PPT《第5章 可信操作系统的设计》

(2) 主体需要知道该信息分类时涉及的所有分隔项. 5.2.1 军事安全策略(续) 军事安全同时实施了敏感度要求和须知要求.我们知道,敏感度是层次化(hierarchical)的要求,因为它们反映了敏感等级层次结构;

而须知限制是非层次化(nonhierarchical)的,因为分隔项不需要表现为一个层次结构.许可和分类通常由一些称为安全职员的人控制,而并不是个人能够随意改变的.这个策略非常适合通过权威中心进行严格访问控制环境. 5.2.2 商业安全策略 商业企业也非常关心安全问题.因此,即使商业界不像军事领域那样严格苛刻和层次化,在商业安全策略中仍然会发现许多与军事策略相同的概念.分属不同部门的数据项也具有不同的敏感度,例如,公共的、专有的或内部的.当然,这里并没有一个通用的层次结构.我们可以假设公共信息不如专有信息敏感,而专有信息又不如内部信息敏感. 5.2.2 商业安全策略 (续) 图5.4 敏感信息的商业观点 5.2.2 商业安全策略 (续) 商业信息安全和军事信息安全有两个很显著的区别. (1) 商业与军事不同,通常没有正式的 许可 概念;

从事商业项目的人不需要得到中心安全职员的正式批准就可以访问项目.典型的,在允许一个雇员访问内部数据之前不需要对其授予不同的信任度. (2) 由于没有正式的 许可 概念,所以允许访问的规则不太规范. 因此,对于大多数商业信息访问不存在一个支配函数,因为没有正式的 商业许可 概念. 5.2.2 商业安全策略 (续) 前面的讨论主要集中在机密性问题上.然而,完整性和可用性在许多情况下和机密性至少是同等重要的.通过下面的几个例子探讨完整性. (1) Clark-Wilson商业安全策略 Clark和Wilson为他们所称的良构事务(well-formed transactions)提供了一个策略.为了明白其中的原因,考虑这样一个例子:一家公司预定货物,然后付款.典型的流程如下: 5.2.2 商业安全策略 (续) (A) 采购员先做一张货物订单,并把订单同时发给供货方和收货部门. (B) 供货方将货物运到收货部门.收货部门的接收员检查货物,确保收到货物的种类和数量是正确的,然后再送货单上签字.再将送货单和原始订单交给会计部门. (C) 供货方将发票送到会计部门.会计人员将发票同原始订单进行校对(校对价格和其他条款)并将发票同送货单进行校对(校对数量和品种),然后开支票给供货方. 5.2.2 商业安全策略 (续) 在大多数实例中,订单和送货单都需要有某个授权的人员来签订.委任专人按顺序准确执行以上步骤,就构成了一个良构事务.Clark-Wilson策略的目标是使内部数据与其外部(用户)期望保持一致.Clark和Wilson用约束数据项(constrained data item)来表达他们的策略,受约束数据项由转变程序(transformation procedure)进行处理.转变程序就像一个监控器,对特定种类的数据项执行特定的操作,确认特定操作已经执行来维持数据项的完整.Clark和Wilson将这个策略定义为访问三元组(access triple):?userID,TPi,?CDIj,CDIk,… ??,通过它将转变程序、一个或多个受约束数据项以及用户识别结合起来,其中用户是那些已被授权且以事务程序的方式操作数据项的人. 5.2.2 商业安全策略 (续) (2) 职责分离 还是上面的那个订货的例子,我们希望建立一个策略,这个策略能够明确规定三个不同的人分别发送订单、接收货物和开支票,这种需求被称做职责分离(separation of duty).由于访问三元组是 无状态的 ,无法实现职责分离,但如果将它作为一个策略需求表述出来,上述限制是容易实现的. 5.2.2 商业安全策略 (续) (3) 中国墙安全策略 Brewer和Nash定义了一个名为中国墙(Chinese Wall)的安全策略,用于反映商业信息访问保护中的利益冲突问题. 安全策略建立在三个抽象等级上. (A) 对象:位于最低等级,比如文件.每个文件只包含一家公司的信息. (B) 公司群体:位于第二个等级,由与一家特定公司相关的所有对象组成. (C) 冲突类:位于最高等级,相互竞争的公司的所有对象聚集. 5.2.2 商业安全策略 (续) 假设一家广告公司,存储了巧克力公司Suchard和Cadbury,银行 Citicorp、Deutsche Bank和Credit Lyonnais,以及航空公司 SAS的数据.广告公司希望其雇员不能从这些信息中牟利.运用中国墙等级结构形成三个冲突类:{Suchard,Cadbury},{Citicorp,Deutsche Bank,Credit Lyonnais}和{SAS}.这个结构可以导出一个简单控制策略:如果被访问的对象所属的公司群体中的某个对象已被访问过,或者这个对象所属的冲突对象从未被访问过,那么就允许访问该对象. 5.2.2 商业安全策略 (续) 图5.5 中国墙安全策略 5.2.2 商业安全策略 (续) 中国墙策略在商界中是非常有名的机密策略.中国墙策略注重完整性.它的访问许可可以动态变化:当一个主体访问某些对象后,就不能够访问先前可以访问的这一类中的其他对象了. 5.3 安全模型 我们常常用模型来描述、研究或者分析一个特定的情况或者关系. Mclean给出了安全模型的一个良好概述.安全模型用于: (1) 检测一个特定策略的完善性和一致性. (2) 对策略进行验证. (3) 有助于构思和设计一个实现. (4) 检测一个实现是否满足需求. 安全需求是由策略决定的,而模型仅仅是实施策略的一种机制. 5.3.1 多级安全 在理想情况下,我们希望建立一个模型能够表示一系列的敏感度,同时能够反映这样一个需求,即将主体同它们不能访问的对象严格地隔离开.这种一般化的模型被称为安全性的格模型(lattice model),因为它的元素构成了一种被称为格的数学结构. 5.3.1 多级安全 (续) 格是通过关系运算符(relational operator)来组织元素的一种数学结构.用符号 ≤ 或 ≥ 来表示这种关系.当元素之间有传递关系和反对称关系时,该关系称为偏序(partial ordering).也就是对于任意三个元素a ,b和c有: 传递性:若a≤b且b≤c,则a≤c 反对称性:若a≤b且b≤a,则a=b 在一个格中并不需要任意两个元素都可以比较.但是每个元素都应该有个上界.也就是说即使a和b没有可比性,也存在一个上界元素u,使得a≤u和b≤u.进一步,格中每个元素还应该有一个下界. 5.3.1 多级安全 (续) 数字60的所有因子构成格. 图5.6 格的实例 5.3.1 多级安全 (续) 格可以帮助我们描述关系.但是,许多典型的关系都只能表示成半格.在 小于 、 是其子非空集 、 报告于(对于雇员) 或者 是一个后续 这些关系中,都有一个唯一的上界(比如,一个共同的祖先),但是可能任何一对元素都没有一个下界. 5.3.1 多级安全 (续) 访问安全的格模型 军事策略中定义的支配关系 ≤ 就是格的关系.格中最大的元素是分类 ,最小的元素是.商业安全策略中的数据敏感度分为公共的、专用的和内部的,并按自然排序为:公共数据没有专用数据敏感,而专用数据没有内部数据敏感,这也构成格. 因为格是递增顺序的一种自然表示,所以被选作安全系统的基础.敏感等级的格........