2019信息安全体系结构安全机制.ppt

优缺点 ? 基于标记的方案 – 使用可分配给发起者、目标以及传输于系统之间的 数据的安全标记。 – 在多个发起者对多个目标进行访问、且只需要粗粒 度访问控制的情况下尤其方便 – 对提供安全域之间的访问控制也是方便的 安全策略 ? 计算机系统的安全策略是为了描述系统的安全 需求而制定的对用户行为进行约束的一套严谨 的规则，这些规则明确规定系统中哪些访问是 允许的，哪些访问是不允许的。用计算机能表 达的方式表达出来，用以指导建立相应的强制 访问控制机制。 ? 系统在实施强制访问控制之前，制定其安全策 略是十分必要的。 军事安全策略 ? 军事系统中最重要的安全需求是信息的保密性， 往往根据信息的机密程度对信息分类，将机密 程度不同的信息限制在不同的范围内，防止用 户取得不应该得到的密级较高的信息。 ? 多级安全的概念始于 20 世纪 60 年代，是军事安 全策略的一种数学描述，并用计算机可实现的 方式来定义。 军事安全策略 ? 在实施多级安全策略的系统中，系统为每一个 主体和每一个客体分配一个安全级。 – 对于主体来说，安全级表示他在系统中被信任的程 度或他在系统中访问信息的能力，有时也称为该主 体的许可证； – 对于客体来说，安全级表示该客体所包含信息的敏 感程度或机密性。 军事安全策略 ? 安全级由两部分组成，用有序二元组（密级，范畴集） 表示。 – 密级用来反映信息（或可访问信息）的机密程度，通常有一 般、秘密、机密和绝密 4 个级别，根据需要可以将其扩充到 任意多个级别，他们间的关系用全序（一般 ≤ 秘密 ≤ 机密 ≤ 绝 密）来表示，这意味着，若某主体具有访问密级 a 的能力， 则对任意 b ≤ a ，该主体也具有访问 b 的能力，反之，则不然。 – 范畴集也可理解为部门或类别集。 ? 对于客体来说，范畴集可以定义为该客体所包含的信息所涉及的范 围，如所涉及的部门或所具有的类别属性。 ? 对于主体来说，范畴集可以定义为该主体能访问的信息所涉及的范 围或部门。 军事安全策略 ? 例如，某应用系统中密级定义为 4 个级别，分别用 U 、 C 、 S 和 TS 表示一般、秘密、机密和绝密。 ? 令 A={U,C,S,TS} ，这里 U ≤ C ≤ S ≤TS,“≤ ”是 A 上的 全序，他们构成偏序集 A , ≤ 。 ? 设部门集 B={ 科技处，生产处，情报处，财务处 } ， 集合 B 的幂级 P B ={S | S B } 。 P B 中的元素均是 B 的 子集。 P B ； 也构成偏序集。 ? 笛卡尔积 A × P B ={ （ a ， H ） | a ∈ A,H ∈ P B } 中的 元素可用来表示系统中主、客体的安全级。 ? ? 军事安全策略 ? 例如，假设系统中有主体 u 和 3 个客体 o 1 ,o 2 ,o 3 ，他们的安全 级分别如下： – Class(u)=(S,{ 科技处，财务处 } ) – Class(o 1 )=(C,{ 科技处 } ) – Class(o 2 )=(TS,{ 科技处，情报处，财务处 } ) – Class(o 3 )=(C,{ 情报处 } ) ? 通过比较主、客体的安全级，便可决定是否允许主体对客 体的访问以及什么样的访问。 ? 在笛卡尔积 A × P B 上定义一个二元关系“ ≤ ”：对任意 （ a 1 ,H 1 ） , （ a 2 ,H 2 ） ∈ A × P B , 当且仅当 a 1 ≤ a 2 ,H 1 H 2 时， 有（ a 1 ,H 1 ） ≤ （ a 2 ,H 2 ） ? 根据上述主体和客体 o 1 ,o 2 ,o 3 的安全级，可知 ? Class(u) ≤ Class(o 2 ), Class(o 1 ) ≤ Class(u) ， Class(u) 和 Class(o 3 ) 不可比。 ? 军事安全策略 ? 在一偏序集 L, ≤ 中，对任意 l 1 ,l 2 ∈ L ，若 l 1 ≤ l 2 ，则称 l 2 支 配 l 1 。 – 如，主体 u 的安全级支配客体 o 1 的安全级，客体 o 2 的安全级支配主体 u 的安全级，主体 u 和客体 o 3 的安全级相互不可支配。 ? 多级安全策略可以这样描述： – 仅当主体的安全级支配客体的安全级时，允许该主体读访问该客体。 – 仅当客体的安全级支配主体的安全级时，允许该主体写访问该客体。 ? 这一策略简称为“向下读，向上写”，执行的结果是信息 只能由低安全级的客体流向高安全级的客体，高安全级的 客体的信息不允许流向低安全级的客体。 ? 若要使一个主体既能读访问客体，又能写访问这个客体， 两者的安全级必须相同。 军事安全策略 ? 前例中，主体 u 可以读访问客体 o 1