信息安全概论09隐通道.ppt
32页
隐 通 道,华中科技大学计算机学院 信息安全实验室 骆婷,定义,定义1:隐通道是指违背设计者的意愿和初衷被用来通信 的通道 定义2:隐通道是一个通信信道,它使得一个进程能以违 反系统安全策略的方式传递消息 定义3:给定一个非自主安全策略模型M和它在一个操作系 统中的实现I(M), I(M)中的两个实体I(Si)和I(Sj)之 间的通信是隐蔽的,当且仅当模型中相应的两个实 体Si和Sj之间的通信是非法的隐通道是一个可以进行信息传送的通道,但它不是系统设计者设计用来传送信息的通道 由于它并非设计者用来传送信息的通道,因此系统安全策略(主要指非自主性的安全策略),没有对这种通道实施控制 由于没有安全控制,因此使得进程之间可以利用这些通道以违反安全策略的方式传递信息定义,隐通道的带宽:是指通过该信道传输的速度,以bits/s表示; 隐通道的宽度:经过隐通道一次所能传递的信息量,用 bits表示囚犯问题(prisoner problem):G.J.Simmson,分类,1、存储隐通道 是指一个进程对某客体进行写操作而另一个进程可以观察到写的结果而采用的通信路径 eg、客体属性: a、文件名:任何进程都可以访问; b、文件属性,比如文件长度、格式、修改日期、自主访问控制列表。
2、时间隐通道 一个进程对系统性能产生的影响可以被另一个进程观察到,并且可以利用一个计时基准进行测量举例,Eg1、磁盘移臂隐通道 两个进程H和L,占用51~59磁道,举例,1、利用共享资源 eg2.CPU是一种可以利用的系统资源,可由多个用户共享,假设有H和L两个进程,H的安全级高于L,H里含有特洛依木马S,企图将信息传递给L它们约定一系列间隔均匀的时间点t1,t1,t1,…(间隔时间至少允许两次CPU调度) L在每个时间点都请求使用CPU,而H在每个时间点,若要发送0,则不请求使用CPU;若要发送1,则请求使用CPU于是,在每个时间点,L若能立即获得CPU的使用权,则确认收到0,若要等待,则确认收到1,这个隐通道被称为“时间片间隔时间隐通道” eg3 打印机联接隐通道 设s和r分别是特洛依木马和窥视者,s的安全级高于r 每当s要传送“0”时,检查自己是否已联接到打印机,不联接打印机,释放联接每当s要传送“1”时,也检查自己是否已联接打印机,联接打印机 于是,r每当试图联接打印机,若他能联接,则确认收到“0”;否则,确认收到“1”当然,s和r要经过适当的同步处理(如r接收到“1”后,要立即释放打印机),便可以在s和r之间传送连续的比特流。
举例,2、通过判断客体是否存在产生隐通道 关于文件存在与否(信道可能很窄,带宽高) eg4 目录结构隐通道 假设系统中当前有用户H、L,H用户建了一个目录D,L被授权对D有写和执行权 L已通过某种手段将特洛伊木马程序S植入用户H的程序中,该特洛依木马企图将从目录D下获得的敏感数据泄露给L,其操作过程如下: ⑴发送方S若要传0,则在目录D下建一目录D1;若要传1,则删除目录D1 ⑵接收方L试图建立目录D1,若成功,则确认接收到1(R须立即删除D1);若失败,则确认接收到0 ⑶经过适当的同步处理,转入⑴,传送下一个比特举例,3、利用系统的管理机制产生隐通道 eg5 进程号隐通道 通过创建进程 L P1 H Pi L Pj,定义四 隐通道是指把描述资源的状态存储在变 量里,并通过这些变量来传送信息的信道 定义五 隐通道是指利用资源分配策略和资源管理 方法的信道总结,隐通道的存在并不意味着系统的安全性一定很低 隐通道的形成往往要依赖于系统中某些资源分配策略和资源管理方法的副作用,但这并不意味这些策略和方法是错误的,系统的性能和效率是系统设计者必须追求的重要目标安全和效率以及性能之间的矛盾是客观存在的,在它们之间要找到适当的平衡点,尽量在不影响效率和性能(至少少影响)的情形下,堵塞所有的安全漏洞。
隐通道的收、发方目的是非法的,但操作本身是合法的 隐通道存在的一个最主要的原因是不同安全级的用户之间共享系统资源,因而系统中存在可被高安全级用户修改并被低安全级用户观察到的状态变量审 计,审计是模拟社会监察机构在计算机系统中用来 监视、记录和控制用户活动的一种机制,它使 影响系统安全的访问和访问企图留下线索,以 供事后分析和追查审 计 的 功 能,事件收集功能 事件过滤功能 对事件的分析控制功能 日志维护和查询功能 审计信息安全性保护功能,实现机制,1、审计功能的开启和关闭 对系统性能的影响;系统审计员 2、审计开关 用来决定对行为进行收集(或监视)的范围 3、审计阈值 用来决定行为的发生是否严重到需要记录下来的程度 成功 失败 出错 违法 4、事件收集、过滤和控制 报警阈值,惩罚阈值,实现机制,5、审计日志 记录审计内容的载体,分为临时日志和归档日志 6、审计日志的查询 ·时间段 ·客体 ·用户 7、安全自维护 8、审计粒度 · 客体 (文件、关系) · 用户 ·(用户,客体),信息安全标准,,信息安全标准简介 信息系统安全评估准则 我国标准,信息安全标准简介,• 重要性 a、信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求,因此需要技术标准来规范系统的建设和使用。
b、没有标准就没有规范,没有规范就不能形成规模化信息安全产业,生产出足够的满足社会广泛需要的产品没有标准也不能规范人们安全防范行为 c、制定标准的机构有国际标准化组织,某些国家的标准化机关和一些企业集团他们的工作推动了信息系统的规范化发展和信息安全产业的形成 d、标准是科研水平、技术能力的体现,反映了一个国家的综合实力 e、标准也是进入WTO的国家保护自己利益的重要手段信息安全标准简介,• 国际标准的发展 国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类 a、国际上著名的标准化组织及其标准化工作 ISO,NIST b、密码标准 DES,AES,NESSIE(New European Schemes for Signature, Integrity, and Encryption)等等; c、可信计算机系统评价准则 TCSEC-ITSEC-CC d、管理标准 ISO 17799,信息系统安全评估准则,发展过程 (1)美国国防部 a、1985年发布“可信计算机系统评估准则(TCSEC)”(即桔皮书); b、可信网络解释(TNI 1987) c、可信数据库管理系统解释(TDI 1991) d、彩虹系列Rainbow series (2)欧洲 :90年代初,英、法、德、荷等四国针对 TCSEC准则的局限性,提出了包含保密性、完整性、可用性 等概念的“信息技术安全评估准则”(ITSEC),定义了从E0 级到E6级的七个安全等级,信息系统安全评估准则,发展过程 (3)加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria 》(CTCPEC) (4) 1993年,美国对TCSEC作了补充和修改,制定了“联邦标准草案”(简称FC) (5)1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的通用准则(CC-Common Criteria); 发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA,他们的代表建立了CC编辑委员会(CCEB)来开发CC 。
信息系统安全评估准则,,可信计算机信息评估准则,共分为四类七级,可信计算机信息评估准则,常用操作系统的安全级别:,TESEC的不足,1、TCSEC是针对孤立计算机系统,特别是小型机和主机系统假设有一定的物理保障,该标准适合政府和军队,不适和企业这个模型是静态的 2、NCSC的TNI是把TCSEC的思想用到网络上,缺少成功实践的支持 3、Moore’s Law: 计算机的发展周期18个月,现在还有可能减少到一年不允许长时间进行计算机安全建设,计算机安全建设要跟随计算机发展的规律ITSEC (又称欧洲白皮书),1、90年代初西欧四国(英、法、荷、德)联合提出了信息技术安全评价标准(ITSEC) 2、除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响 3、 七个等级: E6:形式化验证; E5:形式化分析; E4:半形式化分析; E3:数字化测试分析; E2:数字化测试; E1:功能测试; E0:不能充分满足保证通用评价准则(CC),美国为了保持他们在制定准则方面的优势,不甘心TCSEC的影响被ITSEC取代,他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。
91年1月宣布了制定通用安全评价准则(CC)的计划它的全称是Common Criteria for IT security Evaluation 制定的国家涉及到六国七方,他们是美国的国家标准及技术研究所(NIST)和国家安全局(NSA),欧州的荷、法、德、英,北美的加拿大 它的基础是欧州的ITSEC,美国的包括 TCSEC 在内的新的联邦评价标准,加拿大的 CTCPEC,以及 国际标准化组织ISO :SC27 WG3 的安全评价标准,通用标准(CC),CC标准评价的三个方面 保密性(confidentiality) 完整性(integrity) 可用性(availability) CC标准中未包含的内容: 行政管理安全的评价准则 电磁泄露 行政管理方法学和合法授权的结构 产品和系统评价结果的使用授权 密码算法质量的评价,安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是: EAL1:功能测试 EAL2:结构测试 EAL3:系统测试和检查 EAL4:系统设计、测试和复查 EAL5:半形式化设计和测试 EAL6:半形式化验证的设计和测试 EAL7:形式化验证的设计和测试,通用标准(CC),各种标准的对照,我国的标准,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准 于1999年9月13日由国家质量技术监督局审查通过并正式批准发布 于 2001年1月1日执行 《准则》规定了计算机系统安全保护能力的五个等级: 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级,第一级:用户自主保护级(C1级+完整性) 计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。
它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏 第二级:系统审计保护级(C2级) 与用户自主保护级相比,计算机信息系统可信计算基实施了粒度更细的自主访问控制 它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责,我国的标准,我国的标准,第三级:安全标记保护级(B1级) 计算机信息系统可信计算基具有系统审计保护级所有功能 此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误,我国的标准,第四级:结构化保护级(B2~B3) 计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上; 要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体; 此外,还要考虑隐蔽通道; 计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素; 计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完。
