--续2 访问控制技术(看清楚是技术不是模式!)
Constrained User Interfaces限制性用户界面就是通过一些手段,比如menus和shells, 数据库视图database views以及物理性限制界面physically constrained interfaces等来限制用户使用某些功能。比如将程序菜单中不让用户使用的功能隐藏就可以限制用户的使用。数据库视图就是采用视图隐藏不让用户知道的信息。物理性的限制措施比如银行为客户提供的密码键盘等。
访问控制矩阵Access Control Matrix
访问控制矩阵是一个表述主体和客体访问权限的表格。在这个表中,列表示客体的访问控制列表ACL,而行表示主体的能力capability list。也就是说能力capability是基于主体subject的,而ACL是基于客体Object的,比如资源。
内容相关访问控制Content-Dependent Access Control
这种方式的访问控制中,主体能否访问客体完全依赖于客体所包含的内容,比如数据的机密性。这种方式的访问控制主要用于数据库中,一般采用视图实现。
上下文相关访问控制Context-Dependent Access Control
顾名思义,这种方式的访问控制依赖于已经获得的信息的集合,也就是说依赖于上下文关系,后续的访问许可依赖于前面已经获得的信息。比如在状态检查性防火墙中,是否允许TCP SYN/ACK,依赖于内部网络中的是否曾经发起过TCP连接。
访问控制的层次
一个好的访问控制是分层次的,是深度保护的。也就是说,不依赖于某一种手段来保护信息的安全。在访问控制层次上,一般可以分为
Administrative controls:通过行政手段对信息系统进行保护。包括安全策略(Policy),步骤Procedures, 培训,工作背景调查等等行政方面的制度。
Logical或者Technical Control: 通过技术手段来对系统进行保护。包括有加密Encryption, Smart Card, Access Control List(ACL)等等
Physical Control:通过物理手段来保护信息系统,包括锁Locks,计算机保护线,灯光等等。
Administrative controls
管理型控制是软控制(Soft control),处于访问控制的最高层。高层管理者制定安全目标,依照这些目标制定出安全策略、流程、规章制度等等。包括有Policy and procedures、Personnel controls、Supervisory structure、Security-awareness training和Testing。
Policy and procedures
Security Policy是一个公司中最高级别的安全要求,它来源于法律,规章制度以及公司目标,表明了管理层对安全实践的要求,什么是可以接受的活动以及管理层可以接受的风险,是一个公司的安全大纲,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。Procedures, guidelines, and standards是安全策略的详细描述。
Personnel controls
人员控制表明人员如何与安全规则交互。包括有两种,一种是separation of duties,另外的一种是rotation of duties。separation of duties说的是一项重要的任务需要两个或以上的人员来完成,这种任务分割,由于需要多人来完成,因此可以防止欺骗。rotation of duties说的是某个人员不能长期在一个岗位上工作,需要有岗位轮换制度。由于多个人熟悉一个岗位,岗位轮换可以检测出某个人员工作的欺骗,也可以提供岗位的备用人员。
Administrative controls
管理型控制是软控制(Soft control),处于访问控制的最高层。高层管理者制定安全目标,依照这些目标制定出安全策略、流程、规章制度等等。包括有Policy and procedures、Personnel controls、Supervisory structure、Security-awareness training和Testing。
Policy and procedures
Security Policy是一个公司中最高级别的安全要求,它来源于法律,规章制度以及公司目标,表明了管理层对安全实践的要求,什么是可以接受的活动以及管理层可以接受的风险,是一个公司的安全大纲,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。Procedures, guidelines, and standards是安全策略的详细描述。
Personnel controls
人员控制表明人员如何与安全规则交互。包括有两种,一种是separation of duties,另外的一种是rotation of duties。separation of duties说的是一项重要的任务需要两个或以上的人员来完成,这种任务分割,由于需要多人来完成,因此可以防止欺骗。rotation of duties说的是某个人员不能长期在一个岗位上工作,需要有岗位轮换制度。由于多个人熟悉一个岗位,岗位轮换可以检测出某个人员工作的欺骗,也可以提供岗位的备用人员。
Supervisory structure
这种措施说的是公司内的每个员工都有一个汇报的责任人,也可以说是上级。这个上级为其所下属的人员行为负责。如果某个人员行为不符合公司的规定,那么将首先通知他的上级。
这种措施说的是公司内的每个员工都有一个汇报的责任人,也可以说是上级。这个上级为其所下属的人员行为负责。如果某个人员行为不符合公司的规定,那么将首先通知他的上级。
Security-awareness training
由于在安全层次中,人是最薄弱的环节,因此,必须要通过培训来提供人员的安全意识。如果公司人员知道公司的安全规定以及违反安安全规定的后果,就会降低发生安全风险的可能性。
Testing
公司内的所有的安全控制方法措施都进行周期性测试,以保证这些安全方法和措施确实可以达到安全需求。同时,测试还可以发现问题,以便解决问题。
Physical Control
• Network segregation
网络隔离可以通过物理和逻辑的方法实现。也就是说把具有一定保密级别的信息放置在某个单一的区域,通过物理手段控制人员接触。
• Perimeter security
边界安全说的是,在安全区域的边界进行控制。比如门卡、闭路电视、栅栏等等
• Computer controls
主要说的是控制对计算机的使用。比如计算机锁,禁止USB接口,计算机电源锁等等
• Work area separation
不同保密和安全级别的信息及服务器放置在不同的物理区域中,对这些区域的访问进行不同的访问控制。
• Data backups
数据备份是物理控制中非常重要的一个环节,通过备份,可以保证在发生意外事件时,可以访问这些备份数据并恢复系统。备份数据的物理保护非常重要,必须保证非授权人员不能访问备份数据,并制定严格的备份数据介质的访问和使用规范。
• Cabling
不同的线缆有不同的安全级别。比如,在对数据泄露敏感的区域,必须使用可以防止窃听或者电磁泄露的线缆。
Technical Controls
Technical Controls又叫Logical Controls,就是通过软件工具来控制主体对客体的访问。这些都是操作系统,安全软件包,应用程序等等的核心模块。
• System access
按照不同的访问控制模型来决定主体如何访问系统。如果采用MAC模型,那么就按照主体和客体的安全标签来确定用户的访问权限。如果是DAC,就按照主体的capability list和客体的ACL来确定访问权限。
• Network architecture
好的网络结构通过可以通过逻辑控制来实现逻辑或者物理上的网络隔离,以增强安全性。比如非军事区DMZ,信任域和非信任域就是一个很好的网络隔离的例子。
• Network access
通过防火墙,路由器,交换机等设备,通过逻辑手段限制用户是否可以访问网络。
• Encryption and protocols
加密和协议可以保护信息在传递的时候不被泄漏,篡改。
• Control zone
Control Zone是物理控制,是一个特定的,可以防止电磁信号辐射出去的区域。比如在建筑材料上选择可以吸收电磁波的材料。
• Auditing
日志可以记录下和跟踪系统中发生的任何事件,根据日志,管理员可以知道发生过什么,是否有安全威胁等等,同时还可以找出事件的发生时间,并在可能的情况下重建事件的发生。由于日志很容易被修改和删除,因此日志必须要安全保护,只有特定的用户,比如管理员,安全员才有权查看修改和删除日志。scrubbing是删除日志中的特定的犯罪数据。同时可以使用数字签名保证日志不会被修改。可能的话,可以保存在一次性可写入光盘中
访问控制的类型
Preventive Control, Detective Control, Corrective Control, Deterrent control四类. Preventive Control就是阻止不希望的事件发生,而Detective Control就是在Preventive无法阻止部希望的事件发生后,可以迅速发现这些事件,Corrective Control就是在有害事件发生后来对信息系统进行修复。Deterrent Control是延迟有害事件的发生。
在Preventive-Detective-Corrective循环中,Preventive是最有效的方法。通过Preventive可以有效减少Detective和Corrective的使用。Detective由于既要评估Preventive的有效性,又要发现Preventive不能控制的事件,因此是费用比较高的一个部分。
Preventive: Administrative
• Policies and procedures
• Effective hiring practices
• Pre-employment background checks
• Controlled termination processes
• Data classification and labeling
• Security awareness
• Security policies and procedures.
• Supervision.
• Disaster recovery, contingency, and emergency plans.
• User registration for computer access.
• Policies and procedures
• Effective hiring practices
• Pre-employment background checks
• Controlled termination processes
• Data classification and labeling
• Security awareness
• Security policies and procedures.
• Supervision.
• Disaster recovery, contingency, and emergency plans.
• User registration for computer access.
Preventive: Physical
• Badges, swipe cards
• Badges, swipe cards
Badges 的图片== http://www.freewebs.com/kristendouglas/School%20Badges.jpg
• Guards, dogs
• Fences, locks, mantraps
• Backup files and documentation.
• Fences.
• Security guards.
• Badge systems.
• Double door systems.
• Locks and keys.
• Backup power.
• Biometric access controls.
• Site selection.
• Fire extinguishers.
Preventive: Technical
• Passwords, biometrics, smart cards
• Encryption, protocols, call-back systems, database views, constrained user
interfaces
• Antivirus software, ACLs, firewalls, routers, clipping levels
• Access control software.
• Antivirus software.
• Library control systems.
• Passwords.
• Smart cards.
• Encryption.
• Dial-up access control and callback systems.
Detective: Technical
Audit Trails
IDS
Detective:Administrative
• Security reviews and audits.
• Performance evaluations.
• Required vacations.
• Background investigations.
• Rotation of duties.
• Guards, dogs
• Fences, locks, mantraps
• Backup files and documentation.
• Fences.
• Security guards.
• Badge systems.
• Double door systems.
• Locks and keys.
• Backup power.
• Biometric access controls.
• Site selection.
• Fire extinguishers.
Preventive: Technical
• Passwords, biometrics, smart cards
• Encryption, protocols, call-back systems, database views, constrained user
interfaces
• Antivirus software, ACLs, firewalls, routers, clipping levels
• Access control software.
• Antivirus software.
• Library control systems.
• Passwords.
• Smart cards.
• Encryption.
• Dial-up access control and callback systems.
Detective: Technical
Audit Trails
IDS
Detective:Administrative
• Security reviews and audits.
• Performance evaluations.
• Required vacations.
• Background investigations.
• Rotation of duties.
Unauthorized Disclosure of Information非授权信息泄漏
Object Reuse
说的是某种含有其他信息的介质被重复使用时发生的信息泄漏问题,特别是含有机密信息的时候。当然,程序进程使用的内存、对象等等也包括在内。最常见的object resuse是软盘,硬盘等等。
Formatting a disk or deleting file是不能擦除信息的,必须在erased或者degaussed之后才可以使用。
Emanation Security
所有的电子设备都会发射电磁波,这些电磁波可以用来重建所处理的信息,因此,必须要防止电磁辐射。 TEMPEST就是如何控制电磁辐射的一个标准。当然电磁辐射低于某个数值无法重建信息就可以认为是安全的。可以替代TEMPEST的方法是使用White Noise或者Control Zone。 White Noise就是使用使用随机的单一频谱来扩展整个带宽。
原文: http://butian.org/security/server/133_3.html
博文
没有评论:
发表评论