文档介绍:第一章
。
,则称信息系统A依赖主机系统H,或称主机系统H承载信息系统A。
•。
,则称信息系统A依赖网络设施D,或称网络设施D承载信息系统A。
•。
信息安全经典要素CIA:※
机密性是指防止私密的或机密的信息泄露给非授权的实体的属性。
完整性分为数据完整性和系统完整性,数据完整性指确保数据(包括软件代码)只能按照授权的指定方式进行修改的属性,系统完整性指系统没有受到未经授权的操控进而完好无损的执行预定功能的属性。
可用性是指确保系统及时工作并向授权用户提供所需服务的属性。
信息系统基本概念:
安全策略是指规定一个组织为达到安全目标如何管理、保护和发布信息资源的法律、规章和条例的集合。安全策略是指为达到一组安全目标而设计的规则的集合。安全策略是指关于允许什么和禁止什么的规定。
安全模型是指拟由系统实施的安全策略的形式化表示。安全模型是指用更加形式化的或数学化的术语对安全策略的重新表述。
安全机制是指实现安全功能的逻辑或算法。安全机制是指在硬件和软件中实现特定安全实施功能或安全相关功能的逻辑或算法。安全机制是指实施安全策略的方法、工具或规程。
安全机制设计八大原则
①经济性原则②默认拒绝原则③完全仲裁原则④开放设计原则⑤特权分离原则⑥最小特权原则⑦最少公共机制原则⑧心理可接受原则
第二章
※※※贝- 拉模型的构成
贝- 拉模型的核心内容由简单安全特性(ss- 特性)、星号安全特性(*-特性)、自主安全特性(ds-特性)和一个基本安全定理构成。
(基本安全定理)如果系统状态的每一次变化都满足ss- 特性、*- 特性和ds-
特性的要求,那么,在系统的整个状态变化过程中,系统的安全性一定不会被
破坏。
毕巴模型一个信息传递路径是一个客体序列O1, O 2, …, O n+1 和一个对应的主体序列S1, S 2, …, S n ,其中,对于所有的i(1≤i≤n3 ),
有Si rO i 和S i wO i+1。
“写”操作的实施由下面的规则①控制,“执行”操作的实施由下面的规则
②控制:①当且仅当i(O)≤i(S)时,主体S可以写客体O。
②当且仅当i(S 2 )≤i(S 1 )时,主体S 1可以执行主体S2。!!!
低水标模型读规则
设S是任意主体,O是任意客体,imin =min(i(S),i(O)),那么,不管完整性级别如何,S都可以读O,但是,“读”操作实施后,主体S的完整性级别被调整为imin。
低水标模型的信息传递在毕巴低水标模型的控制下,如果系统中存在一个从客体O1 到客体O n+1的信息传递路径,那么,对于任意的n>1,必有i(O n+1 )≤i(O 1 )。
环模型读规则不管完整性级别如何,任何主体都可以读任何客体。
严格完整性读规则当且仅当i(S)≤i(O)时,主体S可以读客体O。
克拉克-威尔逊模型
概念:事务、良构事务、CDI(约束数据项)、 UDI(非约束数据项)、有效状态(所有的CDI都满足完整性策略要求)、 IVP(完整性验证过程:验证系统是否处于有效状态的事务)、 TP(转换过程:是系统从一个有效状态转换到另一个有效状态的事务)、E规则(实施规则:系统实施的规则)、C规则(证明规则:证明系统实施的规则的有效性的规则)
四条E规则、5条C规则
模型基本框架:规则C1、•规则C2、•规则E1
TP可以操作所有的CDI:
对职责分离原则的支持: 规则E2、•规则C3
只有表中的用户才能执行相关的TP对相应的CDI进行操作,用户表示UserID,关系表格式如下:
对身份认证的要求 E3 对审计的要求 C4
对UDI的处理 C5 安全属性维护 E4
类型实施模型TE(域-进程(主体)、类型-文件)-强制访问控制模型
还存在一个域间作用表DIT(主体对主体的访问权限二维表)权限:发信号、创建进程、杀死进程
TE模型的不足•访问控制权限的配置比较复杂•二维表结构无法反映系统的内在关系•控制策略的定义需要从零开始
域类实施模型DTE
DTEL语言类型描述•类型赋值•域描述•初始域设定
访问权限•域对类型:r、w、x(执行)、d(搜索)
•域对域(执行入口点程序的权限):exec、 auto
策略定义语言DTEL的域描述功能:定义DTE模型中的主体域、定义域的入口点、设定域对类型的访问权限、域对其它域的