第三章.安全策略与安全模型.ppt

防御策略 外网能访问服务器中开放的服务； 外网还能访问httpserver的无连接服务； 内网可以访问外网； 内网必须检测口令窃取攻击， 同时Domain_B中还要检测蠕虫； 对一切攻击，必须及时切断攻击源。 * 安全策略与安全模型 用CNDPSL描述如下： org blue sub_org Domain_A Domain_B //组织之间的关系 { role public_host exnode ip mask 16 activity web activity sqlaccess SERVICE_ACCESS udp dport 1434 activity all SERVICE_ACCESS ip activity alludp SERVICE_ACCESS udp policy permit public_host web httpserver default//策略1 policy permit public_host alludp httpserver default //策略2 policy permit homenet alltcp toview(public_host) default//策略3 policy detect_passwordcracker public_host alltcp homenet default //策略4 context severity INCIDENT slammer passwordcracker //危险情形 policy prohibit_source public_host alltcp homenet severity //策略5 } * 安全策略与安全模型 由于blue中描述的是抽象策略，没有给出策略中的角色或视图的主体或客体，所以在子组织中Domain_A 和Domain_B给出其定义或分配，Domain_B中还包括策略1和策略4的描述. * 安全策略与安全模型 blue.Domain_A { role homenet innode ip mask 24 toview(homenet) //内网角色转化为视图 view httpserver innode assign_to S1 //分配给S1 } blue.Domain_B { role homenet innode ip mask 24 toview(homenet) //内网角色转化为视图 view httpserver innode assign_to S2 //分配给S2 view sqlserver innode assign_to S3 //分配给S3 policy permit public_host sqlaccess sqlserver default //策略1 policy detect_slammer public_host sqlaccess sqlserver default //策略4 } * 安全策略与安全模型 解决效果 防御策略描述语言可以按需求描述防御策略，防御策略由防御策略描述语言解释器按照防御策略模型的语义进行正确解释，策略引擎能按模型的规则进行正确的推导，最后转化为防御规则，部署在防御节点中。为计算机网络攻防演练提供了防御策略支持。 * 安全策略与安全模型 四、 本章小结 网络安全策略执行两个任务 安全策略包含三个方面 安全策略的类型（11种） 安全模型（BLP、BIBA等） 安全策略的生成、部署和有效使用 * 安全策略与安全模型 课外阅读 (2012)[SCI][不同类型的安全策略综述]Formal security policy implementations in network firewalls (2012)[SCI][策略语言综述]A survey on policy languages in network and security management (2010)[安全策略转换]Towards a Network-Independent Policy Specification (2012)[SCI][访问控制策略分析]Network-Level Access Control Policy Analysis