【文章內(nèi)容簡介】 的客體的安全屬性，而且進程也不能通過授予其他用戶客體存取權限簡單地實現(xiàn)客體共享。如果系統(tǒng)判定擁有某一安全屬性的主體不能訪問某個客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體。從這種意義上講，是“強制”的。 強制訪問控制和自主訪問控制 ? 強制訪問控制和自主訪問控制是兩種不同類型的訪問控制機制，它們常結合起來使用。僅當主體能夠同時通過自主訪問控制和強制訪問控制檢查時，它才能訪問一個客體。 ? 用戶使用自主訪問控制防止其他用戶非法入侵自己的文件，強制訪問控制則作為更強有力的安全保護方式，使用戶不能通過意外事件和有意識的誤操作逃避安全控制。因此強制訪問控制用于將系統(tǒng)中的信息分密級和類進行管理，適用于政府部門、軍事和金融等領域。 最小特權管理 ? 在現(xiàn)有一般多用戶操作系統(tǒng)（如 UNIX、 Linux等）的版本中，超級用戶具有所有特權，普通用戶不具有任何特權。一個進程要么具有所有特權 (超級用戶進程 )，要么不具有任何特權 (非超級用戶進程 )。這種特權管理方式便于系統(tǒng)維護和配置，但不利于系統(tǒng)的安全性。一旦超級用戶的口令丟失或超級用戶被冒充，將會對系統(tǒng)造成極大的損失。另外超級用戶的誤操作也是系統(tǒng)極大的潛在安全隱患。因此必須實行最小特權管理機制。 ? 最小特權管理的思想是系統(tǒng)不應給用戶超過執(zhí)行任務所需特權以外的特權，如將超級用戶的特權劃分為一組細粒度的特權，分別授予不同的系統(tǒng)操作員 /管理員，使各種系統(tǒng)操作員 /管理員只具有完成其任務所需的特權，從而減少由于特權用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。比如可在系統(tǒng)中定義5個特權管理職責，任何一個用戶都不能獲取足夠的權力破壞系統(tǒng)的安全策略。 可信通路 ? 在計算機系統(tǒng)中，用戶是通過不可信的中間應用層和操作系統(tǒng)相互作用的。但用戶登錄，定義用戶的安全屬性，改變文件的安全級等操作，用戶必須確實與安全核心通信，而不是與一個特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。 ? 特權用戶在進行特權操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個機制保障用戶和內(nèi)核的通信，這種機制就是由可信通路提供的。 安全審計 ? 一個系統(tǒng)的安全審計就是對系統(tǒng)中有關安全的活動進行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機系統(tǒng)的入侵，并顯示合法用戶的誤操作。 ? 審計作為一種事后追查的手段來保證系統(tǒng)的安全，它對涉及系統(tǒng)安全的操作做一個完整的記錄。 ? 審計為系統(tǒng)進行事故原因的查詢、定位，事故發(fā)生前的預測、報警以及事故發(fā)生之后的實時處理提供詳細、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點和過程以及責任人。 代表性的安全模型 ? 安全模型就是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，它為安全策略和它的實現(xiàn)機制之間的關聯(lián)提供了一種框架。 ? 安全模型描述了對某個安全策略需要用哪種機制來滿足；而模型的實現(xiàn)則描述了如何把特定的機制應用于系統(tǒng)中，從而實現(xiàn)某一特定安全策略所需的安全保護。 安全模型的特點 ? 能否成功地獲得高安全級別的系統(tǒng)，取決于對安全控制機制的設計和實施投入多少精力。但是如果對系統(tǒng)的安全需求了解的不清楚，即使運用最好的軟件技術，投入最大的精力，也很難達到安全要求的目的。安全模型的目的就在于明確地表達這些需求，為設計開發(fā)安全系統(tǒng)提供方針。安全模型有以下 4個特點： ? 它是精確的、無歧義的； ? 它是簡易和抽象的，所以容易理解； ? 它是一般性的：只涉及安全性質(zhì)，而不過度地牽扯系統(tǒng)的功能或其實現(xiàn)； ? 它是安全策略的明顯表現(xiàn)。 ? 安全模型一般分為兩種：形式化的安全模型和非形式化的安全模型。非形式化安全模型僅模擬系統(tǒng)的安全功能；形式化安全模型則使用數(shù)學模型，精確地描述安全性及其在系統(tǒng)中使用的情況。 主要安全模型介紹 ? 主要介紹具有代表性的 : ? BLP機密性安全模型、 Biba完整性安全模型和 ClarkWilson完整性安全模型、信息流模型、 RBAC安全模型、 DTE安全模型和無干擾安全模型等。 1. BellLaPadula（ BLP）模型 ? BellLaPadula模型（簡稱 BLP模型）是 D. Elliott Bell和Leonard J. LaPadula于 1973年提出的一種適用于軍事安全策略的計算機操作系統(tǒng)安全模型，它是最早、也是最常用的一種計算機多級安全模型之一。 ? BLP模型是一個狀態(tài)機模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)狀態(tài)間的轉(zhuǎn)換規(guī)則；定義了安全概念；制定了一組安全特性，以此對系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則進行限制和約束，使得對于一個系統(tǒng)而言，如果它的初始狀態(tài)是安全的，并且所經(jīng)過的一系列規(guī)則轉(zhuǎn)換都保持安全，那么可以證明該系統(tǒng)的終了也是安全的。 2. Biba模型 ? BLP模型通過防止非授權信息的擴散保證系統(tǒng)的安全，但它不能防止非授權修改系統(tǒng)信息。于是 Biba等人在 1977年提出了第一個完整性安全模型 ——Biba模型，其主要應用是保護信息的完整性，而 BLP模型是保護信息機密性。 ? Biba模型也是基于主體、客體以及它們的級別的概念的。模型中主體和客體的概念與 BLP模型相同，對系統(tǒng)中的每個主體和每個客體均分配一個級別，稱為完整級別。 3. ClarkWilson完整性模型 ? 在商務環(huán)境中， 1987年 David Clark和 David Wilson所提出的完整性模型具有里程碑的意義，它是完整意義上的完整性目標、策略和機制的起源，在他們的論文中，為了體現(xiàn)用戶完整性，他們提出了職責隔離目標；為了保證數(shù)據(jù)完整性，他們提出了應用相關的完整性驗證進程；為了建立過程完整性，他們定義了對于轉(zhuǎn)換過程的應用相關驗證；為了約束用戶、進程和數(shù)據(jù)之間的關聯(lián)，他們使用了一個三元組結構。 ? ClarkWilson模型的核心在于以良構事務 (wellformal transaction)為基礎來實現(xiàn)在商務環(huán)境中所需的完整性策略。良構事務的概念是指一個用戶不能任意操作數(shù)據(jù)，只能用一種能夠確保數(shù)據(jù)完整性的受控方式來操作數(shù)據(jù)。為了確保數(shù)據(jù)項 (data items)僅僅只能被良構事務來操作，首先得確認一個數(shù)據(jù)項僅僅只能被一組特定的程序來操縱，而且這些程序都能被驗證是經(jīng)過適當構造，并且被正確安裝和修改。 4. 信息流模型 ? 許多信息泄露問題（如隱蔽通道）并非存取控制機制不完善，而是由于缺乏對信息流的必要保護。例如遵守 BLP模型的系統(tǒng)，應當遵守“下讀上寫”的規(guī)則，即低安全進程程不能讀高安全級文件，高安全級進程不能寫低安全級文件。 ? 然而在實際系統(tǒng)中，盡管不一定能直接為主體所見，許多客體（包括緩沖池、定額變量、全程計數(shù)器等等）還是可以被所有不同安全級的主體更改和讀取，這樣入侵者就可能利用這些客體間接地傳遞信息。要建立高級別的安全操作系統(tǒng)，必須在建立完善的存取控制機制的同時，依據(jù)適當?shù)男畔⒘髂Ｐ蛯崿F(xiàn)對信息流的分析和控制。 5. 基于角色的訪問控制模型 ? 基于角色的訪問控制模型（ RoleBased Access Control，RBAC）提供了一種強制訪問控制機制。在一個采用RBAC作為授權訪問控制的系統(tǒng)中，根據(jù)公司或組織的業(yè)務特征或管理需求，一般要求在系統(tǒng)內(nèi)設置若干個稱之為“角色”的客體，用以支撐 RBAC授權存取控制機制的實現(xiàn)。 ? 角色，就是業(yè)務系統(tǒng)中的崗位、職位或者分工。例如在一個公司內(nèi)，財會主管、會計、出納、核算員等每一種崗位都可以設置多個職員具體從事該崗位的工作，因此它們都可以視為角色。 6. DTE模型 ? DTE模型最初由 Boebert和 Kain提出，經(jīng)修改后在 LOCK系統(tǒng)中得到實現(xiàn)。與其它訪問控制機制一樣， DTE將系統(tǒng)視為一個主動實體（主體）的集合和一個被動實體（客體）的集合。每個主體有一個屬性 ── 域，每個客體有一個屬性 ── 類型，這樣所有的主體被劃分到若干個域中，所有的客體被劃分到若干個類型中。 ? DTE再建立一個表“域定義表” (Domain Definition Table)，描述各個域?qū)Σ煌愋涂腕w的操作權限。同時建立另一張表“域交互表” (Domain Interaction Table)，描述各個域之間的許可訪問模式（如創(chuàng)建、發(fā)信號、切換）。系統(tǒng)運行時，依據(jù)訪問的主體域和客體類型，查找域定義表，決定是否允許訪問。 7. 無干擾模型 ? Goguen與 Meseguer在 1982年提出了一種基于自動機理論和域隔離的安全系統(tǒng)事項方法，這個方法分為 4個階段： ? （ 1）判定一給定機構的安全需求； ? （ 2）用正式 /形式化的安全策略表示這些需求； ? （ 3）把機構正在（或?qū)⒁┦褂玫南到y(tǒng)模型化； ? （ 4）驗證此模型滿足策略的需求。 ? Goguen與 Meseguer把安全策略與安全模型明確地區(qū)分開來。一般來說安全策略是非常簡單的，而且很容易用適當?shù)男问交椒ū硎境鰜怼Ｋ麄兲岢隽艘环N非常簡單的用來表達安全策略的需求語言，該語言是基于無干擾概念的 . 操作系統(tǒng)安全體系結構 ? 建立一個計算機系統(tǒng)往往需要滿足許多要求，如安全性要求，性能要求，可擴展性要求，容量要求，使用的方便性要求和成本要求等，這些要求往往是有沖突的，為了把它們協(xié)調(diào)地納入到一個系統(tǒng)中并有效實現(xiàn)，對所有的要求都予以最大可能滿足通常是很困難的，有時也是不可能的。 ? 因此系統(tǒng)對各種要求的滿足程度必須在各種要求之間進行全局性地折衷考慮，并通過恰當?shù)膶崿F(xiàn)方式表達出這些考慮，使系統(tǒng)在實現(xiàn)時各項要求有輕重之分，這就是體系結構要完成的主要任務。 安全體系結構的含義 ? 一個計算機系統(tǒng)（特別是安全操作系統(tǒng)）的安全體系結構，主要包含如下 4方面的內(nèi)容： ? 1. 詳細描述系統(tǒng)中安全相關的所有方面。這包括系統(tǒng)可能提供的所有安全服務及保護系統(tǒng)自身安全的所有安全措施，描述方式可以用自然語言，也可以用形式語言。 ? 2. 在一定的抽象層次上描述各個安全相關模塊之間的關系。這可以用邏輯框圖來表達，主要用以在抽象層次上按滿足安全需求的方式來描述系統(tǒng)關鍵元素之間的關系。 ? 3. 提出指導設計的基本原理。根據(jù)系統(tǒng)設計的要求及工程設計的理論和方法，明確系統(tǒng)設計的各方面的基本原則。 ? 4. 提出開發(fā)過程的基本框架及對應于該框架體系的層次結構。它描述確保系統(tǒng)忠實于安全需求的整個開發(fā)過程的所有方面。為達到此目的，安全體系總是按一定的層次結構進行描述 安全體系結構的類型 ? 在美國國防部的“目標安全體系”中，把安全體系劃分為四種類型： ? 1. 抽象體系 (Abstract Architecture)。抽象體系從描述需求開始，定義執(zhí)行這些需求的功能函數(shù)。之后定義指導如何選用這些功能函數(shù)及如何把這些功能有機組織成為一個整體的原理及相關的基本概念。 ? 2. 通用體系 (Generic Architecture)。通用體系的開發(fā)是基于抽象體系的決策來進行的。它定義了系統(tǒng)分量的通用類型 (general type)及使用相關行業(yè)標準的情況，它也明確規(guī)定系統(tǒng)應用中必要的指導原則。通用安全體系是在已有的安全功能和相關安全服務配置的基礎上，定義系統(tǒng)分量類型及可得到的實現(xiàn)這些安全功能的有關安全機制。 ? 3. 邏輯體系 (Logical Architecture)。邏輯體系就是滿足某個假設的需求集合的一個設計，它顯示了把一個通用體系應用于具體環(huán)境時的基本情況。邏輯體系與下面將描述的特殊體系的僅有的不同之處在于：特殊體系是使用系統(tǒng)的實際體系，而邏輯體系是假想的體系，是為理解或者其它目的而提出的。 ? 4. 特殊體系 (Specific Architecture)。特殊安全體系要表達系統(tǒng)分量、接口、標準、性能和開銷，它表明如何把所有被選擇的信息安全分量和機制結合起來以滿足我們正在考慮的特殊系統(tǒng)的安全需求。這里信息安全分量和機制包括基本原則及支持安全管理的分量等。 Flask安全體系結構 ? Flask體系結構使策略可變通性的實現(xiàn)成為可能。通過對 Flask體系的微內(nèi)核操作系統(tǒng)的原型實現(xiàn)表明，它成功的克服了策略可變通性帶來的障礙。這種安全結構中機制和策略的清晰區(qū)分，使得系統(tǒng)可以使用比以前更少的策略來支持更多的安全策略集合。 Flask包括一個安全策略服務