飞内容提要 21可信计算基的结构与评测准则 22访问控制 23信息流控制 24安全模型 2/109
2/109 2.1 可信计算基的结构与评测准则 2.2 访问控制 2.3 信息流控制 2.4 安全模型 内容提要
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 ●信息系统可信计算基TcB的定义: 信息系统是由计算机及相关的和配套的设备和设施构成 的 定义:可信计算基(TcB是指信息系统内保护装置的总 体,包括相关的软件、硬件、固件及相关的管理等 其中,固件是具有独立功能和作用的软硬件的集合体。 在信息系统中那些为了用户能安全地使用信息系统并完成信息使 命的资源和机制就构成了信息系统的TcB 它建立了一个基本的保护环境,并提供一个可信计算系统所要求 的附加用户服务 TcB( Trust Computing Base)是1983年《可信计算机系统评测 准则》 TCSEC中提出的概念, TCSEC侧重于操作系统安全,而 对操作系统的安全要求可以推广到整个信息系统 3/109
3/109 2.1.1 可信计算基的结构 第二章 安全控制原理 2.1 可信计算基的结构与评测准则 信息系统可信计算基TCB的定义: ⚫ 信息系统是由计算机及相关的和配套的设备和设施构成 的 ⚫ 定义:可信计算基(TCB)是指信息系统内保护装置的总 体,包括相关的软件、硬件、固件及相关的管理等 ⚫ 其中,固件是具有独立功能和作用的软硬件的集合体。 ⚫ 在信息系统中那些为了用户能安全地使用信息系统并完成信息使 命的资源和机制就构成了信息系统的TCB ⚫ 它建立了一个基本的保护环境,并提供一个可信计算系统所要求 的附加用户服务 ⚫ TCB (Trust Computing Base)是1983年《可信计算机系统评测 准则》TCSEC中提出的概念,TCSEC侧重于操作系统安全,而 对操作系统的安全要求可以推广到整个信息系统
第二章安全控制原理 211可信计算基的结构1可值计算基的构与评测推则 ≥TCB是个很广泛的概念,可以由以下(但不限于) 要素构成 操作系统和数据库中的安全内核 应用软件中与安全相关的部分 具有特权的程序和命令 处理敏感信息的程序,如系统管理命令 TcB实施安全策略的文件 其他可信的软件、硬件、固件和设备。(关于故障) 负责系统管理的人员。(误操作或恶意操作) 保障正确的相关程序和诊断软件(评测) 4/109
4/109 TCB是个很广泛的概念,可以由以下(但不限于) 要素构成 ⚫ 操作系统和数据库中的安全内核 ⚫ 应用软件中与安全相关的部分 ⚫ 具有特权的程序和命令 ⚫ 处理敏感信息的程序,如系统管理命令 ⚫ TCB实施安全策略的文件 ⚫ 其他可信的软件、硬件、固件和设备。(关于故障) ⚫ 负责系统管理的人员。(误操作或恶意操作) ⚫ 保障正确的相关程序和诊断软件(评测) 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 ≥信息系统TCB的逻辑结构 安全信息系统的工作机理 TCB 信息系统中信息服务系 信息系统的安 主体 全功能TSF 统和安全策略通过定的控 服务安全功能策略 操 SFP SF安全功能 作 制手段对进程、服务、数据 等资源进行有效控制,以期 信息 TF客体 达到安全有效的使用资源的信安全,安全功能策略N安全功能的 系统 SFP 主体 目的(实现信息使命及安全使命)息策略 控 制 统 范作 TcB分为安全策略TSP和安 控 围 客体 全功能TSF两个层次 安全功能策略 SF安全功能TSC SFP 可分别抽象为访问监控器和 资源 主体 访问确认机制 访问监控器)访问确认 机制 这些策略通过安全功能控制 客体 所有主体对客体的操作(控 制范围Tsc) 信息系统中的TCB示意图 5/109
5/109 信息系统TCB的逻辑结构 访问监控器 服务 信息 系统 安全 策略 TSP 安全功能策略 SFP 信息系统的安 全功能TSF 信 息 系 统 控 制 资源 安全功能策略 SFP 安全功能策略 SFP . . . . SF安全功能 SF安全功能 SF安全功能 TSF 的 控 制 范 围 TSC 主体 操 作 客体 主体 操 作 客体 主体 操 作 客体 访问确认 机制 信息系统中的TCB示意图 TCB TCB分为安全策略TSP和安 全功能TSF两个层次 可分别抽象为访问监控器和 访问确认机制 这些策略通过安全功能控制 所有主体对客体的操作(控 制范围TSC) 安全信息系统的工作机理 信息系统中信息服务系 统和安全策略通过一定的控 制手段对进程、服务、数据 等资源进行有效控制,以期 达到安全有效的使用资源的 目的(实现信息使命及安全使命) 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 21可信计算基的结构 21可信计算基的结构与评测准则 由上可见,TCB提供安全功能的思想在于 ①信息系统规定了信息安全策略TSP ②TSP定义了一些规则 TSP可以由多个安全功能策略SFP模块构成,每个SFP都有自己 的控制范围,在其中定义了该SFP控制下的主体、客体和操作。 SFP是通过安全功能SF实现的 ③信息系统以安全功能为载体通过这些规则控制任何主体 对其资源的访问,这样信息系统就控制了所有信息与服 务,确信对资源进行安全保护而达到对信息的安全保护 6/109
6/109 由上可见,TCB提供安全功能的思想在于: ① 信息系统规定了信息安全策略TSP ② TSP定义了一些规则 ⚫ TSP可以由多个安全功能策略SFP模块构成,每个SFP都有自己 的控制范围,在其中定义了该SFP控制下的主体、客体和操作。 ⚫ SFP是通过安全功能SF实现的 ③ 信息系统以安全功能为载体通过这些规则控制任何主体 对其资源的访问,这样信息系统就控制了所有信息与服 务,确信对资源进行安全保护而达到对信息的安全保护 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 21可信计算基的结构 21可信计算基的结构与评测准则 ●TcB的安全策略,简称TSP( TCB Security Policy) 是对TcB中的资源进行管理、保护和分配的一组规则。 它是所有SFP的总和 ●其中,安全功能策略SFP( Security Function Policy), 是由多个安全策略SP组成的针对某些特定安全功能的策 略,通过安全功能SF模块实现 TSP可抽象为访问监控器 访问监控器是信息系统中实施访问控制策略的抽象机, 是安全功能模块在执行安全功能时的依据,比如访间 控制的规则等 7/109
7/109 TCB的安全策略,简称TSP(TCB Security Policy) ⚫ 是对TCB中的资源进行管理、保护和分配的一组规则。 它是所有SFP的总和 ⚫ 其中,安全功能策略SFP(Security Function Policy ) , 是由多个安全策略SP组成的针对某些特定安全功能的策 略,通过安全功能SF模块实现 ⚫ TSP可抽象为访问监控器 ⚫ 访问监控器是信息系统中实施访问控制策略的抽象机, 是安全功能模块在执行安全功能时的依据,比如访问 控制的规则等 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 ●TCB的安全功能,简称TSF( TCB Security function) 是正确实施TCB安全策略的全部硬件、固件、软件所提 供的功能。 它包括了一个TCB的所有安全功能模块SF,通常是一个 或多个安全功能策略SFP的实现 TSF中可能包括一个访问确认机制和其他一些安全功能 访问确认机制是访问监控器概念的实现,它具有防拆卸、一直运 行、简单到能够进行彻底的分析与测试,如访问控制的执行单元, 操作系统的安全内核等 TcB中所有TSF构成一个安全域,以防止不可信实体的 千扰和篡改,这个安全域实际上是TCB操作及其所涉及 的主体和客体,也被称为TSF的控制范围Tsc。 ●TcB中的非TSF部分构成非安全域 8/109
8/109 TCB的安全功能,简称TSF(TCB Security function) ⚫ 是正确实施TCB安全策略的全部硬件、固件、软件所提 供的功能。 ⚫ 它包括了一个TCB的所有安全功能模块SF,通常是一个 或多个安全功能策略SFP的实现 ⚫ TSF中可能包括一个访问确认机制和其他一些安全功能 ⚫ 访问确认机制是访问监控器概念的实现,它具有防拆卸、一直运 行、简单到能够进行彻底的分析与测试,如访问控制的执行单元, 操作系统的安全内核等 ⚫ TCB中所有TSF构成一个安全域,以防止不可信实体的 干扰和篡改,这个安全域实际上是TCB操作及其所涉及 的主体和客体,也被称为TSF的控制范围TSC。 ⚫ TCB中的非TSF部分构成非安全域 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 飞21.1可信计算基的结构 21可信计算基的结构与评测准则 TSF的实现有两种方法 设置前端过滤器,如防火墙,登陆认证,防止非法进入系统 设置访问监督器,如安全审计系统、防止越权访问 TSF的两种实现方法实际上给出了信息系统安全的访问控 制模型 计算机资源 外部攻击者听同通道 处理器、存储器,IO) 守卫者数据、程序、软件 ●该模型对非授权访间有两道防线: 内部安全控制 第一道防线是守卫者:基于通行字的登录程序和屏蔽程序,分别用 于拒绝非授权的访问、检测和拒绝病毒:外部访问控制,具有前端 过滤器的功能 第二道防线由一些内部控制部件构成,管理系统内部的各项操作和 分析所存有的信息,检查是否有未授权的入侵者。内部访问控制、 安全管理和审计,具有访问监督器的作用 9/109
9/109 TSF的实现有两种方法 ⚫ 设置前端过滤器,如防火墙,登陆认证,防止非法进入系统 ⚫ 设置访问监督器,如安全审计系统、防止越权访问 TSF的两种实现方法实际上给出了信息系统安全的访问控 制模型 该模型对非授权访问有两道防线: ⚫ 第一道防线是守卫者:基于通行字的登录程序和屏蔽程序,分别用 于拒绝非授权的访问、检测和拒绝病毒:外部访问控制,具有前端 过滤器的功能 ⚫ 第二道防线由一些内部控制部件构成,管理系统内部的各项操作和 分析所存有的信息,检查是否有未授权的入侵者。内部访问控制、 安全管理和审计,具有访问监督器的作用 第二章 安全控制原理 2.1 可信计算基的结构与评测准则 外部攻击者 访问通道 守卫者 计算机资源 (处理器、存储器,I/O) 数据、程序、软件 内部安全控制 2.1.1 可信计算基的结构
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 在信息系统或产品中的数据、资源和实体的相关概念 ●信息系统中处理的数据,有两大类: 用户数据:用户完成信息使命时产生和处理的,是信息系统安全 保障的根本目标,存储在信息系统资源中 ●TSF数据:用于保护用户数据所需的数据,在作出TSP决策时TsF 使用的信息,如安全属性、鉴别数据,访问控制表ACL内容等都 是TSF数据的例子。又可分为鉴别数据与保密数据 ●信息系统的资源用于存储和处理信息,它们是由存储介质、 外围设备和计算能力构成的。 TSF的主要目标是完全并正确的对信息系统所控制的资源与信息, 实施信息系统的安全策略TSP ●信息系统资源可以用不同的方式构成和利用 10/109
10/109 在信息系统或产品中的数据、资源和实体的相关概念 信息系统中处理的数据,有两大类: ⚫ 用户数据:用户完成信息使命时产生和处理的,是信息系统安全 保障的根本目标,存储在信息系统资源中 ⚫ TSF数据:用于保护用户数据所需的数据,在作出TSP决策时TSF 使用的信息,如安全属性、鉴别数据,访问控制表ACL内容等都 是TSF数据的例子。又可分为鉴别数据与保密数据 信息系统的资源用于存储和处理信息,它们是由存储介质、 外围设备和计算能力构成的。 ⚫ TSF的主要目标是完全并正确的对信息系统所控制的资源与信息, 实施信息系统的安全策略TSP ⚫ 信息系统资源可以用不同的方式构成和利用 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
第二章安全控制原理 到211可信计算基的结构 21可信计算基的结构与评测准则 信息系统中的实体 entity,由资源产生,有两类: (1)主动实体,称为主体 subject,指用户和其它任何代理用 户行为的实体例如设备、进程、作业和程序) 它是信息系统内部行为发起的原因,并导致对信息的操 作;但不一定是执行者(可能是代理程序) 信息系统内有三类实体: (1)代表遵从TSP所有规则的已授权用户,如UNX进程 (2)作为专用功能进程,可以轮流代表多个用户,如cS结构中 可以找到的功能 (3)作为信息系统本身的一部分,如可信进程如OS的进程 最初始的主体一定是人类用户 11/109
11/109 信息系统中的实体entity ,由资源产生,有两类: (1)主动实体,称为主体subject ,指用户和其它任何代理用 户行为的实体(例如设备、进程、作业和程序) ⚫ 它是信息系统内部行为发起的原因,并导致对信息的操 作;但不一定是执行者(可能是代理程序) ⚫ 信息系统内有三类实体: ▪ (1)代表遵从TSP所有规则的已授权用户,如UNIX进程 ▪ (2)作为专用功能进程,可以轮流代表多个用户,如C/S结构中 可以找到的功能 ▪ (3)作为信息系统本身的一部分,如可信进程(如OS的进程) ⚫ 最初始的主体一定是人类用户 第二章 安全控制原理 2.1.1 可信计算基的结构 2.1 可信计算基的结构与评测准则
