【正文】 1 第三講 安全策略與安全模型 一 數(shù)學(xué)基礎(chǔ) 元素 子集 a∈ A H?S 2A =P(A) ={H ?A} A B={(a,b)| a∈ A ,b ∈ B} A上的關(guān)系的性質(zhì) 設(shè) ?是 A上的關(guān)系 ,?a ∈ A 均 a?a自反 設(shè) ?是 A上的關(guān)系 ,?a,b ∈ A若 a?b,則 a?b與 b?a不能同時出現(xiàn) 反對稱 設(shè) ?是 A上的關(guān)系 ,?a,b,c ∈ A若 a?b, b?c則一定有 a?c 可傳遞的 ?2 偏序關(guān)系 ：集合 A 上的關(guān)系 ρ ， 如果它是自反、反對稱且 可傳遞的，則稱 ρ為 A 上的一個 偏序關(guān)系 。 “偏序關(guān)系”也叫做“ 偏序 ”，用“ ≤”符號表示。 可比 ：設(shè) ≤是集合 A 上的偏序，對于 a、 b∈ A，若有 a ≤ b 或 b ≤ a，則稱 a 和 b 是 可比的 ，否則稱 a 和 b 是 不可比的 3 全序 ：一個集合 A 上的任意兩個元素之間都滿足偏序關(guān)系， 則稱該偏序?yàn)? A 上的一個 全序 良序 ：一個集合 A 上的偏序，若對于 A 的每一個非空子集 S ? A， 在 S 中存在一個元素 as（稱為 S 的最小元素），使得對于 所有的 s ∈ S，有 as ≤s，則稱它為 A上的一個 良序 4 命題 :若 A?！?和 B?！?是兩個偏序集 ,在笛卡爾積 A B上定義關(guān)系 ≤,對任意 (a1,b1), (a2,b2) ∈ A B 當(dāng)且僅當(dāng) a1≤1a2, b1≤2b2時 ,有 (a1,b1) ≤(a2,b2) 可以證明 :A B?！芤彩且粋€偏序集 5 因?yàn)?A。≤ B?！?為偏序關(guān)系，所以 ?a1 ∈ A 有 a 1≤1 a1， ?b1 ∈ B 有 b 1≤1 b1 所以 （ a1,b1) ≤(a1,b1) 自反 由（ a1,b1) ≤(a2,b2) （ a2,b2) ≤(a1,b1)，可得 a1≤1a2, a2≤1a1 可得 a1＝ a2；同理有 b1＝ b2， 此即（ a2,b2) =(a1,b1) 反對稱 又由（ a1,b1) ≤(a2,b2) （ a2,b2) ≤(a3,b3)，此即 a1≤1a2, a2≤1a3 可得 a1≤1a3 同理： b1≤2b2, b2≤2b3 可得 b1≤2b3 最后有（ a1,b1) ≤(a3,b3) 傳遞性 ?6 ?亦即 (i)?(a,b)∈ A B ,均有 (a,b) ≤(a,b) (ii)?(a1,b1),(a2,b2),∈ A B,若 (a1,b1)? (a2,b2), 則 (a1,b1) ≤(a2,b2) 與 (a2,b2) ≤(a1,b1) 不能同時出現(xiàn) (iii)? (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A B,若 (a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 則一定有 (a1,b1) ≤(a3,b3) 設(shè) ?是 A上的關(guān)系 ,?a ∈A 均 a?a 自反 設(shè) ?是 A上的關(guān)系 ,?a,b ∈A 若 a?b,則 a?b與 b?a不能同時出現(xiàn) 反對稱 設(shè) ?是 A上的關(guān)系 ,?a,b,c ∈A 若 a?b, b?c則一定有 a?c 可傳遞的 7 二 安全策略 計(jì)算機(jī) 系統(tǒng)的安全策略是為了描述系統(tǒng)的安全需求而制定的 對用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則 。這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問 ,是實(shí)施訪問控制的依據(jù)。 8 ①軍事安全策略中的強(qiáng)制訪問控制策略 : 系統(tǒng)中每個主體和客體都分配一個安全標(biāo)準(zhǔn) (安全級 ) 客體的安全級表示客體所包含的信息的敏感程度 主體的安全級表示主體在系統(tǒng)中受信任的程度 9 ② 安全標(biāo)準(zhǔn)由兩部分組成 (密級 ,部門 (或類別 )集 ) eg:密級分為 4個級別 :一般 ?秘密 ?機(jī)密 ?絕密 (U?C ?S ?TS) 令 A={U,C,S,TS},則 A?！苁?A上的全序 ,構(gòu)成偏序集A。≤ 例 :令 B={科技處 ,干部處 ,生產(chǎn)處 ,情報(bào)處 }, PB= 2B={H|H ? B} ,顯然 PB。 ?構(gòu)成一個 偏序集 class(O1) =(C,{科技處 }) class(u) =(S,{科技處 ,干部處 }) class(O2) =(TS,{科技處 ,情報(bào)處 ,干部處 }) class(O3)=(C,{情報(bào)處 }) 10 在實(shí)施多級安全策略的系統(tǒng)中 ,系統(tǒng)為每一個主體和每一個客體分配一個安全級。 (密級 ,部門 (或類別 )集 )或 (密級 ,{部門或類別 }) 若某主體具有訪問密級 a的能力 ,則對任意 b≤a,該主體也 具有訪問 b的能力 若某主體具有訪問密級 a的能力 ,則對任意 b≥a,該主體 不具有訪問 b的能力 11 (密級 ,{部門或類別或范疇 })理解： 對于客體來說 ， {部門或類別或范疇 }可定義為該客體所包含的信息所涉及的范圍 部門或所具有的類別屬性 對于主體來說 ， {部門或類別或范疇 }可定義為該主體能訪問的信息所涉及的范圍或部門 例： 2022年財(cái)務(wù)報(bào)表 （ S， {財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組 }) 12 例： 2022年財(cái)務(wù)報(bào)表 （ S， {財(cái)務(wù)處，總裁辦公室，黨辦，財(cái)經(jīng)小組 }) 肯定不會寫成： （ S， {財(cái)務(wù)處，三車間，大門 }) ?例：車間主任 （ C， {三車間，倉庫 }) 肯定不會寫成： （ S， {財(cái)務(wù)處，黨辦，財(cái)經(jīng)小組 }) 13 ?主體、客體安全級定義以后，就可以通過比較主客體安全級，來決定主體對客體的訪問以及什么樣的訪問。 前面講過，在實(shí)施多級安全策略的系統(tǒng)中 ,系統(tǒng)為每一個主體和每一個客體分配一個安全級。若某主體具有訪問密級 a的能力 ,則對任意 b≤a ,該主體也具有訪問 b的能力 。若某主體具有訪問密級 a的能力 ,則對任意 b≥a ,該主體 不具有訪問 b的能力 。 那么， b≤a 或 b≥a 如何進(jìn)行比較呢？ 14 定義 A={U,C,S,TS} B= {部門或類別或范疇 } 例： B= {科技處 ,干部處 ,生產(chǎn)處 ,情報(bào)處 } PB= 2B={H|H ? B} 在 A PB上定義一個二元關(guān)系“ ≤”： A PB={(a,H)|a ∈ A 且 H ? PB} ? (a1,H1), (a2,H2) ∈ A PB ,當(dāng)且僅當(dāng) a1 ≤ a2,H1 ?H2時 ,有 (a1,H1) ≤(a2,H2) 可以證明 : ≤ 是 A PB上的一個偏序關(guān)系 即 A PB?！?構(gòu)成一個偏序集。 15 可利用命題 :若 A?！?和 B?！?是兩個偏序集 ,在笛卡爾積 A B上定義關(guān)系 ≤,對任意(a1,b1), (a2,b2) ∈ A B 當(dāng)且僅當(dāng) a1≤1a2, b1≤2b2時 ,有 (a1,b1) ≤(a2,b2) 可以證明 :A B。≤也是一個偏序集。 證明 : ≤是 A PB上的一個偏序關(guān)系 即 A PB。≤構(gòu)成一個偏序集。 16 ? 在 A={U,C,S,TS}上定義 A。 ≤,由于 U?C ?S ?TS,所以 ≤是一個全序 ,顯然構(gòu)成一個偏序集 ? 在 PB上定義 PB。?,容易看出 ,它也是一個偏序 ? B= {科技處 ,干部處 ,生產(chǎn)處 ,情報(bào)處 } ? 再在 A PB上定義一個二元關(guān)系“ ≤”： ? A PB={(a,H)|a ∈ A 且 H ? PB} ? ? (a1,H1), (a2,H2) ∈ A PB ,當(dāng)且僅當(dāng) ? a1 ≤ a2,H1 ?H2時 ,有 (a1,H1) ≤(a2,H2) ? 根據(jù)上述命題 , A PB?！軜?gòu)成一個偏序集。 17 例 : class(O1) =(C,{科技處 }) class(u) =(S,{科技處 ,干部處 }) class(O2) =(TS,{科技處 ,情報(bào)處 ,干部處 }) class(O3)=(C,{情報(bào)處 }) O1 u O2 O3其安全級如何 ? 可以看出 :class(O1) =(C,{科技處 })≤ (S,{科技處 ,干部處 }) = class(u) class(u) = (S,{科技處 ,干部處 }) ≤ class(O2)= (TS,{科技處 ,情報(bào)處 ,干部處 }) class(u) 與 class(O3)不可比 18 ? 在一偏序集 L。≤中 , ? ? l1,12∈ L,若 l1≤12,則稱 12 支配 l1。 ? class(O1) ≤ class(u) ：主體 u的安全級支配客體O1的安全級 ? class(u) ≤class(O2）： 客體 O2的安全級支配主體u的安全級 ? class(u) 與 class(O3)不可比：主 體 u與客體 O3的安全級相互不可支配。 19 ③ 訪問控制策略 一個主體僅能讀安全級比自已安全級低或相等的客體 一個主體僅能寫安全級比自己高或相等的客體 即 “ 向下讀向上寫 ” ④安全級如何比較高低 (a1,H1) ?(a2,H2)當(dāng)且僅當(dāng) a1 ?a2, H1 ? H2 所以 u對 O1可讀 ,對 O2可寫 ,對 O3既不可讀也不可寫 20 ? “ 向下讀向上寫 ”安全策略執(zhí)行的結(jié)果是信息只能由低安全級的客體流向高安全級的客體，高安全級的客體的信息不允許流向低安全級的客體。 ? 若要使一個主體既能讀訪問客體，又能寫訪問這個客體，兩者的安全級必須相同。 21 多級安全策略適合 （ 保護(hù)信息的機(jī)密性） ： ? 軍事系統(tǒng) ? 政府及企業(yè)的辦公自動化系統(tǒng) ? 具有層次結(jié)構(gòu)的組織機(jī)構(gòu) 22 2商業(yè)安全策略 ①良性事務(wù) 用戶對數(shù)據(jù)的操縱不能任意進(jìn)行 ,而應(yīng)該按照可保證數(shù)據(jù) 完整性 的受控方式進(jìn)行 ,即數(shù)據(jù)應(yīng)該用規(guī)定的程序 ,按照定義好的約束進(jìn)行處理。 例 : 保存記錄 (包括修改數(shù)據(jù)之前修改數(shù)據(jù)之后的記錄 )，事后被審計(jì) 雙入口規(guī)則：數(shù)據(jù)修改部分之間保持平衡 內(nèi)部數(shù)據(jù)的一致性 特別地，簽發(fā)一張支票與銀行帳號戶頭上的金額變動必須平衡 ——可由一個獨(dú)立測試帳簿是否平衡的程序來檢查 23 ② 職責(zé)分散 把一個操作分成幾個子操作 ,不同的子操作由不同的用戶執(zhí)行 ,使得任何一個職員都不具有完成該任務(wù)的所有權(quán)限 ,盡量減少出現(xiàn)欺詐和錯誤的機(jī)會。 eg: 購買訂單 ——記錄到貨 ——記錄貨發(fā)票 ——付款 美入境簽證 24 ? 職責(zé)分散的最基本規(guī)則是，被允許創(chuàng)建或驗(yàn)證良性事務(wù)的人，不能允許他去執(zhí)行該良性事務(wù)。 ? 【 至少需要兩個人的參與才能進(jìn)行 】【 職員不暗中勾結(jié)，職責(zé)分散有效 】【 隨機(jī)選取一組職員來執(zhí)行一組操作，減少合謀機(jī)會 】 25 ? 良性事務(wù)與職責(zé)分散是商業(yè)數(shù)據(jù)完整性保護(hù)的基本原則 ? 專門機(jī)制 被商業(yè)數(shù)據(jù)處理計(jì)算機(jī)系統(tǒng)用來實(shí)施良性事務(wù)與職責(zé)分散規(guī)則。 ? （ a）保證數(shù)據(jù)被良性事務(wù)處理 ? 數(shù)據(jù)只能由一組指定的程序來操縱