第三章.安全策略與安全模型

1第三章安全策略與安全模型安全策略與安全模型業(yè)務大集中數(shù)據(jù)中心線路中斷梳理手上的牌安全專家管理理念資產(chǎn)和業(yè)務威脅和危害安全措施方法/原則安全策略與安全模型2安全運維體系的解決方案：業(yè)務層面和支撐層面的人員、權(quán)限、策略、系統(tǒng)的統(tǒng)一。從安全策略入手，在不同層面實現(xiàn)做到人與權(quán)限的統(tǒng)一。安全策略與安全模型3安全策略資源類型資源使用者OA系統(tǒng)、財務系統(tǒng)、業(yè)務應用系統(tǒng)等業(yè)務用戶應用管理員主機系統(tǒng)操作系統(tǒng)管理員數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫管理員網(wǎng)絡設備網(wǎng)絡管理員安全設備安全管理員物理環(huán)境機房管理員標準規(guī)則高度統(tǒng)一組織結(jié)構(gòu)：業(yè)務系統(tǒng)建設與安全運維分開，各自建立規(guī)則相互制約事件響應：結(jié)合業(yè)務重要性進行事件分類，并設計處理流程內(nèi)容審計：結(jié)合業(yè)務流程和企業(yè)文化實現(xiàn)業(yè)務人員、IT人員的統(tǒng)一安全審計人員績效：根據(jù)業(yè)務發(fā)展戰(zhàn)略，制定業(yè)務人員和IT人員的統(tǒng)一績效量化指標并明確操作方法。配置策略合理有序人和權(quán)限的統(tǒng)一安全策略與安全模型4一、安全策略概述二、安全策略類型三、安全策略的生成、部署和有效使用5安全策略與安全模型一、安全策略概述策略：“策略”就是為了實現(xiàn)某一個目標，首先預先根據(jù)可能出現(xiàn)的問題制定的若干對應的方案，并且，在實現(xiàn)目標的過程中，根據(jù)形勢的發(fā)展和變化來制定出新的方案，或者根據(jù)形勢的發(fā)展和變化來選擇相應的方案，最終實現(xiàn)目標。1、可以實現(xiàn)目標的方案集合；2、根據(jù)形勢發(fā)展而制定的行動方針和斗爭方法；3、有斗爭藝術，能注意方式方法；6安全策略與安全模型一、

安全策略概述策略與措施措施：措施具有目的行動,是針對某一現(xiàn)象作出的相應的對策。措施包括了實現(xiàn)策略過程中所采取的管理與技術手段、方法等。措施應與策略不矛盾。策略指做什么和不做什么？措施指怎么做？7安全策略與安全模型安全策略：是指在某個安全區(qū)域內(nèi)（一個安全區(qū)域，通常是指屬于某個組織的一系列處理和通信資源），用于所有與安全相關活動的一套規(guī)則。這些規(guī)則是由此安全區(qū)域中所設立的一個安全權(quán)力機構(gòu)建立的，并由安全控制機構(gòu)來描述、實施或?qū)崿F(xiàn)的。網(wǎng)絡管理員或者CIO根據(jù)組織機構(gòu)的風險及安全目標制定的行動策略即為安全策略。根據(jù)確定的保護對象，策略將定義一組管理或使用的方法，使策略的執(zhí)行者在面對受保護的對象時，策略明確規(guī)定了什么能做，什么不能做。一、

安全策略概述8安全策略與安全模型3.1安全策略概述信息安全策略是一組規(guī)則，它們定義了一個組織要實現(xiàn)的安全目標和實現(xiàn)這些安全目標的途徑。信息安全策略是原則性的和不涉及具體細節(jié)，對于整個組織提供全局性指導，為具體的安全措施和規(guī)定提供一個全局性框架。9信息安全策略的描述應簡潔的、非技術性的和具有指導性的。如一個涉及對敏感信息加密的信息安全策略條目可以這樣描述：

任何類別為機密的信息，無論存貯在計算機中，還是通過公共網(wǎng)絡傳輸時，必須使用本公司信息安全部門指定的加密硬件或者加密軟件予以保護。這個敘述沒有談及加密算法和密鑰長度，所以當舊的加密算法被替換，新的加密算法被公布的時候，無須對信息安全策略進行修改。

安全策略與安全模型管理是指為提高群體實現(xiàn)目標的效率而采取的活動和行為。包括制定計劃（規(guī)劃）、建立機構(gòu)（組織）、落實措施（部署）、開展培訓（提高能力）、檢查效果（評估）和實施改進（改進）等。收集信息－評估－組織－部署－<對象>－10系統(tǒng)B安全策略與安全模型TheTransformationProcessSecurityPolicySecurityModelProgram-mingAbstractobjectives,goalsandrequirementsRulesorpracticeFrameworkMathematicalrelationshipandformulasSpecificationsDatastructureComputercodeGUI–checkboxThesecuritypolicyprovidestheabstractgoalsandthesecuritymodelprovidesthedo’sanddon’tsnecessarytofulfillthegoalsProductorSystem安全策略與安全模型11SecurityPolicyOutlinesthesecurityrequirementsforanorganization.Isanabstracttermthatrepresentstheobjectivesandgoalsasystemmustmeetandaccomplishtobedeemedsecureandacceptable.（是代表了必須滿足和完成被認為是安全和可接受的系統(tǒng)的目標的一個抽象的術語。）Isasetofrulesandpracticesthatdictateshowsensitiveinformationandresourcesaremanaged,protected,anddistributed.（是一組決定了敏感信息和資源的管理、保護和分發(fā)的規(guī)則和實踐。）Expresseswhatthesecuritylevelshouldbebysettingthegoalsofwhatthesecuritymechanismsaresupposedtoaccomplish.（表示安全級別中安全機制應該完成的目標。）Providestheframeworkforthesystems’securityarchitecture.安全策略與安全模型12SecurityModelIsasymbolicrepresentationofapolicy,whichOutlinestherequirementsneededtosupportthesecuritypolicyandhowauthorizationisenforced.（概述需要支持的安全策略和執(zhí)行授權(quán)的要求）Mapstheabstractgoalsofthepolicytoinformationsystemtermsbyspecifyingexplicitdatastructuresandtechniquesthatarenecessarytoenforcethesecuritypolicy.（將安全策略抽象目標映射到執(zhí)行安全策略的具體的數(shù)據(jù)結(jié)構(gòu)和技術。）Mapsthedesiresofthepolicymakersintoasetofrulesthatcomputersystemmustfollow.（將決策者的愿望映射到一組計算機系統(tǒng)必須遵循的規(guī)則。）Isusuallyrepresentedinmathematicsandanalyticalideas,whicharethenmappedtosystemspecifications,andthendevelopedbyprogrammersthroughprogrammingcodes.（通常表示成數(shù)學或解析模式，然后映射到系統(tǒng)說明，然后再由程序員開發(fā)成代碼。）安全策略與安全模型13Derivethemathematical

relationshipsandformulasexplaininghowxcanaccessyonlythroughoutlinedspecificmethods.Developspecificationstoprovideabridgetowhatthismeansinacomputingenvironmentandhowitmapstocomponentsandmechanismsthatneedtobecodedanddeveloped.（在一個計算環(huán)境中，以及如何將安全策略映射到需要進行編碼和開發(fā)組件和機制。）Writetheprogramcode

toproducethemechanismsthatprovideawayforasystemtouseaccesscontrollistsandgiveadministratorssomedegreeofcontrol.ThismechanismpresentsthenetworkadministratorwithaGUIrepresentation,likecheckboxes,tochoosewhichsubjectscanaccesswhatobjects,withintheoperatingsystem.SecurityPolicy“Subjectsneedtobeauthorizedtoaccessobjects.”SecurityModelExample安全策略與安全模型14SecurityModelsBell-LaPadulaModel(1973)BibaModel(1977)Clark-WilsonModel(1987)AccessControlMatrixInformationFlowModelNoninterferenceModelChineseWallModelLatticeModelConfidentialityIntegrityAvailabilitySecurityRequirementsSecurityModels安全策略與安全模型15安全策略的功能安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應如何在正常的環(huán)境下行動，而當發(fā)生環(huán)境不正常時，應如何反應。執(zhí)行兩個主要任務：1.確定安全的實施2.使員工的行動一致16安全策略與安全模型確定安全的實施安全策略確定恰當?shù)挠嬎銠C系統(tǒng)和網(wǎng)絡配置及物理安全措施，以及確定所用的合理機制以保護信息和系統(tǒng)。規(guī)定了員工責任。規(guī)定當非期望的事件發(fā)生時，組織應如何反應。事故發(fā)生時，該組織的行動目標。安全事故或系統(tǒng)出故障發(fā)生時，組織的安全策略和安全程序規(guī)定其應做的事。17安全策略與安全模型2.使員工的行動一致

安全策略為一個組織的員工規(guī)定了一起工作的框架，組織的安全策略和安全過程規(guī)定了安全程序的目標和對象。將這些目標和對象告訴員工，就為安全工作組提供了基礎。18安全策略與安全模型3.2安全策略的類型安全策略一般包含3個方面：（1）目的

應明確說明為什么要制定該策略和程序，及其對組織的好處。（2）范圍一個安全策略和安全程序應有一個范圍。如一個安全策略適用于所有計算機；一個信息策略適用于所有的員工。（3）責任規(guī)定誰負責該文本的實施。19安全策略與安全模型二、安全策略的類型1、信息策略信息策略定義一個組織內(nèi)的敏感信息以及如何保護敏感信息。策略覆蓋該組織內(nèi)的全部敏感信息。每個員工有責任保護所有接觸的敏感信息1.識別敏感信息2.信息分類（公開、公司敏感、公司秘密、限制或保護）3.敏感信息標記4.敏感信息存儲（規(guī)定相應的保護級別）5.敏感信息傳輸（對每種傳輸方式確定保護方式）6.敏感信息銷毀（規(guī)定相應的銷毀方法）20安全策略與安全模型2、系統(tǒng)和網(wǎng)絡安全策略

規(guī)定了計算機系統(tǒng)和網(wǎng)絡設備安全的技術要求，規(guī)定系統(tǒng)或網(wǎng)絡管理員應如何配置與安全相關的系統(tǒng)。安全策略應定義每個系統(tǒng)實施時的要求，但不應規(guī)定對不同操作系統(tǒng)的專門配置（在安全措施時解決）。用戶身份和身份鑒別（機制及相關約束）確定如何識別用戶規(guī)定用于用戶ID的標準或定義標準的系統(tǒng)管理過程，包括系統(tǒng)用戶和管理員的基本的鑒別機制。21安全策略與安全模型2系統(tǒng)和網(wǎng)絡安全策略

訪問控制策略（對電子資源訪問控制的標準要求）對計算機上的每個資源，用戶定義的訪問控制的某些方式應是可用的。應與身份鑒別機制一起工作，確保有授權(quán)用戶能訪問。應說明新文件的黙認配置。審計（確定所有系統(tǒng)上需要審計的所有類型）網(wǎng)絡連接（連接的規(guī)則及保護機制）安全策略應確定用于連接的設備類型。應定義連接設備的基本網(wǎng)絡訪問控制策略以及請求和得到訪問的基本過程。針對從外部訪問內(nèi)部系統(tǒng)，安全策略應說明這類訪問所采用的機制（身份鑒別機制和授權(quán)過程）22安全策略與安全模型3.2.2系統(tǒng)和網(wǎng)絡安全策略

搜索惡意代碼的安全程序的要求和存放位置、以及周期性簽名等加密（組織內(nèi)可接收的加密算法、密鑰管理需要的過程）23安全策略與安全模型3計算機用戶策略

計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。1.計算機所有權(quán)2.信息所有權(quán)所有存儲并用于組織內(nèi)的計算機信息歸組織所有。3.計算機的使用許可規(guī)定誰可以裝載授權(quán)軟件以及怎樣成為合法軟件。4.沒有隱私的要求在任何組織的計算機中存儲、讀出、接收的信息均沒有隱私。用戶應了解任何信息都可能接受管理員檢查。24安全策略與安全模型4Internet使用策略

規(guī)定了如何合理地使用Internet；確定哪些是非正當?shù)氖褂糜性S多有待研究的地方：青少年的網(wǎng)絡使用問題BYOD問題25安全策略與安全模型5郵件策略

內(nèi)部郵件問題（不應和其它的人力資源策略相沖突、不應期望在郵件中保護隱私）外部郵件問題（敏感信息保護、惡意代碼檢查等）26安全策略與安全模型6用戶管理程序

1.新員工程序（制定新員工正確訪問計算機資源的程序）2.工作調(diào)動的員工程序開發(fā)一專門程序，關閉原有訪問，滿足新的訪問需求，相應的更換系統(tǒng)管理員。3.離職員工的程序?qū)㈦x職的員工從系統(tǒng)上除去。27安全策略與安全模型7系統(tǒng)管理程序

系統(tǒng)管理程序是確定安全和系統(tǒng)管理如何配合工作以使組織的系統(tǒng)安全(系統(tǒng)管理員監(jiān)控網(wǎng)絡的能力，應由計算機用戶策略確定，并反映組織期望的系統(tǒng)如何管理).28安全策略與安全模型7系統(tǒng)管理程序

系統(tǒng)管理程序應確定各種安全相關的系統(tǒng)管理如何完成。軟件更新（多長時間檢查補丁或從廠家更新，更新之前的測試，更新時做文檔，失敗時放棄更新。漏洞掃描（多長時間掃描、掃描結(jié)果應傳給系統(tǒng)管理糾錯和執(zhí)行）策略檢查定期的外部和內(nèi)部審計用來檢查是否和策略一致。安全應和系統(tǒng)管理一起工作，以檢查系統(tǒng)的一致。29安全策略與安全模型7系統(tǒng)管理程序

登錄檢查應定期檢查各種系統(tǒng)的登錄。如采用自動工具，應規(guī)定工具的配置以及希望它如何處理如手工方式，應規(guī)定多長間隔檢查登錄文件以及事件類型等。常規(guī)監(jiān)控應有一個程序歸檔說明何時網(wǎng)絡通信監(jiān)控發(fā)生。有些組織可能選擇連續(xù)執(zhí)行這種類型的監(jiān)控；有些組織可能是隨機監(jiān)控。應該進行監(jiān)控，且要歸檔。30安全策略與安全模型8事故響應程序

當計算機發(fā)生事故時，事故響應程序確定該組織將如何作出反應。根據(jù)事故的不同，事故響應程序應確定誰有權(quán)處理，以及應該做什么，但無須說明如何做。事故處理目標如保護組織的系統(tǒng)、保護組織的信息、恢復運行、起訴肇事者、減少壞的宣傳等。可以有多個目標，關鍵是在事故發(fā)生前確定組織的目標。31安全策略與安全模型8事故響應程序

2.事件識別事故識別是事故響應中最困難的部分。某事故顯而易見，如WEB站點外貌損壞；某些不易看出，如入侵攻擊或用戶誤操作等。在公布事故前應由系統(tǒng)管理員作檢查以決定事故是否發(fā)生。對于不是顯而易見的事故，管理員應確定檢查的步驟。確定事故發(fā)生后，應組織一個響應組，包括安全、系統(tǒng)管理、法律、人力資源、公共關系等部門。3.信息控制根據(jù)事故對組織及其客戶的影響程序，控制發(fā)布什么樣的信息、發(fā)布多少信息。根據(jù)組織的正面效應，選擇發(fā)布信息的方式、方法。32安全策略與安全模型8事故響應程序

4.響應對事故的響應直接取決定事故響應的目標。如保護系統(tǒng)和信息為目標，可直接將系統(tǒng)移走；如以抓入侵者為目標，可以保持系統(tǒng)在網(wǎng)上的在線狀態(tài)和繼續(xù)提供服務，允許入侵者再回來，進行入侵者跟蹤和設置陷阱。5.授權(quán)事故響應負責人在事故響應程序開發(fā)時就要做出決定，而不僅僅是在事故響應時。責任人要決定系統(tǒng)是否下線，如何與客戶、新聞機構(gòu)、律師等聯(lián)系。6.文檔事故響應程序應規(guī)定響應組建立行動檔案。（有助于回顧事故全過程、為起訴的法律實施提供幫助、有助于以后的事故處理）7.程序的測試響應程序開發(fā)過程中要廣泛征求意見可在現(xiàn)實世界中進行測試。33安全策略與安全模型9配置管理程序

配置管理程序規(guī)定修改組織的計算機系統(tǒng)狀態(tài)的步驟。目的是確定合適的變化不會對安全事故的識別產(chǎn)生不好的影響。新的配置從以下兩方面予以檢查系統(tǒng)的初始狀態(tài)狀態(tài)應有文檔，包括操作系統(tǒng)及其版本、補丁水平、應用程序及其版本2.變更的控制程序在變更實施前對計劃的變更進行測試，當提出變更請求時，應將變更前后的程序存檔。34安全策略與安全模型10設計方法

對生成新系統(tǒng)或能力的項目應有一個設計方法，以提供該組織生成新的系統(tǒng)的步驟。在設計時要考慮安全問題，使最后完成的系統(tǒng)能與安全相一致。設計過程中與安全相關的步驟有：1、需求定義在該階段應將安全需求列入。指出組織的安全策略和信息策略要求，特別要指定組織的敏感信息和關鍵信息的要求。2、設計設計方法應確保項目是安全的。安全人員應成為設計組成員或作為項目設計審查人員，在設計中對不同滿足安全要求之處應特別說明，并加以妥善解決。35安全策略與安全模型10設計方法

3、測試在項目測試階段，應同時進行安全測試。安全人員協(xié)助編制測試計劃，安全要求有可能難以測試，如測試入侵者不能看到敏感信息等。4、實施實施組應使用合適的配置管理程序，在新系統(tǒng)成為產(chǎn)品之前，安全人員應檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。36安全策略與安全模型11災難恢復計劃

每個組織都應有一個災難恢復計劃。一個恰當?shù)臑碾y恢復計劃應考慮各種故障的級別：單個系統(tǒng)、數(shù)據(jù)中心、整個系統(tǒng)。單個系統(tǒng)或設備故障包括盤、主板、NIC、元件的故障。應檢查組織的環(huán)境，以識別任何單個系統(tǒng)或設備故障。對每個故障應在可允許的時間內(nèi)修復并恢復運行。災難恢復計劃必須能修復故障，使系統(tǒng)繼續(xù)運行。災難恢復計劃必須和運行部門結(jié)合，使他們知道應該采取什么步驟恢復系統(tǒng)運行。37安全策略與安全模型11災難恢復計劃

2.數(shù)據(jù)中心事件災難恢復計劃為數(shù)據(jù)中心的主要事件提供程序。如數(shù)據(jù)中心運行不正常時，應采取什么步驟重新恢復其能力；在丟失設備時，災難恢復計劃應包括如何得到備用設備。如數(shù)據(jù)中心不能使用時，災難恢復計劃應考慮如何添加新設備和構(gòu)建通信線路，如何構(gòu)造計算機系統(tǒng)等。3.場地破壞事件識別重建的關鍵能力對電子商務站點而言，可能關鍵能力是計算機系統(tǒng)和網(wǎng)絡；對生產(chǎn)工廠來說，則制造部門是關鍵。4.災難恢復計劃的測試檢測正確性、測試其是否處于備用狀態(tài)。38安全策略與安全模型三、安全策略的生成、部署和有效使用1安全策略的生成步驟：確定重要的策略安全人員與系統(tǒng)管理員、人力資源部門、業(yè)務部門協(xié)作，確定哪些策略是最重要的。2.確定可接受的行為基于組織的文化、員工的期望、業(yè)務的實際需要確定可接受的行為。3.征求建議凡對實施策略有影響的人都應參與策略的制定過程。4.策略的開發(fā)草擬策略提交管理部門批準實施。39安全策略與安全模型策略生成是一項繁雜、細致的工作，稍有差池就會出現(xiàn)策略不完整、策略沖突、策略冗余的現(xiàn)象。40安全策略與安全模型2安全策略的部署需要全體人員介入1.貫徹2.培訓教育3.執(zhí)行安全工作要與系統(tǒng)管理部門和其它有影響的部門密切配合，使執(zhí)行更有效。41安全策略與安全模型3安全策略的有效使用

1.新的系統(tǒng)及項目新系統(tǒng)或項目啟動時，應同時進行安全策略的設計。如新系統(tǒng)不能滿足安全要求，組織要知道存在的風險，并提供某些機制來管理存在的風險。2.已有的系統(tǒng)及項目檢查每個已有的系統(tǒng)是否和新的安全策略相符合。如不符合，確定是否可采取措施來遵守新的策略。應和系統(tǒng)管理員和使用該系統(tǒng)部門合作，使安全作相應的變更。42安全策略與安全模型3安全策略的有效使用

3.審計定期審計系統(tǒng)以檢查其是否滿足安全策略。安全部門應及時將新的安全策略通知給審計部門，使在審計時了解這些變更。安全部門向?qū)徲嫴块T解釋安全策略如何開發(fā)以及期望達到的目標。審計部門向安全部門解釋審計如何進行以及審計的目標。4.安全策略的審查定期檢查安全策略，以確定是否仍適合組織。一般策略，每年審查一次。對事故響應程序和災難恢復計劃，可能需要更為瀕繁的審查。43安全策略與安全模型4安全模型安全模型是一個系統(tǒng)安全政策的形式化描述（數(shù)學描述）一個系統(tǒng)是安全的，當切僅當它所有的狀態(tài)都滿足安全政策的規(guī)定。安全模型的意義TCSEC的提出使安全模型引起了更多的關注安全模型能夠精確地表達系統(tǒng)對安全性的需求，增強對系統(tǒng)安全性的理解；有助于系統(tǒng)實現(xiàn)有助于系統(tǒng)安全性的證明或驗證安全策略與安全模型44常見的安全模型訪問控制模型（AccessControlModel）完整性模型(integritymodel)Clark-Wilson模型域類實施模型（DomainTypeEnforcement)莫科爾樹模型（MerkleTree)安全策略與安全模型45確保系統(tǒng)從一個有效狀態(tài)轉(zhuǎn)換到另一個有效狀態(tài)（面向事務的模型）通過對主體（域）和客體（類型）分組，實施強制訪問控制。UNIX系統(tǒng)中采用。完整性度量模型訪問控制模型控制主體對客體的訪問一次訪問可以描述為一個三元組： <S，A,O>訪問控制政策是一組規(guī)則，決定一個特定的主體是否有權(quán)限訪問一個客體

F(s,a,o){True,False}安全策略與安全模型46訪問控制矩陣

按列看是客體的訪問控制列表（accesscontrollist）按行看是主體的訪問能力表(capabilitylist)安全策略與安全模型47BLP模型Bell-LaPadulaModel用來描述美國國防部的多級安全政策——用戶和文件分成不同的安全級別，各自帶有一個安全標簽Unclassified,Confidential,Secret,TopSecret——每個用戶只可以讀同級或級別更低的文件BLP模型只描述了保密性，沒有描述完整性和可用性的要求安全策略與安全模型48BLP模型BLP模型基于有限狀態(tài)自動機的概念安全策略與安全模型49Bell-LaPadula模型BLP模型是D.ElliottBell和LeonardJ.LaPadula于73年創(chuàng)立的一種模擬軍事安全策略的計算機操作模型，是最早、也是最常用的一種計算機多級安全模型。主體對客體的訪問分為r(只讀）、w(讀寫）、a（只寫）、e（執(zhí)行)以及c（控制）等幾種訪問模式，其中c(控制）是指該主體用來授以或撤消另一主體對某一客體訪問權(quán)限的能力。該模型安全策略從兩方面描述：DAC和MAC.DAC用一個訪問控制矩陣表示，MAC安全策略包括SSP和*-特性。系統(tǒng)對所有主體和客體都分配一個訪問類屬性，包括主體和客體的密級與范疇，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對客體的訪問。所有的MAC系統(tǒng)都是基于BELL-LAPADULA模型，因為它允許在代碼里面整合多級安全規(guī)則，主體和客體會被設置安全級別，當主體試圖訪問一個客體，系統(tǒng)比較主體和客體的安全級別，然后在模型里檢查操作是否合法和安全。50簡單安全規(guī)則表示低安全級別的主體不能從高安全級別客體讀取數(shù)據(jù)。星屬性安全規(guī)則表示高安全級別的主體不能對低安全級別的客體寫數(shù)據(jù).安全策略與安全模型DAC:自主指主體能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。例：降低主體密級會違犯BLP模型什么特征?提升客體的密級會違犯什么特征？答：*-特性：高安全級別的主體不能對低安全級別的客體寫數(shù)據(jù).SSP：低安全級別的主體不能從高安全級別客體讀取數(shù)據(jù)。降低主體密級會違犯BLP模型*-特性，存在低安全級別寫數(shù)據(jù)的可能。提升客體的密級會違犯SSP，存在讀取高安全級別客體數(shù)據(jù)的可能。51安全策略與安全模型Bell-LaPadula模型密級是一有限全序集L。和f1o為主體S和客體O的密級函數(shù)：

：；s|→lf1o:O→L;o|→l主體當前密級函數(shù)f1c:;s|→l主體當前密級可以變化的。但52安全策略與安全模型Bell-LaPadula模型例：假定主體集合S=｛Alice,Bob,Carol},客體集合是O=｛Email_File,Telephone_Number_Book,Personal_File},訪問控制矩陣如下：L={絕密，機密，秘密，敏感，普通｝53Email_FileTelephone_Number_BookPersonal_FileAlice{w}{r}{r}Bob{a}{w,e,app}{a}Carol{a}{r}安全策略與安全模型Bell-LaPadula模型密級函數(shù)表如下：

54f1sf1of1cAlice絕密敏感Bob機密敏感Carol普通普通Email_File秘密Telephone_Number_Book普通Personal_File絕密安全策略與安全模型Bell-LaPadula模型控制規(guī)則如下：不上讀：主體當前密級不低于客體密級。不下寫：主體當前密級不高于客體密級。

55安全策略與安全模型Bell-LaPadula模型的形式化描述有限狀態(tài)機模型，形式化定義了系統(tǒng)、系統(tǒng)狀態(tài)、及對系統(tǒng)狀態(tài)和狀態(tài)間的轉(zhuǎn)移規(guī)則進行限制和約束.模型元素含義V表示所有的狀態(tài)集合，vV由一個有序的三元組（b,M,f)表示。bSXOXA,S為主體集，O為客體集，A={r,w,a,e}是訪問屬性集。M是訪問矩陣fF是安全級函數(shù)，記作f=(fs,fo,fc)56安全策略與安全模型Bell-LaPadula模型的形式化描述用R表示所有請求（輸入)的集合:Get類：get-read/write/append/execute,release-read\write\append\execute,用于請求和釋放訪問。Give類：gives-read/write/append/execute,rescind-read\write\append\execute,實現(xiàn)一個主體對另一個主體的授權(quán)或取消授權(quán)。Change-object-security-level類

包括Change-object-security-level、create-object。用來改變客體的安全級或創(chuàng)建客體。Delete-object-group類

僅Delete-object-group，用來刪除一個或一組客體。Change-subject-current-security-level類，改變主體當前等級。57安全策略與安全模型Bell-LaPadula模型的形式化描述安全系統(tǒng)定義狀態(tài)轉(zhuǎn)換規(guī)則：

：RXV→DXV,其中：R為請求集，V為狀態(tài)集，D為判定集，判定“yes”表示請求被執(zhí)行，”no”表示請求被拒絕，“error”表示有多個規(guī)則適用于這一請求狀態(tài)對，“?”表示該規(guī)則不能識別該請求。一個系統(tǒng)實際上由初始狀態(tài)z0V、輸入序列、輸出序列和判定序列系統(tǒng)組成，形式化表示成：當且僅當對于所有的i,(di,zi)=(ri,zi-1)58安全策略與安全模型基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都滿足SSP、*特性和DSP特性，那么在系統(tǒng)的整個狀態(tài)變化過程中，系統(tǒng)的安全性一定不會被破壞。Bell-LaPadula模型的形式化描述基本安全定理綜合了安全簡單特性（SSP)\*-特性\自主安全特性(DSP).訪問向量（s,o,p)SXOXA相對于安全級函數(shù)f稱為具有簡單安全特性，如果下列條件成立：p=a或e；p=r或w,且fc(s)≥fo(o)主體s的安全性在控制客體的安全性時，才允許進行讀訪問。一個狀態(tài)（b,M,f)如果b的每個元素相對于f都具有SSP,則稱（b,M,f)滿足SSP.59安全策略與安全模型Bell-LaPadula模型的形式化描述訪問向量（s,o,p)SXOXA相對于安全級函數(shù)f稱為具有*-特性，如果下列條件成立：p=r或e；p=a或w,且fs(s)≤fo(o)主體s的安全性只有不超過客體的安全性時，才允許進行寫訪問。一個狀態(tài)（b,M,f)如果b的每個元素相對于f都具有*-特性,則稱（b,M,f)滿足*-特性.一個狀態(tài)（b,M,f)稱為滿足自主安全特性（DSP），如果對每一個訪問向量（s,o,p)b,則有pM[s,o]。

一個系統(tǒng)稱為滿足DSP，如果它的每一個狀態(tài)均滿足DSP。60安全策略與安全模型Bell-LaPadula模型的形式化描述一個狀態(tài)（b,M,f)稱為滿足自主安全特性（DSP),如果對每個訪問向量（s,o,p)b,都有pm[s,o].一個系統(tǒng)（狀態(tài)）稱為是安全的，如果它滿足SSP\*-特性和DSP.定理定理1：從SSP初始狀態(tài)z0出發(fā)系統(tǒng)總具有簡單安全特性，當且僅當對于的每一個實現(xiàn)和每個正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,F’)滿足：（s,o,p)b’-b,相對于f’滿足SSP;若（s,o,p)b相對于f’不滿足SSP,則（s,o,p)b’;61安全策略與安全模型Bell-LaPadula模型的形式化描述定理2：從*-特性初始狀態(tài)z0出發(fā)系統(tǒng)總具有*-特性，當且僅當對于的每一個實現(xiàn)和每個正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,f’)滿足：（s,o,p)b’-b,相對于f’滿足*-p;若（s,o,p)b相對于f’不滿足*-p,則（s,o,p)b’;62安全策略與安全模型Bell-LaPadula模型的形式化描述定理3從DSP初始狀態(tài)z0出發(fā)系統(tǒng)總具有DSP，當且僅當對于的每一個實現(xiàn)和每個正整數(shù)iN,zi-1=(b,M,f)和zi=(b’,M’,f’)滿足：（s,o,p)b’-b,滿足DSP;若（s,o,p)b不滿足DSP,則（s,o,p)b’;基本安全定理：系統(tǒng)如滿足定理1、定理2、定理3的條件，則該系統(tǒng)是安全的。63安全策略與安全模型BLP模型不足只處理秘密性沒有考慮完整性、包含隱通道、沒有制定修改訪問控制權(quán)限的策略，可信主體權(quán)限過大等。這與它設計的初衷只是為了處理權(quán)限相對固定、只關心秘密級別的情況有關。增強動態(tài)安全控制？如時間屬性？如會話/代理特性？64安全策略與安全模型Biba（畢巴）模型Biba模型是在bell-lapadula模型之后開發(fā)的，與bell-lapadula模型不同很相似，被用于解決應用程序數(shù)據(jù)的完整性問題。Biba模型能夠防止數(shù)據(jù)從低完整性級別流向高完整性級別，Biba模型有三條規(guī)則提供這種保護:星完整性規(guī)則（*-integrityaxiom）,表示完整性級別低的主體不能對完整性級別高的客體寫數(shù)據(jù)。簡單完整性規(guī)則（simpleintegrityaxiom）,表示完整性級別高的主體不能從完整性級別低的客體讀取數(shù)據(jù)。懇求屬性規(guī)則（invocationproperty）。表示一個完整性級別低的主體不能從級別高的客體調(diào)用程序或服務。這就保證低完整性的主體不會去調(diào)用某個高完整性客體的清除工具清除該客體的數(shù)據(jù)。65安全策略與安全模型BIBA模型規(guī)則1：“寫”操作的實施由下面（1）控制；“執(zhí)行”操作的實施由下面的規(guī)則（2）控制：（1）當且僅當I(O)<=I(S)時，主體S可以“寫”客體O；（2）當且僅當I(S2)<=I(S1)時，S1可以“執(zhí)行”S2.規(guī)則2：（BIBA低水標模型）

Imin=min(I(O),I(S)),S在“讀”操作后，主體S的完整性級別被調(diào)整為Imin.規(guī)則3：（BIBA環(huán)模型）不管完整性級別如何，任何主體都可以讀任何客體。BIBA嚴格完整性模型（規(guī)則4與規(guī)則1）規(guī)則4：當且僅當I(S)<=I(O)，主體可以讀客體O。安全策略與安全模型6667HighIntegrityHighIntegrityMediumIntegrityMediumIntegrityLowIntegrityLowIntegrity主體客體星完整性規(guī)則（*-integrityaxiom）和懇求完整性規(guī)則（invocationproperty）生效，此時主體對客體可讀不可寫（nowriteup）,也不能調(diào)用主體的任何程序和服務；主體對客體可寫可讀；簡單完整性規(guī)則（simpleintegrityaxiom）生效，此時主體對客體可寫不可讀(noreaddown)；安全策略與安全模型BLP模型安全策略與安全模型68訪問控制策略用戶訪問管理策略用戶注冊權(quán)限管理用戶口令管理用戶訪問權(quán)限檢查用戶責任口令的使用無人值守的用戶設備69安全策略與安全模型訪問控制策略網(wǎng)絡訪問控制網(wǎng)絡服務的使用策略實施控制的路徑外部聯(lián)接的用戶身份驗證節(jié)點驗證遠程診斷端口的保護網(wǎng)絡劃分網(wǎng)絡連接控制網(wǎng)絡路由控制網(wǎng)絡服務安全70安全策略與安全模型訪問控制策略操作系統(tǒng)訪問控制終端自動識別功能終端登錄程序用戶身份識別和驗證口令管理系統(tǒng)系統(tǒng)實用程序的使用保護用戶的威脅報警終端超時連接時間限制71安全策略與安全模型訪問控制策略應用程序訪問控制信息訪問控制敏感系統(tǒng)隔離監(jiān)控系統(tǒng)的訪問和使用事件日志記錄監(jiān)控系統(tǒng)的使用移動計算和遠程工作BYOD設備信息不損壞，采用正式策略文件，考慮BYOD設備的工作風險以及風險評方法。防止BYOD設備盜竊和信息盜竊、非法公開信息，對組織內(nèi)部系統(tǒng)進行遠程非法訪問或濫用設備的行為。72安全策略與安全模型針對策略的描述、轉(zhuǎn)換、措施的部署是研究的熱點（refinement)。策略的描述策略轉(zhuǎn)換措施自動部署策略與措施一致性分析規(guī)則相容性73安全策略與安全模型配置傻瓜化操作過程可視化路徑清晰化計算機網(wǎng)絡防御策略描述語言研究解決思路研究計算機網(wǎng)絡防御策略的組成和劃分，以及策略到規(guī)則的自動代換方法，并建立計算機網(wǎng)絡防御策略模型。根據(jù)策略模型，研究并設計一種抽象網(wǎng)絡防御控制行為的描述語言，具體包括詞法設計、語法設計和語義設計。將策略轉(zhuǎn)化為防御節(jié)點的規(guī)則。74安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究防御策略模型基于or-BAC的基礎上，抽象網(wǎng)絡防御控制行為，建立CNDPM；對保護、檢測、響應進行統(tǒng)一描述引入角色、視圖、活動的自動分配方法9種實體、10種關系，策略和規(guī)則的實體通過謂詞建立關聯(lián)，從而實現(xiàn)策略的推導。75安全策略與安全模型策略的形式化描述策略（policy）可以形式化描述成六元組：POLICY::=<org,r,a,v,c,m>其中，

策略中各實體存在偏函數(shù)關系：76安全策略與安全模型具體規(guī)則（rule）指主體對客體允許、不允許的動作或?qū)Σ涣夹袨榈捻憫穆暶?。?guī)則形式化描述為五元組：RULE::=<org,s,,o,m>

其中：

表示組織org中主體s對客體o的動作

應用措施m。77安全策略與安全模型任何組織定義的任一角色、雇用的任一主體，如果主體具有此角色含有的特性，則該組織雇用的主體可以作為該角色。78安全策略與安全模型策略到具體規(guī)則的推導任何一條策略中，如果組織雇用主體s為角色r，使用客體o為視圖v，考慮動作

為活動a，并且s，o和

處于上下文c中，則組織中的主體s對客體o的動作

應用措施m。79安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究計算機網(wǎng)絡防御策略描述語言的設計目標是：豐富的表達能力，面向CNDPM模型，表示各種保護、檢測和響應策略；簡潔靈活性，語法形式簡單、形象直觀；實現(xiàn)無關性，自動解析成具體執(zhí)行部件所規(guī)定的防御規(guī)則；一定的可擴展性，可以方便地對其擴展以表示更多的策略。80安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究下面給出CNDPSL的EBNF范式。<cndpsl>::=<語句塊>|<cndpsl><語句塊><語句塊>::=<組織聲明>|(<組織名>|<組織聲明>)<策略語句塊>|<組織名><策略>|<策略信息顯示><策略語句塊>::=‘{’<策略語句>{<策略語句>}‘}’<策略語句>::=<角色語句>|<toview>|<視圖語句>|<活動語句>|<策略>|<上下文>81安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究<策略>::=(policy|delete_policy)<措施><角色名><活動名><視圖短語>(<上下文名>|default)其中視圖可以通過角色的轉(zhuǎn)化得到，語法如下：<視圖短語>::=<視圖名>|<toview>toview::=toview‘(’<角色名>‘)’//角色到視圖的轉(zhuǎn)化82安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究<措施>::=<保護措施>|<檢測措施>|<響應措施><保護措施>::=<encrypt>|permit|deny

<檢測措施>::=detect_PasswordCracker|detect_ICMPFlood|detect_SYNFlood|detect_UDPFlood|detect_Slammer|detect_IPSpoof||detect_Smurf|any

<響應措施>::=prohibit_source|patch|reboot|disconnect|stop_service防御措施不限于已列舉的措施，可以根據(jù)需要增加相應的描述，從而實現(xiàn)完備性。例如，保護可以增加對身份認證等的描述，檢測措施可以增加對新攻擊的檢測，而響應可以添加攻擊源定位等的描述。83安全策略與安全模型計算機網(wǎng)絡防御策略描述語言研究84安全策略與安全模型解決效果防御策略描述語言可以按需求描述防御策略，防御策略由防御策略描述語言解釋器按照防御策略模型的語義進行正確解釋，策略引擎能按模型的規(guī)則進行正確的推導，最后轉(zhuǎn)化為防御規(guī)則，部署在防御節(jié)點中。為計算機網(wǎng)絡攻防演練提供了防御策略支持。85安全策略與安全模型防御策略外網(wǎng)能訪問服務器中開放的服務；外網(wǎng)還能訪問httpserver的無連接服務；內(nèi)網(wǎng)可以訪問外網(wǎng)；內(nèi)網(wǎng)必須檢測口令竊取攻擊，同時Domain_B中還要檢測蠕蟲；對一切攻擊，必須及時切斷攻擊源。86安全策略與安全模型用CNDPSL描述如下：orgbluesu