【文章內容簡介】 性多級安全模型，主要應用于軍事系統(tǒng)。 ? BellLa Padula模型是處理多級安全信息系統(tǒng)的設計基礎，客體在處理絕密級數(shù)據和秘密級數(shù)據時，要防止處理絕密級數(shù)據的程序把信息泄露給處理秘密級數(shù)據的程序。 ? BLP模型的出發(fā)點是維護系統(tǒng)的保密性，有效防止信息泄露。 1. BLP Model ? BLP模型的安全策略包括： ? 強制訪問控制中的安全特性要求對給定安全級別的主體，僅被允許對同一安全級別和較低安全級別上的客體進行“讀”；對給定安全級別上的主體，僅被允許向相同安全級別或較高安全級別上的客體進行“寫”。 ? 任意訪問控制允許用戶自行定義是否讓個人或組織存取數(shù)據。 ? BellLa Padula模型用偏序關系可以表示為： ? rd，當且僅當 SC（ s） ≥ SC（ o），允許讀操作 ? wu，當且僅當 SC（ s） ≤ SC（ o），允許寫操作。 1. BLP Model ? BLP模型建立的訪問控制原則 ? 無向上讀 ? 無向下寫 ? BLP模型有效防止低級用戶和進程訪問安全級別比他們高的信息資源 。 ? 安全級別高的用戶和進程也不能向比他安全級別低的用戶和進程寫入數(shù)據 。 ? BLP模型 “ 只能向下讀 、 向上寫 ” 的規(guī)則忽略了完整性的重要安全指標 ， 使非法 、 越權篡改成為可能 。 1. BLP Model ? BLP模型定義了安全性屬性 ， 即以一組規(guī)則表示什么是一個安全的系統(tǒng) ， 盡管這種基于規(guī)則的模型比較容易實現(xiàn) ， 但是它不能更一般地以語義的形式闡明安全性的含義 ， 因此 ， 這種模型不能解釋主客體框架以外的安全性問題 。 ? 例如 ， 在一種遠程讀的情況下 ， 一個高安全級主體向一個低安全級客體發(fā)出遠程讀請求 ， 這種分布式讀請求可以被看作是從高安全級向低安全級的一個消息傳遞 ， 也就是 “ 向下寫 ” 。 ? 另一個例子是如何處理可信主體的問題 ， 可信主體可以是管理員或是提供關鍵服務的進程 ， 像設備驅動程序和存儲管理功能模塊 ， 這些可信主體若不違背 BLP模型的規(guī)則就不能正常執(zhí)行它們的任務 ， 而 BLP模型對這些可信主體可能引起的泄露危機沒有任何處理和避免的方法 。 2. Biba Model ? BLP模型的問題 ? BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷。 ? BLP模型沒有采取有效的措施制來約對信息的非授權修改，因此使非法、越權篡改成為可能。 ? Biba模型模仿 BLP模型的信息保密性級別，定義了信息完整性級別，在信息流向的定義方面不允許從級別低的進程到級別高的進程，也就是說用戶只能向比自己安全級別低的客體寫入信息，從而保證非法用戶創(chuàng)建安全級別高的客體信息，從而保證越權、篡改等行為的產生。 2. Biba Model ? Biba模型 ? 禁止向上“寫”，這樣使得完整性級別高的文件是一定由完整性高的進程所產生的，從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋。 ? 沒有向下“讀”。 ? 用偏序關系可以表示為： ? ru，當且僅當 SC（ s） ≤ SC（ o），允許讀操作。 ? wd，當且僅當 SC（ s） ≥ SC（ o），允許寫操作。 2. Biba Model ? Biba模型是和 BLP模型的相對立的模型， Biba模型改正了被BLP模型所忽略的信息完整性問題，但在一定程度上卻忽視了保密性。 ? MAC和 DAC控制為每個用戶賦予對客體的訪問權限規(guī)則集，在這一過程中經常將具有相同職能的用戶聚為組，然后再為每個組分配許可權，用戶自主地把自己所擁有的客體的訪問權限授予其它用戶。 ? 但是如果企業(yè)的組織結構或是系統(tǒng)的安全需求處于變化的過程中時，那么就需要進行大量繁瑣的授權變動，系統(tǒng)管理員的工作將變得非常繁重，更主要的是容易發(fā)生錯誤造成一些意想不到的安全漏洞。 ? 考慮到上述因素，必須引入新的模型加以解決。 ? 基于角色的訪問控制 （ Rolebased Access Control ，RBAC） 基本思想是要求確定每一個用戶在系統(tǒng)中扮演的角色 。 “ 角色 ” 就是與一個特定工作行為有關的一套行為與責任 ， 用戶通過飾演不同的角色獲得角色所擁有的訪問許可權 。 角色訪問控制是根據系統(tǒng)中的行為規(guī)定了它們對信息的訪問 ， 角色控制策略對商業(yè)和政府組織來說都是一種行之有效的方法 。 ? RBAC從控制主體的角度出發(fā) ， 根據管理中相對穩(wěn)定的職權和責任來劃分角色 ， 將訪問權限與角色相聯(lián)系 ， 這點與傳統(tǒng)的 MAC和 DAC將權限直接授予用戶的方式不同；通過給用戶分配合適的角色 ， 讓用戶與訪問權限相聯(lián)系 。 角色成為訪問控制中訪問主體和客體之間的一座橋梁 。 (RBAC) (RBAC) ? 角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。 ? 角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權定義和分配角色。用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對應的權限，從而訪問相應的客體。 ? RBAC是實施面向企業(yè)的安全策略的一種有效的訪問控制方式 ， 其具有靈活性 、 方便性和安全性的特點 ， 目前在在大型數(shù)據庫系統(tǒng)的權限管理中得到普遍應用 。 基于任務的訪問控制 (TBAC) ? 基于任務的訪問控制 （ Taskbased Access Control） 是從應用和企業(yè)層角度來解決安全問題 ， 以面向任務的觀點 ， 從任務（ 活動 ） 的角度來建立安全模型和實現(xiàn)安全機制 ， 在任務處理的過程中提供動態(tài)實時的安全管理 。 ? TBAC模型由工作流 、 授權結構體 、 受托人集 、 許可集四部分組成： ? 工作流：一個工作流由多個任務構成。 ? 授權結構體：是任務在計算機中進行控制的一個實例。 ? 受托人集：是可被授予執(zhí)行授權步的用戶的集合。授權步（ Authorization Step)表示一個原始授權處理步，是指在一個工作流程中對處理對象的一次處理過程。 ? 許可集：是受托集的成員被授予授權步時擁有的訪問許可。 基于任務的訪問控制 (TBAC) ? 在 TBAC中 ， 對象的訪問權限控制并不是靜止不變的 ， 而是隨著執(zhí)行任務的上下文環(huán)境發(fā)生變化 。 ? 在工作流環(huán)境中 ， 數(shù)據的處理與上一次的處理相關聯(lián) ， 相應的訪問控制也如此 ， 因而 TBAC是一種上下文相關的訪問控制模型 。 ? TBAC不僅能對不同工作流實行不同的訪問控制策略 ， 而且還能對同一工作流的不同任務實例實行不同的訪問控制策略 。 ? TBAC是基于任務的 。 TBAC從工作流中的任務角度建模 ， 可以依據任務和任務狀態(tài)的不同 ， 對權限進行動態(tài)管理 。 ? TBAC非常適合分布式計算和多點訪問控制的信息處理控制以及在工作流、分布式處理和事務管理系統(tǒng)中的決策制定。 ? DAC或 MAC模型的主要任務都是對系統(tǒng)中的訪問主體和客體進行一維的權限管理 ， 當用戶數(shù)量多 、 處理的信息數(shù)據量巨大時 ， 用戶權限的管理任務將變得十分繁重 ， 并且用戶權限難以維護 ， 這就降低了系統(tǒng)的安全性和可靠性 。 ? 對于海量的數(shù)據和差異較大的數(shù)據類型 ， 需要用專門的系統(tǒng)和專門的人員加以處理 ， 要是采用 RBAC模型的話 ， 安全管理員除了維護用戶和角色的關聯(lián)關系外 ，還需要將龐大的信息資源訪問權限賦予有限個角色 。 基于對象的訪問控制 (OBAC) 基于對象的訪問控制 (OBAC) ? 當信息資源的種類增加或減少時，安全管理員必須更新所有角色的訪問權限設置。而且，如果客體的屬性發(fā)生變化，同時需要將客體不同屬性的數(shù)據分配給不同的訪問主體處理時，安全管理員將不得不增加新的角色，并且還必須更新原來所有角色的訪問權限設置以及訪問主體的角色分配設置，這樣的訪問控制需求變化往往是不可預知的，造成訪問控制管理的難度和工作量巨大。 ? 在這種情況下，有必要引入基于對象的訪問控制模型。 基于對象的訪問控制 (OBAC) ? 基于對象的訪問控制 OBAC(Objectbased Access Control) ? 控制策略和控制規(guī)則是 OBAC訪問控制系統(tǒng)的核心所在 ， 在基于受控對象的訪問控制模型中 ， 將訪問控制列表與受控對象或受控對象的屬性相關聯(lián) ， 并將訪問控制選項設計成為用戶 、組或角色及其對應權限的集合 。 ? 允許對策略和規(guī)則進行重用 、 繼承和派生操作 。 ? 不僅可以對受控對象本身進行訪問控制 ， 受控對象的屬性也可以進行訪問控制 ， 而且派生對象可以繼承父對象的訪問控制設置 ， 這對于信息量巨大 、 信息內容更新變化頻繁的管理信息系統(tǒng)非常有益 ， 可以減輕由于信息資源的派生 、 演化和重組等帶來的分配 、 設定角色權限等的工作量 。 基于對象的訪問控制 (OBAC) ? 從信息系統(tǒng)的數(shù)據差異變化和用戶需求出發(fā)，很好地解決了信息數(shù)據量大、數(shù)據種類繁多、數(shù)據更新變化頻繁的大型管理信息系統(tǒng)的安全管理。 ? OBAC從受控對象的角度出發(fā)，將訪問主體的訪問權限直接與受控對象相關聯(lián)。 ? 定義對象的訪問控制列表，增、刪、修改訪問控制項易于操作。 ? 當受控對象的屬性發(fā)生改變，或受控對象發(fā)生繼承和派生時，無須更新訪問主體的權限，只要修改受控對象的相應訪問控制項即可，減少了訪問主體的權限管理，降低了授權數(shù)據管理的復雜性。 常用操作系統(tǒng)的安全問題 Windows 系統(tǒng)的安全 1． Windows 2021系統(tǒng)安全特性 ? Windows2021有如下特性：數(shù)據安全性、企業(yè)間通信的安全性、企業(yè)和 Inter的單點安全登錄、易用和良好擴展性的安全管理。 （ 1） 數(shù)據安全性 ? Windows 2021所提供的保證數(shù)據保密性和完整性的特性，主要表現(xiàn)在以下 3個方面： ? 用戶登錄的安全性：從用戶登錄網絡開始，對數(shù)據的保密性和完整性的保護就已經開始了。 ? 網絡數(shù)據的保護：包括在本地網絡上的數(shù)據或穿越網絡的數(shù)據。 ? 存儲數(shù)據的保護：可以采用數(shù)字簽名來簽署軟件產品（防范運行惡意的軟件）或加密文件系統(tǒng)。 1． Windows 2021系統(tǒng)安全特性 （ 2） 企業(yè)間通信的安全性 ? Windows 2021為不同企業(yè)之間的通信提供了多種安全協(xié)議和用戶模式的內置集成支持。它的實現(xiàn)可以從以下 3種方式中選擇： ? 在目錄服務中創(chuàng)建專門為外部企業(yè)開設的用戶帳號。通過Windows 2021的活動目錄，可以設置組織單元、授權或虛擬專用網等方式，并對它們進行管理。 ? 建立域之間的信任關系。用戶可以在