《系统架构设计师教程（第2版）》第18章-安全架构设计理论与实践-02-安全模型

文章目录

1. 安全模型概述

1.1 信息安全的目标

• 目标：控制和管理主体对客体的访问
• 具体实现： - 保护信息系统的可用性- 保护网络系统服务的连续性- 防范资源的非法访问及非授权访问- 防范入侵者的恶意攻击与破坏- 保护信息通过网上传输过程中的机密性、完整性- 防范病毒的侵害- 实现安全管理

1.2 安全模型

• 基本模型： - HRU模型： - Harrison-Ruzzo-Ullman(三个科学家的名字)- 访问控制矩阵模型 - 行：代表用户（或主体）- 列：代表资源（或对象）- 矩阵中的每个条目：表示某个用户对某个资源的访问权限
• 机密性模型- 访问控制模型 - MAC模型：强制访问控制模型 (Mandatory Access Control) - BLP模型（Bell-LaPadula）- Chinese Wall- DAC模型：自主访问控制模型 (Discretionary Access Control)- RBAC角色：基于角色的访问控制模型 (Role-Based Access Control)- 信息流模型
• 完整性模型- Biba模型- Clark-Wilson

2. 状态机模型

2.1 概念

• 概念 - State Machine Model- 用状态语言将安全系统描述成抽象的状态机- 用状态变量表述系统的状态- 用转换规则描述变量变化的过程
• 状态 - 系统在特定时刻的一个快照- 如果它的所有面满足安全策略，则称此状态是安全的
• 安全状态模型 - 如果所有行为都在系统中允许，并且使系统处于安全状态，则断言系统实现了一个安全状态模型- 即，安全状态模型总是从一个安全状态启动，并且在所有迁移中保持安全状态

2.2 状态机模型工作步骤

• 状态变量的默认值必须安全
• 用户试图使用变量的默认值；
• 系统对主体进行身份验证；
• 系统确保变更不会使系统置于不安全状态
• 系统允许变量值变更，发生状态改变
• 再重复执行(1)~(5)步，会导致另一次状态变化

3. Bell-LaPadula模型

读音：/bɛl læˈpædʒələ/

3.1 概念

• 概念： - David Bell和 Len LaPadula于1973提出- 世界上第一个正式的安全模型- 属于强制访问控制模型- 是多级安全系统（以敏感度划分）
• 包含的对象： - 主体- 客体- 访问操作：读、写、读/写- 安全级别

3.2 模型安全规则

• 简单安全规则- Simple Security Rule- 安全级别低的主体不能读安全级别高的客体 - 即，No Read Up
• 星属性安全规则- Star Security Property- 安全级别高的主体不能往低级别的客体写 - No Write Down
• 强星属性安全规则- Strong Star Security Property- 不允许对另一级别进行读写
• 自主安全规则- Discretionary Security Property- 使用访问控制矩阵来定义说明自由存取控制

它的整体思想是限制信息泄露。因此它会严格限制：高级别向低级别写数据；低级别读高级别的数据。而低级别向高级别写数据，并不会造成信息泄露。

3.3 示例

• “机密”访问“绝密”：可写不可读 (No Read Up)
• “机密”访问“机密”：可读写
• “机密”访问“秘密”：可读不可写 (No Write Down)

3. Biba模型

3.1 概念

• 概念： - 建立在基于层化的完整性级别上- 防止数据从低完整性级别流向高完整性级别
• 三个目标： - 保护数据不被未授权用户更改- 保护数据不被授权用户越权修改- 维持数据内部和外部的一致性
• 威胁分类 - 内部威胁：子系统的某个组件是恶意或不正确- 外部威胁：一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统

3.2 模型安全规则

• 简单完整性规则 - Simple Integrity Axiom- 完整性级别高的主体不能从完整性级别低的客体读取数据
• 星完整性规则 - *-integrity Axiom- 完整性级别低的主体不能对完整性级别高的客体写数据
• 调用属性规则 - Invocation Property- 表示一个完整性级别低的主体不能从级别高的客体调用程序或服务

3.3 示例

• “中完整性”访问“高完整性”： - 可读不可写 (No Write Up)- 不能调用主体的任何程序和服务；
• “中完整性”访问“中完整性”： - 可读读可写；
• “中完整性”访问“低完整性”：可写不可读(No Read Down)

4. Clark-Wilson模型（CWM）

4.1 概述

• 概念- David Clark 和 David Wilson于1987年提出- 完整性模型- 实现了成型的事务处理机制
• 适用：银行系统中以保证数据完整性
• 将完整性目标、策略、机制融为一体的模型- 保证用户完整性：提出职责隔离 (Separation of Duty) 目标- 保证数据完整性：提出应用相关的完整性验证进程- 保证建立过程完整性：对于变换过程的应用相关验证

4.2 模型特征

• 采用 Subject/Program/Object三元素的组成方式> 即主体、程序、对象（客体）- Subject访问Object，必须通过Program
• 权限分离原则- 将要害功能分为有2个或多个Subject完成，防止已授权用户进行未授权的修改
• 要求具有审计能力 (Auditing)

4.3 示例

• 说明： - CDI：需要进行完整性保护的客体- UDI：不需要进行完整性保护的客体- IVP：完整性验证过程（Integrity Verification Procedure）：确认限制数据项处于有效状态- TP：转换过程 (Transformation Procedures)：将数据项从一种有效状态改变至另一种有效状态

4.4 User对TP的验证

• 目的：确保对CDI的T P是有效的
• 实现：授权 User，以完成T P的认证
• 防止User违规 - T P过程分为多个子过程，将每个子过程授权给不同的User- 并防止被授权的 User之间存在利益关系，以协同违规

5. Chinese Wall模 型

5.1 概述

• 概念 - 又称 Brew and Nash模型，由 Brewer和Nash 提出- 是应用于多边安全系统中的安全模型- 最初为银行设计
• 作用：通过行政规定和划分、内部监控、 IT系统等手段防止各部门之间出现有损客户利益的利益冲突事件

5.2 模型基本原理

• 安全策略的基础：客户访问的信息不会与当前他们可支配的信息产生冲突

• 行为： - 两个有竞争关系的公司：A和B- 一个银行家（客户经理）一旦选择了为A公司服务，则不能为B公司服务
• 原理： - 同时包括DAC 和MAC 的属性 - DAC：自主访问控制模型- MAC：强制访问控制模型（上边讲过）- 银行家可以选择为谁工作 (DAC)- 一旦选定，他就只能为该客户工作 (MAC)

5.3 安全规则

• 定理1 - 一个主体一旦访问过一个客体，则该主体只能访问位于同一公司数据集的客体或在不同利益组的客体。
• 定理2: - 在一个利益冲突组中，一个主体最多只能访问一个公司数据集。