安全策略与安全模型PPT幻灯片
合集下载
安全模型PPT课件
绝密级 机密级 秘密级 开放级
1、Bell-LaPadula 模型
• Bell-LaPadula模型是第一个也是最著名的 安全策略模型,由David Bell和len LaPadula在1973年提出,简称BLP模型
• BLP模型是可信系统的状态-转换(StateTransition)模型,主要任务是定义使得系统 获得“安全”的状态集合,检查所有状态 的变化均始于一个“安全状态”并终止于 另一个“安全状态”,检查系统的初始是 否为“安全状态”
• 对于一个策略体系的建立包括:安全 策略的制订、安全策略的评估、安全 策略的执行等。
23
Protection(保护)
• 保护通常是通过采用一些传统的静 态安全技术及方法来实现的,主要有 防火墙、加密、认证等方法。通过防 火墙监视限制进出网络的数据包,可 以防范外对内及内对外的非法访问, 提高了网络的防护能力,当然需要根 据安全策略制定合理的防火墙策略; 也可以利用SecureID这种一次性口令 的方法来增加系统的安全性等等。
• 访问数据受限于主体已经获得的对数据的 访问权限,而不是数据的属性(密级)。
• Chinese Wall 模型的思想是将一些可能会 产生访问冲突的数据分成不同的数据集, 强制所有主体最多只能访问一个数据集, 但访问哪个数据集并未受强制规则的限制。
Chinese Wall 模型系统结构
全部客体的集合
24
Detection(检测)
• 在网络安全循环过程中,检测是非常 重要的一个环节,检测是动态响应的 依据,它也是强制落实安全策略的有 力工具,通过不断地检测和监控网络 和系统,来发现新的威胁和弱点,通 过循环反馈来及时作出有效的响应。
25
Response(响应)
1、Bell-LaPadula 模型
• Bell-LaPadula模型是第一个也是最著名的 安全策略模型,由David Bell和len LaPadula在1973年提出,简称BLP模型
• BLP模型是可信系统的状态-转换(StateTransition)模型,主要任务是定义使得系统 获得“安全”的状态集合,检查所有状态 的变化均始于一个“安全状态”并终止于 另一个“安全状态”,检查系统的初始是 否为“安全状态”
• 对于一个策略体系的建立包括:安全 策略的制订、安全策略的评估、安全 策略的执行等。
23
Protection(保护)
• 保护通常是通过采用一些传统的静 态安全技术及方法来实现的,主要有 防火墙、加密、认证等方法。通过防 火墙监视限制进出网络的数据包,可 以防范外对内及内对外的非法访问, 提高了网络的防护能力,当然需要根 据安全策略制定合理的防火墙策略; 也可以利用SecureID这种一次性口令 的方法来增加系统的安全性等等。
• 访问数据受限于主体已经获得的对数据的 访问权限,而不是数据的属性(密级)。
• Chinese Wall 模型的思想是将一些可能会 产生访问冲突的数据分成不同的数据集, 强制所有主体最多只能访问一个数据集, 但访问哪个数据集并未受强制规则的限制。
Chinese Wall 模型系统结构
全部客体的集合
24
Detection(检测)
• 在网络安全循环过程中,检测是非常 重要的一个环节,检测是动态响应的 依据,它也是强制落实安全策略的有 力工具,通过不断地检测和监控网络 和系统,来发现新的威胁和弱点,通 过循环反馈来及时作出有效的响应。
25
Response(响应)
第三章.安全策略与安全模型
,还是通过公共网络传输时,必须使用本公司信息 安全部门指定的加密硬件或者加密软件予以保护。 这个叙述没有谈及加密算法和密钥长度,所以当旧 的加密算法被替换,新的加密算法被公布的时候, 无须对信息安全策略进行修改。
9
安全策略与安全模型
管理是指为提高群体实现目标的效率而采 取的活动和行为。包括制定计划(规划)、 建立机构(组织)、落实措施(部署)、 开展培训(提高能力)、检查效果(评估) 和实施改进(改进)等。 收集信息-评估-组织-部署- <对象>-
统的目标的一个抽象的术语。)
Is a set of rules and practices that dictates how sensitive information and resources are managed, protected, and distributed.(是一组决定了敏感信息和资源的管理、保护和分发的
一个安全策略和安全程序应有一个范围。如一个安全策略适 用于所有计算机;一个信息策略适用于所有的员工。
应明确说明为什么要制定该策略和程序,及其对组织的好处。
(3)责任
规定谁负责该文本的实施。
19
安全策略与安全模型
二、安全策略的类型
1、信息策略
信息策略定义一个组织内的敏感信息以及如何保 护敏感信息。 策略覆盖该组织内的全部敏感信息。 每个员工有责任保护所有接触的敏感信息
17
安全策略与安全模型
2. 使员工的行动一致 安全策略为一个组织的员工规定了一起工作的框 架,组织的安全策略和安全过程规定了安全程序的 目标和对象。将这些目标 和对象告诉员工,就为安 全工作组提供了基础。
18
安全策略与安全模型
9
安全策略与安全模型
管理是指为提高群体实现目标的效率而采 取的活动和行为。包括制定计划(规划)、 建立机构(组织)、落实措施(部署)、 开展培训(提高能力)、检查效果(评估) 和实施改进(改进)等。 收集信息-评估-组织-部署- <对象>-
统的目标的一个抽象的术语。)
Is a set of rules and practices that dictates how sensitive information and resources are managed, protected, and distributed.(是一组决定了敏感信息和资源的管理、保护和分发的
一个安全策略和安全程序应有一个范围。如一个安全策略适 用于所有计算机;一个信息策略适用于所有的员工。
应明确说明为什么要制定该策略和程序,及其对组织的好处。
(3)责任
规定谁负责该文本的实施。
19
安全策略与安全模型
二、安全策略的类型
1、信息策略
信息策略定义一个组织内的敏感信息以及如何保 护敏感信息。 策略覆盖该组织内的全部敏感信息。 每个员工有责任保护所有接触的敏感信息
17
安全策略与安全模型
2. 使员工的行动一致 安全策略为一个组织的员工规定了一起工作的框 架,组织的安全策略和安全过程规定了安全程序的 目标和对象。将这些目标 和对象告诉员工,就为安 全工作组提供了基础。
18
安全策略与安全模型
云计算安全策略PPT43页
实现入侵检测与防护、网站应用程序防护、 网络应用程序控管、状态感知防火墙、一致性 监控以及日志文件检查等功能,成为了虚拟化 平台强大的防护盾牌。
趋势科技也在IaaS层面提供防护,可以和 VMware无缝对接。
29
趋势为虚拟化构架的安全
物理器只需安装一次,以无代理形式提供安全防护
客户端部署于 每台虚拟机
包括接入端的浏览器安全;接入端的安全管理, 不仅客户可以接入,服务商也能接入;接入端的安全 认证等。
(2) 应用服务层。
包括可用性(亚马逊宕机事件),网络攻击,隐 私安全,虚拟机环境下多重任务处理等。
(3) 基础设施层。
包括数据安全(保密性、隔离性),数据位置,
数据完整性与可用性,数据备份与恢复,虚拟机的安
6
技术上的风险
资源耗尽:没有充足的资源,资源没有合理使用 隔离故障:存储、内存、路由隔离机制失效云内部 恶意人员:内部人员对高级特权的滥用 管理接口漏洞:远程访问和浏览器手持设备缺陷 传输中的数据截获:更多的数据传输路径,以避免嗅
探和回放攻击等威胁。 数据泄露:通信加密缺陷或应用程序漏洞,数据泄露 不安全或无效的数据删除:资源的重新分配,缺乏有
原则三:总体规划、分步实施原则。
36
安全体系建设可以分为三个阶段
37
云计算面临的安全威胁 云安全参考模型 云安全防护策略 云安全解决方案 云安全部署原则 云安全展望
38
云计算安全未来展望
每次信息技术的重大革新,都将直接影响安全领 域的发展进程,云计算也是这样。
① IT行业法律将会更加健全,云计算第三方认证 机构、行业约束委员会等组织有可能出现。
证支持
长期生存 服务稳定性、持续性及其迁移
3
趋势科技也在IaaS层面提供防护,可以和 VMware无缝对接。
29
趋势为虚拟化构架的安全
物理器只需安装一次,以无代理形式提供安全防护
客户端部署于 每台虚拟机
包括接入端的浏览器安全;接入端的安全管理, 不仅客户可以接入,服务商也能接入;接入端的安全 认证等。
(2) 应用服务层。
包括可用性(亚马逊宕机事件),网络攻击,隐 私安全,虚拟机环境下多重任务处理等。
(3) 基础设施层。
包括数据安全(保密性、隔离性),数据位置,
数据完整性与可用性,数据备份与恢复,虚拟机的安
6
技术上的风险
资源耗尽:没有充足的资源,资源没有合理使用 隔离故障:存储、内存、路由隔离机制失效云内部 恶意人员:内部人员对高级特权的滥用 管理接口漏洞:远程访问和浏览器手持设备缺陷 传输中的数据截获:更多的数据传输路径,以避免嗅
探和回放攻击等威胁。 数据泄露:通信加密缺陷或应用程序漏洞,数据泄露 不安全或无效的数据删除:资源的重新分配,缺乏有
原则三:总体规划、分步实施原则。
36
安全体系建设可以分为三个阶段
37
云计算面临的安全威胁 云安全参考模型 云安全防护策略 云安全解决方案 云安全部署原则 云安全展望
38
云计算安全未来展望
每次信息技术的重大革新,都将直接影响安全领 域的发展进程,云计算也是这样。
① IT行业法律将会更加健全,云计算第三方认证 机构、行业约束委员会等组织有可能出现。
证支持
长期生存 服务稳定性、持续性及其迁移
3
9 第61节 安全策略与安全网络设计PPT课件
15
• 组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况, 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分。
第6.1节安全策略与安全网络设计
1
整体概述
概述一
点击此处输入
相关文本内容
概述二
点击此处输入
相关文本内容
概述三
点击此处输入
相关文本内容
2
Байду номын сангаас
前言
• 本章主要讨论一个组织或部门的网络安全 策略设计和安全网络的结构设计问题,然 后讨论网络边界防护的各种技术措施。网 络边界安全防护技术是用于解决内部网络 与外部网络交界(接口)处的安全技术, 各种用于网络边界安全防护设备或手段因 解决各种防护需要而被创造出来。
• 组织的信息安全策略设计 • 组织的安全网络结构
7
6.1.1组织的信息安全策略设计
• 一个组织的信息安全策略应该具有完善的 完整性和一致性,完整性可以保证策略覆 盖组织的所有安全需求,一致性则是为了 保证策略集中包含互相矛盾的内容。一个 组织系统的策略是划分为层次的,分别满 足不同层次的信息安全的要求。本节除了 说明策略的层次性和覆盖范围外,还将详 细地研究网络访问控制策略的设计方法。
• 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施。
13
• 组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况, 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分。
第6.1节安全策略与安全网络设计
1
整体概述
概述一
点击此处输入
相关文本内容
概述二
点击此处输入
相关文本内容
概述三
点击此处输入
相关文本内容
2
Байду номын сангаас
前言
• 本章主要讨论一个组织或部门的网络安全 策略设计和安全网络的结构设计问题,然 后讨论网络边界防护的各种技术措施。网 络边界安全防护技术是用于解决内部网络 与外部网络交界(接口)处的安全技术, 各种用于网络边界安全防护设备或手段因 解决各种防护需要而被创造出来。
• 组织的信息安全策略设计 • 组织的安全网络结构
7
6.1.1组织的信息安全策略设计
• 一个组织的信息安全策略应该具有完善的 完整性和一致性,完整性可以保证策略覆 盖组织的所有安全需求,一致性则是为了 保证策略集中包含互相矛盾的内容。一个 组织系统的策略是划分为层次的,分别满 足不同层次的信息安全的要求。本节除了 说明策略的层次性和覆盖范围外,还将详 细地研究网络访问控制策略的设计方法。
• 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施。
13
安全策略与安全配置安全策略-完整PPT课件
路径为安全路径,以本地的路径为备份路径;
6、启用所有结点的安全特征并保存安全设置;
7、如果启用环境保护,启动Intellution 工作台并对每个显示客户端设置运行状态 时环境参数。
5.3.1 安全策略与安全配置
1、安全策略
完成安全策略后,通过登录和访问应用程序和安全区域,确认安全策略的正确 性,同时试着访问不允许访问的应用程序和安全区域。
工业控制组态及现场总线 ——安全策略与安全配置
目录
1
安全策略
2
ห้องสมุดไป่ตู้
安全配置
5.3.1 安全策略与安全配置
1、安全策略
开发iFIX安全策略的主要设计目标是创建组帐户和用户帐户。使用组帐户,在 提供适应性和高效性的同时,可以将创建帐户所需的工作量减到最小。例如,不是 创建分配有相同安全区域和应用特性的5个操作者帐户,而是创建具有这些权限的一 个组帐户,并将该组帐户分配给5个操作者。
5.3.1 安全策略与安全配置
1、安全策略
1、命名安全区域;
实现安全策略的步骤
2、建立组帐户和用户帐户;
3、定义自动登录设置,即允许操作员自动登录iFIX;
4、拷贝安全文件至所有结点,如使用文件服务器,拷贝安全文件至文件服务器;
5、为每个结点定义本地安全路径和备份路径,如使用文件服务器,以文件服务器的
谢谢大家 !
攻防安全模型ppt幻灯片
攻防模型
具体地说,攻防模型的一些假定如下: 1)攻防模型将安全系统的研究对象定义为构建可信信息系统并抵御信息系统的脆弱性,研究对象
的建模分为两个层次:首先是信息系统模型,然后是信息系统的脆弱性模型。 2)信息系统的定义采用我国信息系统安全保障通用评估准则(草稿)中给出的信息系统的定义。
即信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和 组件的总和。信息技术系统是作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通 信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的或固件的任何 组合。信息系统是在信息技术系统的基础上,综合考虑了人员、管理等系统综合运行环境的一个整 体。攻防模型的信息系统模型不仅考虑技术因素,还考虑人员、管理等运行环境因素。 3)脆弱性(也叫漏洞,本文脆弱性和漏洞相互等同使用)是客观存在的,信息系统(及其防御系 统)本身存在脆弱性,而信息系统、脆弱性、攻击者、防御系统随时间演化也可能产生脆弱性。 4)安全的本质是攻防双方不断利用脆弱性知识进行的博弈:攻防双方不断地发现漏洞并利用这些 信息达到各自的目的,但是攻防双方在实施攻击或防御时必须考虑对方策略的影响。所以安全模型 必须内含防御方和攻击方,而不是仅仅有防御方而不包含攻击方。事实上,博弈方可以多达三个以 上,本文为了简单起见,仅含防御方和攻击方。攻击方受防御方影响,防御方受攻击方影响是攻防 模型的基本假定。 5) 作为博弈一方的攻击方,受防御方和环境影响而存在不确定性,所以攻击方有风险。 6)作为博弈一方的防御方,受攻击方和环境影响而存在不确定性,所以防御方也有风险。防御方 必须坚持持续改进原则,其安全机制即含事前保障,亦含事后监控。防御方模型为现有安全风险模 型提供融合的、协调的统一框架。
计算机网络安全安全体系结构与安全模型课件
相关概念的定义:安全服务、安全机制 定义了六种安全服务(安全功能) 定义了九种安全机制 安全服务和安全机制之间的关系 安全服务在功能层上的配置 安全管理
计算机网络安全(安全体系结构与安全 模型)
第4页
OSI安全体系结构(ISO 7498-2)
功能层
应用层 表示层
会话层
传输层
网络层 链路层
访问控制(Access Control)
数据保密性(Confidentiality),机密性
连接的机密性 无连接的机密性 选择字段的机密性 通信业务流(traffic)机密性,流量机密性
可用性:确保网络元素,存储信息,信息流,服 务和应用的授权访问,包括灾难恢复
计算机网络安全(安全体系结构与安全 模型)
Manager
操作 报告
Agent
计算机网络安全(安全体系结构与安全 模型)
被管系统 第17页
1.7 OSI安全管理的分类
系统安全管理
系统安全管理涉及总的OSI环境安全方面的管 理。
安全服务管理
安全机制管理
密钥管理;加密管理;数字签名管理;访问控制 管理;数据完整性管理;鉴别管理;通信业务填 充管理;路由选择控制管理;公证管理。
第8页
1.4 安全机制(续)
访问控制机制
根据访问者的身份和有关信息,决定实体的访问权限。 实体必须经过认证。
访问控制可以基于以下手段: 集中的授权信息库 主体的能力表; 客体的访问控制链表 主体和客体的安全标签或安全级别 路由、时间、位置等
可以用在源点、中间、或目的
计算机网络安全(安全体系结构与安全 模型)
第7页
1.4 安全机制
加密机制(密码机制)
可以支持数据保密性、完整性等多种安全服务 算法可以是可逆的,也可以是不可逆的
计算机网络安全(安全体系结构与安全 模型)
第4页
OSI安全体系结构(ISO 7498-2)
功能层
应用层 表示层
会话层
传输层
网络层 链路层
访问控制(Access Control)
数据保密性(Confidentiality),机密性
连接的机密性 无连接的机密性 选择字段的机密性 通信业务流(traffic)机密性,流量机密性
可用性:确保网络元素,存储信息,信息流,服 务和应用的授权访问,包括灾难恢复
计算机网络安全(安全体系结构与安全 模型)
Manager
操作 报告
Agent
计算机网络安全(安全体系结构与安全 模型)
被管系统 第17页
1.7 OSI安全管理的分类
系统安全管理
系统安全管理涉及总的OSI环境安全方面的管 理。
安全服务管理
安全机制管理
密钥管理;加密管理;数字签名管理;访问控制 管理;数据完整性管理;鉴别管理;通信业务填 充管理;路由选择控制管理;公证管理。
第8页
1.4 安全机制(续)
访问控制机制
根据访问者的身份和有关信息,决定实体的访问权限。 实体必须经过认证。
访问控制可以基于以下手段: 集中的授权信息库 主体的能力表; 客体的访问控制链表 主体和客体的安全标签或安全级别 路由、时间、位置等
可以用在源点、中间、或目的
计算机网络安全(安全体系结构与安全 模型)
第7页
1.4 安全机制
加密机制(密码机制)
可以支持数据保密性、完整性等多种安全服务 算法可以是可逆的,也可以是不可逆的
第三章---操作系统安全模型PPT课件
S4
O4(O4A, O4B, O4C)
2021/3/12
11
基本安全定理(简化版)
设系统的初始安全状态为σ0,T是状态转换 的集合。如果T中的每个元素都遵守简单安 全条件(简化版)和*-属性(简化版), 那么对于每个i≧0,状态σi都是安全的
2021/3/12
12
模型扩展解决分类粗糙
给每个安全密级增加一套类别,每种类别都描述一 种信息
1.主体:可以对其他实体施加动作的主动实体, 简记为S
2.客体:是主体行为的对象,简记为O
3.访问权限:访问权限有限集A={ 读,写,执行, 追加 }
控制策略:主体对客体的操作行为集和约束条件 集
访问矩阵:主体用行表示,客体用列表示,交叉 项表示该主体对该客体所拥有的访问权限
2021/3/12
7
信息流模型
例:如果类别分为A,B,C三类,则一个主体可访问的 类别的集合为: 空集, {A},{B},{C},{A,B},{A,C},{B,C},{A,B,C} 如果S2只需访问A类客体,则安全等级为(机密, {A}),客体O2B归于B类,它属于(机密,{B}), 则即使S2和O2B都是机密级别,S2也不能访问O2B 引入支配关系:安全等级(L,C)支配安全等级(L’,C’), 当且仅当L’ ≤L且C’包含于C
的对应于军事类型安全密级分类的计算机操作系统 模型
BLP模型采用线性排列安全许可的分类形式来保证 信息的保密性
✓ 每个主体都有个安全许可,等级越高,可访问的信息就越 敏感
✓ 每个客体都有个安全密级,密级越高,客体信体(数据、文 件)组成,主体对客体的访问分为只读(R)、读写 (W)、只写(A)、执行(X)及控制(C)几种访 问模式,C指主体授予或撤消另一主体对某一客体访 问权限的能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
那么, b≤a 或b≥a如何进行比较呢?
13
定义 A={U,C,S,TS} B= {部门或类别或范畴}
例: B= {科技处,干部处,生产处,情报处} PB= 2B={H|H B}
在A×PB上定义一个二元关系“≤”: A×PB={(a,H)|a ∈A 且 H PB}
(a1,H1), (a2,H2) ∈A×PB ,当且仅当 a1 ≤ a2,H1 H2时,有 (a1,H1) ≤(a2,H2)
可得 a1≤1a3 同理: b1≤2b2, b2≤2b3 可得 b1≤2b3
最后有(a1,b1) ≤(a3,b3) 传递性
5
亦即 (i)(a,b)∈A×B ,均有 (a,b) ≤(a,b)
(ii)(a1,b1),(a2,b2),∈ A×B,若(a1,b1) (a2,b2), 则(a1,b1) ≤(a2,b2) 与(a2,b2) ≤(a1,b1) 不能同时出现
9
在实施多级安全策略的系统中,系统为每一个主体 和每一个客体分配一个安全级。
(密级,部门(或类别)集)或(密级,{部门或类别})
若某主体具有访问密级a的能力,则对任意b≤a,该 主体也具有访问b的能力
若某主体具有访问密级a的能力,则对任意b≥a,该 主体不具有访问b的能力
10
(密级,{部门或类别或范畴})理解:
2
5.集合上的偏序关系
全序 :一个集合 A 上的任意两个元素之间都满足偏序关系, 则称该偏序为 A 上的一个全序
良序 :一个集合 A 上的偏序,Βιβλιοθήκη 对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
(iii) (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A×B,若(a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 则一定有(a1,b1) ≤(a3,b3)
设是A上的关系,a ∈A 均aa --------自反 设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现
①军事安全策略中的强制访问控制策略: 系统中每个主体和客体都分配一个安全标准 (安全级)
客体的安全级表示客体所包含的信息的敏感程度 主体的安全级表示主体在系统中受信任的程度
8
②安全标准由两部分组成 (密级,部门(或类别)集)
eg:密级分为4个级别:一般秘密机密绝密
(UC S TS) 令A={U,C,S,TS},则<A;≤>是A上的全序,构成偏序集
可以证明: ≤是 A×PB上的一个偏序关系
即<A×PB;≤>构成一个偏序集。
14
可利用命题:若<A;≤1>和<B;≤2>是两个偏序 集,在笛卡尔积A×B上定义关系≤,对任意 (a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集。
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac ---------可传递的
1
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表
示。
可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b 或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
--------反对称 设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
6
二 安全策略
1.安全策略的概念
计算机系统的安全策略是为了描述系统的
安全需求而制定的对用户行为进行约 束的一整套严谨的规则。这些规则规
定系统中所有授权的访问,是实施访问控 制的依据。
7
2.安全策略举例
a1 ∈A 有a 1≤1 a1, b1 ∈B 有b 1≤1 b1
所以 (a1,b1) ≤(a1,b1) 自反
由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a1,b1),可得 a1≤1a2, a2≤1a1 可得 a1=a2;同理有b1=b2,此即(a2,b2) =(a1,b1)
反对称 又由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a3,b3),此即 a1≤1a2, a2≤1a3
3
7.一个有用的结论 命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当
a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集
4
因为<A;≤1>、 <B;≤2>为偏序关系,所以
对于客体来说 ,{部门或类别或范畴}可定义为该 客体所包含的信息所涉及的范围 部门或所具有的类别属性
对于主体来说 ,{部门或类别或范畴}可定义为该 主体能访问的信息所涉及的范围或部门
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组})
11
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组}) 肯定不会写成: (S,{财务处,三车间,大门})
第三讲 安全策略与安全模型
一 数学基础
1.集合 元素 子集 a∈ A HS
2.集合的幂集 2A =P(A) ={H A}
3.笛卡尔积 A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现 --------反对称
<A;≤>
例:令B={科技处,干部处,生产处,情报处},
PB= 2B={H|H B} ,显然< PB; >构成一个偏序集
class(O1) =(C,{科技处})
class(u) =(S,{科技处,干部处})
class(O2) =(TS,{科技处,情报处,干部处}) class(O3)=(C,{情报处})
例:车间主任 (C,{三车间,仓库})
肯定不会写成: (S,{财务处,党办,财经小组})
12
主体、客体安全级定义以后,就可以通 过比较主客体安全级,来决定主体对客 体的访问以及什么样的访问。
前面讲过,在实施多级安全策略的系统中,系统为每 一个主体和每一个客体分配一个安全级。若某主 体具有访问密级a的能力,则对任意b≤a,该主体也 具有访问b的能力。若某主体具有访问密级a的能 力,则对任意b≥a,该主体不具有访问b的能力。
13
定义 A={U,C,S,TS} B= {部门或类别或范畴}
例: B= {科技处,干部处,生产处,情报处} PB= 2B={H|H B}
在A×PB上定义一个二元关系“≤”: A×PB={(a,H)|a ∈A 且 H PB}
(a1,H1), (a2,H2) ∈A×PB ,当且仅当 a1 ≤ a2,H1 H2时,有 (a1,H1) ≤(a2,H2)
可得 a1≤1a3 同理: b1≤2b2, b2≤2b3 可得 b1≤2b3
最后有(a1,b1) ≤(a3,b3) 传递性
5
亦即 (i)(a,b)∈A×B ,均有 (a,b) ≤(a,b)
(ii)(a1,b1),(a2,b2),∈ A×B,若(a1,b1) (a2,b2), 则(a1,b1) ≤(a2,b2) 与(a2,b2) ≤(a1,b1) 不能同时出现
9
在实施多级安全策略的系统中,系统为每一个主体 和每一个客体分配一个安全级。
(密级,部门(或类别)集)或(密级,{部门或类别})
若某主体具有访问密级a的能力,则对任意b≤a,该 主体也具有访问b的能力
若某主体具有访问密级a的能力,则对任意b≥a,该 主体不具有访问b的能力
10
(密级,{部门或类别或范畴})理解:
2
5.集合上的偏序关系
全序 :一个集合 A 上的任意两个元素之间都满足偏序关系, 则称该偏序为 A 上的一个全序
良序 :一个集合 A 上的偏序,Βιβλιοθήκη 对于 A 的每一个非空子集 S A,
在 S 中存在一个元素 as(称为 S 的最小元素),使得对于
所有的 s ∈ S,有as ≤s,则称它为 A上的一个良序
(iii) (a1,b1) ,(a2,b2) ,(a3,b3) ∈ A×B,若(a1,b1) ≤(a2,b2) , (a2,b2) ≤(a3,b3) 则一定有(a1,b1) ≤(a3,b3)
设是A上的关系,a ∈A 均aa --------自反 设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现
①军事安全策略中的强制访问控制策略: 系统中每个主体和客体都分配一个安全标准 (安全级)
客体的安全级表示客体所包含的信息的敏感程度 主体的安全级表示主体在系统中受信任的程度
8
②安全标准由两部分组成 (密级,部门(或类别)集)
eg:密级分为4个级别:一般秘密机密绝密
(UC S TS) 令A={U,C,S,TS},则<A;≤>是A上的全序,构成偏序集
可以证明: ≤是 A×PB上的一个偏序关系
即<A×PB;≤>构成一个偏序集。
14
可利用命题:若<A;≤1>和<B;≤2>是两个偏序 集,在笛卡尔积A×B上定义关系≤,对任意 (a1,b1), (a2,b2) ∈A×B 当且仅当 a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集。
设是A上的关系,a,b,c ∈A若ab, bc则一定有ac ---------可传递的
1
5.集合上的偏序关系
偏序关系:集合 A 上的关系ρ , 如果它是自反、反对称且 可传递的,则称ρ为 A 上的一个偏序关系。
“偏序关系”也叫做“偏序”,用“≤”符号表
示。
可比:设≤是集合 A 上的偏序,对于 a、b∈A,若有 a ≤ b 或 b ≤ a,则称 a 和 b 是可比的,否则称 a 和 b 是不可比的
--------反对称 设是A上的关系,a,b,c ∈A若ab, bc则一定有ac
---------可传递的
6
二 安全策略
1.安全策略的概念
计算机系统的安全策略是为了描述系统的
安全需求而制定的对用户行为进行约 束的一整套严谨的规则。这些规则规
定系统中所有授权的访问,是实施访问控 制的依据。
7
2.安全策略举例
a1 ∈A 有a 1≤1 a1, b1 ∈B 有b 1≤1 b1
所以 (a1,b1) ≤(a1,b1) 自反
由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a1,b1),可得 a1≤1a2, a2≤1a1 可得 a1=a2;同理有b1=b2,此即(a2,b2) =(a1,b1)
反对称 又由(a1,b1) ≤(a2,b2) (a2,b2) ≤(a3,b3),此即 a1≤1a2, a2≤1a3
3
7.一个有用的结论 命题:若<A;≤1>和<B;≤2>是两个偏序集,在笛 卡尔积A×B上定义关系≤,对任意(a1,b1), (a2,b2) ∈A×B 当且仅当
a1≤1a2, b1≤2b2时,有(a1,b1) ≤(a2,b2) 可以证明:<A×B;≤>也是一个偏序集
4
因为<A;≤1>、 <B;≤2>为偏序关系,所以
对于客体来说 ,{部门或类别或范畴}可定义为该 客体所包含的信息所涉及的范围 部门或所具有的类别属性
对于主体来说 ,{部门或类别或范畴}可定义为该 主体能访问的信息所涉及的范围或部门
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组})
11
例:2011年财务报表 (S,{财务处,总裁办公室,党办,财经小组}) 肯定不会写成: (S,{财务处,三车间,大门})
第三讲 安全策略与安全模型
一 数学基础
1.集合 元素 子集 a∈ A HS
2.集合的幂集 2A =P(A) ={H A}
3.笛卡尔积 A×B={(a,b)| a∈A ,b ∈B}
4.集合A上的关系的性质
设是A上的关系,a ∈A 均aa--------自反
设是A上的关系,a,b ∈A若ab,则ab与ba不能同时出现 --------反对称
<A;≤>
例:令B={科技处,干部处,生产处,情报处},
PB= 2B={H|H B} ,显然< PB; >构成一个偏序集
class(O1) =(C,{科技处})
class(u) =(S,{科技处,干部处})
class(O2) =(TS,{科技处,情报处,干部处}) class(O3)=(C,{情报处})
例:车间主任 (C,{三车间,仓库})
肯定不会写成: (S,{财务处,党办,财经小组})
12
主体、客体安全级定义以后,就可以通 过比较主客体安全级,来决定主体对客 体的访问以及什么样的访问。
前面讲过,在实施多级安全策略的系统中,系统为每 一个主体和每一个客体分配一个安全级。若某主 体具有访问密级a的能力,则对任意b≤a,该主体也 具有访问b的能力。若某主体具有访问密级a的能 力,则对任意b≥a,该主体不具有访问b的能力。