81、智能电网与端点安全软件的安全机制解析

terraform7cloud

于 2025-10-12 10:20:19 发布

阅读量17

点赞数

CC 4.0 BY-SA版权

分类专栏：云浏览器：重塑网络体验文章标签：智能电网端点安全软件条件用户访问控制

本文链接：https://blog.youkuaiyun.com/terraform7cloud/article/details/153621778

云浏览器：重塑网络体验专栏收录该内容

89 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

智能电网与端点安全软件的安全机制解析

智能电网领域的条件用户访问控制机制

在智能电网系统中，当要批准智能电网域 B 用户的接入方式时，智能电网服务系统会查询整体服务相关特征。智能电网服务系统自身可以配备策略执行点（PEP）和策略决策点（PDP）。此时，PDP 会返回与智能电网服务特征相关的条件任务的授权决策，PEP 则将授权决策请求发送到外部服务。智能电网服务接收来自 PEP 的授权决策请求，并返回特征令牌，该令牌用于在智能电网服务系统上检查来自 PEP 的条件任务。

智能电网域联动的条件用户访问控制机制程序如下：
1. 智能电网域 B 请求访问智能电网服务系统。
2. 智能电网服务系统将授权决策请求发送到服务，这由智能电网服务系统内的 PEP 或其外部 PEP 执行。
3. 一旦智能电网服务接收到来自智能电网服务系统 PEP 的授权决策请求，就将该请求传递给 PEP。
4. PEP 向 PDP 发送 XAML 特征决策请求。
5. PDP 确认智能电网域 B 的账户、特征和策略，然后将批准/拒绝决策发送给 PDP。
6. 如果授权被批准，PDP 将 SAML 特征令牌发送给 PEP。
7. PEP 传输 SAML 令牌。
8. 智能电网服务将令牌发送给智能电网服务系统。
9. 智能电网服务系统向智能电网域 B 提供智能电网域 A 的服务。

下面通过 mermaid 流程图展示该过程：

graph LR
    A[智能电网域 B] -->|请求访问| B[智能电网服务系统]
    B -->|授权决策请求| C[服务]
    C -->|授权决策请求| D[PEP]
    D -->|XAML 特征决策请求| E[PDP]
    E -->|批准/拒绝决策| D
    E -- 批准 -->|SAML 特征令牌| D
    D -->|SAML 令牌| C
    C -->|令牌| B
    B -->|提供服务| A

端点安全软件的安全需求

端点设备如 PDA、笔记本电脑、黑莓手机、平板电脑等存在安全漏洞。端点软件包括反间谍软件/恶意软件、加密软件、数据丢失预防系统、安全 USB 和设备控制软件、基于客户端操作系统的防火墙等。利用公司安全政策并通过严格监控内部安全漏洞来确保其执行，能进一步提高端点安全的有效性。然而，目前尚未建立评估端点安全软件是否正确提供用户所需基本安全功能以及这些功能是否安全开发的标准。

保护轮廓（PP）情况

之前发布的许多保护轮廓（PP）是基于特定产品类型编写的，如防火墙、多功能设备等。通过通用标准门户发布了约 220 个 PP，不同国家还单独开发和发布了其他 PP。创建 PP 的优势在于可以定义特定产品类型的最低安全功能，也能反映 PP 开发者或消费者所需的安全功能。但随着新安全产品的推出和需求的差异，需要为消费者和开发者开发新的 PP。因此，开发和发布了大量的 PP，且之前的 PP 在威胁、假设、组织安全政策和安全功能要求等方面存在很多相似之处。通过分析这些相似性，创建一个可应用于各种产品的通用 PP 可以减少 PP 开发的数量，并且使安全目标（ST）开发者在开发没有 PP 的产品的 ST 时，也能充分添加通用 PP 的基本要求。

不同产品类型评估中，常见的产品主要分为网络设备（如防火墙、入侵检测系统（IDS）和虚拟专用网络（VPN）等可连接到网络的基础设施设备）和端点安全软件（如安装在 PC 上防止 PC 安全威胁的 PC 防火墙和主机数据丢失防护（DLP））。由于这些产品的运行环境相同或相似，它们面临相同或相似的威胁。例如，网络设备需要具备应对通信通道中 TSF 数据暴露、恶意“更新”、禁止访问、TOE 资源耗尽和数据损坏等威胁的安全目的和安全功能要求。同样，端点安全软件的运行环境也相似，即使产品类型不同，也可能存在共同威胁，因此需要相同的安全目标和安全功能要求。

安全问题描述

资产保护 ：端点安全软件应保护的资产包括防护 PC、PC 用户数据以及与产品操作相关的关键数据。
威胁分析 ：
| 威胁名称 | 描述 |
| ---- | ---- |
| T.TSF disclosure | 恶意用户可能导致 TOE 或其配置数据被不当查看。 |
| T.TSF Modify | 恶意用户可能导致 TOE 或其配置数据被不当修改或删除。 |
| T.UnAuthorized Update | 恶意方试图向最终用户提供产品更新，可能会损害 TOE 的安全功能。 |
| T.Undetected Actions | 恶意用户可能采取对 TOE 安全产生不利影响的行动，这些行动可能未被检测到，因此其影响无法有效缓解。 |
| T.UnAuthorized Stop | 使用可阻止威胁的方式停止 TOE 的安全功能。 |
| T.TransferedData Disclosure | 当存在 TOE 安全策略的中央管理服务器时，威胁可能会暴露、更改或删除管理服务器与 TOE 通信过程中的关键数据，如密码、配置设置等。 |
| T.UnAuthorized Management | 当存在 TOE 安全策略的中央管理服务器时，威胁可能伪装成管理服务器，将禁止的安全策略设置应用到 TOE 中。 |
| T.Reused auth data | 威胁可能会重用认证数据以尝试访问安全功能。 |
组织安全政策 ：
| 政策名称 | 描述 |
| ---- | ---- |
| P.Accountability | TOE 应生成并维护与安全相关事件的记录，以确保问责制，并且记录应被审查。 |
| P.Secure Management | TOE 应为其授权用户提供一种安全管理 TOE 并保持 TSF 数据最新的方法。 |
假设条件 ：
| 假设名称 | 描述 |
| ---- | ---- |
| A.OS Reinforcement | TOE 有一个例行程序，用于删除不必要的服务或措施，并修复操作系统的漏洞（例如使用补丁），以确保操作系统的可信度和稳定性。 |
| A.Timestamp | IT 环境为 TOE 提供可靠的时间戳。 |

智能电网与端点安全软件的安全机制解析

端点安全软件的安全目标与要求

安全目标

端点安全软件有明确的安全目标，可分为 TOE 目标和操作环境目标。
- TOE 目标 ：
| 目标名称 | 描述 |
| ---- | ---- |
| O.TSF Protection | TOE 应保护自身免受对其功能和数据的未经授权的访问或篡改，以维护系统数据和审计记录的完整性。并且 TOE 将提供测试其部分安全功能的能力，以确保其正常运行。 |
| O.Secure Communication | TOE 必须通过安全通信通道保护分布式 IT 实体。 |
| O.Server Verification | 在设置 TOE 策略或进行升级时，必须检查相应管理服务器或更新服务器的合法性。 |
| O.Residual Information Clearing | TOE 将确保在受保护资源重新分配时，其中包含的任何数据都不可用。 |
| O.Audit | TOE 的 IT 环境将提供可靠的时间源，以使 TOE 能够为审计记录添加时间戳。 |
| O.Notice | TOE 应根据为每个事件设置的策略发出警报。 |
| O.Secure Management | TOE 应为其授权用户提供一种有效管理 TOE 并保持 TSF 数据最新的方法。 |
- 操作环境目标 ：
| 目标名称 | 描述 |
| ---- | ---- |
| OE.OS Reinforcement | TOE 应有一个例行程序，用于删除不必要的服务或措施，并修复操作系统的漏洞（例如使用补丁），以确保操作系统的可信度和稳定性。 |
| OE.TimeStamp | TOE 的 IT 环境必须为 TOE 提供可靠的时间源，以便为审计记录提供准确的时间戳。 |

安全要求

安全功能要求源自信息技术安全评估通用标准第 2 部分（版本 3.1，修订 4），并包含额外的扩展功能组件。具体如下：
| 功能类 | 功能组件 |
| ---- | ---- |
| 安全审计 | FAU_ARP.1、FAU_GEN.1、FAU_SAA.1、FAU_STG.1、FAU_STG.4、FAU_STG.5 |
| 密码支持 | FCS_CKM.1、FCS_CKM.4、FCS_COP.1 |
| 安全管理 | FMT_MOF.1、FMT_MTD.1、FMT_MSA.1、FMT_SMF.1、FMT_SMR.1 |
| 识别和认证 | FIA_AFL.1、FIA_UAU.2、FIA_UID.2 |
| 保护 TSF | FPT_ITC.1、FPT_ITT.1、FPT_RCV.1、FPT_STM.1、FPT_TST.1 |

下面通过 mermaid 流程图展示安全要求的主要流程：

graph LR
    A[安全审计] --> B[密码支持]
    B --> C[安全管理]
    C --> D[识别和认证]
    D --> E[保护 TSF]

端点数据丢失防护（DLP）案例研究

端点 DLP 扩展包描述了端点 DLP 的安全要求，旨在提供一组最小的、基线的要求，以应对明确描述的威胁。不过，这个扩展包本身并不完整，而是对端点安全软件 PP 的扩展。

端点 DLP 用于监控和缓解端点处不安全的数据处理。它可以监控可能在主机上传输机密或敏感数据的程序，或者检查存储中的数据以查找是否违反 DLP 策略。端点 DLP 运行在桌面和服务器上，并且可以与网络 DLP 产品配合使用，以提供完整的监控解决方案。其主要工作流程如下：
1. 监控主机上的程序，检查是否有传输机密或敏感数据的行为。
2. 审查存储中的数据，查看是否违反 DLP 策略。
3. 与网络 DLP 产品协同工作，实现全面监控。

通过以上对智能电网领域的条件用户访问控制机制和端点安全软件的安全需求、目标、要求以及端点 DLP 案例的分析，我们可以更清晰地了解相关安全机制的运作和重要性，为保障智能电网和端点设备的安全提供有力的支持。