chap：計(jì)算機(jī)安全策略

計(jì)算機(jī)安全CH2：計(jì)算機(jī)安全策略9/16/20232提要系統(tǒng)的安全需求安全策略的定義安全策略的分類(lèi)安全策略的形式化描述安全策路的選擇訪問(wèn)控制的屬性安全策略及其分類(lèi)訪問(wèn)控制策略訪問(wèn)支持策略9/16/20233信息安全與保密的結(jié)構(gòu)層次物理安全安全控制安全服務(wù)9/16/20234物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)及信息的安全保護(hù)，它是網(wǎng)絡(luò)及信息安全的最基本的保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分。該層次上的不安全因素主要有：（1）自然災(zāi)害、物理破壞、設(shè)備保障（2）電磁輻射、乘機(jī)而入、痕跡泄露（3）操作失誤、意外泄露9/16/20235安全控制是指在網(wǎng)絡(luò)及信息安全中對(duì)存儲(chǔ)和傳輸信息的操作進(jìn)行控制和管理。重點(diǎn)是在信息處理層次上對(duì)信息進(jìn)行初步的安全保護(hù)。可分為三個(gè)層次：（1）操作系統(tǒng)的安全控制（2）網(wǎng)絡(luò)接口的安全控制（3）網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制安全控制主要通過(guò)現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實(shí)現(xiàn)，只提供了初步的安全功能和信息保護(hù)。9/16/20236安全服務(wù)是指在應(yīng)用層次上對(duì)信息的保密性、完整性和資源的真實(shí)性進(jìn)行保護(hù)和鑒別。以滿(mǎn)足用戶(hù)安全需求，防止和抵御各種安全威脅和攻擊手段。安全服務(wù)可以在一定程度上彌補(bǔ)和完善現(xiàn)有系統(tǒng)的安全漏洞。

9/16/20237安全服務(wù)主要包括安全機(jī)制：是用來(lái)預(yù)防、檢測(cè)和從安全攻擊中恢復(fù)的機(jī)制，是安全服務(wù)乃至整個(gè)安全系統(tǒng)的核心和關(guān)鍵。安全協(xié)議：是多個(gè)實(shí)體為完成某些任務(wù)所采取的一些列有序步驟。協(xié)議特點(diǎn)：預(yù)先建立、相互同意、非二義性和完整性。9/16/20238安全連接：是在安全處理前網(wǎng)絡(luò)通信雙方之間的連接過(guò)程，主要包括會(huì)話(huà)密鑰產(chǎn)生、分發(fā)和身份驗(yàn)證。安全策略：是決策的集合。它集中體現(xiàn)了一個(gè)組織對(duì)安全的態(tài)度。確切地說(shuō)安全策略對(duì)于可接受的行為以及對(duì)違規(guī)作出何種響應(yīng)確定了界限。安全策略是安全機(jī)制、安全連接和安全協(xié)議的有機(jī)結(jié)合，是信息系統(tǒng)安全性的完整解決方案。安全策略決定了網(wǎng)絡(luò)信息安全系統(tǒng)的整體安全性和實(shí)用性。9/16/20239安全需求大多數(shù)安全策略考慮的是機(jī)密性、完整性、可記賬性、可用性這四項(xiàng)要求，但其側(cè)重點(diǎn)各有不同。例如：軍事安全策略側(cè)重于信息的機(jī)密性要求商用安全策略則偏重于信息的完整性與可記賬性電信部門(mén)側(cè)重于系統(tǒng)的可用性然而，僅考慮某一方面的需求是遠(yuǎn)遠(yuǎn)不夠的，還應(yīng)當(dāng)均衡考慮。系統(tǒng)的安全需求的內(nèi)容機(jī)密性（confidentiality）：防止信息泄露給未授權(quán)的用戶(hù)。完整性（integrity）：防止未授權(quán)的用戶(hù)對(duì)信息的修改。可記賬性（accountability）：防止用戶(hù)對(duì)訪問(wèn)過(guò)的信息或執(zhí)行的操作予以否認(rèn)?？捎眯裕╝vailablity）：保證授權(quán)用戶(hù)對(duì)系統(tǒng)信息的可訪問(wèn)性。9/16/202310信息的機(jī)密性需求美國(guó)國(guó)防部在1985年12月發(fā)布了可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)（TCSEC，“桔皮書(shū)”）對(duì)信息的機(jī)密性做出了具體的要求。提出了“強(qiáng)制安全策略(MAC)”的要求，即系統(tǒng)中所有的信息必須按照其敏感性等級(jí)和所屬部門(mén)分類(lèi)，而系統(tǒng)中的所有用戶(hù)也加以分類(lèi)，以使他們僅能訪問(wèn)那些“需要知道”的信息。強(qiáng)制安全策略也可用于非軍事部門(mén)。9/16/202311信息的機(jī)密性需求另一種用于民用目的的安全策略是“自主安全策略(DAC)”，即每個(gè)信息有一個(gè)所有者，它可以決定是否允許其他用戶(hù)或進(jìn)程對(duì)此信息進(jìn)行訪問(wèn)。9/16/202312信息的完整性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止資源不正確、不適當(dāng)?shù)匦薷模蚴菫榱司S護(hù)系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或?qū)徲?jì)的事件中舞弊行為的發(fā)生。9/16/202313信息的可記賬性需求目的是為了知道用戶(hù)執(zhí)行了什么操作，是誰(shuí)執(zhí)行了該操作等。這對(duì)知曉系統(tǒng)破壞的程度、恢復(fù)丟失信息、評(píng)估系統(tǒng)安全性以及為對(duì)系統(tǒng)造成嚴(yán)重破壞的民事賠償或法律訴訟提供依據(jù)。9/16/202314信息的可用性需求是為了保證系統(tǒng)的順利工作，即保證已獲得授權(quán)的用戶(hù)對(duì)系統(tǒng)信息的可訪問(wèn)性。9/16/2023159/16/202316安全策略所謂安全策略，簡(jiǎn)單地說(shuō)，就是用來(lái)描述用戶(hù)對(duì)安全的要求。在計(jì)算機(jī)安全領(lǐng)域內(nèi)，說(shuō)一個(gè)系統(tǒng)是“安全系統(tǒng)”，其“安全”的概念就是指此系統(tǒng)達(dá)到了當(dāng)初設(shè)計(jì)時(shí)所制定的安全策略的要求。9/16/202317安全策略對(duì)于一個(gè)信息系統(tǒng)而言，其安全策略的制定依據(jù)如下：信息的機(jī)密性、完整性與可用性什么人可以以何種方式去訪問(wèn)什么信息根據(jù)什么來(lái)制定訪問(wèn)決策，例如是根據(jù)用戶(hù)的ID號(hào)呢？還是依據(jù)用戶(hù)的其它什么特征是要最大化的共享，還是要實(shí)現(xiàn)最小特權(quán)是否要實(shí)行任務(wù)的分離對(duì)涉及到系統(tǒng)的安全性屬性的操作是實(shí)行集中管理，還是實(shí)行分散管理……安全策略的分類(lèi)安全策略：是關(guān)于信息系統(tǒng)安全性最高層次的指導(dǎo)原則，是根據(jù)用戶(hù)的需求、設(shè)備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個(gè)層次，從管理活動(dòng)到硬件保護(hù)都要做出安全性決策，其中包括企事業(yè)級(jí)安全決策、行政管理方面的安全決策、有關(guān)數(shù)據(jù)處理設(shè)備及運(yùn)行環(huán)境的安全策略。9/16/202318如“職工的獎(jiǎng)金數(shù)量不公開(kāi)”是企事業(yè)級(jí)的安全決策；“職工的表現(xiàn)記錄在數(shù)據(jù)庫(kù)中保存3年”是行政決策；“修改計(jì)算機(jī)設(shè)備中的應(yīng)用程序至少需要兩位領(lǐng)導(dǎo)的同意”是設(shè)備決策；“保護(hù)存儲(chǔ)器要以2048B為單位”是操作系統(tǒng)決策等。9/16/202319安全策略是決策的集合，是對(duì)于可接受的行為以及應(yīng)對(duì)違規(guī)做出何種響應(yīng)確定了界限。安全策略是對(duì)一個(gè)系統(tǒng)應(yīng)該具有的安全性的描述，只有當(dāng)一個(gè)系統(tǒng)與安全策略相稱(chēng)，也就是說(shuō)該系統(tǒng)能夠滿(mǎn)足對(duì)它的安全要求，這個(gè)系統(tǒng)才是安全的。9/16/202320大多數(shù)安全策略都考慮上述四點(diǎn)要求：機(jī)密性要求完整性要求可記賬性要求可用性要求9/16/2023219/16/202322安全策略的分類(lèi)基于信息系統(tǒng)安全策略的定義和內(nèi)涵，我們將其分為兩大類(lèi)：訪問(wèn)控制策略(AccessControlPolicy)：基于安全策略?xún)?nèi)涵的機(jī)密性和完整性要求，它確立相應(yīng)的訪問(wèn)規(guī)則以控制對(duì)系統(tǒng)資源的訪問(wèn)訪問(wèn)支持策略(AccessSupportingPolicy)：基于安全策略?xún)?nèi)涵的可記賬性要求和可用性要求。由于它是以支持訪問(wèn)控制策略的面貌出現(xiàn)的，故稱(chēng)為訪問(wèn)支持策略。9/16/202323訪問(wèn)控制（AccessControl）定義：是指對(duì)主體訪問(wèn)客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程（存取控制）。訪問(wèn)控制的目的：為了保障資源受控，合法的使用，用戶(hù)只能根據(jù)自己的權(quán)限大小來(lái)訪問(wèn)資源，不能越權(quán)訪問(wèn)。同時(shí)訪問(wèn)控制也是記帳、審計(jì)的前提。訪問(wèn)控制（AccessControl）訪問(wèn)控制是計(jì)算機(jī)保護(hù)中極其重要的一環(huán)，它是在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對(duì)提出的資源訪問(wèn)請(qǐng)求加以限制。9/16/2023249/16/202325一些重要的訪問(wèn)控制策略：1、最小權(quán)限策略：信息限于給那些完成某任務(wù)所需者。2、最大共享策略：是使存儲(chǔ)的信息獲得最大的應(yīng)用。3、訪問(wèn)的開(kāi)放與封閉：在封閉系統(tǒng)中，僅當(dāng)明確的授權(quán)時(shí)才允許訪問(wèn)，在開(kāi)放系統(tǒng)中，則要求除非明確的禁止，訪問(wèn)都允許。前者較安全，是最小權(quán)限策略的基本支持，后者費(fèi)用較少，應(yīng)用于采用最大共享策略的場(chǎng)合。9/16/2023264、離散訪問(wèn)控制：它是根據(jù)請(qǐng)求的主、客體名稱(chēng)作出可否訪問(wèn)的決策，又稱(chēng)名稱(chēng)相關(guān)訪問(wèn)控制。因?yàn)椴恍枰罁?jù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)內(nèi)容就能作出決策，有時(shí)也稱(chēng)為內(nèi)容無(wú)關(guān)訪問(wèn)控制。5、自主訪問(wèn)控制：客體的屬主可以自主地決定哪個(gè)用戶(hù)能夠訪問(wèn)他的資源。9/16/2023276、強(qiáng)制訪問(wèn)控制：主體和客體都有固定的安全屬性，這些安全屬性都刻畫(huà)在主、客體的安全標(biāo)記中。安全標(biāo)記是根據(jù)安全信息流對(duì)系統(tǒng)中的主、客體統(tǒng)一標(biāo)定的。可否訪問(wèn)的決策是依據(jù)請(qǐng)求訪問(wèn)的主、客體統(tǒng)一制定的，又稱(chēng)為非離散訪問(wèn)控制。它遠(yuǎn)比離散訪問(wèn)控制安全，但實(shí)現(xiàn)起來(lái)較困難。9/16/2023287、內(nèi)容相關(guān)及其他訪問(wèn)控制：內(nèi)容相關(guān)：訪問(wèn)與否與客體當(dāng)前的數(shù)據(jù)有關(guān)；上下文相關(guān)：允許訪問(wèn)條件是數(shù)據(jù)集合的函數(shù)；時(shí)間相關(guān)：允許訪問(wèn)條件是系統(tǒng)時(shí)鐘的函數(shù)；歷史相關(guān)：允許訪問(wèn)條件是系統(tǒng)先前狀態(tài)的函數(shù)。9/16/202329訪問(wèn)控制的屬性一般來(lái)說(shuō)，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問(wèn)控制策略相關(guān)的因素有三大類(lèi)：主體(用戶(hù))：就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶(hù)發(fā)起的進(jìn)程?？腕w(文件、目錄、數(shù)據(jù)庫(kù)等)：指在計(jì)算機(jī)系統(tǒng)內(nèi)所有的主體行為的直接承擔(dān)者。相應(yīng)的可用作訪問(wèn)控制的主體屬性、客體屬性。9/16/202330主體一般可分為如下幾類(lèi)：普通用戶(hù)(User)：一個(gè)獲得授權(quán)可以訪問(wèn)系統(tǒng)資源的自然人。在一個(gè)計(jì)算機(jī)系統(tǒng)中，相應(yīng)的授權(quán)包括對(duì)信息的讀、寫(xiě)、刪除、追加、執(zhí)行以及授予或撤銷(xiāo)另外一個(gè)用戶(hù)對(duì)信息的訪問(wèn)權(quán)限等等。對(duì)某些信息而言，此用戶(hù)可能是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：一般情況下，信息的擁有者指的是該用戶(hù)擁有對(duì)此信息的完全處理權(quán)限，包括讀、寫(xiě)、修改和刪除該信息的權(quán)限以及它可以授權(quán)其它用戶(hù)對(duì)其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問(wèn)控制。系統(tǒng)管理員(SystemAdministrator)：為使系統(tǒng)能進(jìn)行正常運(yùn)轉(zhuǎn)，而對(duì)系統(tǒng)的運(yùn)行進(jìn)行管理的用戶(hù)。例如在普通的UNIX系統(tǒng)中，ROOT用戶(hù)即為系統(tǒng)管理員。9/16/202331客體總的來(lái)說(shuō)，系統(tǒng)內(nèi)的客體也可以分為三大類(lèi)：一般客體(GeneralObject)：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實(shí)體，如文件、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤(pán)、打印機(jī)等。特殊客體(SpecialObject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程的行為的承擔(dān)者，那么這類(lèi)進(jìn)程也是屬于客體的一部分。9/16/202332主、客體屬性另外，信息系統(tǒng)的訪問(wèn)控制策略除了涉及到主、客體之外，還包括以下幾個(gè)因素：將要訪問(wèn)該信息的用戶(hù)的屬性，即主體的屬性(例如，用戶(hù)ID號(hào)或許可級(jí)別等)；將要被訪問(wèn)的信息的屬性，即客體的屬性(例如信息的安全性級(jí)別，信息來(lái)源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個(gè)時(shí)候，系統(tǒng)狀態(tài)等等)。9/16/202333每一個(gè)系統(tǒng)必須選擇以上三類(lèi)相關(guān)的屬性來(lái)進(jìn)行訪問(wèn)控制的決策。一般來(lái)說(shuō)，信息安全策略的制定就是通過(guò)比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來(lái)制定的。分別從以上幾類(lèi)屬性來(lái)對(duì)訪問(wèn)控制策略的基礎(chǔ)進(jìn)行具體說(shuō)明，共分五個(gè)方面：主體特征、客體特征、外部狀況、數(shù)據(jù)內(nèi)容/上下文屬性以及其他屬性。9/16/202334主體屬性(用戶(hù)特征)用戶(hù)特征是系統(tǒng)用來(lái)決定訪問(wèn)控制的最常用的因素。通常一個(gè)用戶(hù)的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問(wèn)控制的決策點(diǎn)。下面就是在一般系統(tǒng)訪問(wèn)控制策略中最常用的幾種用戶(hù)屬性：用戶(hù)ID╱組ID：用戶(hù)訪問(wèn)許可級(jí)別“需知”原則(need-to-know)角色能力列表(CapabilityList)9/16/202335客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來(lái)作為訪問(wèn)控制的條件外，與系統(tǒng)內(nèi)客體(即信息)相關(guān)聯(lián)的屬性也作為訪問(wèn)控制策略的一部分。一般來(lái)說(shuō)，客體的特征屬性有如下幾個(gè)方面：敏感性標(biāo)簽：由信息的敏感性級(jí)別和范疇兩部分組成訪問(wèn)列表（accesslist）9/16/202336外部狀態(tài)某些策略是基于系統(tǒng)主客體屬性之外的某些因素來(lái)制定的，例如時(shí)間、地點(diǎn)或者狀態(tài)。另外，上面所述的大多數(shù)屬性均屬于靜態(tài)信息，但也有些訪問(wèn)策略可能是基于某些動(dòng)態(tài)信息。9/16/202337數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問(wèn)控制策略可能基于數(shù)據(jù)的內(nèi)容。例如，用戶(hù)Sunny可能不被允許看到那些月薪超過(guò)15000RMB的員工的文件。更為復(fù)雜的訪問(wèn)控制策略可能是基于上下文的，這在數(shù)據(jù)庫(kù)系統(tǒng)中經(jīng)常用到。使用靜態(tài)的信息標(biāo)簽是用人工的方法來(lái)決定信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容/上下文的動(dòng)態(tài)訪問(wèn)機(jī)制則被認(rèn)為是取代靜態(tài)標(biāo)簽的一種潛在的方法。9/16/202338訪問(wèn)控制策略自主訪問(wèn)控制(DiscretionaryAccessControlPolicy，DAC)強(qiáng)制訪問(wèn)控制(MandatoryAccessControlPolicy，MAC)9/16/202339自主訪問(wèn)控制策略自主性：它允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰(shuí)可以以何種訪問(wèn)模式去訪問(wèn)該客體。一般來(lái)說(shuō)，自主訪問(wèn)控制策略是基于系統(tǒng)內(nèi)用戶(hù)以及訪問(wèn)授權(quán)或者客體的訪問(wèn)屬性來(lái)決定該用戶(hù)是否有相應(yīng)的權(quán)限訪問(wèn)該客體。也可能是基于要訪問(wèn)的信息的內(nèi)容或是基于用戶(hù)在發(fā)出對(duì)信息訪問(wèn)時(shí)的相應(yīng)請(qǐng)求所充當(dāng)?shù)慕巧珌?lái)進(jìn)行訪問(wèn)控制的。9/16/202340實(shí)際的計(jì)算機(jī)系統(tǒng)中，自主訪問(wèn)控制策略由一個(gè)三元組(S，O，A)表示，其中S表示主體，O表示客體，A表示訪問(wèn)模式。當(dāng)用戶(hù)申請(qǐng)以某種方式訪問(wèn)某一個(gè)客體時(shí)，系統(tǒng)“引用監(jiān)控器”就根據(jù)系統(tǒng)自主訪問(wèn)控制策略來(lái)檢查主、客體及其相應(yīng)的屬性或被用來(lái)實(shí)現(xiàn)自主訪問(wèn)控制的其他屬性。如果申請(qǐng)的訪問(wèn)屬性與系統(tǒng)內(nèi)所指定的授權(quán)相同，則授予該主體所申請(qǐng)的訪問(wèn)許可權(quán)，否則則拒絕該用戶(hù)對(duì)此信息的訪問(wèn)。9/16/202341自主訪問(wèn)控制策略的優(yōu)點(diǎn)能夠提供比強(qiáng)制訪問(wèn)控制策略更為精細(xì)的訪問(wèn)控制粒度。它能夠?qū)⑺O(shè)的訪問(wèn)控制策略細(xì)化到具體的某個(gè)人。相對(duì)于強(qiáng)制訪問(wèn)控制策略中的訪問(wèn)模式只能是“讀”和“寫(xiě)”兩種而言，自主訪問(wèn)控制策略“自主”的優(yōu)點(diǎn)還表現(xiàn)在它的訪問(wèn)模式的設(shè)定非常靈活。例如，我們可以將它設(shè)為“每隔一周的周五可以讀此文件”或“只有讀完文件1后才能讀此文件”等等。自主訪問(wèn)控制策略卓越的靈活性特征使得它適用于各種各樣的操作系統(tǒng)和應(yīng)用程序，因而使得它在各種情況下得到大量的應(yīng)用。9/16/202342自主訪問(wèn)控制策略的缺點(diǎn)自主訪問(wèn)控制策略中危害最大的是它不能防范“特洛伊木馬”或某些形式的“惡意程序”。例如，如果某程序中隱藏了“特洛伊木馬”，此“特洛伊木馬”一經(jīng)用戶(hù)執(zhí)行，即可將所有屬于他的并且只對(duì)他的文件在某一目錄下生成一份拷貝；與此同時(shí)，還將這份拷貝設(shè)為系統(tǒng)中所有其他用戶(hù)均可讀。如此一來(lái)，這些原本屬于該用戶(hù)的、并且只能他自己讀的文件如今已變得眾人皆知了。這樣，對(duì)這些文件的自主訪問(wèn)控制機(jī)制就形同虛設(shè)。為解決此類(lèi)問(wèn)題，在系統(tǒng)內(nèi)實(shí)現(xiàn)自主訪問(wèn)控制的同時(shí)，利用強(qiáng)制訪問(wèn)控制策略加強(qiáng)系統(tǒng)的安全性是必要的。9/16/202343強(qiáng)制訪問(wèn)控制策略在強(qiáng)制訪問(wèn)控制機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶(hù)或主體根據(jù)他對(duì)敏感性客體的訪問(wèn)許可級(jí)別被賦予一個(gè)訪問(wèn)標(biāo)簽；同樣地，系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一敏感性標(biāo)簽以反映該信息的敏感性級(jí)別。系統(tǒng)內(nèi)的“引用監(jiān)視器”通過(guò)比較主、客體相應(yīng)的標(biāo)簽來(lái)決定是否授予一個(gè)主體對(duì)客體的訪問(wèn)請(qǐng)求。所謂“強(qiáng)制”，就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶(hù)和他們的進(jìn)程不能修改這些屬性。9/16/202344

強(qiáng)制訪問(wèn)控制的實(shí)質(zhì)是對(duì)系統(tǒng)當(dāng)中所有的客體和所有的主體分配敏感性標(biāo)簽（sensitivitylabel），用戶(hù)的敏感性標(biāo)簽指定了該用戶(hù)的敏感等級(jí)或信任等級(jí)，也稱(chēng)為安全許可（clearance）；而文件的敏感標(biāo)簽說(shuō)明了訪問(wèn)該文件的用戶(hù)必須具備的信任等級(jí)。在大多系統(tǒng)內(nèi)(例如單域系統(tǒng)，即一進(jìn)程只擁有一個(gè)域)，主體只有一個(gè)訪問(wèn)標(biāo)簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個(gè)進(jìn)程擁有多個(gè)域)，一個(gè)主體可能有多個(gè)訪問(wèn)標(biāo)簽(每一個(gè)域的進(jìn)程擁有一個(gè)標(biāo)簽，分別代表著不同的含義)。9/16/202345強(qiáng)制訪問(wèn)控制策略既可以用來(lái)防止對(duì)信息的非授權(quán)的篡改，又可以防止未授權(quán)的信息泄露。在一個(gè)特定的強(qiáng)制訪問(wèn)控制策略中，標(biāo)簽可以以不同的形式來(lái)實(shí)現(xiàn)信息的完整性和機(jī)密性。例如在國(guó)防部門(mén)，標(biāo)簽可能是“秘密”、“機(jī)密”、“絕密”等等；而在一個(gè)企業(yè)內(nèi)，標(biāo)簽很可能是“公共信息”、“私有信息”(為保證信息的機(jī)密性)，或是“技術(shù)信息”、“管理信息”(為保證信息的完整性)；另外，它還可以表示不同的部門(mén)分工，如“財(cái)務(wù)部”、“人事部”、“技術(shù)部”等等，每個(gè)部門(mén)的人只能訪問(wèn)同一部門(mén)的信息。9/16/202346在強(qiáng)制訪問(wèn)控制策略中，其訪問(wèn)三元組(S，O，A)與自主訪問(wèn)控制策略相同。但此三元組內(nèi)的訪問(wèn)模式A與自主訪問(wèn)控制策略中的訪問(wèn)模式有所不同。后者可以有非常靈活的形式，而前者只有兩種，即“讀”和“寫(xiě)”。在不同的情況下，其訪問(wèn)控制策略在形式上有可能表現(xiàn)不同：例如在有些情況下(如保證信息的機(jī)密性)，主體對(duì)客體要想擁有讀權(quán)限，當(dāng)且僅當(dāng)主體的訪問(wèn)標(biāo)簽“高于”客體的敏感性標(biāo)簽；而在另外一些情況下(如保證信息的完整性)可能正好相反，即主體要想讀訪問(wèn)客體，其完整性標(biāo)簽要“低于”客體的完整性標(biāo)簽。9/16/202347強(qiáng)制訪問(wèn)控制策略的特性強(qiáng)制訪問(wèn)控制策略最顯著的特征是其“全局性”(Global)和“永久性”(Persistent)?！叭中浴钡暮x是指對(duì)特定的信息，無(wú)論它處于何地，其敏感性級(jí)別相同而“永久性”的含義則是指對(duì)特定的信息，無(wú)論在何時(shí)其敏感性程序相同換句話(huà)說(shuō)，在強(qiáng)制訪問(wèn)控制策略中，無(wú)論何時(shí)何地，主、客體的標(biāo)簽是不會(huì)改變的。這一特征在多級(jí)安全體系統(tǒng)中稱(chēng)為“寧?kù)o性原則”(tranquility)。9/16/202348強(qiáng)制訪問(wèn)控制策略的特性對(duì)于一個(gè)具體的訪問(wèn)控制策略而言，如果它具有以上兩個(gè)特征（全局性、永久性），那么其標(biāo)簽的集合在數(shù)學(xué)上必會(huì)形成“偏序關(guān)系”(partialorder)9/16/202349偏序關(guān)系由于訪問(wèn)標(biāo)簽的集合具有偏序的關(guān)系，因此其集合內(nèi)的元素之間的比較可以用“支配”關(guān)系來(lái)描述，在數(shù)學(xué)上將這種關(guān)系以“≧”來(lái)表示：對(duì)兩個(gè)符合“偏序關(guān)系”的元素x和y來(lái)說(shuō)，它們之間只存在三種關(guān)系，即x支配y(寫(xiě)作x≧y)，y支配x(寫(xiě)作y≧x)，x與y無(wú)關(guān)(xy且yx)，并且它們?cè)跀?shù)學(xué)上具有三個(gè)基本的特征：自反性(reflexivity)反對(duì)稱(chēng)性(antisymmetry)傳遞性(transitivity)9/16/202350上述三種基本的特征，用“偏序關(guān)系”來(lái)表示如下(假設(shè)有三個(gè)符合上述三種基本的特征的元素x、y和z)：自反性(reflexivity)：反對(duì)稱(chēng)性(antisymmetry)：傳遞性(transitivity)：如果在訪問(wèn)控制策略中，訪問(wèn)標(biāo)簽集合中元素間的關(guān)系與上述三種特征之一不符，則強(qiáng)制訪問(wèn)策略的兩大特征“全局性”和“永久性”必有一個(gè)要遭到破壞，從而使得該訪問(wèn)控制策略不能從根本上防備“特洛伊木馬”或惡意程序的攻擊。 9/16/202351自反性被破壞示例考慮在一個(gè)訪問(wèn)控制策略中，主、客體的訪問(wèn)標(biāo)簽分別是“敏感”和“公開(kāi)”中的一個(gè)，并且指定除了周末外，系統(tǒng)內(nèi)的“公開(kāi)”的主體可能訪問(wèn)“公開(kāi)”的客體，這就造成了同一訪問(wèn)級(jí)別的標(biāo)簽不能總是支配其本身，即，這與“偏序關(guān)系”中的“自反性原則”相違背，使得強(qiáng)制訪問(wèn)控制策略中的“永久性”特征遭到破壞；9/16/202352反對(duì)稱(chēng)性原則被破壞示例如果訪問(wèn)控制策略指定“公開(kāi)”的主體可在每周末訪問(wèn)“敏感”客體，則訪問(wèn)標(biāo)簽“敏感”在周末前支配標(biāo)簽“公開(kāi)”；而在周末，訪問(wèn)標(biāo)簽“公開(kāi)”支配標(biāo)簽“敏感”，但這兩個(gè)標(biāo)簽并不相等，即并且x1≠y1，但是有和，這就違反了“反對(duì)稱(chēng)性”原則，同樣造成了強(qiáng)制訪問(wèn)控制策略中“永久性”特征的破壞。9/16/202353傳遞性原則被破壞示例類(lèi)似地，如果在一個(gè)訪問(wèn)控制策略中，除了使用標(biāo)簽“敏感”和標(biāo)簽“公開(kāi)”外，還使用了標(biāo)簽“私有”，如果“私有”主體可以訪問(wèn)“敏感”客體，同時(shí)“敏感”主體可以訪問(wèn)“公開(kāi)”客體，但是如果系統(tǒng)內(nèi)存在有某些“公開(kāi)”客體不能被“私有”主體訪問(wèn)，即，但，則違反了“傳遞性”原則，從而造成了強(qiáng)制訪問(wèn)控制策略的“全局性”的破壞。9/16/202354兩種訪問(wèn)控制策略的關(guān)系對(duì)于訪問(wèn)控制策略而言，要么是“強(qiáng)制的”，要么是“自主的”，二者之間沒(méi)有相交的部分。如上所述的訪問(wèn)控制策略使用的主、客體訪問(wèn)標(biāo)簽由于不滿(mǎn)足“偏序”關(guān)系，違背了強(qiáng)制訪問(wèn)控制策略的兩大主要特征之一，因此不屬于強(qiáng)制訪問(wèn)控