第七章 安全模型理论
安全模型理论 访问控制 访问控制矩阵 访问控制机制 自主访问控制 强制访问控制 保护状态 访问控制矩阵模式 保护状态转变 条件命令 拷贝,拥有和特权的弱化 总结
安全模型理论 完整性策略 混合性政策 审查 目标 Biba 完整性模式 Lipner的完整性矩阵模式 Clark-Wilson 完整性模式 小结 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基于任务的控制 审查
访问控制 访问控制是计算机保护中极其重要的一环。 它是在身份识别的基础上,根据身份对提出的资源访问请求加以控制。 访问控制中三个元素: 访问的发起者称为主体,通常为进程,程序或用户。 包括各种资源称为客体,如文件,设备,信号量等。 保护规则,它定义了主体与客体可能的相互作用途径。
访问控制机制 保护域: 每一主体(进程)都在一特定的保护域下工作。 保护域规定了进程可以访问的资源。 每一域定义了一组客体及可以对客体采取的操作。 可对客体操作的能力称为访问权(Access Right),访问权定义为有序对的形式<客体名,权利集合>。 一个域是访问权的集合。
访问控制机制 有重叠的保护域
访问控制机制 主体(进程)在某一特定时刻可以访问的客体(软件,硬件)的集合称为客体。 客体可以是静态的,即在进程生命期中保持不变,或动态改变。 为使进程对自身或他人可能造成的危害最小,最好在所有时间里进程都运行在最小客体下。
访问控制机制 一般客体的保护机制有两种: 自主访问控制(Discretionary Access Control): 用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件,亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。 强制访问控制(Mandatory Access Control): 用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定,它是由安全管理员,或者是操作系统根据限定的规则确定的,用户或用户的程序不能加以修改。
自主访问控制 为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。 访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。 实际上常常是基于矩阵的行或列来表达访问控制信息。
自主访问控制 - 基于行的自主访问控制 基于行的自主访问控制: 所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。 权限字: 权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体,并指定这些客体上允许的操作。它作为一张凭证,允许主体对某一客体完成特定类型的访问。
自主访问控制- 基于行的自主访问控制 具有转移或传播权限的主体A可以将其权限字的副本传递给B,B也可将权限字传递给C,并可移去其中的转移权限,于是C将不能继续传递权限字。 权限字也是一种程序运行期间直接跟踪主体对客体的访问权限的方法。每个权限字都标识了作用域中的单个客体,因此,权限字的集合就定义了作用域。 权限字必须存放在内存中不能被普通用户访问的地方,如系统保留区、专用区或者被保护区域内。 进程必须不能直接改动它自己的权限字表。 举例:UNIX,Linux
自主访问控制- 基于行的自主访问控制 前缀表 前缀表(prefixes)包含受保护的文件名(客体名)及主体对它的访问权限。 当系统中有某个主体欲访问某个客体时,访问控制机制将检查主体的前缀是否具有它所请求的访问权。
自主访问控制- 基于列的自主访问控制 基于列的自主访问控制 所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。 基于列的访问控制可以有两种方式: 保护位。保护位对所有的主体、主体组(用户、用户组)以及该客体(文件)的拥有者,规定了一个访问模式的集合。 例如UNIX。 存取控制表。存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。表中的每一项包括主体的身份以及对该客体的访问权。
自主访问控制 访问许可与访问模式 对访问许可与访问模式加以区分,把客体的控制与对客体的访问区别开来。
自主访问控制 自主访问控制的访问许可: 访问许可允许主体修改客体的存取控制表,可利用它实现对自主访问控制机制的控制。 这种控制有三种类型: 等级型。将对客体存取控制表的修改能力划分成等级。不同等级享有不同的权限范围。 拥有型。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权,但无法传递这种控制权。 自由型。一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权
自主访问控制 自主访问控制的访问模式: 文件 目录 读拷贝(read-copy) 写删除(write-delete) 执行(execute) Null(无效) 目录 Read Write-expand 其它:读状态(status),修改(modify),附加(append)
强制访问控制 在自主访问控制方式中,无法区分对文件存取控制信息修改是用户自己的操作,还是恶意攻击的特洛伊木马的非法操作。 通过强加一些不可逾越的访问限制,系统可以防止某一些类型的特洛伊木马的攻击。
强制访问控制 一般强制访问控制采用以下几种方法: 访问限制控制 过程控制 系统限制 用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息,而不是靠另一个程序提供的信息来修改存取控制信息。 过程控制 只要系统允许用户自己编程,就没办法杜绝特洛伊木马。但可以对其过程采取某些措施。例如,警告用户不要运行系统目录以外的任何程序。 系统限制 实施的限制最好是由系统自动完成,比如,限制共享文件。
安全模型理论 访问控制 访问控制矩阵 访问控制机制 自主访问控制 强制访问控制 保护状态 访问控制矩阵模式 保护状态转变 条件命令 拷贝,拥有和特权的弱化 总结
访问控制矩阵 如果我们可以证明一个主要的系统类是安全的,那么我们就可以证明属于那个类的系统原形是安全的。更具体的说,我们可以总结出安全系统的特点。 访问控制矩阵描述了广泛应用的访问许可的表示法。
保护状态 一个系统的状态是指在这个系统中当前运作的所有的存储区域,二级存储器,寄存器和其他系统组件的总和。 这个总和的处理保护的子集就是系统的保护状态。 访问控制矩阵就是可以描述当前保护状态的一个工具。
保护状态 假设可能的保护状态集合为P,P的子集Q由那些系统可以相容的那些状态构成。因此,当系统状态在Q中,这时系统就是安全的。当前的状态在P之中却不在Q中,则此时系统是不安全的。 加强安全的侧重点就是确定系统状态始终是Q中的一个元素。 表现Q中状态的特性是安全条约的作用; 阻止系统进入P-Q状态就是安全机制的职能。 当一条指令改变了系统的状态,状态转变就发生了。 如用某一允许操作使得某一授权状态发生改变,则结果一定也是一个授权状态。系统总会处于一个授权状态中。因此状态和状态改变都是受到限制的。
访问控制矩阵模式 通过矩阵中的文件形容出每个使用者的权利。 对象集O,主体集S 。 实体间的关系都在矩阵A中,A由关系集R中每个条目a[s,o]的对应关系所描述出。 系统中的保护状态集可以由一个三元关系(S,O,A)表示。
访问控制矩阵模式 文件1 文件2 进程1 进程2 读,写 读 拥有 写 添加, 访问控制矩阵
保护状态转变 当进程执行操作时,保护系统的状态发生改变 系统的原始状态 X0=(S0,O0,A0) 操作集τ1,τ2,… 连续状态由X1,X2… 转变τi+1使系统从状态Xi到Xi+1 X在一系列状态转变之后,进入状态Y
保护状态转变 改变访问控制矩阵的简单命令集 在执行每个命令之前的保护状态为(S,O,A)在执行每个命令之后的则为(S’,O’,A’)。 原始指令:createsubjects 结果:S’=S∪{s},O’=O∪{s}, (Vy∈O’)[a’[s,y]=Ø],(Vx∈S’)[a’[x,s]=Ø], (Vx∈S’)(Vy∈O)[a’[x,y]=a[x,y]]
保护状态转变 创建一个新的对象o 向a[s,o]中加入权力r 前提:o不属于O 原始命令:createobjecto 结果:S’=S,O’=O∪{o}, (Vx∈S’)[a’[x,o]=Ø],(Vx∈S’)(Vy∈O0[a’[x,y]=a[x,y]] 向a[s,o]中加入权力r 前提:s∈S,o∈O 原始命令:enterrintoa[s,o] 结果;S’=S,O’=O,a’[s,o]=a[s,o]∪{r}, (Vx∈S’)(Vy∈O’)[(x,y)≠(s,o)→a’[x,y]=a[x,y]]
保护状态转变 从a[s,o]中删除权力r 删除主体s 前提:s∈S,o∈O 原始命令:deleterfroma[s,o] 结果:S’=S,O’=O,a’[s,o]=a[s,o]-{r}, (Vx∈S’)(Vy∈O’)[(x,y)≠(s,o)→a’[x,y]=a[x,y]] 删除主体s 前提:s∈S 原始命令:destroysubjects 结果:S’=S-{s},O’=O-{s}, (Vy∈O’)[a’[s,y]=Ø],(Vx∈S’)[a’[x,s]=Ø], (Vx∈S’)(Vy∈O’)[a’[x,y]=a[x,y]]
保护状态转变 删除对象o,在A中相应的列同时被删除。 前提:o∈O 原始命令:destroyobjecto 结果:S’=S,O’=O-{s}, (Vx∈S’)[a’[x,o]=Ø],(Vx∈S’)(Vy∈O’)[a’[x,y]=a[x,y]]
条件命令 一些原始命令的执行需要满足特殊的预处理。 举例:假设进程p希望给另一个进程q从文件f中读取的权力。在许多系统中,p必须拥有f。命令: command grant·read·file·1(p,f,q) if own in a[p,f] then enter r into a[q,f]; end
条件命令 任何条件都可以用and结合起来。假设一个系统有加以区别的权力c。如果一个主体在一个对象上有权力r和c,它在这个对象上可以给另外的主体r权力。则: command grant·read·file·2(p,f,q) if r ina[p,f] and c in a[p,f] then enter r into a[q,f]; end
条件命令 所有条件都是用and连接起来的,而决不可能是用or。因为用or连接的条件等价与两个命令每个命令只有一个条件,这种连接是不需要的。 条件拒绝是不允许的;也就是说,不能用在条件if r not in a[p,f]下的命令测试权力的存在与否。
拷贝,拥有和特权的弱化 拷贝权力 自身权力 拷贝权力(通常也被叫称为授予权力)允许拥有者可以对别人授权。 在弱化规则中,只有授予者拥有的这些权力可以被拷贝。 自身权力 自身权力是一个特殊的权力,它可以使拥有者增加或是减少对他们自己的特权 它也能允许拥有者授权给别人
拷贝,拥有和特权的弱化 特权弱化原则 一个主体不会把自己不拥有的特权给别人。
总结 访问控制矩阵是在计算机安全中的一个原始的抽象机制。 在它最抽象的形势下,它可以表达任何可以表达的安全规则。 改变转换系统的状态。 转变以命令的形式被表达出来。 命令由一个或是多个原始操作所可能产生的条件所组成。 条件可能包括所有权或是拷贝权力的能力。 特权弱化法则产生条件,这个条件规定如果主体不拥有权力,它就不能把这个权力授予任何人。
安全模型理论 完整性策略 混合性政策 审查 目标 Biba 完整性模式 Lipner的完整性矩阵模式 Clark-Wilson 完整性模式 小结 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基于任务的控制 审查
完整性策略 完整性策略集中在完整性上而不是机密性上,因为绝大多数商业和工业公司更加关心精确性而不是资料的泄露。
目标 1. 用户将不用写他们自己的程序,而是使用现存的生成的程序和数据库。 2.编程人员将在一个无生产系统上开发和测试程序;一旦他们需要获取真实的资料,他们将经由一个特殊的步骤得到产生的资料,但是必须在他们的开发系统上使用。 3.当把一个程序从开发系统安装到生产系统上时,必须跟一个特殊的步骤。 在条件3之中的特殊步骤必须是可控制的和审查的。
目标 必要条件表明了几个操作的原则: 职责的分离 功能的分离 审核
Biba 完整性模式 在1997年,Biba提出 一个系统是由一个主题的集合S,物体的集合O,完整性级别的集合I组成。 这个级别是有序的。 当第二完整性级别支配着第一级别时,保持关系 当第二级别或支配或者和第一级别等同时,保持关系 Min函数: 得到两个级别中较低的一个(与相对应)。 函数I: 返回一个主题或者物体的安全级别。 关系 定义了一个主题读取一个物体的能力; 而关系 定义了一个主题写入一个物体的能力, 以及关系 定义了一个主题唤醒(执行)另外一个主题的能力。
Biba 完整性模式 Biba定义了一个信息转移路径的观念来测试他的策略。 定义1:一个信息转移路径是一系列的对象O1,…,On+1以及对应的主题系列S1,…,Sn,对于所有i, ,有 Si r Oi 和 Si w Oi+1。 直观的说,通过在一个信息流路径中连续的读和写,在O1中的资料能够转化入On+1中。
Biba 完整性模式 Low-Water Mark Policy 无论在什么时候一个对象访问一个目标对象,策略将对象的完整性级别降低到较低的主题和目标对象的完整性级别。 特别指出: s∈S能够写成o∈O,当且仅当 I(o) ≤I(s)。 如果对于每一个s∈S读o∈O ,则I’(s) = min(I(s),I(o)),其中I’(s)是读之后对象的完整性级别。 对于S1∈S能够推出S2∈S当且仅当I(S2)≤I(S1)。
Biba 完整性模式 定理1: 如果存在一条信息转换路径从对象O1∈O,则low-water 标记策略的执行需要I(On+1)≤I(O1),对于所有的n>1。 这个策略的问题是,它事实上改变了完整级别。特别是,级别不再增加,也就是说它不能再访问级别比它高的事务了。一个相反的想法是,降低事务的优先级而不是降低目标的优先级,但是这样有一点使之退化到最低的地方。
Biba 完整性模式 环策略 这个策略忽略了间接修改的问题而集中在直接修改上。它将解决前面所描述的Low-Water Mark Policy的问题。 它的规则是: 任意的对象能够读取任意的目标对象,而忽略完整性级别。 对任何s∈S能写入o∈O,当且仅当I(o) ≤I(s)。。 对于S1∈S能够推出S2∈S当且仅当I(S2) ≤I(S1)。 这个策略和Low-Water标记策略之间的区别就是任意的主题能够读取任意的对象。
Biba 完整性模式 Biba的模式 这个模式是Bell-LaPadula模式的对称的,通常称为Biba的模式(或者严格完整性策略),它的规则如下: 1、对任何s∈S能读取o∈O,当且仅当I(s) ≤I(o)。 2、对任何s∈S能写入o∈O,当且仅当I(o) ≤I(s)。 3、对于S1∈S能够推出S2∈S当且仅当I(S2)≤I(S1)。 注意规则1和规则2表明了如果读取和写入同时被允许则I(s) = I(o)。
Lipner的完整性矩阵模式 Lipner回到了Bell-LaPadula模式,并把它和Biba模式合并创造出一种与商业政策的需求更加一致的模式。 为了更加清楚,我们先考虑Bell-LaPadula模式作为Lipner的一部分,然后和Biba模式合并。
Lipner的完整性矩阵模式 Lipner对Bell-LaPadula模式的使用 审核管理者(AM):系统的审核和管理函数在这个级别; 系统低点(SL):任何进程能在这个级别读取信息。
Lipner的完整性矩阵模式 类似的定义了5个策略: 开发(D):产品程序的开发和测试,但并不是产品的使用; 产品代码(PC):产品进程和程序; 产品资料(PD):完整性策略覆盖下的资料; 系统开发(SD):系统程序的开发,但不在产品中使用; 软件工具(T):生产系统上提供的与敏感和受保护的资料无关的程序。
Lipner的完整性矩阵模式 用户 清除 普通用户 (SL,{PC,PD}) 应用程序开发员 (SL,{D,T}) 系统程序员 (SL,{SD,T}) 系统控制者 (SL,{D,PC,PD,SD,T})和递减的优先权 系统管理员和审核员 (AM,{D,PC,PD,SD,T})
Lipner的完整性矩阵模式 对象 类别 开发代码/测试资料 (SL,{D,T}) 产品代码 (SL,{PC}) 产品资料 系统对象根据谁将使用他们而对应于不同的安全级别 对象 类别 开发代码/测试资料 (SL,{D,T}) 产品代码 (SL,{PC}) 产品资料 (SL,{PC,PD}) 系统程序 (SL,/) 修改中的系统程序 (SL,{SD,T}) 系统和应用程序日志 (AM,{适当策略})
Lipner的完整性矩阵模式 Lipner的全模式 Lipner的全模式增加了安全分类和三个完整性分类: 系统程序(ISP):系统程序的分类; 操作上的(IO):生产程序和开发软件的分类; 系统低级(ISL):用户登陆的分类。 两个完整性策略用来区分生产和开发软件和资料: 开发(ID):开发实体; 生产(IP):生产实体。
Lipner的完整性矩阵模式 我们也可以把生产代码和生产资料压缩成一个单独的策略。以下就给出了安全策略: 生产(SP):生产代码和资料: 开发(SD);与先前的开发策略相同; 系统开发(SSD):与先前的系统开发策略相同;
Lipner的完整性矩阵模式 用户的所有分类的安全策略和那些没有完整性级别和策略的模式保持着相等性。完整性分类被选择适当的允许资料和程序的修改。 用户 安全清除 完整性清除 普通用户 (SL,{SP}) (ISL,{IP}) 应用程序开发员 (SL,{SD}) (ISL,{ID}) 系统程序员 (SL,{SSD}) 系统控制者 (SL,{SP,SD})和递减的优先级 (SP,{IP,ID}) 系统管理员和审核员 (AM,{SP,SD,SSD}) (ISL,{IP,ID}) 修复员
Lipner的完整性矩阵模式 最后一步是替事务选择完整性分类。 对象 安全性级别 完整性级别 开发的代码/测试资料 (SL,{SD}) (ISL,{IP}) 产品的代码 (SL,{SP}) (IO,{IP}) 产品资料 软件工具 (SL,/) (IO,{ID}) 系统程序 (ISP,{IP,ID}) 修改中的系统程序 (SL,{SSD}) (ISL,{ID}) 系统和应用程序日志 (AM,{相应的策略}) (ISL,/) 修复
Lipner的完整性矩阵模式 与Biba的比较 这个完整性矩阵模式论证了Bell-LaPadula模式能适合许多商业的需求,即使它为另一个非常不同的目的所设计。这个模式的弹性是部分吸引人之处;然而,根本上来讲,Bell-LaPadula模式限制了信息的流动。Lipner指出了这点,并建议把他的模式和Biba的一起考虑将是最有效的。
Clark-Wilson 完整性模式 在1987年,David Clark和David Wilson开发了一个与先前不同的完整性模式。这个模式把事务作为基本操作,使得许多商业系统比以前的模式更加真实化。
Clark-Wilson 完整性模式 Clark-Wilson模式把服从策略控制的资料定义为“被束缚的资料”(CDIs)。反之则定义为“不被束缚的资料”(UDIs)。CDIs集和UDIs集使对系统中所有被模式化的资料的一个分割。 一个“完整性约束”集约束了CDIs的值。 模式同样定义了两个过程集。“完整性检验过程”(IVPs),用来检测当IVPs运行时CDIs遵守完整性约束。在这种情况下,系统处于“有效状态”中。“转化过程“(TPs),改变系统中资料的状态从一个有效状态转到另一个。TPs实现了一个良好的事务。
举例: 在一个银行帐户的例子中,CDIs时帐户中的收支差额;核查帐号是否收支平衡时IVP,存款,取款,转帐等都是TPs。为确保帐户被正确管理,一个银行的监测员必须确保银行使用着合适的过程来检查帐户的存取,转换等。然而这些过程仅仅提供存款和查询帐户,可能没有提供其它类型的操作,比如非常微小的现金。
Clark-Wilson模式通过两条证明规则来捕获这种需求: 认证规则1:任意IVP运行时,必须确保所有的CDIs处于有效状态。 认证规则2:对于一些相关的CDIs集,TP必须把这些CDIs从一个有效状态转到另一个(很可能不同)的有效状态。
这样就定义了一个三元组(用户,TP,{CDI集合}),被称为允许A关系,当然这些关系必须证明: 加强规则1:系统必须保持“认证”关系,并确保只有那个被认证了在一个CDI上运行的TP才能操作该CDI;特别的,加强规则1说明了一个TP f操作一个CDI o,则(f,o)C。 加强规则2:系统必须使一个用户对每一个TP和CDIs集有关联。TP可以访问那些跟相关用户的利益有关的CDIs。 这样就定义了一个三元组(用户,TP,{CDI集合}),被称为允许A关系,当然这些关系必须证明: 认证规则3:被允许的关系必须与被职责分离的原则所强加的需求相适应。 加强规则3:系统必须鉴别每一个用户尝试着执行一个TP。
认证规则4:所有的TP必须附加足够的信息来重建对一个只能附加的CDI的操作。 认证规则5:任何TP输入UDI的,只能进行有效的转换或者没有转换对于所有可能的UDI的值。转换后则会拒绝UDI或者转换成一个CDI。 加强规则4:只有TP的认证者才可能改变与这个TP相关的实体列表,可能执行与这个实体相关的任务。
与需求的比较 我们假定生产程序对应于TPs,生产资料(及数据库)是CDI。 如果用户不被允许对TP的认证,取而代之的是“信任的职员”,则认证规则4和5实现了这个需求。由于普通的用户不能创建认证了的TP,他们不能写程序来访问产品数据库。他们必须用现有的TP和CDI,及产品程序和产品数据库。 认证规则4提供了一个程序安装的审核。加强规则3来鉴别“信任的职员”的安装。,认证规则5和加强规则5控制着安装过程。 最后,日志作为一个简单的CDI,管理员和核查员能够通过相应的TP来访问系统日志。类似的,他们也可以访问系统的状态。 至此,Clark-Wilson 完整性模式符合了Lipner的需求。
与其他模式的比较 Biba不能完全仿效Clark-Wilson,反之则可以。
小结 完整性模式在多样性和广泛性方面在不断增加。 维持完整性的重要性在于理解如何信任有效的完整性。
安全模型理论 完整性策略 混合性政策 审查 目标 Biba 完整性模式 Lipner的完整性矩阵模式 Clark-Wilson 完整性模式 小结 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基于任务的控制 审查
混合性政策 很少有机构仅仅限制他们的安全目的为机密性或者完整性。绝大多数希望在某种混合状态下拥有两者。 中国长城模式衍生于英国法律关心的利益冲突,临床信息系统安全模式衍生于医学道德和散布病人数据的法律。两个模式展示了信息管理的相反的观点。 创造者访问控制让创建者决定谁该访问这些数据以及怎样访问。 基于访问控制使更多的普通用户群的意见正式化。
中国长城模式 中国长城模式(CW)是一种平等对待机密性和完整性的安全策略模式。 这个模式的目标就是阻止在两个客户交易间的利益冲突,以及客户冲突的最佳利益。
中国长城模式 非正式描述 举例:投资公司与两家存在利益冲突的银行的例子
中国长城模式 正式的模式 设S是一个主体集,O是对象集,L=CD作为标签的集合。定义映射函数:OC及:OD。其中C对应于利益冲突类的集合,D对应于公司的数据集的集合,在上面的非正式说明中。对于sS和oO的访问矩阵的入口是H(s,o);这个元素当s访问或者曾经访问过o时为真,否则为假。这个矩阵把一个历史元素并入了一个标准的访问控制矩阵。最后,R(s,o)表示了s读取o的需求。 这个模式的第一个假设就是一个数据集不能横跨两个COI类。因而如果两个对象在同一个数据集中,那么他们一定在同一个COI中。
中国长城模式 公理1: 对于所有的O1 ,O2 O,如果 ,则 逆否命题则是: 引理2: 对于所有的O1 ,O2 O,如果 ,则
中国长城模式 公理3: 一个主体s能够读取一个对象o当且仅当对于所有的 ,有 ,或者满足 或者 。 这个公理是CW的安全规则:一个主体能够读取一个对象当且仅当它还没读取COI中的其他数据集里的对象或者它已经读取了CD里的对象。但这个规则必须保持确保状态的安全。因此最简单的CW安全规则里的状态是那些从没被访问的。在那种状态下,任何访问的请求应该被允许。
中国长城模式 公理4:H (s,o) = false,对于所有的 s S和o O都初始是一个安全状态。
中国长城模式
中国长城模式
中国长城模式
Bell-LaPadula和中国长城模式 Clark-Wilson模式和CW模式
临床信息系统安全政策 医疗记录需要有机密性和完整性的政策,但是和经纪人公司是走不一样的路的。利益冲突并不是关键问题。 病人的机密性,记录和个人的鉴别在这些记录中做了接口,以及确保记录没有被错误的修改都是关键的。 安德森为这样的政策提出了一种模式,阐明机密性和完整性的合并来保护病人的隐私和记录的完整性。
临床信息系统安全政策 安德森在政策中定义了三个类型的接口: 定义13:病人是医疗记录的主体,或者一个病人赞成的能代替病人的代理。 定义14:个人健康信息是关于一个病人的健康信息或者能使病人被认证的治疗方案。 定义15:一个临床医生是一个卫生保健专业,工作就是通过访问个人的健康信息。
临床信息系统安全政策 访问原则1:每一个医疗记录里有一份记录了那些能够读取和追加记录的个人或组的列表。系统必须访问那些在访问控制列表里被认证了的。 访问原则2:访问控制列表里的一个临床医师(可靠的)必须有权利追加其他临床医师进入列表中。 访问原则3:可靠的医师必须通报病人列表上的名字不论何时病人的记录被打开。除非 遇到紧急情况,但这个医师必须征得病人的同意。 访问原则4:临床医师的名字,访问医疗记录的日期时刻都必须被记录。类似的信息必须保护好防止被删。
临床信息系统安全政策 创建原则:一个临床医师可能和另一个在记录上的医师或者病人来打开一个记录。如果记录是作为一个提名的结果被打开的,这个提名的医师很可能也在访问控制列表中。 删除原则:在医疗记录里的医疗信息不能被删除,除非过了合适的时间。 限制原则:一条来自于一个医疗记录的信息能被追加到另外一个医疗记录中当且仅当后者的访问控制列表是前者的子集。 聚集原则:保护病人数据的集合的措施必须有效。特别的,当任何人被加入他们的记录访问控制列表时,病人必须被通报,并且这个医师访问过大量的医疗记录。 加强原则:处理医疗记录的电脑系统必须有子系统来加强以上的原则。这些控制的效果必须由独立的审核员来评估。
创建者控制访问控制 强制的和自由的访问控制并不处理那些即使在文章散布后仍保持控制他们的环境。 Graubert开发了一个叫ORCON的策略(创建者控制的缩写),在那里一个主体只有在创建那个对象的人同意后才能够把对那个对象的权利给另外一个主体。 规则如下: 对象的拥有者不能更改对对象的访问控制 当一个对象被拷贝,那个资源的访问控制限制也同样被拷贝,并且和拷贝的目标绑定。 创建者在一个主体对应一个对象的情况下能更改访问控制的权限。
基于任务的控制 访问信息的能力,如果需要,要依靠个人工作的作用。因而建议把用户的特殊工作与访问联合起来。 定义16:主体s的活跃任务,写作actr(s),表明了一个当前正在运行的任务。 定义17:主体s的被授权的任务,写作authr(s),表明一个假定被授权的任务集。 定义18:谓词canexec(s,t)当且仅当主体s能够立即执行事务t
基于任务的控制 公理19:S和T分别代表主体集和事务集。 任务分配的规则是, 也就是说如果一个主体能够执行任何事务,则这个主体有一个活跃的任务。这个和对任务执行一个事务而不是用户联系在一起的。
基于任务的控制 公理20:S代表主体集。则被授权的任务规则是
基于任务的控制 公理21:S和T分别代表主体集和事务集。事务认证的规则是:
基于任务的控制 定义22:r代表任务,s代表主体,有r∈authr(s)。谓词meauth(r)(互斥的授权)是一个s不能假设和职责需求的分离约定的任务的集合。 把这些和上面的放一起,职责分离的原则可以被描述为:
小结 上面的内容表明了把完整性和机密性结合起来的政策。CW模式是在一个特殊的条件(英国的法律)下捕捉特殊商业,经纪人等的需求。临床信息系统模式为医疗记录做同样的事。两个模式在当前的商业和临床实践中都有应用。 这两个模式有一个不同的目的,关注在实体将访问数据而不是那个实体应该访问数据。ORCON允许创建人控制对文件的访问;基于任务的访问控制限制了对起着特殊作用的个体的访问。后者的目的能够在许多更早讨论的模式中得到提示。
安全模型理论 完整性策略 混合性政策 审查 目标 Biba 完整性模式 Lipner的完整性矩阵模式 Clark-Wilson 完整性模式 小结 混合性政策 中国长城模式 临床信息系统安全政策 创建者控制访问控制 基于任务的控制 审查
审查 审查是为了测量安全侵害的一种较晚的机制。 这里主要是叙述日志(记录系统事件和动作)和审查(分析这些记录)的符号。 审查在发现安全违例中起着很重要的作用。在分析中主要是测试发生了什么安全侵入和怎么发生的。
审查 定义23日志是为了提供系统使用和操作而作的事件或是静态数据的记录。 定义24审查是对于陈列出来的关于安全的模式信息的日志记录的分析。 定义25加入U是用户集。规则P定义了信息集C(U),U中的内容是不可见的。根据P和U的反应当C(U)中所有的信息都从L中删除的时候清理日志L。 定义26匿名清理器删除信息,但是它不能由在日志之中的数据容纳者或是组织者重建。
审查 定义27基于状态的日志机制记录一个系统状态的信息,它决定是否一个系统的状态是合法的。 定义28基于转变的日志机制记录了系统上活动的信息。它检查当前的系统的状态。设定好的转变(命令)可以决定是否结果会使系统处于非授权状态。 安全审查的内容不再展开,在后续的入侵检测中仍会涉及。
改造linux,使用一次性口令login 在linux或win2k配置机群系统使得提供网络服务 学习linux下使用缓冲区溢出或者格式化输出,利用软件bug成为超级用户