【文章內(nèi)容簡(jiǎn)介】 標(biāo)簽集合中的元素之間的關(guān)系于上述三種特征中的任何一種不符合 ,強(qiáng)制訪問(wèn)策略的兩大特征 ,即全局性和永久性必有一個(gè)要被破壞。 信息安全系 張柱 講師 2022年 2月 8日星期二 30 第 4章 安全需求與安全策略 (6課時(shí) ) 強(qiáng)制訪問(wèn)控制策略 綜上所述，若一個(gè)訪問(wèn)控制策略使用的主客體訪問(wèn)標(biāo)簽不滿足“偏序”關(guān)系，則此訪問(wèn)控制策略不能稱為強(qiáng)制訪問(wèn)控制策略，只能稱為自主訪問(wèn)控制策略。 強(qiáng)制訪問(wèn)控制策略和自主訪問(wèn)控制策略在功能上的最大區(qū)別在于是否能夠防備“特洛伊木馬”或“惡意”程序的攻擊。 若一個(gè)系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問(wèn)控制策略，則該系統(tǒng)內(nèi)的主、客體必有兩類不同的訪問(wèn)標(biāo)簽，每類標(biāo)簽于一個(gè)強(qiáng)制訪問(wèn)控制策略對(duì)應(yīng)。 信息安全系 張柱 講師 2022年 2月 8日星期二 31 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 訪問(wèn)支持策略用來(lái)保障訪問(wèn)控制策略的正確實(shí)施提供可靠的“支持”，所有這些策略統(tǒng)稱為訪問(wèn)支持策略。通常，這類安全策略是為了將系統(tǒng)中的用戶與訪問(wèn)控制策略中的主體聯(lián)系起來(lái)。 訪問(wèn)支持策略包含多個(gè)方面，以 TCSEC為例，它將系統(tǒng)的訪問(wèn)支持策略分為六類： ? 標(biāo)識(shí)與鑒別； ? 可記賬性； ? 確切保證； ? 連續(xù)保護(hù)； ? 客體重用； ? 隱蔽信道處理。 信息安全系 張柱 講師 2022年 2月 8日星期二 32 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 標(biāo)識(shí)與鑒別 TCSEC的標(biāo)識(shí)與鑒別策略要求以一個(gè)身份來(lái)標(biāo)識(shí)用戶，并且此身份必須經(jīng)過(guò)系統(tǒng)的認(rèn)證與鑒別。 可以用作身份認(rèn)證的信息主要有： ①“用戶所知道的信息” 用戶名 /口令機(jī)制； ②“用戶所擁有的信息” 智能卡機(jī)制等； ③“用戶是誰(shuí)” 生物學(xué)特征。 1)基于第一類信息的最常見的實(shí)現(xiàn)形式是用戶口令機(jī)制。 基于口令形式的身份認(rèn)證機(jī)制，其有效性取決于用戶口令的安全性。 信息安全系 張柱 講師 2022年 2月 8日星期二 33 第 4章 安全需求與安全策略 (6課時(shí) ) 標(biāo)識(shí)與鑒別 在美國(guó)國(guó)防部密碼管理指南中，提供了一套基于口令的用戶認(rèn)證機(jī)制，包括： ①安全管理職責(zé)； ②用戶職責(zé)； ③技術(shù)因素。 2)基于第二類信息身份認(rèn)證，利用用戶所擁有的東西來(lái)作為對(duì)其身份的認(rèn)證。 3)基于第三類信息的身份認(rèn)證是依賴于用戶的生物學(xué)特征。 信息安全系 張柱 講師 2022年 2月 8日星期二 34 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 可記賬性 可記賬性，又稱為審計(jì)，它是現(xiàn)實(shí)生活中的復(fù)式簿記的數(shù)字化反映。對(duì)高度重視安全的地方極其重要。 TCSEC的可記賬性策略要求任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下了，系統(tǒng) TCB必須擁有將用戶的 ID與它被跟蹤、審計(jì)的行為聯(lián)系起來(lái)的能力。 TCSEC標(biāo)準(zhǔn)規(guī)定審計(jì)系統(tǒng)應(yīng)能夠記錄以下事件： ? 與標(biāo)識(shí)和鑒別機(jī)制相關(guān)的事件； ? 將客體導(dǎo)入用戶地址空間的操作； ? 對(duì)客體的刪除； ? 由系統(tǒng)管理員或安全管理員所執(zhí)行的所有操作，以及其他與安全相關(guān)的事件等。 信息安全系 張柱 講師 2022年 2月 8日星期二 35 第 4章 安全需求與安全策略 (6課時(shí) ) 可記賬性 對(duì)事件的審計(jì)記錄項(xiàng)至少應(yīng)包括事件發(fā)生的日期和時(shí)間、用戶 ID、事件的類型、事件成功或失敗。對(duì)于 B2級(jí)以上的系統(tǒng)，要求審計(jì)系統(tǒng)能夠記錄用來(lái)探測(cè)隱蔽存儲(chǔ)通道。 對(duì)于識(shí)別與鑒別機(jī)制相關(guān)事件的審計(jì)，審計(jì)記錄還應(yīng)包括請(qǐng)求源； 對(duì)于將客體導(dǎo)入用戶地址空間的操作和刪除可以的操作，審計(jì)記錄應(yīng)包括客體的名稱以及客體的安全級(jí)別。 一個(gè)良好的審計(jì)系統(tǒng)能夠選擇需要記錄的審計(jì)事件是必備的功能。 信息安全系 張柱 講師 2022年 2月 8日星期二 36 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 確切保證 定義：是指系統(tǒng)事先制定的安全策略能夠得到正確的執(zhí)行，且系統(tǒng)保護(hù)相關(guān)的元素能夠真正精確可靠的實(shí)施安全策略的意圖。作為擴(kuò)展，“確切保證”必須確保系統(tǒng)的 TCB嚴(yán)格按照事先設(shè)計(jì)的方式來(lái)運(yùn)行。 為了達(dá)到這些目標(biāo)， TCSEC規(guī)定了兩種類型的“確切保證”： ①生命周期保證：安全系統(tǒng)開發(fā)企業(yè)從系統(tǒng)設(shè)計(jì)、開發(fā)和分發(fā)、安裝、維護(hù)各個(gè)環(huán)節(jié)所制定的措施、目標(biāo)以及執(zhí)行的步驟。包括安全性測(cè)試、設(shè)計(jì)規(guī)范和驗(yàn)證等； ②操作保證：主要針對(duì)用來(lái)保證系統(tǒng)在操作過(guò)程中安全策略不會(huì)被歪曲的功能特征和系統(tǒng)架構(gòu)。包括系統(tǒng)架構(gòu)、系統(tǒng)的完整性，隱蔽信道分析、可信實(shí)施管理以及可信恢復(fù)。 信息安全系 張柱 講師 2022年 2月 8日星期二 37 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 連續(xù)保護(hù) TCSEC的連續(xù)保護(hù)策略要求，可信機(jī)制的實(shí)施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變。并且要求連續(xù)保護(hù)機(jī)制必須在計(jì)算機(jī)系統(tǒng)整個(gè)生命周期內(nèi)起作用。 客體重用 定義：重新分配給某些主體的介質(zhì)包含有一個(gè)或多個(gè)客體，為安全地重新分配這些資源的目的，這些資源在重新分配給新主體時(shí)不能包含任何殘留信息。 信息安全系 張柱 講師 2022年 2月 8日星期二 38 第 4章 安全需求與安全策略 (6課時(shí) ) 訪問(wèn)支持策略 隱蔽信道 TCSEC中定義為：可以被進(jìn)程利用，以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道。包括兩類： 存儲(chǔ)隱蔽信道 和時(shí)間隱蔽信道 。 存儲(chǔ)隱蔽信道 ，包括所有允許一個(gè)進(jìn)程直接或間接地寫存儲(chǔ)客體，而允許另一個(gè)客體對(duì)該客體進(jìn)行直接或間接的讀訪問(wèn)的傳輸手段。 時(shí)間隱蔽信道 ，包括進(jìn)程通過(guò)調(diào)節(jié)自己對(duì)系統(tǒng)資源的使用向另一個(gè)進(jìn)程發(fā)送信號(hào)信息，后者通過(guò)觀察響應(yīng)時(shí)間的改變而進(jìn)行信息傳輸?shù)氖侄巍? 信息安全系 張柱 講師 2022年 2月 8日星期二 39 第 4章 安全需求與安全策略 (6課時(shí) ) DTE策略 1991年 Brien Rogers DTE訪問(wèn)控制技術(shù)。它依據(jù)安全策略限制進(jìn)程進(jìn)行訪問(wèn)，是 TE策略的擴(kuò)展。 DTE使域和每個(gè)正在運(yùn)行的進(jìn)程相關(guān)聯(lián)，型和每個(gè)對(duì)象關(guān)聯(lián)。如果一個(gè)域不能以某種模式訪問(wèn)某個(gè)型，則該域的進(jìn)程不能以該模式訪問(wèn)那個(gè)型的對(duì)象。 當(dāng)進(jìn)程試圖訪問(wèn)文件時(shí)， DTE Unix系統(tǒng)內(nèi)核在做標(biāo)準(zhǔn) Unix許可檢查之前，作 DTE許可檢查。 一個(gè)域的進(jìn)程訪問(wèn)一個(gè)型中的客體時(shí)，訪問(wèn)模式包括：讀 (r)、寫(w)、執(zhí)行 (x)、目錄查找 (d)、型創(chuàng)建 (c)。 每個(gè) i節(jié)點(diǎn)包括三個(gè)指針，分別表示目錄或文件的型 etype值、目錄下所有文件或子目錄的型，包括該目錄 rtype值和目錄下所有文件或子目錄的型，不包括該目錄 utype值。 信息安全系 張柱 講師 2022年 2月 8日星期二 40 第 4章 安全需求與安全策略 (6課時(shí) ) DTE策略 以下的規(guī)則決定一個(gè)文件的型： ①設(shè)置文件的 etype。如果存在一條規(guī)則將 etype賦給一個(gè)文件，則就使用這條規(guī)則。如果不存在這樣一條規(guī)則，但存在一條規(guī)則將 rtype賦給這個(gè)文件，則該文件的 etype就與 rtype一樣。如果也不存在，則該文件的型就由其父目錄的 utype繼承得到。 ②設(shè)置文件的 utype。如果存在規(guī)則將 utype賦給一個(gè)文件，則就使用這條規(guī)則。如果不存在，但存在規(guī)則將 rtype賦給該文件，則該文件的 utype與 rtype一樣。如果也不存在，則文件的 utype型由其父目錄的 utype繼承得到。 ③設(shè)置文件的 rtype。如果存在規(guī)則將 rtype賦給一個(gè)文件，則就使用這條規(guī)則。如果不存在，則該文件的 rtype為空。 信息安全系 張柱 講師 2022年 2月 8日星期二 41 第 4章 安全需求與安全策略 (6課時(shí) ) DTE策略 當(dāng)一個(gè)域的入口點(diǎn)文件執(zhí)行時(shí)，有三類可能的域轉(zhuǎn)化： ①自動(dòng)轉(zhuǎn)化； ②自愿轉(zhuǎn)換； ③空的轉(zhuǎn)化。 DTE策略文件由四個(gè)部分組成： ①列舉出所有的域和型； ②給出所有域的詳細(xì)定義； ③制定文件系統(tǒng)根及其缺省類型，還指定一個(gè)初始域。 ④列出型分配規(guī)則。 DTE使用友好的高級(jí)語(yǔ)言來(lái)指定策略。 信息安全系 張柱 講師 2022年 2月 8日星期二 42 第 4章 安全需求與安全策略 (6課時(shí) ) DTE策略 域的劃分 DTE把所有進(jìn)程劃分為 7個(gè)域。 (daemon_d) 與系統(tǒng)守護(hù)進(jìn)程相關(guān)的域，包括 init；初始域。 入口文件： /sbin/init 域 daemon_d可以自動(dòng)轉(zhuǎn)化到 login_d和 trusted_d。 域 daemon_d中定義 ① (rxdbin_t)，即允許域 daemon_d中的進(jìn)程讀、執(zhí)行和搜索系統(tǒng)二進(jìn)制文件，但不能修改。 ② (rdbase_t,conf_t)，即允許守護(hù)進(jìn)程讀取，但不能修改基型文件和