信息系統(tǒng)安全概論.docx

第一章定義1.2由一套應用軟件及支撐其運行的所有硬件和軟件構成的整體稱為一個信息系統(tǒng)。定義1.3如果信息系統(tǒng)A的某些功能需要由主機系統(tǒng)H實施，則稱信息系統(tǒng)A依賴主機系統(tǒng)H，或稱主機系統(tǒng)H承載信息系統(tǒng)A。 引理1.1承載任何一個信息系統(tǒng)所需要的主機系統(tǒng)數(shù)量是有限的。定義1.4如果信息系統(tǒng)A的某些功能需要由網絡設施D實施，則稱信息系統(tǒng)A依賴網絡設施D，或稱網絡設施D承載信息系統(tǒng)A。 定理1.1任何一個信息系統(tǒng)都只需要由有限數(shù)量的主機系統(tǒng)和有限數(shù)量的網絡設施承載。信息安全經典要素CIA：機密性是指防止私密的或機密的信息泄露給非授權的實體的屬性。完整性分為數(shù)據(jù)完整性和系統(tǒng)完整性，數(shù)據(jù)完整性指確保數(shù)據(jù)（包括軟件代碼）只能按照授權的指定方式進行修改的屬性，系統(tǒng)完整性指系統(tǒng)沒有受到未經授權的操控進而完好無損的執(zhí)行預定功能的屬性?？捎眯允侵复_保系統(tǒng)及時工作并向授權用戶提供所需服務的屬性。信息系統(tǒng)基本概念：安全策略是指規(guī)定一個組織為達到安全目標如何管理、保護和發(fā)布信息資源的法律、規(guī)章和條例的集合。安全策略是指為達到一組安全目標而設計的規(guī)則的集合。安全策略是指關于允許什么和禁止什么的規(guī)定。安全模型是指擬由系統(tǒng)實施的安全策略的形式化表示。安全模型是指用更加形式化的或數(shù)學化的術語對安全策略的重新表述。安全機制是指實現(xiàn)安全功能的邏輯或算法。安全機制是指在硬件和軟件中實現(xiàn)特定安全實施功能或安全相關功能的邏輯或算法。安全機制是指實施安全策略的方法、工具或規(guī)程。安全機制設計八大原則 經濟性原則 默認拒絕原則 完全仲裁原則 開放設計原則 特權分離原則 最小特權原則 最少公共機制原則 心理可接受原則第二章貝- 拉模型的構成貝- 拉模型的核心內容由簡單安全特性（ss- 特性）、星號安全特性（*-特性）、自主安全特性（ds-特性）和一個基本安全定理構成。(基本安全定理)如果系統(tǒng)狀態(tài)的每一次變化都滿足ss- 特性、*- 特性和ds-特性的要求，那么，在系統(tǒng)的整個狀態(tài)變化過程中，系統(tǒng)的安全性一定不會被破壞。畢巴模型 一個信息傳遞路徑是一個客體序列O1, O 2, , O n+1 和一個對應的主體序列S1, S 2, , S n ，其中，對于所有的i（1in3 ），有Si rO i 和S i wO i+1?！?寫” 操作的實施由下面的規(guī)則控制，“ 執(zhí)行” 操作的實施由下面的規(guī)則控制： 當且僅當i(O)i(S)時，主體S可以寫客體O。 當且僅當i(S 2 )i(S 1 )時，主體S 1可以執(zhí)行主體S2。！低水標模型讀規(guī)則設S是任意主體，O是任意客體，imin =min(i(S),i(O)，那么，不管完整性級別如何，S都可以讀O，但是，“ 讀”操作實施后，主體S的完整性級別被調整為imin。低水標模型的信息傳遞 在畢巴低水標模型的控制下，如果系統(tǒng)中存在一個從客體O1 到客體O n+1的信息傳遞路徑，那么，對于任意的n1，必有i(O n+1 )i(O 1 )。環(huán)模型讀規(guī)則 不管完整性級別如何，任何主體都可以讀任何客體。嚴格完整性讀規(guī)則 當且僅當i(S)i(O)時，主體S可以讀客體O?？死?威爾遜模型 概念：事務、良構事務、CDI（約束數(shù)據(jù)項）、 UDI（非約束數(shù)據(jù)項）、有效狀態(tài)（所有的CDI都滿足完整性策略要求）、 IVP（完整性驗證過程：驗證系統(tǒng)是否處于有效狀態(tài)的事務）、 TP（轉換過程：是系統(tǒng)從一個有效狀態(tài)轉換到另一個有效狀態(tài)的事務）、E規(guī)則（實施規(guī)則：系統(tǒng)實施的規(guī)則）、C規(guī)則（證明規(guī)則：證明系統(tǒng)實施的規(guī)則的有效性的規(guī)則）四條E規(guī)則、5條C規(guī)則模型基本框架：規(guī)則C1、 規(guī)則C2、 規(guī)則E1TP可以操作所有的CDI:對職責分離原則的支持: 規(guī)則E2、 規(guī)則C3只有表中的用戶才能執(zhí)行相關的TP對相應的CDI進行操作，用戶表示UserID，關系表格式如下：對身份認證的要求 E3 對審計的要求 C4對UDI的處理 C5 安全屬性維護 E4類型實施模型TE(域-進程（主體）、類型-文件)-強制訪問控制模型還存在一個域間作用表DIT（主體對主體的訪問權限二維表）權限：發(fā)信號、創(chuàng)建進程、殺死進程TE模型的不足 訪問控制權限的配置比較復雜 二維表結構無法反映系統(tǒng)的內在關系 控制策略的定義需要從零開始域類實施模型DTE DTEL語言 類型描述 類型賦值 域描述 初始域設定訪問權限 域對類型：r、w、x（執(zhí)行）、d（搜索） 域對域（執(zhí)行入口點程序的權限）：exec、 auto策略定義語言DTEL的域描述功能：定義DTE模型中的主體域、定義域的入口點、設定域對類型的訪問權限、域對其它域的訪問權限。策略定義語言初始域設定語句功能：設定操作系統(tǒng)中第一個進程的工作域。莫科爾樹模型適用范圍：設計一個算法，使得對于任意一個數(shù)據(jù)項Di（1in ），該算法能夠快速驗證該數(shù)據(jù)項的完整性，并且，占用較少的內存空間。第四章重要的身份認證技術： 基于口令的身份認證（口令猜測攻擊-字典攻擊） 質詢- 響應式身份認證（隨機消息計算返回結果） 基于生物特征的身份認證 基于位置的身份認證身份標識與認證 單個用戶：用戶名-內部身份標識（整數(shù)值-操作系統(tǒng)生成的） 用戶組： 組名-組標識號UNIX系統(tǒng)用/etc/passwd表示賬戶信息數(shù)據(jù)庫口令處理方法：口令信息管理：口令字段中保存口令的明文（直接明文）、對口令加密，保存口令的密文（直接密文）、用算法對口令進行運算，在口令字段中保存運算結果口令信息與賬戶信息的分離：口令信息數(shù)據(jù)庫文件/etc/shadow/網絡環(huán)境下的身份認證：把用戶身份認證信息組織起來，集中放到服務器上，借助服務器實現(xiàn)身份認證信息的共享，解決用戶在網絡中不同主機上的身份認證問題。網絡身份認證方法的三步：身份認證信息管理：統(tǒng)一的身份認證框架：PAM實現(xiàn)服務程序與認證機制的分離，通過一個插拔式的接口，讓服務器程序和認證機制分別插到接口的兩端，從而實現(xiàn)兩者的隨意組合。PAM認證系統(tǒng)的構成：PAM應用編程接口（API） 、PAM模塊（動態(tài)裝載共享庫）、PAM配置文件PAM模塊（動態(tài)裝載共享庫）提供以下服務功能支持（4種）： 身份認證（auth） 賬戶管理（account） 口令管理（password） 會話管理（session）命令控制標記： Requisite：模塊執(zhí)行失敗時報告失敗并結束認證。 Required：模塊執(zhí)行失敗時報告失敗但繼續(xù)認證。 Sufficient：模塊執(zhí)行成功時報告成功并結束認證。 Optional：模塊的執(zhí)行不影響報告結果和認證過程第五章基于權限位的訪問控制機制：簡單訪問控制權限模式描述 f(文件, 用戶)權限 用戶：可以是一個用戶，也可以是一類用戶。 權限：讀+寫+執(zhí)行。 權限位串字符串數(shù)字 位串：長度為3的二進制位。 字符串：長度為3。 數(shù)字：1個八進制數(shù)。對用戶劃分三類：屬主、屬組、其余類。用戶域：分別在用戶劃分后加上域?；驹L問控制權限模式描述 f(文件, 用戶群)權限體 用戶群：屬主用戶+屬組用戶+其余用戶。 權限體：屬主權限+屬組權限+其余權限。 權限：讀+寫+執(zhí)行。 權限體新位串新字符串新數(shù)字 新位串：長度為9位的二進制位。 新字符串：長度為9個字符。 新數(shù)字：3個八進制數(shù)。 例：111101001 - rwxr-x-x - 751！基本訪問控制判定算法任務：判斷用戶U可否對文件F執(zhí)行a 操作（a 是r、w 或x 之一）？設：F的屬主和屬組分別為Uo 和G o。1.當U等于Uo 時，如果F的左3權限位串中與a 對應的位為1，則允許U對F執(zhí)行a 操作，否則，不允許U對F執(zhí)行a 操作，判定結束。2.當Go 是U的屬組時，如果F的中3權限位串中與a 對應的位為1，則允許U對F執(zhí)行a 操作，否則，不允許U對F進行a 操作，判定結束。3.如果F的右3權限位串中與a 對應的位為1，則允許U對F執(zhí)行a 操作，否則，不允許U對F進行!進程在系統(tǒng)中代表用戶在工作，用戶對系統(tǒng)的操作是由進程代實施的。進程到文件用戶域的映射 已知：f(文件, 用戶群)權限體 亦即：f(文件, 用戶域)權限 設想：g (進程)用戶域 應有：f(文件, g (進程)權限 所以： 只要把進程映射到文件對應的用戶域中，就可以根據(jù)用戶域對文件的訪問權限，確定進程對文件的訪問權限!方案5.7 判定進程的訪問權問題：進程P是否擁有對文件F的訪問權限y？假設：給進程P分配用戶標識和組標識Iup 和I gp，文件F的屬主、屬組和權限位串分別為Iuf、I gf 和S1 S 2 S 3。1. 當Iup 等于I uf 時，檢查S 1 中是否有y 權限，有則允許訪問，否則，不允許訪問，結束判定；2. 當Igp 等于I gf 時，檢查S 2 中是否有y 權限，有則允許訪問，否則，不允許訪問，結束判定；3. 檢查S3 中是否有y 權限，有則允許訪問，否則，不允許訪問。進程的用戶屬性 用戶屬性：用戶標識(UID)+組標識(GID) 真實用戶：進程為誰工作？ 有效用戶：進程擁有的權限與誰相同？ 真實用戶屬性：RUID+RGID 有效用戶屬性：EUID+EGID 訪問判定時，進程到用戶域的映射： g (進程)-EUID+EGID進程映像!方案5.10 確定進程的用戶屬性 用戶U啟動進程P時： 進程P的RUID和EUID用戶U的ID 進程P的RGID和EGID用戶U的屬組ID 進程P變身且映像文件F允許時： 進程P的EUID文件F的屬主ID（1） 進程P的EGID文件F的屬組ID（2） （1）的條件：文件F有SETUID標記 （2）的條件：文件F有SETGID標記！文件的SETUID/SETGID標記的表示 位串表示法： ut gt s t r o w o x o r g w g x g r a w a x a ut =1SETUID；gt =1SETGID 字符串表示法： Ro W o X o R g W g X g R a W a X a ut =1X o = “ s” ；gt =1X g = “ s” 例子： 100101001001r-s-x-x 010101001001r-x-sx基于ACL訪問控制機制：（用戶粒度細化）基于特權分離的訪問控制機制特權集的定義 有效的特權集E： 訪問判定的依據(jù) 許可的特權集P： 允許分配給進程的特權集合 可繼承的特權集I： 可被新進程繼承的特權集合進程特權集屬性的確定 系統(tǒng)第一個進程： 由操作系統(tǒng)在初始化時設定 新生子進程： 與父進程相同 更新程序映像后的進程： 結合程序映像文件確定審計：系統(tǒng)運行足跡的分析。審計記錄日志。第六章 SELinux實現(xiàn)的TE模型：訪問控制模型的核心- DTE模型- TE模型 語言：SEPL-DTEL訪問判定：輸入：訪問請求(source_type, target_type, object_class, perm_list) 判定依據(jù)：訪問控制的授權規(guī)則 輸出：授權結論訪問向量（AV）：與訪問請求中的perm_list相對應的判定結論的位圖表示。訪問向量的類型 Allow型 描述允許哪些訪問 Auditallow型 描述哪些允許的訪問需審計 Dontaudit型 描述哪些被拒絕的訪問無需審計訪問判定涉及的審計要求 獲得批準的訪問請求是否要審計？ 默認情況下，不審計 明確說明時，要審計：auditallow 遭到拒絕的訪問請求是否要審計？ 默認情況下，要審計 明確說明時，不審計：dontauditSETE模型訪問判定原則 如果明確授權，則允許訪問，否則，不許訪問。 如果請求