chap2：計算機安全策略

計算機平安CH2：計算機平安戰(zhàn)略1/24/20242提要系統(tǒng)的平安需求平安戰(zhàn)略的定義平安戰(zhàn)略的分類平安戰(zhàn)略的方式化描畫平安策路的選擇訪問控制的屬性平安戰(zhàn)略及其分類訪問控制戰(zhàn)略訪問支持戰(zhàn)略1/24/20243信息平安與嚴密的構(gòu)造層次物理平安平安控制平安效力1/24/20244物理平安是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)及信息的平安維護，它是網(wǎng)絡(luò)及信息平安的最根本的保證，是整個平安系統(tǒng)不可短少和忽視的組成部分。該層次上的不平安要素主要有：〔1〕自然災禍、物理破壞、設(shè)備保證〔2〕電磁輻射、乘機而入、痕跡泄露〔3〕操作失誤、不測泄露1/24/20245平安控制是指在網(wǎng)絡(luò)及信息平安中對存儲和傳輸信息的操作進展控制和管理。重點是在信息處置層次上對信息進展初步的平安維護?？煞譃槿齻€層次：〔1〕操作系統(tǒng)的平安控制〔2〕網(wǎng)絡(luò)接口的平安控制〔3〕網(wǎng)絡(luò)互聯(lián)設(shè)備的平安控制平安控制主要經(jīng)過現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實現(xiàn)，只提供了初步的平安功能和信息維護。1/24/20246平安效力是指在運用層次上對信息的嚴密性、完好性和資源的真實性進展維護和鑒別。以滿足用戶平安需求，防止和抵御各種平安要挾和攻擊手段。平安效力可以在一定程度上彌補和完善現(xiàn)有系統(tǒng)的平安破綻。

1/24/20247平安效力主要包括平安機制：是用來預防、檢測和從平安攻擊中恢復的機制，是平安效力乃至整個平安系統(tǒng)的中心和關(guān)鍵。平安協(xié)議：是多個實體為完成某些義務(wù)所采取的一些列有序步驟。協(xié)議特點：預先建立、相互贊同、非二義性和完好性。1/24/20248平安銜接：是在平安處置前網(wǎng)絡(luò)通訊雙方之間的銜接過程，主要包括會話密鑰產(chǎn)生、分發(fā)和身份驗證。平安戰(zhàn)略：是決策的集合。它集中表達了一個組織對平安的態(tài)度。確切地說平安戰(zhàn)略對于可接受的行為以及對違規(guī)作出何種呼應確定了界限。平安戰(zhàn)略是平安機制、平安銜接和平安協(xié)議的有機結(jié)合，是信息系統(tǒng)平安性的完益處理方案。平安戰(zhàn)略決議了網(wǎng)絡(luò)信息平安系統(tǒng)的整體平安性和適用性。1/24/20249平安需求大多數(shù)平安戰(zhàn)略思索的是性、完好性、可記賬性、可用性這四項要求，但其偏重點各有不同。例如：軍事平安戰(zhàn)略偏重于信息的性要求商用平安戰(zhàn)略那么偏重于信息的完好性與可記賬性電信部門偏重于系統(tǒng)的可用性然而，僅思索某一方面的需求是遠遠不夠的，還該當平衡思索。系統(tǒng)的平安需求的內(nèi)容性〔confidentiality〕：防止信息泄露給未授權(quán)的用戶。完好性〔integrity〕：防止未授權(quán)的用戶對信息的修正?？捎涃~性〔accountability〕：防止用戶對訪問過的信息或執(zhí)行的操作予以否認?？捎眯浴瞐vailablity〕：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。1/24/202410信息的性需求美國國防部在1985年12月發(fā)布了可信計算機評價規(guī)范〔TCSEC，“桔皮書〞〕對信息的性做出了詳細的要求。提出了“強迫平安戰(zhàn)略(MAC)〞的要求，即系統(tǒng)中一切的信息必需按照其敏感性等級和所屬部門分類，而系統(tǒng)中的一切用戶也加以分類，以使他們僅能訪問那些“需求知道〞的信息。強迫平安戰(zhàn)略也可用于非軍事部門。1/24/202411信息的性需求另一種用于民用目的的平安戰(zhàn)略是“自主平安戰(zhàn)略(DAC)〞，即每個信息有一個一切者，它可以決議能否允許其他用戶或進程對此信息進展訪問。1/24/202412信息的完好性需求指維護系統(tǒng)資源在一個有效的、預期的形狀，防止資源不正確、不適當?shù)匦拚蚴菫榱司S護系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或?qū)徲嫷氖录形璞仔袨榈陌l(fā)生。1/24/202413信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行了該操作等。這對知曉系統(tǒng)破壞的程度、恢復喪失信息、評價系統(tǒng)平安性以及為對系統(tǒng)呵斥嚴重破壞的民事賠償或法律訴訟提供根據(jù)。1/24/202414信息的可用性需求是為了保證系統(tǒng)的順利任務(wù)，即保證已獲得授權(quán)的用戶對系統(tǒng)信息的可訪問性。1/24/2024151/24/202416平安戰(zhàn)略所謂平安戰(zhàn)略，簡單地說，就是用來描畫用戶對平安的要求。在計算機平安領(lǐng)域內(nèi)，說一個系統(tǒng)是“平安系統(tǒng)〞，其“平安〞的概念就是指此系統(tǒng)到達了當初設(shè)計時所制定的平安戰(zhàn)略的要求。1/24/202417平安戰(zhàn)略對于一個信息系統(tǒng)而言，其平安戰(zhàn)略的制定根據(jù)如下：信息的性、完好性與可用性什么人可以以何種方式去訪問什么信息根據(jù)什么來制定訪問決策，例如是根據(jù)用戶的ID號呢？還是根據(jù)用戶的其它什么特征是要最大化的共享，還是要實現(xiàn)最小特權(quán)能否要實行義務(wù)的分別對涉及到系統(tǒng)的平安性屬性的操作是實行集中管理，還是實行分散管理……平安戰(zhàn)略的分類平安戰(zhàn)略：是關(guān)于信息系統(tǒng)平安性最高層次的指點原那么，是根據(jù)用戶的需求、設(shè)備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個層次，從管理活動到硬件維護都要做出平安性決策，其中包括企事業(yè)級平安決策、行政管理方面的平安決策、有關(guān)數(shù)據(jù)處置設(shè)備及運轉(zhuǎn)環(huán)境的平安戰(zhàn)略。1/24/202418如“職工的獎金數(shù)量不公開〞是企事業(yè)級的平安決策；“職工的表現(xiàn)記錄在數(shù)據(jù)庫中保管3年〞是行政決策；“修正計算機設(shè)備中的運用程序至少需求兩位指點的贊同〞是設(shè)備決策；“維護存儲器要以2048B為單位〞是操作系統(tǒng)決策等。1/24/202419平安戰(zhàn)略是決策的集合，是對于可接受的行為以及應對違規(guī)做出何種呼應確定了界限。平安戰(zhàn)略是對一個系統(tǒng)應該具有的平安性的描畫，只需當一個系統(tǒng)與平安戰(zhàn)略相稱，也就是說該系統(tǒng)可以滿足對它的平安要求，這個系統(tǒng)才是平安的。1/24/202420大多數(shù)平安戰(zhàn)略都思索上述四點要求：性要求完好性要求可記賬性要求可用性要求1/24/2024211/24/202422平安戰(zhàn)略的分類基于信息系統(tǒng)平安戰(zhàn)略的定義和內(nèi)涵，我們將其分為兩大類：訪問控制戰(zhàn)略(AccessControlPolicy)：基于平安戰(zhàn)略內(nèi)涵的性和完好性要求，它確立相應的訪問規(guī)那么以控制對系統(tǒng)資源的訪問訪問支持戰(zhàn)略(AccessSupportingPolicy)：基于平安戰(zhàn)略內(nèi)涵的可記賬性要求和可用性要求。由于它是以支持訪問控制戰(zhàn)略的容顏出現(xiàn)的，故稱為訪問支持戰(zhàn)略。1/24/202423訪問控制〔AccessControl〕定義：是指對主體訪問客體的權(quán)限或才干的限制，以及限制進入物理區(qū)域〔出入控制〕和限制運用計算機系統(tǒng)和計算機存儲數(shù)據(jù)的過程〔存取控制〕。訪問控制的目的：為了保證資源受控，合法的運用，用戶只能根據(jù)本人的權(quán)限大小來訪問資源，不能越權(quán)訪問。同時訪問控制也是記帳、審計的前提。訪問控制〔AccessControl〕訪問控制是計算機維護中極其重要的一環(huán)，它是在身份識別的根底上，根據(jù)身份對提出的資源訪問懇求加以限制。1/24/2024241/24/202425一些重要的訪問控制戰(zhàn)略：1、最小權(quán)限戰(zhàn)略：信息限于給那些完成某義務(wù)所需者。2、最大共享戰(zhàn)略：是使存儲的信息獲得最大的運用。3、訪問的開放與封鎖：在封鎖系統(tǒng)中，僅當明確的授權(quán)時才允許訪問，在開放系統(tǒng)中，那么要求除非明確的制止，訪問都允許。前者較平安，是最小權(quán)限戰(zhàn)略的根本支持，后者費用較少，運用于采用最大共享戰(zhàn)略的場所。1/24/2024264、離散訪問控制：它是根據(jù)懇求的主、客體稱號作出可否訪問的決策，又稱稱號相關(guān)訪問控制。由于不需求根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)內(nèi)容就能作出決策，有時也稱為內(nèi)容無關(guān)訪問控制。5、自主訪問控制：客體的屬主可以自主地決議哪個用戶可以訪問他的資源。1/24/2024276、強迫訪問控制：主體和客體都有固定的平安屬性，這些平安屬性都描寫在主、客體的平安標志中。平安標志是根據(jù)平安信息流對系統(tǒng)中的主、客體一致標定的?？煞裨L問的決策是根據(jù)懇求訪問的主、客體一致制定的，又稱為非離散訪問控制。它遠比離散訪問控制平安，但實現(xiàn)起來較困難。1/24/2024287、內(nèi)容相關(guān)及其他訪問控制：內(nèi)容相關(guān)：訪問與否與客體當前的數(shù)據(jù)有關(guān)；上下文相關(guān)：允許訪問條件是數(shù)據(jù)集合的函數(shù)；時間相關(guān)：允許訪問條件是系統(tǒng)時鐘的函數(shù)；歷史相關(guān)：允許訪問條件是系統(tǒng)先前形狀的函數(shù)。1/24/202429訪問控制的屬性普通來說，在計算機系統(tǒng)內(nèi)和訪問控制戰(zhàn)略相關(guān)的要素有三大類：主體(用戶)：就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進程。客體(文件、目錄、數(shù)據(jù)庫等)：指在計算機系統(tǒng)內(nèi)一切的主體行為的直接承當者。相應的可用作訪問控制的主體屬性、客體屬性。1/24/202430主體普通可分為如下幾類：普通用戶(User)：一個獲得授權(quán)可以訪問系統(tǒng)資源的自然人。在一個計算機系統(tǒng)中，相應的授權(quán)包括對信息的讀、寫、刪除、追加、執(zhí)行以及授予或撤銷另外一個用戶對信息的訪問權(quán)限等等。對某些信息而言，此用戶能夠是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：普通情況下，信息的擁有者指的是該用戶擁有對此信息的完全處置權(quán)限，包括讀、寫、修正和刪除該信息的權(quán)限以及它可以授權(quán)其它用戶對其所擁有的信息擁有某些相應的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員(SystemAdministrator)：為使系統(tǒng)能進展正常運轉(zhuǎn)，而對系統(tǒng)的運轉(zhuǎn)進展管理的用戶。例如在普通的UNIX系統(tǒng)中，ROOT用戶即為系統(tǒng)管理員。1/24/202431客體總的來說，系統(tǒng)內(nèi)的客體也可以分為三大類：普通客體(GeneralObject)：指在系統(tǒng)內(nèi)以客觀、詳細的方式存在的信息實體，如文件、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機等。特殊客體(SpecialObject)：有時系統(tǒng)內(nèi)的某些進程也是另外一些進程的行為的承當者，那么這類進程也是屬于客體的一部分。1/24/202432主、客體屬性另外，信息系統(tǒng)的訪問控制戰(zhàn)略除了涉及到主、客體之外，還包括以下幾個要素：將要訪問該信息的用戶的屬性，即主體的屬性(例如，用戶ID號或答應級別等)；將要被訪問的信息的屬性，即客體的屬性(例如信息的平安性級別，信息來源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個時候，系統(tǒng)形狀等等)。1/24/202433每一個系統(tǒng)必需選擇以上三類相關(guān)的屬性來進展訪問控制的決策。普通來說，信息平安戰(zhàn)略的制定就是經(jīng)過比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來制定的。分別從以上幾類屬性來對訪問控制戰(zhàn)略的根底進展詳細闡明，共分五個方面：主體特征、客體特征、外部情況、數(shù)據(jù)內(nèi)容/上下文屬性以及其他屬性。1/24/202434主體屬性(用戶特征)用戶特征是系統(tǒng)用來決議訪問控制的最常用的要素。通常一個用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策點。下面就是在普通系統(tǒng)訪問控制戰(zhàn)略中最常用的幾種用戶屬性：用戶ID╱組ID：用戶訪問答應級別“需知〞原那么(need-to-know)角色才干列表(CapabilityList)1/24/202435客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內(nèi)客體(即信息)相關(guān)聯(lián)的屬性也作為訪問控制戰(zhàn)略的一部分。普通來說，客體的特征屬性有如下幾個方面：敏感性標簽：由信息的敏感性級別和范疇兩部分組成訪問列表〔accesslist〕1/24/202436外部形狀某些戰(zhàn)略是基于系統(tǒng)主客體屬性之外的某些要素來制定的，例如時間、地點或者形狀。另外，上面所述的大多數(shù)屬性均屬于靜態(tài)信息，但也有些訪問戰(zhàn)略能夠是基于某些動態(tài)信息。1/24/202437數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制戰(zhàn)略能夠基于數(shù)據(jù)的內(nèi)容。例如，用戶Sunny能夠不被允許看到那些月薪超越15000RMB的員工的文件。更為復雜的訪問控制戰(zhàn)略能夠是基于上下文的，這在數(shù)據(jù)庫系統(tǒng)中經(jīng)常用到。運用靜態(tài)的信息標簽是用人工的方法來決議信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容/上下文的動態(tài)訪問機制那么被以為是取代靜態(tài)標簽的一種潛在的方法。1/24/202438訪問控制戰(zhàn)略自主訪問控制(DiscretionaryAccessControlPolicy，DAC)強迫訪問控制(MandatoryAccessControlPolicy，MAC)1/24/202439自主訪問控制戰(zhàn)略自主性：它允許系統(tǒng)中信息的擁有者按照本人的志愿去指定誰可以以何種訪問方式去訪問該客體。普通來說，自主訪問控制戰(zhàn)略是基于系統(tǒng)內(nèi)用戶以及訪問授權(quán)或者客體的訪問屬性來決議該用戶能否有相應的權(quán)限訪問該客體。也能夠是基于要訪問的信息的內(nèi)容或是基于用戶在發(fā)出對信息訪問時的相應懇求所充任的角色來進展訪問控制的。1/24/202440實踐的計算機系統(tǒng)中，自主訪問控制戰(zhàn)略由一個三元組(S，O，A)表示，其中S表示主體，O表示客體，A表示訪問方式。當用戶懇求以某種方式訪問某一個客體時，系統(tǒng)“援用監(jiān)控器〞就根據(jù)系統(tǒng)自主訪問控制戰(zhàn)略來檢查主、客體及其相應的屬性或被用來實現(xiàn)自主訪問控制的其他屬性。假設(shè)懇求的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)一樣，那么授予該主體所懇求的訪問答應權(quán)，否那么那么回絕該用戶對此信息的訪問。1/24/202441自主訪問控制戰(zhàn)略的優(yōu)點可以提供比強迫訪問控制戰(zhàn)略更為精細的訪問控制粒度。它可以將所設(shè)的訪問控制戰(zhàn)略細化到詳細的某個人。相對于強迫訪問控制戰(zhàn)略中的訪問方式只能是“讀〞和“寫〞兩種而言，自主訪問控制戰(zhàn)略“自主〞的優(yōu)點還表如今它的訪問方式的設(shè)定非常靈敏。例如，我們可以將它設(shè)為“每隔一周的周五可以讀此文件〞或“只需讀完文件1后才干讀此文件〞等等。自主訪問控制戰(zhàn)略杰出的靈敏性特征使得它適用于各種各樣的操作系統(tǒng)和運用程序，因此使得它在各種情況下得到大量的運用。1/24/202442自主訪問控制戰(zhàn)略的缺陷自主訪問控制戰(zhàn)略中危害最大的是它不能防備“特洛伊木馬〞或某些方式的“惡意程序〞。例如，假設(shè)某程序中隱藏了“特洛伊木馬〞，此“特洛伊木馬〞一經(jīng)用戶執(zhí)行，即可將一切屬于他的并且只對他的文件在某一目錄下生成一份拷貝；與此同時，還將這份拷貝設(shè)為系統(tǒng)中一切其他用戶均可讀。如此一來，這些本來屬于該用戶的、并且只能他本人讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機制就形同虛設(shè)。為處理此類問題，在系統(tǒng)內(nèi)實現(xiàn)自主訪問控制的同時，利用強迫訪問控制戰(zhàn)略加強系統(tǒng)的平安性是必要的。1/24/202443強迫訪問控制戰(zhàn)略在強迫訪問控制機制下，系統(tǒng)內(nèi)的每一個用戶或主體根據(jù)他對敏感性客體的訪問答應級別被賦予一個訪問標簽；同樣地，系統(tǒng)內(nèi)的每一個客體也被賦予一敏感性標簽以反映該信息的敏感性級別。系統(tǒng)內(nèi)的“援用監(jiān)視器〞經(jīng)過比較主、客體相應的標簽來決議能否授予一個主體對客體的訪問懇求。所謂“強迫〞，就是平安屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動地按照嚴厲的平安戰(zhàn)略與規(guī)那么進展設(shè)置，用戶和他們的進程不能修正這些屬性。1/24/202444強迫訪問控制的本質(zhì)是對系統(tǒng)當中一切的客體和一切的主體分配敏感性標簽〔sensitivitylabel〕，用戶的敏感性標簽指定了該用戶的敏感等級或信任等級，也稱為平安答應〔clearance〕；而文件的敏感標簽闡明了訪問該文件的用戶必需具備的信任等級。在大多系統(tǒng)內(nèi)(例如單域系統(tǒng)，即一進程只擁有一個域)，主體只需一個訪問標簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個進程擁有多個域)，一個主體能夠有多個訪問標簽(每一個域的進程擁有一個標簽，分別代表著不同的含義)。1/24/202445強迫訪問控制戰(zhàn)略既可以用來防止對信息的非授權(quán)的篡改，又可以防止未授權(quán)的信息泄露。在一個特定的強迫訪問控制戰(zhàn)略中，標簽可以以不同的方式來實現(xiàn)信息的完好性和性。例如在國防部門，標簽能夠是“〞、“〞、“絕密〞等等；而在一個企業(yè)內(nèi)，標簽很能夠是“公共信息〞、“私有信息〞(為保證信息的性)，或是“技術(shù)信息〞、“管理信息〞(為保證信息的完好性)；另外，它還可以表示不同的部門分工，如“財務(wù)部〞、“人事部〞、“技術(shù)部〞等等，每個部門的人只能訪問同一部門的信息。1/24/202446在強迫訪問控制戰(zhàn)略中，其訪問三元組(S，O，A)與自主訪問控制戰(zhàn)略一樣。但此三元組內(nèi)的訪問方式A與自主訪問控制戰(zhàn)略中的訪問方式有所不同。后者可以有非常靈敏的方式，而前者只需兩種，即“讀〞和“寫〞。在不同的情況下，其訪問控制戰(zhàn)略在方式上有能夠表現(xiàn)不同：例如在有些情況下(如保證信息的性)，主體對客體要想擁有讀權(quán)限，當且僅當主體的訪問標簽“高于〞客體的敏感性標簽；而在另外一些情況下(如保證信息的完好性)能夠正好相反，即主體要想讀訪問客體，其完好性標簽要“低于〞客體的完好性標簽。1/24/202447強迫訪問控制戰(zhàn)略的特性強迫訪問控制戰(zhàn)略最顯著的特征是其“全局性〞(Global)和“永久性〞(Persistent)?！叭中渊暤暮x是指對特定的信息，無論它處于何地，其敏感性級別一樣而“永久性〞的含義那么是指對特定的信息，無論在何時其敏感性程序一樣換句話說，在強迫訪問控制戰(zhàn)略中，無論何時何地，主、客體的標簽是不會改動的。這一特征在多級平安體系統(tǒng)中稱為“安靜性原那么〞(tranquility)。1/24/202448強迫訪問控制戰(zhàn)略的特性對于一個詳細的訪問控制戰(zhàn)略而言，假設(shè)它具有以上兩個特征〔全局性、永久性〕，那么其標簽的集合在數(shù)學上必會構(gòu)成“偏序關(guān)系〞(partialorder)1/24/202449偏序關(guān)系由于訪問標簽的集合具有偏序的關(guān)系，因此其集合內(nèi)的元素之間的比較可以用“支配〞關(guān)系來描畫，在數(shù)學上將這種關(guān)系以“≧〞來表示：對兩個符合“偏序關(guān)系〞的元素x和y來說，它們之間只存在三種關(guān)系，即x支配y(寫作x≧y)，y支配x(寫作y≧x)，x與y無關(guān)(xy且yx)，并且它們在數(shù)學上具有三個根本的特征：自反性(reflexivity)反對稱性(antisymmetry)傳送性(transitivity)1/24/202450上述三種根本的特征，用“偏序關(guān)系〞來表示如下(假設(shè)有三個符合上述三種根本的特征的元素x、y和z)：自反性(reflexivity)：反對稱性(antisymmetry)：傳送性(transitivity)：假設(shè)在訪問控制戰(zhàn)略中，訪問標簽集合中元素間的關(guān)系與上述三種特征之一不符，那么強迫訪問戰(zhàn)略的兩大特征“全局性〞和“永久性〞必有一個要遭到破壞，從而使得該訪問控制戰(zhàn)略不能從根本上防備“特洛伊木馬〞或惡意程序的攻擊。 1/24/202451自反性被破壞例如思索在一個訪問控制戰(zhàn)略中，主、客體的訪問標簽分別是“敏感〞和“公開〞中的一個，并且指定除了周末外，系統(tǒng)內(nèi)的“公開〞的主體能夠訪問“公開〞的客體，這就呵斥了同一訪問級別的標簽不能總是支配其本身，即，這與“偏序關(guān)系〞中的“自反性原那么〞相違背，使得強迫訪問控制戰(zhàn)略中的“永久性〞特征遭到破壞；1/24/202452反對稱性原那么被破壞例如假設(shè)訪問控制戰(zhàn)略指定“公開〞的主體可在每周末訪問“敏感〞客體，那么訪問標簽“敏感〞在周末前支配標簽“公開〞；而在周末，訪問標簽“公開〞支配標簽“敏感〞，但這兩個標簽并不相等，即并且x1≠y1，但是有和，這就違反了“反對稱性〞原那么，同樣呵斥了強迫訪問控制戰(zhàn)略中“永久性〞特征的破壞。1/24/202453傳送性原那么被破壞例如類似地，假設(shè)在一個訪問控制戰(zhàn)略中，除了運用標簽“敏感〞和標簽“公開〞外，還運用了標簽“私有〞，假設(shè)“私有〞主體可以訪問“敏感〞客體，同時“敏感〞主體可以訪問“公開〞客體，但是假設(shè)系統(tǒng)內(nèi)存在有某些“公開〞客體不能被“私有〞主體訪問，即，但，那么違反了“傳送性〞原那么，從而呵斥了強迫訪問控制戰(zhàn)略的“全局性〞的破壞。1/24/202454兩種訪問控制戰(zhàn)略的關(guān)系對于訪問控制戰(zhàn)略而言，要么是“強迫的〞，要么是“自主的〞，二者之間沒有相交的部分。如上所述的訪問控制戰(zhàn)略運用的主、客體訪問標簽由于不滿足“偏序〞關(guān)系，違背了強迫訪問控制戰(zhàn)略的兩大主要特征之一，因此不屬于強迫訪問控制戰(zhàn)略，但它們卻是