Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng - PGS.TSK. H.Đ.Hải

Chia sẻ: Sdfcdxgvf Sdfcdxgvf | Ngày: | Loại File: PDF | Số trang:61

Thêm vào BST

Báo xấu

384
lượt xem 71
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Nội dung Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng nhằm trình bày các nội dung chính: các mô hình, nguyên lý đảm bảo an ninh mạng, phát hiện và chống xâm nhập trên mạng, bảo vệ hệ thống thông tin trên mạng, bảo vệ ứng dụng mạng.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng - PGS.TSK. H.Đ.Hải

Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng PGS. TSKH. Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT) Email: hoangdanghai@hn.vnn.vn 2012 1
Nội dung Các mô hình, nguyên lý đảm bảo an ninh mạng Phát hiện và chống xâm nhập trên mạng Bảo vệ hệ thống thông tin trên mạng Bảo vệ ứng dụng mạng 2
Các mô hình, nguyên lý đảm bảo an ninh mạng 3
Phạm vi bảo vệ User Intreface Host Host Process Process Data Data Channel Security Login control Access control Bảo vệ mức vật lý: khóa phòng, các thiết bị kiểm soát, cáp… Bảo vệ mức giao diện hệ thống: kiểm soát đăng nhập (ví dụ: với mật khẩu…) Bảo vệ truy cập, sử dụng hệ thống: kiểm soát truy nhập, quyền sử dụng Bảo vệ mức mạng: kết nối, các nút mạng, mã hóa dữ liệu… 4
Mô hình an ninh trong truyền thông mạng (1) 5
Mô hình an ninh trong truyền thông mạng (2) 6
Ví dụ: các quan hệ xác thực 7
Mô hình an ninh trong truy cập mạng 8
Tổng quan các mô hình an ninh Vành đai bảo vệ: mô hình phổ biến tới nay • Được thiết kế từ những năm 60s: VD. Máy chủ được bảo vệ trong phòng riêng bằng các hệ thống khóa vật lý… • Kernel trong hệ điều hành kiểm soát “all” • Kernel là gatekeeper, kiểm soát người dùng • Tương tự các bức tường pháo đài Analogous to castle walls & maginot line Các mô hình không dùng vành đai bảo vệ: Mật mã Các mô hình mới: • Hệ thống miễn dịch: Không vành đai. Phát hiện cục bộ các lỗi ứng dụng. • Phòng thủ tích cực (chủ động): Dùng 1 số tác vụ ở vùng giao tranh với tin tặc. Các hệ thống bảo vệ tới nay vẫn còn là thụ động. • Sử dụng các đặc tính vật lý: Nhúng thông tin vật lý (Sensor, RFID, Chip…) • Các mô hình mới?: bắt chước hệ miễn dịch sinh học. Active Networks và Active Agents, Detector networks,… 9
Tổng quan các mô hình an ninh mạng • Mô hình Bell LaPadula (trạng thái hữu hạn, phân mức nhạy cảm) Policy • Mô hình Biba (BLP+ cấp+ tập chính sách) • Mô hình Harrison-Ruzzo-Ullman (BLP + cấp phép) • Mô hình chính sách Unix System V/MLS Security Policy • Mô hình lưới mắt cáo của luồng tin (Lattice Model of Information Flow) • Mô hình không can thiệp (Noninterference Security Model) Information • Mô hình Clark-Wilson Flow • Mô hình Chinese Wall • Các mô hình kiểm soát truy nhập theo vai trò (Role-Based Access Control) • Các mô hình cấp phép dựa theo tác vụ (Task-Based Authorisation Models for Workflow) - Workflow Authorisation Model (WAM) - Task-Based Authorisation Controls (TBAC) • Security Models for Object-Oriented Information Systems - The Authorisation Model by Fernandez - The Orion Authorisation Model - The DORIS Personal Model of Data - Further Relevant Research • Resource Allocation Model for Denial of Service Protection • Multiple Security Policies Modelling Approaches 75 - The Generalised Framework for Access Control (GFAC) - The Multipolicy Paradigm and Multipolicy Systems 10
Mô hình Bell-LaPadula (BLP) Còn gọi là mô hình nhiều lớp, Được Bell và LaPadula đề xuất nhằm thực thi kiểm soát truy nhập trong các ứng dụng cho chính phủ và quân đội Mỹ. Các ứng dụng, đối tượng, chủ thể thông tin được phân loại thành nhiều mức an ninh khác nhau. Một chủ thể chỉ có thể truy nhập các đối tượng thông tin ở các cấp đã được xác định trước ứng với cấp độ an ninh nó được phép. Phân lớp mức nhạy cảm của Ví dụ về quy định an ninh điển hình: thông tin “Một nhân viên thuần túy không thể đọc thông tin được phân loại là bí mật” “Các dữ liệu tối mật không thể ghi vào các tệp ở mức không kiểm soát”. 11
Mô hình Bell-LaPadula (BLP) Cho L(S)= ls là cấp an ninh cho chủ thể S. Cho L(O)= lo là phân loại an ninh cho đối tượng O. Đối với mọi phân loại thông tin li, (i=0,…, k-1), và (li < li+1) cần có: • Điều khiện an ninh đơn giản (Đọc dữ liệu): No Read UP S chỉ có thể đọc O khi và chi khi lo < = ls (cấp an ninh rộng hơn phân loại đối tượng) và S có quyền truy nhập để đọc nội dung cụ thể của O. • Đặc tính “Sao” (*) (Star property) (Ghi dữ liệu): No Write DOWN S chỉ có thể ghi vào O khi và chỉ khi ls < = lo (cấp an ninh nhỏ hơn phân loại đối tượng) Và S có quyền truy nhập để đọc nội dung cụ thể của O. Chủ thể TS (Top Secret) không thể ghi dữ liệu vào file có phân cấp thấp hơn TS Chống dò rỉ thông tin đã phân loại. No Read UP; No Write Down! Vấn đề tồn tại: Các nhóm chủ thể khác loại trao đổi thông tin với nhau như thế nào? 12
Mô hình Bell-LaPadula (BLP) Định lý an toàn thông tin cơ bản Cho S là một hệ thống với trạng thái an toàn ban đầu là σ0 Cho L là tập các chuyển đổi trạng thái. i là chỉ số trạng thái Nếu như mỗi phần tử của tập L bảo toàn điều kiện an ninh đơn giản (NO READ UP), và đặc tính “sao” (NO WRITE DOWN), thì mọi trạng thái σi , được coi là an toàn, với mọi i ≥ 0. 13
Ví dụ: Phân cấp thư mục Một thư mục với tập các thư mục con, mỗi thư mục gán 1 tên Các thư mục ẩn bình thường không hiển thị cho người dùng. Khi một tiến trình có tên MAC_A tạo một tệp trong /tmp, nó sẽ tạo một file trong thư mục ẩn trong /tmp with tên MAC_A Thư mục cha của 1 file trong /tmp là thư mục ẩn. Mọi tham chiếu đến thư mục cha sẽ đến thẳng thư mục ẩn. Tiến trình A với MAC_A sẽ tạo /tmp/a. Tiến trình B với MAC_B sẽ tạo /tmp/b. Mỗi tiến trình sẽ thực hiện: “cd /tmp/a; cd ..” Câu lệnh hệ thống: stat(“.”, &stat_buffer) sẽ cho lại số hiệu nút I khác nhau đối với mỗi tiến trình. Số hiệu nút này là của thư mục ẩn tương ứng. 14
Mô hình Biba Bản sao của BLP Dựa trên Mô hình máy trạng thái hữu hạn như BLP. Định nghĩa các cấp toàn vẹn (tương tự phân cấp an ninh / mức độ nhạy cảm như BLP) Định nghĩa 1 tập các chính sách: Các mức toàn vẹn tĩnh Các mức toàn vẹn động Các chính sách viện dẫn 15
Mô hình Harrison-Ruzzo-Ullman (HRU) Mô hình BLP không có chính sách cho: Thay đổi quyền truy nhập Tạo mới và xóa bỏ các chủ thể và đối tượng Mô hình HRU định nghĩa hệ thống cấp phép để giải quyết vấn đề trên. Khái niệm mô hình: Định nghĩa các tập: Tập các chủ thể S, Tập các đối tượng O Tập các quyền truy nhập R – (Các thao tác truy nhập như BLP) Ma trận truy nhập Mso (mô tả trạng thái hệ thống). Mỗi lệnh được ghi nhận bằng việc thay đổi trạng thái từ M M’ Định nghĩa 6 thao tác nguyên thủy: • Enter r into Mso (thêm quyền truy nhập cho Mso) • Delete r from Mso (xóa quyền truy nhập của Mso) • Create subject s ………… • Create object o • Delete subject s • Delete object o. Mô hình HRU cho phép: Kiểm tra việc cần thiết phải tránh cấp phép quyền truy nhập không mong muốn Kiểm chứng các đặc tính an ninh của đối tượng và chủ thể 16
Các mô hình luồng tin Lưới mắt cáo (Lattice), Không can thiệp, Clark-Wilson, Chinese Wall Xem xét mọi luồng tin đi qua, kể cả các luồng tin ẩn (thông qua việc kiểm soát các hành vi truy cập) Sử dụng mô hình lý thuyết Entropy của luồng tin. Entropy là lượng thông tin có thể thu được qua quan sát luồng tin. Sử dụng các mô hình theo kiểu lưới mắt cáo (lọc thông tin) Khái niệm mô hình lattice: Một luồng tin FM định nghĩa bởi: FM = { N, P, SC, ⊕, } N = {a, b, …} là tập các đối tượng logic (ví dụ files, segments, các biến chương trình…). Mỗi người dùng có thể coi là 1 object. P = {p,q,…} là tập các tiến trình. SC = {A, B,…} là tập các lớp an ninh tương ứng với phân lớp các thông tin. Mỗi object a được giới hạn trong một lớp an ninh. Có 2 phương pháp liên kết: liên kết tĩnh và liên kết động ⊕ là toán tử kết hợp lớp. Kết hợp binary của 2 lớp a và b là a⊕b là biểu thị quan hệ giữa các luồng tin. Ví dụ cho các lớp A, B: A B nghĩa là chỉ và chỉ khi thông tin của lớp A được phép đưa vào lớp B. 17
Mô hình Chinese Wall Kiểm soát các quyền truy nhập động Dựa trên tập luật truy nhập và giảm thiểu mâu thuẫn về lợi ích theo quy luật: Không luồng tin nào được gây ra xung đột lợi ích với luồng tin khác Chinese Wall Model: Cho tập các công ty, Các nhà phân tích= Subjects, Các đơn vị thông tin = Objects Objects trong cùng công ty = Tập dữ liệu của công ty Các công ty tương tranh = Xung đột giữa các lớp quyền lợi Nhãn an ninh đối tượng = cặp (Cdataset, Col Class) Thông tin làm sạch = thông tin đã xóa bỏ phần nhạy cảm Đặc tính ss (ss-Property): Cấm mọi chủ thể để lộ ra xung đột về quyền lợi Quyền truy nhập được cấp nếu object thuộc: Dataset của công ty đã cấp cho người dùng hoặc Một xung đột khác của lớp lợi ích 18
Mô hình Chinese Wall (2) Đặc tính “sao” (*-Property): Cấm thông tin chưa làm sạch được lấy ra khỏi tập dữ liệu của một công ty Quyền truy nhập ghi ra được cấp nếu không có object nào khác được đọc với điều kiện: Object đó thuộc tập dữ liệu của một công ty khác Object đó chưa thông tin chưa làm sạch 19
Mô hình Clark-Wilson Thiết kế cho các yêu cầu an ninh cho các ứng dụng thương mại (khác yêu cầu quân sự theo BLP) Các yêu cầu chủ yếu về tính toàn vẹn của thông tin ! Các yêu cầu về tính toàn vẹn: Tính nhất quán trong: các đặc tính về trạng thái bên trong hệ thông (có thể thực thi bởi hệ thống) Tính nhất quán ngoài: quan hệ trạng thái bên trong một hệ thống với thế giới bên ngoài (thực thi bởi bên ngoài – ví dụ kiểm toán). Thực thi tính toàn vẹn nghĩa là: Giao dịch chuẩn xác Phân chia được trách nhiệm. Các chương trình được dùng làm phương tiện kiểm soát trung gian cho subject-object. Subject= chủ thể có quyền thực thi 1 số chương trình. Thể hiện tính toàn vẹn: Chủ thể được cấp quyền thực hiện một chương trình trên một đối tượng (data item) mà đối tượng này có thể được truy nhập từ chương trình này ! 20