訪問(wèn)控制技術(shù)課件

訪問(wèn)控制技術(shù)

AccessControlTechnologiesPage2引言二十一世紀(jì)，信息化已成為國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的倍增器。信息技術(shù)作為推動(dòng)信息化進(jìn)程的核心動(dòng)力，正以其廣泛的滲透性和無(wú)與倫比的先進(jìn)性與傳統(tǒng)產(chǎn)業(yè)進(jìn)行著緊密的結(jié)合，推動(dòng)了國(guó)家現(xiàn)代化和社會(huì)文明的快速發(fā)展。Page3信息安全產(chǎn)生的背景目前許多行業(yè)系統(tǒng)對(duì)信息安全框架的構(gòu)造只停留在網(wǎng)絡(luò)防護(hù)，而忽略了基礎(chǔ)安全平臺(tái)這一基本要素，這如同將堅(jiān)硬的堡壘建立在沙丘之上，安全隱患極大。由于信息技術(shù)本身的特殊性，特別是網(wǎng)絡(luò)的開(kāi)放性，使得在整個(gè)信息化進(jìn)程中，存在著巨大的信息安全風(fēng)險(xiǎn)：技術(shù)因素環(huán)境因素Page4對(duì)信息保密性的攻擊監(jiān)聽(tīng)竊聽(tīng)截聽(tīng)紙上信息電子信息訪問(wèn)攻擊Page5信息安全無(wú)處不在物理安全通信安全輻射安全計(jì)算機(jī)安全網(wǎng)絡(luò)安全Page6有關(guān)Internet1996/8/17美國(guó)司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵

主頁(yè)改為美國(guó)不公正部/部長(zhǎng)照片換成了希特勒/司法部徽章?lián)Q成納粹黨徽/色情女郎變成部長(zhǎng)助手1988/11/2病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)事件

美國(guó)6000多臺(tái)計(jì)算機(jī)被病毒感染/病毒作者CORNELLU.RobertT.Morris/231994末俄羅斯黑客佛拉基米爾.利文攻擊CITIBANK,通過(guò)電子轉(zhuǎn)帳方式,竊取1100萬(wàn)元美金1991/5由于網(wǎng)絡(luò)系統(tǒng)被攻破在BISCAY海灣發(fā)生沉船事故1993/6黑客修改了美國(guó)一家醫(yī)院的測(cè)試數(shù)據(jù),許多被測(cè)者誤以為自己患上了癌癥1998/8/22江西省169臺(tái)被黑客攻擊癱瘓1998/4/25黑客攻擊CHINANET貴州站點(diǎn)的WWW主機(jī),使得WEB頁(yè)面不堪入目

在現(xiàn)在的INTERNET上沒(méi)有任何事情是可以絕對(duì)相信的,從遠(yuǎn)方的一個(gè)IP地址到收到的一份電子郵件,我們不能相信它是真實(shí)的。Page7瑞星全球反病毒檢測(cè)網(wǎng)2006年11月17日發(fā)布消息稱，中國(guó)銀聯(lián)官方網(wǎng)站被黑客攻陷，其首頁(yè)被植入后門程序，并在服務(wù)器上放置了“黑洞2005”。

2006年11月18日中國(guó)銀聯(lián)有關(guān)負(fù)責(zé)人表示，銀聯(lián)卡交易網(wǎng)絡(luò)未受影響。銀聯(lián)網(wǎng)站被黑不影響交易Page8CERT有關(guān)安全事件的統(tǒng)計(jì)

年份事件報(bào)道數(shù)目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658200282,0942003137,529Page9信息安全事件統(tǒng)計(jì)CERT有關(guān)安全事件的統(tǒng)計(jì)年度報(bào)道事件數(shù)目與軟件漏洞相關(guān)事件數(shù)目2003114,8553784200282,094412920015265824372000217561090Page10CNCERT/CC來(lái)自國(guó)內(nèi)外安全事件報(bào)告一覽月份蠕蟲(chóng)網(wǎng)頁(yè)惡意代碼木馬網(wǎng)絡(luò)欺詐拒絕服務(wù)攻擊網(wǎng)頁(yè)篡改掃描主機(jī)入侵垃圾郵件其他合計(jì)11301917221432812412614176335735186937121226841116357025461220852313326104353112410421174401295617211110991100251157總計(jì)19732205561240629723189136302003年上半年4675，下半年8639Page11一、計(jì)算機(jī)信息系統(tǒng)面臨的安全威脅

計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸?shù)忍幚淼娜藱C(jī)系統(tǒng)。

Page12

威脅的幾種類型1竊取

:對(duì)數(shù)據(jù)和服務(wù)的竊取

2篡改:對(duì)數(shù)據(jù)和服務(wù)的篡改

3拒絕服務(wù)

4偽造：偽造虛假數(shù)據(jù)

5重放

6冒充：冒充身份

7抵賴Page13二、計(jì)算機(jī)犯罪1、以破壞計(jì)算機(jī)系統(tǒng)資源為目標(biāo)

①“硬”攻擊手段

②“軟”攻擊手段

③以強(qiáng)的電磁場(chǎng)干擾計(jì)算機(jī)的工作

2、利用計(jì)算機(jī)系統(tǒng)作為犯罪工具

①竊取計(jì)算機(jī)中有價(jià)值的數(shù)據(jù)

②貪污和詐騙

③破壞計(jì)算機(jī)中的信息Page14三、計(jì)算機(jī)犯罪的特點(diǎn)1.是一種高技能、高智能和專業(yè)性強(qiáng)的犯罪2.造成的損失嚴(yán)重，危害大，影響廣

3.難以發(fā)現(xiàn)和偵破四、信息戰(zhàn)Page15信息戰(zhàn)InformationWarfare（IW)這個(gè)名詞已經(jīng)變得廣為接受，相應(yīng)地還有Cyberwar,I-War，infowar,C4I等名詞誕生根據(jù)IASIW(INSTITUTEFORTHEADVANCEDSTUDYOFINFORMATIONWARFARE)的定義，信息戰(zhàn)爭(zhēng)指：使用信息或信息系統(tǒng)的攻擊和防御，以利用、惡化、摧毀對(duì)手的信息和信息系統(tǒng)，同時(shí)保障自身的信息和信息系統(tǒng)Page16信息戰(zhàn)常識(shí)信息戰(zhàn)的發(fā)起可以從任何地方，信息戰(zhàn)的武器包括各個(gè)方面：病毒，特洛伊木馬，郵件炸彈，電磁干擾等信息戰(zhàn)要素C4I:Command,Control,CommunicationsandIntelligence+Computer信息戰(zhàn)的層次個(gè)人之間企業(yè)之間政府之間網(wǎng)上的偷盜行為盛行，使得許多銀行、商家推遲網(wǎng)上交易計(jì)劃

Page17信息戰(zhàn)爭(zhēng)演習(xí)英美專家策劃舉行信息戰(zhàn)爭(zhēng)演習(xí)，假想敵人是計(jì)算機(jī)“黑客”美國(guó)政府“建議一些分析性的演習(xí)，以檢驗(yàn)21世紀(jì)早期的Cyberwar以及不同的模式”在美國(guó)舉行的一些演習(xí)證明：少數(shù)幾個(gè)計(jì)算機(jī)“黑客”即可使美國(guó)的股票市場(chǎng)、軍事系統(tǒng)和機(jī)場(chǎng)陷于癱瘓Page18五、計(jì)算機(jī)信息系統(tǒng)的脆弱性1.硬件設(shè)施的脆弱性

溫度、濕度、灰塵、電磁場(chǎng)2.軟件的脆弱性3.網(wǎng)絡(luò)通信的脆弱性Page19信息安全無(wú)處不在物理安全通信安全輻射安全計(jì)算機(jī)安全網(wǎng)絡(luò)安全Page20計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義—網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞更改泄漏,系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

Page21計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義—物理安全

物理安全風(fēng)險(xiǎn)主要是指信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)施和計(jì)算機(jī)硬件設(shè)施所可能遭受的物理破壞或損壞，造成物理風(fēng)險(xiǎn)的原因包括：（1）地震、火災(zāi)、水災(zāi)等意外環(huán)境事故；（2）電源故障；（3）人為操作失誤或錯(cuò)誤；（4）設(shè)備被盜、被毀。Page22計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義—運(yùn)行安全運(yùn)行安全風(fēng)險(xiǎn)是指系統(tǒng)組件在不存在物理?yè)p壞的前提下因?yàn)槟承┰蚨荒苷＿\(yùn)行的問(wèn)題，運(yùn)行風(fēng)險(xiǎn)包括：（1）停電；（2）設(shè)備故障；（3）電磁干擾；（4）病毒。Page23計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義—管理安全

管理安全風(fēng)險(xiǎn)主要是指因?yàn)楣芾聿簧频脑蚨斐傻纳鲜龈黝愶L(fēng)險(xiǎn)，管理風(fēng)險(xiǎn)主要關(guān)注的是系統(tǒng)中的各類人員。責(zé)權(quán)不明、管理混亂；安全管理制度不健全；缺乏可操作性。Page24計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義—信息安全

信息安全包括信息的保密性、完整性和可用性。而信息安全風(fēng)險(xiǎn)則是指信息的保密性、完整性和可用性遭受破壞的問(wèn)題，信息風(fēng)險(xiǎn)雖然關(guān)注的是信息的安全，但是這些風(fēng)險(xiǎn)卻完全可能是因?yàn)榫W(wǎng)絡(luò)、計(jì)算機(jī)軟硬件等自身存在的缺陷所引起的。Page25計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的含義

具體的信息安全風(fēng)險(xiǎn)包括：機(jī)密信息泄漏未經(jīng)授權(quán)的訪問(wèn)破壞信息完整性假冒，包括：

假冒領(lǐng)導(dǎo)或機(jī)構(gòu)發(fā)布命令和調(diào)閱密件；假冒合法主機(jī)和用戶欺騙其他主機(jī)和用戶；假冒網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源；接管合法用戶欺騙系統(tǒng)，占用合法用戶資源。破壞系統(tǒng)的可用性，包括：

使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源；使有時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；使信息系統(tǒng)癱瘓。Page26信息安全的定義信息安全是一個(gè)復(fù)雜而巨大的系統(tǒng)工程。長(zhǎng)期以來(lái)，人們把信息安全理解為對(duì)信息的機(jī)密性、完整性、可用性和可控性的保護(hù)。一般而言，信息安全的基本內(nèi)容包括訪問(wèn)控制、數(shù)據(jù)存儲(chǔ)安全、傳輸安全及管理措施四個(gè)方面，而所涉及的安全問(wèn)題又要依靠密碼技術(shù)、數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)、安全審計(jì)、災(zāi)難恢復(fù)、防火墻、防病毒、防黑客入侵等安全機(jī)制（措施）加以解決。Page27安全網(wǎng)絡(luò)的特征保密性信息不泄漏給非授權(quán)的用戶、實(shí)體和過(guò)程，或供其利用的特性數(shù)據(jù)保密性就是保證只有授權(quán)用戶可以訪問(wèn)數(shù)據(jù)，而限制其他人對(duì)數(shù)據(jù)的訪問(wèn)。數(shù)據(jù)保密性又分為網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲(chǔ)保密性保密性：對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的對(duì)象Page28安全網(wǎng)絡(luò)的特征完整性數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，保證數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)，不影響數(shù)據(jù)的可用性?？捎眯援?dāng)需要數(shù)據(jù)時(shí)，指能否存取和訪問(wèn)所需的信息如網(wǎng)絡(luò)環(huán)境下的拒絕服務(wù)、系統(tǒng)不能正常運(yùn)行【蠕蟲(chóng)大量復(fù)制和傳播，占用大量CPU時(shí)間，系統(tǒng)慢，網(wǎng)絡(luò)最后崩潰。網(wǎng)站費(fèi)用陡增】可控性對(duì)信息的傳播和信息內(nèi)容能夠控制完整性：對(duì)抗對(duì)手的主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改可用性：保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用可控性：對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控Page29信息安全分類及基本功能

根據(jù)國(guó)家計(jì)算機(jī)安全規(guī)范，我們可以把信息安全大致分為三類：●實(shí)體安全，包括機(jī)房、線路，主機(jī)等；●網(wǎng)絡(luò)與信息安全，包括網(wǎng)絡(luò)的暢通、準(zhǔn)確及其網(wǎng)上的信息安全；●應(yīng)用安全，包括程序開(kāi)發(fā)運(yùn)行、輸入輸出、數(shù)據(jù)庫(kù)等的安全。Page30網(wǎng)絡(luò)安全的結(jié)構(gòu)層次Page31信息安全風(fēng)險(xiǎn)分析及對(duì)策風(fēng)險(xiǎn)安全對(duì)策用戶風(fēng)險(xiǎn)身份假冒身份認(rèn)證身份竊取身份認(rèn)證非授權(quán)訪問(wèn)訪問(wèn)授權(quán)管理重放攻擊鑒別、記錄、預(yù)警否認(rèn)審計(jì)、記錄深度入侵預(yù)警、阻斷數(shù)據(jù)風(fēng)險(xiǎn)竊取實(shí)體安全、加密篡改完整性檢驗(yàn)毀壞災(zāi)難恢復(fù)有害數(shù)據(jù)侵入(包括病毒等)所造成的破壞檢測(cè)、過(guò)濾、分析、捕獲應(yīng)用和服務(wù)風(fēng)險(xiǎn)非授權(quán)訪問(wèn)訪問(wèn)授權(quán)身份假冒身份認(rèn)證密鑰管理漏洞CA、KDC、PKI數(shù)據(jù)庫(kù)自身的漏洞檢測(cè)、打補(bǔ)丁、升級(jí)操作系統(tǒng)自身的漏洞漏洞檢測(cè)、打補(bǔ)丁、升級(jí)服務(wù)的脆弱性及漏洞檢測(cè)、打補(bǔ)丁、更新應(yīng)用系統(tǒng)自身的缺陷更新完善Page32信息安全風(fēng)險(xiǎn)分析及對(duì)策服務(wù)器風(fēng)險(xiǎn)入侵探測(cè)實(shí)時(shí)監(jiān)測(cè)、預(yù)警、回火非授權(quán)訪問(wèn)訪問(wèn)控制策略漏洞策略管理、檢查系統(tǒng)配置缺陷系統(tǒng)版本檢測(cè)、更新系統(tǒng)平臺(tái)評(píng)測(cè)、選擇實(shí)體安全缺陷防輻射、防橇、防雷擊服務(wù)器所存在的陷門和隱通道尚無(wú)相應(yīng)的解決技術(shù)及產(chǎn)品網(wǎng)絡(luò)風(fēng)險(xiǎn)入侵探測(cè)檢測(cè)、預(yù)警、回火設(shè)備攻擊實(shí)時(shí)監(jiān)測(cè)、管理、維護(hù)通道保密強(qiáng)度采用高強(qiáng)度加密產(chǎn)品網(wǎng)絡(luò)設(shè)備配置缺陷定期檢測(cè)、加強(qiáng)配置管理、日志、審計(jì)網(wǎng)絡(luò)設(shè)備物理安全缺陷更新網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道尚無(wú)相應(yīng)的解決技術(shù)及產(chǎn)品網(wǎng)絡(luò)設(shè)備實(shí)體的安全防盜、防輻射、防雷擊Page33可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)D級(jí)(最低安全形式)無(wú)系統(tǒng)訪問(wèn)、數(shù)據(jù)訪問(wèn)限制屬于這個(gè)級(jí)別的OS有：DOS/WINDOWS/MACINTOSHSYSTEN7.1C1級(jí)注冊(cè)帳號(hào)、口令/用戶識(shí)別、規(guī)定程序及信息訪問(wèn)權(quán)C2級(jí)除C1外包括訪問(wèn)控制環(huán)境如身份驗(yàn)證級(jí)別、審計(jì)日志C2級(jí)的常見(jiàn)OS有UNIX/XENIX/NOVELL3.X/WINDOWSNTB1級(jí)第一個(gè)多級(jí)安全級(jí)別/強(qiáng)制訪問(wèn)控制/系統(tǒng)不允許文件的擁有者改變其許可權(quán)限B2級(jí)又稱結(jié)構(gòu)保護(hù)/系統(tǒng)中所有對(duì)象均加標(biāo)簽，設(shè)備分配多個(gè)級(jí)別B3級(jí)安全域級(jí)別/使用安裝硬件的方式來(lái)加強(qiáng)域/要求用戶通過(guò)一條可信任途徑鏈接到系統(tǒng)上A級(jí)包括了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。設(shè)計(jì)須驗(yàn)證（數(shù)學(xué)），并通過(guò)秘密和可信任分布（硬件、軟件在傳輸過(guò)程中已受到保護(hù)）的分析Page34信息安全產(chǎn)品類型按應(yīng)用類別一般可分為以下四種：信息保密產(chǎn)品用戶認(rèn)證授權(quán)產(chǎn)品安全平臺(tái)/系統(tǒng)網(wǎng)絡(luò)安全檢測(cè)監(jiān)控設(shè)備Page35信息安全產(chǎn)品類型安全平臺(tái)/系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)Web安全平臺(tái)安全路由器與虛擬專用網(wǎng)絡(luò)產(chǎn)品安全授權(quán)認(rèn)證產(chǎn)品數(shù)字證書(shū)管理系統(tǒng)用戶安全認(rèn)證卡智能IC卡鑒別與授權(quán)服務(wù)器網(wǎng)絡(luò)病毒檢查預(yù)防和清除產(chǎn)品安全檢測(cè)與監(jiān)控產(chǎn)品網(wǎng)絡(luò)安全隱患掃描檢測(cè)工具網(wǎng)絡(luò)安全監(jiān)控及預(yù)警設(shè)備網(wǎng)絡(luò)信息遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)情分析系統(tǒng)密鑰管理產(chǎn)品高性能加密芯片產(chǎn)品密碼加密產(chǎn)品數(shù)字簽名產(chǎn)品信息保密產(chǎn)品Page36網(wǎng)絡(luò)安全體系模型安全模型MPDRRMRPDRManagement安全管理Recovery安全恢復(fù)Reaction安全響應(yīng)Detection入侵檢測(cè)Protect安全保護(hù)訪問(wèn)控制機(jī)制安全管理機(jī)制備份與恢復(fù)機(jī)制安全響應(yīng)機(jī)制入侵檢測(cè)機(jī)制Page37安全體系模型的解釋Protect安全保護(hù)Detection入侵檢測(cè)Reaction安全響應(yīng)Recovery安全備份Management安全管理Page38常用安全技術(shù)安全技術(shù)屏蔽布線Nordon防病毒防火墻存儲(chǔ)加密訪問(wèn)控制入侵檢測(cè)系統(tǒng)（IDS）身份鑒別隔離卡VLAN

安全OSIBMOS/400數(shù)據(jù)通信加密安全審計(jì)Page39用信息安全理論與技術(shù)實(shí)現(xiàn)的案例Page40用信息安全理論與技術(shù)實(shí)現(xiàn)的案例Page41用信息安全理論與技術(shù)實(shí)現(xiàn)的案例Page42信息安全保密身份鑒別訪問(wèn)控制信息加密電磁泄露發(fā)射防護(hù)信息完整性校驗(yàn)抗抵賴安全審計(jì)網(wǎng)絡(luò)安全保密性能檢測(cè)入侵監(jiān)控操作系統(tǒng)安全數(shù)據(jù)庫(kù)安全Page43身份鑒別鑒別次數(shù)不成功鑒別嘗試達(dá)到一定次數(shù)系統(tǒng)須采取行動(dòng)鑒別方式采取口令方式進(jìn)行身份鑒別采用IC卡或采用口令進(jìn)行身份鑒別采用一次性口令或生理特征等強(qiáng)身份鑒別在規(guī)定時(shí)段內(nèi)用戶未做任何操作和訪問(wèn)系統(tǒng)應(yīng)提供重鑒別機(jī)制口令強(qiáng)度口令保護(hù)組成復(fù)雜不易猜測(cè)口令必須加密存儲(chǔ)口令文件安全口令存放載體的物理安全口令更換周期及更換記錄口令須加密傳輸IC卡物理保護(hù)按規(guī)定放置Page44訪問(wèn)控制訪問(wèn)控制策略memo安全域劃分根據(jù)信息密級(jí)和重要性劃分系統(tǒng)安全域同一安全域中再進(jìn)行劃分[根據(jù)信息密級(jí)、重要性和授權(quán)]訪問(wèn)控制措施不同安全域需互連互通時(shí)應(yīng)進(jìn)行邊界防護(hù)[FW、保密網(wǎng)關(guān)]實(shí)施訪問(wèn)控制按用戶類別、信息類別控制/控制到單個(gè)用戶、單個(gè)文件須采用強(qiáng)制訪問(wèn)控制訪問(wèn)控制規(guī)則設(shè)置的安全Page45入網(wǎng)訪問(wèn)控制入網(wǎng)訪問(wèn)控制—為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號(hào)使用、訪問(wèn)網(wǎng)絡(luò)的時(shí)間和方式。用戶賬號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問(wèn)進(jìn)行審計(jì)。Page46權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制—針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作?？梢愿鶕?jù)訪問(wèn)權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。Page47目錄級(jí)安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫(xiě)權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問(wèn)控制權(quán)限。一個(gè)網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問(wèn)權(quán)限，這些訪問(wèn)權(quán)限控制著用戶對(duì)服務(wù)器的訪問(wèn)。Page48屬性安全控制網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。Page49服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制。Page50目前信息系統(tǒng)安全加固，采下述思路：非法人員或黑客進(jìn)不來(lái)進(jìn)來(lái)了偷不走偷走了讀不懂Page51應(yīng)用級(jí)及產(chǎn)品層面另一種說(shuō)法密碼理論與技術(shù)認(rèn)證識(shí)別理論與技術(shù)（PKI技術(shù)）授權(quán)與訪問(wèn)控制理論與技術(shù)審計(jì)追蹤技術(shù)入侵檢測(cè)技術(shù)網(wǎng)間隔離與訪問(wèn)代理技術(shù)虛擬專用網(wǎng)技術(shù)防病毒技術(shù)數(shù)據(jù)庫(kù)安全技術(shù)Page52認(rèn)證識(shí)別、授權(quán)與訪問(wèn)控制理論主要包括：1.身份鑒別

:防止非法用戶進(jìn)入系統(tǒng)

①驗(yàn)證用戶知道什么

②驗(yàn)證用戶擁有什么

③驗(yàn)證用戶的生物特征

④驗(yàn)證用戶下意識(shí)的動(dòng)作用戶口令U53一基本概念

1.訪問(wèn)控制不考慮身份鑒別的話，其內(nèi)容主要包括非法用戶禁止訪問(wèn)合法數(shù)據(jù)2.客體

是一種能夠從其它客體或主體接收信息的實(shí)體3.主體

是一種可以使信息在客體之間流動(dòng)的實(shí)體54

每張表及數(shù)據(jù)項(xiàng)均可看作為一個(gè)客體姓名性別年齡班級(jí)宿舍號(hào)碼

它們可被訪問(wèn)、修改或刪除如網(wǎng)絡(luò)節(jié)點(diǎn)、內(nèi)存段(類似房間）554.訪問(wèn)權(quán)限(訪問(wèn)模式)

是指主體對(duì)客體可進(jìn)行的特定訪問(wèn)操作

讀(r)寫(xiě)(w)添加(a)執(zhí)行(e)刪除(d)

c控制權(quán)

o擁有權(quán):決定別的主體能否訪問(wèn)這個(gè)客體的權(quán)限以上表為例插入記錄，其他信息看不見(jiàn)UoC決定其它客體的被訪問(wèn)權(quán)565．自主訪問(wèn)控制是指對(duì)某個(gè)客體具有擁有權(quán)（或控制權(quán)）的主體能夠?qū)?duì)該客體的一種訪問(wèn)權(quán)或多種訪問(wèn)權(quán)自主地授予其它主體，并在隨后的任何時(shí)刻將這些權(quán)限回收。6．強(qiáng)制訪問(wèn)控制

系統(tǒng)根據(jù)主體被信任的程度和客體所包含的信息的機(jī)密性來(lái)決定主體對(duì)客體的訪問(wèn)權(quán)，這種控制往往可以通過(guò)對(duì)主體和客體賦以安全標(biāo)記來(lái)實(shí)現(xiàn)。57例：教務(wù)處查分。但要在學(xué)校的規(guī)定下進(jìn)行。班主任可以看，不能給學(xué)生看。必須有一些條件限制。會(huì)計(jì)和出納規(guī)定不能由同一個(gè)人擔(dān)任。一個(gè)機(jī)構(gòu)，即使一個(gè)文件是你起草的，但這個(gè)文件有一個(gè)較高的密級(jí)，不具備資格或權(quán)限看的人亦不能給他看。58二自主訪問(wèn)控制1.自主訪問(wèn)控制的矩陣模型系統(tǒng)狀態(tài)用一個(gè)有序三元組表示Q=(S,O,A)，其中

S——主體的集合

O——客體的集合

A——訪問(wèn)矩陣，行對(duì)應(yīng)于主體，列對(duì)應(yīng)客體設(shè)S={s1,s2},O={m1,m2,f1,f2,s1,s2}

m1

m2

f1

f2

s1

s2

ú?ùê?é=},,{e}w,{r,{r}w}r,{c,{r}e}w,{r,21ercssA59606162矩陣是動(dòng)態(tài)增大的創(chuàng)建一個(gè)客體就增加一個(gè)列進(jìn)來(lái)一個(gè)主體就增加一個(gè)行例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1f2s1{r,w}{r}{a.e}s2{r}{r,w,a}s3{r,w,a}63收回授權(quán)的情況，狀態(tài)本身也在變化例m1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}m1m2f1s1{r}{r}{a.e}s2{r}{r,a}應(yīng)該有一個(gè)控制程序：訪問(wèn)或不允許訪問(wèn)存儲(chǔ)結(jié)構(gòu)是一個(gè)大稀疏矩陣6465訪問(wèn)能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個(gè)主體都附加一個(gè)該主體可訪問(wèn)的客體的明細(xì)表。二元組(x,y)（客體，{O,R,W})66例：2.1M1M2F1F2P1P2P1{r,w,e}{r,w,a,d,e}P2{r,a}{r,w,a,d}676869訪問(wèn)控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1每個(gè)客體附加一個(gè)它可以訪問(wèn)的主體的明細(xì)表。7071722.自主訪問(wèn)控制的實(shí)現(xiàn)方法

⑴基于行的自主訪問(wèn)控制—權(quán)力表

(2)基于列的自主訪問(wèn)控制—授權(quán)表

S1的權(quán)力表{r,w}{r}{a,e}m1m2f1POm1的授權(quán)表{r,w}{r}S1S2PSskip73S1的權(quán)力表{r,w}{r}{a,e}m1m2f1POm1的授權(quán)表{r,w}{r}S1S2PSm1m2f1s1{r,w}{r}{a.e}s2{r}{r,w,a}大表拆成多張小表skip74訪問(wèn)控制矩陣按列看是訪問(wèn)控制表內(nèi)容按行看是訪問(wèn)能力表內(nèi)容目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標(biāo)用戶

753.授權(quán)的管理方式⑴集中式管理

一個(gè)主體si在創(chuàng)建某個(gè)客體oj后，該主體就獲得了對(duì)這一客體的c權(quán)和其它所有可能權(quán)限。c權(quán)意味著可以將它對(duì)oj所有其它（除c權(quán)以外）的訪問(wèn)權(quán)限授予系統(tǒng)中任何一個(gè)主休，也可以撤銷系統(tǒng)中任何主體對(duì)oj的其它訪問(wèn)權(quán)限。其它主體因?yàn)閷?duì)oj不具有c權(quán)，因此即使他們對(duì)oj具有某些訪問(wèn)權(quán)限，但它們也無(wú)權(quán)將這些權(quán)限轉(zhuǎn)授給別的主體、或撤銷別的主體對(duì)oj的任何訪問(wèn)權(quán)限——在這種管理模式下，對(duì)于任一客體oj，哪些主體可以對(duì)其進(jìn)行訪問(wèn)，可以進(jìn)行什么樣的訪問(wèn)，完全由oj的擁有者決定。

對(duì)于任一客體oj，完全由oj的擁有者決定76⑵分散式管理

在分散式管理模式下，客體的擁有者不但可將對(duì)該客體的訪問(wèn)權(quán)授予其它客體，而且可同時(shí)授予他們對(duì)該客體相應(yīng)訪問(wèn)權(quán)的控制權(quán)（或相應(yīng)訪問(wèn)權(quán)的授予權(quán)）。（1）允許傳遞授權(quán)（2）當(dāng)一個(gè)主體撤銷它所授予的對(duì)某個(gè)客體的某種訪問(wèn)權(quán)限時(shí)，必須將由于這一授權(quán)而引起的所有授權(quán)都予以撤銷。77例在數(shù)據(jù)庫(kù)中，對(duì)關(guān)系表的訪問(wèn)權(quán)限包括：READ讀表中的行，利用關(guān)系查詢，定義基于關(guān)系的視圖INSERT行DELETE行UPDATE列DROP刪除表78創(chuàng)建數(shù)據(jù)庫(kù)表的一個(gè)例子CREATETABLEpublishers(pub_idchar(4)NOTNULL

CONSTRAINTUPKCL_pubindPRIMARYKEYCLUSTEREDCHECK(pub_idIN('1389','0736','0877','1622','1756')ORpub_idLIKE'99[0-9][0-9]'),

pub_namevarchar(40)NULL,cityvarchar(20)NULL,statechar(2)NULL,countryvarchar(30)NULL

DEFAULT('USA'))79顯示居住在加利福尼亞州且姓名不為McBadden的作者列。

SELECTau_fname,au_lname,phoneASTelephoneFROMauthorsWHEREstate='CA'andau_lname<>'McBadden'80INSERTINTOT1(column_4)VALUES('Explicitvalue')INSERTINTOT1(column_2,column_4)VALUES('Explicitvalue','Explicitvalue')INSERTINTOT1(column_2,column_3,column_4)VALUES('Explicitvalue',-44,'Explicitvalue')SELECT*FROMT181一個(gè)帶有WHERE條件的修改語(yǔ)句。

UPDATEauthorsSETstate='PC',city='BayCity'

WHEREstate='CA'ANDcity='Oakland'

82GRANT語(yǔ)句是授權(quán)語(yǔ)句，它可以把語(yǔ)句權(quán)限或者對(duì)象權(quán)限授予給其他用戶和角色。DENY語(yǔ)句用于拒絕給當(dāng)前數(shù)據(jù)庫(kù)內(nèi)的用戶或者角色授予權(quán)限，并防止用戶或角色通過(guò)其組或角色成員繼承權(quán)限。83REVOKE語(yǔ)句是與GRANT語(yǔ)句相反的語(yǔ)句，它能夠?qū)⒁郧霸诋?dāng)前數(shù)據(jù)庫(kù)內(nèi)的用戶或者角色上授予或拒絕的權(quán)限刪除。84下圖表示數(shù)據(jù)庫(kù)中對(duì)某個(gè)關(guān)系x的授權(quán)情況（課本P22

）ADCB

10R(y),I(y)20R(y),I(y)

30

R(y),I(y)15R(n)除了控制權(quán)外，其它都可以授出去85關(guān)系X的授權(quán)表用戶表授予者READINSERT控制BXA1010yDXA150nCXB2020yDXC3030y86在t＝40用戶A撤銷了對(duì)B的授權(quán)后ADCB15R(n)87在t＝40用戶A撤銷了對(duì)B的授權(quán)后關(guān)系X的授權(quán)表的變?yōu)椋河脩舯硎谟枵逺EADINSERT控制DXA150n88⑶受限的分散式管理

受限的分散式管理模式，是將系統(tǒng)中對(duì)客體的訪問(wèn)權(quán)限限制在一定的主體范圍內(nèi)，要求根據(jù)客體擁有者的意愿進(jìn)行。例發(fā)放黑令牌

客體o的擁有者可對(duì)系統(tǒng)內(nèi)不允許對(duì)客體o進(jìn)行寫(xiě)訪問(wèn)的主體發(fā)放黑令牌，阻止其它有權(quán)對(duì)o進(jìn)行寫(xiě)訪問(wèn)的主體將這一訪問(wèn)權(quán)授予這些主體。例某一機(jī)構(gòu)的組織結(jié)構(gòu)。頂級(jí)節(jié)點(diǎn)可看作系統(tǒng)管理員/系統(tǒng)安全員/系統(tǒng)中所有資源的擁有者,他對(duì)資源的訪問(wèn)具有絕對(duì)的控制權(quán)。89902.3強(qiáng)制訪問(wèn)控制與安全策略自主訪問(wèn)控制保證系統(tǒng)資源不被非法訪問(wèn)一種有效手段保護(hù)用戶個(gè)人資源的安全為目標(biāo)以個(gè)人的意志為轉(zhuǎn)移這種自主性滿足了個(gè)人的安全需求為用戶提供了靈活性但對(duì)系統(tǒng)安全的保護(hù)力度是相當(dāng)薄弱的91系統(tǒng)資源自主性滿足了用戶個(gè)人資源的安全要求自主訪問(wèn)控制禁止對(duì)非法訪問(wèn)以個(gè)人的意志為轉(zhuǎn)移用戶個(gè)人資源的安全一種有效手段92對(duì)系統(tǒng)安全的保護(hù)力度相當(dāng)薄弱有利于個(gè)人用戶不利于系統(tǒng)安全當(dāng)系統(tǒng)中有大量數(shù)據(jù),數(shù)據(jù)宿主是國(guó)家,是整個(gè)組織或整個(gè)公司時(shí),誰(shuí)來(lái)對(duì)他們的安全負(fù)責(zé)?93為了保護(hù)系統(tǒng)的整體安全,須采取更強(qiáng)有力的訪問(wèn)控制手段控制用戶對(duì)資源的訪問(wèn)強(qiáng)制訪問(wèn)控制942.3.1強(qiáng)制訪問(wèn)控制在一個(gè)實(shí)施了強(qiáng)制訪問(wèn)控制的系統(tǒng)中主體客體被允許訪問(wèn)可進(jìn)行什么樣的訪問(wèn)95偏序關(guān)系：集合A

上的關(guān)系ρ

，如果它是自反、反對(duì)稱且可傳遞的，則稱ρ為A

上的一個(gè)偏序關(guān)系。“偏序關(guān)系”也叫做“偏序”，用“≤”符號(hào)表示?？杀龋涸O(shè)≤是集合A

上的偏序，對(duì)于a、b∈A，若有a≤b

或b≤a，則稱a和b是可比的，否則稱a和b是不可比的全序：一個(gè)集合A

上的任意兩個(gè)元素之間都滿足偏序關(guān)系，則稱該偏序?yàn)锳

上的一個(gè)全序。良序：一個(gè)集合A

上的偏序，若對(duì)于A

的每一個(gè)非空子集S

A，在S

中存在一個(gè)元素as（稱為S

的最小元素），使得對(duì)于所有的s∈

S，有as≤s，則稱它為A上的一個(gè)良序。5.集合上的偏序關(guān)系966.次序圖

ab若存在ac,cb則a,b無(wú)邊

由于偏序是反對(duì)稱的，關(guān)系圖上每?jī)蓚€(gè)節(jié)點(diǎn)之間，若要有邊，只有一條邊，一個(gè)方向。例1：A＝{2，3，4，6，8，12，36，60}上的整除關(guān)系ρ是一個(gè)偏序，其關(guān)系圖如圖1：可以用結(jié)點(diǎn)的上下位置代替邊的方向，省略箭頭，如圖236061223648圖263421283660圖19736061223648圖3圖3是偏序ρ的關(guān)系圖的一種特殊形式。它雖然省略了箭頭和許多邊，卻仍然很明確地表示了集合上所有元素間的整除關(guān)系，而且更加簡(jiǎn)單明了把偏序的關(guān)系圖中省略了箭頭和間接方向的圖稱為次序圖。還把可以間接到達(dá)的路省略。于是得到圖336061223648圖263421283660圖198注：⑴次序圖是偏序關(guān)系的關(guān)系圖的一種特殊表示形式。它只能表示有限集合上的偏序關(guān)系。⑵次序圖用結(jié)點(diǎn)的上下位置表示元素之間的偏序關(guān)系，所以在次序圖不能有水平線⑶次序圖中，能間接到達(dá)的兩個(gè)結(jié)點(diǎn)之間不要連一邊，因此，次序圖中不能有三角形997.一個(gè)有用的結(jié)論

命題:若<A;≤1>和<B;≤2>是兩個(gè)偏序集,在笛卡爾積A×B上定義關(guān)系≤,對(duì)任意(a1,b1),(a2,b2)∈A×B當(dāng)且僅當(dāng)

a1≤1a2,b1≤2b2時(shí),有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個(gè)偏序集。

100因?yàn)?lt;A;≤1>、<B;≤2>為偏序關(guān)系，所以a1

∈A

有a1≤1

a1，b1

∈B

有b1≤1

b1所以（a1,b1)≤(a1,b1)自反由（a1,b1)≤(a2,b2)（a2,b2)≤(a1,b1)，可得a1≤1a2,a2≤1a1

可得a1＝a2；同理有b1＝b2，此即（a2,b2)=(a1,b1)

反對(duì)稱又由（a1,b1)≤(a2,b2)（a2,b2)≤(a3,b3)，此即a1≤1a2,a2≤1a3

可得a1≤1a3同理：b1≤2b2,b2≤2b3可得b1≤2b3

最后有（a1,b1)≤(a3,b3)傳遞性101亦即(i)(a,b)∈A×B,均有(a,b)≤(a,b)(ii)(a1,b1),(a2,b2),∈A×B,若(a1,b1)

(a2,b2),

則(a1,b1)≤(a2,b2)

與(a2,b2)≤(a1,b1)

不能同時(shí)出現(xiàn)

(iii)(a1,b1),(a1,b1),(a1,b1)∈A×B,若(a1,b1)≤(a2,b2),(a1,b1)≤(a2,b2)

則一定有(a1,b1)≤(a2,b2)設(shè)

是A上的關(guān)系,a∈A均aa自反設(shè)

是A上的關(guān)系,a,b∈A若a

b,則ab與ba不能同時(shí)出現(xiàn)

反對(duì)稱設(shè)

是A上的關(guān)系,a,b,c∈A若ab,bc則一定有ac

可傳遞的102如果有aρb且bρc成立，則有bβa且cβb成立由β的可傳遞性，有cβa成立，因而aρc成立∴ρ是可傳遞的∴ρ是A

上

的一個(gè)偏序關(guān)系原命題成立103偏序的逆關(guān)系也是一個(gè)偏序證明：設(shè)β

是任意集合A

上

的偏序關(guān)系，

ρ是β

的逆關(guān)系對(duì)任意a∈A∵有aβa∴有aρa(bǔ)∴ρ是自反的如果有aρb成立，且b≠a則有bβa由β

具有反對(duì)稱性知，aβb不成立∴bρa(bǔ)不成立∴ρ是反對(duì)稱的如果有aρb且bρc成立，則有bβa且cβb成立由β的可傳遞性，有cβa成立，因而aρc成立∴ρ是可傳遞的∴ρ是A

上

的一個(gè)偏序關(guān)系104二安全策略1.安全策略的概念計(jì)算機(jī)系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的對(duì)用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則。這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問(wèn),是實(shí)施訪問(wèn)控制的依據(jù)。1052.安全策略舉例

①軍事安全策略中的強(qiáng)制訪問(wèn)控制策略:

系統(tǒng)中每個(gè)主體和客體都分配一個(gè)安全標(biāo)準(zhǔn)

(安全級(jí))

客體的安全級(jí)表示客體所包含的信息的敏感程度主體的安全級(jí)表示主體在系統(tǒng)中受信任的程度

106②安全標(biāo)準(zhǔn)由兩部分組成

(密級(jí),部門(或類別)集)eg:密級(jí)分為4個(gè)級(jí)別:一般

秘密

機(jī)密

絕密

(UCSTS)令A(yù)={U,C,S,TS},則<A;≤>是A上的全序,構(gòu)成偏序集<A;≤>例:令B={科技處,干部處,生產(chǎn)處,情報(bào)處},PB=2B={H|HB},顯然<PB;>構(gòu)成一個(gè)偏序集

class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})

class(O2)

=(TS,{科技處,情報(bào)處,干部處})class(O3)=(C,{情報(bào)處})107在實(shí)施多級(jí)安全策略的系統(tǒng)中,系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí)。(密級(jí),部門(或類別)集)或(密級(jí),{部門或類別})

若某主體具有訪問(wèn)密級(jí)a的能力,則對(duì)任意b≤a,該主體也具有訪問(wèn)b的能力。若某主體具有訪問(wèn)密級(jí)a的能力,則對(duì)任意b≥a,該主體不具有訪問(wèn)b的能力。108(密級(jí),{部門或類別或范疇})理解：對(duì)于客體來(lái)說(shuō)，{部門或類別或范疇}可定義為該客體所包含的信息所涉及的范圍部門或所具有的類別屬性對(duì)于主體來(lái)說(shuō)，{部門或類別或范疇}可定義為該主體能訪問(wèn)的信息所涉及的范圍或部門例：2005年財(cái)務(wù)報(bào)表（S，{財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組})109例：2005年財(cái)務(wù)報(bào)表（S，{財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組})肯定不會(huì)寫(xiě)成：（S，{財(cái)務(wù)處，三車間，大門})例：車間主任（C，{三車間，倉(cāng)庫(kù)})肯定不會(huì)寫(xiě)成：（S，{財(cái)務(wù)處，黨辦，財(cái)經(jīng)小組})110主體、客體安全級(jí)定義以后，就可以通過(guò)比較主客體安全級(jí)，來(lái)決定主體對(duì)客體的訪問(wèn)以及什么樣的訪問(wèn)。前面講過(guò)，在實(shí)施多級(jí)安全策略的系統(tǒng)中,系統(tǒng)為每一個(gè)主體和每一個(gè)客體分配一個(gè)安全級(jí)。若某主體具有訪問(wèn)密級(jí)a的能力,則對(duì)任意b≤a,該主體也具有訪問(wèn)b的能力。若某主體具有訪問(wèn)密級(jí)a的能力,則對(duì)任意b≥a,該主體不具有訪問(wèn)b的能力。那么，b≤a或b≥a如何進(jìn)行比較呢？111定義A={U,C,S,TS}

B={部門或類別或范疇}例：B=

{科技處,干部處,生產(chǎn)處,情報(bào)處}

PB=2B={H|H

B}在A×PB上定義一個(gè)二元關(guān)系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當(dāng)且僅當(dāng)

a1≤a2,H1

H2時(shí),有

(a1,H1)≤(a2,H2)可以證明:≤是A×PB上的一個(gè)偏序關(guān)系即<A×PB;≤>構(gòu)成一個(gè)偏序集。112可利用命題:若<A;≤1>和<B;≤2>是兩個(gè)偏序集,在笛卡爾積A×B上定義關(guān)系≤,對(duì)任意(a1,b1),(a2,b2)∈A×B當(dāng)且僅當(dāng)

a1≤1a2,b1≤2b2時(shí),有(a1,b1)≤(a2,b2)

可以證明:<A×B;≤>也是一個(gè)偏序集。證明:≤是A×PB上的一個(gè)偏序關(guān)系即<A×PB;≤>構(gòu)成一個(gè)偏序集。113在A={U,C,S,TS}上定義<A;≤>,由于

UCSTS,所以≤是一個(gè)全序,顯然構(gòu)成一個(gè)偏序集在PB上定義<PB;>,容易看出,它也是一個(gè)偏序

B={科技處,干部處,生產(chǎn)處,情報(bào)處}再在A×PB上定義一個(gè)二元關(guān)系“≤”：

A×PB={(a,H)|a∈A且H

PB}(a1,H1),(a2,H2)∈A×PB,當(dāng)且僅當(dāng)

a1≤a2,H1

H2時(shí),有

(a1,H1)≤(a2,H2)根據(jù)上述命題,<A×PB;≤>構(gòu)成一個(gè)偏序集。114例:class(O1)=(C,{科技處})class(u)=(S,{科技處,干部處})class(O2)=(TS,{科技處,情報(bào)處,干部處})class(O3)=(C,{情報(bào)處})

O1uO2O3其安全級(jí)如何?可以看出:class(O1)=(C,{科技處})≤(S,{科技處,干部處})=class(u)class(u)=(S,{科技處,干部處})≤class(O2)==(TS,{科技處,情報(bào)處,干部處})class(u)與class(O3)不可比115在一偏序集<L;≤>中,

l1,12∈L,若l1≤12,則稱12支配l1。class(O1)≤class(u)

：主體u的安全級(jí)支配客體O1的安全級(jí)class(u)≤class(O2）：客體O2的安全級(jí)支配主體u的安全級(jí)class(u)與class(O3)不可比：主體u與客體O3的安全級(jí)相互不可支配。

116③訪問(wèn)控制策略

一個(gè)主體僅能讀安全級(jí)比自已安全級(jí)低或相等的客體一個(gè)主體僅能寫(xiě)安全級(jí)比自己高或相等的客體即“向下讀向上寫(xiě)”④安全級(jí)如何比較高低

(a1,H1)(a2,H2)當(dāng)且僅當(dāng)a1

a2,H1

H2

所以u(píng)對(duì)O1可讀,對(duì)O2可寫(xiě),對(duì)O3既不可讀也不可寫(xiě)117“向下讀向上寫(xiě)”安全策略執(zhí)行的結(jié)果是信息只能由低安全級(jí)的客體流向高安全級(jí)的客體，高安全級(jí)的客體的信息不允許流向低安全級(jí)的客體。若要使一個(gè)主體既能讀訪問(wèn)客體，又能寫(xiě)訪問(wèn)這個(gè)客體，兩者的安全級(jí)必須相同。118多級(jí)安全策略適合（保護(hù)信息的機(jī)密性）：軍事系統(tǒng)政府及企業(yè)的辦公自動(dòng)化系統(tǒng)具有層次結(jié)構(gòu)的組織機(jī)構(gòu)119(2)商業(yè)安全策略

①良形事務(wù)

用戶對(duì)數(shù)據(jù)的操縱不能任意進(jìn)行,而應(yīng)該按照可保證數(shù)據(jù)完整性的受控方式進(jìn)行,即數(shù)據(jù)應(yīng)該用規(guī)定的程序,按照定義好的約束進(jìn)行處理。例:保存記錄(包括修改數(shù)據(jù)的前后記錄)，事后被審計(jì)雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡內(nèi)部數(shù)據(jù)的一致性特別地，簽發(fā)一張支票與銀行帳號(hào)戶頭上的金額變動(dòng)必須平衡

——可由一個(gè)獨(dú)立測(cè)試帳簿是否平衡的程序來(lái)檢查120②職責(zé)分散

把一個(gè)操作分成幾個(gè)子操作,不同的子操作由不同的用戶執(zhí)行,使得任何一個(gè)職員都不具有完成該任務(wù)的所有權(quán)限,盡量減少出現(xiàn)欺詐和錯(cuò)誤的機(jī)會(huì)。eg:購(gòu)買訂單——記錄到貨——記錄貨發(fā)票——付款美入境簽證121職責(zé)分散的最基本規(guī)則是，被允許創(chuàng)建或驗(yàn)證良性事務(wù)的人，不能允許他去執(zhí)行該良性事務(wù)。【至少需要兩個(gè)人的參與才能進(jìn)行】【職員不暗中勾結(jié)，職責(zé)分散有效】【隨機(jī)選取一組職員來(lái)執(zhí)行一組操作，減少合謀機(jī)會(huì)】122良性事務(wù)與職責(zé)分散是商業(yè)數(shù)據(jù)完整性保護(hù)的基本原則專門機(jī)制被商業(yè)數(shù)據(jù)處理計(jì)算機(jī)系統(tǒng)用來(lái)實(shí)施良性事務(wù)與職責(zé)分散規(guī)則。（a）保證數(shù)據(jù)被良性事務(wù)處理數(shù)據(jù)只能由一組指定的程序來(lái)操縱程序被證明構(gòu)造正確、能對(duì)這些程序的安裝能力、修改能力進(jìn)行控制、保證其合法性（b）保證職責(zé)分散每一個(gè)用戶必須僅被允許使用指定的程序組、用戶執(zhí)行程序的權(quán)限受控123商業(yè)數(shù)據(jù)完整性控制與軍事中的數(shù)據(jù)機(jī)密性差別：（a）數(shù)據(jù)客體不與特定的安全級(jí)別相關(guān)只與一組允許操縱它的程序相聯(lián)系（b）用戶直接讀寫(xiě)數(shù)據(jù)被禁止被授權(quán)去執(zhí)行與某一數(shù)據(jù)相關(guān)的程序【一個(gè)用戶即便被授權(quán)去寫(xiě)一個(gè)數(shù)據(jù)客體，他也只能通過(guò)針對(duì)那個(gè)數(shù)據(jù)客體定義的一些事務(wù)去做?！?24商業(yè)安全策略也是一種強(qiáng)制訪問(wèn)控制但它與軍事安全策略的安全目標(biāo)、控制機(jī)制不相同商業(yè)安全策略強(qiáng)制性體現(xiàn)在：（a）用戶必須通過(guò)指定的程序來(lái)訪問(wèn)數(shù)據(jù)（b）允許操縱某一數(shù)據(jù)客體的程序列表和允許執(zhí)行某一程序的用戶列表不能被系統(tǒng)的一般用戶所更改軍事與商業(yè)安全相同點(diǎn)：（1）一種機(jī)制被計(jì)算機(jī)系統(tǒng)用來(lái)保證系統(tǒng)實(shí)施了安全策略中的安全需求（2）系統(tǒng)中的這種機(jī)制必須防止竄改和非授權(quán)的修改125(3)軍事安全策略與商業(yè)安全策略的比較①軍事安全策略——數(shù)據(jù)的機(jī)密性

商業(yè)安全策略——數(shù)據(jù)的完整性

②軍事安全策略——將數(shù)據(jù)與一個(gè)安全級(jí)相聯(lián)系,通過(guò)數(shù)據(jù)的安全級(jí)來(lái)控制用戶對(duì)數(shù)據(jù)的訪問(wèn)

商業(yè)安全策略——將數(shù)據(jù)與一組允許對(duì)其進(jìn)行操作的程序相聯(lián)系,通過(guò)這組程序來(lái)控制用戶對(duì)數(shù)據(jù)的訪問(wèn)③軍事安全策略——用戶對(duì)數(shù)據(jù)的操縱是任意的

商業(yè)安全策略——用戶對(duì)數(shù)據(jù)的操縱是受限的

126三安全模型安全模型是對(duì)安全策略所表達(dá)的安全需求簡(jiǎn)單、抽象和無(wú)歧義的描述分為：1.非形式化的安全模型

2.形式化的安全模型

1272.形式化的安全模型安全系統(tǒng)的開(kāi)發(fā)過(guò)程安全需求分析制定安全策略建立形式化的安全模型安全性證明安全功能128四

Bell-LaPadula模型

簡(jiǎn)稱BLP模型應(yīng)用最早也最廣泛的一個(gè)安全模型DavidBell和LeonardLaPadula模型目標(biāo)：計(jì)算機(jī)多級(jí)操作規(guī)則安全策略：多級(jí)安全策略常把多級(jí)安全的概念與BLP相聯(lián)系其它模型都嘗試用不同的方法來(lái)表達(dá)多級(jí)安全策略129四

Bell-LaPadula模型

BLP模型是一個(gè)形式化模型使用數(shù)學(xué)語(yǔ)言對(duì)系統(tǒng)的安全性質(zhì)進(jìn)行描述BLP模型也是一個(gè)狀態(tài)機(jī)模型它反映了多級(jí)安全策略的安全特性和狀態(tài)轉(zhuǎn)換規(guī)則BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則安全概念、制定了一組安全特性對(duì)系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束如果它的初始狀態(tài)是安全的，經(jīng)過(guò)一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的130ABCDEaaaaabbbbb狀態(tài)機(jī)模型例131四

Bell-LaPadula模型

(一)模型的基本元素

S={s1,s2,…,sn}主體集O={o1,o2,…,om}客體集C={c1,c2,…,cq}密級(jí)的集合

c1<c2<…<cq

K={k1,k2,…,kr}部門或類別的集合

A={r,w,e,a,c}訪問(wèn)屬性集

r:只讀;w:讀寫(xiě);e:執(zhí)行;a:添加;c:控制RA={g,r,c,d}請(qǐng)求元素集

g:get,give;

r:release,rescind

c:change,create;d:delete

D={yes,no,error,?}yes－請(qǐng)求被執(zhí)行;no－請(qǐng)求被拒絕

error－系統(tǒng)出錯(cuò);?－請(qǐng)求出錯(cuò)

132μ={M1,M2,…,Mp}訪問(wèn)矩陣集BA={f|f:A→B}F=Cs×Co×(Pk)s×(Pk)o

Cs={f1|f1:S→C}f1給出每個(gè)主體的密級(jí)Co={f2|f2:O→C}f2給出每個(gè)客體的密級(jí)(Pk)s={f3|f3:S→Pk}f3給出每個(gè)主體的部門集(Pk)o={f4|f4:O→Pk}f4給出每個(gè)客體的部門集

f∈Ff=(f1,f2,f3,f4)12345679108

f：AB((f1(si),f3(si))主體si的安全級(jí)((f2(oj),f4(oj))客體oj的安全級(jí)133(二)系統(tǒng)狀態(tài)V=P(S×O×A)×μ×F

狀態(tài)集對(duì)v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當(dāng)前時(shí)刻,哪些主體獲得了對(duì)哪些客體的權(quán)限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當(dāng)前狀態(tài)訪問(wèn)控制矩陣

f－當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集134系統(tǒng)在任何一個(gè)時(shí)刻都處于某一種狀態(tài)v，即對(duì)任何時(shí)刻t，必有狀態(tài)vt與之對(duì)應(yīng)隨著用戶對(duì)系統(tǒng)的操作，系統(tǒng)的狀態(tài)不斷地發(fā)生變化關(guān)心的問(wèn)題系統(tǒng)在各個(gè)時(shí)刻的狀態(tài)，與狀態(tài)相對(duì)應(yīng)的訪問(wèn)集b是否能保證系統(tǒng)的安全性顯然只有每一個(gè)時(shí)刻狀態(tài)是安全的，系統(tǒng)才可能安全。BLP模型對(duì)狀態(tài)的安全性進(jìn)行了定義135(三)安全特性BLP模型的安全特性定義了系統(tǒng)狀態(tài)的安全性，體現(xiàn)了BLP模型的安全策略。(1)自主安全性

狀態(tài)v=(b,M,f)滿足自主安全性iff

對(duì)所有的(si,oj,x)∈b,有x∈Mij

此條性質(zhì)是說(shuō)，若(si,oj,x)∈b，即如果在狀態(tài)v，主體si獲得了對(duì)客體oj的x訪問(wèn)權(quán)，那么si必定得到了相應(yīng)的自主授權(quán)。136(三)安全特性如果存在(si,oj,x)∈b,但主體si并未獲得對(duì)客體oj的x訪問(wèn)權(quán)的授權(quán)，則v被認(rèn)為不符合自主安全性。

(2)簡(jiǎn)單安全性

狀態(tài)v=(b,M,f)滿足簡(jiǎn)單安全性iff對(duì)所有的(s,o,x)∈b,有（i）x=e或x=a或x=c

或(ii)(x=r或x=w)且(f1(s)≥f2(o),f3(s)

f4(o))

SOe,c,aS(高)O(低)r

w在BLP模型中,w權(quán)表示可讀、可寫(xiě)，即主體對(duì)客體的修改權(quán)137(3)*—性質(zhì)

狀態(tài)v=(b,M,f)滿足*—性質(zhì),當(dāng)且僅當(dāng)對(duì)所有的s∈S,若o1∈b(s:w,a),o2∈b(s:r,w),則f2(o1)≥f2(o2),f4(o1)

f4(o2),其中符號(hào)b(s:x1,x2)表示b中主體s對(duì)其具有訪問(wèn)特權(quán)x1或x2的所有客體的集合。理解如下4個(gè)圖所示:138

S

o1(高)

O2(低)a

rSO1(高)O2(低)awSO1(高)O2(低)wrSO1O2ww

(級(jí)別)(級(jí)別)相等流向139例：b＝{(s1,o1,r),(s2,o2,a),(s1,o2,w),(s2,o2,r),(s1,o3,a)}考慮b(s:x1,x2):b(s1:r,w)b(s1:w,a)b(s3:r,w)b(s1:r,w)={o1,o2}b(s1:w,a)={o2,o3}b(s3:r,w)={}=Φ140*—性質(zhì)重要安全特性o1∈b(s:w,a),意味著s對(duì)o1有w權(quán)或a權(quán),此時(shí)信息經(jīng)由s流向o1o2∈b(s:r,w),意味著s對(duì)o1有r權(quán)或w權(quán),此時(shí)信息可由o2流向s因此,在訪問(wèn)集b中以s為媒介,信息就有可能由o2流向o1。所以要求o1的安全級(jí)必須支配o2安全級(jí)當(dāng)s對(duì)o1，o2均具有w權(quán)時(shí)，兩次運(yùn)用該特性，f2(o1)≥f2(o2),f4(o1)

f4(o2)及,f2(o2)≥f2(o1),f4(o2)

f4(o1)，則要求o1的安全級(jí)必須等于o2安全級(jí)顯然它放反映了BLP模型中信息只能由低安全級(jí)向高安全級(jí)流動(dòng)的安全策略141(四)請(qǐng)求集

R=S+×RA×S+×O×X

請(qǐng)求集,它的元素是一個(gè)完整的請(qǐng)求,不是請(qǐng)求元素集其中S+=S{}

X=A{}FR中的元素是一個(gè)五元組,表示為

(1,,2,Oj,x)

1,,2

S+分別是主體1,主體2

RA

表示某一請(qǐng)求元素

o

j

O表示某一客體

xX

是訪問(wèn)權(quán)限or是空or是主客體的安全級(jí)142(五)狀態(tài)轉(zhuǎn)換規(guī)則

P:R×V→D×V

其中

R是請(qǐng)求集,D是判斷集,V是狀態(tài)集

對(duì)請(qǐng)求(Rk,vn)R×V,在函數(shù)

的作用下

(Rk,v)=(Dm,v*)系統(tǒng)對(duì)請(qǐng)求Rk的反應(yīng)是Dm,狀態(tài)由v轉(zhuǎn)換成v*143提示:V=P(S×O×A)×μ×F

狀態(tài)集對(duì)v∈Vv=(b,M,f)表示某一狀態(tài)

b

S×O×A

表示在當(dāng)前時(shí)刻,哪些主體獲得了對(duì)哪些客體的權(quán)限b={(s1,o1,r),(s1,o2,w),(s2,o2,a)…….}M－當(dāng)前狀態(tài)訪問(wèn)控制矩陣

f－當(dāng)前時(shí)刻所有主體和客體的密級(jí)和部門集144十條規(guī)則:規(guī)則1～規(guī)則4用于主體請(qǐng)求對(duì)某客體的訪問(wèn)權(quán)形式(φ,g,Si,Oj,r)

規(guī)則5

用于主體釋放它對(duì)某客體的訪問(wèn)權(quán)規(guī)則6-7

分別用于主體授予和撤消另一主體對(duì)客體的訪問(wèn)權(quán)規(guī)則8

用于改變靜止客體的密級(jí)和部門集規(guī)則9-10

分別用于創(chuàng)建和刪除一個(gè)客體145規(guī)則1：主體si請(qǐng)求得到對(duì)客體oj的r訪問(wèn)權(quán)get-read

1(Rk,v)≡

ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)

ifr

Mijor(f1(si)<f2(oj)orf3(si)

f4(oj))

then

1(Rk,v)=(no,v)

if

U

1

={o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φ

then

1(Rk,v)=(yes,v*=(b

{(si,oj,r)},M,f))

else

1(Rk,v)=(no,v)

end

146規(guī)則1對(duì)主體si的請(qǐng)求作了如下檢查:(1)主體的請(qǐng)求是否適用于規(guī)則1;主體請(qǐng)求對(duì)某客體的訪問(wèn)權(quán)形式(φ,g,Si,Oj,r)ifσ1

φorγ

gorx

rorσ2=φ

then

1(Rk,v)=(?,v)147(2)oj的擁有者或控制者是否授予了si對(duì)oj的讀訪問(wèn)權(quán)

r

Mij之檢查(3)si的安全級(jí)是否支配oj的安全級(jí)

f1(si)<f2(oj)orf3(si)

f4(oj)148(4)在訪問(wèn)集b中,若si對(duì)另一客體o有w/a訪問(wèn)權(quán),是否一定有o的安全級(jí)支配oj的安全級(jí)

{o|o

b(si:w,a)and[f2(oj)>f2(o)orf4(oj)

f4(o)]}=φNOT[f2(oj)>f2(o)orf4(oj)

f4(o)][f2(oj)<=f2(o)andf4(oj)

f4(o)]149

SiO(高)Oj(低)awSiO(高)Oj(低)wrSiOOjww

(級(jí)別)(級(jí)別)相等Si

o(高)

Oj(低)a

r流向150若上述4項(xiàng)檢查有一項(xiàng)通不過(guò),則系統(tǒng)拒絕執(zhí)行si的請(qǐng)求,系統(tǒng)狀態(tài)保持不變通過(guò)檢查,則請(qǐng)求被執(zhí)行，（si，oj，r）添加到系統(tǒng)的訪問(wèn)集b中，系統(tǒng)狀態(tài)v轉(zhuǎn)換成v*=(b

{(si,oj,r)},M,f))看得出來(lái)，檢查（2）是系統(tǒng)在實(shí)施自主訪問(wèn)控制，檢查（3）（4）是系統(tǒng)在實(shí)施強(qiáng)制訪問(wèn)控制只有檢查（2）－（4）通過(guò)了，才能保證狀態(tài)轉(zhuǎn)換時(shí)，其安全性仍然保持151規(guī)則2：主體si請(qǐng)求得到對(duì)客體oj的a訪問(wèn)權(quán)

get-append：

2(Rk,v)≡

ifσ1

φorγ

gorx

aorσ2=φ

then

2(Rk,v)=(?,v)

ifa

Mij

then

2(Rk,v)=(no,v)

ifU2

={o|o

b(si:r,w)and[f2(oj)<f2(o)orf4(oj)

f4(o)]}=φ

then

2(Rk,v)=(yes,(b

{(si,oj,a)},M,f))

else

2(Rk,v)=(no,v)

end152規(guī)則2對(duì)主體si的請(qǐng)求所作的檢查類似規(guī)則1不同的是，當(dāng)si請(qǐng)求以Ap