安全需求與安全策略課件

安全需求與安全策略在項目啟動階段進(jìn)行安全設(shè)計，而不是在實現(xiàn)或維護(hù)階段后來加上的服務(wù)包和補(bǔ)丁會帶來新的漏洞容易陷入補(bǔ)丁、修復(fù)、再補(bǔ)丁的惡性循環(huán)啟動階段目標(biāo)：定義系統(tǒng)的需求確定系統(tǒng)的用戶起草一份針對系統(tǒng)的安全策略這是這一階段必不可少的部分，是構(gòu)建一個可信系統(tǒng)的基礎(chǔ)安全需求安全策略安全需求與安全策略在項目啟動階段進(jìn)行安全設(shè)計，而不是在實現(xiàn)內(nèi)容提要安全需求安全策略安全策略的分類訪問控制策略訪問支持策略DTE策略內(nèi)容提要安全需求1安全需求

1.1安全需求的定義所謂安全需求，就是在設(shè)計一個安全系統(tǒng)時期望得到的安全保障。不同的用戶、不同的行業(yè)、不同的地點以及不同的社會制度有不同的安全需求個人隱私、商業(yè)機(jī)密、軍事安全、

防假冒、防篡改、可審計等1安全需求

1.1安全需求的定義所謂安全需求，就是在設(shè)計舉例：電子交易中的安全需求目的：保證電子交易的安全安全需求保證交易雙方身份的確定性需求電子交易的雙方，可能素昧平生、相隔千里要能確認(rèn)對方的身份客戶端是否是一個騙子？商店是否黑店？因此，電子交易的前提是能方便而可靠地確認(rèn)對方身份信息的完整性需求輸入時可能會發(fā)生意外差錯，或者故意欺詐傳輸時可能會發(fā)生信息丟失、重復(fù)或者發(fā)生次序差異因此，電子交易的基礎(chǔ)是保持交易雙方的信息完整性舉例：電子交易中的安全需求目的：保證電子交易的安全信息的不可偽造性需求電子交易中，交易雙方的文件必須是不可偽造的，否則將損害某一方的利益這也是不可抵賴性的前提信息的不可抵賴性需求交易一旦達(dá)成，是不能被抵賴的，否則也將損害某一方的利益交易過程中，各個環(huán)節(jié)都必須是不可抵賴的信息的不可偽造性需求一般化的安全需求機(jī)密性需求，防止信息被泄漏給未授權(quán)的用戶自主安全策略、強(qiáng)制安全策略；需知原則完整性需求，防止未授權(quán)用戶對信息的修改維護(hù)系統(tǒng)資源在一個有效的、預(yù)期的狀態(tài)，防止資源被不正確、不適當(dāng)?shù)男薷?；維護(hù)系統(tǒng)不同部分的一致性；防止在涉及記賬或?qū)徲嫷氖录小拔璞住毙袨榈陌l(fā)生?？捎涃~性需求，防止用戶對訪問過某信息或執(zhí)行過某一操作以否認(rèn)可用性需求，保證授權(quán)用戶對系統(tǒng)信息的可訪問性“授權(quán)用戶的任何正確的輸入，系統(tǒng)會有相應(yīng)的正確的輸出”一般化的安全需求機(jī)密性需求，防止信息被泄漏給未授權(quán)的用戶例子機(jī)密性完整性可記賬性可用性軍事安全策略側(cè)重商用安全策略側(cè)重側(cè)重電信部門側(cè)重例子機(jī)密性完整性可記賬性可用性軍事安全策略側(cè)重商用安全策略側(cè)3.2安全策略安全策略：

針對面臨的威脅決定采用何種對策的方法安全策略為針對威脅而選擇和實行對策提供了框架3.2安全策略安全策略：

針對面臨的威脅決定采用何種對策的安全不安全3.1.1定義

“安全系統(tǒng)”定義在計算機(jī)安全領(lǐng)域內(nèi)，一個系統(tǒng)是“安全系統(tǒng)”是指該系統(tǒng)達(dá)到了當(dāng)初設(shè)計時所制定的安全策略的要求。在有限狀態(tài)自動機(jī)下，安全策略：是“這樣一種狀態(tài)，它將系統(tǒng)狀態(tài)分為已授權(quán)/安全狀態(tài)和未授權(quán)/非安全的狀態(tài)”一個“安全系統(tǒng)”：是“一個如果起始狀態(tài)為授權(quán)狀態(tài)，其后也不會進(jìn)入未授權(quán)狀態(tài)的系統(tǒng)”安全不安全3.1.1定義

“安全系統(tǒng)”定義在計算機(jī)安全領(lǐng)域策略語言策略語言：用來表達(dá)安全性或完整性策略的語言策略與實現(xiàn)無關(guān)，它描述對系統(tǒng)中實體或行為的約束高級策略語言使用抽象的方法表達(dá)對于實體的約束精確低級策略語言根據(jù)輸入或者調(diào)用選項來表達(dá)對系統(tǒng)中的程序約束策略語言策略語言：用來表達(dá)安全性或完整性策略的語言高級策略語言設(shè)：系統(tǒng)連接到Internet上。Web瀏覽器從遠(yuǎn)程站點下載程序并在本地執(zhí)行。Pandey和Hashii：針對Java程序的策略約束語言（Policyconstraintlanguage）實體：類或方法

類：一些被實施特定的訪問約束的對象的集合

方法：調(diào)用一個操作的方法的集合實例化：主體s創(chuàng)建了某個類c的一個實例，“s-|c”

調(diào)用：主體s1執(zhí)行了另一個主體s2，“s1|→s2”高級策略語言設(shè)：系統(tǒng)連接到Internet上。Web瀏覽器從訪問約束

deny(sopx)whenb

op為“-|”或“|→”；x為另一個主體或類

條件b為真時，主體s不能對x執(zhí)行操作op

省略x，表示禁止s對所有實體進(jìn)行操作訪問約束

deny(sopx)whenb

op為“繼承：用來將各個訪問約束關(guān)聯(lián)起來。例：

deny(s-|c1.f)whenb1

deny(s-|c2.f)whenb2若c1是c2的子類，則正確的約束為：

deny(s-|c1.f)whenb1∨b2繼承：用來將各個訪問約束關(guān)聯(lián)起來。例，策略規(guī)定下載的程序不能訪問Unix的password文件。程序中訪問本地文件的類和方法如下：classFile{publicfile(Stringname);publicStringgetfilename();publiccharread();……則約束規(guī)則如下：deny(|→file.read)when(file.getfilename()==“/etc/passwd”)例，策略規(guī)定下載的程序不能訪問Unix的password文件例：類Socket定義為網(wǎng)絡(luò)套接字，方法Network.numconns定義為當(dāng)前活動的網(wǎng)絡(luò)連接數(shù)下面的訪問約束禁止在達(dá)到100個連接數(shù)后再建立任何新的連接deny(|→Socket)when(Network.numconns>=100) 這種策略語言忽略了策略的具體實現(xiàn)，因此是高級策略語言例：類Socket定義為網(wǎng)絡(luò)套接字，方法Network.nuDTEL語言DomainTypeEnforcementLanguageBoebert和Kain將類型限制為兩種：數(shù)據(jù)和指令根據(jù)語言的類型，在實現(xiàn)一級上進(jìn)行構(gòu)造來表達(dá)約束成為防火墻系統(tǒng)以及其他安全系統(tǒng)的組成要素該語言將低級語言和高級語言的元素結(jié)合起來，抽象地對配置加以描述，因此也屬于高級策略語言DTEL語言DomainTypeEnforcementDTEL將每個客體與一個type關(guān)聯(lián)，而每個主體與一個domain相關(guān)連限制domain成員對某type的客體所能執(zhí)行的操作DTEL將Unix系統(tǒng)分為4個相互隔離的主體域user_d：普通用戶域admin_d：管理員用戶域login_d：兼容DTE認(rèn)證過程的域daemon_d：系統(tǒng)后臺守護(hù)進(jìn)程的域DTEL將每個客體與一個type關(guān)聯(lián)，而每個主體與一個dom系統(tǒng)從daemon_d域開始運(yùn)行（init進(jìn)程）當(dāng)用戶試圖登錄系統(tǒng)，init進(jìn)程就創(chuàng)建一個login_d域的login進(jìn)程login進(jìn)程控制user_d和admin_dDTE提出了如下5個客體型sysbin_t：可執(zhí)行文件readable_t：可讀文件writeable_t：可寫文件dte_t：DTE數(shù)據(jù)generic_t：由用戶進(jìn)程產(chǎn)生的數(shù)據(jù)系統(tǒng)從daemon_d域開始運(yùn)行（init進(jìn)程）當(dāng)init進(jìn)程開始時，首先在daemon_d域中啟動對writeable_t中的任何客體，能創(chuàng)建c、讀取r、寫入w和搜索d對sysbin_t中的任何客體，能夠讀取r、搜索d和執(zhí)行x對generic_t，readable_t，dte_t中的任何客體，能夠讀取和搜索當(dāng)init進(jìn)程調(diào)用登錄程序時，登錄程序自動轉(zhuǎn)換到login_d域中表示為：domaindaemon_d=(/sbin/init),(crwd->writable_t),

(rxd->sysbin_t),(rd->generic_t,dte_t,readable_t),(auto->login_d);與寫權(quán)限分離若一個daemon_d的主體被攻破？？當(dāng)init進(jìn)程開始時，首先在daemon_d域中啟動與寫權(quán)限另外：domainadmin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(crwxd->readable_t,writable_t,dte_t,

sysbin_t),(sigtstp->daemon_d);還有domainuser_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(rxd->sysbin_t),(crwd->writable_t),(rd->readable_t,dte_t);若用戶進(jìn)程試圖改變系統(tǒng)二進(jìn)制文件？？注意：用戶進(jìn)程不能跳出用戶域。另外：若用戶進(jìn)程試圖改變系統(tǒng)二進(jìn)制文件？？注意：用戶進(jìn)程不能以及domainlogin_d=(/usr/bin/login),(crwd->writable_t),(rd->readable_t,generic_t,dte_t),setauth,(exec->user_d,admin_d);以及起初，系統(tǒng)始于daemon_d域initial_domain=daemon_d;

用一系列的assign語句來設(shè)置客體的初始型，如assign–rgeneric_t/;assign–rwritable_t/usr/var,/dev,/tmp;assign–rreadable_t/etc;assign–r-sdte_t/dte;assign–r-ssysbin_t/sbin,/bin,/usr/bin,/usr/sbin-r，表示該型被遞歸的應(yīng)用-s，表示該型與名稱綁定。（刪除后重建，同名同型）有序起初，系統(tǒng)始于daemon_d域-r，表示該型被遞歸的應(yīng)用有添加對用戶更改系統(tǒng)日志的限制為日志文件定義一個新的型log_t，只有daemon_d的主體和新加的log_d的主體才能更改系統(tǒng)日志domaindaemon_d=(/sbin/init),(crwd->writable_t),(rxd->readable_t),(rd->generic_t,dte_t,sysbin_t),(auto->login_d,log_d);domainlog_d=(/usr/sbin/syslogd),(crwd->log_t),(rwd->writable_t),(rd->generic_t,readable_t);assign-rlog_t/usr/var/log;assignwritable_t/usr/var/log/wtmp,/usr/var/log/utmp;syslogd是否能訪問系統(tǒng)的可執(zhí)行文件？若用戶試圖操作日志客體？添加對用戶更改系統(tǒng)日志的限制為日志文件定義一個新的型log_低級策略語言低級策略語言只是一系列命令的輸入或參數(shù)設(shè)置，用來設(shè)置或檢查系統(tǒng)中的約束例如：基于UNIX的窗口系統(tǒng)X11為控制臺訪問提供一種語言。該語言由一條命令xhost和指導(dǎo)此命令的語法組成，可以根據(jù)主機(jī)名（IP地址）控制訪問。以下命令

xhost+groucho–chico

對系統(tǒng)進(jìn)行設(shè)定，允許主機(jī)groucho連接控制臺，但禁止來自主機(jī)chico的連接低級策略語言低級策略語言只是一系列命令的輸入或參數(shù)設(shè)置，用來又如：文件系統(tǒng)的掃描程序采用規(guī)定的策略檢查文件系統(tǒng)的一致性。該策略由按需要設(shè)定的數(shù)據(jù)庫構(gòu)成。每個掃描程序使用自己的小型語言來描述需要的設(shè)定。掃描程序tripwire假設(shè)了一種一致性策略。它記錄初始狀態(tài)。在以后運(yùn)行時，將報告設(shè)置發(fā)生改變的文件。策略由兩個文件：tw.config和database組成。前者包括待檢查屬性的描述；后者為上次運(yùn)行時屬性的值。數(shù)據(jù)庫可讀，但難以編輯。又如：安全策略的分類基于應(yīng)用場合的分類軍事安全策略/政府安全策略以提供信息機(jī)密性為主要目的也涉及完整性、可記賬性以及可用性商業(yè)安全策略以提供完整性為主要目的面向事務(wù)也要涉及機(jī)密性、可記賬性以及可用性安全策略的分類基于應(yīng)用場合的分類Lipner指出了商業(yè)安全策略中需注意的五個方面用戶不能寫自己的程序程序員可以在非產(chǎn)品的系統(tǒng)中開發(fā)和測試程序必須要有一個特殊處理上述特殊處理必須被控制和審計管理員和審計員能訪問系統(tǒng)狀態(tài)和系統(tǒng)日志體現(xiàn)了職責(zé)分離、功能分離、審計三個原則Lipner指出了商業(yè)安全策略中需注意的五個方面基于安全策略內(nèi)涵的分類內(nèi)涵如下：信息的機(jī)密性、完整性、可用性誰可以以何種方式去訪問什么樣的信息根據(jù)什么來制定訪問策略：用戶ID或其他最大化共享or最小特權(quán)任務(wù)分離？集中管理or分散管理等等基于安全策略內(nèi)涵的分類內(nèi)涵如下：訪問控制策略：針對前兩個方面分類反映系統(tǒng)的機(jī)密性和完整性要求確立相應(yīng)的訪問規(guī)則以控制對系統(tǒng)資源的訪問訪問支持策略：針對后兩個方面分類反映系統(tǒng)的可記賬性要求和可用性要求支持訪問控制策略訪問控制策略：針對前兩個方面分類3.3訪問控制策略訪問控制屬性主體：系統(tǒng)內(nèi)行為的發(fā)起者。通常是用戶發(fā)起的進(jìn)程普通用戶：一個獲得授權(quán)可以訪問系統(tǒng)資源的自然人。

授權(quán)包括：對信息的讀/寫/刪除/追加/執(zhí)行以及授予/撤銷另外一個用戶對信息的訪問權(quán)限等等。信息的擁有者：該用戶擁有對此信息的完全處理權(quán)限（如上），除非，該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員：為使系統(tǒng)能正常云展，而對系統(tǒng)的運(yùn)行進(jìn)行管理的用戶3.3訪問控制策略訪問控制屬性客體：系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者。一般客體：在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實體，如文件、目錄等設(shè)備客體：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等特殊客體：某些主體客體：系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者。系統(tǒng)必須選擇下列三類相關(guān)屬性進(jìn)行訪問控制策略。主體屬性客體屬性系統(tǒng)環(huán)境（上下文）具體而言，涉及如下五個主要方面：系統(tǒng)必須選擇下列三類相關(guān)屬性進(jìn)行訪問控制策略。1）用戶特征，即主體屬性。這是系統(tǒng)用來決定訪問控制的最常用的因素。一個用戶的任何屬性均可作為訪問控制的決策點，如年齡、性別、居住地、出生日期等。常用的有：用戶ID/組ID；

例如用于Unix按位的訪問控制、常規(guī)自主訪問控制用戶訪問許可級別；

例如用于強(qiáng)制訪問控制?！靶柚痹瓌t；角色；權(quán)能表1）用戶特征，即主體屬性。這是系統(tǒng)用來決定訪問控制的最常用的2）客體特征，即客體屬性也是訪問控制策略的很重要的一部分。一般涉及如下幾個方面：敏感性標(biāo)簽；（用于強(qiáng)制訪問控制）TCSEC中將信息的安全等級分為：

Unclassified（無等級信息）

Confidential（機(jī)密信息）

Secret（秘密信息）

Topsecret（絕密信息）還模擬人力資源系統(tǒng)的分類，形成如下范疇：

如參謀部；作戰(zhàn)部；后勤部。因此，一個敏感性標(biāo)簽由2部分組成：

信息的敏感性級別和范疇2）客體特征，即客體屬性也是訪問控制策略的很重要的一部分。訪問控制表（用于自主訪問控制）表示系統(tǒng)中哪些用戶可以對此信息進(jìn)行何種訪問。由信息的擁有者加以管理。訪問控制表（用于自主訪問控制）3）外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些狀態(tài)來制定的，例如地點，時間，狀態(tài)另外，前述大多屬性為靜態(tài)信息，也有些訪問策略可能是基于動態(tài)信息的地點：例如來自總經(jīng)理辦公室的人員才能被允許看某些文件時間：對系統(tǒng)內(nèi)信息的訪問可能會隨著時間的變化而變化。例如，某報社內(nèi)第二天將要出版的新聞稿：

在第二天早上9點前后的敏感性就不一樣狀態(tài)：例如問一個人問題，他高興與否，結(jié)果可能不一樣…3）外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些狀態(tài)來制定4）數(shù)據(jù)內(nèi)容/上下文屬性某些可能基于數(shù)據(jù)的值。例如Sunny可能不被允許看到月薪超過15K￥的員工的文件。某些可能基于上下文。這種訪問機(jī)制具有較大的動態(tài)性，適用于數(shù)據(jù)庫之類的應(yīng)用5）其他屬性4）數(shù)據(jù)內(nèi)容/上下文屬性自主訪問控制策略“自主”：

允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。自主訪問控制策略通?；谙到y(tǒng)內(nèi)用戶（如用戶ID），加上對用戶的訪問授權(quán)（如權(quán)能表），或者客體的訪問屬性（如訪問控制表ACL）來決定該用戶是否有某權(quán)限訪問該客體或者基于要訪問信息的內(nèi)容或者基于用戶當(dāng)時所處的角色等等自主訪問控制策略“自主”：

允許系統(tǒng)中信息的擁有者按照自己的自主訪問控制機(jī)制：通常在系統(tǒng)中實現(xiàn)。典型方式是

標(biāo)明計算機(jī)系統(tǒng)內(nèi)的用戶和由此用戶發(fā)起的進(jìn)程對系統(tǒng)內(nèi)給定信息的訪問許可。例如：基于位掩碼的保護(hù)方式，Unix基于訪問控制表ACL的保護(hù)方式基于文件密碼的保護(hù)方式自主訪問控制機(jī)制：通常在系統(tǒng)中實現(xiàn)。對于訪問申請，“引用監(jiān)視器”根據(jù)系統(tǒng)自主訪問控制策略來檢查主體、客體及其相應(yīng)的屬性，或被用來實現(xiàn)自主訪問控制的其他屬性訪問屬性VS授權(quán)：允許or不允許對于訪問申請，“引用監(jiān)視器”根據(jù)系統(tǒng)自主訪問控制策略來檢查主自主訪問控制的優(yōu)點：訪問模式設(shè)定靈活。讀；寫；執(zhí)行；“每隔一周的周五可以讀”；“讀完文件x后才能讀此文件”等等具有較好的適應(yīng)性，常用與商用OS和應(yīng)用中缺點：不能防范木馬和某些形式的惡意代碼。思考：一個用戶的經(jīng)典程序中隱藏了木馬，將會如何？？自主訪問控制，往往需要和強(qiáng)制訪問控制結(jié)合起來自主訪問控制的優(yōu)點：自主訪問控制，往往需要和強(qiáng)制訪問控制結(jié)合強(qiáng)制訪問控制策略經(jīng)典場景：軍事機(jī)密及其管理。無密級；保密；機(jī)密；絕密。強(qiáng)制訪問控制，基于上述原型而來。主體/客體：貼上標(biāo)簽引用監(jiān)視器：比較標(biāo)簽，決定是否許可效果：保證完整性和機(jī)密性強(qiáng)制訪問控制策略經(jīng)典場景：軍事機(jī)密及其管理。強(qiáng)制訪問控制的訪問模式比較簡單：讀寫在不同的需求下，訪問控制策略的形式可能不同例如，在機(jī)密性要求下：低讀；高寫；而在完整性要求下：高讀強(qiáng)制訪問控制的訪問模式比較簡單：讀寫最顯著的特征：全局性和永久性無論何時何地，主體和客體的標(biāo)簽是不會改變的。全局性：對特定的信息，從任何地方訪問，它的敏感級別相同永久性：對特定的信息，在任何時間訪問，它的敏感級別相同上述特征在多級安全體系中稱為“寧靜性原則”

（tranquility）一旦不滿足該原則，則無法從根本上防備木馬和惡意代碼最顯著的特征：全局性和永久性偏序關(guān)系對于一個具體的訪問控制策略，若具有全局性和永久性，則其標(biāo)簽集合在數(shù)學(xué)上必會形成“偏序關(guān)系”（partialorder）支配關(guān)系：“≥”滿足偏序關(guān)系的兩個元素x和y，只可能存在3種關(guān)系x≥y；或者y≥x；或者無關(guān)：即x和y不可比偏序關(guān)系的特征反自身性：x≥x反對稱性：若x≥y并且y≥x，則x＝y(tǒng)傳遞性：若x≥y并且y≥z，則x≥z偏序關(guān)系對于一個具體的訪問控制策略，若具有全局性和永久性，則為保持全局性和永久性，標(biāo)簽的選擇不能隨便。舉例，設(shè)主/客體的訪問標(biāo)簽：敏感or公開

且，除周末外，系統(tǒng)內(nèi)“公開”的主體可能訪問“公開”的客體。

破壞了自反性；永久性。又如，允許“公開”的主體可以在周末訪問“敏感”的客體。則“敏感”在周末前支配“公開”，而周末則反過來了。但由于“敏感”不等于“公開”，因此違反了反對稱性，破壞了永久性。再如，引入“私有”標(biāo)簽。如果“私有”主體可以訪問“敏感”客體，同時“敏感”主體可以訪問“公開”客體，但若系統(tǒng)內(nèi)存在某些“公開”客體，不能被“私有”主體訪問，則違反了傳遞性，從而破壞了全局性。為保持全局性和永久性，標(biāo)簽的選擇不能隨便。因此，主客體訪問標(biāo)簽不滿足偏序關(guān)系的訪問控制策略，不能稱為強(qiáng)制訪問控制策略，只能稱之為自主訪問控制策略。即，要么“強(qiáng)制”，要么“自主”，沒有相交的部分兩者最大的區(qū)別在于，是否能夠防備木馬和惡意程序的攻擊若一個系統(tǒng)內(nèi)有2個或以上的強(qiáng)制訪問控制策略，則每個都必須分別滿足偏序關(guān)系。例如機(jī)密性標(biāo)簽；完整性標(biāo)簽。因此，主客體訪問標(biāo)簽不滿足偏序關(guān)系的訪問控制策略，不能稱為強(qiáng)3.4訪問支持策略訪問支持策略，為保障訪問控制策略的正確實施提供可靠的“支持”將系統(tǒng)中的用戶與訪問控制策略中的主體關(guān)聯(lián)起來，即身份的合法性認(rèn)證在用戶進(jìn)入系統(tǒng)后，執(zhí)行與其身份不相稱的操作或非法訪問了它無權(quán)訪問的文件，應(yīng)“記錄在案”等等3.4訪問支持策略訪問支持策略，為保障訪問控制策略的正確實TCSEC中，將訪問支持策略分為6類Identification&authentication，標(biāo)識與鑒別Accountability，可記賬性Assurance，確切保證Continuousprotection，連續(xù)保護(hù)Objectreuse，客體重用Covertchannels，隱通道處理TCSEC中，將訪問支持策略分為6類標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶，并且此身份必須經(jīng)過系統(tǒng)的認(rèn)證與鑒別。在用戶執(zhí)行任何由系統(tǒng)TCB提供的操作前由用戶登錄系統(tǒng)完成TCB將保留用戶的認(rèn)證信息，并以此來驗證用戶的身份身份認(rèn)證信息用戶所知道的：最常見的實現(xiàn)機(jī)制：口令用戶所擁有的用戶是誰標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶，并且此身份必須經(jīng)過系可記賬性策略任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下來TCB必須擁有將用戶ID與它被跟蹤、審計下來的行為聯(lián)系起來的能力審計信息必須有選擇性的保留下來，并受到適當(dāng)?shù)谋Ｗo(hù)一個可信系統(tǒng)必須能夠?qū)⑾到y(tǒng)內(nèi)發(fā)生的所有與安全相關(guān)的事件記錄在審計日志文件中，并且所有的審計數(shù)據(jù)必須防止受到未授權(quán)的侵入、修改或者損壞，以作為日后對事件的調(diào)查的依據(jù)可記賬性策略任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下來TCSEC規(guī)定，審計系統(tǒng)應(yīng)能夠記錄以下事件與標(biāo)識與鑒別機(jī)制相關(guān)的事件將客體導(dǎo)入用戶地址空間的操作，如文件的打開操作，程序的啟動等對客體的刪除由系統(tǒng)管理員和/或系統(tǒng)安全管理員所執(zhí)行的操作以及其他與安全相關(guān)的事件事件的審計記錄項，一般應(yīng)至少包含事件發(fā)生的日期和時間用戶ID事件的類型事件的成功/失敗信息對不同的需求，審計記錄項可能還有其他信息TCSEC規(guī)定，審計系統(tǒng)應(yīng)能夠記錄以下事件確切保證TCSEC中，確切保證是指

系統(tǒng)事先制定的安全策略能夠得到正確地執(zhí)行并且系統(tǒng)保護(hù)相關(guān)的元素能夠真正精確可靠的實施安全策略的意圖。作為擴(kuò)展，確切保證必須

確保系統(tǒng)的TCB嚴(yán)格按照事先設(shè)計的方式來運(yùn)行TCSEC規(guī)定了兩種類型的確切保證生命周期保證：涉及系統(tǒng)設(shè)計、開發(fā)和維護(hù)各個環(huán)節(jié)操作保證確切保證TCSEC中，確切保證是指

系統(tǒng)事先制定的安全策略能生命周期保證安全系統(tǒng)開發(fā)企業(yè)要從系統(tǒng)的設(shè)計、開發(fā)和分發(fā)、安裝、維護(hù)各個環(huán)節(jié)所制定的措施、目標(biāo)以及執(zhí)行的步驟加以保證必須進(jìn)行嚴(yán)格的測試和評估任何改變，都要重新評估包括：安全性測試設(shè)計規(guī)范驗證在B2級以上，還包括配置管理在A級，還要求可信分發(fā)生命周期保證安全系統(tǒng)開發(fā)企業(yè)要從系統(tǒng)的設(shè)計、開發(fā)和分發(fā)、安裝操作保證是指用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能特征和系統(tǒng)架構(gòu)TCSEC要求的操作保證包括系統(tǒng)架構(gòu)系統(tǒng)的完整性B2以上，還包括隱通道分析，可信實施管理以及可信恢復(fù)操作保證是指用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能連續(xù)保護(hù)TCSEC的連續(xù)保護(hù)策略

要求可信機(jī)制的實施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變連續(xù)保護(hù)機(jī)制必須在計算機(jī)系統(tǒng)整個生命周期內(nèi)起作用連續(xù)保護(hù)TCSEC的連續(xù)保護(hù)策略

要求可信機(jī)制的實施必須連續(xù)客體重用TCSEC，C2及以上開始重新分配給某些主體的介質(zhì)（例如內(nèi)存的頁框、磁盤的簇、磁帶）包含有一個或多個客體，為達(dá)到安全的重新分配這些資源的目的，這些資源在重新分配給新的主體時，不能包含任何殘留信息即防止在系統(tǒng)中的存儲介質(zhì)在被重新分配時，確保曾經(jīng)在介質(zhì)中存放過的信息不會泄露給新的主體包括加密形式存在的信息客體重用TCSEC，C2及以上開始隱通道TCSEC關(guān)于隱通道的定義：

可以被進(jìn)程利用來以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道存儲隱通道時間隱通道使用帶寬來衡量低帶寬的威脅小（<100bps)但降低帶寬，會影響合法用戶的使用性能TCSEC從B2級開始要求分析隱通道，并估算其帶寬，從而決定如何處理容忍存在、消除或?qū)徲嬰[通道TCSEC關(guān)于隱通道的定義：

可以被進(jìn)程利用來以違反系3.5DTE策略DTE，Domain&typeenforcementR.O`Brien,C.Rogers,"DevelopingapplicationsonLOCK",14thNIST-NCSCNationalComputerSecurityConference,pp.147-156,1991.DTE是TE的一種擴(kuò)展根據(jù)安全策略來限制進(jìn)程的訪問。3.5DTE策略DTE，Domain&typeenf域：與每個進(jìn)程相關(guān)聯(lián)類型：與每個對象相關(guān)聯(lián)。訪問時，DTEUnix首先進(jìn)行DTE檢查，然后進(jìn)行標(biāo)準(zhǔn)的Unix檢查訪問模式：讀r；寫w；執(zhí)行x；目錄查找d；類型創(chuàng)建c每個inode包含3個指針：etype：一個目錄或文件的型（always）rtype：目錄下（遞歸）所有文件或子目錄的型，包括這個目錄utype：目錄下（遞歸）所有文件或子目錄的型，但不包括這個目錄（always）域：與每個進(jìn)程相關(guān)聯(lián)以下規(guī)則決定文件的類型如果存在一條規(guī)則將etype賦給一個文件，則使用該規(guī)則；

若不存在，但存在一條規(guī)則將rtype賦值給這個文件的etype，則使用該規(guī)則；

若還不存在，則繼承父目錄的utype得到etype如果存在一條規(guī)則將utype賦給一個文件，則使用該規(guī)則；

若不存在，但存在一條規(guī)則將rtype賦值給這個文件的utype，則使用該規(guī)則；

若還不存在，則繼承父目錄的utype得到utype如果存在一條規(guī)則將rtype賦給一個晚間，則使用該規(guī)則；

若不存在，則rtype為空以下規(guī)則決定文件的類型域的轉(zhuǎn)化自動轉(zhuǎn)化：每當(dāng)執(zhí)行execve系統(tǒng)調(diào)用時，必須檢查被執(zhí)行文件是否為當(dāng)前域能自動訪問的目標(biāo)域的入口點，如果是就進(jìn)行域轉(zhuǎn)化自愿轉(zhuǎn)化：若被執(zhí)行的文件是當(dāng)前域能exec訪問的目標(biāo)域的入口點，而進(jìn)程有要求進(jìn)行這個域轉(zhuǎn)化，那么域轉(zhuǎn)化發(fā)生空的域轉(zhuǎn)化：域沒有發(fā)生變化域的轉(zhuǎn)化自動轉(zhuǎn)化：DTE策略文件由4個部分組成列舉出所有的域和型給出所有域的詳細(xì)定義對于每個域，說明它的名字、入口點文件、可允許的訪問、可允許的域轉(zhuǎn)化、可允許發(fā)送給其他域的進(jìn)程的信號指定文件系統(tǒng)根及其的缺省類型，并指定一個初始域列出型分配規(guī)則DTE的語言：DTEL在引導(dǎo)裝入程序時，從文件/dte/dte.conf中讀出DTE策略DTE的管理就是對這個文件進(jìn)行編輯。系統(tǒng)必須重新引導(dǎo)，更改才能生效。DTE策略文件由4個部分組成3.5.1域的劃分DTE策略把所有的進(jìn)程分為如下7個域守護(hù)進(jìn)程域daemon_d(/sbin/init):

init進(jìn)程；init進(jìn)程創(chuàng)建的其他進(jìn)程

都在daemon_d域中(auto->login_d,trusted_d):

直到某個進(jìn)程調(diào)用login_d域的入口程序login，或者

調(diào)用trusted_d域的入口程序fsck，syslogd等(rxd->sysbin_t):

不能修改系統(tǒng)二進(jìn)制文件沒有wx組合：

不能夠生成一個隨后可執(zhí)行的程序(rd->base_t,conf_t)base_t缺省的賦給根（遞歸）conf_t賦給/etc及其下所有文件3.5.1域的劃分DTE策略把所有的進(jìn)程分為如下7個域可信域trusted_d入口文件：/sbin/{fsck,mount_mfs};/usr/sbin/syslogdtrusted_d不再轉(zhuǎn)化到其他域能rwd型syslog_t和disk_tsyslog_t賦給系統(tǒng)審計日志文件

/usr/var/log,/usr/var/run/{syslog.pid,utmp}disk_t賦給磁盤設(shè)備特殊文件

/dev/{rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h}只有trusted_d和admin_d才能寫訪問這兩個類型只能(rd->base_t,conf_t)可信域trusted_d注冊域login_d入口文件/usr/bin/dtelogin在daemon_d、user_d、system_d、admin_d調(diào)用dtelogin的時候，都會自動轉(zhuǎn)入login_d域中只有通過login_d域，才能按要求轉(zhuǎn)入user_d、system_d、admin_d中，這是不可繞過的只有dtelogin能運(yùn)行在login_t中，但不能調(diào)用其他任意二進(jìn)制文件，除非是轉(zhuǎn)入其他域的人口文件注冊域login_drd->base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,ciper_t其中，secpolicy_t賦給/dte及其下所有文件ciper_t賦給目錄/etc下的master.passwd,spwd.db,pwd.db,passwd和其他與認(rèn)證相關(guān)的文件可以寫訪問usr_log_t的文件，即/usr/var/log下的wtmp和lastlog其他域均不能訪問usr_log_tDTE對login的擴(kuò)展和增強(qiáng)：注冊時，用戶提出角色和域要求。認(rèn)證后按要求進(jìn)行域轉(zhuǎn)換常規(guī)認(rèn)證和角色認(rèn)證庫分別是conf_t和secpolicy_t，DTE策略嚴(yán)格控制這兩個類型的文件，以免未授權(quán)的修改rd->base_t,conf_t,secpolicy_用戶域user_d入口文件，各種shell程序，/bin/{ash,bash,csh,sh,tcsh}轉(zhuǎn)入user_d的方式：Login時，用戶提出普通角色要求，并認(rèn)證通過admin_d時，提出轉(zhuǎn)化要求能轉(zhuǎn)入network_appli_d和login_d能rd所有類型的文件能x類型sysbin_t,base_t,user_tuser_t:/home及其下的所有文件等等用戶域user_d系統(tǒng)操作用戶域system_d入口文件，各種shell程序5中管理員角色都進(jìn)入這個域系統(tǒng)管理員安全管理員審計管理員網(wǎng)絡(luò)管理員可以進(jìn)入network_apli_d、login_d、daemon_d可以rd所有類型的文件系統(tǒng)操作用戶域中的操作員，不能做一些重要的系統(tǒng)修改，但能使這些更改生效能發(fā)送信號sigtstp到daemon_d使系統(tǒng)重啟系統(tǒng)操作用戶域system_d管理域admin_d入口文件，各種shell五種角色都可以進(jìn)入這個域能進(jìn)入network_apli_d、login_d、trusted_drwd所有類型的文件system_d能使上述更改生效能執(zhí)行sysbin_t管理域admin_d網(wǎng)絡(luò)應(yīng)用域network_appli_d入口文件，與網(wǎng)絡(luò)應(yīng)用有關(guān)的可執(zhí)行文件，mosaic、netscape、ftp、telnet、http等可以從user_d、system_d、admin_d進(jìn)入本域不能進(jìn)入其他域限制修改重要文件創(chuàng)建的文件，為network_t/usr/home/ken/{……}可以執(zhí)行sysbin_t和network_t類型的文件只能寫writeable_t和network_t網(wǎng)絡(luò)應(yīng)用域network_appli_d型的劃分所有的文件和客體被分類到15種型base_t：基型sysbin_tconf_twritable_tuser_tsecpolicy_tsyslog_tusr_log_tsyspolicy_log_tcipher_tnetwork_ttrusted_t：可信進(jìn)程mem_t：內(nèi)存設(shè)備特殊文件disk_t：磁盤設(shè)備特殊文件lp_t：打印設(shè)備文件型的劃分所有的文件和客體被分類到15種型賦型規(guī)則DTE策略共有21條賦型規(guī)則assign-rbase_t/;assign-rsecpolicy_t/dte;assign-rbase_t/;…賦型規(guī)則DTE策略共有21條賦型規(guī)則作業(yè)操作系統(tǒng)的安全威脅有哪些？什么是自主訪問控制；什么是強(qiáng)制訪問控制？在信息系統(tǒng)內(nèi)，和訪問控制策略相關(guān)的因素有哪些？在系統(tǒng)中，主體通常表現(xiàn)為什么？客體有哪些？什么是訪問控制策略；什么是訪問支持策略？根據(jù)TCSEC，系統(tǒng)中可能存在那兩類隱通道？什么是客體重用？作業(yè)操作系統(tǒng)的安全威脅有哪些？Thanks！Theend.Thanks！Theend.

安全需求與安全策略在項目啟動階段進(jìn)行安全設(shè)計，而不是在實現(xiàn)或維護(hù)階段后來加上的服務(wù)包和補(bǔ)丁會帶來新的漏洞容易陷入補(bǔ)丁、修復(fù)、再補(bǔ)丁的惡性循環(huán)啟動階段目標(biāo)：定義系統(tǒng)的需求確定系統(tǒng)的用戶起草一份針對系統(tǒng)的安全策略這是這一階段必不可少的部分，是構(gòu)建一個可信系統(tǒng)的基礎(chǔ)安全需求安全策略安全需求與安全策略在項目啟動階段進(jìn)行安全設(shè)計，而不是在實現(xiàn)內(nèi)容提要安全需求安全策略安全策略的分類訪問控制策略訪問支持策略DTE策略內(nèi)容提要安全需求1安全需求

1.1安全需求的定義所謂安全需求，就是在設(shè)計一個安全系統(tǒng)時期望得到的安全保障。不同的用戶、不同的行業(yè)、不同的地點以及不同的社會制度有不同的安全需求個人隱私、商業(yè)機(jī)密、軍事安全、

防假冒、防篡改、可審計等1安全需求

1.1安全需求的定義所謂安全需求，就是在設(shè)計舉例：電子交易中的安全需求目的：保證電子交易的安全安全需求保證交易雙方身份的確定性需求電子交易的雙方，可能素昧平生、相隔千里要能確認(rèn)對方的身份客戶端是否是一個騙子？商店是否黑店？因此，電子交易的前提是能方便而可靠地確認(rèn)對方身份信息的完整性需求輸入時可能會發(fā)生意外差錯，或者故意欺詐傳輸時可能會發(fā)生信息丟失、重復(fù)或者發(fā)生次序差異因此，電子交易的基礎(chǔ)是保持交易雙方的信息完整性舉例：電子交易中的安全需求目的：保證電子交易的安全信息的不可偽造性需求電子交易中，交易雙方的文件必須是不可偽造的，否則將損害某一方的利益這也是不可抵賴性的前提信息的不可抵賴性需求交易一旦達(dá)成，是不能被抵賴的，否則也將損害某一方的利益交易過程中，各個環(huán)節(jié)都必須是不可抵賴的信息的不可偽造性需求一般化的安全需求機(jī)密性需求，防止信息被泄漏給未授權(quán)的用戶自主安全策略、強(qiáng)制安全策略；需知原則完整性需求，防止未授權(quán)用戶對信息的修改維護(hù)系統(tǒng)資源在一個有效的、預(yù)期的狀態(tài)，防止資源被不正確、不適當(dāng)?shù)男薷模痪S護(hù)系統(tǒng)不同部分的一致性；防止在涉及記賬或?qū)徲嫷氖录小拔璞住毙袨榈陌l(fā)生?？捎涃~性需求，防止用戶對訪問過某信息或執(zhí)行過某一操作以否認(rèn)可用性需求，保證授權(quán)用戶對系統(tǒng)信息的可訪問性“授權(quán)用戶的任何正確的輸入，系統(tǒng)會有相應(yīng)的正確的輸出”一般化的安全需求機(jī)密性需求，防止信息被泄漏給未授權(quán)的用戶例子機(jī)密性完整性可記賬性可用性軍事安全策略側(cè)重商用安全策略側(cè)重側(cè)重電信部門側(cè)重例子機(jī)密性完整性可記賬性可用性軍事安全策略側(cè)重商用安全策略側(cè)3.2安全策略安全策略：

針對面臨的威脅決定采用何種對策的方法安全策略為針對威脅而選擇和實行對策提供了框架3.2安全策略安全策略：

針對面臨的威脅決定采用何種對策的安全不安全3.1.1定義

“安全系統(tǒng)”定義在計算機(jī)安全領(lǐng)域內(nèi)，一個系統(tǒng)是“安全系統(tǒng)”是指該系統(tǒng)達(dá)到了當(dāng)初設(shè)計時所制定的安全策略的要求。在有限狀態(tài)自動機(jī)下，安全策略：是“這樣一種狀態(tài)，它將系統(tǒng)狀態(tài)分為已授權(quán)/安全狀態(tài)和未授權(quán)/非安全的狀態(tài)”一個“安全系統(tǒng)”：是“一個如果起始狀態(tài)為授權(quán)狀態(tài)，其后也不會進(jìn)入未授權(quán)狀態(tài)的系統(tǒng)”安全不安全3.1.1定義

“安全系統(tǒng)”定義在計算機(jī)安全領(lǐng)域策略語言策略語言：用來表達(dá)安全性或完整性策略的語言策略與實現(xiàn)無關(guān)，它描述對系統(tǒng)中實體或行為的約束高級策略語言使用抽象的方法表達(dá)對于實體的約束精確低級策略語言根據(jù)輸入或者調(diào)用選項來表達(dá)對系統(tǒng)中的程序約束策略語言策略語言：用來表達(dá)安全性或完整性策略的語言高級策略語言設(shè)：系統(tǒng)連接到Internet上。Web瀏覽器從遠(yuǎn)程站點下載程序并在本地執(zhí)行。Pandey和Hashii：針對Java程序的策略約束語言（Policyconstraintlanguage）實體：類或方法

類：一些被實施特定的訪問約束的對象的集合

方法：調(diào)用一個操作的方法的集合實例化：主體s創(chuàng)建了某個類c的一個實例，“s-|c”

調(diào)用：主體s1執(zhí)行了另一個主體s2，“s1|→s2”高級策略語言設(shè)：系統(tǒng)連接到Internet上。Web瀏覽器從訪問約束

deny(sopx)whenb

op為“-|”或“|→”；x為另一個主體或類

條件b為真時，主體s不能對x執(zhí)行操作op

省略x，表示禁止s對所有實體進(jìn)行操作訪問約束

deny(sopx)whenb

op為“繼承：用來將各個訪問約束關(guān)聯(lián)起來。例：

deny(s-|c1.f)whenb1

deny(s-|c2.f)whenb2若c1是c2的子類，則正確的約束為：

deny(s-|c1.f)whenb1∨b2繼承：用來將各個訪問約束關(guān)聯(lián)起來。例，策略規(guī)定下載的程序不能訪問Unix的password文件。程序中訪問本地文件的類和方法如下：classFile{publicfile(Stringname);publicStringgetfilename();publiccharread();……則約束規(guī)則如下：deny(|→file.read)when(file.getfilename()==“/etc/passwd”)例，策略規(guī)定下載的程序不能訪問Unix的password文件例：類Socket定義為網(wǎng)絡(luò)套接字，方法Network.numconns定義為當(dāng)前活動的網(wǎng)絡(luò)連接數(shù)下面的訪問約束禁止在達(dá)到100個連接數(shù)后再建立任何新的連接deny(|→Socket)when(Network.numconns>=100) 這種策略語言忽略了策略的具體實現(xiàn)，因此是高級策略語言例：類Socket定義為網(wǎng)絡(luò)套接字，方法Network.nuDTEL語言DomainTypeEnforcementLanguageBoebert和Kain將類型限制為兩種：數(shù)據(jù)和指令根據(jù)語言的類型，在實現(xiàn)一級上進(jìn)行構(gòu)造來表達(dá)約束成為防火墻系統(tǒng)以及其他安全系統(tǒng)的組成要素該語言將低級語言和高級語言的元素結(jié)合起來，抽象地對配置加以描述，因此也屬于高級策略語言DTEL語言DomainTypeEnforcementDTEL將每個客體與一個type關(guān)聯(lián)，而每個主體與一個domain相關(guān)連限制domain成員對某type的客體所能執(zhí)行的操作DTEL將Unix系統(tǒng)分為4個相互隔離的主體域user_d：普通用戶域admin_d：管理員用戶域login_d：兼容DTE認(rèn)證過程的域daemon_d：系統(tǒng)后臺守護(hù)進(jìn)程的域DTEL將每個客體與一個type關(guān)聯(lián)，而每個主體與一個dom系統(tǒng)從daemon_d域開始運(yùn)行（init進(jìn)程）當(dāng)用戶試圖登錄系統(tǒng)，init進(jìn)程就創(chuàng)建一個login_d域的login進(jìn)程login進(jìn)程控制user_d和admin_dDTE提出了如下5個客體型sysbin_t：可執(zhí)行文件readable_t：可讀文件writeable_t：可寫文件dte_t：DTE數(shù)據(jù)generic_t：由用戶進(jìn)程產(chǎn)生的數(shù)據(jù)系統(tǒng)從daemon_d域開始運(yùn)行（init進(jìn)程）當(dāng)init進(jìn)程開始時，首先在daemon_d域中啟動對writeable_t中的任何客體，能創(chuàng)建c、讀取r、寫入w和搜索d對sysbin_t中的任何客體，能夠讀取r、搜索d和執(zhí)行x對generic_t，readable_t，dte_t中的任何客體，能夠讀取和搜索當(dāng)init進(jìn)程調(diào)用登錄程序時，登錄程序自動轉(zhuǎn)換到login_d域中表示為：domaindaemon_d=(/sbin/init),(crwd->writable_t),

(rxd->sysbin_t),(rd->generic_t,dte_t,readable_t),(auto->login_d);與寫權(quán)限分離若一個daemon_d的主體被攻破？？當(dāng)init進(jìn)程開始時，首先在daemon_d域中啟動與寫權(quán)限另外：domainadmin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(crwxd->readable_t,writable_t,dte_t,

sysbin_t),(sigtstp->daemon_d);還有domainuser_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(rxd->sysbin_t),(crwd->writable_t),(rd->readable_t,dte_t);若用戶進(jìn)程試圖改變系統(tǒng)二進(jìn)制文件？？注意：用戶進(jìn)程不能跳出用戶域。另外：若用戶進(jìn)程試圖改變系統(tǒng)二進(jìn)制文件？？注意：用戶進(jìn)程不能以及domainlogin_d=(/usr/bin/login),(crwd->writable_t),(rd->readable_t,generic_t,dte_t),setauth,(exec->user_d,admin_d);以及起初，系統(tǒng)始于daemon_d域initial_domain=daemon_d;

用一系列的assign語句來設(shè)置客體的初始型，如assign–rgeneric_t/;assign–rwritable_t/usr/var,/dev,/tmp;assign–rreadable_t/etc;assign–r-sdte_t/dte;assign–r-ssysbin_t/sbin,/bin,/usr/bin,/usr/sbin-r，表示該型被遞歸的應(yīng)用-s，表示該型與名稱綁定。（刪除后重建，同名同型）有序起初，系統(tǒng)始于daemon_d域-r，表示該型被遞歸的應(yīng)用有添加對用戶更改系統(tǒng)日志的限制為日志文件定義一個新的型log_t，只有daemon_d的主體和新加的log_d的主體才能更改系統(tǒng)日志domaindaemon_d=(/sbin/init),(crwd->writable_t),(rxd->readable_t),(rd->generic_t,dte_t,sysbin_t),(auto->login_d,log_d);domainlog_d=(/usr/sbin/syslogd),(crwd->log_t),(rwd->writable_t),(rd->generic_t,readable_t);assign-rlog_t/usr/var/log;assignwritable_t/usr/var/log/wtmp,/usr/var/log/utmp;syslogd是否能訪問系統(tǒng)的可執(zhí)行文件？若用戶試圖操作日志客體？添加對用戶更改系統(tǒng)日志的限制為日志文件定義一個新的型log_低級策略語言低級策略語言只是一系列命令的輸入或參數(shù)設(shè)置，用來設(shè)置或檢查系統(tǒng)中的約束例如：基于UNIX的窗口系統(tǒng)X11為控制臺訪問提供一種語言。該語言由一條命令xhost和指導(dǎo)此命令的語法組成，可以根據(jù)主機(jī)名（IP地址）控制訪問。以下命令

xhost+groucho–chico

對系統(tǒng)進(jìn)行設(shè)定，允許主機(jī)groucho連接控制臺，但禁止來自主機(jī)chico的連接低級策略語言低級策略語言只是一系列命令的輸入或參數(shù)設(shè)置，用來又如：文件系統(tǒng)的掃描程序采用規(guī)定的策略檢查文件系統(tǒng)的一致性。該策略由按需要設(shè)定的數(shù)據(jù)庫構(gòu)成。每個掃描程序使用自己的小型語言來描述需要的設(shè)定。掃描程序tripwire假設(shè)了一種一致性策略。它記錄初始狀態(tài)。在以后運(yùn)行時，將報告設(shè)置發(fā)生改變的文件。策略由兩個文件：tw.config和database組成。前者包括待檢查屬性的描述；后者為上次運(yùn)行時屬性的值。數(shù)據(jù)庫可讀，但難以編輯。又如：安全策略的分類基于應(yīng)用場合的分類軍事安全策略/政府安全策略以提供信息機(jī)密性為主要目的也涉及完整性、可記賬性以及可用性商業(yè)安全策略以提供完整性為主要目的面向事務(wù)也要涉及機(jī)密性、可記賬性以及可用性安全策略的分類基于應(yīng)用場合的分類Lipner指出了商業(yè)安全策略中需注意的五個方面用戶不能寫自己的程序程序員可以在非產(chǎn)品的系統(tǒng)中開發(fā)和測試程序必須要有一個特殊處理上述特殊處理必須被控制和審計管理員和審計員能訪問系統(tǒng)狀態(tài)和系統(tǒng)日志體現(xiàn)了職責(zé)分離、功能分離、審計三個原則Lipner指出了商業(yè)安全策略中需注意的五個方面基于安全策略內(nèi)涵的分類內(nèi)涵如下：信息的機(jī)密性、完整性、可用性誰可以以何種方式去訪問什么樣的信息根據(jù)什么來制定訪問策略：用戶ID或其他最大化共享or最小特權(quán)任務(wù)分離？集中管理or分散管理等等基于安全策略內(nèi)涵的分類內(nèi)涵如下：訪問控制策略：針對前兩個方面分類反映系統(tǒng)的機(jī)密性和完整性要求確立相應(yīng)的訪問規(guī)則以控制對系統(tǒng)資源的訪問訪問支持策略：針對后兩個方面分類反映系統(tǒng)的可記賬性要求和可用性要求支持訪問控制策略訪問控制策略：針對前兩個方面分類3.3訪問控制策略訪問控制屬性主體：系統(tǒng)內(nèi)行為的發(fā)起者。通常是用戶發(fā)起的進(jìn)程普通用戶：一個獲得授權(quán)可以訪問系統(tǒng)資源的自然人。

授權(quán)包括：對信息的讀/寫/刪除/追加/執(zhí)行以及授予/撤銷另外一個用戶對信息的訪問權(quán)限等等。信息的擁有者：該用戶擁有對此信息的完全處理權(quán)限（如上），除非，該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員：為使系統(tǒng)能正常云展，而對系統(tǒng)的運(yùn)行進(jìn)行管理的用戶3.3訪問控制策略訪問控制屬性客體：系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者。一般客體：在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實體，如文件、目錄等設(shè)備客體：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等特殊客體：某些主體客體：系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者。系統(tǒng)必須選擇下列三類相關(guān)屬性進(jìn)行訪問控制策略。主體屬性客體屬性系統(tǒng)環(huán)境（上下文）具體而言，涉及如下五個主要方面：系統(tǒng)必須選擇下列三類相關(guān)屬性進(jìn)行訪問控制策略。1）用戶特征，即主體屬性。這是系統(tǒng)用來決定訪問控制的最常用的因素。一個用戶的任何屬性均可作為訪問控制的決策點，如年齡、性別、居住地、出生日期等。常用的有：用戶ID/組ID；

例如用于Unix按位的訪問控制、常規(guī)自主訪問控制用戶訪問許可級別；

例如用于強(qiáng)制訪問控制。“需知”原則；角色；權(quán)能表1）用戶特征，即主體屬性。這是系統(tǒng)用來決定訪問控制的最常用的2）客體特征，即客體屬性也是訪問控制策略的很重要的一部分。一般涉及如下幾個方面：敏感性標(biāo)簽；（用于強(qiáng)制訪問控制）TCSEC中將信息的安全等級分為：

Unclassified（無等級信息）

Confidential（機(jī)密信息）

Secret（秘密信息）

Topsecret（絕密信息）還模擬人力資源系統(tǒng)的分類，形成如下范疇：

如參謀部；作戰(zhàn)部；后勤部。因此，一個敏感性標(biāo)簽由2部分組成：

信息的敏感性級別和范疇2）客體特征，即客體屬性也是訪問控制策略的很重要的一部分。訪問控制表（用于自主訪問控制）表示系統(tǒng)中哪些用戶可以對此信息進(jìn)行何種訪問。由信息的擁有者加以管理。訪問控制表（用于自主訪問控制）3）外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些狀態(tài)來制定的，例如地點，時間，狀態(tài)另外，前述大多屬性為靜態(tài)信息，也有些訪問策略可能是基于動態(tài)信息的地點：例如來自總經(jīng)理辦公室的人員才能被允許看某些文件時間：對系統(tǒng)內(nèi)信息的訪問可能會隨著時間的變化而變化。例如，某報社內(nèi)第二天將要出版的新聞稿：

在第二天早上9點前后的敏感性就不一樣狀態(tài)：例如問一個人問題，他高興與否，結(jié)果可能不一樣…3）外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些狀態(tài)來制定4）數(shù)據(jù)內(nèi)容/上下文屬性某些可能基于數(shù)據(jù)的值。例如Sunny可能不被允許看到月薪超過15K￥的員工的文件。某些可能基于上下文。這種訪問機(jī)制具有較大的動態(tài)性，適用于數(shù)據(jù)庫之類的應(yīng)用5）其他屬性4）數(shù)據(jù)內(nèi)容/上下文屬性自主訪問控制策略“自主”：

允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。自主訪問控制策略通?；谙到y(tǒng)內(nèi)用戶（如用戶ID），加上對用戶的訪問授權(quán)（如權(quán)能表），或者客體的訪問屬性（如訪問控制表ACL）來決定該用戶是否有某權(quán)限訪問該客體或者基于要訪問信息的內(nèi)容或者基于用戶當(dāng)時所處的角色等等自主訪問控制策略“自主”：

允許系統(tǒng)中信息的擁有者按照自己的自主訪問控制機(jī)制：通常在系統(tǒng)中實現(xiàn)。典型方式是

標(biāo)明計算機(jī)系統(tǒng)內(nèi)的用戶和由此用戶發(fā)起的進(jìn)程對系統(tǒng)內(nèi)給定信息的訪問許可。例如：基于位掩碼的保護(hù)方式，Unix基于訪問控制表ACL的保護(hù)方式基于文件密碼的保護(hù)方式自主訪問控制機(jī)制：通常在系統(tǒng)中實現(xiàn)。對于訪問申請，“引用監(jiān)視器”根據(jù)系統(tǒng)自主訪問控制策略來檢查主體、客體及其相應(yīng)的屬性，或被用來實現(xiàn)自主訪問控制的其他屬性訪問屬性VS授權(quán)：允許or不允許對于訪問申請，“引用監(jiān)視器”根據(jù)系統(tǒng)自主訪問控制策略來檢查主自主訪問控制的優(yōu)點：訪問模式設(shè)定靈活。讀；寫；執(zhí)行；“每隔一周的周五可以讀”；“讀完文件x后才能讀此文件”等等具有較好的適應(yīng)性，常用與商用OS和應(yīng)用中缺點：不能防范木馬和某些形式的惡意代碼。思考：一個用戶的經(jīng)典程序中隱藏了木馬，將會如何？？自主訪問控制，往往需要和強(qiáng)制訪問控制結(jié)合起來自主訪問控制的優(yōu)點：自主訪問控制，往往需要和強(qiáng)制訪問控制結(jié)合強(qiáng)制訪問控制策略經(jīng)典場景：軍事機(jī)密及其管理。無密級；保密；機(jī)密；絕密。強(qiáng)制訪問控制，基于上述原型而來。主體/客體：貼上標(biāo)簽引用監(jiān)視器：比較標(biāo)簽，決定是否許可效果：保證完整性和機(jī)密性強(qiáng)制訪問控制策略經(jīng)典場景：軍事機(jī)密及其管理。強(qiáng)制訪問控制的訪問模式比較簡單：讀寫在不同的需求下，訪問控制策略的形式可能不同例如，在機(jī)密性要求下：低讀；高寫；而在完整性要求下：高讀強(qiáng)制訪問控制的訪問模式比較簡單：讀寫最顯著的特征：全局性和永久性無論何時何地，主體和客體的標(biāo)簽是不會改變的。全局性：對特定的信息，從任何地方訪問，它的敏感級別相同永久性：對特定的信息，在任何時間訪問，它的敏感級別相同上述特征在多級安全體系中稱為“寧靜性原則”

（tranquility）一旦不滿足該原則，則無法從根本上防備木馬和惡意代碼最顯著的特征：全局性和永久性偏序關(guān)系對于一個具體的訪問控制策略，若具有全局性和永久性，則其標(biāo)簽集合在數(shù)學(xué)上必會形成“偏序關(guān)系”（partialorder）支配關(guān)系：“≥”滿足偏序關(guān)系的兩個元素x和y，只可能存在3種關(guān)系x≥y；或者y≥x；或者無關(guān)：即x和y不可比偏序關(guān)系的特征反自身性：x≥x反對稱性：若x≥y并且y≥x，則x＝y(tǒng)傳遞性：若x≥y并且y≥z，則x≥z偏序關(guān)系對于一個具體的訪問控制策略，若具有全局性和永久性，則為保持全局性和永久性，標(biāo)簽的選擇不能隨便。舉例，設(shè)主/客體的訪問標(biāo)簽：敏感or公開

且，除周末外，系統(tǒng)內(nèi)“公開”的主體可能訪問“公開”的客體。

破壞了自反性；永久性。又如，允許“公開”的主體可以在周末訪問“敏感”的客體。則“敏感”在周末前支配“公開”，而周末則反過來了。但由于“敏感”不等于“公開”，因此違反了反對稱性，破壞了永久性。再如，引入“私有”標(biāo)簽。如果“私有”主體可以訪問“敏感”客體，同時“敏感”主體可以訪問“公開”客體，但若系統(tǒng)內(nèi)存在某些“公開”客體，不能被“私有”主體訪問，則違反了傳遞性，從而破壞了全局性。為保持全局性和永久性，標(biāo)簽的選擇不能隨便。因此，主客體訪問標(biāo)簽不滿足偏序關(guān)系的訪問控制策略，不能稱為強(qiáng)制訪問控制策略，只能稱之為自主訪問控制策略。即，要么“強(qiáng)制”，要么“自主”，沒有相交的部分兩者最大的區(qū)別在于，是否能夠防備木馬和惡意程序的攻擊若一個系統(tǒng)內(nèi)有2個或以上的強(qiáng)制訪問控制策略，則每個都必須分別滿足偏序關(guān)系。例如機(jī)密性標(biāo)簽；完整性標(biāo)簽。因此，主客體訪問標(biāo)簽不滿足偏序關(guān)系的訪問控制策略，不能稱為強(qiáng)3.4訪問支持策略訪問支持策略，為保障訪問控制策略的正確實施提供可靠的“支持”將系統(tǒng)中的用戶與訪問控制策略中的主體關(guān)聯(lián)起來，即身份的合法性認(rèn)證在用戶進(jìn)入系統(tǒng)后，執(zhí)行與其身份不相稱的操作或非法訪問了它無權(quán)訪問的文件，應(yīng)“記錄在案”等等3.4訪問支持策略訪問支持策略，為保障訪問控制策略的正確實TCSEC中，將訪問支持策略分為6類Identification&authentication，標(biāo)識與鑒別Accountability，可記賬性Assurance，確切保證Continuousprotection，連續(xù)保護(hù)Objectreuse，客體重用Covertchannels，隱通道處理TCSEC中，將訪問支持策略分為6類標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶，并且此身份必須經(jīng)過系統(tǒng)的認(rèn)證與鑒別。在用戶執(zhí)行任何由系統(tǒng)TCB提供的操作前由用戶登錄系統(tǒng)完成TCB將保留用戶的認(rèn)證信息，并以此來驗證用戶的身份身份認(rèn)證信息用戶所知道的：最常見的實現(xiàn)機(jī)制：口令用戶所擁有的用戶是誰標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶，并且此身份必須經(jīng)過系可記賬性策略任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下來TCB必須擁有將用戶ID與它被跟蹤、審計下來的行為聯(lián)系起來的能力審計信息必須有選擇性的保留下來，并受到適當(dāng)?shù)谋Ｗo(hù)一個可信系統(tǒng)必須能夠?qū)⑾到y(tǒng)內(nèi)發(fā)生的所有與安全相關(guān)的事件記錄在審計日志文件中，并且所有的審計數(shù)據(jù)必須防止受到未授權(quán)的侵入、修改或者損壞，以作為日后對事件的調(diào)查的依據(jù)可記賬性策略任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下來TCSEC規(guī)定，審計系統(tǒng)應(yīng)能夠記錄以下事件與標(biāo)識與鑒別機(jī)制相關(guān)的事件將客體導(dǎo)入用戶地址空間的操作，如文件的打開操作，程序的啟動等對客體的刪除由系統(tǒng)管理員和/或系統(tǒng)安全管理員所執(zhí)行的操作以及其他與安全相關(guān)的事件事件的審計記錄項，一般應(yīng)至少包含事件發(fā)生的日期和時間用戶ID事件的類型事件的成功/失敗信息對不同的需求，審計記錄項可能還有其他信息TCSEC規(guī)定，審計系統(tǒng)應(yīng)能夠記錄以下事件確切保證TCSEC中，確切保證是指

系統(tǒng)事先制定的安全策略能夠得到正確地執(zhí)行并且系統(tǒng)保護(hù)相關(guān)的元素能夠真正精確可靠的實施安全策略的意圖。作為擴(kuò)展，確切保證必須

確保系統(tǒng)的TCB嚴(yán)格按照事先設(shè)計的方式來運(yùn)行TCSEC規(guī)定了兩種類型的確切保證生命周期保證：涉及系統(tǒng)設(shè)計、開發(fā)和維護(hù)各個環(huán)節(jié)操作保證確切保證TCSEC中，確切保證是指

系統(tǒng)事先制定的安全策略能生命周期保證安全系統(tǒng)開發(fā)企業(yè)要從系統(tǒng)的設(shè)計、開發(fā)和分發(fā)、安裝、維護(hù)各個環(huán)節(jié)所制定的措施、目標(biāo)以及執(zhí)行的步驟加以保證必須進(jìn)行嚴(yán)格的測試和評估任何改變，都要重新評估包括：安全性測試設(shè)計規(guī)范驗證在B2級以上，還包括配置管理在A級，還要求可信分發(fā)生命周期保證安全系統(tǒng)開發(fā)企業(yè)要從系統(tǒng)的設(shè)計、開發(fā)和分發(fā)、安裝操作保證是指用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能特征和系統(tǒng)架構(gòu)TCSEC要求的操作保證包括系統(tǒng)架構(gòu)系統(tǒng)的完整性B2以上，還包括隱通道分析，可信實施管理以及可信恢復(fù)操作保證是指用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能連續(xù)保護(hù)TCSEC的連續(xù)保護(hù)策略

要求可信機(jī)制的實施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變連續(xù)保護(hù)機(jī)制必須在計算機(jī)系統(tǒng)整個生命周期內(nèi)起作用連續(xù)保護(hù)TCSEC的連續(xù)保護(hù)策略

要求可信機(jī)制的實施必須連續(xù)客體重用TCSEC，C2及以上開始重新分配給某些主體的介質(zhì)（例如內(nèi)存的頁框、磁盤的簇、磁帶）包含有一個或多個客體，為達(dá)到安全的重新分配這些資源的目的，這些資源在重新分配給新的主體時，不能包含任何殘留信息即防止在系統(tǒng)中的存儲介質(zhì)在被重新分配時，確保曾經(jīng)在介質(zhì)中存放過的信息不會泄露給新的主體包括加密形式存在的信息客體重用TCSEC，C2及以上開始隱通道TCSEC關(guān)于隱通道的定義：

可以被進(jìn)程利用來以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道存儲隱通道時間隱通道使用帶寬來衡量低帶寬的威脅?。?lt;100bps)但降低帶寬，會影響合法用戶的使用性能TCSEC從B2級開始要求分析隱通道，并估算其帶寬，從而決定如何處理容忍存在、消除或?qū)徲嬰[通道TCSEC關(guān)于隱通道的定義：

可以被進(jìn)程利用來以違反系3.5DTE策略DTE，Domain&typeenforcementR.O`Brien,C.Rogers,"DevelopingapplicationsonLOCK",