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問控制策略相關(guān)的因素有三大類：主體(用戶)、客體(文件、目錄、數(shù)據(jù)庫等)以及相應(yīng)的可用作訪問控制的主、客體屬性。1)主體所謂主體，就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程。而對(duì)于系統(tǒng)內(nèi)的用戶來說，一般可分為如下幾類：

(1)普通用戶(user)：一個(gè)獲得授權(quán)可以訪問系統(tǒng)資源的自然人。(2)信息的擁有者(owner)：是擁有對(duì)此信息的完全處理權(quán)限的用戶，這些權(quán)限包括讀、寫、修理和刪除該信息的權(quán)限以及他可以授權(quán)其他用戶對(duì)其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。

(3)系統(tǒng)管理員(systemadministrator)：為使系統(tǒng)能進(jìn)行正常運(yùn)轉(zhuǎn)，而對(duì)系統(tǒng)的運(yùn)行進(jìn)行管理的用戶。2)客體同樣，所謂客體，就是指在計(jì)算機(jī)系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者?？偟膩碚f，系統(tǒng)內(nèi)的客體也可以分為三大類：

(1)一般客體(generalobject)：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實(shí)體，如文件、目錄等。(2)設(shè)備客體(deviceobject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等。

(3)特殊客體(specialobject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程行為的承擔(dān)者，那么這類進(jìn)程也屬于客體的一部分。3)主、客體屬性另外，信息系統(tǒng)的訪問控制策略除了涉及到主、客體之外，還包括以下幾個(gè)因素：

(1)將要訪問該信息的用戶的屬性，即主體的屬性(例如用戶的ID號(hào)或許可級(jí)別等)。

(2)將要被訪問的信息的屬性，即客體的屬性(例如信息的安全性級(jí)別、信息來源等)。

(3)系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個(gè)時(shí)候、系統(tǒng)狀態(tài)等)。(1)主體屬性(用戶特征)。(2)客體屬性(客體特征)。(3)外部狀況。(4)數(shù)據(jù)內(nèi)容/上下文環(huán)境。(5)其它屬性。2.訪問控制策略

1)自主訪問控制策略自主訪問控制策略(discretionaryaccesscontrolpolicy)之所以被稱為"自主的"，是因?yàn)樗试S系統(tǒng)中信息的擁有者按照自己的意愿去制定誰可以以何種訪問模式去訪問該客體。2)強(qiáng)制訪問控制策略在強(qiáng)制訪問控制(mandatoryaccesscontrolpolicy)機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶或主體根據(jù)他對(duì)敏感性客體的訪問許可級(jí)別被賦予一個(gè)訪問標(biāo)簽(accesslabel)；同樣地，系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一敏感性標(biāo)簽(sensitivitylabel)，以反映該信息的敏感性級(jí)別。2.2.2訪問支持策略

1.標(biāo)識(shí)與鑒別

TCSEC的標(biāo)識(shí)與鑒別策略要求以一個(gè)身份來標(biāo)識(shí)用戶，并且此身份必須經(jīng)過系統(tǒng)的認(rèn)證與鑒別。用戶在執(zhí)行任何由系統(tǒng)可信計(jì)算基(TCB)提供的操作前必須首先經(jīng)過身份認(rèn)證。

在大多數(shù)的情況下，這一過程是在用戶登錄系統(tǒng)時(shí)完成的；同時(shí)，系統(tǒng)可信計(jì)算基會(huì)保留用戶相應(yīng)的認(rèn)證信息并以此來驗(yàn)證用戶的身份。一般說來，用來作為身份認(rèn)證的信息主要有以下三類：

·“用戶所知道的信息”；

·“用戶所擁有的信息”；

·“用戶是誰”。

如在美國(guó)國(guó)防部密碼管理指南中，就提供了一套很好的基于口令的用戶認(rèn)證機(jī)制，它包括：

(1)安全管理職責(zé)：初始口令的分配及對(duì)口令變更的認(rèn)證等。

(2)用戶職責(zé)：安全意識(shí)、經(jīng)常改變并記住口令。

(3)技術(shù)因素：口令的存儲(chǔ)、傳輸和分發(fā)，口令嘗試的次數(shù)的審計(jì)，口令的長(zhǎng)度及被猜出的可能性。2.可記賬性

TCSEC的可記賬性策略(Accountability)要求任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下來，系統(tǒng)可信計(jì)算基TCB必須擁有將用戶的ID號(hào)與它被跟蹤、審計(jì)下來的行為聯(lián)系起來的能力。

在TCSEC中規(guī)定，一個(gè)TCSEC審計(jì)系統(tǒng)應(yīng)能夠記錄以下事件：

(1)和標(biāo)識(shí)與鑒別機(jī)制相關(guān)的事件。

(2)將客體導(dǎo)入用戶地址空間的操作，如文件的打開操作，程序的啟動(dòng)等。

(3)對(duì)客體的刪除。

(4)由系統(tǒng)管理員(systemadministrator)和系統(tǒng)安全管理員(systemsecurityofficer)所執(zhí)行的操作以及其他與安全相關(guān)的事件等。2.3安全策略的形式化描述

一個(gè)安全策略把信息系統(tǒng)所有可能的狀態(tài)劃分為授權(quán)的和非授權(quán)的。符合安全策略的是授權(quán)的，否則是非授權(quán)的?？梢杂脿顟B(tài)和狀態(tài)轉(zhuǎn)換的概念把安全策略形式化?！纠?-1】管理由兩個(gè)通信進(jìn)程共享的消息緩沖區(qū)的簡(jiǎn)單策略。一個(gè)消息緩沖區(qū)只能由兩個(gè)通信進(jìn)程共享，其中一個(gè)進(jìn)程只能寫入緩沖區(qū)，而另一個(gè)只能從緩沖區(qū)讀出?？梢孕问交枋鋈缦拢骸耙粋€(gè)狀態(tài)Q=(S，O，A)是授權(quán)的，當(dāng)且僅當(dāng)對(duì)每一緩沖區(qū)b∈O，恰好存在一個(gè)進(jìn)程p∈s，使得w∈A［p，b］，并且恰好存在一個(gè)進(jìn)程q且q≠p，使得r∈A［q，

b］。”

【例2-2】“主體能夠獲取對(duì)文件的訪問權(quán)，除非文件的所有者已明確地給該主體授權(quán)”這一策略可以描述如下:“設(shè)Q=(S，O，A)是一個(gè)授權(quán)狀態(tài)，使得主體p擁有文件f，即own∈A［p，f］，但對(duì)主體q和權(quán)利r，r

A［q，f］。設(shè)Q′=(S′，O′，A′)是一個(gè)狀態(tài)，使得r∈A′［q，f］并且Q

Q′，那么Q′是授權(quán)的當(dāng)且僅當(dāng)c=confer-read(p，q，f)?！痹谠撁枋鲋?，符號(hào)“”表示使用命令c后，從一個(gè)狀態(tài)轉(zhuǎn)換到另一個(gè)狀態(tài)。命令c表示p授予q讀f的權(quán)利。如果命令c符合安全策略的話，則稱c是安全特性保持的。事實(shí)上，一個(gè)狀態(tài)是否是授權(quán)的，依賴于前面的狀態(tài)和導(dǎo)致狀態(tài)轉(zhuǎn)換的命令。一般來說，若Q是授權(quán)的，c是安全保持的，則Q′是授權(quán)的當(dāng)且僅當(dāng)Q

Q′。為了獲得簡(jiǎn)潔與精確的形式描述，在大多數(shù)情況下選用比較簡(jiǎn)單的安全策略是可取的。簡(jiǎn)單的策略既易于正確地陳述，也能夠得到低層機(jī)制的良好支持。2.4安全策略的選擇

理想的安全系統(tǒng)是能夠同時(shí)保持信息的機(jī)密性、完整性、可記賬性和可用性的，但是實(shí)際上不可能，也根本沒必要做到信息的絕對(duì)安全。對(duì)于大多數(shù)用戶和組織來說，制定一個(gè)安全性能夠抵抗所有威脅的安全策略也許是不必要的。2.5小結(jié)

本章，我們針對(duì)信息系統(tǒng)對(duì)安全性的不同要求，給出了信息系統(tǒng)安全策略的定義，并在此基礎(chǔ)上，將安全策略分為了兩大類：訪問控制策略和訪問支持策略。

又將訪問控制策略分為兩個(gè)不相交的子類別：自主訪問控制策略和非自主訪問控制策略，即強(qiáng)制訪問控制策略，并且對(duì)訪問支持策略的標(biāo)識(shí)與鑒別策略與可記賬性策略進(jìn)行了較為詳細(xì)的闡述。此外，我們還使用狀態(tài)和狀態(tài)轉(zhuǎn)換的概念給出了安全策略形式化的方法。最后，我們給出了如何基于系統(tǒng)的設(shè)計(jì)目的來選擇相應(yīng)的安全策略，并進(jìn)一步指出訪問控制是設(shè)計(jì)操作系統(tǒng)的最主要的考慮因素。習(xí)題1.什么是系統(tǒng)安全策略？

2.于一個(gè)計(jì)算機(jī)信息系統(tǒng)而言，其安全策略的制定基于哪幾個(gè)方面？