1、計算機安全CH2：計算機安全策略 乞饒歡翹仔熏紛煤稱誤響壯懸頤葉蔓套萍賒漱腑械蜜募落江遺歧尤平敬乳chap2：計算機安全策略chap2：計算機安全策略7/23/20222提 要系統(tǒng)的安全需求安全策略的定義安全策略的分類安全策略的形式化描述安全策路的選擇訪問控制的屬性安全策略及其分類訪問控制策略訪問支持策略掂跌掃子卉昌軋泉布溺硼衰訪熏吉籮牽證物密竟綿吏殃孟迪又鴨專魏柜撼chap2：計算機安全策略chap2：計算機安全策略7/23/20223信息安全與保密的結構層次物理安全安全控制安全服務睹眶敝降畜竟勁杉鈕身貯息憤貶炒墾諄磨銘亡恩盛紛拯綠統(tǒng)桿共橋棠泡第chap2：計算機安全策略chap2：計算機安

2、全策略7/23/20224物理安全是指在物理介質層次上對存儲和傳輸的網絡及信息的安全保護，它是網絡及信息安全的最基本的保障，是整個安全系統(tǒng)不可缺少和忽視的組成部分。 該層次上的不安全因素主要有： （1）自然災害、物理破壞、設備保障 （2）電磁輻射、乘機而入、痕跡泄露 （3）操作失誤、意外泄露民駭淖兇兼師奸匈艇港虜莢部陋郝墾夕牧撿麥拾猶媳嶼篇傷老到配安粹賤chap2：計算機安全策略chap2：計算機安全策略7/23/20225安全控制是指在網絡及信息安全中對存儲和傳輸信息的操作進行控制和管理。重點是在信息處理層次上對信息進行初步的安全保護?？煞譃槿齻€層次： （1）操作系統(tǒng)的安全控制 （2）網絡接

3、口的安全控制 （3）網絡互聯設備的安全控制 安全控制主要通過現有的操作系統(tǒng)或網管軟件、路由器配置等實現，只提供了初步的安全功能和信息保護。井悍和惑攘紙火熙吝暖跳臣緣腺壹嘻樣崔暫農需舀棚般肢褪侗股秉激酸熬chap2：計算機安全策略chap2：計算機安全策略7/23/20226安全服務是指在應用層次上對信息的保密性、完整性和資源的真實性進行保護和鑒別。以滿足用戶安全需求，防止和抵御各種安全威脅和攻擊手段。安全服務可以在一定程度上彌補和完善現有系統(tǒng)的安全漏洞。 啤侶酮詛詞晉病唯俯社爬線銻腮夾垃陀囊巨燭殆戒鴉兢阜炎埠畏胳師氓泌chap2：計算機安全策略chap2：計算機安全策略7/23/20227安全

4、服務主要包括安全機制：是用來預防、檢測和從安全攻擊中恢復的機制，是安全服務乃至整個安全系統(tǒng)的核心和關鍵。安全協(xié)議：是多個實體為完成某些任務所采取的一些列有序步驟。協(xié)議特點：預先建立、相互同意、非二義性和完整性。倍敢梅淘甸哨哀訝賈桐曙蔡匣賈蚌卡落速愁泣募祿莎鞏址枉寂粘舵未債諾chap2：計算機安全策略chap2：計算機安全策略7/23/20228安全連接：是在安全處理前網絡通信雙方之間的連接過程，主要包括會話密鑰產生、分發(fā)和身份驗證。安全策略：是決策的集合。它集中體現了一個組織對安全的態(tài)度。確切地說安全策略對于可接受的行為以及對違規(guī)作出何種響應確定了界限。安全策略是安全機制、安全連接和安全協(xié)議的

5、有機結合，是信息系統(tǒng)安全性的完整解決方案。安全策略決定了網絡信息安全系統(tǒng)的整體安全性和實用性。吭禱糠轎扮頗儈雄脖乳短唯閑晾沉蹦頭螢謗武庸哉顏忻袁剁抨纏夕尿稀肋chap2：計算機安全策略chap2：計算機安全策略7/23/20229安全需求大多數安全策略考慮的是機密性、完整性、可記賬性、可用性這四項要求，但其側重點各有不同。例如：軍事安全策略側重于信息的機密性要求商用安全策略則偏重于信息的完整性與可記賬性電信部門側重于系統(tǒng)的可用性然而，僅考慮某一方面的需求是遠遠不夠的，還應當均衡考慮。灘僧藻全吏陰瞥憾拴歷芳邀氟賤留蒸曳逸臟魯磨捷園摳瀉楓撬們竭助擂恃chap2：計算機安全策略chap2：計算機安全

6、策略系統(tǒng)的安全需求的內容機密性（confidentiality）：防止信息泄露給未授權的用戶。完整性（integrity）：防止未授權的用戶對信息的修改。可記賬性（accountability）：防止用戶對訪問過的信息或執(zhí)行的操作予以否認?？捎眯裕╝vailablity）：保證授權用戶對系統(tǒng)信息的可訪問性。7/23/202210鑄本節(jié)肌傻鐮粘病氫蛋潭記問桓萄悟匡索鄲撼直趁傲廬鰓句男繡售啟雞猾chap2：計算機安全策略chap2：計算機安全策略信息的機密性需求美國國防部在1985年12月發(fā)布了可信計算機評估標準（TCSEC，“桔皮書”）對信息的機密性做出了具體的要求。提出了“強制安全策略(MAC

7、)”的要求，即系統(tǒng)中所有的信息必須按照其敏感性等級和所屬部門分類，而系統(tǒng)中的所有用戶也加以分類，以使他們僅能訪問那些“需要知道”的信息。強制安全策略也可用于非軍事部門。7/23/202211林濰沫已龍酚兒科篆設單倔苞盒妹姻欲允鍬賞綢徽己清拱員烙制閣癡用哀chap2：計算機安全策略chap2：計算機安全策略信息的機密性需求另一種用于民用目的的安全策略是“自主安全策略(DAC)”，即每個信息有一個所有者，它可以決定是否允許其他用戶或進程對此信息進行訪問。7/23/202212臣什柄雄謀嘶戊歧懇煥騾睦孜逛酣卿訓芒擾嘶炯識裔汕煥堵赤饒峽費通舊chap2：計算機安全策略chap2：計算機安全策略信息的完

8、整性需求指維護系統(tǒng)資源在一個有效的、預期的狀態(tài)，防止資源不正確、不適當地修改，或是為了維護系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或審計的事件中舞弊行為的發(fā)生。7/23/202213軀獵頰疊瑤裝焙媒禹厲緣勸泉辜繁藕苑甚供蟲繁農聳叫陽腎適拿交盞揀陷chap2：計算機安全策略chap2：計算機安全策略信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行了該操作等。這對知曉系統(tǒng)破壞的程度、恢復丟失信息、評估系統(tǒng)安全性以及為對系統(tǒng)造成嚴重破壞的民事賠償或法律訴訟提供依據。7/23/202214落閨勺搽提灣艘鹵五陸跑任坦汽刁纜眶牲吩夜敘伏屜遂虛淪肯錯磋材矮紳chap2：計算機安全策略ch

9、ap2：計算機安全策略信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權的用戶對系統(tǒng)信息的可訪問性。7/23/202215耗屆酉壯也勉淋硒氰的李拄項疑夢逛妨塘餾躍細痛捌疚篆泄趾潦撈唉稍湍chap2：計算機安全策略chap2：計算機安全策略7/23/202216安全策略所謂安全策略，簡單地說，就是用來描述用戶對安全的要求。在計算機安全領域內，說一個系統(tǒng)是“安全系統(tǒng)”，其“安全”的概念就是指此系統(tǒng)達到了當初設計時所制定的安全策略的要求。臻莫隕免揚前崇優(yōu)履晾她硒院正蔭朔穆憾雍浦詩拉斯具芹雀雌塌白份男旋chap2：計算機安全策略chap2：計算機安全策略7/23/202217安全策略對于一個信

10、息系統(tǒng)而言，其安全策略的制定依據如下：信息的機密性、完整性與可用性什么人可以以何種方式去訪問什么信息根據什么來制定訪問決策，例如是根據用戶的ID號呢？還是依據用戶的其它什么特征是要最大化的共享，還是要實現最小特權是否要實行任務的分離對涉及到系統(tǒng)的安全性屬性的操作是實行集中管理，還是實行分散管理讀叔冪謀序手欺狠怨扛谷但士附廚帛皇拙溶幅瓷練同科接譚粗灣贛帛鏈臭chap2：計算機安全策略chap2：計算機安全策略安全策略的分類安全策略：是關于信息系統(tǒng)安全性最高層次的指導原則，是根據用戶的需求、設備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個層次，從管理活動到硬件保護都要做出安全

11、性決策，其中包括企事業(yè)級安全決策、行政管理方面的安全決策、有關數據處理設備及運行環(huán)境的安全策略。7/23/202218幸畫慎奔蔡淀遵坑枕衷割便爍川皮嚙秸鏈迅吻納份流途狄港乖她彌僚喧蹋chap2：計算機安全策略chap2：計算機安全策略如“職工的獎金數量不公開”是企事業(yè)級的安全決策；“職工的表現記錄在數據庫中保存3年”是行政決策；“修改計算機設備中的應用程序至少需要兩位領導的同意”是設備決策；“保護存儲器要以2048B為單位”是操作系統(tǒng)決策等。7/23/202219侄萌虜蒜倉遍善婚捻柵洋穗郵禿忻仍坍舜量邀蜒七嚙建賄譽搬輔裴扭律俞chap2：計算機安全策略chap2：計算機安全策略安全策略是決策的

12、集合，是對于可接受的行為以及應對違規(guī)做出何種響應確定了界限。安全策略是對一個系統(tǒng)應該具有的安全性的描述，只有當一個系統(tǒng)與安全策略相稱，也就是說該系統(tǒng)能夠滿足對它的安全要求，這個系統(tǒng)才是安全的。7/23/202220窒蠶抬講貯附饑稽齒織泌牛遮淑戊那審撻茵慷解哎憫我雷枕洛噶證譬雷臘chap2：計算機安全策略chap2：計算機安全策略大多數安全策略都考慮上述四點要求：機密性要求完整性要求可記賬性要求可用性要求7/23/202221碼適薊錘烘驗俏鈕循匠裔睜事岔換戌獲漆箍脯騾其允撾瞇夠溝繭詣銷菇鑄chap2：計算機安全策略chap2：計算機安全策略7/23/202222安全策略的分類基于信息系統(tǒng)安全策略

13、的定義和內涵，我們將其分為兩大類：訪問控制策略(Access Control Policy)：基于安全策略內涵的機密性和完整性要求，它確立相應的訪問規(guī)則以控制對系統(tǒng)資源的訪問訪問支持策略(Access Supporting Policy)：基于安全策略內涵的可記賬性要求和可用性要求。由于它是以支持訪問控制策略的面貌出現的，故稱為訪問支持策略。炸面擇幸遠桶刀暗戎緘幣抹抨煙藕盈橢項癥戚雖俊卯售駝睫裝掌魄番奧蹤chap2：計算機安全策略chap2：計算機安全策略7/23/202223訪問控制（Access Control）定義：是指對主體訪問客體的權限或能力的限制，以及限制進入物理區(qū)域（出入控制）和

14、限制使用計算機系統(tǒng)和計算機存儲數據的過程（存取控制）。訪問控制的目的：為了保障資源受控，合法的使用，用戶只能根據自己的權限大小來訪問資源，不能越權訪問。同時訪問控制也是記帳、審計的前提。階勒斂賀縱晨緞惹蕩聽苑分膳涸興壤玩縮酞氛昏始馳攻須阻繩臺筐馭鑿臥chap2：計算機安全策略chap2：計算機安全策略訪問控制（Access Control）訪問控制是計算機保護中極其重要的一環(huán)，它是在身份識別的基礎上，根據身份對提出的資源訪問請求加以限制。7/23/202224茶僑雁刷悲睡囚芒蕩亭馬隨百抿番芍轉咕鱉釜滁撾頰醚決鑿揍撤柴慷割仰chap2：計算機安全策略chap2：計算機安全策略7/23/20222

15、5一些重要的訪問控制策略：1、最小權限策略：信息限于給那些完成某任務所需者。2、最大共享策略：是使存儲的信息獲得最大的應用。3、訪問的開放與封閉：在封閉系統(tǒng)中，僅當明確的授權時才允許訪問，在開放系統(tǒng)中，則要求除非明確的禁止，訪問都允許。前者較安全，是最小權限策略的基本支持，后者費用較少，應用于采用最大共享策略的場合。沫段剎捉宗脹貝撂待暮各嗆剝貢籠雍雕直竣冶召湯羨格勵刀頰特鵬羅偵印chap2：計算機安全策略chap2：計算機安全策略7/23/2022264、離散訪問控制：它是根據請求的主、客體名稱作出可否訪問的決策，又稱名稱相關訪問控制。因為不需要依據數據庫中的數據內容就能作出決策，有時也稱為內

16、容無關訪問控制。5、自主訪問控制：客體的屬主可以自主地決定哪個用戶能夠訪問他的資源。蕪講構博蠢節(jié)父門嚇渦肄腫杜尚糯宮啼黔虎勸謠袋俯考擴矣蹦氮惕癟日捧chap2：計算機安全策略chap2：計算機安全策略7/23/2022276、強制訪問控制：主體和客體都有固定的安全屬性，這些安全屬性都刻畫在主、客體的安全標記中。安全標記是根據安全信息流對系統(tǒng)中的主、客體統(tǒng)一標定的?？煞裨L問的決策是依據請求訪問的主、客體統(tǒng)一制定的，又稱為非離散訪問控制。它遠比離散訪問控制安全，但實現起來較困難。扯游事撮鎢熟琵睛卓乘解沉莆烈族偶拇引個圈磚嗡塘其葵一漏破翟圓兆曉chap2：計算機安全策略chap2：計算機安全策略7/

17、23/2022287、內容相關及其他訪問控制：內容相關：訪問與否與客體當前的數據有關；上下文相關：允許訪問條件是數據集合的函數；時間相關：允許訪問條件是系統(tǒng)時鐘的函數；歷史相關：允許訪問條件是系統(tǒng)先前狀態(tài)的函數。猜伎茨藥庭酶哲榷糟擔怨訝釋艷灼燈緘柯倍取撮湃染卵蔗旱羚疇鵬溯糯辰chap2：計算機安全策略chap2：計算機安全策略7/23/202229訪問控制的屬性一般來說，在計算機系統(tǒng)內和訪問控制策略相關的因素有三大類：主體(用戶)：就是指系統(tǒng)內行為的發(fā)起者，通常是指由用戶發(fā)起的進程?？腕w(文件、目錄、數據庫等)：指在計算機系統(tǒng)內所有的主體行為的直接承擔者。相應的可用作訪問控制的主體屬性、客體屬

18、性。鴛債構豐船債糖欣捉嘆恩種藤詢汽賣爍撓靠賄米淳續(xù)超忱啥藐疊綽淋粒彈chap2：計算機安全策略chap2：計算機安全策略7/23/202230主 體一般可分為如下幾類：普通用戶(User)：一個獲得授權可以訪問系統(tǒng)資源的自然人。在一個計算機系統(tǒng)中，相應的授權包括對信息的讀、寫、刪除、追加、執(zhí)行以及授予或撤銷另外一個用戶對信息的訪問權限等等。對某些信息而言，此用戶可能是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：一般情況下，信息的擁有者指的是該用戶擁有對此信息的完全處理權限，包括讀、寫、修改和刪除該信息的權限以及它可以授權其它用戶對其所擁有的信息擁有某些相應的權限，除非該信息被系統(tǒng)另

19、外加以訪問控制。系統(tǒng)管理員(System Administrator)：為使系統(tǒng)能進行正常運轉，而對系統(tǒng)的運行進行管理的用戶。例如在普通的UNIX系統(tǒng)中，ROOT用戶即為系統(tǒng)管理員。勝巒院謅寶兄休伍匿車級曠逞潰虞雇滿書綸胳奎肥種吠冗翠睜咽勺九養(yǎng)嚇chap2：計算機安全策略chap2：計算機安全策略7/23/202231客 體總的來說，系統(tǒng)內的客體也可以分為三大類：一般客體(General Object)：指在系統(tǒng)內以客觀、具體的形式存在的信息實體，如文件、目錄等。設備客體(Device Object)：指系統(tǒng)內的設備，如軟盤、打印機等。特殊客體(Special Object)：有時系統(tǒng)內的某些

20、進程也是另外一些進程的行為的承擔者，那么這類進程也是屬于客體的一部分。欣瘩作薦煤蚜丙找晉賴乓龐吹刁癸痔諷溶驢密醬膏誠淚紳蟬惱壹兇烷咽蔬chap2：計算機安全策略chap2：計算機安全策略7/23/202232主、客體屬性另外，信息系統(tǒng)的訪問控制策略除了涉及到主、客體之外，還包括以下幾個因素：將要訪問該信息的用戶的屬性，即主體的屬性(例如，用戶ID號或許可級別等)；將要被訪問的信息的屬性，即客體的屬性(例如信息的安全性級別，信息來源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個時候，系統(tǒng)狀態(tài)等等)。寄兜澆并碼揖揀蘿惺古夕哲綻畜卿霄耪俱講玖韋齡嗽做傳智負癰烈骸貿伶chap2：計算機安全策略chap

21、2：計算機安全策略7/23/202233每一個系統(tǒng)必須選擇以上三類相關的屬性來進行訪問控制的決策。一般來說，信息安全策略的制定就是通過比較系統(tǒng)內的主、客體的相關屬性來制定的。分別從以上幾類屬性來對訪問控制策略的基礎進行具體說明，共分五個方面：主體特征、客體特征、外部狀況、數據內容/上下文屬性以及其他屬性。苞午描慧臭孺榷掌金甕文坦詩豁粵易肉替畏寐欣季十瘸求瘦聾棕盒趁猛替chap2：計算機安全策略chap2：計算機安全策略7/23/202234主體屬性(用戶特征)用戶特征是系統(tǒng)用來決定訪問控制的最常用的因素。通常一個用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策

22、點。下面就是在一般系統(tǒng)訪問控制策略中最常用的幾種用戶屬性：用戶ID組ID： 用戶訪問許可級別“需知”原則(need-to-know)角色能力列表(Capability List)堡跌某全酒嗜才紉貓袱說遞泰霉東永戎悔扳似河亥頰乞哉悠橫膘暈溉搪止chap2：計算機安全策略chap2：計算機安全策略7/23/202235客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內客體(即信息)相關聯的屬性也作為訪問控制策略的一部分。一般來說，客體的特征屬性有如下幾個方面：敏感性標簽：由信息的敏感性級別和范疇兩部分組成訪問列表（access list）木邢楚碾匡席詐蔣嫩舉刮躇盼

23、桃霉唆恰琵圍析報叭賊翼鄲冤桌保跪眾箕輯chap2：計算機安全策略chap2：計算機安全策略7/23/202236外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些因素來制定的，例如時間、地點或者狀態(tài)。另外，上面所述的大多數屬性均屬于靜態(tài)信息，但也有些訪問策略可能是基于某些動態(tài)信息。掉迄坡克宜漂棉避嬸救舉傭孜昔瘡喪誤虎謹弘仕乖序譜牙酌若臥卓芝切姐chap2：計算機安全策略chap2：計算機安全策略7/23/202237數據內容/上下文環(huán)境有些訪問控制策略可能基于數據的內容。例如，用戶Sunny可能不被允許看到那些月薪超過15000RMB的員工的文件。更為復雜的訪問控制策略可能是基于上下文的，這在數據

24、庫系統(tǒng)中經常用到。使用靜態(tài)的信息標簽是用人工的方法來決定信息敏感性的一種延續(xù)，而基于數據內容/上下文的動態(tài)訪問機制則被認為是取代靜態(tài)標簽的一種潛在的方法。研摳浚箋勺熙玖蓮直查斗餾村褒值礬匆碳銘諷被韋凋份燥橙倫咆慚冪翱頹chap2：計算機安全策略chap2：計算機安全策略7/23/202238訪問控制策略自主訪問控制 (Discretionary Access Control Policy，DAC)強制訪問控制 (Mandatory Access Control Policy，MAC)摳橡森傘錐汪悶頭頗超甸逃賺耕略秀怕視忱瓣輔鏈艷脆細恥冠黑庸蟻贓派chap2：計算機安全策略chap2：計算機安全

25、策略7/23/202239自主訪問控制策略自主性：它允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。一般來說，自主訪問控制策略是基于系統(tǒng)內用戶以及訪問授權或者客體的訪問屬性來決定該用戶是否有相應的權限訪問該客體。也可能是基于要訪問的信息的內容或是基于用戶在發(fā)出對信息訪問時的相應請求所充當的角色來進行訪問控制的。粒漿統(tǒng)兜炯豫較死霸反鹵瞞償深亂矣擰戊件兆瞅胡說磺埔旅每墜迫貶屏物chap2：計算機安全策略chap2：計算機安全策略7/23/202240實際的計算機系統(tǒng)中，自主訪問控制策略由一個三元組 (S，O，A)表示，其中S表示主體，O表示客體，A表示訪問模式。當用戶申

26、請以某種方式訪問某一個客體時，系統(tǒng)“引用監(jiān)控器” 就根據系統(tǒng)自主訪問控制策略來檢查主、客體及其相應的屬性或被用來實現自主訪問控制的其他屬性。如果申請的訪問屬性與系統(tǒng)內所指定的授權相同，則授予該主體所申請的訪問許可權，否則則拒絕該用戶對此信息的訪問。聊目汪埃榮簇友跪味葫斃駁畢輥指扮詞目鐵樞氖誤概莖繁岳稠削技環(huán)澀陳chap2：計算機安全策略chap2：計算機安全策略7/23/202241自主訪問控制策略的優(yōu)點能夠提供比強制訪問控制策略更為精細的訪問控制粒度。它能夠將所設的訪問控制策略細化到具體的某個人。相對于強制訪問控制策略中的訪問模式只能是“讀”和“寫”兩種而言，自主訪問控制策略“自主”的優(yōu)點還

27、表現在它的訪問模式的設定非常靈活。例如，我們可以將它設為“每隔一周的周五可以讀此文件”或“只有讀完文件1后才能讀此文件”等等。自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣的操作系統(tǒng)和應用程序，因而使得它在各種情況下得到大量的應用。悄綠遵俄曝鄰偽拜闖剃結示壽叭適芭酒活增不豹蝸勘懂晦此瀾濱貪釁藻冬chap2：計算機安全策略chap2：計算機安全策略7/23/202242自主訪問控制策略的缺點自主訪問控制策略中危害最大的是它不能防范“特洛伊木馬” 或某些形式的“惡意程序”。例如，如果某程序中隱藏了“特洛伊木馬”，此“特洛伊木馬”一經用戶執(zhí)行，即可將所有屬于他的并且只對他的文件在某一目錄下生成

28、一份拷貝；與此同時，還將這份拷貝設為系統(tǒng)中所有其他用戶均可讀。如此一來，這些原本屬于該用戶的、并且只能他自己讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機制就形同虛設。為解決此類問題，在系統(tǒng)內實現自主訪問控制的同時，利用強制訪問控制策略加強系統(tǒng)的安全性是必要的。匹孤硬檀等味園脹榴怠賈枝九磋崔考轍綻枕邯掙肌旗滓估芝券曉巢滋鋤次chap2：計算機安全策略chap2：計算機安全策略7/23/202243強制訪問控制策略在強制訪問控制機制下，系統(tǒng)內的每一個用戶或主體根據他對敏感性客體的訪問許可級別被賦予一個訪問標簽；同樣地，系統(tǒng)內的每一個客體也被賦予一敏感性標簽以反映該信息的敏感性級別

29、。系統(tǒng)內的“引用監(jiān)視器”通過比較主、客體相應的標簽來決定是否授予一個主體對客體的訪問請求。 所謂“強制”，就是安全屬性由系統(tǒng)管理員人為設置，或由操作系統(tǒng)自動地按照嚴格的安全策略與規(guī)則進行設置，用戶和他們的進程不能修改這些屬性。碧還官炮扦踩蝴惱澇砰死遂銀虹驗褒項蜘佩杰下輪襯瞳巳騁覽銹甕蘭疥項chap2：計算機安全策略chap2：計算機安全策略7/23/202244 強制訪問控制的實質是對系統(tǒng)當中所有的客體和所有的主體分配敏感性標簽（sensitivity label），用戶的敏感性標簽指定了該用戶的敏感等級或信任等級，也稱為安全許可（clearance）；而文件的敏感標簽說明了訪問該文件的用戶必

30、須具備的信任等級。在大多系統(tǒng)內(例如單域系統(tǒng)，即一進程只擁有一個域)，主體只有一個訪問標簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個進程擁有多個域)，一個主體可能有多個訪問標簽(每一個域的進程擁有一個標簽，分別代表著不同的含義)。癌扇灼編鉻志蠅濤樊睬宋撲昂譏跡虎擒訖涂垂科佳疚休西闖棠狄瘧厘除境chap2：計算機安全策略chap2：計算機安全策略7/23/202245強制訪問控制策略既可以用來防止對信息的非授權的篡改，又可以防止未授權的信息泄露。在一個特定的強制訪問控制策略中，標簽可以以不同的形式來實現信息的完整性和機密性。例如在國防部門，標簽可能是“秘密”、“機密”、“絕密”等等；而在一個企業(yè)內，

31、標簽很可能是“公共信息”、“私有信息”(為保證信息的機密性)，或是“技術信息”、“管理信息”(為保證信息的完整性)；另外，它還可以表示不同的部門分工，如“財務部”、“人事部”、“技術部”等等，每個部門的人只能訪問同一部門的信息。鰓透奇萬絆盎筏秤鑼黃詐淮茫林云肚鮑鄖沃嘗販鄂攫叫瞅呵他貉視斡話折chap2：計算機安全策略chap2：計算機安全策略7/23/202246在強制訪問控制策略中，其訪問三元組(S，O，A)與自主訪問控制策略相同。但此三元組內的訪問模式A與自主訪問控制策略中的訪問模式有所不同。后者可以有非常靈活的形式，而前者只有兩種，即“讀”和“寫”。在不同的情況下，其訪問控制策略在形式上

32、有可能表現不同：例如在有些情況下(如保證信息的機密性)，主體對客體要想擁有讀權限，當且僅當主體的訪問標簽“高于”客體的敏感性標簽；而在另外一些情況下(如保證信息的完整性)可能正好相反，即主體要想讀訪問客體，其完整性標簽要“低于”客體的完整性標簽。少恭脆蕭腔糕云艷所氓電桐啞蔚杏蹋輝鴻群殼撐釁沃槍霜蚜縮孽盈稿災腸chap2：計算機安全策略chap2：計算機安全策略7/23/202247強制訪問控制策略的特性強制訪問控制策略最顯著的特征是其“全局性”(Global)和“永久性”(Persistent)?！叭中浴钡暮x是指對特定的信息，無論它處于何地，其敏感性級別相同而“永久性”的含義則是指對特定的

33、信息，無論在何時其敏感性程序相同換句話說，在強制訪問控制策略中，無論何時何地，主、客體的標簽是不會改變的。這一特征在多級安全體系統(tǒng)中稱為“寧靜性原則”(tranquility)。撇濫膽比僻宙湛交舷陪四九甭鈾鞭醚艱閻抖促采腺砧終軒杖泵靜眩誡肛決chap2：計算機安全策略chap2：計算機安全策略7/23/202248強制訪問控制策略的特性對于一個具體的訪問控制策略而言，如果它具有以上兩個特征（全局性、永久性），那么其標簽的集合在數學上必會形成“偏序關系”(partial order)鞘斂瞄粗虧曬晴祿攬瑟臺螟窟彤涌勞豺跋介償崖鮑瞳遷皮礦趾沸窒享秉帥chap2：計算機安全策略chap2：計算機安全策

34、略7/23/202249偏序關系由于訪問標簽的集合具有偏序的關系，因此其集合內的元素之間的比較可以用“支配”關系來描述，在數學上將這種關系以“”來表示：對兩個符合“偏序關系”的元素x和y來說，它們之間只存在三種關系，即x支配y(寫作xy)，y支配x(寫作yx)，x與y無關(x y且y x)，并且它們在數學上具有三個基本的特征：自反性 (reflexivity)反對稱性 (antisymmetry)傳遞性 (transitivity)謀鎬望舟鶴郝泵富廁豈找年搜蓬贅榜他欽澤舉寵讓幫侖謊湍理疊嗜貝鐮升chap2：計算機安全策略chap2：計算機安全策略7/23/202250上述三種基本的特征，用“偏

35、序關系”來表示如下(假設有三個符合上述三種基本的特征的元素x 、y和 z)：自反性(reflexivity)：反對稱性(antisymmetry)：傳遞性(transitivity)：如果在訪問控制策略中，訪問標簽集合中元素間的關系與上述三種特征之一不符，則強制訪問策略的兩大特征“全局性”和“永久性”必有一個要遭到破壞，從而使得該訪問控制策略不能從根本上防備“特洛伊木馬”或惡意程序的攻擊。迫獅限砍畸習援巷鏟盤跑硫胸游詢兒竄胸賭熊滌呈秉逞紗斷潛饅朱翰熙井chap2：計算機安全策略chap2：計算機安全策略7/23/202251自反性被破壞示例考慮在一個訪問控制策略中，主、客體的訪問標簽分別是“敏

36、感”和“公開”中的一個，并且指定除了周末外，系統(tǒng)內的“公開”的主體可能訪問“公開”的客體，這就造成了同一訪問級別的標簽不能總是支配其本身，即 ，這與“偏序關系”中的“自反性原則”相違背，使得強制訪問控制策略中的“永久性”特征遭到破壞； 巷埠講梳吊燼擰瘍哪衍縱均敷嚷篡臃幅沙灶匪磐鋸淹奎智伺插但毛程薔菩chap2：計算機安全策略chap2：計算機安全策略7/23/202252反對稱性原則被破壞示例如果訪問控制策略指定“公開”的主體可在每周末訪問“敏感”客體，則訪問標簽“敏感”在周末前支配標簽“公開”；而在周末，訪問標簽“公開”支配標簽“敏感”，但這兩個標簽并不相等，即 并且x1y1，但是有 和 ，

37、這就違反了“反對稱性”原則，同樣造成了強制訪問控制策略中“永久性”特征的破壞。癌匈據鍺紡騁嫁斥冪褲障端杏天彎擁擇淑孰壤隆豐哨酗芭柱擇樸月項宅脹chap2：計算機安全策略chap2：計算機安全策略7/23/202253傳遞性原則被破壞示例類似地，如果在一個訪問控制策略中，除了使用標簽“敏感”和標簽“公開”外，還使用了標簽“私有”，如果“私有”主體可以訪問“敏感”客體，同時“敏感”主體可以訪問“公開”客體，但是如果系統(tǒng)內存在有某些“公開”客體不能被“私有”主體訪問，即 ，但 ，則違反了“傳遞性”原則，從而造成了強制訪問控制策略的“全局性”的破壞。皿商拙便唉鍋嘉脅腕俠矽互畫芽阻懶蹭瘋拙厭竟則容股炮償

38、節(jié)陶親佛你痰chap2：計算機安全策略chap2：計算機安全策略7/23/202254兩種訪問控制策略的關系對于訪問控制策略而言，要么是“強制的”，要么是“自主的”，二者之間沒有相交的部分。如上所述的訪問控制策略使用的主、客體訪問標簽由于不滿足“偏序”關系，違背了強制訪問控制策略的兩大主要特征之一，因此不屬于強制訪問控制策略，但它們卻是屬于自主訪問控制策略。屬迂滬菲豹治吧凜云夏搪笆棕非二憤柒稿屋低棱胺煞暖滌摘岳慕由沁雨工chap2：計算機安全策略chap2：計算機安全策略7/23/202255兩種訪問控制策略的關系進一步而言，一個訪問控制策略是強制訪問控制策略，當且僅當它的訪問標簽集合中的元素滿