cha：計(jì)算機(jī)安全策略

計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略12/21/20222提要系統(tǒng)的安全需求安全策略的定義安全策略的分類安全策略的形式化描述安全策路的選擇訪問控制的屬性安全策略及其分類訪問控制策略訪問支持策略12/21/20223信息安全與保密的結(jié)構(gòu)層次物理安全安全控制安全服務(wù)12/21/20224物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)及信息的安全保護(hù)，它是網(wǎng)絡(luò)及信息安全的最基本的保障，是整個安全系統(tǒng)不可缺少和忽視的組成部分。該層次上的不安全因素主要有：（1）自然災(zāi)害、物理破壞、設(shè)備保障（2）電磁輻射、乘機(jī)而入、痕跡泄露（3）操作失誤、意外泄露12/21/20225安全控制是指在網(wǎng)絡(luò)及信息安全中對存儲和傳輸信息的操作進(jìn)行控制和管理。重點(diǎn)是在信息處理層次上對信息進(jìn)行初步的安全保護(hù)?？煞譃槿齻€層次：（1）操作系統(tǒng)的安全控制（2）網(wǎng)絡(luò)接口的安全控制（3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制安全控制主要通過現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實(shí)現(xiàn)，只提供了初步的安全功能和信息保護(hù)。12/21/20226安全服務(wù)是指在應(yīng)用層次上對信息的保密性、完整性和資源的真實(shí)性進(jìn)行保護(hù)和鑒別。以滿足用戶安全需求，防止和抵御各種安全威脅和攻擊手段。安全服務(wù)可以在一定程度上彌補(bǔ)和完善現(xiàn)有系統(tǒng)的安全漏洞。

12/21/20227安全服務(wù)主要包括安全機(jī)制：是用來預(yù)防、檢測和從安全攻擊中恢復(fù)的機(jī)制，是安全服務(wù)乃至整個安全系統(tǒng)的核心和關(guān)鍵。安全協(xié)議：是多個實(shí)體為完成某些任務(wù)所采取的一些列有序步驟。協(xié)議特點(diǎn)：預(yù)先建立、相互同意、非二義性和完整性。12/21/20228安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之間的連接過程，主要包括會話密鑰產(chǎn)生、分發(fā)和身份驗(yàn)證。安全策略：是決策的集合。它集中體現(xiàn)了一個組織對安全的態(tài)度。確切地說安全策略對于可接受的行為以及對違規(guī)作出何種響應(yīng)確定了界限。安全策略是安全機(jī)制、安全連接和安全協(xié)議的有機(jī)結(jié)合，是信息系統(tǒng)安全性的完整解決方案。安全策略決定了網(wǎng)絡(luò)信息安全系統(tǒng)的整體安全性和實(shí)用性。12/21/20229安全需求大多數(shù)安全策略考慮的是機(jī)密性、完整性、可記賬性、可用性這四項(xiàng)要求，但其側(cè)重點(diǎn)各有不同。例如：軍事安全策略側(cè)重于信息的機(jī)密性要求商用安全策略則偏重于信息的完整性與可記賬性電信部門側(cè)重于系統(tǒng)的可用性然而，僅考慮某一方面的需求是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)當(dāng)均衡考慮。系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）：防止信息泄露給未授權(quán)的用戶。完整性（integrity）：防止未授權(quán)的用戶對信息的修改?？捎涃~性（accountability）：防止用戶對訪問過的信息或執(zhí)行的操作予以否認(rèn)。可用性（availablity）：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。12/21/202210信息的機(jī)密密性需求美國國防部部在1985年12月發(fā)布了了可信計(jì)算算機(jī)評估標(biāo)標(biāo)準(zhǔn)（TCSEC，，“桔皮書書”）對信信息的機(jī)密密性做出了了具體的要要求。提出出了“強(qiáng)制安全策策略(MAC)”的要求，，即系統(tǒng)中中所有的信信息必須按按照其敏感感性等級和和所屬部門門分類，而而系統(tǒng)中的的所有用戶戶也加以分分類，以使使他們僅能能訪問那些些“需要知知道”的信信息。強(qiáng)制安全策策略也可用用于非軍事事部門。12/20/202211信息的機(jī)密密性需求另一種用于于民用目的的的安全策策略是“自主安全策策略(DAC)”，即每個個信息有一一個所有者者，它可以以決定是否否允許其他他用戶或進(jìn)進(jìn)程對此信信息進(jìn)行訪訪問。12/20/202212信息的完整整性需求指維護(hù)系統(tǒng)統(tǒng)資源在一一個有效的的、預(yù)期的的狀態(tài)，防防止資源不不正確、不不適當(dāng)?shù)匦扌薷?，或是是為了維護(hù)護(hù)系統(tǒng)不同同部分的一一致性。主主要目的是是防止在涉涉及到記賬賬或?qū)徲?jì)的的事件中舞舞弊行為的的發(fā)生。12/20/202213信息的可記記賬性需求求目的是為了了知道用戶戶執(zhí)行了什什么操作，，是誰執(zhí)行行了該操作作等。這對對知曉系統(tǒng)統(tǒng)破壞的程程度、恢復(fù)復(fù)丟失信息息、評估系系統(tǒng)安全性性以及為對對系統(tǒng)造成成嚴(yán)重破壞壞的民事賠賠償或法律律訴訟提供供依據(jù)。12/20/202214信息的可用用性需求是為了保證證系統(tǒng)的順順利工作，，即保證已已獲得授權(quán)權(quán)的用戶對對系統(tǒng)信息息的可訪問問性。12/20/20221512/20/202216安全策略所謂安全策略，簡單地說，，就是用來描描述用戶對安安全的要求。。在計(jì)算機(jī)安安全領(lǐng)域內(nèi)，，說一個系統(tǒng)統(tǒng)是“安全系系統(tǒng)”，其““安全”的概概念就是指此此系統(tǒng)達(dá)到了了當(dāng)初設(shè)計(jì)時時所制定的安安全策略的要要求。12/20/202217安全策略對于一個信息息系統(tǒng)而言，，其安全策略略的制定依據(jù)據(jù)如下：信息的機(jī)密性性、完整性與與可用性什么人可以以以何種方式去去訪問什么信信息根據(jù)什么來制制定訪問決策策，例如是根根據(jù)用戶的ID號呢？還還是依據(jù)用戶戶的其它什么么特征是要最大化的的共享，還是是要實(shí)現(xiàn)最小小特權(quán)是否要實(shí)行任任務(wù)的分離對涉及到系統(tǒng)統(tǒng)的安全性屬屬性的操作是是實(shí)行集中管管理，還是實(shí)實(shí)行分散管理理……安全策略的分分類安全策略：是是關(guān)于信息系系統(tǒng)安全性最最高層次的指指導(dǎo)原則，是是根據(jù)用戶的的需求、設(shè)備備情況、單位位章程和法律律約束等要求求制定的。在企事業(yè)單位位信息系統(tǒng)的的每一個層次次，從管理活活動到硬件保保護(hù)都要做出出安全性決策策，其中包括括企事業(yè)級安安全決策、行行政管理方面面的安全決策策、有關(guān)數(shù)據(jù)據(jù)處理設(shè)備及及運(yùn)行環(huán)境的的安全策略。。12/20/202218如“職工的獎獎金數(shù)量不公公開”是企事事業(yè)級的安全全決策；“職職工的表現(xiàn)記記錄在數(shù)據(jù)庫庫中保存3年年”是行政決決策；“修改改計(jì)算機(jī)設(shè)備備中的應(yīng)用程程序至少需要要兩位領(lǐng)導(dǎo)的的同意”是設(shè)設(shè)備決策；““保護(hù)存儲器器要以2048B為單位位”是操作系系統(tǒng)決策等。。12/20/202219安全策略是決決策的集合，，是對于可接接受的行為以以及應(yīng)對違規(guī)規(guī)做出何種響響應(yīng)確定了界界限。安全策略是對對一個系統(tǒng)應(yīng)應(yīng)該具有的安安全性的描述述，只有當(dāng)一一個系統(tǒng)與安安全策略相稱稱，也就是說說該系統(tǒng)能夠夠滿足對它的的安全要求，，這個系統(tǒng)才才是安全的。。12/20/202220大多數(shù)安全策策略都考慮上上述四點(diǎn)要求求：機(jī)密性要求完整性要求可記賬性要求求可用性要要求12/20/20222112/20/202222安全策略略的分類類基于信息息系統(tǒng)安安全策略略的定義義和內(nèi)涵涵，我們們將其分分為兩大大類：訪問控制制策略(AccessControlPolicy)：基基于安全全策略內(nèi)內(nèi)涵的機(jī)密性和和完整性性要求，它它確立相相應(yīng)的訪訪問規(guī)則則以控制制對系統(tǒng)統(tǒng)資源的的訪問訪問支持持策略(AccessSupportingPolicy)：基基于安全全策略內(nèi)內(nèi)涵的可記賬性性要求和和可用性性要求。由由于它是是以支持持訪問控控制策略略的面貌貌出現(xiàn)的的，故稱稱為訪問問支持策策略。12/20/202223訪問控制制（AccessControl）定義：是指對對主體訪訪問客體體的權(quán)限限或能力力的限制制，以及及限制進(jìn)進(jìn)入物理理區(qū)域（（出入控控制）和和限制使使用計(jì)算算機(jī)系統(tǒng)統(tǒng)和計(jì)算算機(jī)存儲儲數(shù)據(jù)的的過程（（存取控控制）。。訪問控制制的目的：為了保保障資源源受控，，合法的的使用，，用戶只只能根據(jù)據(jù)自己的的權(quán)限大大小來訪訪問資源源，不能能越權(quán)訪訪問。同同時訪問問控制也也是記帳帳、審計(jì)計(jì)的前提提。訪問控制制（AccessControl）訪問控制制是計(jì)算算機(jī)保護(hù)護(hù)中極其其重要的的一環(huán)，，它是在在身份識識別的基基礎(chǔ)上，，根據(jù)身身份對提提出的資資源訪問問請求加加以限制制。12/20/20222412/20/202225一些重要要的訪問問控制策策略：1、最小權(quán)限限策略：信息限限于給那那些完成成某任務(wù)務(wù)所需者者。2、最大共享享策略：是使存存儲的信信息獲得得最大的的應(yīng)用。。3、訪問的開開放與封封閉：在封閉閉系統(tǒng)中中，僅當(dāng)當(dāng)明確的的授權(quán)時時才允許許訪問，，在開放放系統(tǒng)中中，則要要求除非非明確的的禁止，，訪問都都允許。。前者較較安全，，是最小小權(quán)限策策略的基基本支持持，后者者費(fèi)用較較少，應(yīng)應(yīng)用于采采用最大大共享策策略的場場合。12/20/2022264、離散訪問問控制：它是根根據(jù)請求求的主、、客體名名稱作出出可否訪訪問的決決策，又又稱名稱稱相關(guān)訪訪問控制制。因?yàn)闉椴恍枰罁?jù)數(shù)數(shù)據(jù)庫中中的數(shù)據(jù)據(jù)內(nèi)容就就能作出出決策，，有時也也稱為內(nèi)內(nèi)容無關(guān)關(guān)訪問控控制。5、自主訪問問控制：客體的的屬主可可以自主主地決定定哪個用用戶能夠夠訪問他他的資源源。12/20/2022276、強(qiáng)制訪問控控制：主體和客客體都有固固定的安全全屬性，這這些安全屬屬性都刻畫畫在主、客客體的安全全標(biāo)記中。。安全標(biāo)記記是根據(jù)安安全信息流流對系統(tǒng)中中的主、客客體統(tǒng)一標(biāo)標(biāo)定的?？煽煞裨L問的的決策是依依據(jù)請求訪訪問的主、、客體統(tǒng)一一制定的，，又稱為非非離散訪問問控制。它它遠(yuǎn)比離散散訪問控制制安全，但但實(shí)現(xiàn)起來來較困難。。12/20/2022287、內(nèi)容相關(guān)及及其他訪問問控制：內(nèi)容相關(guān)：：訪問與否否與客體當(dāng)當(dāng)前的數(shù)據(jù)據(jù)有關(guān)；上下文相關(guān)關(guān)：允許訪訪問條件是是數(shù)據(jù)集合合的函數(shù)；；時間相關(guān)：：允許訪問問條件是系系統(tǒng)時鐘的的函數(shù)；歷史相關(guān)：：允許訪問問條件是系系統(tǒng)先前狀狀態(tài)的函數(shù)數(shù)。12/20/202229訪問控制的的屬性一般來說，，在計(jì)算機(jī)機(jī)系統(tǒng)內(nèi)和和訪問控制制策略相關(guān)關(guān)的因素有有三大類：：主體(用戶戶)：就是指系統(tǒng)統(tǒng)內(nèi)行為的的發(fā)起者，，通常是指指由用戶發(fā)發(fā)起的進(jìn)程程?？腕w(文件件、目錄、、數(shù)據(jù)庫等等)：指在計(jì)算機(jī)機(jī)系統(tǒng)內(nèi)所所有的主體體行為的直直接承擔(dān)者者。相應(yīng)的可用用作訪問控控制的主體體屬性、客體屬性。12/20/202230主體一般可分為為如下幾類類：普通用戶(User)：一個獲得授授權(quán)可以訪訪問系統(tǒng)資資源的自然然人。在一一個計(jì)算機(jī)機(jī)系統(tǒng)中，，相應(yīng)的授授權(quán)包括對對信息的讀讀、寫、刪刪除、追加加、執(zhí)行以以及授予或或撤銷另外外一個用戶戶對信息的的訪問權(quán)限限等等。對對某些信息息而言，此此用戶可能能是此信息息的擁有者者或系統(tǒng)管管理員。信息的擁有有者(Owner)：一般情況下下，信息的的擁有者指指的是該用用戶擁有對對此信息的的完全處理理權(quán)限，包包括讀、寫寫、修改和和刪除該信信息的權(quán)限限以及它可可以授權(quán)其其它用戶對對其所擁有有的信息擁擁有某些相相應(yīng)的權(quán)限限，除非該該信息被系系統(tǒng)另外加加以訪問控控制。系統(tǒng)管理員員(SystemAdministrator)：為使系統(tǒng)能能進(jìn)行正常常運(yùn)轉(zhuǎn)，而而對系統(tǒng)的的運(yùn)行進(jìn)行行管理的用用戶。例如如在普通的的UNIX系統(tǒng)中，，ROOT用戶即為為系統(tǒng)管理理員。12/20/202231客體總的來說，系系統(tǒng)內(nèi)的客體體也可以分為為三大類：一般客體(GeneralObject)：：指在系統(tǒng)內(nèi)以以客觀、具體體的形式存在在的信息實(shí)體體，如文件、、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)設(shè)備，如軟盤盤、打印機(jī)等等。特殊客體(SpecialObject)：：有時系統(tǒng)內(nèi)的的某些進(jìn)程也也是另外一些些進(jìn)程的行為為的承擔(dān)者，，那么這類進(jìn)進(jìn)程也是屬于于客體的一部部分。12/20/202232主、客體屬性性另外，信息系系統(tǒng)的訪問控控制策略除了了涉及到主、、客體之外，，還包括以下下幾個因素：：將要訪問該信信息的用戶的的屬性，即主體的屬屬性(例如，，用戶ID號號或許可級別別等)；將要被訪問的的信息的屬性性，即客體的屬屬性(例如信信息的安全性性級別，信息息來源等)；；系統(tǒng)的環(huán)境或或上下文的屬屬性(例如某天的的某個時候，，系統(tǒng)狀態(tài)等等等)。12/20/202233每一個系統(tǒng)必必須選擇以上上三類相關(guān)的的屬性來進(jìn)行行訪問控制的的決策。一般般來說，信息息安全策略的的制定就是通通過比較系統(tǒng)統(tǒng)內(nèi)的主、客客體的相關(guān)屬屬性來制定的的。分別從以上幾幾類屬性來對對訪問控制策策略的基礎(chǔ)進(jìn)進(jìn)行具體說明明，共分五個個方面：主體特征、客體特征、外部狀況、數(shù)據(jù)內(nèi)容/上上下文屬性以及其他屬性。12/20/202234主體屬性(用用戶特征)用戶特征是系統(tǒng)用來決決定訪問控制制的最常用的的因素。通常常一個用戶的的任何一種屬屬性，例如年年齡、性別、、居住地、出出生日期等等等，均可以作作為訪問控制制的決策點(diǎn)。。下面就是在在一般系統(tǒng)訪訪問控制策略略中最常用的的幾種用戶屬屬性：用戶ID╱組組ID：用戶訪問許可可級別“需知”原則則(need-to-know)角色能力列表(CapabilityList)12/20/202235客體屬性(客客體特征)在信息系統(tǒng)中中，除了主體體的屬性被用用來作為訪問問控制的條件件外，與系統(tǒng)統(tǒng)內(nèi)客體(即即信息)相關(guān)關(guān)聯(lián)的屬性也也作為訪問控控制策略的一一部分。一般般來說，客體體的特征屬性性有如下幾個個方面：敏感性標(biāo)簽：：由信息的敏敏感性級別和和范疇兩部分分組成訪問列表（accesslist）12/20/202236外部狀態(tài)某些策略是基基于系統(tǒng)主客客體屬性之外外的某些因素素來制定的，，例如時間、、地點(diǎn)或者狀狀態(tài)。另外外，，上上面面所所述述的的大大多多數(shù)數(shù)屬屬性性均均屬屬于于靜態(tài)態(tài)信信息息，但但也也有有些些訪訪問問策策略略可可能能是是基基于于某某些些動態(tài)態(tài)信信息息。12/20/202237數(shù)據(jù)據(jù)內(nèi)內(nèi)容容/上上下下文文環(huán)環(huán)境境有些些訪訪問問控控制制策策略略可可能能基基于于數(shù)數(shù)據(jù)據(jù)的的內(nèi)內(nèi)容容。。例例如如，，用用戶戶Sunny可可能能不不被被允允許許看看到到那那些些月月薪薪超超過過15000RMB的的員員工工的的文文件件。。更為為復(fù)復(fù)雜雜的的訪訪問問控控制制策策略略可可能能是是基基于于上上下下文文的的，，這這在在數(shù)數(shù)據(jù)據(jù)庫庫系系統(tǒng)統(tǒng)中中經(jīng)經(jīng)常常用用到到。。使用用靜靜態(tài)態(tài)的的信信息息標(biāo)標(biāo)簽簽是是用用人人工工的的方方法法來來決決定定信信息息敏敏感感性性的的一一種種延延續(xù)續(xù)，，而而基基于于數(shù)數(shù)據(jù)據(jù)內(nèi)內(nèi)容容/上上下下文文的的動動態(tài)態(tài)訪訪問問機(jī)機(jī)制制則則被被認(rèn)認(rèn)為為是是取取代代靜靜態(tài)態(tài)標(biāo)標(biāo)簽簽的的一一種種潛潛在在的的方方法法。。12/20/202238訪問問控控制制策策略略自主主訪訪問問控控制制(DiscretionaryAccessControlPolicy，，DAC)強(qiáng)制制訪訪問問控控制制(MandatoryAccessControlPolicy，，MAC)12/20/202239自主主訪訪問問控控制制策策略略自主主性性：它它允允許許系系統(tǒng)統(tǒng)中中信信息息的的擁擁有有者者按按照照自自己己的的意意愿愿去去指指定定誰誰可可以以以以何何種種訪訪問問模模式式去去訪訪問問該該客客體體。。一般般來來說說，，自自主主訪訪問問控控制制策策略略是是基基于于系系統(tǒng)統(tǒng)內(nèi)內(nèi)用用戶戶以以及及訪訪問問授授權(quán)權(quán)或或者者客客體體的的訪訪問問屬屬性性來來決決定定該該用用戶戶是是否否有有相相應(yīng)應(yīng)的的權(quán)權(quán)限限訪訪問問該該客客體體。。也也可可能能是是基基于于要要訪訪問問的的信信息息的的內(nèi)內(nèi)容容或或是是基基于于用用戶戶在在發(fā)發(fā)出出對對信信息息訪訪問問時時的的相相應(yīng)應(yīng)請請求求所所充充當(dāng)當(dāng)?shù)牡慕墙巧珌韥磉M(jìn)進(jìn)行行訪訪問問控控制制的的。。12/20/202240實(shí)際的計(jì)計(jì)算機(jī)系系統(tǒng)中，，自主訪訪問控制制策略由由一個三元組(S，O，A)表示，其其中S表示主體體，O表示客體體，A表示訪問問模式。。當(dāng)用戶申申請以某某種方式式訪問某某一個客客體時，，系統(tǒng)““引用監(jiān)控控器”就根根據(jù)系統(tǒng)統(tǒng)自主訪訪問控制制策略來來檢查主主、客體體及其相相應(yīng)的屬屬性或被被用來實(shí)實(shí)現(xiàn)自主主訪問控控制的其其他屬性性。如果果申請的的訪問屬屬性與系系統(tǒng)內(nèi)所所指定的的授權(quán)相相同，則則授予該該主體所所申請的的訪問許許可權(quán)，，否則則則拒絕該該用戶對對此信息息的訪問問。12/20/202241自主訪問問控制策策略的優(yōu)優(yōu)點(diǎn)能夠提供供比強(qiáng)制制訪問控控制策略略更為精精細(xì)的訪訪問控制制粒度。。它能夠夠?qū)⑺O(shè)設(shè)的訪問問控制策策略細(xì)化化到具體體的某個個人。相對于強(qiáng)強(qiáng)制訪問問控制策策略中的的訪問模模式只能能是“讀”和“寫”兩種而而言，自自主訪問問控制策策略“自自主”的的優(yōu)點(diǎn)還還表現(xiàn)在在它的訪訪問模式式的設(shè)定定非常靈靈活。例例如，我我們可以以將它設(shè)設(shè)為“每每隔一周周的周五五可以讀讀此文件件”或““只有讀讀完文件件1后才才能讀此此文件””等等。。自主訪問問控制策策略卓越越的靈活活性特征征使得它它適用于于各種各各樣的操操作系統(tǒng)統(tǒng)和應(yīng)用用程序，，因而使使得它在在各種情情況下得得到大量量的應(yīng)用用。12/20/202242自主訪問問控制策策略的缺缺點(diǎn)自主訪問問控制策策略中危危害最大大的是它它不能防防范“特特洛伊木木馬”或或某些些形式的的“惡意意程序””。例如，如如果某程程序中隱隱藏了““特洛伊伊木馬””，此““特洛伊伊木馬””一經(jīng)用用戶執(zhí)行行，即可可將所有有屬于他他的并且且只對他他的文件件在某一一目錄下下生成一一份拷貝貝；與此此同時，，還將這這份拷貝貝設(shè)為系系統(tǒng)中所所有其他他用戶均均可讀。。如此一一來，這這些原本本屬于該該用戶的的、并且且只能他他自己讀讀的文件件如今已已變得眾眾人皆知知了。這這樣，對對這些文文件的自自主訪問問控制機(jī)機(jī)制就形形同虛設(shè)設(shè)。為解決此類類問題，在在系統(tǒng)內(nèi)實(shí)實(shí)現(xiàn)自主訪訪問控制的的同時，利利用強(qiáng)制訪訪問控制策策略加強(qiáng)系系統(tǒng)的安全全性是必要要的。12/20/202243強(qiáng)制訪問控控制策略在強(qiáng)制訪問問控制機(jī)制制下，系統(tǒng)統(tǒng)內(nèi)的每一一個用戶或或主體根據(jù)據(jù)他對敏感感性客體的的訪問許可可級別被賦賦予一個訪問標(biāo)簽；同樣地，，系統(tǒng)內(nèi)的的每一個客客體也被賦賦予一敏感性標(biāo)簽簽以反映該信信息的敏感感性級別。。系統(tǒng)內(nèi)的的“引用監(jiān)監(jiān)視器”通通過比較主主、客體相相應(yīng)的標(biāo)簽簽來決定是是否授予一一個主體對對客體的訪訪問請求。。所謂“強(qiáng)制”，就是安安全屬性由由系統(tǒng)管理理員人為設(shè)設(shè)置，或由由操作系統(tǒng)統(tǒng)自動地按按照嚴(yán)格的的安全策略略與規(guī)則進(jìn)進(jìn)行設(shè)置，，用戶和他他們的進(jìn)程程不能修改改這些屬性性。12/20/202244強(qiáng)制訪問控控制的實(shí)質(zhì)是對系統(tǒng)當(dāng)當(dāng)中所有的的客體和所所有的主體體分配敏感性標(biāo)簽簽（sensitivitylabel），用用戶的敏感感性標(biāo)簽指指定了該用用戶的敏感感等級或信信任等級，，也稱為安全許可（clearance）；而而文件的敏敏感標(biāo)簽說說明了訪問問該文件的的用戶必須須具備的信信任等級。。在大多系統(tǒng)統(tǒng)內(nèi)(例如如單域系統(tǒng)統(tǒng)，即一進(jìn)進(jìn)程只擁有有一個域)，主體只只有一個訪訪問標(biāo)簽，，而在有些些系統(tǒng)中(例如多域域系統(tǒng)，即即一個進(jìn)程程擁有多個個域)，一一個主體可可能有多個個訪問標(biāo)簽簽(每一個個域的進(jìn)程程擁有一個個標(biāo)簽，分分別代表著著不同的含含義)。12/20/202245強(qiáng)制訪問控控制策略既既可以用來來防止對信信息的非授授權(quán)的篡改，又可以防防止未授權(quán)權(quán)的信息泄露。在一個特定定的強(qiáng)制訪訪問控制策策略中，標(biāo)標(biāo)簽可以以以不同的形形式來實(shí)現(xiàn)現(xiàn)信息的完完整性和機(jī)機(jī)密性。例如在國防防部門，標(biāo)標(biāo)簽可能是是“秘密””、“機(jī)密密”、“絕絕密”等等等；而在一一個企業(yè)內(nèi)內(nèi)，標(biāo)簽很很可能是““公共信息息”、“私私有信息””(為保證證信息的機(jī)機(jī)密性)，，或是“技技術(shù)信息””、“管理理信息”(為保證信信息的完整整性)；另另外，它還還可以表示示不同的部部門分工，，如“財務(wù)務(wù)部”、““人事部””、“技術(shù)術(shù)部”等等等，每個部部門的人只只能訪問同同一部門的的信息。12/20/202246在強(qiáng)制訪問問控制策略略中，其訪訪問三元組(S，O，A)與自主訪問問控制策略略相同。但此三元組組內(nèi)的訪問問模式A與自主訪問問控制策略略中的訪問問模式有所所不同。后后者可以有有非常靈活活的形式，，而前者只只有兩種，，即“讀”和“寫”。在不同的情情況下，其其訪問控制制策略在形形式上有可可能表現(xiàn)不不同：例如如在有些情情況下(如如保證信息息的機(jī)密性性)，主體體對客體要要想擁有讀讀權(quán)限，當(dāng)當(dāng)且僅當(dāng)主主體的訪問問標(biāo)簽“高高于”客體體的敏感性性標(biāo)簽；而而在另外一一些情況下下(如保證證信息的完完整性)可可能正好相相反，即主主體要想讀讀訪問客體體，其完整整性標(biāo)簽要要“低于””客體的完完整性標(biāo)簽簽。12/20/202247強(qiáng)制訪問問控制策策略的特特性強(qiáng)制訪問問控制策策略最顯顯著的特特征是其其“全局性”(Global)和和“永久性”(Persistent)?！叭中孕浴钡暮x是指指對特定定的信息息，無論論它處于于何地，其敏感感性級別別相同而“永久久性”的的含義則則是指對對特定的的信息，，無論在在何時其敏感性性程序相相同換句話說說，在強(qiáng)強(qiáng)制訪問問控制策策略中，，無論何何時何地地，主、、客體的的標(biāo)簽是是不會改改變的。。這一特特征在多多級安全全體系統(tǒng)統(tǒng)中稱為為“寧靜性原原則”(tranquility)。12/20/202248強(qiáng)制訪問問控制策策略的特特性對于一個個具體的的訪問控控制策略略而言，，如果它它具有以以上兩個個特征（（全局性性、永久久性），，那么其其標(biāo)簽的的集合在在數(shù)學(xué)上上必會形形成“偏偏序關(guān)系系”(partialorder)12/20/202249偏序關(guān)系系由于訪問問標(biāo)簽的的集合具具有偏序序的關(guān)系系，因此此其集合合內(nèi)的元元素之間間的比較較可以用用“支配配”關(guān)系系來描述述，在數(shù)數(shù)學(xué)上將將這種關(guān)關(guān)系以““≧”來來表示：：對兩個符符合“偏偏序關(guān)系系”的元元素x和和y來說說，它們們之間只只存在三三種關(guān)系系，即x支配y(寫作作x≧y)，y支配x(寫作作y≧x)，x與y無無關(guān)(xy且yx)，，并且它它們在數(shù)數(shù)學(xué)上具具有三個個基本的的特征：：自反性(reflexivity)反對稱性性(antisymmetry)傳遞性(transitivity)12/20/202250上述述三三種種基基本本的的特特征征，，用用““偏偏序序關(guān)關(guān)系系””來來表表示示如如下下(假假設(shè)設(shè)有有三三個個符符合合上上述述三三種種基基本本的的特特征征的的元元素素x、、y和和z)：：自反反性性(reflexivity)：：反對對稱稱性性(antisymmetry)：：傳遞遞性性(transitivity)：：如果果在在訪訪問問控控制制策策略略中中，，訪訪問問標(biāo)標(biāo)簽簽集集合合中中元元素素間間的的關(guān)關(guān)系系與與上上述述三三種種特特征征之之一一不不符符，，則則強(qiáng)強(qiáng)制制訪訪問問策策略略的的兩兩大大特特征征““全全局局性性””和和““永永久久性性””必必有有一一個個要要遭遭到到破破壞壞，，從從而而使使得得該該訪訪問問控控制制策策略略不不能能從從根根本本上上防防備備““特特洛洛伊伊木木馬馬””或或惡惡意意程程序序的的攻攻擊擊。。12/20/202251自反反性性被被破破壞壞示示例例考慮慮在在一一個個訪訪問問控控制制策策略略中中，，主主、、客客體體的的訪訪問問標(biāo)標(biāo)簽簽分分別別是是““敏敏感感””和和““公公開開””中中的的一一個個，，并并且且指指定定除了了周周末末外外，系系統(tǒng)統(tǒng)內(nèi)內(nèi)的的““公公開開””的的主主體體可可能能訪訪問問““公公開開””的的客客體體，，這這就就造造成成了了同同一一訪訪問問級級別別的的標(biāo)標(biāo)簽簽不不能能總總是是支支配配其其本本身身，，即即，，這這與與““偏偏序序關(guān)關(guān)系系””中中的的““自自反反性性原原則則””相相違違背背，，使使得得強(qiáng)強(qiáng)制制訪訪問問控控制制策策略略中中的的““永永久久性性””特特征征遭遭到到破破壞壞；；12/20/202252反對對稱稱性性原原則則被被破破壞壞示示例例如果果訪訪問問控控制制策策略略指指定定““公公開開””的的主主體體可可在在每每周周末末訪訪問問““敏敏感感””客客體體，，則則訪訪問問標(biāo)標(biāo)簽簽““敏敏感感””在在周周末末前前支支配配標(biāo)標(biāo)簽簽““公公開開””；；而而在在周周末末，，訪訪問問標(biāo)標(biāo)簽簽““公公開開””支支配配標(biāo)標(biāo)簽簽““敏敏感感””，，但但這這兩兩個個標(biāo)標(biāo)簽簽并并不不相相等等，，即即并且且x1≠≠y1，，但但是是有有和和，，這這就就違違反反了了““反反對對稱稱性性””原原則則，，同同樣樣造造成成了了強(qiáng)強(qiáng)制制訪訪問問控控制制策策略略中中““永永久久性性””特特征征的的破破壞壞。。12/20/202253傳遞性性原則則被破破壞示示例類似地地，如如果在在一個個訪問問控制制策略略中，，除了了使用用標(biāo)簽簽“敏敏感””和標(biāo)標(biāo)簽““公開開”外外，還還使用用了標(biāo)標(biāo)簽““私有有”，，如果果“私私有””主體體可以以訪問問“敏敏感””客體體，同同時““敏感感”主主體可可以訪訪問““公開開”客客體，，但是是如果果系統(tǒng)統(tǒng)內(nèi)存存在有有某些些“公公開””客體體不能能被““私有有”主主體訪訪問，，即，，但但，，則違違反了了“傳傳遞性性”原原則，，從而而造成成了強(qiáng)強(qiáng)制訪訪問控控制策策略的的“全全局性性”的的破壞壞。12/20/202254兩種訪訪問控控制策策略的的關(guān)系系對于訪訪問控控制策策略而而言，，要么么是““強(qiáng)制制的””，要要么是是“自自主的的”，，二者者之間間沒有有相交交的部部分。。如上所所述的的訪問問控制制策略略使用用的主主、客客體訪訪問標(biāo)標(biāo)簽由由于不不滿足足“偏偏序””關(guān)系系，違違背了了強(qiáng)制制訪問問控制制策略略的兩兩大主主要特特征之之一，，因此此不屬屬于強(qiáng)強(qiáng)制訪訪問控控制策策略，，但它它們卻卻是屬屬于自自主訪訪問控控制策策略。。12/20/202255兩種訪訪問控控制策策略的的關(guān)系系進(jìn)一步步而言言，一一個訪訪問控控制策策略是是強(qiáng)制制訪問問控制制策略略，當(dāng)當(dāng)且僅僅當(dāng)它它的訪訪問標(biāo)標(biāo)簽集集合中中的元元素滿滿足““偏序序”關(guān)關(guān)系，，否則則它就就是自自主訪訪問控控制策策略。。強(qiáng)制訪訪問控控制策策略和和自主主訪問問控制制策略略在功功能上上的最最大的的區(qū)別別在于于它們們是否否能夠夠防備備“特特洛伊伊木馬馬”或或“惡惡意””程序序的攻攻擊。。12/20/202256如果在一個系系統(tǒng)內(nèi)存在兩兩種強(qiáng)制訪問問控制策略，，則該系統(tǒng)內(nèi)內(nèi)的主、客體體必有兩類不不同的訪問標(biāo)標(biāo)簽，每一類類標(biāo)簽與一個個強(qiáng)制訪問控控制策略相對對應(yīng)。這時，，兩類訪問標(biāo)標(biāo)簽之間可能能毫無關(guān)系，，但在同一類類訪問標(biāo)簽之之間卻必須滿滿足“偏序””關(guān)系。例如，一個系系統(tǒng)要同時保保證信息的機(jī)機(jī)密性和完整整性，就需要要有兩類不同同的訪問標(biāo)簽簽。其中一類類用于保證信信息的機(jī)密性性，另一類用用于保證信息息的完整性。。12/20/202257訪問支持策略略用來保障訪問問控制策略的的正確實(shí)施提提供可靠的““支持”。一般來說，這這類安全策略略將系統(tǒng)中的的用戶與訪問問控制策略中中的“主體””聯(lián)系起來。。例如用戶必必須要經(jīng)過““身份的合法法性認(rèn)證”，，才能夠成為為系統(tǒng)中的合合法用戶的一一員（即訪問問控制策略中中的“主體””），去訪問問相應(yīng)的資源源；或者在用用戶進(jìn)入系統(tǒng)統(tǒng)后，執(zhí)行了了某些與其身身份不相稱的的操作或非法法訪問了它無無權(quán)訪問的文文件，所有這這些都應(yīng)記錄錄在冊。12/20/202258訪問支持策略略這些策略雖然然和基于主、、客體及其屬屬性的訪問控控制策略不同同，但卻為后后者的有效實(shí)實(shí)施提供“保保障和支持””，因此稱之之為訪問支持持策略。TCSEC中中，將系統(tǒng)的的訪問支持策策略分為六類類：標(biāo)識與鑒別、、可記賬性、、可靠性、連連續(xù)保護(hù)、客客體復(fù)用、隱隱通道處理12/20/202259安全策略的選選擇理想的安全系系統(tǒng)是能夠同同時保持信息息的機(jī)密性、、完整性、可可記賬性和可可用性，但是是實(shí)際上不可可能，也沒必必要做到信息息的絕對安全全。在設(shè)計(jì)之前要要分析一下我我們當(dāng)前面臨臨的主要危險險是什么？造造成的損失有有多大？然后后我們才能做做到有的放矢矢。12/20/202260安全策略的選選擇一般來說，要要設(shè)計(jì)一個安安全的計(jì)算機(jī)機(jī)信息系統(tǒng)，，主要考慮其其對信息的機(jī)機(jī)密性與完整整性的保護(hù)（（也就是主要要考慮訪問控控制策略），，其次才考慮慮信息的可用用性和可記賬賬性。因此，，訪問控制是是設(shè)計(jì)安全計(jì)計(jì)算機(jī)系統(tǒng)的的主要目的，，在此基礎(chǔ)上上，再加入對對用戶的標(biāo)識識與鑒別機(jī)制制和對審計(jì)等等策略的支持持。12/20/202261謝謝！！9、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Tuesday,December20,202210、雨中黃黃葉樹，，燈下白白頭人。。。17:11:1117:11:1117:1112/20/20225:11:11PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2217:11:1117:11Dec-2220-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。17:11:1117:11:1117:11Tuesday,December20,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2217:11:1117:11:11December20,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。20十十二月20225:11:11下午午17:11:1112月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。。十二月月225:11下下午午12月月-2217:11December20,202216、行動出成成果，工作作出財富。。。2022/12/2017:11:1117:11:11