chap2：计算机安全策略.pptVIP

计算机安全 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 客 体 总的来说，系统内的客体也可以分为三大类： 一般客体(General Object)：指在系统内以客观、具体的形式存在的信息实体，如文件、目录等。 设备客体(Device Object)：指系统内的设备，如软盘、打印机等。 特殊客体(Special Object)：有时系统内的某些进程也是另外一些进程的行为的承担者，那么这类进程也是属于客体的一部分。 * * 主、客体属性 另外，信息系统的访问控制策略除了涉及到主、客体之外，还包括以下几个因素： 将要访问该信息的用户的属性，即主体的属性(例如，用户ID号或许可级别等)； 将要被访问的信息的属性，即客体的属性(例如信息的安全性级别，信息来源等)； 系统的环境或上下文的属性(例如某天的某个时候，系统状态等等)。 * * 每一个系统必须选择以上三类相关的属性来进行访问控制的决策。一般来说，信息安全策略的制定就是通过比较系统内的主、客体的相关属性来制定的。 分别从以上几类属性来对访问控制策略的基础进行具体说明，共分五个方面：主体特征、客体特征、外部状况、数据内容/上下文属性以及其他属性。 * * 主体属性(用户特征) 用户特征是系统用来决定访问控制的最常用的因素。通常一个用户的任何一种属性，例如年龄、性别、居住地、出生日期等等，均可以作为访问控制的决策点。下面就是在一般系统访问控制策略中最常用的几种用户属性： 用户ID╱组ID： 用户访问许可级别 “需知”原则(need-to-know) 角色 能力列表(Capability List) * * 客体属性(客体特征) 在信息系统中，除了主体的属性被用来作为访问控制的条件外，与系统内客体(即信息)相关联的属性也作为访问控制策略的一部分。一般来说，客体的特征属性有如下几个方面： 敏感性标签：由信息的敏感性级别和范畴两部分组成 访问列表（access list） * * 外部状态 某些策略是基于系统主客体属性之外的某些因素来制定的，例如时间、地点或者状态。 另外，上面所述的大多数属性均属于静态信息，但也有些访问策略可能是基于某些动态信息。 * * 数据内容/上下文环境 有些访问控制策略可能基于数据的内容。例如，用户Sunny可能不被允许看到那些月薪超过15000RMB的员工的文件。 更为复杂的访问控制策略可能是基于上下文的，这在数据库系统中经常用到。 使用静态的信息标签是用人工的方法来决定信息敏感性的一种延续，而基于数据内容/上下文的动态访问机制则被认为是取代静态标签的一种潜在的方法。 * * 访问控制策略 自主访问控制 (Discretionary Access Control Policy，DAC) 强制访问控制 (Mandatory Access Control Policy，MAC) * * 自主访问控制策略 自主性：它允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。 一般来说，自主访问控制策略是基于系统内用户以及访问授权或者客体的访问属性来决定该用户是否有相应的权限访问该客体。也可能是基于要访问的信息的内容或是基于用户在发出对信息访问时的相应请求所充当的角色来进行访问控制的。 * * 实际的计算机系统中，自主访问控制策略由一个三元组 (S，O，A)表示，其中S表示主体，O表示客体，A表示访问模式。 当用户申请以某种方式访问某一个客体时，系统“引用监控器” 就根据系统自主访问控制策略来检查主、客体及其相应的属性或被用来实现自主访问控制的其他属性。如果申请的访问属性与系统内所指定的授权相同，则授予该主体所申请的访问许可权，否则则拒绝该用户对此信息的访问。 * * 自主访问控制策略的优点 能够提供比强制访问控制策略更为精细的访问控制粒度。它能够将所设的访问控制策略细化到具体的某个人。 相对于强制访问控制策略中的访问模式只能是“读”和“写”两种而言，自主访问控制策略“自主”的优点还表现在它的访问模式的设定非常灵活。例如，我们可以将它设为“每隔一周的周五可以读此文件”或“只有读完文件1后才能读此文件”等等。 自主访问控制策略卓越的灵活性特征使得它适用于各种各样的操作系统和应用程序，因而使得它在各种情况下得到大量的应用。 * * 自主访问控制策略的缺点 自主访问控制策略中危害最大的是它不能防范“特洛伊木马” 或某些形式的“恶意程序”。 例如，如果某程序中隐藏了“特洛伊木马”，此“特洛伊木马”一经用户执行，即可将所有属于他的并且只对他的文件在某一目录下生成一份拷贝；与此同时，还将这份拷贝设为系统中所有其他用户均可读。