基于扩展客体层次结构的安全数据库策略模型
多级安全BLP模型
多级安全BLP模型1 基本概念主体(Subject):引起信息流动或改变系统状态的主动实体。
如用户,程序,进程等。
客体(Object):蕴含或接收信息的被动实体, 信息的载体。
如DB、表、元组、视图、操作等。
安全级(Security Level):主体和客体的访问特权, 一般主体安全级表示主体对客体敏感信息的操作能力, 客体安全级表示客体信息的敏感度。
自主型访问控制(Discretionary Access Control):是基于一种访问控制规则实现主体对客体的访问。
这种控制规则是自主的,自主是指某一主体能直接或间接的将访问权或访问权的某些子集授予其他主体。
用户对信息的控制是基于用户的鉴别和存取访问规则的确定。
强制型访问控制(Mandatory Access Control):通过无法回避的存取限制来防止各种直接的或间接的攻击。
系统给主体分配了不同的安全属性,并通过主体和客体的安全属性的匹配比较决定是否允许访问继续进行。
2 自主型访问控制(Discretionary Access Control)自主型访问控制基于用户的身份和访问控制规则。
自主保护策略管理用户的存取,这些信息是以用户的身份和授权为基础的,它们详细说明了对于系统中的每一个用户(或用户组)和每一个客体,允许用户对客体的存取模式(例如读,写或执行)。
根据指定的授权,用户存取客体的每一个要求都被检查。
如果存在授权状态,则用户可以按指定的模式存取客体,存取被同意,否则被拒绝。
DAC之所以被称为自主的,是因为它允许用户将其访问权力赋予其它的用户。
而且对于一个客体的否定授权高于对同一客体的肯定授权。
自主策略的灵活性使它们适合于多种系统和应用。
由于这些原因,在多种执行中,自主策略被广泛地应用,尤其在商业的和工业的环境中。
2.1 自主访问控制的实现自主访问控制的实现主要有三种方式:1.访问控制表(ACL);2 .访问能力表(Capability) 3.授权关系表。
信息安全保障概述
信息安全保障概述第⼀章信息安全保障概述1.信息安全的基本属性:完整性、机密性、可⽤性、可控制性、不可否认性2.信息安全保障体系框架⽣命周期:规划组织、开发采购、实施交付、运⾏维护、废弃保障要素:技术、管理、⼯程、⼈员安全特征:保密性、完整性、可⽤性3.信息系统安全模型P2DR安全模型:策略、防护、检测、响应4.信息保障技术框架IATF核⼼思想是纵深防御战略三个主要核⼼要素:⼈、技术和操作。
四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护⽹络及基础设施、保护⽀撑性基础设施5.信息安全保障⼯作内容:确定安全需求、设计和实施安全⽅案、进⾏信息安全评测、实施信息安全监控第⼆章信息安全基础技术与原理密码技术、认证技术、访问控制技术、审计和监控技术A、密码技术明⽂、密⽂、加密、解密信息空间M、密⽂空间C、密钥空间K、加密算法E、解密算法D加密密钥、解密密钥密码体系分为对称密钥体系、⾮对称密钥体系对称密钥体系1 对称密钥优点:加解密处理速度快和保密度⾼。
缺点:密钥管理和分发负责、代价⾼,数字签名困难2.对称密钥体系分类:分组(块)密码(DES/IDEA/AES)和序列密码(RC4/SEAL)3.传统的加密⽅法:代换法、置换法5、攻击密码体系的⽅法:穷举攻击法(128位以上不再有效)和密码分析法6.针对加密系统的密码分析攻击类型分为以下四种:①惟密⽂攻击在惟密⽂攻击中,密码分析者知道密码算法,但仅能根据截获的密⽂进⾏分析,以得出明⽂或密钥。
由于密码分析者所能利⽤的数据资源仅为密⽂,这是对密码分析者最不利的情况。
②已知明⽂攻击已知明⽂攻击是指密码分析者除了有截获的密⽂外,还有⼀些已知的“明⽂—密⽂对”来破译密码。
密码分析者的任务⽬标是推出⽤来加密的密钥或某种算法,这种算法可以对⽤该密钥加密的任何新的消息进⾏解密。
③选择明⽂攻击选择明⽂攻击是指密码分析者不仅可得到⼀些“明⽂—密⽂对”,还可以选择被加密的明⽂,并获得相应的密⽂。
基于组织架构的数据权限模型OBAC设计与实现
基于组织架构的数据权限模型 OBAC设计与实现摘要:本文针对基于角色的功能权限管理模型RBAC控制粒度粗,不足以满足现代MIS系统复杂、精细的数据权限管理需求,而参考其设计思想设计出一种基于组织架构的权限管理模型策略OBAC(Organization-Based Access Control)。
该策略创新性地引入组织架构数据信息,配合传统RBAC权限管理策略,实现了功能权限加数据权限的双重管理和过滤,达到了数据精细化管理要求,能够满足复杂环境下企业对敏感信息数据权限的管理要求,能够提高系统数据的安全性和灵活性。
本文给出了该模型的设计和实现方法,对于具有多层次数据权限管理需求的系统软件权限管理的设计和开发具有参考价值。
1.前言随着我国信息化产业的高速发展,信息系统覆盖的领域广泛,涉及到各行各业。
同时信息系统的功能愈加复杂,使用的客户群愈加庞大,客户需求愈加复杂,随之而来的问题就是针对系统数据安全的管理愈加困难和复杂。
因此,信息系统引入访问控制功能将是一个不可或缺的步骤,尤其是在金融、国防、能源、民生等行业,保证信息系统的安全将是首要考虑的问题,利用访问控制极大降低了系统的安全风险,同时监管对敏感信息的访问以及防止非法用户的入侵[1]。
目前信息系统主要是通过用户、角色、资源三方面来实现系统的访问控制。
具体来说,就是赋予用户某个角色,角色能访问及操作不同范围的资源。
通过建立角色系统,将用户和资源进行分离,以保证权限分配的实施。
根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。
从控制类型来看,可以将权限管理分为两大类:功能级权限管理与数据级权限管理。
功能级权限与数据级权限协同才能实现完整、精细的权限管理功能。
目前功能级权限有多种成熟方案可供选择,但数据级权限管理方面,一直没有统一的技术方案。
本文将介绍一种数据权限实现技术方案,并且通过在多个信息系统上的应用得到论证。
2.访问控制系统与RBAC简介访问控制(RAM)是信息系统提供的管理用户身份与资源访问权限的服务,信息系统可以创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。
CISP试题及答案-二套题
CISP试题及答案-二套题1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务:A、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程2.确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指():A、完整性B、可用性C、保密性D、抗抵赖性3.下列信息系统安全说法正确的是:A、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全安全规则”?A、Biba模型中的不允许向上写B、Biba模型中的不允许向下读C、Bell-Lapadula模型中的不允许向下写D、Bell-Lapadula模型中的不允许向上读9.以下关于访问控制模型错误的是?A、访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制。
B、自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问。
C、基于角色的访问控制RBAC中,“角色”通常是根据行政级别来定义的。
D、强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策10.下面对于CC的“评估保证级”(EAL)的说法最准确的是:A、代表着不同的访问控制强度B、描述了对抗安全威胁的能力级别C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D、由一系列保证组件构成的包,可以代表预先定义的保证尺度11.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?A、Bell-Lapadula模型B、Biba模型C、信息流模型D、Clark-Wilson模型12.以下哪一项关于Bell-Lapadula模型特点的描述是错误的?A、强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱B、既定义了主体对客体的访问,也说明了主体对主体的访问。
数据库系统安全性
计算机网络安全与应用技术课程论文题目数据库系统安全性姓名熊斌学号 20127345系部理工系专业班级2012级计算机2班指导教师黄成2015年 05 月 30 日摘要数据库系统是信息仓库,管理着大量的数据信息。
可能受到来自多方面频繁的安全攻击,从而导致一系列安全问题。
随着网络和数据库技术的发展,数据库系统的安全管理日益成为人们关注的焦点。
数据库系统的安全框架可以划分为三个层次,各个层次是相辅相成的,防范重点和技术手段也不尽相同。
数据库安全包含两层含义:第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;第二层是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。
数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
网络的开放性给数据库系统安全带来了严重的安全隐患,本文从数据库系统安全的各个方面,对数据库系统的安全策略进行粗略的探讨。
[关键词]数据库系统;安全;防范1.数据库安全国内外研究现状数据库安全问题是信息系统安全问题的一个子问题,数据库技术是构建信息系统的核心技术。
在当今开放式的互联网时代,许多关键的业务系统运行在数据库平台上,数据库系统中的数据为众多用户所共享,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏,所以数据库系统的安全保护措施是否有效已成为现代数据库系统的重要性能指标之一。
因此,研究如何保卫信息战的核心资源—数据库,已是目前迫切需要解决的课题。
数据库界对此十分重视,各数据库厂商纷纷在自己的产品中实现其安全功能,如安全控制策略,资源管理,数据库备份与恢复,锁定和审计等。
这些功能显然是不够的。
其主要原因是,数据库中数据是以明码方式存放的。
计算机安全论文:一个改进的BLP模型及在安全文件系统上的应用
计算机安全论文:一个改进的BLP模型及在安全文件系统上的应用摘要:BLP作为经典安全模型,在安全系统的设计与实现方面得到了广泛应用,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限。
本文对BLP模型进行了改进,设计了IBLP模型框架,并应用到多域安全虚拟个人计算机系统的设计实现中,极大的提高了文件系统的灵活性,同时提供了高安全保证。
关键词:BLP模型;多域安全虚拟计算机;文件系统;降密引言随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。
针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。
而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。
通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP 模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。
1 BLP模型简介BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。
它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。
1.1BLP模型属性BLP模型主要通过三个属性来约束主体对客体的访问。
并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。
自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。
简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。
07172 信息安全概论自考答案---过关宝典
1 谈谈你对信息的理解.答:信息是事物运动的状态和状态变化的方式。
2.什么是信息技术?答:笼统地说,信息技术是能够延长或扩展人的信息能力的手段和方法。
本书中,信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。
3.信息安全的基本属性主要表现在哪几个方面?答:(1)完整性(Integrity)(2)保密性(Confidentiality )(3)可用性(Availability )(4)抗否认性(5)可控性4.信息安全的威胁主要有哪些?答:(1)信息泄露(2)破坏信息的完整性(3)拒绝服务(4)非法使用(非授权访问)(5)窃听(6)业务流分析(7)假冒(8)旁路控制(9)授权侵犯(10)特洛伊木马(11)陷阱门(12)抵赖(13)重放(14)计算机病毒(15)人员不慎(16)媒体废弃(17)物理侵入(18)窃取(19)业务欺骗等5. 怎样实现信息安全?答:信息安全主要通过以下三个方面:A 信息安全技术:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等;B 信息安全管理:安全管理是信息安全中具有能动性的组成部分。
大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而往往是由于管理不善而造成的。
安全管理包括:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。
C 信息安全相关的法律。
法律可以使人们了解在信息安全的管理和应用中什么是违法行为,自觉遵守法律而不进行违法活动。
法律在保护信息安全中具有重要作用对于发生的违法行为,只能依靠法律进行惩处,法律是保护信息安全的最终手段。
同时,通过法律的威慑力,还可以使攻击者产生畏惧心理,达到惩一警百、遏制犯罪的效果。
6. 为了实现信息的安全,古典密码体制和现代密码体制所依赖的要素有何不同?答:古典密码体制中,数据的保密基于加密算法的保密。
金融信息安全复习总结
1.PDRR: Protect (保护) Detect(检测) React(反应) Restore(恢复)2.IDS:(Intrusion detection system)-入侵检测系统3.IPS:(Intrusion Provision system)-入侵防御系统4.VPN:(Virtual private network)-虚拟专用网技术5.DES:(Data encryption standard)-数据加密标准6.AES:(Advanced encryption standard)—高级加密标准二、填空题1.主动的信息安全防御模型可以抽象为(风险评估)、制定安全策略、实施保护、(实时监测)、及时响应和(快速恢复)6个环节。
2.安全扫描技术主要分为主机安全扫描技术和(网络安全扫描技术)。
3.IDS一般分为基于主机的HIDS和(NIDS)两类。
4.(安全策略)是信息系统安全模型与安全保护的核心。
5. (屏蔽)是防止雷电电磁脉冲辐射对电子设备影响最有效的方法。
6.(防火墙)是信息系统网络安全防御体系的第一道防线。
7.身份认证技术中,(一次性口令认证技术)最安全。
8. 金融信息系统是由客户端、(应用服务器)与(数据库服务器)组成的三层架构系统。
9. 银行事务处理系统可以划分为(核心层)、业务层、(服务层)和客户层4个层次结构。
10. EDPS、MIS、DSS3个系统之间联系的纽带为数据库、算法库以及(模型库)三库系统,他们是金融信息系统的核心。
11.金融信息系统的逻辑结构可分为(信息管理系统)、(决策支持系统)和事务处理系统三个层次。
12. 金融信息系统由客户端、(数据库服务器)、(应用服务器)、网络和用户组成。
13.请列出信息安全的主要特征(机密性Confidentially)(完整性Integrity)(可用性Availability)(可控性Controllability)(不可抵赖性Non-repudiation)。
基于改进BiLSTM-CRF模型的网络安全知识图谱构建
现代电子技术Modern Electronics TechniqueMar. 2024Vol. 47 No. 62024年3月15日第47卷第6期0 引 言随着互联网技术的发展,企业的网络资产比重逐渐增大。
根据2022年中国互联网发展报告[1]显示,来自网络空间的安全威胁愈发严重,经济财产损失风险逐年攀升。
前沿网络安全防控智能化技术更注重于从全维度、多视角的方面来感知网络空间威胁,而挖掘企业各类网络攻击的关联性、策略、后果等要素能够有效地提升企业对网络安全运维管理的效率[2]。
知识图谱(Knowledge Graph, KG )通过在特定领域海量数据中抽取的知识构建领域知识图谱,数据规模、特殊语义关系使其实用性变得更强[3]。
目前,企业内的网络空间中所存在的威胁知识大部分没有形成很好的知识组织,在面向企业的网络安全运维的场景下,缺少能够有效涵盖网络空间威胁信息、反映企业网络安全态势以及支撑辅助安全决策的知识图谱;开源的漏洞信息库和威胁信息库等大多都是半结构化知识,而企业日常的网络安全运维数据中又包含大量的结构化和非结构化的报告,这些异构数据难以被企业直接利用来进行网络空间的防护。
知识图谱能够有效地整合这些存在潜在联系的网络安全运维相关知识,将离散的多源异构数据通过基于深度学习的信息提取模DOI :10.16652/j.issn.1004‐373x.2024.06.003引用格式:黄智勇,余雅宁,林仁明,等.基于改进BiLSTM‐CRF 模型的网络安全知识图谱构建[J].现代电子技术,2024,47(6):15‐21.基于改进BiLSTM⁃CRF 模型的网络安全知识图谱构建黄智勇1,2, 余雅宁1, 林仁明2, 黄 鑫1, 张凤荔1(1.电子科技大学 信息与软件工程学院, 四川 成都 610054; 2.四川省市场监督管理局数据应用中心, 四川 成都 610066)摘 要: 针对网络安全领域的图谱构建任务,基于BiLSTM‐CRF 模型引入了外部网络安全词典来加强网络安全文本的特征,并结合多头注意力机制提取多层特征,最终在网络安全数据集取得了更优异的结果。
(完整版)网络安全简答题
《网络安全技术》考试题库1. 计算机网络安全所面临的威胁分为哪几类?从人的角度,威胁网络安全的因素有哪些?答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁(2分)。
从人的因素考虑,影响网络安全的因素包括:(1)人为的无意失误。
(1分)(2)人为的恶意攻击。
一种是主动攻击,另一种是被动攻击。
(1分)(3)网络软件的漏洞和“后门”。
(1分)2.网络攻击和防御分别包括哪些内容?答:网络攻击:网络扫描、监听、入侵、后门、隐身;网络防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。
4.分析TCP/IP协议,说明各层可能受到的威胁及防御方法。
答:网络层:IP欺骗欺骗攻击,保护措施:防火墙过滤、打补丁;传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。
6.请分析网络安全的层次体系。
答:从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
7.请分析信息安全的层次体系。
答:信息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。
10.请说明“冰河”木马的工作方式。
答:病毒通过修改系统注册表,通过执行文本文件的双击打开操作,驻留病毒程序,伺机实现远端控制目的。
【应用题】1.简述防范远程攻击的技术措施。
答:防范远程攻击的主要技术措施有防火墙技术、数据加密技术和入侵检测技术等。
(2分)(1)防火墙技术。
用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。
(1分)(2)数据加密技术。
数据加密技术已经成为所有通信安全的基石。
(1分)(3)入侵检测技术。
是一种防范远程攻击的重要技术手段,能够对潜在的入侵动作做出记录,并且能够预测攻击的后果。
(1分)2.防范远程攻击的管理措施有那些?答:防范远程攻击的管理措施:(1) 使用系统最高的安全级别。
高安全等级的系统是防范远程攻击的首选。
2023年中级软考《网络工程师》考试全真模拟易错、难点汇编贰(答案参考)试卷号:20
2023年中级软考《网络工程师》考试全真模拟易错、难点汇编贰(答案参考)(图片大小可自由调整)一.全考点综合测验(共50题)1.【单选题】部门级服务器一般支持()个CPU。
A.1B.2C.4D.8正确答案:C2.【多选题】为保证密码安全,我们应采取的正确措施有A.不使用生日做密码B.不使用少于5为的密码C.不适应纯数字密码D.将密码设的非常复杂并保证20位以上正确答案:ABC【多选题】通过SSLVPN接入企业内部的应用,其优势体现在哪些方面:A.应用代理B.穿越NAT和防火墙设备C.穿越NAT和防火墙设备D.抵御外部攻击正确答案:ABCD4.【判断题】MD5是一种加密算法。
()正确答案:5.【单选题】如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?()A.自动软件管理B.书面化制度C.书面化方案D.书面化标准正确答案:6.【单选题】信息安全风险缺口是指()。
A.IT的发展与安全投入,安全意识和安全手段的不平衡B.信息化中,信息不足产生的漏洞C.计算机网络运行,维护的漏洞D.计算中心的火灾隐患正确答案:7.【判断题】DES3和RSA是两种不同的安全加密算法,主要是用来对敏感数据进行安全加密。
正确答案:正确8.【判断题】基于公开秘钥体制(PKI)的数字证书是电子商务安全体系的核心。
()正确答案:9.【判断题】古典加密主要是对加密算法的保密,现代加密算法是公开的,主要是针对秘钥进行保密。
()正确答案:10.【判断题】Oracle默认情况下,口令的传输方式是加密。
()正确答案:11.【单选题】下面关于IIS报错信息含义的描述正确的是()?A.401-找不到文件B.403-禁止访问C.404-权限问题D.500-系统错误正确答案:12.【判断题】HP-UX系统加固中在设置通用用户环境变量不能有相对路径设置。
() 正确答案:13.【单选题】下列哪种方法不能有效的防范SQL进入攻击()?A.对来自客户端的输入进行完备的输入检查B.把SQL语句替换为存储过程、预编译语句或者使用ADO命令对象C.使用SiteKey技术D.关掉数据库服务器或者不使用数据库正确答案:14.【单选题】SQLServer的登录账户信息保存在哪个数据库中?()A.modelB.msdbC.masterD.tempdb正确答案:15.【多选题】在Solaris8下,以下说法正确的是:()A./etc/rc2.d里S开头的文件在系统缺省安装的缺省级别会自动运行B./etc/rc3.d里S开头的文件在系统缺省安装的缺省级别会自动运行C./etc/init.d里的文件在系统启动任何级别时会自动运行D.init0是进入单用户级别init6命令会运行所有级别的rc目录下以S开头的文件正确答案:AB16.【判断题】出现在导线或电器、电子设备上的超过线路或设备本身正常工作电压和电流并对线路或设备可能造成电气损害的电压和电流,称过电压和过电流。
PDRR模型
PDRR网络安全模型张建东陈金鹰朱军(成都理工大学信息工程学院)摘要:文章介绍了网络安全的五个基本目标,网络安全的模型----PDRR模型,并详细阐述了PDRR 模型中防护(缺陷扫描、访问控制及防火墙、防病毒软件及个人防火墙、数据加密和鉴别技术)、检测、响应和恢复的实现。
关键字:网络安全PDRR模型防火墙入侵检测前言为了保护数据和网络资源,网络安全服务有五个基本目标,它们是:(1)可用性:可用性就是指网络服务对用户而言必须是可用的,也就是确保网络节点在受到各种网络攻击时仍然能够提供相应的服务。
(2)保密性:保密性保证相关信息不泄露给未授权的用户或实体。
(3)完整性:完整性保证信息在传输的过程中没有被非法用户增加、删除与修改,保证非法用户无法伪造数据。
(4)真实性:真实性保证和一个网络节点通信的对端就是真正的通信对端,也就是说要鉴别通信对端的身份。
如果没有真实性,那么网络攻击者就可以假冒网络中的某个节点来和其它的节点进行通信,那么他就可以获得那些未被授权的资源和敏感信息。
(5)不可否认性:不可否认性保证一个节点不能否认其发送出去的信息。
这样就能保证一个网络节点不能抵赖它以前的行为。
一个最常见的安全模型就是PDRR模型。
PDRR模型就是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。
这四个部分构成了一个动态的信息安全周期,如图:图:网络安全模型安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。
安全策略的第一部分就是防御。
根据系统已知的所有安全问题做出防御的措施,如打补丁、访问控制、数据加密等等。
防御作为安全策略的第一个战线。
安全策略的第二个战线就是检测。
攻击者如果穿过了防御系统,检测系统就会检测出来。
这个安全战线的功能就是检测出入侵者的身份,包括攻击源、系统损失等。
一旦检测出入侵,响应系统开始响应包括事件处理和其他业务。
信息安全访问控制模型
描述主体对客体所具有的控制权 定义了改变访问模式的能力或向其它主体传送这种能力
的能力
访问模式:
描述主体对客体所具有的访问权 指明主体对客体可进行何种形式的特定访问操作:读/
写/运行
18
访问许可的类型
等级型(Hierarchical)
有主型(Owner)
16
自主访问控制的实现机制和方法
实现机制 访问控制表/矩阵
实现方法 访问控制表(Access Control Lists) 访问能力表(Capacity List)
目标 用户
用户a
用户b
用户c
用户d
目标x R、W、Own
R R
17
目标y
R、W、Own R、W R、W
目标z R、W、Own
访问许可与访问模式
• inode • 文件描述符 • 绝对路径文件名 • 相对路径文件名
10
鉴别
确认实体是它所声明的,提供了关于某个实体身份的 保证,某一实体确信与之打交道的实体正是所需要的 实体
口令、挑战-应答、生物特征鉴别
所有其它的安全服务都依赖于该服务 需求:某一成员(声称者)提交一个主体的身份并声
称它是那个主体 目的:使别的成员(验证者)获得对声称者所声称的
3
访问控制的作用
未授权访问:包括未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。
非法用户对系统资源的使用 合法用户对系统资源的非法使用
作用:机密性、完整性和可用性(CIA)
4
主体与客体
主体
发起者,是一个主动的实体,可以操作被动实体的 相关信息或数据
用户、程序、进程等
Biba安全模型
Biba安全模型一.Biba模型的提出Biba模型是涉及计算机系统完整性的第一个模型,1977年发布。
二.Biba模型的组成Biba模型的元素有:1.主体组合(积极的,信息处理)2.客体组合(被动的,信息库)三.Biba模型的完整性策略Biba模型基于层次化的完整性级别。
Biba模型将完整性威胁分为来源于子系统内部和外部的威胁。
如果子系统的一个组件是恶意或不正确,则产生内部威胁;如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统,则产生外部威胁。
Biba认为内部威胁可以通过程序测试或检验来解决。
所以模型主要针对外部威胁,解决了完整性的第一个目标:防止非授权用户的篡改。
Biba模型被用于解决应用程序数据的完整性问题。
Biba模型不关心信息保密性的安全级别,因此它的访问控制不是建立在安全级别上,而是建立在完整性级别上。
Biba模型能够防止数据从低完整性级别流向高完整性级别,Biba模型有三条规则提供这种保护,如下图所示:1.当完整性级别为“中完整性”的主体访问完整性级别为“高完整性”的客体时,主体对客体可读不可写(no write up),也不能调用主体的任何程序和服务;2.当完整性级别为“中完整性”的主体访问完整性级别为“中完整性”的客体时,主体对客体可写可读;3.当完整性级别为“中完整性”的主体访问完整性级别为“低完整性”的客体时,主体对客体可写不可读(no read down)。
四.Biba模型的评价Biba模型定义的完整性只是一个相对的、而不是绝对的度量。
依据该定义,一个子系统拥有完整性属性的条件是它可被信任并附着一个定义明确的行为代码。
没有一个关于这个行为属性的描述语句来决定子系统是否拥有完整性,所以需要子系统附着行为代码。
对于这个模型而言,计算机系统的完整性的目的是确保子系统完成设计者预期的目标。
但现实的情况是,设计者是否采用了可以达到完整性的设计方法。
Biba模型是用一个结构化网格来表示授权用户和提供用户类型级别的划分。
安全模型
第四章安全模型访问控制第一节引言一.(1)目的在于:提供一不依赖于软件实现的,高层次上的概念模型且要反映一定的安全策略。
(2)达到形式化描述,实现与验证的可行性。
(3)自主型安全模型Discretionary强制型安全模型Nne-Discretionary/Mandatory二.自主型安全模型用户对信息的存取控制是基于用户的鉴别和存取访问规则的确定,也就是对每个用户,都要给予它在系统中对每个存取对象的存取权限。
代表:存取矩阵模型(lampson 1971:Graham &Denning 1973,Harrison 1976)(§2)发展:取-予TAKE-GRANT模型——图表示,权限的传播(§3)动作-实体Action-Entity模型——权限的管理(§4)三.强制安全模型通过无法回避的存取限制来防止各种直接和间接的攻击。
主体,实体被分配不同的安全属性。
(不轻易改变!授权!)很严格,可能会不方便。
代表:贝尔-拉帕丢拉(Bell-Lapadula)模型——多安全级,强制规则(§5)发展:基于角色的模型(§6)伯巴(Biba)模型——信息完整性(§7)第昂Dion模型——信息完整与安全性(§8)同一实体具有不同安全级别的多个值问题:安全数据视图Sea View模型(§9)贾让第-沙胡Jajodia-Samdhu模型(§10)斯密斯-温斯莱特Smith-Winslett模型(§11)基于信息流控制的格Lattice模型(§12)格阵是定义在集合SC上的偏序关系,并满足SC中任两个元素都有最大下界和最小上界的条件。
四.其他分类1.按目标系统分类操作系统的数据库管理的2.按侧重面分类机密性的完整性的3.按控制类别分类面向直接存取的对间接存取的第二节哈里森-罗佐-厄尔曼存取矩阵模型HRU1970年代,OS,DBMS 存取控制表ACL 直观一.授权状态利用矩阵来表达系统中的主体,客体和每个主体对每个客体所拥有的权限之间的关系。
RBAC在日志管理系统中的应用_张毓赟
2007年第3期福建电脑RBAC在日志管理系统中的应用张毓赟,张智斌,杨文旦(昆明理工大学信息与自动化工程学院云南昆明650051)【摘要】:本文阐述了如何在日志管理系统中采用基于角色的访问控制(RBAC)理论来进行权限控制模块的设计。
并给出了该权限模块在实际的日志管理系统中数据库设计和实现方法。
【关键词】:RBAC;日志管理系统;SEPG;0.引言某企业是一家通过CMM3及CMMI2认证的软件研发公司,拥有一个特殊的部门SEPG(软件工程过程管理部门),该部门对项目的整个生命周期进行管理。
为了提升公司员工工作效率和更加高效的对公司进行管理,该公司需开发一个日志管理系统,根据员工提交的日志进行工作绩效评估和管理。
考虑到公司中员工的流动性比较大,且相应的职位也会产生一些变更,如何更好地控制用户权限,使系统的权限控制具有较大的灵活性和扩展性,降低系统授权管理的复杂性,同时能更好地满足企业的安全策略要求,决定采取基于角色的权限控制理论进行权限管理的设计和实现。
本论文要阐发的问题就是如何在该公司的日志管理系统中基于RBAC(基于角色的权限控制)的思想进行权限控制管理的设计和实现。
目前对于在企业环境中的访问控制方法,一般有三种[1,2]:(1)自主型访问控制方法(DiscretionaryAccessControl,DAC)。
目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自主型访问控制方法中的访问控制列表(ACLs)来实现,其基本思想是将访问决定权留给产生信息的信息主体,系统中的主体可以自主地将其所拥有的对客体的访问权限授予其他主体。
由于DAC中访问权的授予是可以传递的,所以它的主要缺点是难以控制已被赋予出去的访问权限。
(2)强制型访问控制方法(MandatoryAccessControl,MAC)。
强制型的访问控制是"强加"给访问主体的,即系统强制主体服从访问控制政策。
它预先定义主体的可信任级别及客体(信息)的敏感程度(安全级别)。
网络与信息安全管理员—网络安全管理员中级工模考试题
网络与信息安全管理员—网络安全管理员中级工模考试题一、单选题(共40题,每题1分,共40分)1、下列对有关计算机网络的叙述中,正解的是( )。
A、利用计算机网络,可以使用网络打印机B、利用计算机网络,不能共享网络资源C、利用计算机网络,不能进行网络游戏D、利用计算机网络,不可以进行视频点播正确答案:A2、ping 实际上是基于( )协议开发的应用程序。
A、ICMPB、IPC、TCPD、UDP正确答案:A3、在数据库技术中,哪一种数据模型是使用公共属性(外键)实现数据之间联系的( )。
A、面向对象模型B、关系模型C、网状模型D、层次模型正确答案:B4、AD域组策略下达最大单位是( )。
A、OUB、DomainC、SiteD、User正确答案:B5、在计算机硬件系统组装中,机箱面板RSTSW连线用来连接( )。
A、复位开关B、硬盘指示灯C、电源指示灯D、电源开关正确答案:A6、下列危害中,( )不是由失效的身份认证和会话管理造成的。
A、网页挂马B、执行超越权限的操作C、窃取用户凭证和会话信息D、访问未授权的页面和资源正确答案:A7、下列方法( )不能有效地防止缓冲区溢出。
A、检查所有不可信任的输入B、不要使用不安全的函数或者借口C、要求代码传递缓冲区的长度D、过滤特殊字符单引号和双引号正确答案:D8、下列概念中,不能用于身份认证的手段是( )A、智能卡B、用户名和口令C、限制地址和端口D、虹膜正确答案:C9、“保护数据库,防止未经授权的或不合法的使用造成的数据泄露,更改破坏”是指数据的( )。
A、安全性B、并发控制C、恢复D、完整性正确答案:A10、一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可采取什么样的定级措施( )A、作为一个信息系统来定级B、可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象正确答案:B11、在信息安全中,下列( )不是访问控制三要素。
npdp知识体系指南
npdp知识体系指南
数据进行恰当的定义NDPD(Network Data Protection Diagram)是一种新兴的网络
数据保护模型,它使用多层模型来实现对数字信息的可控访问和部署安全策略。
此模型帮
助人们理解如何使用保护机制并将其用于解决问题。
NDPD有三个组成部分,分别是信息权限模型、访问控制机制和安全措施。
首先,信息权限模型是一种定义信息权限的框架,其中包括定义访问数据和/或资源的身份验证、授权、完整性和保密等规则,该规则可以帮助企业定义和控制哪些用户应具备访问数据的权限。
其次,访问控制机制是一种实施信息权限控制的技术,其中包括访问控制列表、文件
锁定和数据安全性,它们可以确保只有被授权的用户或组织被允许访问数据。
最后,安全
措施是相关人员采取措施保护数据资产的使用、独立性、完整性和保密性的技术。
这些安
全措施可以确保数据安全性在磁盘中的可持续维护,不仅包括保护数据的加密和身份验证,还包括数据备份和恢复解决方案,以及防止网络攻击和恶意软件。
此外,NDPD是一种开放标准和可定制的数据保护模式,它可以帮助企业制定安全策略,保护数字信息安全,防止未授权的访问。
NDPD在传统的信息安全中的发挥重要作用,它被用于多个领域,如金融、政府和医疗机构。
通过利用NDPD,可以灵活地设置授权及安全策略,帮助企业有力地保护数据安全。
总而言之,NDPD是一种重要的网络数据保护模型,它结合了基于角色的访问控制机制和安全控制,利用它可以实现持续监测、分离数据状态和资产访问,有效防止未经授权的
访问和滥用等行为,从而确保数据安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
V ol.14, No.5 ©2003 Journal of Software 软 件 学 报 1000-9825/2003/14(05)0955 基于扩展客体层次结构的安全数据库策略模型∗程万军+, 张 霞, 刘积仁(东北大学 计算机软件国家工程研究中心,辽宁 沈阳 110004) A Secure Policy Model for Secure Database System Based on Extended Object HierarchyCHENG Wan-Jun +, ZHANG Xia, LIU Ji-Ren(National Engineering Research Center for Computer Software, Northeastern University, Shenyang 110004, China)+ Corresponding author: Phn: 86-24-83665580, Fax: 86-24-86662821, E-mail: chengwj@Received 2002-06-06; Accepted 2002-11-22Cheng WJ, Zhang X, Liu JR. A secure policy model for secure database system based on extended object hierarchy. Journal of Software , 2003,14(5):955~962. /1000-9825/14/955.htmAbstract : Security policy model is the groundwork for secure or trusted system. Bell-LaPadula model with its good adaptability has comprehensive applications to multilevel security system, but it is short of the rules about integrity and consistency. Based on that model, an extended policy model is proposed, which is founded on the extended object hierarchy. By this way, the integrity becomes one of the inherence properties of the model. The object domains, extended security axioms and operation rules are also introduced or redefined. The proposed model more suits the requirements of multilevel security databases, and guarantees the consistency among policy model, system specification and other high-level security model. The extensions and enhancements, especially other properties besides security, are the necessary steps for transforming a policy model into a practical system.Key words : security policy; security model; database security; multilevel security; object integrity; object hierarchy 摘 要: 安全策略模型是安全可信系统的基础.Bell-LaPadula 模型是多级安全系统中广泛应用的安全策略模型,但它缺乏针对数据模型的完整性和一致性规则.以该模型为基础,针对数据库系统的数据模型,提出了一个以扩展客体层次结构为基础的安全策略模型.模型通过扩展客体层次结构使完整性成为模型的内在属性,并引入或重新定义了客体域、扩展安全公理和操作规则.模型更加适应多级安全数据库系统的要求,增强了策略模型与系统规格和高层模型的一致性.普遍性和通用性安全模型的扩展和增强,特别是安全性以外的特性的引入是安全策略模型向实际系统模型转化的必要步骤.关键词: 安全策略;安全模型;数据库安全;多级安全;客体完整性;客体层次结构中图法分类号: TP311 文献标识码: A∗ Supported by the National High-Tech Research and Development Plan of China under Grant No.863-301-6-5-B (国家高技术研究发展计划(863))第一作者简介: 程万军(1973-),男,黑龙江佳木斯人,博士生,主要研究领域为信息安全,数据库技术.956 Journal of Software软件学报2003,14(5)形式化安全模型是高可信级别系统的基础和前提.安全系统评估的核心之一就是验证系统安全功能与安全策略模型的一致性.一个好的安全模型应该提供语义丰富的表达能力,以描述系统在功能上和结构上的特性,同时具备向系统数据模型、事务模型和系统实现进行一致转化的特性.数据库系统自身的完整性特征及其在信息系统结构中的特点决定了为高可信级别数据库管理系统所提供的安全模型需要解决的问题有:安全性与完整性的协调、安全模型的表达能力、模型与系统规格的一致性、模型描述的安全策略对应用策略乃至多策略的一致性表达和支持等.遵循TCSEC[1,2]或CC[3]标准,对高级别可信(多级安全)数据库系统模型的研究主要有3个方向或层次:抽象安全策略模型、多级数据模型和安全事务模型.它们是上述评估标准中保证要求的必要环节,分别对应着可信DBMS安全工程过程中从系统分析、高层设计、低层设计到系统实现等不同阶段的阶段成果或工作参照物.它们是递进的研究层次,前者是后者的基础和前提,后者对前者具有反馈和激励作用.从系统体系结构角度来看,数据库系统的安全体系结构是以操作系统(甚至包括硬件)为基础的混合TCB(可信计算基)[1,2]或混合TSF(评估对象的安全功能)[3]结构.相应地,系统的验证和评估需要分层化的方法学进行指导[2].安全数据库系统的研发需要从安全策略模型、数据模型、事务模型乃至应用安全模型等一系列相关模型的支持,并且各级模型间需要一致、无歧义的支持和继承机制.安全策略模型是其中最为基础的环节.在以往的研究中,部分存在着过早地将安全策略模型与系统数据模型甚至事务模型相结合,将不同抽象层次的概念混合进行讨论的情况.这不仅不利于软件工程方法的实施和运用,也使得研究模型存在局限性,如模型中出现的不确定对象、不完备语义、安全策略折衷等.特别是由于所建立的模型中概念层次的不对等性和不完备性,使得它们在向实际系统转化时缺乏一致的方法以兼顾安全策略的完备性、数据的完整性和实际系统的功能性.这些问题的解决需要安全策略模型的良好和完备的定义[4~7].针对上述问题和需求,本文提出了一个用于安全数据库系统的基于扩展客体层次结构的安全策略模型.下面首先分析可信DBMS安全策略的规格需求,然后介绍扩展客体层次结构模型,其后在扩展客体层次结构的基础上定义安全数据库系统的扩展安全策略模型,最后总结全文.1 可信DBMS安全策略规格数据库系统中完整性和安全性是两个不同的概念[5],但两者是密切相关的,特别是在系统实现方法方面,同一种机制常常既用于安全性保护亦用于完整性保护[5,8].这种相关性导致了系统安全性的强化可能造成与系统完整性的冲突或潜在违背.为保证逻辑的延续性和安全工程过程及方法的阶段性,安全数据库系统的安全模型应兼顾多级安全性和与之相应的完整性要求.只有这样,模型的可用性才能得到可靠保证.同时,为实现策略的一致支持,在通用安全策略模型的基础上进一步充实和扩展对主体和客体的约束以及访问控制规则是必要的.概括而言,关系数据模型中完整性要求包括正确性(实体完整性)和一致性(参照完整性).实体和参照完整性是DBMS的特性.另一方面,因引入客体标记,客体标记本身提出了标记完整性的需求.Bell-LaPadula(简称BLP)模型[4]是在多级安全系统中广泛应用的通用安全策略模型.BLP模型的客体结构是一种松散的结构,缺乏必要的约束.而应用于多级安全数据库的多级数据模型,如多级关系模型和多级对象模型显然是在这个松散结构上的逻辑增强,但它们与经典安全策略模型之间缺乏必要的结构和逻辑上的过渡.另一方面,BLP模型没有也无法覆盖数据库系统及复杂并发系统中的事务性特征,而且在致力于敏感数据存取控制时遗留了一些涉及系统完整性的重要问题没有解决,特别是未对完整性设定规则.当其应用于控制粒度更细的数据库系统时,这些问题尤为突出.对于模型的不足,一些研究者认为这也许是一个优点,因为这允许人们在其宽泛的轮廓下进行系统建模,并专注于具体的实现细节[5].本文提出基于BLP的扩展模型BLP-i,“i”的含义即是模型的完整性特征.模型在策略抽象层次上扩展并完整定义了扩展客体层次结构及其内在相容性,同时对BLP模型的访问控制规则也进行了必要的扩展,使模型具备了在策略抽象层次上表达客体完整性的能力,使之增强了通过一致性方法向数据模型和事务模型[9]的转化,特别是向数据模型中的完整性属性一致转化的可能性.同时,扩展客体层次结构也可为更多安全模型提供基础支持.程万军等:基于扩展客体层次结构的安全数据库策略模型957 2 扩展客体层次结构安全策略模型一般由主体、客体和访问规则3个要素构成.在以往基于BLP的模型中,主体及访问规则都被详细地加以研究,而对客体的抽象一般仅限于树状层次结构.这也是其局限性的原因之一.正如在数据模型中那样,客体的完整性往往蕴涵在其结构中.而对安全策略模型的客体结构进行更详实的抽象和分析是建立BLP-i模型的基础之一.2.1 扩展客体层次结构的定义定义1. 集合ID是标识的集合,SL是系统安全级别的集合,客体标识符集合定义为OID:=(ID×SL),元组oid=(id,u)∈OID惟一确定安全级别为u的客体.[客体标识符完整性]客体O i满足标识符完整性,当且仅当其客体标识符oid i=(id i,u)满足:① 属性A j∈id i⇒A j≠null;② 属性A j,A k∈id i⇒SL(A j)=SL(A k)=SL(id i);③ A j∈H(O i)∧A j∉id i⇒SL(A j)≥ SL(id i).该完整性保证了客体标识符必须是有意义的;对某特定级别的主体,客体标识符对其或者完全可见,或者完全不可见;客体属性(外延)的安全级别支配其先驱(内涵)的安全级别.该属性与SeaView模型和多级关系的实体模型[10]的实体完整性属性在概念上是类似的.但该属性是安全策略模型层次上的客体完整性,而非数据模型意义上的数据实体完整性.其中,H(O i)表示O i在客体层次结构中的相应结点,SL(X)表示客体X的安全级别函数.定义2. H∈P(O)O表示客体的层次结构,它是一棵带根的有向树,H满足如下属性:性质1. 客体标识完整性.性质2.!∃{O1,O2,…,O w}⊆O[∀r(1≤r≤w⇒O r+1∈H(O r))∧(O w+1≡O1)].[基本相容性]∀O i∈O(∃O j∈O∧O j是O i的父结点⇒SL(O j)≥SL(O i)).性质1和性质2保证了客体在H中的惟一性且H是无环的.基本相容性属性即为经典BLP模型客体层次结构的相容性,它要求树中某结点的安全级别必须支配其父结点安全级别,保证客体按粒度方向的安全级别递增,使得持有某一许可的主体在沿H中的有向路径访问时只能访问部分信息,执行“need-to-know”原理.客体的安全级别是客体的属性,它可作为客体的直接后继结点来表达,也可通过客体结点自身的某个内在属性来表达,具体表达方式需由客体层次结构所支持的数据模型来决定.定义3. 对于结点P i∈H,子树ST(P i)为以P i=H(O i)为根且包含其所有后继结点的有向树.子树的最大下界定义为子树中所有结点(包含子树的根)安全级别的最大下界,记为GLB(ST(P i)).约定. 客体层次结构H中,根结点的安全级别由系统管理员(或系统安全管理员)设定,其安全级别的修改由系统TCB控制和维护[1,2].若某结点或其部分子结点未显式定义安全级别,则它们各自的隐含安全级别通过如下规则确定:① 若结点为叶结点,则其继承父结点的安全级别;② 若结点非叶结点,则其安全级别为以它为根的子树的最大下界;③隐含安全级别随其依赖的其他客体的安全级别变化而更新.定理1. 依据上述规则确定的结点隐含安全级别满足基本相容性属性.证明:设结点P的父结点的安全级别为a,以P为根的子树的最大上界为b.依据基本相容性属性,P的任一后继结点C的安全级别SL C ≥a,所以a是P的所有后继结点安全级别的下界.根据最大下界函数定义,有b≥a.因此,H中的基本相容性得到满足.定义4. 子树ST(P i)的安全级别记为SL(ST(P i)),它可被显式地定义为子树根结点的内在属性或子结点.未显式定义安全级别的子树,隐含子树安全级别确定规则为:子树安全级别为子树中所有结点(包括根)安全级别的最小上界LUB(ST(P i)).下面定义针对子树安全级别的扩展相容性属性.[扩展相容性]子树安全级别支配子树中所有结点的最小上界.在客体层次结构中,子树的安全级别用来控制主体对子树的访问,该属性保证了只有持较高许可(支配子树958 Journal of Software软件学报2003,14(5)安全级别)的主体才能遍历整个子树.根据上述定义,显然有SL(ST(P i))≥SL(H(O i)).下面以更抽象和一般性的方式定义和说明数据模型意义上的实体在扩展客体层次结构下的表达问题.约定. 在客体层次结构H中,实体通过H中的某一结点或某一子树来表达.同样,实体在H中表达的具体形式依赖于具体数据模型和数据模型所希望表达的客体特性.对上述两种实体表达方式,进一步要求:① 若实体表达为H中的一个结点,则该结点的oid被继承为该实体的实体标识符;②若实体表达为H中的一棵子树,则该实体继承子树的安全级别和子树根结点的标识符.基于上述约定,数据模型意义上的实体是将要定义的策略模型意义上客体的集合,实体表达为一个结点的情况被看作是一个特例;表达某数据模型意义上的实体的子树还可以包含表达另一层次实体的子树,即上述客体层次结构中的嵌套情形.[单结点多实例]对H中的结点P i,若有P i的两个直接后继P j,P k∈ST(P i)满足id(P j)=id(P k),且SL(P j)≠SL(P k),则产生单结点多实例,称P j和P k(兄弟关系)互为多实例结点,称它们所对应的客体O j和O k为单结点多实例客体.[子树多实例]对H中的结点P i,若以P i的两个直接后继P j,P k∈ST(P i)为根的两个兄弟子树ST(P j)和ST(P k)满足id(ST(P j))=id(ST(P k))且SL(ST(P j))≠SL(ST(P k)),则发生子树多实例情况,称ST(P j)和ST(P k)互为P i下的多实例子树.虽然单结点客体多实例可以看作子树多实例的特例,但在抽象数据层次结构所支持的数据模型上,它们存在着具体实体对象和逻辑含义的差别.如在多级关系模型上,它们可以为数据模型描述不同层次数据实体的不同粒度的多实例,而且数据模型中不同的多实例情况往往要求不同的完整性约束[8,11].[单结点多实例完整性]对P i∈H,P i满足单结点多实例完整性,当且仅当:对P i(所对应的客体为O i)的任一内在属性A i∉id(P i),有id(P i),SL(P i)→A i,即id(P i),SL(P i)→P i.[子树多实例完整性]对非叶结点P i∈H,ST(P i)满足子树多实例完整性,当且仅当:① 对P i下任一直接子树ST(P j),有oid(P j),SL(ST(P j))→ST(P j)或id(P j),SL(P j),SL(ST(P j))→ST(P j);② ST(P j)满足子树多实例完整性;③ST(P i)的叶结点满足单结点多实例完整性.上述的两个多实例完整性定义是前面客体标识符和子树标识符以及子树安全级别定义的一致性形式转换,在此基础上可以定义抽象客体层次结构上的更一般的多实例完整性.[客体层次结构的多实例完整性]客体层次结构H满足多实例完整性,当且仅当:① ∀P i∈H⇒P i的所有后继结点满足单结点客体多实例完整性;② ∀P i∈H⇒P i下所有以P i的后继结点为根的子树满足子树多实例完整性.[空结点完整性(空值完整性)]在客体层次结构中,空结点(null)只可以出现在叶结点上.根据上述客体层次结构的定义,在模型中可能存在4种客体间的参照关系:结点对结点(记为nn)、结点对子树(记为nt)、子树对结点(记为tn)和子树对子树(记为tt).模型中,将它们统称为客体层次结构中的客体参照.参照关系是在作用于系统客体上的不同抽象层次的规则“引导”下发生的,这些规则可能是用户定义的,也可能是客体逻辑或结构关系隐含具有的.模型分别用RR nn,RR nt,RR tn和RR tt表示上述4种参照情形中各种参照规则的集合.设RR=RR nn∪RR nt∪RR tn∪RR tt.下面具体定义各种参照情况.定义5. 在客体层次结构H中,rr是作用在P i,P j∈H上或以它们为根的子树上的参照规则,•若rr∈RR nn,称P i参照P j,当且仅当∃内在属性A i∈P i⇒A i=id(P j)∧SL(P i)≥SL(P j),称A i为参照标识符;•若rr∈RR nt,称P i参照子树ST(P j),当且仅当∃内在属性A i∈P i⇒A i=id(ST(P j))∧SL(P i)≥SL(ST(P j)),称A i为参照标识符;•若rr∈RR tn,称子树ST(P i)参照P j,当且仅当∃P i的直接后继P k⇒id(P k)=id(P j)∧SL(ST(P i))≥SL(P j),称P k为参照标识符;•若rr∈RR tt,称子树ST(P i)参照ST(P j),当且仅当∃P i和P j的直接后继P k,P m⇒id(P k)=id(P m)∧SL(ST(P i))≥SL (ST(P j)),称P k为参照标识符.用rid来表示上述参照客体的参照标识符.由子树安全级别的定义、上述定义隐含要求参照标识符的安全程万军等:基于扩展客体层次结构的安全数据库策略模型959级别支配被参照客体标识符.[参照标识符完整性]在rr∈RR作用下参照客体的参照标识符需满足:① 或者为空(作为叶结点),或者在rr的作用下存在满足定义的被参照客体结点(或子树);②参照标识符的所有内含属性具有相同安全级别.模型只定义了结构可视化的显式参照(由用户指定或逻辑隐含的).对模型客体结构不可视(结构自身无法表达)的参照关系,需要由执行特定逻辑的高层系统主体维护,如文件内容间的参照等情况.即本模型所提供的控制是基于客体层次结构及其所定义的规则的.客体结点内在属性A i是否可见,或称模型是否可读取该属性是由模型的相应策略以及所支持的数据模型决定的.[参照完整性]H满足参照完整性,当且仅当对任一rr∈RR,在rr作用下的参照客体对X和Y(X参照Y),X的参照标识符rid(X)不为空,则有rid(X)=id(Y)∧SL(rid(X))≥SL(id(Y))∧SL(rid(X))≥SL(Y).简单来说,参照关系需要满足:参照客体的安全级别支配被参照客体的安全级别,即参照关系也遵守“下读”规则.也就是说,在参照路径上保持客体安全级别的“递增”即相容性.这种参照关系的例子有RDBMS中关系间的参照关系、OODB中对象间的参照等.2.2 扩展客体层次结构的解释上一节从独立于数据模型的角度分析和模型化了安全策略模型的扩展客体层次结构.相对于BLP模型,它弥补了其在客体表达能力,特别是在客体约束和完整性上的不足,缩减了安全策略模型和数据模型以及其他低层次安全模型间的概念差异.扩展客体层次结构在逻辑上更为贴近数据模型,这有利于采用一致的方法将安全策略模型转化为数据模型乃至事务模型,并且可以支持多种数据模型,如:关系、面向对象和半结构化等数据模型.该结构使客体在策略模型层面呈现更紧密的联系.相对于安全性,完整性更是客体的内在本质属性.扩展客体层次结构增强了客体完整性和相容性(实质上也是完整性)要求.显然,这些新引入的要求可以根据需要进行增减,以适应数据模型和实际系统的需要.同时,它们丰富了模型自身的表达能力,为多策略的集成提供一致的基础结构.以关系数据模型为例,扩展客体层次结构中的完整性和相容性可以一致地转化为关系数据库中的实体完整性、多实例完整性、参照完整性等属性,并且有利于更好地分析和消除在多级数据模型或其他低层安全模型中出现的不确定性,帮助系统设计开发者更好地掌握和利用模型和系统中可能出现的复杂情况.限于篇幅,这些问题将另文详述.在本文中,仍然有条件地采用乐观的观点,即认为高层抽象模型的非确定性往往是模型表达能力的一种体现,并且这些非确定性可以被其他低层模型或者实际系统所利用,为丰富多样的应用需求提供支持.3 基于扩展客体层次结构的安全数据库系统策略模型BLP-i3.1 模型概述3.1.1 客体隔离域客体层次结构被划分为4个基本隔离域:系统域D s、责任域D a、元数据域D m和用户域D u.系统域用于维护系统级数据客体或对象,它们是与系统TCB和核心相关的客体.责任域客体是有关系统责任保证(accountability)的客体.元数据域中的客体是关于用户域客体的定义、结构和控制数据的.用户域用于维护、容纳用户数据客体,它被进一步划分为常规用户域D gu和完整性维护域D iu,完整性维护域内的客体是用于维护客体层次结构相容性而需特殊处理的用户客体.在多级环境下,被参照客体的删除往往导致隐蔽通道,已提出的解决方案为以标记表达式或复合标记为基础的只读升级或规范标记更新策略[5,6].它们的共同点是为避免隐蔽通道“升级”客体标记,使其成为只读客体(客体存在的原因是为了维护完整性约束).事实上,这些具体方案的概括即为将这类客体进行特殊处理,归入特殊的客体类型.完整性维护域D iu的目的即是如此.在上述的上下文环境中,也可称其为只读域.客体层次结构上的域是一种逻辑划分,H中的4个基本域保持相对的隔离.系统对域的基本访问规则为:对不同域内客体对应结点的访问,需要请求主体持有与具体访问方式相关的、适当的安全级别和授权.960 Journal of Software软件学报2003,14(5)3.1.2 系统状态系统状态是集合V=(B×M×F×H)中的元素,其中B⊆(S×O×A)为当前存取集,S为主体的集合,O为客体的集合,A={r,w,e,a,c,∅}为访问权限集合,其中各元素表示读、写、执行、添加、控制和空.控制操作意味着主体可以将其所具有的上述4种访问属性中的一个或者多个授予给其他主体.M为存取控制矩阵,M ij表示主体S i对客体O j访问权限.F={(f S,f O,f C)|f S∈L S∧fo∈L O∧fc∈L S∧(∀S∈S(f S(S)≥f C(S)))}为敏感标记函数集合,f S为主体敏感标记函数,f O为客体敏感标记函数,f C为主体当前敏感标记函数.H即为前面定义的客体层次结构.在模型中,用S T表示可信主体的集合,非可信主体集合S U=S−S T.3.1.3 状态转换规则系统状态间的转换由系统规则定义,各规则是对任意状态下输入(请求)的输出(判断)和下一状态的函数.规则定义为ρ:R×V→D×V,R为请求集合,D={yes,no,error,?}为判定集合,V为状态集合.规则ρ保持安全状态,当且仅当ρ(R k,v)=(D m,v*),则当v是安全状态时,v*也是安全状态.3.2 模型公理模型的安全公理在模型中用来裁决主体对客体的访问请求,因此也称为安全规则.公理1(简单安全特性(ss-特性)). 状态v={b,M,f,H}满足ss-特性,iff S∈S⇒[(O∈b(S:r,w))⇒(f S(S)≥f O(O))].公理2(*-安全特性(*-特性)). 状态v={b,M,f,H}满足*-特性,iff S∈S U⇒(1) O∈b(S:a)⇒f O(O)≥f C(S);(2) O∈b(S:w)⇒f O(O)=f C(S);(3) O∈b(S:r)⇒f C(S)≥f O(O).公理3(自主安全特性(ds-特性)). 状态v={b,M,f,H}满足ds-特性,iff (S i,O j,x)∈b⇒x∈M ij.客体域隔离公理.对属于不同客体域的客体只能由相应的持有适当许可和特权的主体访问.同时,在安全级别配置上,D s域安全级别与D a域安全级别不可比较;D m域比D u域有较高的安全级别;相对于D s域、D a域和D m域,D u域具有较低安全级别;D iu和D m中客体的写操作需由系统可信主体完成.客体域的引入,限制了BLP模型的可信操作(由可信主体执行),使系统更为全面地贯彻最小特权规则.这实际上约束了可信操作的绝对性,即系统中没有完全可信的主体.这是最小特权原则所要求的,是对权限分离、责任隔离原则的贯彻.激活性公理.激活性公理用于约束H中客体的创建、激活和删除.(1) 新建客体安全标记继承规则:对主体S所创建的客体O,有f O(O)=f C(S).(2) 客体稳定规则:客体安全标记只可在客体被完全控制的情况下,由授权主体遵循访问规则来进行修改.(3) 新建客体重写规则:每个新建客体被赋予一个与以前任何状态无关的初始状态.(4) 未激活客体的不可存取性:不能通过授予在H中没有出现的未激活客体相应操作权限而使其可存取.(5) 若D iu内某客体置为非激活状态不破坏客体层次结构的完备相容性,则该客体可被系统主体删除.(6) 已删除客体的不可存取性:对所有已从H中删除的客体O∈O,有(S,O,x)∉B.3.3 安全系统定理系统是安全系统,当且仅当:初始状态是安全状态,并且每次状态转换都满足ss-特性和*-特性,并且客体层次结构始终保持完备相容性.上述安全系统定理是在BLP模型安全系统定理上附加客体结构完备相容性的结果.该定理进一步扩展了安全系统的定义,使系统的安全性和完整性同时得到保证,同时限制了(存取)隐蔽通道的产生.3.4 操作规则模型利用前面定义的扩展客体层次结构重新定义了BLP模型中的操作规则8和规则9.对其他规则,需要。