攻防安全模型-Read.ppt

计算机网络攻防安全模型,中国网络安全部队,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,传统安全模型,形式化安全策略模型完整性模型Biba模型 Clark-Wilson模型 保密性模型访问控制模型（规范并描述了系统实现保密的特定机制）BLP模型BLP76RBAC模型FK92 DTE模型,传统安全模型,接口模型（规范保密性需求，但不描述实现该需求的机制）信息流模型Denn76不干扰模型GM82 新近的发展包括基于程序设计语言的安全模型 非形式化的安全风险模型如PDCADale02、P2DR ISS04、PDRRISS04、IATFIATF02和SSE-CMMCai04模型等等。还有新近的博弈模型,传统安全模型,相关模型ITIL指南COBIT模型,传统安全模型的缺点,形式化安全模型的缺点（以BLP模型为例）BLP模型的四个缺点：首先，访问控制的颗粒度问题。其次，BLP模型不能防止隐通道QLW04。再者，BLP模型中存在系统安全转移问题最后，BLP模型中可信主体不受星特性约束，访问权限太大，不符合最小特权原则，应对可信主体的操作权限和应用范围进一步细化。这个可以使用RBAC模型克服。,传统安全模型的缺点,基于形式化方法的安全模型经历了近三十年的研究，至今仍然在理论与实践中存在巨大的困难，主要体现在以下方面：首先，严格的形式化方法使得系统的可用性大大降低，而且依据严格形式化的安全模型建构系统开销太大，给实际应用带来困难。其次，形式化方法的局限使得系统不能对所有安全模型的安全性进行证明，更糟糕的是，形式化方法建立的安全，往往被攻击者从模型假定条件之外入侵，即形式化方法并不能建立或保证完全的安全，比如现实中的安全问题常常是软件的使用违背了软件设计中对目标环境的假定造成的。还有，现在的安全模型还受到来自新的分布式系统发展的挑战，比如随着移动系统、网格系统等新型分布式系统的发展，传统安全模型的表达能力、分析能力都不能满足要求。,传统安全模型的缺点,除了形式化方法本身的问题，在实际的安全工程实践中，形式化安全模型还存在一些实际设施上的困难：1）形式化规范常常只能在一些高安全系统和小系统中实现，比如基于形式化BLP模型的网络可信计算基理论已经很成熟，但是却很少在实际中大量使用。2）访问控制的控制对象粒度很粗，这就容易导致存在不受访问控制约束的对象，造成安全漏洞。粗粒度的访问控制也容易被突破。3）信息系统中过程、人、组织等造成的风险不能使用形式化规避。4）软件使用中的配置、环境假定违背等也不能通过形式化方法解决，因为它们通过违背形式化假定达到目的Matt04。5）现有大量信息系统的实现因为缺乏安全指导或项目进度等原因没有考虑安全因素。6）形式化安全模型常常是一种开环控制构成的一道屏障，一旦突破即会失去安全屏障。,传统安全模型的缺点,从上述模型可以看出，要对信息系统实施安全保障，都需要掌握组织的安全情况，也就是进行风险评估。根据风险评估的结果，才能对系统进行有效的风险控制。风险评估需要了解信息系统资产、威胁、脆弱性及其影响。所以，基于非形式化的风险安全模型需要具体的信息系统资产、威胁、脆弱性模型支持。但目前的安全风险模型都没有这些具体的模型。此外，上述模型分别从不同角度刻画了信息系统安全的各个方面，它们之间具有的关系并没有在各自模型或标准中说明，这些模型或标准之间的关系也是目前研究的热点。,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型,攻防模型希望在如下方面进行改进以克服已有模型的不足：1）攻防模型是基于风险的安全模型，从而可以克服形式化安全策略模型的一些不足，如不能规避信息系统中过程、人、组织等造成的风险以及不能解决软件使用中的配置、环境假定违背等。2）攻防模型中含有详细的信息系统资产、威胁、脆弱性模型，为风险评估提供依据。3）在攻防模型中为现有安全风险模型（及其标准）提供融合的、协调的统一框架。4)将攻击和防御包含在一个模型中，从而全面地刻画安全系统的信息。5）利用博弈思想刻画攻防双方的互动特性。,攻防模型,具体地说，攻防模型的一些假定如下：1）攻防模型将安全系统的研究对象定义为构建可信信息系统并抵御信息系统的脆弱性，研究对象的建模分为两个层次：首先是信息系统模型，然后是信息系统的脆弱性模型。2）信息系统的定义采用我国信息系统安全保障通用评估准则（草稿）中给出的信息系统的定义。即信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息技术系统是作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的或固件的任何组合。信息系统是在信息技术系统的基础上，综合考虑了人员、管理等系统综合运行环境的一个整体。攻防模型的信息系统模型不仅考虑技术因素，还考虑人员、管理等运行环境因素。3）脆弱性（也叫漏洞，本文脆弱性和漏洞相互等同使用）是客观存在的，信息系统（及其防御系统）本身存在脆弱性，而信息系统、脆弱性、攻击者、防御系统随时间演化也可能产生脆弱性。4）安全的本质是攻防双方不断利用脆弱性知识进行的博弈：攻防双方不断地发现漏洞并利用这些信息达到各自的目的，但是攻防双方在实施攻击或防御时必须考虑对方策略的影响。所以安全模型必须内含防御方和攻击方，而不是仅仅有防御方而不包含攻击方。事实上，博弈方可以多达三个以上，本文为了简单起见，仅含防御方和攻击方。攻击方受防御方影响，防御方受攻击方影响是攻防模型的基本假定。5)作为博弈一方的攻击方，受防御方和环境影响而存在不确定性，所以攻击方有风险。6）作为博弈一方的防御方，受攻击方和环境影响而存在不确定性，所以防御方也有风险。防御方必须坚持持续改进原则，其安全机制即含事前保障，亦含事后监控。防御方模型为现有安全风险模型提供融合的、协调的统一框架。,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型总体结构,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型信息系统模型,信息系统模型包含四个子模型：域模型、层次网络拓扑模型，产品模型，消息和事件模型。层次网络模型，产品模型，域模型刻画了信息系统的静态部分。时间特性和消息与事件模型刻画了信息系统的动态部分。,信息系统模型域模型,参考网络结构,参考网络结构,参考网络结构,参考网络结构,信息系统模型层次网络拓扑模型,信息系统模型消息和事件模型,信息系统模型产品模型,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型脆弱性分析模型,攻防模型攻击场景模型,攻防模型攻击场景模型,攻防模型攻击场景模型,攻防模型攻击场景模型,攻防模型攻击场景模型,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型防御系统模型,（）安全目标与安全策略（）时间特性及深度防御（）安全保障子系统,攻防模型防御系统模型,报告大纲,传统安全模型攻防模型总体结构信息系统模型脆弱性分析模型攻击场景模型防御系统模型攻防模型小结,攻防模型小结,攻防模型包括四个部分：信息系统模型、脆弱性分析模型、攻击场景模型和防御系统模型。其中信息系统模型、脆弱性分析模型、攻击场景模型构成了入侵检测面临的客观环境。该模型将攻击方和防御方包含在一个模型中，并利用博弈思想刻画攻防双方的互动特性；模型中含有详细的信息系统资产、威胁、脆弱性模型，为风险评估提供依据；模型给出四个方面之间的依赖关系；模型不仅考虑了空间的扩展还考虑了时间上的演化；攻防模型还为现有安全风险模型（及其标准）提供融合的、协调的统一框架，它不仅能继承现有安全模型的工作，比如安全策略模型，脆弱性模型，主动防御模型（P2DR），信息保障模型，SSE-CMM的安全模型，还容纳博弈论等模型，是个相对全面的系统。,中国网络安全部队 S.T.C.NCEO:中华特攻,