第三章.安全策略與安全模型

1第三章安全策略與安全模型安全策略與安全模型業(yè)務(wù)大集中數(shù)據(jù)中心線路中斷梳理手上的牌安全專(zhuān)家管理理念資產(chǎn)和業(yè)務(wù)威脅和危害安全措施方法/原則安全策略與安全模型2安全運(yùn)維體系的解決方案：業(yè)務(wù)層面和支撐層面的人員、權(quán)限、策略、系統(tǒng)的統(tǒng)一。從安全策略入手，在不同層面實(shí)現(xiàn)做到人與權(quán)限的統(tǒng)一。安全策略與安全模型3安全策略資源類(lèi)型資源使用者OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等業(yè)務(wù)用戶(hù)應(yīng)用管理員主機(jī)系統(tǒng)操作系統(tǒng)管理員數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)管理員網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)管理員安全設(shè)備安全管理員物理環(huán)境機(jī)房管理員標(biāo)準(zhǔn)規(guī)則高度統(tǒng)一組織結(jié)構(gòu)：業(yè)務(wù)系統(tǒng)建設(shè)與安全運(yùn)維分開(kāi)，各自建立規(guī)則相互制約事件響應(yīng)：結(jié)合業(yè)務(wù)重要性進(jìn)行事件分類(lèi)，并設(shè)計(jì)處理流程內(nèi)容審計(jì)：結(jié)合業(yè)務(wù)流程和企業(yè)文化實(shí)現(xiàn)業(yè)務(wù)人員、IT人員的統(tǒng)一安全審計(jì)人員績(jī)效：根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略，制定業(yè)務(wù)人員和IT人員的統(tǒng)一績(jī)效量化指標(biāo)并明確操作方法。配置策略合理有序人和權(quán)限的統(tǒng)一安全策略與安全模型4一、安全策略概述二、安全策略類(lèi)型三、安全策略的生成、部署和有效使用5安全策略與安全模型一、安全策略概述策略：“策略”就是為了實(shí)現(xiàn)某一個(gè)目標(biāo)，首先預(yù)先根據(jù)可能出現(xiàn)的問(wèn)題制定的若干對(duì)應(yīng)的方案，并且，在實(shí)現(xiàn)目標(biāo)的過(guò)程中，根據(jù)形勢(shì)的發(fā)展和變化來(lái)制定出新的方案，或者根據(jù)形勢(shì)的發(fā)展和變化來(lái)選擇相應(yīng)的方案，最終實(shí)現(xiàn)目標(biāo)。1、可以實(shí)現(xiàn)目標(biāo)的方案集合；2、根據(jù)形勢(shì)發(fā)展而制定的行動(dòng)方針和斗爭(zhēng)方法；3、有斗爭(zhēng)藝術(shù)，能注意方式方法；6安全策略與安全模型一、

安全策略概述策略與措施措施：措施具有目的行動(dòng),是針對(duì)某一現(xiàn)象作出的相應(yīng)的對(duì)策。措施包括了實(shí)現(xiàn)策略過(guò)程中所采取的管理與技術(shù)手段、方法等。措施應(yīng)與策略不矛盾。策略指做什么和不做什么？措施指怎么做？7安全策略與安全模型安全策略：是指在某個(gè)安全區(qū)域內(nèi)（一個(gè)安全區(qū)域，通常是指屬于某個(gè)組織的一系列處理和通信資源），用于所有與安全相關(guān)活動(dòng)的一套規(guī)則。這些規(guī)則是由此安全區(qū)域中所設(shè)立的一個(gè)安全權(quán)力機(jī)構(gòu)建立的，并由安全控制機(jī)構(gòu)來(lái)描述、實(shí)施或?qū)崿F(xiàn)的。網(wǎng)絡(luò)管理員或者CIO根據(jù)組織機(jī)構(gòu)的風(fēng)險(xiǎn)及安全目標(biāo)制定的行動(dòng)策略即為安全策略。根據(jù)確定的保護(hù)對(duì)象，策略將定義一組管理或使用的方法，使策略的執(zhí)行者在面對(duì)受保護(hù)的對(duì)象時(shí)，策略明確規(guī)定了什么能做，什么不能做。一、

安全策略概述8安全策略與安全模型3.1安全策略概述信息安全策略是一組規(guī)則，它們定義了一個(gè)組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑。信息安全策略是原則性的和不涉及具體細(xì)節(jié)，對(duì)于整個(gè)組織提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個(gè)全局性框架。9信息安全策略的描述應(yīng)簡(jiǎn)潔的、非技術(shù)性的和具有指導(dǎo)性的。如一個(gè)涉及對(duì)敏感信息加密的信息安全策略條目可以這樣描述：

任何類(lèi)別為機(jī)密的信息，無(wú)論存貯在計(jì)算機(jī)中，還是通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，必須使用本公司信息安全部門(mén)指定的加密硬件或者加密軟件予以保護(hù)。這個(gè)敘述沒(méi)有談及加密算法和密鑰長(zhǎng)度，所以當(dāng)舊的加密算法被替換，新的加密算法被公布的時(shí)候，無(wú)須對(duì)信息安全策略進(jìn)行修改。

安全策略與安全模型管理是指為提高群體實(shí)現(xiàn)目標(biāo)的效率而采取的活動(dòng)和行為。包括制定計(jì)劃（規(guī)劃）、建立機(jī)構(gòu)（組織）、落實(shí)措施（部署）、開(kāi)展培訓(xùn)（提高能力）、檢查效果（評(píng)估）和實(shí)施改進(jìn)（改進(jìn)）等。收集信息－評(píng)估－組織－部署－<對(duì)象>－10系統(tǒng)B安全策略與安全模型TheTransformationProcessSecurityPolicySecurityModelProgram-mingAbstractobjectives,goalsandrequirementsRulesorpracticeFrameworkMathematicalrelationshipandformulasSpecificationsDatastructureComputercodeGUI–checkboxThesecuritypolicyprovidestheabstractgoalsandthesecuritymodelprovidesthedo’sanddon’tsnecessarytofulfillthegoalsProductorSystem安全策略與安全模型11SecurityPolicyOutlinesthesecurityrequirementsforanorganization.Isanabstracttermthatrepresentstheobjectivesandgoalsasystemmustmeetandaccomplishtobedeemedsecureandacceptable.（是代表了必須滿(mǎn)足和完成被認(rèn)為是安全和可接受的系統(tǒng)的目標(biāo)的一個(gè)抽象的術(shù)語(yǔ)。）Isasetofrulesandpracticesthatdictateshowsensitiveinformationandresourcesaremanaged,protected,anddistributed.（是一組決定了敏感信息和資源的管理、保護(hù)和分發(fā)的規(guī)則和實(shí)踐。）Expresseswhatthesecuritylevelshouldbebysettingthegoalsofwhatthesecuritymechanismsaresupposedtoaccomplish.（表示安全級(jí)別中安全機(jī)制應(yīng)該完成的目標(biāo)。）Providestheframeworkforthesystems’securityarchitecture.安全策略與安全模型12SecurityModelIsasymbolicrepresentationofapolicy,whichOutlinestherequirementsneededtosupportthesecuritypolicyandhowauthorizationisenforced.（概述需要支持的安全策略和執(zhí)行授權(quán)的要求）Mapstheabstractgoalsofthepolicytoinformationsystemtermsbyspecifyingexplicitdatastructuresandtechniquesthatarenecessarytoenforcethesecuritypolicy.（將安全策略抽象目標(biāo)映射到執(zhí)行安全策略的具體的數(shù)據(jù)結(jié)構(gòu)和技術(shù)。）Mapsthedesiresofthepolicymakersintoasetofrulesthatcomputersystemmustfollow.（將決策者的愿望映射到一組計(jì)算機(jī)系統(tǒng)必須遵循的規(guī)則。）Isusuallyrepresentedinmathematicsandanalyticalideas,whicharethenmappedtosystemspecifications,andthendevelopedbyprogrammersthroughprogrammingcodes.（通常表示成數(shù)學(xué)或解析模式，然后映射到系統(tǒng)說(shuō)明，然后再由程序員開(kāi)發(fā)成代碼。）安全策略與安全模型13Derivethemathematical

relationshipsandformulasexplaininghowxcanaccessyonlythroughoutlinedspecificmethods.Developspecificationstoprovideabridgetowhatthismeansinacomputingenvironmentandhowitmapstocomponentsandmechanismsthatneedtobecodedanddeveloped.（在一個(gè)計(jì)算環(huán)境中，以及如何將安全策略映射到需要進(jìn)行編碼和開(kāi)發(fā)組件和機(jī)制。）Writetheprogramcode

toproducethemechanismsthatprovideawayforasystemtouseaccesscontrollistsandgiveadministratorssomedegreeofcontrol.ThismechanismpresentsthenetworkadministratorwithaGUIrepresentation,likecheckboxes,tochoosewhichsubjectscanaccesswhatobjects,withintheoperatingsystem.SecurityPolicy“Subjectsneedtobeauthorizedtoaccessobjects.”SecurityModelExample安全策略與安全模型14SecurityModelsBell-LaPadulaModel(1973)BibaModel(1977)Clark-WilsonModel(1987)AccessControlMatrixInformationFlowModelNoninterferenceModelChineseWallModelLatticeModelConfidentialityIntegrityAvailabilitySecurityRequirementsSecurityModels安全策略與安全模型15安全策略的功能安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應(yīng)如何在正常的環(huán)境下行動(dòng)，而當(dāng)發(fā)生環(huán)境不正常時(shí)，應(yīng)如何反應(yīng)。執(zhí)行兩個(gè)主要任務(wù)：1.確定安全的實(shí)施2.使員工的行動(dòng)一致16安全策略與安全模型確定安全的實(shí)施安全策略確定恰當(dāng)?shù)挠?jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)配置及物理安全措施，以及確定所用的合理機(jī)制以保護(hù)信息和系統(tǒng)。規(guī)定了員工責(zé)任。規(guī)定當(dāng)非期望的事件發(fā)生時(shí)，組織應(yīng)如何反應(yīng)。事故發(fā)生時(shí)，該組織的行動(dòng)目標(biāo)。安全事故或系統(tǒng)出故障發(fā)生時(shí)，組織的安全策略和安全程序規(guī)定其應(yīng)做的事。17安全策略與安全模型2.使員工的行動(dòng)一致

安全策略為一個(gè)組織的員工規(guī)定了一起工作的框架，組織的安全策略和安全過(guò)程規(guī)定了安全程序的目標(biāo)和對(duì)象。將這些目標(biāo)和對(duì)象告訴員工，就為安全工作組提供了基礎(chǔ)。18安全策略與安全模型3.2安全策略的類(lèi)型安全策略一般包含3個(gè)方面：（1）目的

應(yīng)明確說(shuō)明為什么要制定該策略和程序，及其對(duì)組織的好處。（2）范圍一個(gè)安全策略和安全程序應(yīng)有一個(gè)范圍。如一個(gè)安全策略適用于所有計(jì)算機(jī)；一個(gè)信息策略適用于所有的員工。（3）責(zé)任規(guī)定誰(shuí)負(fù)責(zé)該文本的實(shí)施。19安全策略與安全模型二、安全策略的類(lèi)型1、信息策略信息策略定義一個(gè)組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。策略覆蓋該組織內(nèi)的全部敏感信息。每個(gè)員工有責(zé)任保護(hù)所有接觸的敏感信息1.識(shí)別敏感信息2.信息分類(lèi)（公開(kāi)、公司敏感、公司秘密、限制或保護(hù)）3.敏感信息標(biāo)記4.敏感信息存儲(chǔ)（規(guī)定相應(yīng)的保護(hù)級(jí)別）5.敏感信息傳輸（對(duì)每種傳輸方式確定保護(hù)方式）6.敏感信息銷(xiāo)毀（規(guī)定相應(yīng)的銷(xiāo)毀方法）20安全策略與安全模型2、系統(tǒng)和網(wǎng)絡(luò)安全策略

規(guī)定了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置與安全相關(guān)的系統(tǒng)。安全策略應(yīng)定義每個(gè)系統(tǒng)實(shí)施時(shí)的要求，但不應(yīng)規(guī)定對(duì)不同操作系統(tǒng)的專(zhuān)門(mén)配置（在安全措施時(shí)解決）。用戶(hù)身份和身份鑒別（機(jī)制及相關(guān)約束）確定如何識(shí)別用戶(hù)規(guī)定用于用戶(hù)ID的標(biāo)準(zhǔn)或定義標(biāo)準(zhǔn)的系統(tǒng)管理過(guò)程，包括系統(tǒng)用戶(hù)和管理員的基本的鑒別機(jī)制。21安全策略與安全模型2系統(tǒng)和網(wǎng)絡(luò)安全策略

訪問(wèn)控制策略（對(duì)電子資源訪問(wèn)控制的標(biāo)準(zhǔn)要求）對(duì)計(jì)算機(jī)上的每個(gè)資源，用戶(hù)定義的訪問(wèn)控制的某些方式應(yīng)是可用的。應(yīng)與身份鑒別機(jī)制一起工作，確保有授權(quán)用戶(hù)能訪問(wèn)。應(yīng)說(shuō)明新文件的黙認(rèn)配置。審計(jì)（確定所有系統(tǒng)上需要審計(jì)的所有類(lèi)型）網(wǎng)絡(luò)連接（連接的規(guī)則及保護(hù)機(jī)制）安全策略應(yīng)確定用于連接的設(shè)備類(lèi)型。應(yīng)定義連接設(shè)備的基本網(wǎng)絡(luò)訪問(wèn)控制策略以及請(qǐng)求和得到訪問(wèn)的基本過(guò)程。針對(duì)從外部訪問(wèn)內(nèi)部系統(tǒng)，安全策略應(yīng)說(shuō)明這類(lèi)訪問(wèn)所采用的機(jī)制（身份鑒別機(jī)制和授權(quán)過(guò)程）22安全策略與安全模型3.2.2系統(tǒng)和網(wǎng)絡(luò)安全策略

搜索惡意代碼的安全程序的要求和存放位置、以及周期性簽名等加密（組織內(nèi)可接收的加密算法、密鑰管理需要的過(guò)程）23安全策略與安全模型3計(jì)算機(jī)用戶(hù)策略

計(jì)算機(jī)用戶(hù)策略規(guī)定了誰(shuí)可以使用計(jì)算機(jī)系統(tǒng)以及使用計(jì)算機(jī)系統(tǒng)的規(guī)則。1.計(jì)算機(jī)所有權(quán)2.信息所有權(quán)所有存儲(chǔ)并用于組織內(nèi)的計(jì)算機(jī)信息歸組織所有。3.計(jì)算機(jī)的使用許可規(guī)定誰(shuí)可以裝載授權(quán)軟件以及怎樣成為合法軟件。4.沒(méi)有隱私的要求在任何組織的計(jì)算機(jī)中存儲(chǔ)、讀出、接收的信息均沒(méi)有隱私。用戶(hù)應(yīng)了解任何信息都可能接受管理員檢查。24安全策略與安全模型4Internet使用策略

規(guī)定了如何合理地使用Internet；確定哪些是非正當(dāng)?shù)氖褂糜性S多有待研究的地方：青少年的網(wǎng)絡(luò)使用問(wèn)題BYOD問(wèn)題25安全策略與安全模型5郵件策略

內(nèi)部郵件問(wèn)題（不應(yīng)和其它的人力資源策略相沖突、不應(yīng)期望在郵件中保護(hù)隱私）外部郵件問(wèn)題（敏感信息保護(hù)、惡意代碼檢查等）26安全策略與安全模型6用戶(hù)管理程序

1.新員工程序（制定新員工正確訪問(wèn)計(jì)算機(jī)資源的程序）2.工作調(diào)動(dòng)的員工程序開(kāi)發(fā)一專(zhuān)門(mén)程序，關(guān)閉原有訪問(wèn)，滿(mǎn)足新的訪問(wèn)需求，相應(yīng)的更換系統(tǒng)管理員。3.離職員工的程序?qū)㈦x職的員工從系統(tǒng)上除去。27安全策略與安全模型7系統(tǒng)管理程序

系統(tǒng)管理程序是確定安全和系統(tǒng)管理如何配合工作以使組織的系統(tǒng)安全(系統(tǒng)管理員監(jiān)控網(wǎng)絡(luò)的能力，應(yīng)由計(jì)算機(jī)用戶(hù)策略確定，并反映組織期望的系統(tǒng)如何管理).28安全策略與安全模型7系統(tǒng)管理程序

系統(tǒng)管理程序應(yīng)確定各種安全相關(guān)的系統(tǒng)管理如何完成。軟件更新（多長(zhǎng)時(shí)間檢查補(bǔ)丁或從廠家更新，更新之前的測(cè)試，更新時(shí)做文檔，失敗時(shí)放棄更新。漏洞掃描（多長(zhǎng)時(shí)間掃描、掃描結(jié)果應(yīng)傳給系統(tǒng)管理糾錯(cuò)和執(zhí)行）策略檢查定期的外部和內(nèi)部審計(jì)用來(lái)檢查是否和策略一致。安全應(yīng)和系統(tǒng)管理一起工作，以檢查系統(tǒng)的一致。29安全策略與安全模型7系統(tǒng)管理程序

登錄檢查應(yīng)定期檢查各種系統(tǒng)的登錄。如采用自動(dòng)工具，應(yīng)規(guī)定工具的配置以及希望它如何處理如手工方式，應(yīng)規(guī)定多長(zhǎng)間隔檢查登錄文件以及事件類(lèi)型等。常規(guī)監(jiān)控應(yīng)有一個(gè)程序歸檔說(shuō)明何時(shí)網(wǎng)絡(luò)通信監(jiān)控發(fā)生。有些組織可能選擇連續(xù)執(zhí)行這種類(lèi)型的監(jiān)控；有些組織可能是隨機(jī)監(jiān)控。應(yīng)該進(jìn)行監(jiān)控，且要?dú)w檔。30安全策略與安全模型8事故響應(yīng)程序

當(dāng)計(jì)算機(jī)發(fā)生事故時(shí)，事故響應(yīng)程序確定該組織將如何作出反應(yīng)。根據(jù)事故的不同，事故響應(yīng)程序應(yīng)確定誰(shuí)有權(quán)處理，以及應(yīng)該做什么，但無(wú)須說(shuō)明如何做。事故處理目標(biāo)如保護(hù)組織的系統(tǒng)、保護(hù)組織的信息、恢復(fù)運(yùn)行、起訴肇事者、減少壞的宣傳等?？梢杂卸鄠€(gè)目標(biāo)，關(guān)鍵是在事故發(fā)生前確定組織的目標(biāo)。31安全策略與安全模型8事故響應(yīng)程序

2.事件識(shí)別事故識(shí)別是事故響應(yīng)中最困難的部分。某事故顯而易見(jiàn)，如WEB站點(diǎn)外貌損壞；某些不易看出，如入侵攻擊或用戶(hù)誤操作等。在公布事故前應(yīng)由系統(tǒng)管理員作檢查以決定事故是否發(fā)生。對(duì)于不是顯而易見(jiàn)的事故，管理員應(yīng)確定檢查的步驟。確定事故發(fā)生后，應(yīng)組織一個(gè)響應(yīng)組，包括安全、系統(tǒng)管理、法律、人力資源、公共關(guān)系等部門(mén)。3.信息控制根據(jù)事故對(duì)組織及其客戶(hù)的影響程序，控制發(fā)布什么樣的信息、發(fā)布多少信息。根據(jù)組織的正面效應(yīng)，選擇發(fā)布信息的方式、方法。32安全策略與安全模型8事故響應(yīng)程序

4.響應(yīng)對(duì)事故的響應(yīng)直接取決定事故響應(yīng)的目標(biāo)。如保護(hù)系統(tǒng)和信息為目標(biāo)，可直接將系統(tǒng)移走；如以抓入侵者為目標(biāo)，可以保持系統(tǒng)在網(wǎng)上的在線狀態(tài)和繼續(xù)提供服務(wù)，允許入侵者再回來(lái)，進(jìn)行入侵者跟蹤和設(shè)置陷阱。5.授權(quán)事故響應(yīng)負(fù)責(zé)人在事故響應(yīng)程序開(kāi)發(fā)時(shí)就要做出決定，而不僅僅是在事故響應(yīng)時(shí)。責(zé)任人要決定系統(tǒng)是否下線，如何與客戶(hù)、新聞機(jī)構(gòu)、律師等聯(lián)系。6.文檔事故響應(yīng)程序應(yīng)規(guī)定響應(yīng)組建立行動(dòng)檔案。（有助于回顧事故全過(guò)程、為起訴的法律實(shí)施提供幫助、有助于以后的事故處理）7.程序的測(cè)試響應(yīng)程序開(kāi)發(fā)過(guò)程中要廣泛征求意見(jiàn)可在現(xiàn)實(shí)世界中進(jìn)行測(cè)試。33安全策略與安全模型9配置管理程序

配置管理程序規(guī)定修改組織的計(jì)算機(jī)系統(tǒng)狀態(tài)的步驟。目的是確定合適的變化不會(huì)對(duì)安全事故的識(shí)別產(chǎn)生不好的影響。新的配置從以下兩方面予以檢查系統(tǒng)的初始狀態(tài)狀態(tài)應(yīng)有文檔，包括操作系統(tǒng)及其版本、補(bǔ)丁水平、應(yīng)用程序及其版本2.變更的控制程序在變更實(shí)施前對(duì)計(jì)劃的變更進(jìn)行測(cè)試，當(dāng)提出變更請(qǐng)求時(shí)，應(yīng)將變更前后的程序存檔。34安全策略與安全模型10設(shè)計(jì)方法

對(duì)生成新系統(tǒng)或能力的項(xiàng)目應(yīng)有一個(gè)設(shè)計(jì)方法，以提供該組織生成新的系統(tǒng)的步驟。在設(shè)計(jì)時(shí)要考慮安全問(wèn)題，使最后完成的系統(tǒng)能與安全相一致。設(shè)計(jì)過(guò)程中與安全相關(guān)的步驟有：1、需求定義在該階段應(yīng)將安全需求列入。指出組織的安全策略和信息策略要求，特別要指定組織的敏感信息和關(guān)鍵信息的要求。2、設(shè)計(jì)設(shè)計(jì)方法應(yīng)確保項(xiàng)目是安全的。安全人員應(yīng)成為設(shè)計(jì)組成員或作為項(xiàng)目設(shè)計(jì)審查人員，在設(shè)計(jì)中對(duì)不同滿(mǎn)足安全要求之處應(yīng)特別說(shuō)明，并加以妥善解決。35安全策略與安全模型10設(shè)計(jì)方法

3、測(cè)試在項(xiàng)目測(cè)試階段，應(yīng)同時(shí)進(jìn)行安全測(cè)試。安全人員協(xié)助編制測(cè)試計(jì)劃，安全要求有可能難以測(cè)試，如測(cè)試入侵者不能看到敏感信息等。4、實(shí)施實(shí)施組應(yīng)使用合適的配置管理程序，在新系統(tǒng)成為產(chǎn)品之前，安全人員應(yīng)檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。36安全策略與安全模型11災(zāi)難恢復(fù)計(jì)劃

每個(gè)組織都應(yīng)有一個(gè)災(zāi)難恢復(fù)計(jì)劃。一個(gè)恰當(dāng)?shù)臑?zāi)難恢復(fù)計(jì)劃應(yīng)考慮各種故障的級(jí)別：?jiǎn)蝹€(gè)系統(tǒng)、數(shù)據(jù)中心、整個(gè)系統(tǒng)。單個(gè)系統(tǒng)或設(shè)備故障包括盤(pán)、主板、NIC、元件的故障。應(yīng)檢查組織的環(huán)境，以識(shí)別任何單個(gè)系統(tǒng)或設(shè)備故障。對(duì)每個(gè)故障應(yīng)在可允許的時(shí)間內(nèi)修復(fù)并恢復(fù)運(yùn)行。災(zāi)難恢復(fù)計(jì)劃必須能修復(fù)故障，使系統(tǒng)繼續(xù)運(yùn)行。災(zāi)難恢復(fù)計(jì)劃必須和運(yùn)行部門(mén)結(jié)合，使他們知道應(yīng)該采取什么步驟恢復(fù)系統(tǒng)運(yùn)行。37安全策略與安全模型11災(zāi)難恢復(fù)計(jì)劃

2.數(shù)據(jù)中心事件災(zāi)難恢復(fù)計(jì)劃為數(shù)據(jù)中心的主要事件提供程序。如數(shù)據(jù)中心運(yùn)行不正常時(shí)，應(yīng)采取什么步驟重新恢復(fù)其能力；在丟失設(shè)備時(shí)，災(zāi)難恢復(fù)計(jì)劃應(yīng)包括如何得到備用設(shè)備。如數(shù)據(jù)中心不能使用時(shí)，災(zāi)難恢復(fù)計(jì)劃應(yīng)考慮如何添加新設(shè)備和構(gòu)建通信線路，如何構(gòu)造計(jì)算機(jī)系統(tǒng)等。3.場(chǎng)地破壞事件識(shí)別重建的關(guān)鍵能力對(duì)電子商務(wù)站點(diǎn)而言，可能關(guān)鍵能力是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)；對(duì)生產(chǎn)工廠來(lái)說(shuō)，則制造部門(mén)是關(guān)鍵。4.災(zāi)難恢復(fù)計(jì)劃的測(cè)試檢測(cè)正確性、測(cè)試其是否處于備用狀態(tài)。38安全策略與安全模型三、安全策略的生成、部署和有效使用1安全策略的生成步驟：確定重要的策略安全人員與系統(tǒng)管理員、人力資源部門(mén)、業(yè)務(wù)部門(mén)協(xié)作，確定哪些策略是最重要的。2.確定可接受的行為基于組織的文化、員工的期望、業(yè)務(wù)的實(shí)際需要確定可接受的行為。3.征求建議凡對(duì)實(shí)施策略有影響的人都應(yīng)參與策略的制定過(guò)程。4.策略的開(kāi)發(fā)草擬策略提交管理部門(mén)批準(zhǔn)實(shí)施。39安全策略與安全模型策略生成是一項(xiàng)繁雜、細(xì)致的工作，稍有差池就會(huì)出現(xiàn)策略不完整、策略沖突、策略冗余的現(xiàn)象。40安全策略與安全模型2安全策略的部署需要全體人員介入1.貫徹2.培訓(xùn)教育3.執(zhí)行安全工作要與系統(tǒng)管理部門(mén)和其它有影響的部門(mén)密切配合，使執(zhí)行更有效。41安全策略與安全模型3安全策略的有效使用

1.新的系統(tǒng)及項(xiàng)目新系統(tǒng)或項(xiàng)目啟動(dòng)時(shí)，應(yīng)同時(shí)進(jìn)行安全策略的設(shè)計(jì)。如新系統(tǒng)不能滿(mǎn)足安全要求，組織要知道存在的風(fēng)險(xiǎn)，并提供某些機(jī)制來(lái)管理存在的風(fēng)險(xiǎn)。2.已有的系統(tǒng)及項(xiàng)目檢查每個(gè)已有的系統(tǒng)是否和新的安全策略相符合。如不符合，確定是否可采取措施來(lái)遵守新的策略。應(yīng)和系統(tǒng)管理員和使用該系統(tǒng)部門(mén)合作，使安全作相應(yīng)的變更。42安全策略與安全模型3安全策略的有效使用

3.審計(jì)定期審計(jì)系統(tǒng)以檢查其是否滿(mǎn)足安全策略。安全部門(mén)應(yīng)及時(shí)將新的安全策略通知給審計(jì)部門(mén)，使在審計(jì)時(shí)了解這些變更。安全部門(mén)向?qū)徲?jì)部門(mén)解釋安全策略如何開(kāi)發(fā)以及期望達(dá)到的目標(biāo)。審計(jì)部門(mén)向安全部門(mén)解釋審計(jì)如何進(jìn)行以及審計(jì)的目標(biāo)。4.安全策略的審查定期檢查安全策略，以確定是否仍適合組織。一般策略，每年審查一次。對(duì)事故響應(yīng)程序和災(zāi)難恢復(fù)計(jì)劃，可能需要更為瀕繁的審查。43安全策略與安全模型4安全模型安全模型是一個(gè)系統(tǒng)安全政策的形式化描述（數(shù)學(xué)描述）一個(gè)系統(tǒng)是安全的，當(dāng)切僅當(dāng)它所有的狀態(tài)都滿(mǎn)足安全政策的規(guī)定。安全模型的意義TCSEC的提出使安全模型引起了更多的關(guān)注安全模型能夠精確地表達(dá)系統(tǒng)對(duì)安全性的需求，增強(qiáng)對(duì)系統(tǒng)安全性的理解；有助于系統(tǒng)實(shí)現(xiàn)有助于系統(tǒng)安全性的證明或驗(yàn)證安全策略與安全模型44常見(jiàn)的安全模型訪問(wèn)控制模型（AccessControlModel）完整性模型(integritymodel)Clark-Wilson模型域類(lèi)實(shí)施模型（DomainTypeEnforcement)莫科爾樹(shù)模型（MerkleTree)安全策略與安全模型45確保系統(tǒng)從一個(gè)有效狀態(tài)轉(zhuǎn)換到另一個(gè)有效狀態(tài)（面向事務(wù)的模型）通過(guò)對(duì)主體（域）和客體（類(lèi)型）分組，實(shí)施強(qiáng)制訪問(wèn)控制。UNIX系統(tǒng)中采用。完整性度量模型訪問(wèn)控制模型控制主體對(duì)客體的訪問(wèn)一次訪問(wèn)可以描述為一個(gè)三元組： <S，A,O>訪問(wèn)控制政策是一組規(guī)則，決定一個(gè)特定的主體是否有權(quán)限訪問(wèn)一個(gè)客體

F(s,a,o){True,False}安全策略與安全模型46訪問(wèn)控制矩陣

按列看是客體的訪問(wèn)控制列表（accesscontrollist）按行看是主體的訪問(wèn)能力表(capabilitylist)安全策略與安全模型47BLP模型Bell-LaPadulaModel用來(lái)描述美國(guó)國(guó)防部的多級(jí)安全政策——用戶(hù)和文件分成不同的安全級(jí)別，各自帶有一個(gè)安全標(biāo)簽Unclassified,Confidential,Secret,TopSecret——每個(gè)用戶(hù)只可以讀同級(jí)或級(jí)別更低的文件BLP模型只描述了保密性，沒(méi)有描述完整性和可用性的要求安全策略與安全模型48BLP模型BLP模型基于有限狀態(tài)自動(dòng)機(jī)的概念安全策略與安全模型49Bell-LaPadula模型BLP模型是D.ElliottBell和LeonardJ.LaPadula于73年創(chuàng)立的一種模擬軍事安全策略的計(jì)算機(jī)操作模型，是最早、也是最常用的一種計(jì)算機(jī)多級(jí)安全模型。主體對(duì)客體的訪問(wèn)分為r(只讀）、w(讀寫(xiě)）、a（只寫(xiě)）、e（執(zhí)行)以及c（控制）等幾種訪問(wèn)模式，其中c(控制）是指該主體用來(lái)授以或撤消另一主體對(duì)某一客體訪問(wèn)權(quán)限的能力。該模型安全策略從兩方面描述：DAC和MAC.DAC用一個(gè)訪問(wèn)控制矩陣表示，MAC安全策略包括SSP和*-特性。系統(tǒng)對(duì)所有主體和客體都分配一個(gè)訪問(wèn)類(lèi)屬性，包括主體和客體的密級(jí)與范疇，系統(tǒng)通過(guò)比較主體與客體的訪問(wèn)類(lèi)屬性控制主體對(duì)客體的訪問(wèn)。所有的MAC系統(tǒng)都是基于BELL-LAPADULA模型，因?yàn)樗试S在代碼里面整合多級(jí)安全規(guī)則，主體和客體會(huì)被設(shè)置安全級(jí)別，當(dāng)主體試圖訪問(wèn)一個(gè)客體，系統(tǒng)比較主體和客體的安全級(jí)別，然后在模型里檢查操作是否合法和安全。50簡(jiǎn)單安全規(guī)則表示低安全級(jí)別的主體不能從高安全級(jí)別客體讀取數(shù)據(jù)。星屬性安全規(guī)則表示高安全級(jí)別的主體不能對(duì)低安全級(jí)別的客體寫(xiě)數(shù)據(jù).安全策略與安全模型DAC:自主指主體能夠自主地將訪問(wèn)權(quán)或訪問(wèn)權(quán)的某個(gè)子集授予其他主體。例：降低主體密級(jí)會(huì)違犯BLP模型什么特征?提升客體的密級(jí)會(huì)違犯什么特征？答：*-特性：高安全級(jí)別的主體不能對(duì)低安全級(jí)別的客體寫(xiě)數(shù)據(jù).SSP：低安全級(jí)別的主體不能從高安全級(jí)別客體讀取數(shù)據(jù)。降低主體密級(jí)會(huì)違犯BLP模型*-特性，存在低安全級(jí)別寫(xiě)數(shù)據(jù)的可能。提升客體的密級(jí)會(huì)違犯SSP，存在讀取高安全級(jí)別客體數(shù)據(jù)的可能。51安全策略與安全模型Bell-LaPadula模型密級(jí)是一有限全序集L。和f1o為主體S和客體O的密級(jí)函數(shù)：

：；s|→lf1o:O→L;o|→l主體當(dāng)前密級(jí)函數(shù)f1c:;s|→l主體當(dāng)前密級(jí)可以變化的。但52安全策略與安全模型Bell-LaPadula模型例：假定主體集合S=｛Alice,Bob,Carol},客體集合是O=｛Email_File,Telephone_Number_Book,Personal_File},訪問(wèn)控制矩陣如下：L={絕密，機(jī)密，秘密，敏感，普通｝53Email_FileTelephone_Number_BookPersonal_FileAlice{w}{r}{r}Bob{a}{w,e,app}{a}Carol{a}{r}安全策略與安全模型Bell-LaPadula模型密級(jí)函數(shù)表如下：

54f1sf1of1cAlice絕密敏感Bob機(jī)密敏感Carol普通普通Email_File秘密Telephone_Number_Book普通Personal_File絕密安全策略與安全模型Bell-LaPadula模型控制規(guī)則如下：不上讀：主體當(dāng)前密級(jí)不低于客體密級(jí)。不下寫(xiě)：主體當(dāng)前密級(jí)不高于客體密級(jí)。

55安全策略與安全模型Bell-LaPadula模型的形式化描述有限狀態(tài)機(jī)模型，形式化定義了系統(tǒng)、系統(tǒng)狀態(tài)、及對(duì)系統(tǒng)狀態(tài)和狀態(tài)間的轉(zhuǎn)移規(guī)則進(jìn)行限制和約束.模型元素含義V表示所有的狀態(tài)集合，vV由一個(gè)有序的三元組（b,M,f)表示。bSXOXA,S為主體集，O為客體集，A={r,w,a,e}是訪問(wèn)屬性集。M是訪問(wèn)矩陣fF是安全級(jí)函數(shù)，記作f=(fs,fo,fc)56安全策略與安全模型Bell-LaPadula模型的形式化描述用R表示所有請(qǐng)求（輸入)的集合:Get類(lèi)：get-read/write/append/execute,release-read\write\append\execute,用于請(qǐng)求和釋放訪問(wèn)。Give類(lèi)：gives-read/write/append/execute,rescind-read\write\append\execute,實(shí)現(xiàn)一個(gè)主體對(duì)另一個(gè)主體的授權(quán)或取消授權(quán)。Change-object-security-level類(lèi)

包括Change-object-security-level、create-object。用來(lái)改變客體的安全級(jí)或創(chuàng)建客體。Delete-object-group類(lèi)

僅Delete-object-group，用來(lái)刪除一個(gè)或一組客體。Change-subject-current-security-level類(lèi)，改變主體當(dāng)前等級(jí)。57安全策略與安全模型Bell-LaPadula模型的形式化描述安全系統(tǒng)定義狀態(tài)轉(zhuǎn)換規(guī)則：

：RXV→DXV,其中：R為請(qǐng)求集，V為狀態(tài)集，D為判定集，判定“yes”表示請(qǐng)求被執(zhí)行，”no”表示請(qǐng)求被拒絕，“error”表示有多個(gè)規(guī)則適用于這一請(qǐng)求狀態(tài)對(duì)，“?”表示該規(guī)則不能識(shí)別該請(qǐng)求。一個(gè)系統(tǒng)實(shí)際上由初始狀態(tài)z0V、輸入序列、輸出序列和判定序列系統(tǒng)組成，形式化表示成：當(dāng)且僅當(dāng)對(duì)于所有的i,(di,zi)=(ri,zi-1)58安全策略與安全模型基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都滿(mǎn)足SSP、*特性和DSP特性，那么在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中，系統(tǒng)的安全性一定不會(huì)被破壞。Bell-LaPadula模型的形式化描述基本安全定理綜合了安全簡(jiǎn)單特性（SSP)\*-特性\自主安全特性(DSP).訪問(wèn)向量（s,o,p)SXOXA相對(duì)于安全級(jí)函數(shù)f稱(chēng)為具有簡(jiǎn)單安全特性，如果下列條件成立：p=a或e；p=r或w,且fc(s)≥fo(o)主體s的安全性在控制客體的安全性時(shí)，才允許進(jìn)行讀訪問(wèn)。一個(gè)狀態(tài)（b,M,f)如果b的每個(gè)元素相對(duì)于f都具有SSP,則稱(chēng)（b,M,f)滿(mǎn)足SSP.59安全策略與安全模型Bell-LaPadula模型的形式化描述訪問(wèn)向量（s,o,p)SXOXA相對(duì)于安全級(jí)函數(shù)f稱(chēng)為具有*-特性，如果下列條件成立：p=r或e；p=a或w,且fs(s)≤fo(o)主體s的安全性只有不超過(guò)客體的安全性時(shí)，才允許進(jìn)行寫(xiě)訪問(wèn)。一個(gè)狀態(tài)（b,M,f)如果b的每個(gè)元素相對(duì)于f都具有*-特性,則稱(chēng)（b,M,f)滿(mǎn)足*-特性.一個(gè)狀態(tài)（b,M,f)稱(chēng)為滿(mǎn)足自主安全特性（DSP），如果對(duì)每一個(gè)訪問(wèn)向量（s,o,p)b,則有pM[s,o]。

一個(gè)系統(tǒng)稱(chēng)為滿(mǎn)足DSP，如果它的每一個(gè)狀態(tài)均滿(mǎn)足DSP。60安全策略與安全模型Bell-LaPadula模型的形式化描述一個(gè)狀態(tài)（b,M,f)稱(chēng)為滿(mǎn)足自主安全特性（DSP),如果對(duì)每個(gè)訪問(wèn)向量（s,o,p)b,都有pm[s,o].一個(gè)系統(tǒng)（狀態(tài)）稱(chēng)為是安全的，如果它滿(mǎn)足SSP\*-特性和DSP.定理定理1：從SSP初始狀態(tài)z0出發(fā)系統(tǒng)總具有簡(jiǎn)單安全特性，當(dāng)且僅當(dāng)對(duì)于的每一個(gè)實(shí)現(xiàn)和每個(gè)正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,F’)滿(mǎn)足：（s,o,p)b’-b,相對(duì)于f’滿(mǎn)足SSP;若（s,o,p)b相對(duì)于f’不滿(mǎn)足SSP,則（s,o,p)b’;61安全策略與安全模型Bell-LaPadula模型的形式化描述定理2：從*-特性初始狀態(tài)z0出發(fā)系統(tǒng)總具有*-特性，當(dāng)且僅當(dāng)對(duì)于的每一個(gè)實(shí)現(xiàn)和每個(gè)正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,f’)滿(mǎn)足：（s,o,p)b’-b,相對(duì)于f’滿(mǎn)足*-p;若（s,o,p)b相對(duì)于f’不滿(mǎn)足*-p,則（s,o,p)b’;62安全策略與安全模型Bell-LaPadula模型的形式化描述定理3從DSP初始狀態(tài)z0出發(fā)系統(tǒng)總具有DSP，當(dāng)且僅當(dāng)對(duì)于的每一個(gè)實(shí)現(xiàn)和每個(gè)正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,f’)滿(mǎn)足：（s,o,p)b’-b,滿(mǎn)足DSP;若（s,o,p)b不滿(mǎn)足DSP,則（s,o,p)b’;基本安全定理：系統(tǒng)如滿(mǎn)足定理1、定理2、定理3的條件，則該系統(tǒng)是安全的。63安全策略與安全模型BLP模型不足只處理秘密性沒(méi)有考慮完整性、包含隱通道、沒(méi)有制定修改訪問(wèn)控制權(quán)限的策略，可信主體權(quán)限過(guò)大等。這與它設(shè)計(jì)的初衷只是為了處理權(quán)限相對(duì)固定、只關(guān)心秘密級(jí)別的情況有關(guān)。增強(qiáng)動(dòng)態(tài)安全控制？如時(shí)間屬性？如會(huì)話/代理特性？64安全策略與安全模型Biba（畢巴）模型Biba模型是在bell-lapadula模型之后開(kāi)發(fā)的，與bell-lapadula模型不同很相似，被用于解決應(yīng)用程序數(shù)據(jù)的完整性問(wèn)題。Biba模型能夠防止數(shù)據(jù)從低完整性級(jí)別流向高完整性級(jí)別，Biba模型有三條規(guī)則提供這種保護(hù):星完整性規(guī)則（*-integrityaxiom）,表示完整性級(jí)別低的主體不能對(duì)完整性級(jí)別高的客體寫(xiě)數(shù)據(jù)。簡(jiǎn)單完整性規(guī)則（simpleintegrityaxiom）,表示完整性級(jí)別高的主體不能從完整性級(jí)別低的客體讀取數(shù)據(jù)。懇求屬性規(guī)則（invocationproperty）。表示一個(gè)完整性級(jí)別低的主體不能從級(jí)別高的客體調(diào)用程序或服務(wù)。這就保證低完整性的主體不會(huì)去調(diào)用某個(gè)高完整性客體的清除工具清除該客體的數(shù)據(jù)。65安全策略與安全模型BIBA模型規(guī)則1：“寫(xiě)”操作的實(shí)施由下面（1）控制；“執(zhí)行”操作的實(shí)施由下面的規(guī)則（2）控制：（1）當(dāng)且僅當(dāng)I(O)<=I(S)時(shí)，主體S可以“寫(xiě)”客體O；（2）當(dāng)且僅當(dāng)I(S2)<=I(S1)時(shí)，S1可以“執(zhí)行”S2.規(guī)則2：（BIBA低水標(biāo)模型）

Imin=min(I(O),I(S)),S在“讀”操作后，主體S的完整性級(jí)別被調(diào)整為Imin.規(guī)則3：（BIBA環(huán)模型）不管完整性級(jí)別如何，任何主體都可以讀任何客體。BIBA嚴(yán)格完整性模型（規(guī)則4與規(guī)則1）規(guī)則4：當(dāng)且僅當(dāng)I(S)<=I(O)，主體可以讀客體O。安全策略與安全模型6667HighIntegrityHighIntegrityMediumIntegrityMediumIntegrityLowIntegrityLowIntegrity主體客體星完整性規(guī)則（*-integrityaxiom）和懇求完整性規(guī)則（invocationproperty）生效，此時(shí)主體對(duì)客體可讀不可寫(xiě)（nowriteup）,也不能調(diào)用主體的任何程序和服務(wù)；主體對(duì)客體可寫(xiě)可讀；簡(jiǎn)單完整性規(guī)則（simpleintegrityaxiom）生效，此時(shí)主體對(duì)客體可寫(xiě)不可讀(noreaddown)；安全策略與安全模型BLP模型安全策略與安全模型68訪問(wèn)控制策略用戶(hù)訪問(wèn)管理策略用戶(hù)注冊(cè)權(quán)限管理用戶(hù)口令管理用戶(hù)訪問(wèn)權(quán)限檢查用戶(hù)責(zé)任口令的使用無(wú)人值守的用戶(hù)設(shè)備69安全策略與安全模型訪問(wèn)控制策略網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)服務(wù)的使用策略實(shí)施控制的路徑外部聯(lián)接的用戶(hù)身份驗(yàn)證節(jié)點(diǎn)驗(yàn)證遠(yuǎn)程診斷端口的保護(hù)網(wǎng)絡(luò)劃分網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制網(wǎng)絡(luò)服務(wù)安全70安全策略與安全模型訪問(wèn)控制策略操作系統(tǒng)訪問(wèn)控制終端自動(dòng)識(shí)別功能終端登錄程序用戶(hù)身份識(shí)別和驗(yàn)證口令管理系統(tǒng)系統(tǒng)實(shí)用程序的使用保護(hù)用戶(hù)的威脅報(bào)警終端超時(shí)連接時(shí)間限制71安全策略與安全模型訪問(wèn)控制策略應(yīng)用程序訪問(wèn)控制信息訪問(wèn)控制敏感系統(tǒng)隔離監(jiān)控系統(tǒng)的訪問(wèn)和使用事件日志記錄監(jiān)控系統(tǒng)的使用移動(dòng)計(jì)算和遠(yuǎn)程工作BYOD設(shè)備信息不損壞，采用正式策略文件，考慮BYOD設(shè)備的工作風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)評(píng)方法。防止BYOD設(shè)備盜竊和信息盜竊、非法公開(kāi)信息，對(duì)組織內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問(wèn)或?yàn)E用設(shè)備的行為。72安全策略與安全模型針對(duì)策略的描述、轉(zhuǎn)換、措施的部署是研究的熱點(diǎn)（refinement)。策略的描述策略轉(zhuǎn)換措施自動(dòng)部署策略與措施一致性分析規(guī)則相容性73安全策略與安全模型配置傻瓜化操作過(guò)程可視化路徑清晰化計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究解決思路研究計(jì)算機(jī)網(wǎng)絡(luò)防御策略的組成和劃分，以及策略到規(guī)則的自動(dòng)代換方法，并建立計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型。根據(jù)策略模型，研究并設(shè)計(jì)一種抽象網(wǎng)絡(luò)防御控制行為的描述語(yǔ)言，具體包括詞法設(shè)計(jì)、語(yǔ)法設(shè)計(jì)和語(yǔ)義設(shè)計(jì)。將策略轉(zhuǎn)化為防御節(jié)點(diǎn)的規(guī)則。74安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究防御策略模型基于or-BAC的基礎(chǔ)上，抽象網(wǎng)絡(luò)防御控制行為，建立CNDPM；對(duì)保護(hù)、檢測(cè)、響應(yīng)進(jìn)行統(tǒng)一描述引入角色、視圖、活動(dòng)的自動(dòng)分配方法9種實(shí)體、10種關(guān)系，策略和規(guī)則的實(shí)體通過(guò)謂詞建立關(guān)聯(lián)，從而實(shí)現(xiàn)策略的推導(dǎo)。75安全策略與安全模型策略的形式化描述策略（policy）可以形式化描述成六元組：POLICY::=<org,r,a,v,c,m>其中，

策略中各實(shí)體存在偏函數(shù)關(guān)系：76安全策略與安全模型具體規(guī)則（rule）指主體對(duì)客體允許、不允許的動(dòng)作或?qū)Σ涣夹袨榈捻憫?yīng)的聲明。規(guī)則形式化描述為五元組：RULE::=<org,s,,o,m>

其中：

表示組織org中主體s對(duì)客體o的動(dòng)作

應(yīng)用措施m。77安全策略與安全模型任何組織定義的任一角色、雇用的任一主體，如果主體具有此角色含有的特性，則該組織雇用的主體可以作為該角色。78安全策略與安全模型策略到具體規(guī)則的推導(dǎo)任何一條策略中，如果組織雇用主體s為角色r，使用客體o為視圖v，考慮動(dòng)作

為活動(dòng)a，并且s，o和

處于上下文c中，則組織中的主體s對(duì)客體o的動(dòng)作

應(yīng)用措施m。79安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言的設(shè)計(jì)目標(biāo)是：豐富的表達(dá)能力，面向CNDPM模型，表示各種保護(hù)、檢測(cè)和響應(yīng)策略；簡(jiǎn)潔靈活性，語(yǔ)法形式簡(jiǎn)單、形象直觀；實(shí)現(xiàn)無(wú)關(guān)性，自動(dòng)解析成具體執(zhí)行部件所規(guī)定的防御規(guī)則；一定的可擴(kuò)展性，可以方便地對(duì)其擴(kuò)展以表示更多的策略。80安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究下面給出CNDPSL的EBNF范式。<cndpsl>::=<語(yǔ)句塊>|<cndpsl><語(yǔ)句塊><語(yǔ)句塊>::=<組織聲明>|(<組織名>|<組織聲明>)<策略語(yǔ)句塊>|<組織名><策略>|<策略信息顯示><策略語(yǔ)句塊>::=‘{’<策略語(yǔ)句>{<策略語(yǔ)句>}‘}’<策略語(yǔ)句>::=<角色語(yǔ)句>|<toview>|<視圖語(yǔ)句>|<活動(dòng)語(yǔ)句>|<策略>|<上下文>81安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究<策略>::=(policy|delete_policy)<措施><角色名><活動(dòng)名><視圖短語(yǔ)>(<上下文名>|default)其中視圖可以通過(guò)角色的轉(zhuǎn)化得到，語(yǔ)法如下：<視圖短語(yǔ)>::=<視圖名>|<toview>toview::=toview‘(’<角色名>‘)’//角色到視圖的轉(zhuǎn)化82安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究<措施>::=<保護(hù)措施>|<檢測(cè)措施>|<響應(yīng)措施><保護(hù)措施>::=<encrypt>|permit|deny

<檢測(cè)措施>::=detect_PasswordCracker|detect_ICMPFlood|detect_SYNFlood|detect_UDPFlood|detect_Slammer|detect_IPSpoof||detect_Smurf|any

<響應(yīng)措施>::=prohibit_source|patch|reboot|disconnect|stop_service防御措施不限于已列舉的措施，可以根據(jù)需要增加相應(yīng)的描述，從而實(shí)現(xiàn)完備性。例如，保護(hù)可以增加對(duì)身份認(rèn)證等的描述，檢測(cè)措施可以增加對(duì)新攻擊的檢測(cè)，而響應(yīng)可以添加攻擊源定位等的描述。83安全策略與安全模型計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究84安全策略與安全模型解決效果防御策略描述語(yǔ)言可以按需求描述防御策略，防御策略由防御策略描述語(yǔ)言解釋器按照防御策略模型的語(yǔ)義進(jìn)行正確解釋?zhuān)呗砸婺馨茨Ｐ偷囊?guī)則進(jìn)行正確的推導(dǎo)，最后轉(zhuǎn)化為防御規(guī)則，部署在防御節(jié)點(diǎn)中。為計(jì)算機(jī)網(wǎng)絡(luò)攻防演練提供了防御策略支持。85安全策略與安全模型防御策略外網(wǎng)能訪問(wèn)服務(wù)器中開(kāi)放的服務(wù)；外網(wǎng)還能訪問(wèn)httpserver的無(wú)連接服務(wù)；內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)；內(nèi)網(wǎng)必須檢測(cè)口令竊取攻擊，同時(shí)Domain_B中還要檢測(cè)蠕蟲(chóng)；對(duì)一切攻擊，必須及時(shí)切斷攻擊源。86安全策略與安全模型用CNDPSL描述如下：orgbluesu