在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家介紹了CISSP CBK中要求掌握,同時也是目前世界上使用最廣的幾個安全模型的概念和原理。安全模型只是個概念,要把它應(yīng)用到實踐中,就需要使用到本文要介紹的保護機制,它是比安全模型更具體,更接近實際應(yīng)用的概念,當(dāng)前的許多操作系統(tǒng)、安全軟件產(chǎn)品的基礎(chǔ),都是建立在它之上的(再次提醒,CISSP考試不涉及具體的產(chǎn)品和技術(shù)細(xì)節(jié))。
保護機制實現(xiàn)的目標(biāo)是將系統(tǒng)內(nèi)的所有實體(數(shù)據(jù)、用戶、程序等)進行隔離,并通過一定的規(guī)則允許實體間進行訪問。因此從所執(zhí)行的動作,保護機制可以分成主動(Active)和被動(Passive)兩類:主動保護機制是根據(jù)所定義的規(guī)則,主動阻止對指定實體的訪問,訪問控制、內(nèi)存保護等技術(shù)都屬于主動保護機制;而被動保護機制本身不會阻止對指定實體的訪問,但會通過阻止對指定實體的使用來實現(xiàn)保護功能,我們使用加密技術(shù)來防止信息的泄漏、用Checksum來檢測對信息的未授權(quán)修改,都屬于被動保護機制。
保護機制通常部署到操作系統(tǒng)、硬件或固件上,CISSP CBK中將它按照所部署的位置分成三類:平臺(Platform)、大型機(Mainframe)、網(wǎng)絡(luò)(Network),下面J0ker給逐一給大家介紹在這三個分類上使用的保護機制:
平臺保護和大型機保護機制:平臺保護是主要用在通用操作系統(tǒng)上的保護機制,主要以軟件實現(xiàn)為主;大型機保護則是主要應(yīng)用于大型機上的保護機制,一般使用專用的安全硬件實現(xiàn)。但隨著近年來軟硬件技術(shù)的發(fā)展,這兩個分類所使用的保護技術(shù)都在互相融合,由于硬件產(chǎn)品集成度提高和價格的大大下降,許多PC和工作站上已經(jīng)集成了原來只在大型機上使用的安全硬件,而大型機為了降低制造成本,也將越來越多的保護功能通過軟件來實現(xiàn),所以在CISSPOfficialGuide中不再將平臺保護和大型機保護分開來列,而是將它們所用的保護技術(shù)列在一起。
使用在這兩個分類的保護技術(shù)
可信計算基礎(chǔ)(Trusted Computing Base,TCB):TCB是一個計算機系統(tǒng)中所有提供保護功能的組件的總稱,包括硬件、軟件、固件、進程和一些進程間的通信等,它通過這些組件完成對安全策略的實現(xiàn)。TCP功能的實現(xiàn)是根據(jù)其內(nèi)置的保護機制或用戶所輸入的參數(shù),來保證安全策略的實施或滿足相應(yīng)的安全標(biāo)準(zhǔn)(如TCSEC等)。不過要注意的是,TCB是一個定義而不是一個特定的產(chǎn)品,目前的大部分操作系統(tǒng)都沒有完全使用TCB的全部組件,只使用了TCB用來執(zhí)行功能的一部分,這個部分就是接下去要介紹到的引用監(jiān)視器(Reference Monitor)。
TCB的設(shè)計需求如下:
1、TCB應(yīng)該在一個不受外部干擾影響的自有域內(nèi)執(zhí)行
2、TCB所控制的資源應(yīng)根據(jù)使用關(guān)系分為使用者(Subject)和目標(biāo)(Object)兩個子集
3、TCB應(yīng)該把資源進行隔離以執(zhí)行訪問控制和審計功能
TCB提供的基本功能有:
1、進程激活:在一個多重處理的環(huán)境內(nèi)管理進程激活/掛起時提供寄存器、文件訪問列表、進程狀態(tài)信息和指針等敏感信息的管理功能
2、執(zhí)行域切換:確保在一個域內(nèi)執(zhí)行的進程不會影響到其他域內(nèi)的其他進程
3、內(nèi)存保護:確保每個域所使用的內(nèi)存的安全
4、輸入輸出操作:監(jiān)視程序?qū)υO(shè)備直接或間接的輸入輸出操作
引用監(jiān)視器(Reference Monitor):RM的功能是根據(jù)訪問控制數(shù)據(jù)庫的定義,對抽象系統(tǒng)中所有使用者對目標(biāo)的訪問進行控制。
安全內(nèi)核(Security Kernel):安全內(nèi)核由TCB的硬件、軟件和固件部分加上引用監(jiān)視器所構(gòu)成,我們可以這樣來區(qū)分安全內(nèi)核和引用監(jiān)視器:引用監(jiān)視器和安全內(nèi)核的功能是相同的,但引用監(jiān)視器是執(zhí)行訪問控制功能的抽象模型,而安全內(nèi)核則是使用在各種系統(tǒng)中的具體實現(xiàn)。安全內(nèi)核的結(jié)構(gòu)如下圖:
 |
| 圖1 |
為了保證安全功能的實現(xiàn),安全內(nèi)核必須滿足以下三個要求:
1、安全內(nèi)核能管理所有的訪問(全局性)
2、安全內(nèi)核能保護自己不受有意或意外修改(隔離性)
3、安全內(nèi)核可以通過驗證確定其有效性(可驗證性)
TCB、RM和Security Kernel這三個概念挺容易混淆,CISSP考試也經(jīng)常考核與它們相關(guān)的內(nèi)容,復(fù)習(xí)的時候應(yīng)當(dāng)注意一下。
安全邊界(Security Perimeter):用來隔離安全內(nèi)核內(nèi)外的資源,安全邊界外的資源是不可信的。注意將它和近兩年常說的“邊界安全“相區(qū)別。
分層(Layering):分層是指在系統(tǒng)設(shè)計時對功能和實現(xiàn)按照一定的原則進行分層,層次越低的權(quán)限越高,每一層的操作和使用的數(shù)據(jù)都盡量不對其它層次產(chǎn)生影響,這里會引入一個技術(shù)——數(shù)據(jù)隱藏(Data Hiding)。此外,部署安全措施的層次越低,則安全措施的效能和控制范圍就越好,因此應(yīng)該把安全措施部署在系統(tǒng)的最底層,下面是一個示例系統(tǒng)的分層:
 |
| 圖2 |
TOC/TOU保護:系統(tǒng)設(shè)計時需要使用資源鎖定防止權(quán)限低的進程/用戶通過劫持或修改特權(quán)用戶的操作的途徑訪問敏感信息。
額外保護(Guard Protection):系統(tǒng)常常需要使用其他的方案來提供額外的保護,比如在數(shù)據(jù)庫系統(tǒng)中,除了在數(shù)據(jù)庫本身對用戶的訪問權(quán)限進行控制之外,通常還會通過提供一個帶有查詢檢查功能的界面來限制用戶提交不符合安全策略規(guī)定的查詢。
進程隔離(Process Isolation):系統(tǒng)對同時執(zhí)行的進程進行隔離,防止進程之間的互相影響,這個功能在現(xiàn)代操作系統(tǒng)中是一個基本功能。
最低權(quán)限原則(Least Privilege):系統(tǒng)中所有的權(quán)限給予滿足操作所需的最低權(quán)限即可,這個在其他許多領(lǐng)域也能看到,比如許多企業(yè)內(nèi)網(wǎng)用戶只有User權(quán)限,不能夠在自己的機器上安裝或修改軟件,要新增軟件必須由管理員干涉。
加固(Hardening):加固是通過一定的操作和配置使系統(tǒng)的安全程度得到提高,它不屬于系統(tǒng)設(shè)計階段,而屬于系統(tǒng)的部署和維護階段。
以上是在系統(tǒng)設(shè)計時常使用的安全措施,此外,根據(jù)安全措施在系統(tǒng)中部署的層次不同,還可以將其分為通用操作系統(tǒng)級保護、應(yīng)用程序級保護、存儲設(shè)備保護、網(wǎng)絡(luò)級保護。其中:
操作系統(tǒng)級別保護需要滿足的需求有:
用戶識別和認(rèn)證(User Identification and Authentication)
強制訪問控制(Mandatory Access Control)
自主訪問控制(Discretionary Access Control)
完全控制(Complete mediation)
目標(biāo)重用保護(Object reuse protection)
審計 (Audit)
審計日志的保護 (Protection of Audit logs)
日志篩選 (Audit logs reduction)
可信路徑 (Trusted Path)
入侵檢測 (Intrusion Detection)
應(yīng)用程序級別上所提供的保護措施主要是針對用戶的輸入和程序的輸出進行保護、過濾,還使用上面說過的Guard Protection技術(shù)來提供額外的安全功能。
存儲設(shè)備保護關(guān)注的是保護存儲在各種設(shè)備上的敏感信息的保密性和完整性,最近幾年安全業(yè)界比較關(guān)注的企業(yè)移動設(shè)備安全和企業(yè)級加密就屬于這個領(lǐng)域。
網(wǎng)絡(luò)級保護關(guān)注的是信息傳輸過程中的保密性和完整性,這個領(lǐng)域的內(nèi)容在CISSP另外一個CBK——電信和網(wǎng)絡(luò)安全還會詳細(xì)介紹。
下篇預(yù)告:《安全標(biāo)準(zhǔn)》,J0ker將向大家介紹各種用于從系統(tǒng)架構(gòu)和設(shè)計角度評測產(chǎn)品的標(biāo)準(zhǔn),敬請期待!
