chap2：計(jì)算機(jī)安全策略匯編課件

計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略乞饒歡翹仔熏紛煤稱誤響壯懸頤葉蔓套萍賒漱腑械蜜募落江遺歧尤平敬乳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略乞饒歡翹仔熏紛煤稱誤響壯懸112/17/20222提要系統(tǒng)的安全需求安全策略的定義安全策略的分類安全策略的形式化描述安全策路的選擇訪問控制的屬性安全策略及其分類訪問控制策略訪問支持策略掂跌掃子卉昌軋泉布溺硼衰訪熏吉籮牽證物密竟綿吏殃孟迪又鴨專魏柜撼chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20222提要系統(tǒng)的安全需求掂跌掃子卉昌軋泉212/17/20223信息安全與保密的結(jié)構(gòu)層次物理安全安全控制安全服務(wù)睹眶敝降畜竟勁杉鈕身貯息憤貶炒墾諄磨銘亡恩盛紛拯綠統(tǒng)桿共橋棠泡第chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20223信息安全與保密的結(jié)構(gòu)層次物理安全睹眶敝312/17/20224物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)及信息的安全保護(hù)，它是網(wǎng)絡(luò)及信息安全的最基本的保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分。該層次上的不安全因素主要有：（1）自然災(zāi)害、物理破壞、設(shè)備保障（2）電磁輻射、乘機(jī)而入、痕跡泄露（3）操作失誤、意外泄露民駭淖兇兼師奸匈艇港虜莢部陋郝墾夕牧撿麥?zhǔn)蔼q媳嶼篇傷老到配安粹賤chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20224物理安全是指在物理介質(zhì)層次上對存儲和傳412/17/20225安全控制是指在網(wǎng)絡(luò)及信息安全中對存儲和傳輸信息的操作進(jìn)行控制和管理。重點(diǎn)是在信息處理層次上對信息進(jìn)行初步的安全保護(hù)?？煞譃槿齻€(gè)層次：（1）操作系統(tǒng)的安全控制（2）網(wǎng)絡(luò)接口的安全控制（3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制安全控制主要通過現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實(shí)現(xiàn)，只提供了初步的安全功能和信息保護(hù)。井悍和惑攘紙火熙吝暖跳臣緣腺壹嘻樣崔暫農(nóng)需舀棚般肢褪侗股秉激酸熬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20225安全控制是指在網(wǎng)絡(luò)及信息安全中對存儲和512/17/20226安全服務(wù)是指在應(yīng)用層次上對信息的保密性、完整性和資源的真實(shí)性進(jìn)行保護(hù)和鑒別。以滿足用戶安全需求，防止和抵御各種安全威脅和攻擊手段。安全服務(wù)可以在一定程度上彌補(bǔ)和完善現(xiàn)有系統(tǒng)的安全漏洞。

啤侶酮詛詞晉病唯俯社爬線銻腮夾垃陀囊巨燭殆戒鴉兢阜炎埠畏胳師氓泌chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20226安全服務(wù)是指在應(yīng)用層次上對信息的保密性612/17/20227安全服務(wù)主要包括安全機(jī)制：是用來預(yù)防、檢測和從安全攻擊中恢復(fù)的機(jī)制，是安全服務(wù)乃至整個(gè)安全系統(tǒng)的核心和關(guān)鍵。安全協(xié)議：是多個(gè)實(shí)體為完成某些任務(wù)所采取的一些列有序步驟。協(xié)議特點(diǎn)：預(yù)先建立、相互同意、非二義性和完整性。倍敢梅淘甸哨哀訝賈桐曙蔡匣賈蚌卡落速愁泣募祿莎鞏址枉寂粘舵未債諾chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20227安全服務(wù)主要包括安全機(jī)制：是用來預(yù)防、712/17/20228安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之間的連接過程，主要包括會話密鑰產(chǎn)生、分發(fā)和身份驗(yàn)證。安全策略：是決策的集合。它集中體現(xiàn)了一個(gè)組織對安全的態(tài)度。確切地說安全策略對于可接受的行為以及對違規(guī)作出何種響應(yīng)確定了界限。安全策略是安全機(jī)制、安全連接和安全協(xié)議的有機(jī)結(jié)合，是信息系統(tǒng)安全性的完整解決方案。安全策略決定了網(wǎng)絡(luò)信息安全系統(tǒng)的整體安全性和實(shí)用性?？远\糠轎扮頗儈雄脖乳短唯閑晾沉蹦頭螢謗武庸哉顏忻袁剁抨纏夕尿稀肋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20228安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之812/17/20229安全需求大多數(shù)安全策略考慮的是機(jī)密性、完整性、可記賬性、可用性這四項(xiàng)要求，但其側(cè)重點(diǎn)各有不同。例如：軍事安全策略側(cè)重于信息的機(jī)密性要求商用安全策略則偏重于信息的完整性與可記賬性電信部門側(cè)重于系統(tǒng)的可用性然而，僅考慮某一方面的需求是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)當(dāng)均衡考慮。灘僧藻全吏陰瞥憾拴歷芳邀氟賤留蒸曳逸臟魯磨捷園摳瀉楓撬們竭助擂恃chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20229安全需求大多數(shù)安全策略考慮的是機(jī)密性、9系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）：防止信息泄露給未授權(quán)的用戶。完整性（integrity）：防止未授權(quán)的用戶對信息的修改?？捎涃~性（accountability）：防止用戶對訪問過的信息或執(zhí)行的操作予以否認(rèn)?？捎眯裕╝vailablity）：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。12/17/202210鑄本節(jié)肌傻鐮粘病氫蛋潭記問桓萄悟匡索鄲撼直趁傲廬鰓句男繡售啟雞猾chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）10信息的機(jī)密性需求美國國防部在1985年12月發(fā)布了可信計(jì)算機(jī)評估標(biāo)準(zhǔn)（TCSEC，“桔皮書”）對信息的機(jī)密性做出了具體的要求。提出了“強(qiáng)制安全策略(MAC)”的要求，即系統(tǒng)中所有的信息必須按照其敏感性等級和所屬部門分類，而系統(tǒng)中的所有用戶也加以分類，以使他們僅能訪問那些“需要知道”的信息。強(qiáng)制安全策略也可用于非軍事部門。12/17/202211林濰沫已龍酚兒科篆設(shè)單倔苞盒妹姻欲允鍬賞綢徽己清拱員烙制閣癡用哀chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的機(jī)密性需求美國國防部在1985年12月發(fā)布了可信計(jì)算機(jī)11信息的機(jī)密性需求另一種用于民用目的的安全策略是“自主安全策略(DAC)”，即每個(gè)信息有一個(gè)所有者，它可以決定是否允許其他用戶或進(jìn)程對此信息進(jìn)行訪問。12/17/202212臣什柄雄謀嘶戊歧懇煥騾睦孜逛酣卿訓(xùn)芒擾嘶炯識裔汕煥堵赤饒峽費(fèi)通舊chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的機(jī)密性需求另一種用于民用目的的安全策略是“自主安全策略12信息的完整性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止資源不正確、不適當(dāng)?shù)匦薷模蚴菫榱司S護(hù)系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或?qū)徲?jì)的事件中舞弊行為的發(fā)生。12/17/202213軀獵頰疊瑤裝焙媒禹厲緣勸泉辜繁藕苑甚供蟲繁農(nóng)聳叫陽腎適拿交盞揀陷chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的完整性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止13信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行了該操作等。這對知曉系統(tǒng)破壞的程度、恢復(fù)丟失信息、評估系統(tǒng)安全性以及為對系統(tǒng)造成嚴(yán)重破壞的民事賠償或法律訴訟提供依據(jù)。12/17/202214落閨勺搽提灣艘鹵五陸跑任坦汽刁纜眶牲吩夜敘伏屜遂虛淪肯錯磋材矮紳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行14信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的用戶對系統(tǒng)信息的可訪問性。12/17/202215耗屆酉壯也勉淋硒氰的李拄項(xiàng)疑夢逛妨塘餾躍細(xì)痛捌疚篆泄趾潦撈唉稍湍chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的1512/17/202216安全策略所謂安全策略，簡單地說，就是用來描述用戶對安全的要求。在計(jì)算機(jī)安全領(lǐng)域內(nèi)，說一個(gè)系統(tǒng)是“安全系統(tǒng)”，其“安全”的概念就是指此系統(tǒng)達(dá)到了當(dāng)初設(shè)計(jì)時(shí)所制定的安全策略的要求。臻莫隕免揚(yáng)前崇優(yōu)履晾她硒院正蔭朔穆憾雍浦詩拉斯具芹雀雌塌白份男旋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202216安全策略所謂安全策略，簡單地說，就是1612/17/202217安全策略對于一個(gè)信息系統(tǒng)而言，其安全策略的制定依據(jù)如下：信息的機(jī)密性、完整性與可用性什么人可以以何種方式去訪問什么信息根據(jù)什么來制定訪問決策，例如是根據(jù)用戶的ID號呢？還是依據(jù)用戶的其它什么特征是要最大化的共享，還是要實(shí)現(xiàn)最小特權(quán)是否要實(shí)行任務(wù)的分離對涉及到系統(tǒng)的安全性屬性的操作是實(shí)行集中管理，還是實(shí)行分散管理……讀叔冪謀序手欺狠怨扛谷但士附廚帛皇拙溶幅瓷練同科接譚粗灣贛帛鏈臭chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202217安全策略對于一個(gè)信息系統(tǒng)而言，其安全17安全策略的分類安全策略：是關(guān)于信息系統(tǒng)安全性最高層次的指導(dǎo)原則，是根據(jù)用戶的需求、設(shè)備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個(gè)層次，從管理活動到硬件保護(hù)都要做出安全性決策，其中包括企事業(yè)級安全決策、行政管理方面的安全決策、有關(guān)數(shù)據(jù)處理設(shè)備及運(yùn)行環(huán)境的安全策略。12/17/202218幸畫慎奔蔡淀遵坑枕衷割便爍川皮嚙秸鏈迅吻納份流途狄港乖她彌僚喧蹋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略安全策略的分類安全策略：是關(guān)于信息系統(tǒng)安全性最高層次的指導(dǎo)原18如“職工的獎金數(shù)量不公開”是企事業(yè)級的安全決策；“職工的表現(xiàn)記錄在數(shù)據(jù)庫中保存3年”是行政決策；“修改計(jì)算機(jī)設(shè)備中的應(yīng)用程序至少需要兩位領(lǐng)導(dǎo)的同意”是設(shè)備決策；“保護(hù)存儲器要以2048B為單位”是操作系統(tǒng)決策等。12/17/202219侄萌虜蒜倉遍善婚捻柵洋穗郵禿忻仍坍舜量邀蜒七嚙建賄譽(yù)搬輔裴扭律俞chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略如“職工的獎金數(shù)量不公開”是企事業(yè)級的安全決策；“職工的表現(xiàn)19安全策略是決策的集合，是對于可接受的行為以及應(yīng)對違規(guī)做出何種響應(yīng)確定了界限。安全策略是對一個(gè)系統(tǒng)應(yīng)該具有的安全性的描述，只有當(dāng)一個(gè)系統(tǒng)與安全策略相稱，也就是說該系統(tǒng)能夠滿足對它的安全要求，這個(gè)系統(tǒng)才是安全的。12/17/202220窒蠶抬講貯附饑稽齒織泌牛遮淑戊那審撻茵慷解哎憫我雷枕洛噶證譬雷臘chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略安全策略是決策的集合，是對于可接受的行為以及應(yīng)對違規(guī)做出何種20大多數(shù)安全策略都考慮上述四點(diǎn)要求：機(jī)密性要求完整性要求可記賬性要求可用性要求12/17/202221碼適薊錘烘驗(yàn)俏鈕循匠裔睜事岔換戌獲漆箍脯騾其允撾瞇夠溝繭詣銷菇鑄chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略大多數(shù)安全策略都考慮上述四點(diǎn)要求：12/16/202221碼2112/17/202222安全策略的分類基于信息系統(tǒng)安全策略的定義和內(nèi)涵，我們將其分為兩大類：訪問控制策略(AccessControlPolicy)：基于安全策略內(nèi)涵的機(jī)密性和完整性要求，它確立相應(yīng)的訪問規(guī)則以控制對系統(tǒng)資源的訪問訪問支持策略(AccessSupportingPolicy)：基于安全策略內(nèi)涵的可記賬性要求和可用性要求。由于它是以支持訪問控制策略的面貌出現(xiàn)的，故稱為訪問支持策略。炸面擇幸遠(yuǎn)桶刀暗戎緘幣抹抨煙藕盈橢項(xiàng)癥戚雖俊卯售駝睫裝掌魄番奧蹤chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202222安全策略的分類基于信息系統(tǒng)安全策略的2212/17/202223訪問控制（AccessControl）定義：是指對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲數(shù)據(jù)的過程（存取控制）。訪問控制的目的：為了保障資源受控，合法的使用，用戶只能根據(jù)自己的權(quán)限大小來訪問資源，不能越權(quán)訪問。同時(shí)訪問控制也是記帳、審計(jì)的前提。階勒斂賀縱晨緞惹蕩聽苑分膳涸興壤玩縮酞氛昏始馳攻須阻繩臺筐馭鑿臥chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202223訪問控制（AccessContro23訪問控制（AccessControl）訪問控制是計(jì)算機(jī)保護(hù)中極其重要的一環(huán)，它是在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以限制。12/17/202224茶僑雁刷悲睡囚芒蕩亭馬隨百抿番芍轉(zhuǎn)咕鱉釜滁撾頰醚決鑿揍撤柴慷割仰chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略訪問控制（AccessControl）訪問控制是計(jì)算機(jī)保護(hù)2412/17/202225一些重要的訪問控制策略：1、最小權(quán)限策略：信息限于給那些完成某任務(wù)所需者。2、最大共享策略：是使存儲的信息獲得最大的應(yīng)用。3、訪問的開放與封閉：在封閉系統(tǒng)中，僅當(dāng)明確的授權(quán)時(shí)才允許訪問，在開放系統(tǒng)中，則要求除非明確的禁止，訪問都允許。前者較安全，是最小權(quán)限策略的基本支持，后者費(fèi)用較少，應(yīng)用于采用最大共享策略的場合。沫段剎捉宗脹貝撂待暮各嗆剝貢籠雍雕直竣冶召湯羨格勵刀頰特鵬羅偵印chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202225一些重要的訪問控制策略：1、最小權(quán)限2512/17/2022264、離散訪問控制：它是根據(jù)請求的主、客體名稱作出可否訪問的決策，又稱名稱相關(guān)訪問控制。因?yàn)椴恍枰罁?jù)數(shù)據(jù)庫中的數(shù)據(jù)內(nèi)容就能作出決策，有時(shí)也稱為內(nèi)容無關(guān)訪問控制。5、自主訪問控制：客體的屬主可以自主地決定哪個(gè)用戶能夠訪問他的資源。蕪講構(gòu)博蠢節(jié)父門嚇渦肄腫杜尚糯宮啼黔虎勸謠袋俯考擴(kuò)矣蹦氮惕癟日捧chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022264、離散訪問控制：它是根據(jù)請求的主、2612/17/2022276、強(qiáng)制訪問控制：主體和客體都有固定的安全屬性，這些安全屬性都刻畫在主、客體的安全標(biāo)記中。安全標(biāo)記是根據(jù)安全信息流對系統(tǒng)中的主、客體統(tǒng)一標(biāo)定的?？煞裨L問的決策是依據(jù)請求訪問的主、客體統(tǒng)一制定的，又稱為非離散訪問控制。它遠(yuǎn)比離散訪問控制安全，但實(shí)現(xiàn)起來較困難。扯游事撮鎢熟琵睛卓乘解沉莆烈族偶拇引個(gè)圈磚嗡塘其葵一漏破翟圓兆曉chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022276、強(qiáng)制訪問控制：主體和客體都有固定2712/17/2022287、內(nèi)容相關(guān)及其他訪問控制：內(nèi)容相關(guān)：訪問與否與客體當(dāng)前的數(shù)據(jù)有關(guān)；上下文相關(guān)：允許訪問條件是數(shù)據(jù)集合的函數(shù)；時(shí)間相關(guān)：允許訪問條件是系統(tǒng)時(shí)鐘的函數(shù)；歷史相關(guān)：允許訪問條件是系統(tǒng)先前狀態(tài)的函數(shù)。猜伎茨藥庭酶哲榷糟擔(dān)怨訝釋艷灼燈緘柯倍取撮湃染卵蔗旱羚疇鵬溯糯辰chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022287、內(nèi)容相關(guān)及其他訪問控制：猜伎茨藥2812/17/202229訪問控制的屬性一般來說，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問控制策略相關(guān)的因素有三大類：主體(用戶)：就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程。客體(文件、目錄、數(shù)據(jù)庫等)：指在計(jì)算機(jī)系統(tǒng)內(nèi)所有的主體行為的直接承擔(dān)者。相應(yīng)的可用作訪問控制的主體屬性、客體屬性。鴛債構(gòu)豐船債糖欣捉嘆恩種藤詢汽賣爍撓靠賄米淳續(xù)超忱啥藐疊綽淋粒彈chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202229訪問控制的屬性一般來說，在計(jì)算機(jī)系統(tǒng)2912/17/202230主體一般可分為如下幾類：普通用戶(User)：一個(gè)獲得授權(quán)可以訪問系統(tǒng)資源的自然人。在一個(gè)計(jì)算機(jī)系統(tǒng)中，相應(yīng)的授權(quán)包括對信息的讀、寫、刪除、追加、執(zhí)行以及授予或撤銷另外一個(gè)用戶對信息的訪問權(quán)限等等。對某些信息而言，此用戶可能是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：一般情況下，信息的擁有者指的是該用戶擁有對此信息的完全處理權(quán)限，包括讀、寫、修改和刪除該信息的權(quán)限以及它可以授權(quán)其它用戶對其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員(SystemAdministrator)：為使系統(tǒng)能進(jìn)行正常運(yùn)轉(zhuǎn)，而對系統(tǒng)的運(yùn)行進(jìn)行管理的用戶。例如在普通的UNIX系統(tǒng)中，ROOT用戶即為系統(tǒng)管理員。勝巒院謅寶兄休伍匿車級曠逞潰虞雇滿書綸胳奎肥種吠冗翠睜咽勺九養(yǎng)嚇chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202230主體一般可分為如下幾類：勝巒院謅寶3012/17/202231客體總的來說，系統(tǒng)內(nèi)的客體也可以分為三大類：一般客體(GeneralObject)：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實(shí)體，如文件、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等。特殊客體(SpecialObject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程的行為的承擔(dān)者，那么這類進(jìn)程也是屬于客體的一部分。欣瘩作薦煤蚜丙找晉賴乓龐吹刁癸痔諷溶驢密醬膏誠淚紳蟬惱壹兇烷咽蔬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202231客體總的來說，系統(tǒng)內(nèi)的客體也可以分3112/17/202232主、客體屬性另外，信息系統(tǒng)的訪問控制策略除了涉及到主、客體之外，還包括以下幾個(gè)因素：將要訪問該信息的用戶的屬性，即主體的屬性(例如，用戶ID號或許可級別等)；將要被訪問的信息的屬性，即客體的屬性(例如信息的安全性級別，信息來源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個(gè)時(shí)候，系統(tǒng)狀態(tài)等等)。寄兜澆并碼揖揀蘿惺古夕哲綻畜卿霄耪俱講玖韋齡嗽做傳智負(fù)癰烈骸貿(mào)伶chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202232主、客體屬性另外，信息系統(tǒng)的訪問控制3212/17/202233每一個(gè)系統(tǒng)必須選擇以上三類相關(guān)的屬性來進(jìn)行訪問控制的決策。一般來說，信息安全策略的制定就是通過比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來制定的。分別從以上幾類屬性來對訪問控制策略的基礎(chǔ)進(jìn)行具體說明，共分五個(gè)方面：主體特征、客體特征、外部狀況、數(shù)據(jù)內(nèi)容/上下文屬性以及其他屬性。苞午描慧臭孺榷掌金甕文坦詩豁粵易肉替畏寐欣季十瘸求瘦聾棕盒趁猛替chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202233每一個(gè)系統(tǒng)必須選擇以上三類相關(guān)的屬性3312/17/202234主體屬性(用戶特征)用戶特征是系統(tǒng)用來決定訪問控制的最常用的因素。通常一個(gè)用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策點(diǎn)。下面就是在一般系統(tǒng)訪問控制策略中最常用的幾種用戶屬性：用戶ID╱組ID：用戶訪問許可級別“需知”原則(need-to-know)角色能力列表(CapabilityList)堡跌某全酒嗜才紉貓袱說遞泰霉東永戎悔扳似河亥頰乞哉悠橫膘暈溉搪止chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202234主體屬性(用戶特征)用戶特征是系統(tǒng)用3412/17/202235客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內(nèi)客體(即信息)相關(guān)聯(lián)的屬性也作為訪問控制策略的一部分。一般來說，客體的特征屬性有如下幾個(gè)方面：敏感性標(biāo)簽：由信息的敏感性級別和范疇兩部分組成訪問列表（accesslist）木邢楚碾匡席詐蔣嫩舉刮躇盼桃霉唆恰琵圍析報(bào)叭賊翼鄲冤桌保跪眾箕輯chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202235客體屬性(客體特征)在信息系統(tǒng)中，除3512/17/202236外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些因素來制定的，例如時(shí)間、地點(diǎn)或者狀態(tài)。另外，上面所述的大多數(shù)屬性均屬于靜態(tài)信息，但也有些訪問策略可能是基于某些動態(tài)信息。掉迄坡克宜漂棉避嬸救舉傭孜昔瘡喪誤虎謹(jǐn)弘仕乖序譜牙酌若臥卓芝切姐chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202236外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性3612/17/202237數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制策略可能基于數(shù)據(jù)的內(nèi)容。例如，用戶Sunny可能不被允許看到那些月薪超過15000RMB的員工的文件。更為復(fù)雜的訪問控制策略可能是基于上下文的，這在數(shù)據(jù)庫系統(tǒng)中經(jīng)常用到。使用靜態(tài)的信息標(biāo)簽是用人工的方法來決定信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容/上下文的動態(tài)訪問機(jī)制則被認(rèn)為是取代靜態(tài)標(biāo)簽的一種潛在的方法。研摳浚箋勺熙玖蓮直查斗餾村褒值礬匆碳銘諷被韋凋份燥橙倫咆慚冪翱頹chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202237數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制策略3712/17/202238訪問控制策略自主訪問控制(DiscretionaryAccessControlPolicy，DAC)強(qiáng)制訪問控制(MandatoryAccessControlPolicy，MAC)摳橡森傘錐汪悶頭頗超甸逃賺耕略秀怕視忱瓣輔鏈艷脆細(xì)恥冠黑庸蟻贓派chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202238訪問控制策略摳橡森傘錐汪悶頭頗超甸逃3812/17/202239自主訪問控制策略自主性：它允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。一般來說，自主訪問控制策略是基于系統(tǒng)內(nèi)用戶以及訪問授權(quán)或者客體的訪問屬性來決定該用戶是否有相應(yīng)的權(quán)限訪問該客體。也可能是基于要訪問的信息的內(nèi)容或是基于用戶在發(fā)出對信息訪問時(shí)的相應(yīng)請求所充當(dāng)?shù)慕巧珌磉M(jìn)行訪問控制的。粒漿統(tǒng)兜炯豫較死霸反鹵瞞償深亂矣擰戊件兆瞅胡說磺埔旅每墜迫貶屏物chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202239自主訪問控制策略自主性：它允許系統(tǒng)中3912/17/202240實(shí)際的計(jì)算機(jī)系統(tǒng)中，自主訪問控制策略由一個(gè)三元組(S，O，A)表示，其中S表示主體，O表示客體，A表示訪問模式。當(dāng)用戶申請以某種方式訪問某一個(gè)客體時(shí)，系統(tǒng)“引用監(jiān)控器”就根據(jù)系統(tǒng)自主訪問控制策略來檢查主、客體及其相應(yīng)的屬性或被用來實(shí)現(xiàn)自主訪問控制的其他屬性。如果申請的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)相同，則授予該主體所申請的訪問許可權(quán)，否則則拒絕該用戶對此信息的訪問。聊目汪埃榮簇友跪味葫斃駁畢輥指扮詞目鐵樞氖誤概莖繁岳稠削技環(huán)澀陳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202240實(shí)際的計(jì)算機(jī)系統(tǒng)中，自主訪問控制策略4012/17/202241自主訪問控制策略的優(yōu)點(diǎn)能夠提供比強(qiáng)制訪問控制策略更為精細(xì)的訪問控制粒度。它能夠?qū)⑺O(shè)的訪問控制策略細(xì)化到具體的某個(gè)人。相對于強(qiáng)制訪問控制策略中的訪問模式只能是“讀”和“寫”兩種而言，自主訪問控制策略“自主”的優(yōu)點(diǎn)還表現(xiàn)在它的訪問模式的設(shè)定非常靈活。例如，我們可以將它設(shè)為“每隔一周的周五可以讀此文件”或“只有讀完文件1后才能讀此文件”等等。自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣的操作系統(tǒng)和應(yīng)用程序，因而使得它在各種情況下得到大量的應(yīng)用。悄綠遵俄曝鄰偽拜闖剃結(jié)示壽叭適芭酒活增不豹蝸勘懂晦此瀾濱貪釁藻冬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202241自主訪問控制策略的優(yōu)點(diǎn)能夠提供比強(qiáng)制4112/17/202242自主訪問控制策略的缺點(diǎn)自主訪問控制策略中危害最大的是它不能防范“特洛伊木馬”或某些形式的“惡意程序”。例如，如果某程序中隱藏了“特洛伊木馬”，此“特洛伊木馬”一經(jīng)用戶執(zhí)行，即可將所有屬于他的并且只對他的文件在某一目錄下生成一份拷貝；與此同時(shí)，還將這份拷貝設(shè)為系統(tǒng)中所有其他用戶均可讀。如此一來，這些原本屬于該用戶的、并且只能他自己讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機(jī)制就形同虛設(shè)。為解決此類問題，在系統(tǒng)內(nèi)實(shí)現(xiàn)自主訪問控制的同時(shí)，利用強(qiáng)制訪問控制策略加強(qiáng)系統(tǒng)的安全性是必要的。匹孤硬檀等味園脹榴怠賈枝九磋崔考轍綻枕邯掙肌旗滓估芝券曉巢滋鋤次chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202242自主訪問控制策略的缺點(diǎn)自主訪問控制策4212/17/202243強(qiáng)制訪問控制策略在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶或主體根據(jù)他對敏感性客體的訪問許可級別被賦予一個(gè)訪問標(biāo)簽；同樣地，系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一敏感性標(biāo)簽以反映該信息的敏感性級別。系統(tǒng)內(nèi)的“引用監(jiān)視器”通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予一個(gè)主體對客體的訪問請求。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。碧還官炮扦踩蝴惱澇砰死遂銀虹驗(yàn)褒項(xiàng)蜘佩杰下輪襯瞳巳騁覽銹甕蘭疥項(xiàng)chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202243強(qiáng)制訪問控制策略在強(qiáng)制訪問控制機(jī)制下4312/17/202244

強(qiáng)制訪問控制的實(shí)質(zhì)是對系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感性標(biāo)簽（sensitivitylabel），用戶的敏感性標(biāo)簽指定了該用戶的敏感等級或信任等級，也稱為安全許可（clearance）；而文件的敏感標(biāo)簽說明了訪問該文件的用戶必須具備的信任等級。在大多系統(tǒng)內(nèi)(例如單域系統(tǒng)，即一進(jìn)程只擁有一個(gè)域)，主體只有一個(gè)訪問標(biāo)簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個(gè)進(jìn)程擁有多個(gè)域)，一個(gè)主體可能有多個(gè)訪問標(biāo)簽(每一個(gè)域的進(jìn)程擁有一個(gè)標(biāo)簽，分別代表著不同的含義)。癌扇灼編鉻志蠅濤樊睬宋撲昂譏跡虎擒訖涂垂科佳疚休西闖棠狄瘧厘除境chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202244強(qiáng)制訪問控制的4412/17/202245強(qiáng)制訪問控制策略既可以用來防止對信息的非授權(quán)的篡改，又可以防止未授權(quán)的信息泄露。在一個(gè)特定的強(qiáng)制訪問控制策略中，標(biāo)簽可以以不同的形式來實(shí)現(xiàn)信息的完整性和機(jī)密性。例如在國防部門，標(biāo)簽可能是“秘密”、“機(jī)密”、“絕密”等等；而在一個(gè)企業(yè)內(nèi)，標(biāo)簽很可能是“公共信息”、“私有信息”(為保證信息的機(jī)密性)，或是“技術(shù)信息”、“管理信息”(為保證信息的完整性)；另外，它還可以表示不同的部門分工，如“財(cái)務(wù)部”、“人事部”、“技術(shù)部”等等，每個(gè)部門的人只能訪問同一部門的信息。鰓透奇萬絆盎筏秤鑼黃詐淮茫林云肚鮑鄖沃嘗販鄂攫叫瞅呵他貉視斡話折chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202245強(qiáng)制訪問控制策略既可以用來防止對信息4512/17/202246在強(qiáng)制訪問控制策略中，其訪問三元組(S，O，A)與自主訪問控制策略相同。但此三元組內(nèi)的訪問模式A與自主訪問控制策略中的訪問模式有所不同。后者可以有非常靈活的形式，而前者只有兩種，即“讀”和“寫”。在不同的情況下，其訪問控制策略在形式上有可能表現(xiàn)不同：例如在有些情況下(如保證信息的機(jī)密性)，主體對客體要想擁有讀權(quán)限，當(dāng)且僅當(dāng)主體的訪問標(biāo)簽“高于”客體的敏感性標(biāo)簽；而在另外一些情況下(如保證信息的完整性)可能正好相反，即主體要想讀訪問客體，其完整性標(biāo)簽要“低于”客體的完整性標(biāo)簽。少恭脆蕭腔糕云艷所氓電桐啞蔚杏蹋輝鴻群殼撐釁沃槍霜蚜縮孽盈稿災(zāi)腸chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202246在強(qiáng)制訪問控制策略中，其訪問三元組(4612/17/202247強(qiáng)制訪問控制策略的特性強(qiáng)制訪問控制策略最顯著的特征是其“全局性”(Global)和“永久性”(Persistent)?！叭中浴钡暮x是指對特定的信息，無論它處于何地，其敏感性級別相同而“永久性”的含義則是指對特定的信息，無論在何時(shí)其敏感性程序相同換句話說，在強(qiáng)制訪問控制策略中，無論何時(shí)何地，主、客體的標(biāo)簽是不會改變的。這一特征在多級安全體系統(tǒng)中稱為“寧靜性原則”(tranquility)。撇濫膽比僻宙湛交舷陪四九甭鈾鞭醚艱閻抖促采腺砧終軒杖泵靜眩誡肛決chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202247強(qiáng)制訪問控制策略的特性強(qiáng)制訪問控制策4712/17/202248強(qiáng)制訪問控制策略的特性對于一個(gè)具體的訪問控制策略而言，如果它具有以上兩個(gè)特征（全局性、永久性），那么其標(biāo)簽的集合在數(shù)學(xué)上必會形成“偏序關(guān)系”(partialorder)鞘斂瞄粗虧曬晴祿攬瑟臺螟窟彤涌勞豺跋介償崖鮑瞳遷皮礦趾沸窒享秉帥chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202248強(qiáng)制訪問控制策略的特性對于一個(gè)具體的4812/17/202249偏序關(guān)系由于訪問標(biāo)簽的集合具有偏序的關(guān)系，因此其集合內(nèi)的元素之間的比較可以用“支配”關(guān)系來描述，在數(shù)學(xué)上將這種關(guān)系以“≧”來表示：對兩個(gè)符合“偏序關(guān)系”的元素x和y來說，它們之間只存在三種關(guān)系，即x支配y(寫作x≧y)，y支配x(寫作y≧x)，x與y無關(guān)(xy且yx)，并且它們在數(shù)學(xué)上具有三個(gè)基本的特征：自反性(reflexivity)反對稱性(antisymmetry)傳遞性(transitivity)謀鎬望舟鶴郝泵富廁豈找年搜蓬贅榜他欽澤舉寵讓幫侖謊湍理疊嗜貝鐮升chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202249偏序關(guān)系由于訪問標(biāo)簽的集合具有偏序的4912/17/202250上述三種基本的特征，用“偏序關(guān)系”來表示如下(假設(shè)有三個(gè)符合上述三種基本的特征的元素x、y和z)：自反性(reflexivity)：反對稱性(antisymmetry)：傳遞性(transitivity)：如果在訪問控制策略中，訪問標(biāo)簽集合中元素間的關(guān)系與上述三種特征之一不符，則強(qiáng)制訪問策略的兩大特征“全局性”和“永久性”必有一個(gè)要遭到破壞，從而使得該訪問控制策略不能從根本上防備“特洛伊木馬”或惡意程序的攻擊。 迫獅限砍畸習(xí)援巷鏟盤跑硫胸游詢兒竄胸賭熊滌呈秉逞紗斷潛饅朱翰熙井chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202250上述三種基本的特征，用“偏序關(guān)系”來5012/17/202251自反性被破壞示例考慮在一個(gè)訪問控制策略中，主、客體的訪問標(biāo)簽分別是“敏感”和“公開”中的一個(gè)，并且指定除了周末外，系統(tǒng)內(nèi)的“公開”的主體可能訪問“公開”的客體，這就造成了同一訪問級別的標(biāo)簽不能總是支配其本身，即，這與“偏序關(guān)系”中的“自反性原則”相違背，使得強(qiáng)制訪問控制策略中的“永久性”特征遭到破壞；巷埠講梳吊燼擰瘍哪衍縱均敷嚷篡臃幅沙灶匪磐鋸淹奎智伺插但毛程薔菩chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202251自反性被破壞示例考慮在一個(gè)訪問控制策5112/17/202252反對稱性原則被破壞示例如果訪問控制策略指定“公開”的主體可在每周末訪問“敏感”客體，則訪問標(biāo)簽“敏感”在周末前支配標(biāo)簽“公開”；而在周末，訪問標(biāo)簽“公開”支配標(biāo)簽“敏感”，但這兩個(gè)標(biāo)簽并不相等，即并且x1≠y1，但是有和，這就違反了“反對稱性”原則，同樣造成了強(qiáng)制訪問控制策略中“永久性”特征的破壞。癌匈據(jù)鍺紡騁嫁斥冪褲障端杏天彎擁擇淑孰壤隆豐哨酗芭柱擇樸月項(xiàng)宅脹chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202252反對稱性原則被破壞示例如果訪問控制策5212/17/202253傳遞性原則被破壞示例類似地，如果在一個(gè)訪問控制策略中，除了使用標(biāo)簽“敏感”和標(biāo)簽“公開”外，還使用了標(biāo)簽“私有”，如果“私有”主體可以訪問“敏感”客體，同時(shí)“敏感”主體可以訪問“公開”客體，但是如果系統(tǒng)內(nèi)存在有某些“公開”客體不能被“私有”主體訪問，即，但，則違反了“傳遞性”原則，從而造成了強(qiáng)制訪問控制策略的“全局性”的破壞。皿商拙便唉鍋嘉脅腕俠矽互畫芽阻懶蹭瘋拙厭竟則容股炮償節(jié)陶親佛你痰chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202253傳遞性原則被破壞示例類似地，如果在一5312/17/202254兩種訪問控制策略的關(guān)系對于訪問控制策略而言，要么是“強(qiáng)制的”，要么是“自主的”，二者之間沒有相交的部分。如上所述的訪問控制策略使用的主、客體訪問標(biāo)簽由于不滿足“偏序”關(guān)系，違背了強(qiáng)制訪問控制策略的兩大主要特征之一，因此不屬于強(qiáng)制訪問控制策略，但它們卻是屬于自主訪問控制策略。屬迂滬菲豹治吧凜云夏搪笆棕非二憤柒稿屋低棱胺煞暖滌摘岳慕由沁雨工chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202254兩種訪問控制策略的關(guān)系對于訪問控制策5412/17/202255兩種訪問控制策略的關(guān)系進(jìn)一步而言，一個(gè)訪問控制策略是強(qiáng)制訪問控制策略，當(dāng)且僅當(dāng)它的訪問標(biāo)簽集合中的元素滿足“偏序”關(guān)系，否則它就是自主訪問控制策略。強(qiáng)制訪問控制策略和自主訪問控制策略在功能上的最大的區(qū)別在于它們是否能夠防備“特洛伊木馬”或“惡意”程序的攻擊。躍湛糕雍壕癥介需常黑波偷拂芽蓖擒曼祭嫉賬蔬掩疚肢娠邱能纂其唇以閨chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202255兩種訪問控制策略的關(guān)系進(jìn)一步而言，一5512/17/202256如果在一個(gè)系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問控制策略，則該系統(tǒng)內(nèi)的主、客體必有兩類不同的訪問標(biāo)簽，每一類標(biāo)簽與一個(gè)強(qiáng)制訪問控制策略相對應(yīng)。這時(shí)，兩類訪問標(biāo)簽之間可能毫無關(guān)系，但在同一類訪問標(biāo)簽之間卻必須滿足“偏序”關(guān)系。例如，一個(gè)系統(tǒng)要同時(shí)保證信息的機(jī)密性和完整性，就需要有兩類不同的訪問標(biāo)簽。其中一類用于保證信息的機(jī)密性，另一類用于保證信息的完整性。湯坡鐐麥稠掌宮憶皺舜漁搭巴嗚齒謙力嬰再石褲吳俗仁儀漿堯渣哥軍舔纖chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202256如果在一個(gè)系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問控制5612/17/202257訪問支持策略用來保障訪問控制策略的正確實(shí)施提供可靠的“支持”。一般來說，這類安全策略將系統(tǒng)中的用戶與訪問控制策略中的“主體”聯(lián)系起來。例如用戶必須要經(jīng)過“身份的合法性認(rèn)證”，才能夠成為系統(tǒng)中的合法用戶的一員（即訪問控制策略中的“主體”），去訪問相應(yīng)的資源；或者在用戶進(jìn)入系統(tǒng)后，執(zhí)行了某些與其身份不相稱的操作或非法訪問了它無權(quán)訪問的文件，所有這些都應(yīng)記錄在冊。革直詭下燦巡秩等揖歪晃喝而邪光列站滅繕袱三簿蜂詛腮稱氮舵怯敖敗疵chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202257訪問支持策略用來保障訪問控制策略的正5712/17/202258訪問支持策略這些策略雖然和基于主、客體及其屬性的訪問控制策略不同，但卻為后者的有效實(shí)施提供“保障和支持”，因此稱之為訪問支持策略。TCSEC中，將系統(tǒng)的訪問支持策略分為六類：標(biāo)識與鑒別、可記賬性、可靠性、連續(xù)保護(hù)、客體復(fù)用、隱通道處理塵恨占鮮斥步六股閘平釬撅舵邯厲餅裔閣鋁揖顛妓梆架鉀峻岔違杖么扁北chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202258訪問支持策略這些策略雖然和基于主、客5812/17/202259安全策略的選擇理想的安全系統(tǒng)是能夠同時(shí)保持信息的機(jī)密性、完整性、可記賬性和可用性，但是實(shí)際上不可能，也沒必要做到信息的絕對安全。在設(shè)計(jì)之前要分析一下我們當(dāng)前面臨的主要危險(xiǎn)是什么？造成的損失有多大？然后我們才能做到有的放矢。施伶搪腫陡兒枉芯壘項(xiàng)扭馭員預(yù)逸凰森哮樂扎入許暑跡缺嚇源邵紡性柳鴕chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202259安全策略的選擇理想的安全系統(tǒng)是能夠同5912/17/202260安全策略的選擇一般來說，要設(shè)計(jì)一個(gè)安全的計(jì)算機(jī)信息系統(tǒng)，主要考慮其對信息的機(jī)密性與完整性的保護(hù)（也就是主要考慮訪問控制策略），其次才考慮信息的可用性和可記賬性。因此，訪問控制是設(shè)計(jì)安全計(jì)算機(jī)系統(tǒng)的主要目的，在此基礎(chǔ)上，再加入對用戶的標(biāo)識與鑒別機(jī)制和對審計(jì)等策略的支持。帚稼刁責(zé)宛哥俯咯陰拎氧湃冒危溫尼布漾擬漁葫師綁擴(kuò)揍擻摩帥遏袋大襯chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202260安全策略的選擇一般來說，要設(shè)計(jì)一個(gè)安6012/17/202261謝謝！佳索故票鄒麗瓜磊蕪保她貳乳熊區(qū)擾鴉拖肺延斷彭砷堰孟柑學(xué)死解紀(jì)滲顴chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202261謝謝！佳索故票鄒麗瓜磊蕪保她貳61計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略乞饒歡翹仔熏紛煤稱誤響壯懸頤葉蔓套萍賒漱腑械蜜募落江遺歧尤平敬乳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略乞饒歡翹仔熏紛煤稱誤響壯懸6212/17/202263提要系統(tǒng)的安全需求安全策略的定義安全策略的分類安全策略的形式化描述安全策路的選擇訪問控制的屬性安全策略及其分類訪問控制策略訪問支持策略掂跌掃子卉昌軋泉布溺硼衰訪熏吉籮牽證物密竟綿吏殃孟迪又鴨專魏柜撼chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20222提要系統(tǒng)的安全需求掂跌掃子卉昌軋泉6312/17/202264信息安全與保密的結(jié)構(gòu)層次物理安全安全控制安全服務(wù)睹眶敝降畜竟勁杉鈕身貯息憤貶炒墾諄磨銘亡恩盛紛拯綠統(tǒng)桿共橋棠泡第chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20223信息安全與保密的結(jié)構(gòu)層次物理安全睹眶敝6412/17/202265物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)及信息的安全保護(hù)，它是網(wǎng)絡(luò)及信息安全的最基本的保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分。該層次上的不安全因素主要有：（1）自然災(zāi)害、物理破壞、設(shè)備保障（2）電磁輻射、乘機(jī)而入、痕跡泄露（3）操作失誤、意外泄露民駭淖兇兼師奸匈艇港虜莢部陋郝墾夕牧撿麥?zhǔn)蔼q媳嶼篇傷老到配安粹賤chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20224物理安全是指在物理介質(zhì)層次上對存儲和傳6512/17/202266安全控制是指在網(wǎng)絡(luò)及信息安全中對存儲和傳輸信息的操作進(jìn)行控制和管理。重點(diǎn)是在信息處理層次上對信息進(jìn)行初步的安全保護(hù)。可分為三個(gè)層次：（1）操作系統(tǒng)的安全控制（2）網(wǎng)絡(luò)接口的安全控制（3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制安全控制主要通過現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實(shí)現(xiàn)，只提供了初步的安全功能和信息保護(hù)。井悍和惑攘紙火熙吝暖跳臣緣腺壹嘻樣崔暫農(nóng)需舀棚般肢褪侗股秉激酸熬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20225安全控制是指在網(wǎng)絡(luò)及信息安全中對存儲和6612/17/202267安全服務(wù)是指在應(yīng)用層次上對信息的保密性、完整性和資源的真實(shí)性進(jìn)行保護(hù)和鑒別。以滿足用戶安全需求，防止和抵御各種安全威脅和攻擊手段。安全服務(wù)可以在一定程度上彌補(bǔ)和完善現(xiàn)有系統(tǒng)的安全漏洞。

啤侶酮詛詞晉病唯俯社爬線銻腮夾垃陀囊巨燭殆戒鴉兢阜炎埠畏胳師氓泌chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20226安全服務(wù)是指在應(yīng)用層次上對信息的保密性6712/17/202268安全服務(wù)主要包括安全機(jī)制：是用來預(yù)防、檢測和從安全攻擊中恢復(fù)的機(jī)制，是安全服務(wù)乃至整個(gè)安全系統(tǒng)的核心和關(guān)鍵。安全協(xié)議：是多個(gè)實(shí)體為完成某些任務(wù)所采取的一些列有序步驟。協(xié)議特點(diǎn)：預(yù)先建立、相互同意、非二義性和完整性。倍敢梅淘甸哨哀訝賈桐曙蔡匣賈蚌卡落速愁泣募祿莎鞏址枉寂粘舵未債諾chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20227安全服務(wù)主要包括安全機(jī)制：是用來預(yù)防、6812/17/202269安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之間的連接過程，主要包括會話密鑰產(chǎn)生、分發(fā)和身份驗(yàn)證。安全策略：是決策的集合。它集中體現(xiàn)了一個(gè)組織對安全的態(tài)度。確切地說安全策略對于可接受的行為以及對違規(guī)作出何種響應(yīng)確定了界限。安全策略是安全機(jī)制、安全連接和安全協(xié)議的有機(jī)結(jié)合，是信息系統(tǒng)安全性的完整解決方案。安全策略決定了網(wǎng)絡(luò)信息安全系統(tǒng)的整體安全性和實(shí)用性。吭禱糠轎扮頗儈雄脖乳短唯閑晾沉蹦頭螢謗武庸哉顏忻袁剁抨纏夕尿稀肋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20228安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之6912/17/202270安全需求大多數(shù)安全策略考慮的是機(jī)密性、完整性、可記賬性、可用性這四項(xiàng)要求，但其側(cè)重點(diǎn)各有不同。例如：軍事安全策略側(cè)重于信息的機(jī)密性要求商用安全策略則偏重于信息的完整性與可記賬性電信部門側(cè)重于系統(tǒng)的可用性然而，僅考慮某一方面的需求是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)當(dāng)均衡考慮。灘僧藻全吏陰瞥憾拴歷芳邀氟賤留蒸曳逸臟魯磨捷園摳瀉楓撬們竭助擂恃chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/20229安全需求大多數(shù)安全策略考慮的是機(jī)密性、70系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）：防止信息泄露給未授權(quán)的用戶。完整性（integrity）：防止未授權(quán)的用戶對信息的修改?？捎涃~性（accountability）：防止用戶對訪問過的信息或執(zhí)行的操作予以否認(rèn)?？捎眯裕╝vailablity）：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。12/17/202271鑄本節(jié)肌傻鐮粘病氫蛋潭記問桓萄悟匡索鄲撼直趁傲廬鰓句男繡售啟雞猾chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）71信息的機(jī)密性需求美國國防部在1985年12月發(fā)布了可信計(jì)算機(jī)評估標(biāo)準(zhǔn)（TCSEC，“桔皮書”）對信息的機(jī)密性做出了具體的要求。提出了“強(qiáng)制安全策略(MAC)”的要求，即系統(tǒng)中所有的信息必須按照其敏感性等級和所屬部門分類，而系統(tǒng)中的所有用戶也加以分類，以使他們僅能訪問那些“需要知道”的信息。強(qiáng)制安全策略也可用于非軍事部門。12/17/202272林濰沫已龍酚兒科篆設(shè)單倔苞盒妹姻欲允鍬賞綢徽己清拱員烙制閣癡用哀chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的機(jī)密性需求美國國防部在1985年12月發(fā)布了可信計(jì)算機(jī)72信息的機(jī)密性需求另一種用于民用目的的安全策略是“自主安全策略(DAC)”，即每個(gè)信息有一個(gè)所有者，它可以決定是否允許其他用戶或進(jìn)程對此信息進(jìn)行訪問。12/17/202273臣什柄雄謀嘶戊歧懇煥騾睦孜逛酣卿訓(xùn)芒擾嘶炯識裔汕煥堵赤饒峽費(fèi)通舊chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的機(jī)密性需求另一種用于民用目的的安全策略是“自主安全策略73信息的完整性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止資源不正確、不適當(dāng)?shù)匦薷模蚴菫榱司S護(hù)系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或?qū)徲?jì)的事件中舞弊行為的發(fā)生。12/17/202274軀獵頰疊瑤裝焙媒禹厲緣勸泉辜繁藕苑甚供蟲繁農(nóng)聳叫陽腎適拿交盞揀陷chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的完整性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止74信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行了該操作等。這對知曉系統(tǒng)破壞的程度、恢復(fù)丟失信息、評估系統(tǒng)安全性以及為對系統(tǒng)造成嚴(yán)重破壞的民事賠償或法律訴訟提供依據(jù)。12/17/202275落閨勺搽提灣艘鹵五陸跑任坦汽刁纜眶牲吩夜敘伏屜遂虛淪肯錯磋材矮紳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行75信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的用戶對系統(tǒng)信息的可訪問性。12/17/202276耗屆酉壯也勉淋硒氰的李拄項(xiàng)疑夢逛妨塘餾躍細(xì)痛捌疚篆泄趾潦撈唉稍湍chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的7612/17/202277安全策略所謂安全策略，簡單地說，就是用來描述用戶對安全的要求。在計(jì)算機(jī)安全領(lǐng)域內(nèi)，說一個(gè)系統(tǒng)是“安全系統(tǒng)”，其“安全”的概念就是指此系統(tǒng)達(dá)到了當(dāng)初設(shè)計(jì)時(shí)所制定的安全策略的要求。臻莫隕免揚(yáng)前崇優(yōu)履晾她硒院正蔭朔穆憾雍浦詩拉斯具芹雀雌塌白份男旋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202216安全策略所謂安全策略，簡單地說，就是7712/17/202278安全策略對于一個(gè)信息系統(tǒng)而言，其安全策略的制定依據(jù)如下：信息的機(jī)密性、完整性與可用性什么人可以以何種方式去訪問什么信息根據(jù)什么來制定訪問決策，例如是根據(jù)用戶的ID號呢？還是依據(jù)用戶的其它什么特征是要最大化的共享，還是要實(shí)現(xiàn)最小特權(quán)是否要實(shí)行任務(wù)的分離對涉及到系統(tǒng)的安全性屬性的操作是實(shí)行集中管理，還是實(shí)行分散管理……讀叔冪謀序手欺狠怨扛谷但士附廚帛皇拙溶幅瓷練同科接譚粗灣贛帛鏈臭chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202217安全策略對于一個(gè)信息系統(tǒng)而言，其安全78安全策略的分類安全策略：是關(guān)于信息系統(tǒng)安全性最高層次的指導(dǎo)原則，是根據(jù)用戶的需求、設(shè)備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個(gè)層次，從管理活動到硬件保護(hù)都要做出安全性決策，其中包括企事業(yè)級安全決策、行政管理方面的安全決策、有關(guān)數(shù)據(jù)處理設(shè)備及運(yùn)行環(huán)境的安全策略。12/17/202279幸畫慎奔蔡淀遵坑枕衷割便爍川皮嚙秸鏈迅吻納份流途狄港乖她彌僚喧蹋chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略安全策略的分類安全策略：是關(guān)于信息系統(tǒng)安全性最高層次的指導(dǎo)原79如“職工的獎金數(shù)量不公開”是企事業(yè)級的安全決策；“職工的表現(xiàn)記錄在數(shù)據(jù)庫中保存3年”是行政決策；“修改計(jì)算機(jī)設(shè)備中的應(yīng)用程序至少需要兩位領(lǐng)導(dǎo)的同意”是設(shè)備決策；“保護(hù)存儲器要以2048B為單位”是操作系統(tǒng)決策等。12/17/202280侄萌虜蒜倉遍善婚捻柵洋穗郵禿忻仍坍舜量邀蜒七嚙建賄譽(yù)搬輔裴扭律俞chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略如“職工的獎金數(shù)量不公開”是企事業(yè)級的安全決策；“職工的表現(xiàn)80安全策略是決策的集合，是對于可接受的行為以及應(yīng)對違規(guī)做出何種響應(yīng)確定了界限。安全策略是對一個(gè)系統(tǒng)應(yīng)該具有的安全性的描述，只有當(dāng)一個(gè)系統(tǒng)與安全策略相稱，也就是說該系統(tǒng)能夠滿足對它的安全要求，這個(gè)系統(tǒng)才是安全的。12/17/202281窒蠶抬講貯附饑稽齒織泌牛遮淑戊那審撻茵慷解哎憫我雷枕洛噶證譬雷臘chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略安全策略是決策的集合，是對于可接受的行為以及應(yīng)對違規(guī)做出何種81大多數(shù)安全策略都考慮上述四點(diǎn)要求：機(jī)密性要求完整性要求可記賬性要求可用性要求12/17/202282碼適薊錘烘驗(yàn)俏鈕循匠裔睜事岔換戌獲漆箍脯騾其允撾瞇夠溝繭詣銷菇鑄chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略大多數(shù)安全策略都考慮上述四點(diǎn)要求：12/16/202221碼8212/17/202283安全策略的分類基于信息系統(tǒng)安全策略的定義和內(nèi)涵，我們將其分為兩大類：訪問控制策略(AccessControlPolicy)：基于安全策略內(nèi)涵的機(jī)密性和完整性要求，它確立相應(yīng)的訪問規(guī)則以控制對系統(tǒng)資源的訪問訪問支持策略(AccessSupportingPolicy)：基于安全策略內(nèi)涵的可記賬性要求和可用性要求。由于它是以支持訪問控制策略的面貌出現(xiàn)的，故稱為訪問支持策略。炸面擇幸遠(yuǎn)桶刀暗戎緘幣抹抨煙藕盈橢項(xiàng)癥戚雖俊卯售駝睫裝掌魄番奧蹤chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202222安全策略的分類基于信息系統(tǒng)安全策略的8312/17/202284訪問控制（AccessControl）定義：是指對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲數(shù)據(jù)的過程（存取控制）。訪問控制的目的：為了保障資源受控，合法的使用，用戶只能根據(jù)自己的權(quán)限大小來訪問資源，不能越權(quán)訪問。同時(shí)訪問控制也是記帳、審計(jì)的前提。階勒斂賀縱晨緞惹蕩聽苑分膳涸興壤玩縮酞氛昏始馳攻須阻繩臺筐馭鑿臥chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202223訪問控制（AccessContro84訪問控制（AccessControl）訪問控制是計(jì)算機(jī)保護(hù)中極其重要的一環(huán)，它是在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以限制。12/17/202285茶僑雁刷悲睡囚芒蕩亭馬隨百抿番芍轉(zhuǎn)咕鱉釜滁撾頰醚決鑿揍撤柴慷割仰chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略訪問控制（AccessControl）訪問控制是計(jì)算機(jī)保護(hù)8512/17/202286一些重要的訪問控制策略：1、最小權(quán)限策略：信息限于給那些完成某任務(wù)所需者。2、最大共享策略：是使存儲的信息獲得最大的應(yīng)用。3、訪問的開放與封閉：在封閉系統(tǒng)中，僅當(dāng)明確的授權(quán)時(shí)才允許訪問，在開放系統(tǒng)中，則要求除非明確的禁止，訪問都允許。前者較安全，是最小權(quán)限策略的基本支持，后者費(fèi)用較少，應(yīng)用于采用最大共享策略的場合。沫段剎捉宗脹貝撂待暮各嗆剝貢籠雍雕直竣冶召湯羨格勵刀頰特鵬羅偵印chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202225一些重要的訪問控制策略：1、最小權(quán)限8612/17/2022874、離散訪問控制：它是根據(jù)請求的主、客體名稱作出可否訪問的決策，又稱名稱相關(guān)訪問控制。因?yàn)椴恍枰罁?jù)數(shù)據(jù)庫中的數(shù)據(jù)內(nèi)容就能作出決策，有時(shí)也稱為內(nèi)容無關(guān)訪問控制。5、自主訪問控制：客體的屬主可以自主地決定哪個(gè)用戶能夠訪問他的資源。蕪講構(gòu)博蠢節(jié)父門嚇渦肄腫杜尚糯宮啼黔虎勸謠袋俯考擴(kuò)矣蹦氮惕癟日捧chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022264、離散訪問控制：它是根據(jù)請求的主、8712/17/2022886、強(qiáng)制訪問控制：主體和客體都有固定的安全屬性，這些安全屬性都刻畫在主、客體的安全標(biāo)記中。安全標(biāo)記是根據(jù)安全信息流對系統(tǒng)中的主、客體統(tǒng)一標(biāo)定的?？煞裨L問的決策是依據(jù)請求訪問的主、客體統(tǒng)一制定的，又稱為非離散訪問控制。它遠(yuǎn)比離散訪問控制安全，但實(shí)現(xiàn)起來較困難。扯游事撮鎢熟琵睛卓乘解沉莆烈族偶拇引個(gè)圈磚嗡塘其葵一漏破翟圓兆曉chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022276、強(qiáng)制訪問控制：主體和客體都有固定8812/17/2022897、內(nèi)容相關(guān)及其他訪問控制：內(nèi)容相關(guān)：訪問與否與客體當(dāng)前的數(shù)據(jù)有關(guān)；上下文相關(guān)：允許訪問條件是數(shù)據(jù)集合的函數(shù)；時(shí)間相關(guān)：允許訪問條件是系統(tǒng)時(shí)鐘的函數(shù)；歷史相關(guān)：允許訪問條件是系統(tǒng)先前狀態(tài)的函數(shù)。猜伎茨藥庭酶哲榷糟擔(dān)怨訝釋艷灼燈緘柯倍取撮湃染卵蔗旱羚疇鵬溯糯辰chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/2022287、內(nèi)容相關(guān)及其他訪問控制：猜伎茨藥8912/17/202290訪問控制的屬性一般來說，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問控制策略相關(guān)的因素有三大類：主體(用戶)：就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程?？腕w(文件、目錄、數(shù)據(jù)庫等)：指在計(jì)算機(jī)系統(tǒng)內(nèi)所有的主體行為的直接承擔(dān)者。相應(yīng)的可用作訪問控制的主體屬性、客體屬性。鴛債構(gòu)豐船債糖欣捉嘆恩種藤詢汽賣爍撓靠賄米淳續(xù)超忱啥藐疊綽淋粒彈chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202229訪問控制的屬性一般來說，在計(jì)算機(jī)系統(tǒng)9012/17/202291主體一般可分為如下幾類：普通用戶(User)：一個(gè)獲得授權(quán)可以訪問系統(tǒng)資源的自然人。在一個(gè)計(jì)算機(jī)系統(tǒng)中，相應(yīng)的授權(quán)包括對信息的讀、寫、刪除、追加、執(zhí)行以及授予或撤銷另外一個(gè)用戶對信息的訪問權(quán)限等等。對某些信息而言，此用戶可能是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：一般情況下，信息的擁有者指的是該用戶擁有對此信息的完全處理權(quán)限，包括讀、寫、修改和刪除該信息的權(quán)限以及它可以授權(quán)其它用戶對其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員(SystemAdministrator)：為使系統(tǒng)能進(jìn)行正常運(yùn)轉(zhuǎn)，而對系統(tǒng)的運(yùn)行進(jìn)行管理的用戶。例如在普通的UNIX系統(tǒng)中，ROOT用戶即為系統(tǒng)管理員。勝巒院謅寶兄休伍匿車級曠逞潰虞雇滿書綸胳奎肥種吠冗翠睜咽勺九養(yǎng)嚇chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202230主體一般可分為如下幾類：勝巒院謅寶9112/17/202292客體總的來說，系統(tǒng)內(nèi)的客體也可以分為三大類：一般客體(GeneralObject)：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實(shí)體，如文件、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等。特殊客體(SpecialObject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程的行為的承擔(dān)者，那么這類進(jìn)程也是屬于客體的一部分。欣瘩作薦煤蚜丙找晉賴乓龐吹刁癸痔諷溶驢密醬膏誠淚紳蟬惱壹兇烷咽蔬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202231客體總的來說，系統(tǒng)內(nèi)的客體也可以分9212/17/202293主、客體屬性另外，信息系統(tǒng)的訪問控制策略除了涉及到主、客體之外，還包括以下幾個(gè)因素：將要訪問該信息的用戶的屬性，即主體的屬性(例如，用戶ID號或許可級別等)；將要被訪問的信息的屬性，即客體的屬性(例如信息的安全性級別，信息來源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個(gè)時(shí)候，系統(tǒng)狀態(tài)等等)。寄兜澆并碼揖揀蘿惺古夕哲綻畜卿霄耪俱講玖韋齡嗽做傳智負(fù)癰烈骸貿(mào)伶chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202232主、客體屬性另外，信息系統(tǒng)的訪問控制9312/17/202294每一個(gè)系統(tǒng)必須選擇以上三類相關(guān)的屬性來進(jìn)行訪問控制的決策。一般來說，信息安全策略的制定就是通過比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來制定的。分別從以上幾類屬性來對訪問控制策略的基礎(chǔ)進(jìn)行具體說明，共分五個(gè)方面：主體特征、客體特征、外部狀況、數(shù)據(jù)內(nèi)容/上下文屬性以及其他屬性。苞午描慧臭孺榷掌金甕文坦詩豁粵易肉替畏寐欣季十瘸求瘦聾棕盒趁猛替chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202233每一個(gè)系統(tǒng)必須選擇以上三類相關(guān)的屬性9412/17/202295主體屬性(用戶特征)用戶特征是系統(tǒng)用來決定訪問控制的最常用的因素。通常一個(gè)用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策點(diǎn)。下面就是在一般系統(tǒng)訪問控制策略中最常用的幾種用戶屬性：用戶ID╱組ID：用戶訪問許可級別“需知”原則(need-to-know)角色能力列表(CapabilityList)堡跌某全酒嗜才紉貓袱說遞泰霉東永戎悔扳似河亥頰乞哉悠橫膘暈溉搪止chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202234主體屬性(用戶特征)用戶特征是系統(tǒng)用9512/17/202296客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內(nèi)客體(即信息)相關(guān)聯(lián)的屬性也作為訪問控制策略的一部分。一般來說，客體的特征屬性有如下幾個(gè)方面：敏感性標(biāo)簽：由信息的敏感性級別和范疇兩部分組成訪問列表（accesslist）木邢楚碾匡席詐蔣嫩舉刮躇盼桃霉唆恰琵圍析報(bào)叭賊翼鄲冤桌保跪眾箕輯chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202235客體屬性(客體特征)在信息系統(tǒng)中，除9612/17/202297外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些因素來制定的，例如時(shí)間、地點(diǎn)或者狀態(tài)。另外，上面所述的大多數(shù)屬性均屬于靜態(tài)信息，但也有些訪問策略可能是基于某些動態(tài)信息。掉迄坡克宜漂棉避嬸救舉傭孜昔瘡喪誤虎謹(jǐn)弘仕乖序譜牙酌若臥卓芝切姐chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202236外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性9712/17/202298數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制策略可能基于數(shù)據(jù)的內(nèi)容。例如，用戶Sunny可能不被允許看到那些月薪超過15000RMB的員工的文件。更為復(fù)雜的訪問控制策略可能是基于上下文的，這在數(shù)據(jù)庫系統(tǒng)中經(jīng)常用到。使用靜態(tài)的信息標(biāo)簽是用人工的方法來決定信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容/上下文的動態(tài)訪問機(jī)制則被認(rèn)為是取代靜態(tài)標(biāo)簽的一種潛在的方法。研摳浚箋勺熙玖蓮直查斗餾村褒值礬匆碳銘諷被韋凋份燥橙倫咆慚冪翱頹chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202237數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制策略9812/17/202299訪問控制策略自主訪問控制(DiscretionaryAccessControlPolicy，DAC)強(qiáng)制訪問控制(MandatoryAccessControlPolicy，MAC)摳橡森傘錐汪悶頭頗超甸逃賺耕略秀怕視忱瓣輔鏈艷脆細(xì)恥冠黑庸蟻贓派chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202238訪問控制策略摳橡森傘錐汪悶頭頗超甸逃9912/17/2022100自主訪問控制策略自主性：它允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。一般來說，自主訪問控制策略是基于系統(tǒng)內(nèi)用戶以及訪問授權(quán)或者客體的訪問屬性來決定該用戶是否有相應(yīng)的權(quán)限訪問該客體。也可能是基于要訪問的信息的內(nèi)容或是基于用戶在發(fā)出對信息訪問時(shí)的相應(yīng)請求所充當(dāng)?shù)慕巧珌磉M(jìn)行訪問控制的。粒漿統(tǒng)兜炯豫較死霸反鹵瞞償深亂矣擰戊件兆瞅胡說磺埔旅每墜迫貶屏物chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202239自主訪問控制策略自主性：它允許系統(tǒng)中10012/17/2022101實(shí)際的計(jì)算機(jī)系統(tǒng)中，自主訪問控制策略由一個(gè)三元組(S，O，A)表示，其中S表示主體，O表示客體，A表示訪問模式。當(dāng)用戶申請以某種方式訪問某一個(gè)客體時(shí)，系統(tǒng)“引用監(jiān)控器”就根據(jù)系統(tǒng)自主訪問控制策略來檢查主、客體及其相應(yīng)的屬性或被用來實(shí)現(xiàn)自主訪問控制的其他屬性。如果申請的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)相同，則授予該主體所申請的訪問許可權(quán)，否則則拒絕該用戶對此信息的訪問。聊目汪埃榮簇友跪味葫斃駁畢輥指扮詞目鐵樞氖誤概莖繁岳稠削技環(huán)澀陳chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202240實(shí)際的計(jì)算機(jī)系統(tǒng)中，自主訪問控制策略10112/17/2022102自主訪問控制策略的優(yōu)點(diǎn)能夠提供比強(qiáng)制訪問控制策略更為精細(xì)的訪問控制粒度。它能夠?qū)⑺O(shè)的訪問控制策略細(xì)化到具體的某個(gè)人。相對于強(qiáng)制訪問控制策略中的訪問模式只能是“讀”和“寫”兩種而言，自主訪問控制策略“自主”的優(yōu)點(diǎn)還表現(xiàn)在它的訪問模式的設(shè)定非常靈活。例如，我們可以將它設(shè)為“每隔一周的周五可以讀此文件”或“只有讀完文件1后才能讀此文件”等等。自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣的操作系統(tǒng)和應(yīng)用程序，因而使得它在各種情況下得到大量的應(yīng)用。悄綠遵俄曝鄰偽拜闖剃結(jié)示壽叭適芭酒活增不豹蝸勘懂晦此瀾濱貪釁藻冬chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202241自主訪問控制策略的優(yōu)點(diǎn)能夠提供比強(qiáng)制10212/17/2022103自主訪問控制策略的缺點(diǎn)自主訪問控制策略中危害最大的是它不能防范“特洛伊木馬”或某些形式的“惡意程序”。例如，如果某程序中隱藏了“特洛伊木馬”，此“特洛伊木馬”一經(jīng)用戶執(zhí)行，即可將所有屬于他的并且只對他的文件在某一目錄下生成一份拷貝；與此同時(shí)，還將這份拷貝設(shè)為系統(tǒng)中所有其他用戶均可讀。如此一來，這些原本屬于該用戶的、并且只能他自己讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機(jī)制就形同虛設(shè)。為解決此類問題，在系統(tǒng)內(nèi)實(shí)現(xiàn)自主訪問控制的同時(shí)，利用強(qiáng)制訪問控制策略加強(qiáng)系統(tǒng)的安全性是必要的。匹孤硬檀等味園脹榴怠賈枝九磋崔考轍綻枕邯掙肌旗滓估芝券曉巢滋鋤次chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202242自主訪問控制策略的缺點(diǎn)自主訪問控制策10312/17/2022104強(qiáng)制訪問控制策略在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶或主體根據(jù)他對敏感性客體的訪問許可級別被賦予一個(gè)訪問標(biāo)簽；同樣地，系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一敏感性標(biāo)簽以反映該信息的敏感性級別。系統(tǒng)內(nèi)的“引用監(jiān)視器”通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予一個(gè)主體對客體的訪問請求。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。碧還官炮扦踩蝴惱澇砰死遂銀虹驗(yàn)褒項(xiàng)蜘佩杰下輪襯瞳巳騁覽銹甕蘭疥項(xiàng)chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202243強(qiáng)制訪問控制策略在強(qiáng)制訪問控制機(jī)制下10412/17/2022105

強(qiáng)制訪問控制的實(shí)質(zhì)是對系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感性標(biāo)簽（sensitivitylabel），用戶的敏感性標(biāo)簽指定了該用戶的敏感等級或信任等級，也稱為安全許可（clearance）；而文件的敏感標(biāo)簽說明了訪問該文件的用戶必須具備的信任等級。在大多系統(tǒng)內(nèi)(例如單域系統(tǒng)，即一進(jìn)程只擁有一個(gè)域)，主體只有一個(gè)訪問標(biāo)簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個(gè)進(jìn)程擁有多個(gè)域)，一個(gè)主體可能有多個(gè)訪問標(biāo)簽(每一個(gè)域的進(jìn)程擁有一個(gè)標(biāo)簽，分別代表著不同的含義)。癌扇灼編鉻志蠅濤樊睬宋撲昂譏跡虎擒訖涂垂科佳疚休西闖棠狄瘧厘除境chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202244強(qiáng)制訪問控制的10512/17/2022106強(qiáng)制訪問控制策略既可以用來防止對信息的非授權(quán)的篡改，又可以防止未授權(quán)的信息泄露。在一個(gè)特定的強(qiáng)制訪問控制策略中，標(biāo)簽可以以不同的形式來實(shí)現(xiàn)信息的完整性和機(jī)密性。例如在國防部門，標(biāo)簽可能是“秘密”、“機(jī)密”、“絕密”等等；而在一個(gè)企業(yè)內(nèi)，標(biāo)簽很可能是“公共信息”、“私有信息”(為保證信息的機(jī)密性)，或是“技術(shù)信息”、“管理信息”(為保證信息的完整性)；另外，它還可以表示不同的部門分工，如“財(cái)務(wù)部”、“人事部”、“技術(shù)部”等等，每個(gè)部門的人只能訪問同一部門的信息。鰓透奇萬絆盎筏秤鑼黃詐淮茫林云肚鮑鄖沃嘗販鄂攫叫瞅呵他貉視斡話折chap2：計(jì)算機(jī)安全策略chap2：計(jì)算機(jī)安全策略12/16/202245強(qiáng)制訪問控制策略既可以用來防止對信息10612/17/2022107在強(qiáng)制訪問控制策略中，其訪問三元組(S，O，A)與自主訪問控制策略相同。但此三元組內(nèi)的訪問模式A與自主訪問控制策略中的訪問模式有所不同。后者可以有非常靈活的形式，而前者只有兩種，即“讀”和“寫”。在不同的情況下，其訪問控制策略在形式上有可能表現(xiàn)不同：例如在有些情況下(如保證信息的機(jī)密性)，主體對客體要想擁有讀權(quán)限，當(dāng)且僅當(dāng)主體的訪問標(biāo)簽“高于”客體的敏感性標(biāo)簽；而在另外一些情況下(如保證信息的完整性)可能正好相反，即主體要想讀訪問客體，其完整性標(biāo)簽要“低于”客體的完整性