AccessandInformationFlowControls第9章：訪問控制和系統(tǒng)審計(jì)1經(jīng)典安全模型的雛形2基本組成要素（1）明確定義的主體和客體；（2）描述主體如何訪問客體的一個授權(quán)數(shù)據(jù)庫；（3）約束主體對客體訪問嘗試的參考監(jiān)視器；（4）識別和驗(yàn)證主體和客體的可信子系統(tǒng)；（5）審計(jì)參考監(jiān)視器活動的可信子系統(tǒng)。3三種安全機(jī)制的關(guān)系4計(jì)算機(jī)安全等級劃分為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年美國國防部發(fā)表了《可信計(jì)算機(jī)評估準(zhǔn)則》（縮寫為TCSEC），它依據(jù)處理的信息等級采取的相應(yīng)對策，劃分了4類7個安全等級。依照各類、級的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級5計(jì)算機(jī)安全等級劃分D級：（MinimalProtection）最低安全保護(hù)。沒有任何安全性防護(hù)。C1級：（DiscretionarySecurityProtection）自主安全保護(hù)。這一級的系統(tǒng)必須對所有的用戶進(jìn)行分組；對于每個用戶必須注冊后才能使用；系統(tǒng)必須記錄每個用戶的注冊活動；系統(tǒng)對可能破壞自身的操作發(fā)出警告。6計(jì)算機(jī)安全等級劃分C2級：（ControledAccessProtection）可控訪問保護(hù)。在C1級基礎(chǔ)上，增加了以下要求：所有的客體都只有一個主體；對于每個試圖訪問客體的操作，都必須檢驗(yàn)權(quán)限；有且僅有主體和主體指定的用戶可以更改權(quán)限；管理員可以取得客體的所有權(quán)，但不能再歸還；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對所有的操作進(jìn)行記錄，并且只有管理員和由管理員指定的用戶可以訪問該記錄。SCOUNIX和WindowsNT屬于C2級7計(jì)算機(jī)安全等級劃分B1級：（LabeledSecurityProtection）標(biāo)識的安全保護(hù)。增加：不同的組成員不能訪問對方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權(quán)。WindowsNT的定制版本可以達(dá)到B1級。8計(jì)算機(jī)安全等級劃分B2級：（StructuredProtection）結(jié)構(gòu)化保護(hù)。增加：所有的用戶都被授予一個安全等級；安全等級較低的用戶不能訪問高等級用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達(dá)到B2級。9計(jì)算機(jī)安全等級劃分B3級：（SecurityDomain）安全域保護(hù)。增加：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。10計(jì)算機(jī)安全等級劃分A1級：（VerifiedDesign）可驗(yàn)證設(shè)計(jì)。在B3的基礎(chǔ)上，增加：系統(tǒng)的整體安全策略一經(jīng)建立便不能修改。11AccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(resource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilitytickets12AccessControlMatrix13AccessModesReadallowstheusertoreadtheviewthe.Writeallowstheusertowritetothemayincludecreating,modifying,orappendingontothefile.Executetheusermayloadtheexecuteit.Deletetheusermayremovethisthesystem.Listallowstheusertoviewthefile’sattributes.14AccessControlTechniquesDiscretionaryAccessControlsMandatoryAccessControlsRole-BasedAccessControls15Inordertogainaccesstoausermustpresentthesystemwiththefile’spassword.Differenttopasswordusedtogainaccesstothesystem.Eachassigneda(multiple)password(s).Assignmentsystemmanagerortheownerofthefile.Forexample:oneforreading,oneforwriting.16Easytoimplementandunderstand.Problem:1:passwordsthemselves,alargenumberofpasswordstoremember.2:noeasywaytokeeptrackofwhohasaccesstoafile.3:aaccesstootherfiles.EmbedthepasswordsSpecifyallupfrontSupplythepasswordforeachadditionalfile17DiscretionaryAccessControls自主訪問控制

任意訪問控制：根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合,對客體訪問進(jìn)行限制的一種方法。最常用的一種方法，這種方法允許用戶自主地在系統(tǒng)中規(guī)定誰可以存取它的資源實(shí)體，即用戶（包括用戶程序和用戶進(jìn)程）可選擇同其他用戶一起共享某個文件。自主：指具有授與某種訪問權(quán)力的主體能夠自己決定是否將訪問權(quán)限授予其他的主體。安全操作系統(tǒng)需要具備的特征之一就是自主訪問控制，它基于對主體或主體所屬的主體組的識別來限制對客體的存取。客體：文件，郵箱、通信信道、終端設(shè)備等。1819方法1：Directorylist為每一個欲實(shí)施訪問操作的主體，建立一個能被其訪問的“客體目錄表（文件目錄表）”20DiscretionaryAccessControls

:AccessControlLists21AccessControlLists<jane.pay,rw><john.acct,r>22DiscretionaryAccessControls

:AccessControlLists23DiscretionaryAccessControls

:AccessControlListsItiseasytodeterminealistofallsubjectsgrantedaccesstoaspecificobject.Theeasewithwhichaccesscanberevoked.Storagespaceissaved.Implementfinegranularity:time,location…Difficultyinlistingallobjectsaspecificsubjecthasaccessto.24DiscretionaryAccessControls

:CapabilitiesBased25DiscretionaryAccessControls

:CapabilitiesBased(Ticket)Ticketpossessedbythesubjectwhichwillgrantaspecifiedmodeofaccessforaspecificobject.Thesystemmaintainsalistoftheseticketsforeachsubject.Passingcopiesoftheticket==giveaccesstoanobjecttoanotheruser.Revokeaccesstofilesbyrecallingthetickets.26MandatoryAccessControls根據(jù)客體中信息的敏感標(biāo)記和訪問敏感信息的主體的訪問級對客體訪問實(shí)行限制用戶的權(quán)限和客體的安全屬性都是固定的所謂“強(qiáng)制”就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。所謂“強(qiáng)制訪問控制”是指訪問發(fā)生前，系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。27SensitivityLabelSECRET[VENUS,TANK,ALPHA]Classification

categories28MandatoryAccessControls在強(qiáng)制訪問控制中，它將每個用戶及文件賦于一個訪問級別，如：絕密級（TopSecret）、機(jī)密級（Secret）、秘密級（Confidential）及普通級（Unclassified）。其級別為T>Ｓ>Ｃ>Ｕ，實(shí)現(xiàn)四種訪問控制讀寫關(guān)系：下讀(readdown)：用戶級別大于文件級別的讀操作；上寫(Writeup)：用戶級別低于文件級別的寫操作；下寫(Writedown)：用戶級別大于文件級別的寫操作；上讀(readup)：用戶級別低于文件級別的讀操作；29Rules三個因素主體的標(biāo)簽，即你的安全許可TOPSECRET[VENUSTANKALPHA]客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下：SECRET[VENUSALPHA]訪問請求，例如你試圖讀該文件30examples31Role-BasedAccessControls授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。“角色”指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色就充當(dāng)著主體（用戶）和客體之間的關(guān)聯(lián)的橋梁。這是與傳統(tǒng)的訪問控制策略的最大的區(qū)別所在。主體角色客體32FEATURES:以角色作為訪問控制的主體用戶以什么樣的角色對資源進(jìn)行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。

角色繼承最小權(quán)限原則一方面給予主體“必不可少”的特權(quán)；另一方面，它只給予主體“必不可少”的特權(quán)。33FEATURES職責(zé)分離?對于某些特定的操作集，某一個角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作。“職責(zé)分離”可以有靜態(tài)和動態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個角色與用戶所屬的其它角色彼此不互斥時(shí)，這個角色才能授權(quán)給該用戶。動態(tài)職責(zé)分離：只有當(dāng)一個角色與一主體的任何一個當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個活躍角色。角色容量在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。34系統(tǒng)審計(jì)35TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

可信計(jì)算機(jī)系統(tǒng)36BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asubjectcanonlyappend/writetoanobjectifthecurrentsecuritylevelofthesubjectisdominatedby(<=)theclassificationoftheobject37ReferenceMonitorCompletemediationIsolationVerifiability38TheConceptof

TrustedSystemsReferenceMonitorControllingelementinthehardwareandoperatingsystemofacomputerthatregulatestheaccessofsubjectstoobjectsonbasisofsecurityparametersThemonitorhasaccesstoafile(securitykerneldatabase)Themonitorenforcesthesecurityrules(noreadup,nowritedown)39TheConceptof

TrustedSystemsPropertiesoftheReferenceMonitorCompletemediation:SecurityrulesareenforcedoneveryaccessIsolation:ThereferencemonitoranddatabaseareprotectedfromunauthorizedmodificationVerifiability:Thereferencemonitor’scorrectnessmustbeprovable(mathematically)40TheConceptof

TrustedSystemsAsystemthatcanprovidesuchverifications(properties)isreferredtoasatrustedsystemThatis,itmustbepossibletodemonstratemathema