【正文】 trusted_d。 只有一個二進制文件可以允許在 login_d域中，即 dtelogin。 入口文件：各種 shell程序 (/bin/{ash,bash,csh,sh,tcsh}) 兩種方式可以進入到域 user_d： ①注冊時，若用戶提出普通用戶角色要求并認證通過， login程序?qū)⒄{(diào)用初始域中與普通用戶角色相關(guān)的用戶 shell(域 login_d特權(quán) )，從而按所提出的要求轉(zhuǎn)化到域 user_d； ②若管理域 admin_d中的管理員，提出轉(zhuǎn)化到用戶域 user_d的請求，并調(diào)用域 user_d的入口 shell程序，則按要求從 admin_d轉(zhuǎn)化到user_d。 信息安全系 張柱 講師 2022年 2月 8日星期二 49 第 4章 安全需求與安全策略 (6課時 ) 域的劃分 ④ 域 user_d里的進程可以修改或創(chuàng)建型為 writable_t(創(chuàng)建時明確指定型 )的文件。 ② system_d域中的操作員不能做一些重要的系統(tǒng)修改，但能使修改生效。 ②安全管理員可以創(chuàng)建和修改 DTE策略文件、多級安全策略文件和密碼文件 (cipher_t)。 信息安全系 張柱 講師 2022年 2月 8日星期二 55 第 4章 安全需求與安全策略 (6課時 ) 域的劃分 work_appli_d域限制其中的進程修改系統(tǒng)重要文件，即使獲得特權(quán)也不例外。 信息安全系 張柱 講師 2022年 2月 8日星期二 57 第 4章 安全需求與安全策略 (6課時 ) 型的劃分 系統(tǒng)配置文件。 assign r secpolicy_t /dte。 ——基型 文件系統(tǒng)根目錄下 (包括根目錄 )的所有為經(jīng)其他賦型語句賦型的目錄或文件，又稱缺省型。 域 work_appli_d不再進入到其他域。當(dāng) admin_d的某個進程調(diào)用域 work_appli_d的入口文件(ftp,tel,等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序 )，就自動轉(zhuǎn)化到work_appli_d域中；調(diào)用 login_d域的入口文件，就可以自動轉(zhuǎn)化到 login_d中；提出請求轉(zhuǎn)化到域 trusted_d并執(zhí)行域trusted_d的入口程序 (/sbin/fsck、 /usr/sbin/syslogd等 )，則進入trusted_d。當(dāng)system_d中某個進程調(diào)用域 work_appli_d的入口文件(ftp,tel,等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序 )，就自動轉(zhuǎn)化到work_appli_d域中；調(diào)用 login_d域的入口文件，就可以自動轉(zhuǎn)化到 login_d中；提出請求轉(zhuǎn)化到域 daemon_d并執(zhí)行域daemon_d的入口程序 /sbin/init，則進入 daemon_d。 user_t型賦值給 /home的所有文件，包括目錄本身。 注意：普通用戶角色和進入系統(tǒng)管理域 admin_d的管理用戶角色都可以使用特權(quán) (調(diào)用 /usr/bin/passwd)來修改自己的口令，而進入管理域 admin_d用戶角色則可以直接修改所有用戶口令。 信息安全系 張柱 講師 2022年 2月 8日星期二 44 第 4章 安全需求與安全策略 (6課時 ) 域的劃分 (login_d) 與 DTE login相關(guān)的域 入口文件： /usr/bin/dtelogin 當(dāng) daemon_d中的進程調(diào)用域 login_d的入口文件時，域 daemon_d自動轉(zhuǎn)化到域 login_d。其中 conf_t型包括 /etc下的所有文件；base_t包括系統(tǒng)根目錄下的所有未賦其它型的文件。 DTE策略文件由四個部分組成： ①列舉出所有的域和型； ②給出所有域的詳細定義； ③制定文件系統(tǒng)根及其缺省類型，還指定一個初始域。 ②設(shè)置文件的 utype。如果一個域不能以某種模式訪問某個型，則該域的進程不能以該模式訪問那個型的對象。 客體重用 定義：重新分配給某些主體的介質(zhì)包含有一個或多個客體，為安全地重新分配這些資源的目的，這些資源在重新分配給新主體時不能包含任何殘留信息。 一個良好的審計系統(tǒng)能夠選擇需要記錄的審計事件是必備的功能。 3)基于第三類信息的身份認證是依賴于用戶的生物學(xué)特征。通常，這類安全策略是為了將系統(tǒng)中的用戶與訪問控制策略中的主體聯(lián)系起來。 在強制訪問控制策略中，訪問三元組 (S,O,A)與自主訪問控制相同，但訪問方式 A只能取“讀”和“寫”。 一般來說，自主訪問控制策略是基于系統(tǒng)內(nèi)用戶加上訪問授權(quán) (如能力列表 CLs)或者客體的訪問屬性 (如 ACL)來決定該用戶是否具有相應(yīng)的權(quán)限訪問客體，也可以基于要訪問的信息內(nèi)容或是基于用戶在發(fā)出對信息訪問相應(yīng)請求時所充當(dāng)?shù)慕巧珌磉M行訪問控制的。 訪問控制屬性 所謂主體，就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進程。 例如， Linux窗口系統(tǒng) X11提供了一種對控制臺的訪問進行控制的語言。 信息安全系 張柱 講師 2022年 2月 8日星期二 17 第 4章 安全需求與安全策略 (6課時 ) 策略語言 起初，系統(tǒng)在開始于 daemon_d狀態(tài)，即 initial_domain=daemon_d。 信息安全系 張柱 講師 2022年 2月 8日星期二 15 第 4章 安全需求與安全策略 (6課時 ) 策略語言 普通用戶域也必須受到類似的約束。系統(tǒng)從 daemon_d域開始運行。程序使用下面的類和方法訪問本地文件 class file{ public file(String name)。 s是一個主體， x另一個主體或類， b是一個布爾表達式。 策略與實現(xiàn)無關(guān)，它描述對系統(tǒng)中實體或行為的約束。 定義 在計算機領(lǐng)域，安全系統(tǒng)的安全就是指該系統(tǒng)達到了當(dāng)初設(shè)計時所制定的安全策略的要求。安全策略為針對威脅而選擇和實行對策提供了框架。低級策略語言根據(jù)輸入或者調(diào)用選項來表達對系統(tǒng)中的程序約束。 訪問約束形式如下： deny(s op x) when b op指“ |”或者“ |→ ”。 信息安全系 張柱 講師 2022年 2月 8日星期二 9 第 4章 安全需求與安全策略 (6課時 ) 策略語言 假設(shè)策略規(guī)定下載程序不能訪問 Unix系統(tǒng)中的 passwd文件。 信息安全系 張柱 講師 2022年 2月 8日星期二 11 第 4章 安全需求與安全策略 (6課時 ) 策略語言 DTEL將 Unix系統(tǒng)分為四個相互隔離的主體域： ? user_d 普通用戶域 ? admin_d 管理員用戶域 ? login_d 兼容 DTEL認證過程的域 ? daemon_d 系統(tǒng)后臺守護進程的域 login_d域中的登錄程序控制 user_d和 admin_d之間的訪問。 說明： admin_d域中的主體只能創(chuàng)建在 generic_t型中的客體，但可以讀、寫、執(zhí)行和搜索任何客體，另外 admin_d域中的主體還能夠利用 sigtstp信號將 daemon_d域中執(zhí)行的進程掛起。 說明： login_d域中的主體不能執(zhí)行任何其他程序，登錄域同時也被授權(quán)更改用戶 ID的權(quán)限。 信息安全系 張柱 講師 2022年 2月 8日星期二 18 第 4章 安全需求與安全策略 (6課時 ) 策略語言 低級策略語言是一系列命令的輸入或參數(shù)設(shè)置，用了設(shè)置或檢查系統(tǒng)中的約束。 信息安全系 張柱 講師 2022年 2月 8日星期二 22 第 4章 安全需求與安全策略 (6課時 ) 訪問控制策略 在信息系統(tǒng)中與訪問控制策略相關(guān)的因素有三大類：主體、客體以及相應(yīng)的可用作訪問控制的主客體屬性。 信息安全系 張柱 講師 2022年 2月 8日星期二 26 第 4章 安全需求與安全策略 (6課時 ) 訪問控制策略 自主訪問控制策略 相對于強制訪問控制策略，自主訪問控制策略能夠提供一種更為精細的訪問控制粒度。 在強制訪問控制機制下，系統(tǒng)的每個用戶或主體被賦予一個訪問標(biāo)簽，以表示該主體對敏感客體的訪問許可級別；每個客體被賦予一個敏感性標(biāo)簽，用來表示該信息的敏感性級別；“引用監(jiān)視器”通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予主體對客體的訪問請求。 信息安全系 張柱 講師 2022年 2月 8日星期二 31 第 4章 安全需求與安全策略 (6課時 ) 訪問支持策略 訪問支持策略用來保障訪問控制策略的正確實施提供可靠的“支持”，所有這些策略統(tǒng)稱為訪問支持策略。 2)基于第二類信息身份認證，利用用戶所擁有的東西來作為對其身份的認證。 對于識別與鑒別機制相關(guān)事件的審計，審計記錄還應(yīng)包括請求源； 對于將客體導(dǎo)入用戶地址空間的操作和刪除可以的操作，審計記錄應(yīng)包括客體的名稱以及客體的安全級別。并且要求連續(xù)保護機制必須在計算機系統(tǒng)整個生命周期內(nèi)起作用。 DTE使域和每個正在運行的進程相關(guān)聯(lián)，型和每個對象關(guān)聯(lián)。