基于Or―BAC 模型的计算机网络防御策略模型构建.docVIP

基于Or―BAC 模型的计算机网络防御策略模型构建 　　摘 要：本文拓展了Or-BAC模型，克服了原有的缺陷，并构建了不同实体类型间的关系，根据自动分配方法，构建了CNDPM 模型。 　　关键词：Or-BAC CNDPM 计算机网络 防御 　　近几年来，由于计算机技术的快速发展，网络信息的安全变得更加重要，计算机网络防御策略与技术必须不断进行完善。计算机网络防御是计算机攻防演练阶段以及对抗阶段中较重要的构成部分。根据现阶段的研究与实践，目前还没有可以对计算机网络防御策略模型的构造方法进行具体实施的方法。所以，计算机网络防御策略模型进行具体研究的作用与现实意义重大。 　　一、计算机网络防御策略概述 　　计算机网络防御主要是指为了实施某个具体网络与系统的安全目标，计算机网络或信息系统根据具体条件应用的相应防御措施的规则。计算机网络防御将采取大量合适的措施对来自网络的攻击进行化解。当计算机系统处在网络环境或是大规模的网络环境下时，其网络防御策略也相对更复杂。若是通过人工对这些措施进行配置则较复杂，出现错误与配置的几率均较低。要是将防御策略使用计算机进行配置，便可以准确、自动、高效的对其实施配置与部署，还可以在多种模式下的计算机系统应用，均具有较高的延展性与灵活性。 　　网络防御的关键与核心主要是采取策略进行计算机防御，策略能够高效的对计算机的多种信息与网络安全进行开展、实施，这便是PPDR的模型思想。PPDR模型中的策略力度若是太大，便很难建立以策略为基础的防御体系。根据这个特点，策略模型将通过目标与措施的方式进行展现，但目前还没有创建较具体的实施措施与体制，还具有兼容性不强与层次不清晰的缺点。所以，计算机网络防御策略模型的实施、分析与研究均较重要。 　　本文将拓展Or-BAC模型（ Organization Based Access Control mode l），克服Or-BAC模型存在的缺陷，构建基于Or-BAC模型的计算机网络防御策略模型（ CNDPM， Computer Net work Defense Policy Model）。通过扩展可以对策略的统一建模进行保护、响应与检测，还可以详细到具体的规则，例如防火墙的ACL列表、IDS检测规则等为计算机网络防御提供使用的配置等等。 　　二、计算机网络防御策略 　　1.组织 　　CNDPM模型中，组织是最基本的概念。组织是将组成部分或者不同组成部分有序联系在一起的各个部分的集合。例如机房、计算机网络等均属于组织范畴。 　　2.主客体、角色及视图关系 　　主体可直接对客体进行相关操作，是引起计算机中信息流动或者使不同主客体之间系统状态发生变化的实体，主体具有主动特性。 　　主体可表示为： 　　SUBJECT：：= {e| e∈ENTITY，Operational（e）∧Active（e）}（1） 　　表达式（1）中，Active（e）表征实体的主被动性特征；Operational（e）则表示实体则表示实体e 是否可操作。 　　主体的两种基本形式是用户和节点。用户名和口令是用户最明显的特征，而节点则包含节点名、掩码与IP等组成部分。 　　角色是具有某些共同特征的主体集合，不同角色与不同程度的权限及职责之间挂钩，形成有机联系。本文为表示角色的特性，采用如下表达式表征： 　　ROLE：：={s|Own（s，ch）∧（Relate（ch，obligation）∨Relate（ch，right）），ch∈CHARSCTER，s∈SUBJECT，right∈RIGHT，obligation∈OBLIGATION} （2） 　　表达式（2）中，Own（s，ch）表示主体（s）具有的特征（ch）；Relate（ch，right）表示角色特征（ch）与角色权限（right）之间的关系；Relate（ch，obligation）表示角色特征（ch）与角色职责（obligation）之间的关系。 　　由于角色r是组织org中的基本组成部分，所以为表示两者之间的关系，本文采用如下表达式，记为： 　　Relate（r，org） （3） 　　从上述表达式（1）（2）（3）可知，主体和角色之间的关系是成员关系，主体在角色中的主要分配方式可分为隐式定义和显式分配两种。但是，主体在org模型中通常仅只有显式分配一种。笔者现对显式分配进行详细阐述。 　　显式分配过程中，主体归属角色类型的方式主要为列举法。组织org支配主体s，并建立角色r与主体s之间的关系。组织org，主体s以及角色r之间的显式分配记为： 　　Employ（org，s）∧ As（s，r） （4） 　　由于在显式分配过程中，组织org和主体s之间的雇佣关系（Employ），主体s和角色r之间