chap2：計(jì)算機(jī)安全策略

計(jì)算機(jī)平安CH2：計(jì)算機(jī)平安戰(zhàn)略1/24/20242提要系統(tǒng)的平安需求平安戰(zhàn)略的定義平安戰(zhàn)略的分類平安戰(zhàn)略的方式化描畫平安策路的選擇訪問控制的屬性平安戰(zhàn)略及其分類訪問控制戰(zhàn)略訪問支持戰(zhàn)略1/24/20243信息平安與嚴(yán)密的構(gòu)造層次物理平安平安控制平安效力1/24/20244物理平安是指在物理介質(zhì)層次上對存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)及信息的平安維護(hù)，它是網(wǎng)絡(luò)及信息平安的最根本的保證，是整個(gè)平安系統(tǒng)不可短少和忽視的組成部分。該層次上的不平安要素主要有：〔1〕自然災(zāi)禍、物理破壞、設(shè)備保證〔2〕電磁輻射、乘機(jī)而入、痕跡泄露〔3〕操作失誤、不測泄露1/24/20245平安控制是指在網(wǎng)絡(luò)及信息平安中對存儲(chǔ)和傳輸信息的操作進(jìn)展控制和管理。重點(diǎn)是在信息處置層次上對信息進(jìn)展初步的平安維護(hù)。可分為三個(gè)層次：〔1〕操作系統(tǒng)的平安控制〔2〕網(wǎng)絡(luò)接口的平安控制〔3〕網(wǎng)絡(luò)互聯(lián)設(shè)備的平安控制平安控制主要經(jīng)過現(xiàn)有的操作系統(tǒng)或網(wǎng)管軟件、路由器配置等實(shí)現(xiàn)，只提供了初步的平安功能和信息維護(hù)。1/24/20246平安效力是指在運(yùn)用層次上對信息的嚴(yán)密性、完好性和資源的真實(shí)性進(jìn)展維護(hù)和鑒別。以滿足用戶平安需求，防止和抵御各種平安要挾和攻擊手段。平安效力可以在一定程度上彌補(bǔ)和完善現(xiàn)有系統(tǒng)的平安破綻。

1/24/20247平安效力主要包括平安機(jī)制：是用來預(yù)防、檢測和從平安攻擊中恢復(fù)的機(jī)制，是平安效力乃至整個(gè)平安系統(tǒng)的中心和關(guān)鍵。平安協(xié)議：是多個(gè)實(shí)體為完成某些義務(wù)所采取的一些列有序步驟。協(xié)議特點(diǎn)：預(yù)先建立、相互贊同、非二義性和完好性。1/24/20248平安銜接：是在平安處置前網(wǎng)絡(luò)通訊雙方之間的銜接過程，主要包括會(huì)話密鑰產(chǎn)生、分發(fā)和身份驗(yàn)證。平安戰(zhàn)略：是決策的集合。它集中表達(dá)了一個(gè)組織對平安的態(tài)度。確切地說平安戰(zhàn)略對于可接受的行為以及對違規(guī)作出何種呼應(yīng)確定了界限。平安戰(zhàn)略是平安機(jī)制、平安銜接和平安協(xié)議的有機(jī)結(jié)合，是信息系統(tǒng)平安性的完益處理方案。平安戰(zhàn)略決議了網(wǎng)絡(luò)信息平安系統(tǒng)的整體平安性和適用性。1/24/20249平安需求大多數(shù)平安戰(zhàn)略思索的是性、完好性、可記賬性、可用性這四項(xiàng)要求，但其偏重點(diǎn)各有不同。例如：軍事平安戰(zhàn)略偏重于信息的性要求商用平安戰(zhàn)略那么偏重于信息的完好性與可記賬性電信部門偏重于系統(tǒng)的可用性然而，僅思索某一方面的需求是遠(yuǎn)遠(yuǎn)不夠的，還該當(dāng)平衡思索。系統(tǒng)的平安需求的內(nèi)容性〔confidentiality〕：防止信息泄露給未授權(quán)的用戶。完好性〔integrity〕：防止未授權(quán)的用戶對信息的修正?？捎涃~性〔accountability〕：防止用戶對訪問過的信息或執(zhí)行的操作予以否認(rèn)?？捎眯浴瞐vailablity〕：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。1/24/202410信息的性需求美國國防部在1985年12月發(fā)布了可信計(jì)算機(jī)評價(jià)規(guī)范〔TCSEC，“桔皮書〞〕對信息的性做出了詳細(xì)的要求。提出了“強(qiáng)迫平安戰(zhàn)略(MAC)〞的要求，即系統(tǒng)中一切的信息必需按照其敏感性等級和所屬部門分類，而系統(tǒng)中的一切用戶也加以分類，以使他們僅能訪問那些“需求知道〞的信息。強(qiáng)迫平安戰(zhàn)略也可用于非軍事部門。1/24/202411信息的性需求另一種用于民用目的的平安戰(zhàn)略是“自主平安戰(zhàn)略(DAC)〞，即每個(gè)信息有一個(gè)一切者，它可以決議能否允許其他用戶或進(jìn)程對此信息進(jìn)展訪問。1/24/202412信息的完好性需求指維護(hù)系統(tǒng)資源在一個(gè)有效的、預(yù)期的形狀，防止資源不正確、不適當(dāng)?shù)匦拚蚴菫榱司S護(hù)系統(tǒng)不同部分的一致性。主要目的是防止在涉及到記賬或?qū)徲?jì)的事件中舞弊行為的發(fā)生。1/24/202413信息的可記賬性需求目的是為了知道用戶執(zhí)行了什么操作，是誰執(zhí)行了該操作等。這對知曉系統(tǒng)破壞的程度、恢復(fù)喪失信息、評價(jià)系統(tǒng)平安性以及為對系統(tǒng)呵斥嚴(yán)重破壞的民事賠償或法律訴訟提供根據(jù)。1/24/202414信息的可用性需求是為了保證系統(tǒng)的順利任務(wù)，即保證已獲得授權(quán)的用戶對系統(tǒng)信息的可訪問性。1/24/2024151/24/202416平安戰(zhàn)略所謂平安戰(zhàn)略，簡單地說，就是用來描畫用戶對平安的要求。在計(jì)算機(jī)平安領(lǐng)域內(nèi)，說一個(gè)系統(tǒng)是“平安系統(tǒng)〞，其“平安〞的概念就是指此系統(tǒng)到達(dá)了當(dāng)初設(shè)計(jì)時(shí)所制定的平安戰(zhàn)略的要求。1/24/202417平安戰(zhàn)略對于一個(gè)信息系統(tǒng)而言，其平安戰(zhàn)略的制定根據(jù)如下：信息的性、完好性與可用性什么人可以以何種方式去訪問什么信息根據(jù)什么來制定訪問決策，例如是根據(jù)用戶的ID號呢？還是根據(jù)用戶的其它什么特征是要最大化的共享，還是要實(shí)現(xiàn)最小特權(quán)能否要實(shí)行義務(wù)的分別對涉及到系統(tǒng)的平安性屬性的操作是實(shí)行集中管理，還是實(shí)行分散管理……平安戰(zhàn)略的分類平安戰(zhàn)略：是關(guān)于信息系統(tǒng)平安性最高層次的指點(diǎn)原那么，是根據(jù)用戶的需求、設(shè)備情況、單位章程和法律約束等要求制定的。在企事業(yè)單位信息系統(tǒng)的每一個(gè)層次，從管理活動(dòng)到硬件維護(hù)都要做出平安性決策，其中包括企事業(yè)級平安決策、行政管理方面的平安決策、有關(guān)數(shù)據(jù)處置設(shè)備及運(yùn)轉(zhuǎn)環(huán)境的平安戰(zhàn)略。1/24/202418如“職工的獎(jiǎng)金數(shù)量不公開〞是企事業(yè)級的平安決策；“職工的表現(xiàn)記錄在數(shù)據(jù)庫中保管3年〞是行政決策；“修正計(jì)算機(jī)設(shè)備中的運(yùn)用程序至少需求兩位指點(diǎn)的贊同〞是設(shè)備決策；“維護(hù)存儲(chǔ)器要以2048B為單位〞是操作系統(tǒng)決策等。1/24/202419平安戰(zhàn)略是決策的集合，是對于可接受的行為以及應(yīng)對違規(guī)做出何種呼應(yīng)確定了界限。平安戰(zhàn)略是對一個(gè)系統(tǒng)應(yīng)該具有的平安性的描畫，只需當(dāng)一個(gè)系統(tǒng)與平安戰(zhàn)略相稱，也就是說該系統(tǒng)可以滿足對它的平安要求，這個(gè)系統(tǒng)才是平安的。1/24/202420大多數(shù)平安戰(zhàn)略都思索上述四點(diǎn)要求：性要求完好性要求可記賬性要求可用性要求1/24/2024211/24/202422平安戰(zhàn)略的分類基于信息系統(tǒng)平安戰(zhàn)略的定義和內(nèi)涵，我們將其分為兩大類：訪問控制戰(zhàn)略(AccessControlPolicy)：基于平安戰(zhàn)略內(nèi)涵的性和完好性要求，它確立相應(yīng)的訪問規(guī)那么以控制對系統(tǒng)資源的訪問訪問支持戰(zhàn)略(AccessSupportingPolicy)：基于平安戰(zhàn)略內(nèi)涵的可記賬性要求和可用性要求。由于它是以支持訪問控制戰(zhàn)略的容顏出現(xiàn)的，故稱為訪問支持戰(zhàn)略。1/24/202423訪問控制〔AccessControl〕定義：是指對主體訪問客體的權(quán)限或才干的限制，以及限制進(jìn)入物理區(qū)域〔出入控制〕和限制運(yùn)用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過程〔存取控制〕。訪問控制的目的：為了保證資源受控，合法的運(yùn)用，用戶只能根據(jù)本人的權(quán)限大小來訪問資源，不能越權(quán)訪問。同時(shí)訪問控制也是記帳、審計(jì)的前提。訪問控制〔AccessControl〕訪問控制是計(jì)算機(jī)維護(hù)中極其重要的一環(huán)，它是在身份識別的根底上，根據(jù)身份對提出的資源訪問懇求加以限制。1/24/2024241/24/202425一些重要的訪問控制戰(zhàn)略：1、最小權(quán)限戰(zhàn)略：信息限于給那些完成某義務(wù)所需者。2、最大共享戰(zhàn)略：是使存儲(chǔ)的信息獲得最大的運(yùn)用。3、訪問的開放與封鎖：在封鎖系統(tǒng)中，僅當(dāng)明確的授權(quán)時(shí)才允許訪問，在開放系統(tǒng)中，那么要求除非明確的制止，訪問都允許。前者較平安，是最小權(quán)限戰(zhàn)略的根本支持，后者費(fèi)用較少，運(yùn)用于采用最大共享戰(zhàn)略的場所。1/24/2024264、離散訪問控制：它是根據(jù)懇求的主、客體稱號作出可否訪問的決策，又稱稱號相關(guān)訪問控制。由于不需求根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)內(nèi)容就能作出決策，有時(shí)也稱為內(nèi)容無關(guān)訪問控制。5、自主訪問控制：客體的屬主可以自主地決議哪個(gè)用戶可以訪問他的資源。1/24/2024276、強(qiáng)迫訪問控制：主體和客體都有固定的平安屬性，這些平安屬性都描寫在主、客體的平安標(biāo)志中。平安標(biāo)志是根據(jù)平安信息流對系統(tǒng)中的主、客體一致標(biāo)定的?？煞裨L問的決策是根據(jù)懇求訪問的主、客體一致制定的，又稱為非離散訪問控制。它遠(yuǎn)比離散訪問控制平安，但實(shí)現(xiàn)起來較困難。1/24/2024287、內(nèi)容相關(guān)及其他訪問控制：內(nèi)容相關(guān)：訪問與否與客體當(dāng)前的數(shù)據(jù)有關(guān)；上下文相關(guān)：允許訪問條件是數(shù)據(jù)集合的函數(shù)；時(shí)間相關(guān)：允許訪問條件是系統(tǒng)時(shí)鐘的函數(shù)；歷史相關(guān)：允許訪問條件是系統(tǒng)先前形狀的函數(shù)。1/24/202429訪問控制的屬性普通來說，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問控制戰(zhàn)略相關(guān)的要素有三大類：主體(用戶)：就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程?？腕w(文件、目錄、數(shù)據(jù)庫等)：指在計(jì)算機(jī)系統(tǒng)內(nèi)一切的主體行為的直接承當(dāng)者。相應(yīng)的可用作訪問控制的主體屬性、客體屬性。1/24/202430主體普通可分為如下幾類：普通用戶(User)：一個(gè)獲得授權(quán)可以訪問系統(tǒng)資源的自然人。在一個(gè)計(jì)算機(jī)系統(tǒng)中，相應(yīng)的授權(quán)包括對信息的讀、寫、刪除、追加、執(zhí)行以及授予或撤銷另外一個(gè)用戶對信息的訪問權(quán)限等等。對某些信息而言，此用戶能夠是此信息的擁有者或系統(tǒng)管理員。信息的擁有者(Owner)：普通情況下，信息的擁有者指的是該用戶擁有對此信息的完全處置權(quán)限，包括讀、寫、修正和刪除該信息的權(quán)限以及它可以授權(quán)其它用戶對其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。系統(tǒng)管理員(SystemAdministrator)：為使系統(tǒng)能進(jìn)展正常運(yùn)轉(zhuǎn)，而對系統(tǒng)的運(yùn)轉(zhuǎn)進(jìn)展管理的用戶。例如在普通的UNIX系統(tǒng)中，ROOT用戶即為系統(tǒng)管理員。1/24/202431客體總的來說，系統(tǒng)內(nèi)的客體也可以分為三大類：普通客體(GeneralObject)：指在系統(tǒng)內(nèi)以客觀、詳細(xì)的方式存在的信息實(shí)體，如文件、目錄等。設(shè)備客體(DeviceObject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等。特殊客體(SpecialObject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程的行為的承當(dāng)者，那么這類進(jìn)程也是屬于客體的一部分。1/24/202432主、客體屬性另外，信息系統(tǒng)的訪問控制戰(zhàn)略除了涉及到主、客體之外，還包括以下幾個(gè)要素：將要訪問該信息的用戶的屬性，即主體的屬性(例如，用戶ID號或答應(yīng)級別等)；將要被訪問的信息的屬性，即客體的屬性(例如信息的平安性級別，信息來源等)；系統(tǒng)的環(huán)境或上下文的屬性(例如某天的某個(gè)時(shí)候，系統(tǒng)形狀等等)。1/24/202433每一個(gè)系統(tǒng)必需選擇以上三類相關(guān)的屬性來進(jìn)展訪問控制的決策。普通來說，信息平安戰(zhàn)略的制定就是經(jīng)過比較系統(tǒng)內(nèi)的主、客體的相關(guān)屬性來制定的。分別從以上幾類屬性來對訪問控制戰(zhàn)略的根底進(jìn)展詳細(xì)闡明，共分五個(gè)方面：主體特征、客體特征、外部情況、數(shù)據(jù)內(nèi)容/上下文屬性以及其他屬性。1/24/202434主體屬性(用戶特征)用戶特征是系統(tǒng)用來決議訪問控制的最常用的要素。通常一個(gè)用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策點(diǎn)。下面就是在普通系統(tǒng)訪問控制戰(zhàn)略中最常用的幾種用戶屬性：用戶ID╱組ID：用戶訪問答應(yīng)級別“需知〞原那么(need-to-know)角色才干列表(CapabilityList)1/24/202435客體屬性(客體特征)在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內(nèi)客體(即信息)相關(guān)聯(lián)的屬性也作為訪問控制戰(zhàn)略的一部分。普通來說，客體的特征屬性有如下幾個(gè)方面：敏感性標(biāo)簽：由信息的敏感性級別和范疇兩部分組成訪問列表〔accesslist〕1/24/202436外部形狀某些戰(zhàn)略是基于系統(tǒng)主客體屬性之外的某些要素來制定的，例如時(shí)間、地點(diǎn)或者形狀。另外，上面所述的大多數(shù)屬性均屬于靜態(tài)信息，但也有些訪問戰(zhàn)略能夠是基于某些動(dòng)態(tài)信息。1/24/202437數(shù)據(jù)內(nèi)容/上下文環(huán)境有些訪問控制戰(zhàn)略能夠基于數(shù)據(jù)的內(nèi)容。例如，用戶Sunny能夠不被允許看到那些月薪超越15000RMB的員工的文件。更為復(fù)雜的訪問控制戰(zhàn)略能夠是基于上下文的，這在數(shù)據(jù)庫系統(tǒng)中經(jīng)常用到。運(yùn)用靜態(tài)的信息標(biāo)簽是用人工的方法來決議信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容/上下文的動(dòng)態(tài)訪問機(jī)制那么被以為是取代靜態(tài)標(biāo)簽的一種潛在的方法。1/24/202438訪問控制戰(zhàn)略自主訪問控制(DiscretionaryAccessControlPolicy，DAC)強(qiáng)迫訪問控制(MandatoryAccessControlPolicy，MAC)1/24/202439自主訪問控制戰(zhàn)略自主性：它允許系統(tǒng)中信息的擁有者按照本人的志愿去指定誰可以以何種訪問方式去訪問該客體。普通來說，自主訪問控制戰(zhàn)略是基于系統(tǒng)內(nèi)用戶以及訪問授權(quán)或者客體的訪問屬性來決議該用戶能否有相應(yīng)的權(quán)限訪問該客體。也能夠是基于要訪問的信息的內(nèi)容或是基于用戶在發(fā)出對信息訪問時(shí)的相應(yīng)懇求所充任的角色來進(jìn)展訪問控制的。1/24/202440實(shí)踐的計(jì)算機(jī)系統(tǒng)中，自主訪問控制戰(zhàn)略由一個(gè)三元組(S，O，A)表示，其中S表示主體，O表示客體，A表示訪問方式。當(dāng)用戶懇求以某種方式訪問某一個(gè)客體時(shí)，系統(tǒng)“援用監(jiān)控器〞就根據(jù)系統(tǒng)自主訪問控制戰(zhàn)略來檢查主、客體及其相應(yīng)的屬性或被用來實(shí)現(xiàn)自主訪問控制的其他屬性。假設(shè)懇求的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)一樣，那么授予該主體所懇求的訪問答應(yīng)權(quán)，否那么那么回絕該用戶對此信息的訪問。1/24/202441自主訪問控制戰(zhàn)略的優(yōu)點(diǎn)可以提供比強(qiáng)迫訪問控制戰(zhàn)略更為精細(xì)的訪問控制粒度。它可以將所設(shè)的訪問控制戰(zhàn)略細(xì)化到詳細(xì)的某個(gè)人。相對于強(qiáng)迫訪問控制戰(zhàn)略中的訪問方式只能是“讀〞和“寫〞兩種而言，自主訪問控制戰(zhàn)略“自主〞的優(yōu)點(diǎn)還表如今它的訪問方式的設(shè)定非常靈敏。例如，我們可以將它設(shè)為“每隔一周的周五可以讀此文件〞或“只需讀完文件1后才干讀此文件〞等等。自主訪問控制戰(zhàn)略杰出的靈敏性特征使得它適用于各種各樣的操作系統(tǒng)和運(yùn)用程序，因此使得它在各種情況下得到大量的運(yùn)用。1/24/202442自主訪問控制戰(zhàn)略的缺陷自主訪問控制戰(zhàn)略中危害最大的是它不能防備“特洛伊木馬〞或某些方式的“惡意程序〞。例如，假設(shè)某程序中隱藏了“特洛伊木馬〞，此“特洛伊木馬〞一經(jīng)用戶執(zhí)行，即可將一切屬于他的并且只對他的文件在某一目錄下生成一份拷貝；與此同時(shí)，還將這份拷貝設(shè)為系統(tǒng)中一切其他用戶均可讀。如此一來，這些本來屬于該用戶的、并且只能他本人讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機(jī)制就形同虛設(shè)。為處理此類問題，在系統(tǒng)內(nèi)實(shí)現(xiàn)自主訪問控制的同時(shí)，利用強(qiáng)迫訪問控制戰(zhàn)略加強(qiáng)系統(tǒng)的平安性是必要的。1/24/202443強(qiáng)迫訪問控制戰(zhàn)略在強(qiáng)迫訪問控制機(jī)制下，系統(tǒng)內(nèi)的每一個(gè)用戶或主體根據(jù)他對敏感性客體的訪問答應(yīng)級別被賦予一個(gè)訪問標(biāo)簽；同樣地，系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一敏感性標(biāo)簽以反映該信息的敏感性級別。系統(tǒng)內(nèi)的“援用監(jiān)視器〞經(jīng)過比較主、客體相應(yīng)的標(biāo)簽來決議能否授予一個(gè)主體對客體的訪問懇求。所謂“強(qiáng)迫〞，就是平安屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)厲的平安戰(zhàn)略與規(guī)那么進(jìn)展設(shè)置，用戶和他們的進(jìn)程不能修正這些屬性。1/24/202444強(qiáng)迫訪問控制的本質(zhì)是對系統(tǒng)當(dāng)中一切的客體和一切的主體分配敏感性標(biāo)簽〔sensitivitylabel〕，用戶的敏感性標(biāo)簽指定了該用戶的敏感等級或信任等級，也稱為平安答應(yīng)〔clearance〕；而文件的敏感標(biāo)簽闡明了訪問該文件的用戶必需具備的信任等級。在大多系統(tǒng)內(nèi)(例如單域系統(tǒng)，即一進(jìn)程只擁有一個(gè)域)，主體只需一個(gè)訪問標(biāo)簽，而在有些系統(tǒng)中(例如多域系統(tǒng)，即一個(gè)進(jìn)程擁有多個(gè)域)，一個(gè)主體能夠有多個(gè)訪問標(biāo)簽(每一個(gè)域的進(jìn)程擁有一個(gè)標(biāo)簽，分別代表著不同的含義)。1/24/202445強(qiáng)迫訪問控制戰(zhàn)略既可以用來防止對信息的非授權(quán)的篡改，又可以防止未授權(quán)的信息泄露。在一個(gè)特定的強(qiáng)迫訪問控制戰(zhàn)略中，標(biāo)簽可以以不同的方式來實(shí)現(xiàn)信息的完好性和性。例如在國防部門，標(biāo)簽?zāi)軌蚴恰皑?、“〞、“絕密〞等等；而在一個(gè)企業(yè)內(nèi)，標(biāo)簽很能夠是“公共信息〞、“私有信息〞(為保證信息的性)，或是“技術(shù)信息〞、“管理信息〞(為保證信息的完好性)；另外，它還可以表示不同的部門分工，如“財(cái)務(wù)部〞、“人事部〞、“技術(shù)部〞等等，每個(gè)部門的人只能訪問同一部門的信息。1/24/202446在強(qiáng)迫訪問控制戰(zhàn)略中，其訪問三元組(S，O，A)與自主訪問控制戰(zhàn)略一樣。但此三元組內(nèi)的訪問方式A與自主訪問控制戰(zhàn)略中的訪問方式有所不同。后者可以有非常靈敏的方式，而前者只需兩種，即“讀〞和“寫〞。在不同的情況下，其訪問控制戰(zhàn)略在方式上有能夠表現(xiàn)不同：例如在有些情況下(如保證信息的性)，主體對客體要想擁有讀權(quán)限，當(dāng)且僅當(dāng)主體的訪問標(biāo)簽“高于〞客體的敏感性標(biāo)簽；而在另外一些情況下(如保證信息的完好性)能夠正好相反，即主體要想讀訪問客體，其完好性標(biāo)簽要“低于〞客體的完好性標(biāo)簽。1/24/202447強(qiáng)迫訪問控制戰(zhàn)略的特性強(qiáng)迫訪問控制戰(zhàn)略最顯著的特征是其“全局性〞(Global)和“永久性〞(Persistent)?！叭中渊暤暮x是指對特定的信息，無論它處于何地，其敏感性級別一樣而“永久性〞的含義那么是指對特定的信息，無論在何時(shí)其敏感性程序一樣換句話說，在強(qiáng)迫訪問控制戰(zhàn)略中，無論何時(shí)何地，主、客體的標(biāo)簽是不會(huì)改動(dòng)的。這一特征在多級平安體系統(tǒng)中稱為“安靜性原那么〞(tranquility)。1/24/202448強(qiáng)迫訪問控制戰(zhàn)略的特性對于一個(gè)詳細(xì)的訪問控制戰(zhàn)略而言，假設(shè)它具有以上兩個(gè)特征〔全局性、永久性〕，那么其標(biāo)簽的集合在數(shù)學(xué)上必會(huì)構(gòu)成“偏序關(guān)系〞(partialorder)1/24/202449偏序關(guān)系由于訪問標(biāo)簽的集合具有偏序的關(guān)系，因此其集合內(nèi)的元素之間的比較可以用“支配〞關(guān)系來描畫，在數(shù)學(xué)上將這種關(guān)系以“≧〞來表示：對兩個(gè)符合“偏序關(guān)系〞的元素x和y來說，它們之間只存在三種關(guān)系，即x支配y(寫作x≧y)，y支配x(寫作y≧x)，x與y無關(guān)(xy且yx)，并且它們在數(shù)學(xué)上具有三個(gè)根本的特征：自反性(reflexivity)反對稱性(antisymmetry)傳送性(transitivity)1/24/202450上述三種根本的特征，用“偏序關(guān)系〞來表示如下(假設(shè)有三個(gè)符合上述三種根本的特征的元素x、y和z)：自反性(reflexivity)：反對稱性(antisymmetry)：傳送性(transitivity)：假設(shè)在訪問控制戰(zhàn)略中，訪問標(biāo)簽集合中元素間的關(guān)系與上述三種特征之一不符，那么強(qiáng)迫訪問戰(zhàn)略的兩大特征“全局性〞和“永久性〞必有一個(gè)要遭到破壞，從而使得該訪問控制戰(zhàn)略不能從根本上防備“特洛伊木馬〞或惡意程序的攻擊。 1/24/202451自反性被破壞例如思索在一個(gè)訪問控制戰(zhàn)略中，主、客體的訪問標(biāo)簽分別是“敏感〞和“公開〞中的一個(gè)，并且指定除了周末外，系統(tǒng)內(nèi)的“公開〞的主體能夠訪問“公開〞的客體，這就呵斥了同一訪問級別的標(biāo)簽不能總是支配其本身，即，這與“偏序關(guān)系〞中的“自反性原那么〞相違背，使得強(qiáng)迫訪問控制戰(zhàn)略中的“永久性〞特征遭到破壞；1/24/202452反對稱性原那么被破壞例如假設(shè)訪問控制戰(zhàn)略指定“公開〞的主體可在每周末訪問“敏感〞客體，那么訪問標(biāo)簽“敏感〞在周末前支配標(biāo)簽“公開〞；而在周末，訪問標(biāo)簽“公開〞支配標(biāo)簽“敏感〞，但這兩個(gè)標(biāo)簽并不相等，即并且x1≠y1，但是有和，這就違反了“反對稱性〞原那么，同樣呵斥了強(qiáng)迫訪問控制戰(zhàn)略中“永久性〞特征的破壞。1/24/202453傳送性原那么被破壞例如類似地，假設(shè)在一個(gè)訪問控制戰(zhàn)略中，除了運(yùn)用標(biāo)簽“敏感〞和標(biāo)簽“公開〞外，還運(yùn)用了標(biāo)簽“私有〞，假設(shè)“私有〞主體可以訪問“敏感〞客體，同時(shí)“敏感〞主體可以訪問“公開〞客體，但是假設(shè)系統(tǒng)內(nèi)存在有某些“公開〞客體不能被“私有〞主體訪問，即，但，那么違反了“傳送性〞原那么，從而呵斥了強(qiáng)迫訪問控制戰(zhàn)略的“全局性〞的破壞。1/24/202454兩種訪問控制戰(zhàn)略的關(guān)系對于訪問控制戰(zhàn)略而言，要么是“強(qiáng)迫的〞，要么是“自主的〞，二者之間沒有相交的部分。如上所述的訪問控制戰(zhàn)略運(yùn)用的主、客體訪問標(biāo)簽由于不滿足“偏序〞關(guān)系，違背了強(qiáng)迫訪問控制戰(zhàn)略的兩大主要特征之一，因此不屬于強(qiáng)迫訪問控制戰(zhàn)略，但它們卻是