一、使用安全設(shè)計(jì)原則實(shí)施和管理工程過程

1、客體和主體

• 主體：發(fā)出訪問資源請求的用戶或進(jìn)程

• 客體：用戶或進(jìn)程想要訪問的資源

2、封閉系統(tǒng)和開放系統(tǒng)

• 封閉系統(tǒng)：windows

• 開放系統(tǒng)：linux

3、用于確保保密性、完整性和可用性的技術(shù)

• confinement限制：沙箱，軟件設(shè)計(jì)使用“進(jìn)程限制”來約束程序的行為。

• bound界限：用戶態(tài)、內(nèi)核態(tài)，在系統(tǒng)上運(yùn)行的每個(gè)進(jìn)程都有授權(quán)級別。

• isolation隔離：進(jìn)程隔離可確保隔離狀態(tài)進(jìn)程的任何行為僅影響與其關(guān)聯(lián)的內(nèi)存資源。

4、控制

為確保系統(tǒng)的安全性，主體只允許訪問經(jīng)過授權(quán)的客體。

• MAC 強(qiáng)制訪問控制：是否許可一個(gè)訪問，由主體和客體的靜態(tài)屬性來決定。每個(gè)主體都擁有屬性，用來定義其訪問資源的授權(quán)。每個(gè)客體擁有屬性，用來定義其分類。

• DAC 自主訪問控制：允許主體根據(jù)需要定義要訪問的客體列表，可以允許主體添加對客體的訪問規(guī)則。

5、信任和保證

• 可信系統(tǒng)：所有保護(hù)機(jī)制協(xié)同工作的系統(tǒng)，為許多類型的用戶處理敏感數(shù)據(jù)，同時(shí)維護(hù)穩(wěn)定和安全的計(jì)算環(huán)境。

• 保證：為了滿足安全需求的可信程度，保證需要持續(xù)性的維護(hù)、更新和重新驗(yàn)證。

二、理解安全模型的基本概念

1、可信計(jì)算基

• TCSEC 可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)，是美國國防部的一個(gè)較早的標(biāo)準(zhǔn)，俗稱“橘皮書”

• TCB 可信計(jì)算基，軟硬件的組合，它們協(xié)同工作構(gòu)成安全策略的可信計(jì)算基礎(chǔ)

• 系統(tǒng)的安全邊界是一個(gè)假想的邊界，將TCB與系統(tǒng)的其余部分分開

• 參考監(jiān)視器：TCB中負(fù)責(zé)在授權(quán)訪問請求之前驗(yàn)證資源的部分

2、狀態(tài)機(jī)模型

• 狀態(tài)機(jī)模型描述一個(gè)系統(tǒng)，它無論處于什么狀態(tài)總是安全的

• 有限狀態(tài)機(jī)FSM，F(xiàn)SM將外部輸入和內(nèi)部機(jī)器狀態(tài)相結(jié)合，為各種復(fù)雜系統(tǒng)建模，包括解析器、解碼器、解釋器

• 給定一個(gè)輸入和一個(gè)狀態(tài)，F(xiàn)SM會轉(zhuǎn)換到另一個(gè)狀態(tài)并可能產(chǎn)生一個(gè)輸出

• 如果一個(gè)狀態(tài)的所有方面都符合安全策略的要求，那么該狀態(tài)就是安全的

• 安全狀態(tài)機(jī)模型始終引導(dǎo)進(jìn)入安全狀態(tài)，在所有轉(zhuǎn)換中保持安全狀態(tài)，并允許主體僅以符合安全策略的方式訪問資源

3、信息流模型

• 信息流模型是一種狀態(tài)機(jī)模型

• Bell-Lapadula和Biba模型都是信息流模型

• Bell-Lapadula模型關(guān)注的是防止信息從高流向低

• Biba模型關(guān)注的是防止信息從低流向高

• 信息流模型旨在防止未經(jīng)授權(quán)、不安全或受限的信息流，通常在不同的安全級別之間。信息流模型允許所有已授權(quán)信息流，無論是在相同的分類級別內(nèi)，還是分類級別之間

4、非干擾模型

• 非干擾模型大致基于信息流模型

• 非干擾模型并非關(guān)注信息流，而是關(guān)注較高安全級別的主體的動作，如何影響系統(tǒng)狀態(tài)或較低級別的主體的動作

• 非干擾模型關(guān)注的是防止處在高安全分類水平的主體行為，影響處于低安全分類水平的系統(tǒng)狀態(tài)

• 級聯(lián)：一個(gè)系統(tǒng)的輸入來自另一個(gè)系統(tǒng)的輸出

• 反饋：系統(tǒng)A首先為系統(tǒng)B提供輸入，然后系統(tǒng)B向系統(tǒng)A提供輸入

• 連接：一個(gè)系統(tǒng)將輸入發(fā)送給另一個(gè)系統(tǒng)，但也將系統(tǒng)輸入發(fā)送到其他外部實(shí)體

5、Take-Grant模型

• Take-Grant（獲取-授予）模型使用有向圖來規(guī)定如何將權(quán)限從一個(gè)主體傳遞到另一個(gè)主體

• 具有“授予”權(quán)限的主體可將他們擁有的任何權(quán)限授予另一個(gè)主體或客體

• 具有“獲取”權(quán)限的主體可從另一個(gè)主體獲取權(quán)限

• Take-Grant模型的關(guān)鍵是使用這些規(guī)則可以讓你了解系統(tǒng)中的權(quán)限何時(shí)可能更改或泄露的位置

6、訪問控制矩陣

• 訪問控制矩陣是主體和客體的列表，指示每個(gè)主體對客體執(zhí)行的動作或功能

• 矩陣的每一列是ACL訪問控制列表（與客體綁定），每一行是能力列表（與主體關(guān)聯(lián)）

• 要刪除一列ACL訪問控制列表，需要對每個(gè)主體的訪問權(quán)限進(jìn)行更改

• 系統(tǒng)使用訪問控制矩陣來快速確定主體對客體的請求是否被授權(quán)

7、Bell-LaPadula模型

• Bell-Lapadula模型建立在狀態(tài)機(jī)概念和信息流模型之上，還采用了強(qiáng)制訪問控制和格子概念

• 格子層級是組織安全策略使用的分類級別

• 狀態(tài)機(jī)支持多個(gè)狀態(tài)，可明確在任何兩個(gè)狀態(tài)之間轉(zhuǎn)換

• Bell-Lapadula模型可防止機(jī)密信息泄露，或轉(zhuǎn)移到較低的安全許可級別

• Bell-Lapadula模型專注于維護(hù)客體的保密性

• 簡單安全屬性：規(guī)定主體不能讀取較高級別的客體（不準(zhǔn)上讀）

• *安全屬性：規(guī)定主體不能將信息寫入較低級別的客體（不準(zhǔn)下寫）

• 自由安全屬性：規(guī)定系統(tǒng)使用訪問矩陣執(zhí)行自主訪問控制

8、Biba模型

• Biba模型解決的是完整性問題

• Biba模型也建立在狀態(tài)機(jī)概念上，基于信息流，是一個(gè)多級別模型

• Biba模型和Bell-Lapadula模型方向相反

• 簡單完整性屬性：規(guī)定主體不能讀取較低級別的客體（不準(zhǔn)下毒）

• 完整性屬性：規(guī)定主體不能修改更高級別的客體（不準(zhǔn)上寫，怕寫臟了）

• 解決了完整性，但是沒有解決保密性和可用性，不能阻止隱蔽隧道

9、Clark-Wilson模型

• 和Biba模型一樣，解決完整性問題

• Clark-Wilson模型使用安全標(biāo)簽授予客體的訪問權(quán)限，但僅限于通過轉(zhuǎn)換過程和受限制的接口模型，受限制的接口模型使用基于分類的限制來提供特定主體的授權(quán)信息和功能

• Clark-Wilson模型不需要使用格子結(jié)構(gòu)，它使用被稱為三元組的主體、程序、客體

• 主體無法直接訪問客體，客體只能通過程序訪問

• 標(biāo)準(zhǔn)格式的事務(wù)采用程序的形式，這有效的限制了主體的能力，俗稱約束接口

• 受約束數(shù)據(jù)項(xiàng)CDI：是完整性受到安全模型保護(hù)的任何數(shù)據(jù)項(xiàng)

• 無約束數(shù)據(jù)項(xiàng)UDI：是不受安全模型控制的任何數(shù)據(jù)項(xiàng)（輸入、輸出、未驗(yàn)證的數(shù)據(jù)）

• 完整性驗(yàn)證過程IVP：是掃描數(shù)據(jù)項(xiàng)并確認(rèn)其完整性的過程

• 轉(zhuǎn)換過程TP：是唯一允許修改CDI的過程

10、Brewer and Nash模型

• 為了允許訪問控制可以基于用戶先前的活動，而動態(tài)改變

• 該模型適用于單個(gè)集成的數(shù)據(jù)庫，它試圖創(chuàng)建對利益沖突概念敏感的安全域

• 該模型創(chuàng)建一類數(shù)據(jù)，這個(gè)數(shù)據(jù)類定義了哪些安全域存在潛在的沖突，對于能夠訪問某個(gè)屬于特定沖突類的安全域的任何主體，阻止他們訪問屬于相同沖突類的其他任何安全域

11、Goguen-Meseguer模型

• Goguen-Meseguer模型是一個(gè)不出名的完整性模型，沒有Biba有名

• Goguen-Meseguer模型是非干涉模型的代表

• 主體僅允許對預(yù)定的客體執(zhí)行預(yù)定的動作

• 一個(gè)主體域的成員不能干擾另一個(gè)主體域的成員

12、Sutherland模型

• Sutherland模型是一個(gè)完整性模型

• 例子：防止隱蔽隧道被用來影響過程或活動的結(jié)果

13、Graham-Denning模型

• Graham-Denning模型專注于主體和客體的安全創(chuàng)建和刪除

• 用于定義安全操作的邊界（創(chuàng)建、刪除、讀取、授權(quán)、傳輸）

三、基于系統(tǒng)安全需求選擇控制措施

1、彩虹系列

• TCSEC 可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)

• ITSEC 歐洲信息技術(shù)安全評估標(biāo)準(zhǔn)

• CC 通用準(zhǔn)則

• 由于這些出版物通過其封面的顏色來識別，因此它們統(tǒng)稱為彩虹系列

2、TCSEC分類和所需功能

• TCSEC 將系統(tǒng)提供的保密性保護(hù)等級分為四大類

• 類別A：已驗(yàn)證保護(hù)，最高級別的安全性

• 類別B：強(qiáng)制保護(hù)（B1標(biāo)簽化安全、B2結(jié)構(gòu)化安全、B3安全域）

• 類別C：自主保護(hù)（C1自主保護(hù)、C2受控訪問保護(hù)）

• 類別D：最小保護(hù)

• ITSEC有2個(gè)尺度來評估功能和保證

• F-D對應(yīng)D

• F-C2對應(yīng)C2（F2）

• F-C1對應(yīng)C1（F1）

• F-B3對應(yīng)B3（F5）

• F-B2對應(yīng)B2（F4）

• F-B1對應(yīng)B1（F3）

• F-A1對應(yīng)A1

• TCSEC幾乎只關(guān)注于保密性，而ITSEC除了保密性外，還解決了缺少完整性和可用性的問題

• TCSEC要求任何已更改的系統(tǒng)都要重新評估，ITSEC不需要進(jìn)行新的正式評估

3、通用準(zhǔn)則

CC國際通用準(zhǔn)則過程基于兩個(gè)要素：保護(hù)范疇和安全目標(biāo)

• 保護(hù)范疇：為要保護(hù)的產(chǎn)品指定安全要求和保護(hù)，這些要求和保護(hù)被認(rèn)為是客戶想要的安全

• 安全目標(biāo)：指定了供應(yīng)商在評估的產(chǎn)品內(nèi)構(gòu)建的安全申明

通用準(zhǔn)則結(jié)構(gòu)分為三部分

• “簡介“和”通用模型“描述了用于評估IT安全性的一般概念和基礎(chǔ)模型，以及指定評估目標(biāo)涉及的內(nèi)容

• “安全功能要求“描述安全審計(jì)、通信安全、安全性密碼學(xué)支持、用戶數(shù)據(jù)保護(hù)、身份標(biāo)識、身份驗(yàn)證、安全管理、安全功能、資源利用、系統(tǒng)訪問和可信路徑等方面的功能要求

• “安全保障“涵蓋在配置管理、交付和運(yùn)營、開發(fā)、指導(dǎo)文檔和生命周期支持以及保證測試和漏洞評估等方面的保證要求

CC通用準(zhǔn)則保證級別

• EAL1（D）：功能測試，適用于對正確操作有一定可信度要求，但安全威脅不嚴(yán)重的情況

• EAL2（C1）:結(jié)構(gòu)測試，適用于交付設(shè)計(jì)信息和測試結(jié)果符合良好商業(yè)慣例的情況

• EAL3（C2）:系統(tǒng)測試并檢測，適用于安全工程從設(shè)計(jì)階段開始并且在后續(xù)過程中沒有實(shí)質(zhì)性更改的情況

• EAL4（B1）:系統(tǒng)的設(shè)計(jì)、測試和評審，適用于使用了嚴(yán)格、積極的安全工程和良好的商業(yè)開發(fā)實(shí)踐的情況

• EAL5（B2）:半正式設(shè)計(jì)和測試，使用嚴(yán)格的安全工程和商業(yè)開發(fā)實(shí)踐，來進(jìn)行半正式測試

• EAL6（B3）:半正式驗(yàn)證、設(shè)計(jì)和測試，在設(shè)計(jì)、開發(fā)和測試的所有階段使用直接、嚴(yán)格的安全工程技術(shù)，來生產(chǎn)優(yōu)質(zhì)的產(chǎn)品

• EAL7（A1）:正式驗(yàn)證、設(shè)計(jì)和測試，僅用于最高風(fēng)險(xiǎn)情況或涉及高價(jià)值資產(chǎn)的情況

4、認(rèn)證和鑒定

認(rèn)證（certification）

• 認(rèn)證是對IT系統(tǒng)以及為支持鑒定過程而指定的其他保護(hù)措施，技術(shù)和非技術(shù)安全功能的綜合評估，從而確定設(shè)計(jì)和實(shí)施滿足安全要求的程度

• 系統(tǒng)認(rèn)證是對計(jì)算機(jī)系統(tǒng)各個(gè)部分的技術(shù)評估，以評估其與安全標(biāo)準(zhǔn)的一致性

• 首先選擇評估標(biāo)準(zhǔn)，然后將分析每個(gè)系統(tǒng)組件以確定它是否滿足所期望的安全目標(biāo)

• 評估整個(gè)系統(tǒng)后，可對結(jié)果進(jìn)行評估，以確定系統(tǒng)在其當(dāng)前環(huán)境中支持的安全級別

• 評估完所有因素，并切丁系統(tǒng)的安全級別后，即可完成認(rèn)證階段

鑒定（Accreditation）

• 鑒定是指定審批機(jī)構(gòu)正式聲明：IT系統(tǒng)被批準(zhǔn)在特定安全模式下，使用規(guī)定的一套保障措施在可接受的風(fēng)險(xiǎn)水平下運(yùn)行

• 一旦鑒定完成，管理層就可以正式認(rèn)可評估系統(tǒng)的整體安全性能

• 鑒定通常由第三方測試服務(wù)機(jī)構(gòu)執(zhí)行，并且結(jié)果對于每個(gè)人都是可信的

• 在鑒定階段，經(jīng)常要求更改配置或增加控件來解決安全問題，無論何時(shí)更改配置，都必須重新驗(yàn)證新配置

認(rèn)證和鑒定系統(tǒng)

• 階段1:定義，涉及指派適當(dāng)?shù)捻?xiàng)目人員、任務(wù)需求的文檔，以及注冊、協(xié)商和創(chuàng)建系統(tǒng)安全授權(quán)協(xié)議，用于指導(dǎo)整個(gè)認(rèn)證和鑒定過程

• 階段2:驗(yàn)證，包括系統(tǒng)安全授權(quán)協(xié)議的細(xì)化、系統(tǒng)開發(fā)活動和認(rèn)證分析

• 階段3:確認(rèn)，包括進(jìn)一步細(xì)化系統(tǒng)安全授權(quán)協(xié)議、對集成系統(tǒng)進(jìn)行認(rèn)證評估、向?qū)徟鷻C(jī)構(gòu)提出建議以及審批機(jī)構(gòu)的鑒定決議

• 階段4:鑒定后，包括系統(tǒng)安全授權(quán)協(xié)議的維護(hù)、系統(tǒng)操作、變更管理和合規(guī)性驗(yàn)證

四、理解系統(tǒng)系統(tǒng)的安全功能

1、內(nèi)存保護(hù)

• 內(nèi)存保護(hù)是核心安全組件，是操作系統(tǒng)必備組件

• 內(nèi)存保護(hù)用于防止活動的進(jìn)程與不是專門分配給它的內(nèi)存區(qū)域進(jìn)行交互

2、虛擬化

• 虛擬化技術(shù)用于在單一主機(jī)的內(nèi)存中運(yùn)行一個(gè)或多個(gè)操作系統(tǒng)

• 這種機(jī)制允許任何操作系統(tǒng)在任何硬件上虛擬運(yùn)行

• vmware、virtualbox

• 虛擬化好處多

3、可信平臺模塊

• 可信平臺模塊TPM既是主板上的加密處理器芯片的規(guī)范，也是實(shí)現(xiàn)此規(guī)范的通用名稱

• TPM芯片用于存儲和處理加密密鑰，用于滿足基于硬件支持的加密系統(tǒng)

4、接口

• 通過在應(yīng)用程序中實(shí)現(xiàn)受約束的接口，以限制用戶根據(jù)其權(quán)限執(zhí)行操作或查看內(nèi)容

• 應(yīng)用程序使用不同的方法約束接口，一種常見的方法是用戶無權(quán)使用該功能時(shí)隱藏該功能

• 受約束接口的目的是限制已授權(quán)和未授權(quán)用戶的操作

• 這種接口的使用是CW安全模型的一種實(shí)際的實(shí)現(xiàn)

5、容錯

• 容錯：系統(tǒng)遭受故障后仍然能繼續(xù)運(yùn)行的能力

• 容錯通過添加冗余組件實(shí)現(xiàn)，容錯是安全設(shè)計(jì)的基本要素

本篇完～