信息安全工程：第五章 多级多边安全.pdf

内容  安全策略与安全模型  分级安全  BLP模型  Biba模型  多边安全  长城模型  BMA模型 2 密级与分级系统  密级与许可Clearance  不分级的：unclassified  秘密：confidential  机密：secret  最高机密：top secret  分级系统  美国军方的研究重点，投入大量人力物力  应用于防火墙或Web服务器  可用于支持多级的完整性（Integrity）、可验 证性（Authenticity ） 3 安全策略与安全模型  安全工程  从上到下的方法：威胁模型、安全策略、安全机制  安全策略  清晰准确的表达出所保护机制要达到目标的文档  安全策略模型  系统必备的保护属性的简介声明  安全目标  特定实施过程提供的所有保护机制，以及他们如何与控 制目标关联  保护框架  与安全目标类似，采用与实现无关的方式描述，以便对 4 产品及其改进版本进行可比较的评估 安全策略：示例  一个典型的公司策略  本规定由公司管理层批准  所有的员工都应遵守本规定  数据的获得必须遵守“需要知道” 的原则  所有违反本规定的行为应被立即报告给安全部门  分析  由谁以及如何来认定“需要知道”  管理与安全策略的混淆  安全策略实施方法：由系统强制执行，靠用户自觉？  违规行为如何发现？上报是谁的责任？ 5 安全策略 安全模型  制定安全策略后，你知道如何实施么？  为了证明安全策略可正确实施，必须形式化 描述  安全模型：安全策略的形式化描述 6 安全策略 安全模型  安全模型  可用于高质量的安全评估  在计算机安全中具有里程碑意义  不“包治百病”，自定义安全系统的起点 7 安全策略 安全模型  安全策略（security policies）  为一个系统或一组系统定义安全（secure）  计算机系统可以看作一个有穷自动机（finite- state- machine），它有一组状态，一组状态 转换函数，状态转换函数改变系统的状态  划分系统状态为一组经授权的/安全状态和一组 未经授权/不安全状态的陈述  安全系统是以经授权的状态为初始状态，且不 能进入未经授权状态的系统  在系统进入未经授权状态时，安全破坏 （breach of security）发生了 8 安全策略 安全模型  令X是一组主体，I是某种信息或一个资源  如果X中的没有一个成员可以获取关于I的信息， 则I有相对于X的机密性的性质  机密性隐含信息禁止泄漏给实体的某个集合