【正文】 含有一個(gè)或多個(gè)客體，為安全地重新分配這些資源的目的，這些資源在重新分配給新主體時(shí)不能包含任何殘留信息。 信息安全系 張柱 講師 2022年 2月 8日星期二 37 第 4章 安全需求與安全策略 (6課時(shí) ) 訪(fǎng)問(wèn)支持策略 連續(xù)保護(hù) TCSEC的連續(xù)保護(hù)策略要求，可信機(jī)制的實(shí)施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變。包括安全性測(cè)試、設(shè)計(jì)規(guī)范和驗(yàn)證等； ②操作保證：主要針對(duì)用來(lái)保證系統(tǒng)在操作過(guò)程中安全策略不會(huì)被歪曲的功能特征和系統(tǒng)架構(gòu)。作為擴(kuò)展，“確切保證”必須確保系統(tǒng)的 TCB嚴(yán)格按照事先設(shè)計(jì)的方式來(lái)運(yùn)行。 一個(gè)良好的審計(jì)系統(tǒng)能夠選擇需要記錄的審計(jì)事件是必備的功能。對(duì)于 B2級(jí)以上的系統(tǒng)，要求審計(jì)系統(tǒng)能夠記錄用來(lái)探測(cè)隱蔽存儲(chǔ)通道。 TCSEC標(biāo)準(zhǔn)規(guī)定審計(jì)系統(tǒng)應(yīng)能夠記錄以下事件： ? 與標(biāo)識(shí)和鑒別機(jī)制相關(guān)的事件； ? 將客體導(dǎo)入用戶(hù)地址空間的操作； ? 對(duì)客體的刪除； ? 由系統(tǒng)管理員或安全管理員所執(zhí)行的所有操作，以及其他與安全相關(guān)的事件等。對(duì)高度重視安全的地方極其重要。 3)基于第三類(lèi)信息的身份認(rèn)證是依賴(lài)于用戶(hù)的生物學(xué)特征。 信息安全系 張柱 講師 2022年 2月 8日星期二 33 第 4章 安全需求與安全策略 (6課時(shí) ) 標(biāo)識(shí)與鑒別 在美國(guó)國(guó)防部密碼管理指南中，提供了一套基于口令的用戶(hù)認(rèn)證機(jī)制，包括： ①安全管理職責(zé)； ②用戶(hù)職責(zé)； ③技術(shù)因素。 1)基于第一類(lèi)信息的最常見(jiàn)的實(shí)現(xiàn)形式是用戶(hù)口令機(jī)制。 信息安全系 張柱 講師 2022年 2月 8日星期二 32 第 4章 安全需求與安全策略 (6課時(shí) ) 訪(fǎng)問(wèn)支持策略 標(biāo)識(shí)與鑒別 TCSEC的標(biāo)識(shí)與鑒別策略要求以一個(gè)身份來(lái)標(biāo)識(shí)用戶(hù)，并且此身份必須經(jīng)過(guò)系統(tǒng)的認(rèn)證與鑒別。通常，這類(lèi)安全策略是為了將系統(tǒng)中的用戶(hù)與訪(fǎng)問(wèn)控制策略中的主體聯(lián)系起來(lái)。 若一個(gè)系統(tǒng)內(nèi)存在兩種強(qiáng)制訪(fǎng)問(wèn)控制策略，則該系統(tǒng)內(nèi)的主、客體必有兩類(lèi)不同的訪(fǎng)問(wèn)標(biāo)簽，每類(lèi)標(biāo)簽于一個(gè)強(qiáng)制訪(fǎng)問(wèn)控制策略對(duì)應(yīng)。 信息安全系 張柱 講師 2022年 2月 8日星期二 30 第 4章 安全需求與安全策略 (6課時(shí) ) 強(qiáng)制訪(fǎng)問(wèn)控制策略 綜上所述，若一個(gè)訪(fǎng)問(wèn)控制策略使用的主客體訪(fǎng)問(wèn)標(biāo)簽不滿(mǎn)足“偏序”關(guān)系，則此訪(fǎng)問(wèn)控制策略不能稱(chēng)為強(qiáng)制訪(fǎng)問(wèn)控制策略，只能稱(chēng)為自主訪(fǎng)問(wèn)控制策略。這一特征在多級(jí)安全體系中稱(chēng)為“寧?kù)o性原則”。 在強(qiáng)制訪(fǎng)問(wèn)控制策略中，訪(fǎng)問(wèn)三元組 (S,O,A)與自主訪(fǎng)問(wèn)控制相同，但訪(fǎng)問(wèn)方式 A只能取“讀”和“寫(xiě)”。 信息安全系 張柱 講師 2022年 2月 8日星期二 28 第 4章 安全需求與安全策略 (6課時(shí) ) 訪(fǎng)問(wèn)控制策略 強(qiáng)制訪(fǎng)問(wèn)控制策略 強(qiáng)制訪(fǎng)問(wèn)控制策略既可以防止對(duì)信息的非授權(quán)篡改，也可以防止未授權(quán)的信息泄漏，在特定的強(qiáng)制訪(fǎng)問(wèn)控制策略中，標(biāo)簽可以不同的形式來(lái)實(shí)現(xiàn)信息的完整性和機(jī)密性。 信息安全系 張柱 講師 2022年 2月 8日星期二 27 第 4章 安全需求與安全策略 (6課時(shí) ) 自主訪(fǎng)問(wèn)控制策略 自主訪(fǎng)問(wèn)控制策略的缺點(diǎn)：不能防范“特洛伊木馬”或某些形式的“惡意程序”。相對(duì)于強(qiáng)制訪(fǎng)問(wèn)控制策略中的訪(fǎng)問(wèn)模式只能是“讀”和“寫(xiě)”，自主訪(fǎng)問(wèn)控制策略的優(yōu)點(diǎn)還表現(xiàn)在其訪(fǎng)問(wèn)模式設(shè)定非常靈活。 一般來(lái)說(shuō)，自主訪(fǎng)問(wèn)控制策略是基于系統(tǒng)內(nèi)用戶(hù)加上訪(fǎng)問(wèn)授權(quán) (如能力列表 CLs)或者客體的訪(fǎng)問(wèn)屬性 (如 ACL)來(lái)決定該用戶(hù)是否具有相應(yīng)的權(quán)限訪(fǎng)問(wèn)客體，也可以基于要訪(fǎng)問(wèn)的信息內(nèi)容或是基于用戶(hù)在發(fā)出對(duì)信息訪(fǎng)問(wèn)相應(yīng)請(qǐng)求時(shí)所充當(dāng)?shù)慕巧珌?lái)進(jìn)行訪(fǎng)問(wèn)控制的。 信息安全系 張柱 講師 2022年 2月 8日星期二 25 第 4章 安全需求與安全策略 (6課時(shí) ) 訪(fǎng)問(wèn)控制屬性 2)客體屬性 (客體特征 ) 客體特征屬性包括如下幾個(gè)方面： ①敏感性標(biāo)簽； ②訪(fǎng)問(wèn)控制列表； ③外部狀態(tài)； ④數(shù)據(jù)內(nèi)容 /上下文環(huán)境； ⑤其他。 信息安全系 張柱 講師 2022年 2月 8日星期二 24 第 4章 安全需求與安全策略 (6課時(shí) ) 訪(fǎng)問(wèn)控制屬性 1)主體屬性 (用戶(hù)特征 ) 是系統(tǒng)用來(lái)決定訪(fǎng)問(wèn)控制的最常用因素?？煞譃槿缦聨最?lèi)： ①一般客體； ②設(shè)備客體； ③特殊客體 、客體屬性 訪(fǎng)問(wèn)控制策略還包括以下幾個(gè)因素： ①主體的屬性； ②客體的屬性； ③系統(tǒng)的環(huán)境或上下文屬性。 訪(fǎng)問(wèn)控制屬性 所謂主體，就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶(hù)發(fā)起的進(jìn)程。 信息安全系 張柱 講師 2022年 2月 8日星期二 21 第 4章 安全需求與安全策略 (6課時(shí) ) 安全策略的分類(lèi) 訪(fǎng)問(wèn)控制策略：基于安全策略?xún)?nèi)涵中的機(jī)密性和完整性要求； 訪(fǎng)問(wèn)支持策略：基于安全策略?xún)?nèi)涵中的可記賬性和可用性要求。 信息安全系 張柱 講師 2022年 2月 8日星期二 20 第 4章 安全需求與安全策略 (6課時(shí) ) 安全策略的分類(lèi) Lipner指出商業(yè)安全策略中需要注意五個(gè)方面： ①用戶(hù)不能寫(xiě)自己的程序，但能使用現(xiàn)有的產(chǎn)品程序和數(shù)據(jù)庫(kù)； ②程序員可以在非產(chǎn)品的系統(tǒng)中開(kāi)發(fā)和測(cè)試程序； ③必須要有一個(gè)特殊處理，用了將程序從開(kāi)發(fā)系統(tǒng)安裝到產(chǎn)品系統(tǒng)中； ④方面 3)中的特殊處理必須被控制和審計(jì)； ⑤管理員和審計(jì)員能訪(fǎng)問(wèn)系統(tǒng)狀態(tài)和系統(tǒng)日志。 1)軍事安全策略 也稱(chēng)為政府安全策略，是一種以提供信息機(jī)密性為主要目的的安全策略，但同時(shí)還涉及完整性、可記賬性以及可用性。 例如， Linux窗口系統(tǒng) X11提供了一種對(duì)控制臺(tái)的訪(fǎng)問(wèn)進(jìn)行控制的語(yǔ)言。 其中 r表示該型可以被遞歸應(yīng)用； s表示該型與名稱(chēng)綁定，如果客體被刪除，則新建的客體的型必須與刪除的客體相同。 assign r s dte_t /dte。 assign r writable_t /usr/var,/dev,/tmp。 信息安全系 張柱 講師 2022年 2月 8日星期二 17 第 4章 安全需求與安全策略 (6課時(shí) ) 策略語(yǔ)言 起初，系統(tǒng)在開(kāi)始于 daemon_d狀態(tài)，即 initial_domain=daemon_d。 domain login_d=(/usr/bin/login), (crwdwritable_t), (rdreadable_t,generic_t,dte_t), setauth, (execuser_d,admin_d)。這種控制是登錄域的唯一功能。 說(shuō)明： user_d域中的主體 (普通用戶(hù) )只能寫(xiě)在 writable_t型中的客體，只能運(yùn)行 sysbin_t型中的客體，只能創(chuàng)建 generic_t型中的客體，但能讀、搜索所有型的客體。 信息安全系 張柱 講師 2022年 2月 8日星期二 15 第 4章 安全需求與安全策略 (6課時(shí) ) 策略語(yǔ)言 普通用戶(hù)域也必須受到類(lèi)似的約束。 domain admin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxdgeneric_t), (rwxdreadable_t,writable_t,dte_t,sysbin_t), (sigtstpdaemon_d)。最后調(diào)用登錄程序，自動(dòng)轉(zhuǎn)入 login_d域中。 信息安全系 張柱 講師 2022年 2月 8日星期二 13 第 4章 安全需求與安全策略 (6課時(shí) ) 策略語(yǔ)言 以 daemon_d域?yàn)槔? domain daemon_d=(/sbin/init),(crwdwritable_t), (rxdreadable_t), (rdgeneric_t,dte_t,sysbin_t), (autologin_d)。系統(tǒng)從 daemon_d域開(kāi)始運(yùn)行。 DTEL語(yǔ)言將每個(gè)客體與一個(gè)類(lèi)型關(guān)聯(lián)，而每個(gè)主體以一個(gè)域相關(guān)聯(lián)，能夠限制域成員對(duì)某種類(lèi)型的客體所能執(zhí)行的操作。它將類(lèi)型限制為兩種：數(shù)據(jù)和指令。 public char read()。程序使用下面的類(lèi)和方法訪(fǎng)問(wèn)本地文件 class file{ public file(String name)。則隱含的約束是 deny(s|) when b1∨ b2 這種策略語(yǔ)言忽略了策略的具體實(shí)現(xiàn)。 如果類(lèi) c1的父類(lèi) c2定義了方法 f，則 c1就繼承了 f。若省去表達(dá)式中的 x，則說(shuō)明禁止對(duì)所有實(shí)體進(jìn)行操作。 s是一個(gè)主體， x另一個(gè)主體或類(lèi)， b是一個(gè)布爾表達(dá)式。 當(dāng)主體 s1執(zhí)行了另一個(gè)主體 s2，稱(chēng)之為 調(diào)用 ，記為“ s1|→s 2”。類(lèi)是一些被實(shí)施特定的訪(fǎng)問(wèn)約束的對(duì)象的集合；方法是調(diào)用操作的方法的集合。 信息安全系 張柱