第三章.安全策略与安全模型

1第三章安全策略与安全模型安全策略与安全模型业务大集中数据中心线路中断梳理手上的牌安全专家管理理念资产和业务威胁和危害安全措施方法/原则安全策略与安全模型2安全运维体系的解决方案：业务层面和支撑层面的人员、权限、策略、系统的统一。从安全策略入手，在不同层面实现做到人与权限的统一。安全策略与安全模型3安全策略资源类型资源使用者OA系统、财务系统、业务应用系统等业务用户应用管理员主机系统操作系统管理员数据库系统数据库管理员网络设备网络管理员安全设备安全管理员物理环境机房管理员标准规则高度统一组织结构：业务系统建设与安全运维分开，各自建立规则相互制约事件响应：结合业务重要性进行事件分类，并设计处理流程内容审计：结合业务流程和企业文化实现业务人员、IT人员的统一安全审计人员绩效：根据业务发展战略，制定业务人员和IT人员的统一绩效量化指标并明确操作方法。配置策略合理有序人和权限的统一安全策略与安全模型4一、安全策略概述二、安全策略类型三、安全策略的生成、部署和有效使用5安全策略与安全模型一、安全策略概述策略：“策略”就是为了实现某一个目标，首先预先根据可能出现的问题制定的若干对应的方案，并且，在实现目标的过程中，根据形势的发展和变化来制定出新的方案，或者根据形势的发展和变化来选择相应的方案，最终实现目标。1、可以实现目标的方案集合；2、根据形势发展而制定的行动方针和斗争方法；3、有斗争艺术，能注意方式方法；6安全策略与安全模型一、

安全策略概述策略与措施措施：措施具有目的行动,是针对某一现象作出的相应的对策。措施包括了实现策略过程中所采取的管理与技术手段、方法等。措施应与策略不矛盾。策略指做什么和不做什么？措施指怎么做？7安全策略与安全模型安全策略：是指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。网络管理员或者CIO根据组织机构的风险及安全目标制定的行动策略即为安全策略。根据确定的保护对象，策略将定义一组管理或使用的方法，使策略的执行者在面对受保护的对象时，策略明确规定了什么能做，什么不能做。一、

安全策略概述8安全策略与安全模型3.1安全策略概述信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。9信息安全策略的描述应简洁的、非技术性的和具有指导性的。如一个涉及对敏感信息加密的信息安全策略条目可以这样描述：

任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护。这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。

安全策略与安全模型管理是指为提高群体实现目标的效率而采取的活动和行为。包括制定计划（规划）、建立机构（组织）、落实措施（部署）、开展培训（提高能力）、检查效果（评估）和实施改进（改进）等。收集信息－评估－组织－部署－<对象>－10系统B安全策略与安全模型TheTransformationProcessSecurityPolicySecurityModelProgram-mingAbstractobjectives,goalsandrequirementsRulesorpracticeFrameworkMathematicalrelationshipandformulasSpecificationsDatastructureComputercodeGUI–checkboxThesecuritypolicyprovidestheabstractgoalsandthesecuritymodelprovidesthedo’sanddon’tsnecessarytofulfillthegoalsProductorSystem安全策略与安全模型11SecurityPolicyOutlinesthesecurityrequirementsforanorganization.Isanabstracttermthatrepresentstheobjectivesandgoalsasystemmustmeetandaccomplishtobedeemedsecureandacceptable.（是代表了必须满足和完成被认为是安全和可接受的系统的目标的一个抽象的术语。）Isasetofrulesandpracticesthatdictateshowsensitiveinformationandresourcesaremanaged,protected,anddistributed.（是一组决定了敏感信息和资源的管理、保护和分发的规则和实践。）Expresseswhatthesecuritylevelshouldbebysettingthegoalsofwhatthesecuritymechanismsaresupposedtoaccomplish.（表示安全级别中安全机制应该完成的目标。）Providestheframeworkforthesystems’securityarchitecture.安全策略与安全模型12SecurityModelIsasymbolicrepresentationofapolicy,whichOutlinestherequirementsneededtosupportthesecuritypolicyandhowauthorizationisenforced.（概述需要支持的安全策略和执行授权的要求）Mapstheabstractgoalsofthepolicytoinformationsystemtermsbyspecifyingexplicitdatastructuresandtechniquesthatarenecessarytoenforcethesecuritypolicy.（将安全策略抽象目标映射到执行安全策略的具体的数据结构和技术。）Mapsthedesiresofthepolicymakersintoasetofrulesthatcomputersystemmustfollow.（将决策者的愿望映射到一组计算机系统必须遵循的规则。）Isusuallyrepresentedinmathematicsandanalyticalideas,whicharethenmappedtosystemspecifications,andthendevelopedbyprogrammersthroughprogrammingcodes.（通常表示成数学或解析模式，然后映射到系统说明，然后再由程序员开发成代码。）安全策略与安全模型13Derivethemathematical

relationshipsandformulasexplaininghowxcanaccessyonlythroughoutlinedspecificmethods.Developspecificationstoprovideabridgetowhatthismeansinacomputingenvironmentandhowitmapstocomponentsandmechanismsthatneedtobecodedanddeveloped.（在一个计算环境中，以及如何将安全策略映射到需要进行编码和开发组件和机制。）Writetheprogramcode

toproducethemechanismsthatprovideawayforasystemtouseaccesscontrollistsandgiveadministratorssomedegreeofcontrol.ThismechanismpresentsthenetworkadministratorwithaGUIrepresentation,likecheckboxes,tochoosewhichsubjectscanaccesswhatobjects,withintheoperatingsystem.SecurityPolicy“Subjectsneedtobeauthorizedtoaccessobjects.”SecurityModelExample安全策略与安全模型14SecurityModelsBell-LaPadulaModel(1973)BibaModel(1977)Clark-WilsonModel(1987)AccessControlMatrixInformationFlowModelNoninterferenceModelChineseWallModelLatticeModelConfidentialityIntegrityAvailabilitySecurityRequirementsSecurityModels安全策略与安全模型15安全策略的功能安全策略提供一系列规则，管理和控制系统如何配置，组织的员工应如何在正常的环境下行动，而当发生环境不正常时，应如何反应。执行两个主要任务：1.确定安全的实施2.使员工的行动一致16安全策略与安全模型确定安全的实施安全策略确定恰当的计算机系统和网络配置及物理安全措施，以及确定所用的合理机制以保护信息和系统。规定了员工责任。规定当非期望的事件发生时，组织应如何反应。事故发生时，该组织的行动目标。安全事故或系统出故障发生时，组织的安全策略和安全程序规定其应做的事。17安全策略与安全模型2.使员工的行动一致

安全策略为一个组织的员工规定了一起工作的框架，组织的安全策略和安全过程规定了安全程序的目标和对象。将这些目标和对象告诉员工，就为安全工作组提供了基础。18安全策略与安全模型3.2安全策略的类型安全策略一般包含3个方面：（1）目的

应明确说明为什么要制定该策略和程序，及其对组织的好处。（2）范围一个安全策略和安全程序应有一个范围。如一个安全策略适用于所有计算机；一个信息策略适用于所有的员工。（3）责任规定谁负责该文本的实施。19安全策略与安全模型二、安全策略的类型1、信息策略信息策略定义一个组织内的敏感信息以及如何保护敏感信息。策略覆盖该组织内的全部敏感信息。每个员工有责任保护所有接触的敏感信息1.识别敏感信息2.信息分类（公开、公司敏感、公司秘密、限制或保护）3.敏感信息标记4.敏感信息存储（规定相应的保护级别）5.敏感信息传输（对每种传输方式确定保护方式）6.敏感信息销毁（规定相应的销毁方法）20安全策略与安全模型2、系统和网络安全策略

规定了计算机系统和网络设备安全的技术要求，规定系统或网络管理员应如何配置与安全相关的系统。安全策略应定义每个系统实施时的要求，但不应规定对不同操作系统的专门配置（在安全措施时解决）。用户身份和身份鉴别（机制及相关约束）确定如何识别用户规定用于用户ID的标准或定义标准的系统管理过程，包括系统用户和管理员的基本的鉴别机制。21安全策略与安全模型2系统和网络安全策略

访问控制策略（对电子资源访问控制的标准要求）对计算机上的每个资源，用户定义的访问控制的某些方式应是可用的。应与身份鉴别机制一起工作，确保有授权用户能访问。应说明新文件的黙认配置。审计（确定所有系统上需要审计的所有类型）网络连接（连接的规则及保护机制）安全策略应确定用于连接的设备类型。应定义连接设备的基本网络访问控制策略以及请求和得到访问的基本过程。针对从外部访问内部系统，安全策略应说明这类访问所采用的机制（身份鉴别机制和授权过程）22安全策略与安全模型3.2.2系统和网络安全策略

搜索恶意代码的安全程序的要求和存放位置、以及周期性签名等加密（组织内可接收的加密算法、密钥管理需要的过程）23安全策略与安全模型3计算机用户策略

计算机用户策略规定了谁可以使用计算机系统以及使用计算机系统的规则。1.计算机所有权2.信息所有权所有存储并用于组织内的计算机信息归组织所有。3.计算机的使用许可规定谁可以装载授权软件以及怎样成为合法软件。4.没有隐私的要求在任何组织的计算机中存储、读出、接收的信息均没有隐私。用户应了解任何信息都可能接受管理员检查。24安全策略与安全模型4Internet使用策略

规定了如何合理地使用Internet；确定哪些是非正当的使用有许多有待研究的地方：青少年的网络使用问题BYOD问题25安全策略与安全模型5邮件策略

内部邮件问题（不应和其它的人力资源策略相冲突、不应期望在邮件中保护隐私）外部邮件问题（敏感信息保护、恶意代码检查等）26安全策略与安全模型6用户管理程序

1.新员工程序（制定新员工正确访问计算机资源的程序）2.工作调动的员工程序开发一专门程序，关闭原有访问，满足新的访问需求，相应的更换系统管理员。3.离职员工的程序将离职的员工从系统上除去。27安全策略与安全模型7系统管理程序

系统管理程序是确定安全和系统管理如何配合工作以使组织的系统安全(系统管理员监控网络的能力，应由计算机用户策略确定，并反映组织期望的系统如何管理).28安全策略与安全模型7系统管理程序

系统管理程序应确定各种安全相关的系统管理如何完成。软件更新（多长时间检查补丁或从厂家更新，更新之前的测试，更新时做文档，失败时放弃更新。漏洞扫描（多长时间扫描、扫描结果应传给系统管理纠错和执行）策略检查定期的外部和内部审计用来检查是否和策略一致。安全应和系统管理一起工作，以检查系统的一致。29安全策略与安全模型7系统管理程序

登录检查应定期检查各种系统的登录。如采用自动工具，应规定工具的配置以及希望它如何处理如手工方式，应规定多长间隔检查登录文件以及事件类型等。常规监控应有一个程序归档说明何时网络通信监控发生。有些组织可能选择连续执行这种类型的监控；有些组织可能是随机监控。应该进行监控，且要归档。30安全策略与安全模型8事故响应程序

当计算机发生事故时，事故响应程序确定该组织将如何作出反应。根据事故的不同，事故响应程序应确定谁有权处理，以及应该做什么，但无须说明如何做。事故处理目标如保护组织的系统、保护组织的信息、恢复运行、起诉肇事者、减少坏的宣传等。可以有多个目标，关键是在事故发生前确定组织的目标。31安全策略与安全模型8事故响应程序

2.事件识别事故识别是事故响应中最困难的部分。某事故显而易见，如WEB站点外貌损坏；某些不易看出，如入侵攻击或用户误操作等。在公布事故前应由系统管理员作检查以决定事故是否发生。对于不是显而易见的事故，管理员应确定检查的步骤。确定事故发生后，应组织一个响应组，包括安全、系统管理、法律、人力资源、公共关系等部门。3.信息控制根据事故对组织及其客户的影响程序，控制发布什么样的信息、发布多少信息。根据组织的正面效应，选择发布信息的方式、方法。32安全策略与安全模型8事故响应程序

4.响应对事故的响应直接取决定事故响应的目标。如保护系统和信息为目标，可直接将系统移走；如以抓入侵者为目标，可以保持系统在网上的在线状态和继续提供服务，允许入侵者再回来，进行入侵者跟踪和设置陷阱。5.授权事故响应负责人在事故响应程序开发时就要做出决定，而不仅仅是在事故响应时。责任人要决定系统是否下线，如何与客户、新闻机构、律师等联系。6.文档事故响应程序应规定响应组建立行动档案。（有助于回顾事故全过程、为起诉的法律实施提供帮助、有助于以后的事故处理）7.程序的测试响应程序开发过程中要广泛征求意见可在现实世界中进行测试。33安全策略与安全模型9配置管理程序

配置管理程序规定修改组织的计算机系统状态的步骤。目的是确定合适的变化不会对安全事故的识别产生不好的影响。新的配置从以下两方面予以检查系统的初始状态状态应有文档，包括操作系统及其版本、补丁水平、应用程序及其版本2.变更的控制程序在变更实施前对计划的变更进行测试，当提出变更请求时，应将变更前后的程序存档。34安全策略与安全模型10设计方法

对生成新系统或能力的项目应有一个设计方法，以提供该组织生成新的系统的步骤。在设计时要考虑安全问题，使最后完成的系统能与安全相一致。设计过程中与安全相关的步骤有：1、需求定义在该阶段应将安全需求列入。指出组织的安全策略和信息策略要求，特别要指定组织的敏感信息和关键信息的要求。2、设计设计方法应确保项目是安全的。安全人员应成为设计组成员或作为项目设计审查人员，在设计中对不同满足安全要求之处应特别说明，并加以妥善解决。35安全策略与安全模型10设计方法

3、测试在项目测试阶段，应同时进行安全测试。安全人员协助编制测试计划，安全要求有可能难以测试，如测试入侵者不能看到敏感信息等。4、实施实施组应使用合适的配置管理程序，在新系统成为产品之前，安全人员应检查系统的漏洞和合适的安全策略规则。36安全策略与安全模型11灾难恢复计划

每个组织都应有一个灾难恢复计划。一个恰当的灾难恢复计划应考虑各种故障的级别：单个系统、数据中心、整个系统。单个系统或设备故障包括盘、主板、NIC、元件的故障。应检查组织的环境，以识别任何单个系统或设备故障。对每个故障应在可允许的时间内修复并恢复运行。灾难恢复计划必须能修复故障，使系统继续运行。灾难恢复计划必须和运行部门结合，使他们知道应该采取什么步骤恢复系统运行。37安全策略与安全模型11灾难恢复计划

2.数据中心事件灾难恢复计划为数据中心的主要事件提供程序。如数据中心运行不正常时，应采取什么步骤重新恢复其能力；在丢失设备时，灾难恢复计划应包括如何得到备用设备。如数据中心不能使用时，灾难恢复计划应考虑如何添加新设备和构建通信线路，如何构造计算机系统等。3.场地破坏事件识别重建的关键能力对电子商务站点而言，可能关键能力是计算机系统和网络；对生产工厂来说，则制造部门是关键。4.灾难恢复计划的测试检测正确性、测试其是否处于备用状态。38安全策略与安全模型三、安全策略的生成、部署和有效使用1安全策略的生成步骤：确定重要的策略安全人员与系统管理员、人力资源部门、业务部门协作，确定哪些策略是最重要的。2.确定可接受的行为基于组织的文化、员工的期望、业务的实际需要确定可接受的行为。3.征求建议凡对实施策略有影响的人都应参与策略的制定过程。4.策略的开发草拟策略提交管理部门批准实施。39安全策略与安全模型策略生成是一项繁杂、细致的工作，稍有差池就会出现策略不完整、策略冲突、策略冗余的现象。40安全策略与安全模型2安全策略的部署需要全体人员介入1.贯彻2.培训教育3.执行安全工作要与系统管理部门和其它有影响的部门密切配合，使执行更有效。41安全策略与安全模型3安全策略的有效使用

1.新的系统及项目新系统或项目启动时，应同时进行安全策略的设计。如新系统不能满足安全要求，组织要知道存在的风险，并提供某些机制来管理存在的风险。2.已有的系统及项目检查每个已有的系统是否和新的安全策略相符合。如不符合，确定是否可采取措施来遵守新的策略。应和系统管理员和使用该系统部门合作，使安全作相应的变更。42安全策略与安全模型3安全策略的有效使用

3.审计定期审计系统以检查其是否满足安全策略。安全部门应及时将新的安全策略通知给审计部门，使在审计时了解这些变更。安全部门向审计部门解释安全策略如何开发以及期望达到的目标。审计部门向安全部门解释审计如何进行以及审计的目标。4.安全策略的审查定期检查安全策略，以确定是否仍适合组织。一般策略，每年审查一次。对事故响应程序和灾难恢复计划，可能需要更为濒繁的审查。43安全策略与安全模型4安全模型安全模型是一个系统安全政策的形式化描述（数学描述）一个系统是安全的，当切仅当它所有的状态都满足安全政策的规定。安全模型的意义TCSEC的提出使安全模型引起了更多的关注安全模型能够精确地表达系统对安全性的需求，增强对系统安全性的理解；有助于系统实现有助于系统安全性的证明或验证安全策略与安全模型44常见的安全模型访问控制模型（AccessControlModel）完整性模型(integritymodel)Clark-Wilson模型域类实施模型（DomainTypeEnforcement)莫科尔树模型（MerkleTree)安全策略与安全模型45确保系统从一个有效状态转换到另一个有效状态（面向事务的模型）通过对主体（域）和客体（类型）分组，实施强制访问控制。UNIX系统中采用。完整性度量模型访问控制模型控制主体对客体的访问一次访问可以描述为一个三元组： <S，A,O>访问控制政策是一组规则，决定一个特定的主体是否有权限访问一个客体

F(s,a,o){True,False}安全策略与安全模型46访问控制矩阵

按列看是客体的访问控制列表（accesscontrollist）按行看是主体的访问能力表(capabilitylist)安全策略与安全模型47BLP模型Bell-LaPadulaModel用来描述美国国防部的多级安全政策——用户和文件分成不同的安全级别，各自带有一个安全标签Unclassified,Confidential,Secret,TopSecret——每个用户只可以读同级或级别更低的文件BLP模型只描述了保密性，没有描述完整性和可用性的要求安全策略与安全模型48BLP模型BLP模型基于有限状态自动机的概念安全策略与安全模型49Bell-LaPadula模型BLP模型是D.ElliottBell和LeonardJ.LaPadula于73年创立的一种模拟军事安全策略的计算机操作模型，是最早、也是最常用的一种计算机多级安全模型。主体对客体的访问分为r(只读）、w(读写）、a（只写）、e（执行)以及c（控制）等几种访问模式，其中c(控制）是指该主体用来授以或撤消另一主体对某一客体访问权限的能力。该模型安全策略从两方面描述：DAC和MAC.DAC用一个访问控制矩阵表示，MAC安全策略包括SSP和*-特性。系统对所有主体和客体都分配一个访问类属性，包括主体和客体的密级与范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问。所有的MAC系统都是基于BELL-LAPADULA模型，因为它允许在代码里面整合多级安全规则，主体和客体会被设置安全级别，当主体试图访问一个客体，系统比较主体和客体的安全级别，然后在模型里检查操作是否合法和安全。50简单安全规则表示低安全级别的主体不能从高安全级别客体读取数据。星属性安全规则表示高安全级别的主体不能对低安全级别的客体写数据.安全策略与安全模型DAC:自主指主体能够自主地将访问权或访问权的某个子集授予其他主体。例：降低主体密级会违犯BLP模型什么特征?提升客体的密级会违犯什么特征？答：*-特性：高安全级别的主体不能对低安全级别的客体写数据.SSP：低安全级别的主体不能从高安全级别客体读取数据。降低主体密级会违犯BLP模型*-特性，存在低安全级别写数据的可能。提升客体的密级会违犯SSP，存在读取高安全级别客体数据的可能。51安全策略与安全模型Bell-LaPadula模型密级是一有限全序集L。和f1o为主体S和客体O的密级函数：

：；s|→lf1o:O→L;o|→l主体当前密级函数f1c:;s|→l主体当前密级可以变化的。但52安全策略与安全模型Bell-LaPadula模型例：假定主体集合S=｛Alice,Bob,Carol},客体集合是O=｛Email_File,Telephone_Number_Book,Personal_File},访问控制矩阵如下：L={绝密，机密，秘密，敏感，普通｝53Email_FileTelephone_Number_BookPersonal_FileAlice{w}{r}{r}Bob{a}{w,e,app}{a}Carol{a}{r}安全策略与安全模型Bell-LaPadula模型密级函数表如下：

54f1sf1of1cAlice绝密敏感Bob机密敏感Carol普通普通Email_File秘密Telephone_Number_Book普通Personal_File绝密安全策略与安全模型Bell-LaPadula模型控制规则如下：不上读：主体当前密级不低于客体密级。不下写：主体当前密级不高于客体密级。

55安全策略与安全模型Bell-LaPadula模型的形式化描述有限状态机模型，形式化定义了系统、系统状态、及对系统状态和状态间的转移规则进行限制和约束.模型元素含义V表示所有的状态集合，vV由一个有序的三元组（b,M,f)表示。bSXOXA,S为主体集，O为客体集，A={r,w,a,e}是访问属性集。M是访问矩阵fF是安全级函数，记作f=(fs,fo,fc)56安全策略与安全模型Bell-LaPadula模型的形式化描述用R表示所有请求（输入)的集合:Get类：get-read/write/append/execute,release-read\write\append\execute,用于请求和释放访问。Give类：gives-read/write/append/execute,rescind-read\write\append\execute,实现一个主体对另一个主体的授权或取消授权。Change-object-security-level类

包括Change-object-security-level、create-object。用来改变客体的安全级或创建客体。Delete-object-group类

仅Delete-object-group，用来删除一个或一组客体。Change-subject-current-security-level类，改变主体当前等级。57安全策略与安全模型Bell-LaPadula模型的形式化描述安全系统定义状态转换规则：

：RXV→DXV,其中：R为请求集，V为状态集，D为判定集，判定“yes”表示请求被执行，”no”表示请求被拒绝，“error”表示有多个规则适用于这一请求状态对，“?”表示该规则不能识别该请求。一个系统实际上由初始状态z0V、输入序列、输出序列和判定序列系统组成，形式化表示成：当且仅当对于所有的i,(di,zi)=(ri,zi-1)58安全策略与安全模型基本安全定理：如果系统状态的每一次变化都满足SSP、*特性和DSP特性，那么在系统的整个状态变化过程中，系统的安全性一定不会被破坏。Bell-LaPadula模型的形式化描述基本安全定理综合了安全简单特性（SSP)\*-特性\自主安全特性(DSP).访问向量（s,o,p)SXOXA相对于安全级函数f称为具有简单安全特性，如果下列条件成立：p=a或e；p=r或w,且fc(s)≥fo(o)主体s的安全性在控制客体的安全性时，才允许进行读访问。一个状态（b,M,f)如果b的每个元素相对于f都具有SSP,则称（b,M,f)满足SSP.59安全策略与安全模型Bell-LaPadula模型的形式化描述访问向量（s,o,p)SXOXA相对于安全级函数f称为具有*-特性，如果下列条件成立：p=r或e；p=a或w,且fs(s)≤fo(o)主体s的安全性只有不超过客体的安全性时，才允许进行写访问。一个状态（b,M,f)如果b的每个元素相对于f都具有*-特性,则称（b,M,f)满足*-特性.一个状态（b,M,f)称为满足自主安全特性（DSP），如果对每一个访问向量（s,o,p)b,则有pM[s,o]。

一个系统称为满足DSP，如果它的每一个状态均满足DSP。60安全策略与安全模型Bell-LaPadula模型的形式化描述一个状态（b,M,f)称为满足自主安全特性（DSP),如果对每个访问向量（s,o,p)b,都有pm[s,o].一个系统（状态）称为是安全的，如果它满足SSP\*-特性和DSP.定理定理1：从SSP初始状态z0出发系统总具有简单安全特性，当且仅当对于的每一个实现和每个正整数iN,zi-1=(b,M,f)和zi=(b’,M’,F’)满足：（s,o,p)b’-b,相对于f’满足SSP;若（s,o,p)b相对于f’不满足SSP,则（s,o,p)b’;61安全策略与安全模型Bell-LaPadula模型的形式化描述定理2：从*-特性初始状态z0出发系统总具有*-特性，当且仅当对于的每一个实现和每个正整数iN,zi-1=(b,M,f)和zi=(b’,M’,f’)满足：（s,o,p)b’-b,相对于f’满足*-p;若（s,o,p)b相对于f’不满足*-p,则（s,o,p)b’;62安全策略与安全模型Bell-LaPadula模型的形式化描述定理3从DSP初始状态z0出发系统总具有DSP，当且仅当对于的每一个实现和每个正整数iN,zi-1=(b,M,f)和zi=(b’,M’,f’)满足：（s,o,p)b’-b,满足DSP;若（s,o,p)b不满足DSP,则（s,o,p)b’;基本安全定理：系统如满足定理1、定理2、定理3的条件，则该系统是安全的。63安全策略与安全模型BLP模型不足只处理秘密性没有考虑完整性、包含隐通道、没有制定修改访问控制权限的策略，可信主体权限过大等。这与它设计的初衷只是为了处理权限相对固定、只关心秘密级别的情况有关。增强动态安全控制？如时间属性？如会话/代理特性？64安全策略与安全模型Biba（毕巴）模型Biba模型是在bell-lapadula模型之后开发的，与bell-lapadula模型不同很相似，被用于解决应用程序数据的完整性问题。Biba模型能够防止数据从低完整性级别流向高完整性级别，Biba模型有三条规则提供这种保护:星完整性规则（*-integrityaxiom）,表示完整性级别低的主体不能对完整性级别高的客体写数据。简单完整性规则（simpleintegrityaxiom）,表示完整性级别高的主体不能从完整性级别低的客体读取数据。恳求属性规则（invocationproperty）。表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。这就保证低完整性的主体不会去调用某个高完整性客体的清除工具清除该客体的数据。65安全策略与安全模型BIBA模型规则1：“写”操作的实施由下面（1）控制；“执行”操作的实施由下面的规则（2）控制：（1）当且仅当I(O)<=I(S)时，主体S可以“写”客体O；（2）当且仅当I(S2)<=I(S1)时，S1可以“执行”S2.规则2：（BIBA低水标模型）

Imin=min(I(O),I(S)),S在“读”操作后，主体S的完整性级别被调整为Imin.规则3：（BIBA环模型）不管完整性级别如何，任何主体都可以读任何客体。BIBA严格完整性模型（规则4与规则1）规则4：当且仅当I(S)<=I(O)，主体可以读客体O。安全策略与安全模型6667HighIntegrityHighIntegrityMediumIntegrityMediumIntegrityLowIntegrityLowIntegrity主体客体星完整性规则（*-integrityaxiom）和恳求完整性规则（invocationproperty）生效，此时主体对客体可读不可写（nowriteup）,也不能调用主体的任何程序和服务；主体对客体可写可读；简单完整性规则（simpleintegrityaxiom）生效，此时主体对客体可写不可读(noreaddown)；安全策略与安全模型BLP模型安全策略与安全模型68访问控制策略用户访问管理策略用户注册权限管理用户口令管理用户访问权限检查用户责任口令的使用无人值守的用户设备69安全策略与安全模型访问控制策略网络访问控制网络服务的使用策略实施控制的路径外部联接的用户身份验证节点验证远程诊断端口的保护网络划分网络连接控制网络路由控制网络服务安全70安全策略与安全模型访问控制策略操作系统访问控制终端自动识别功能终端登录程序用户身份识别和验证口令管理系统系统实用程序的使用保护用户的威胁报警终端超时连接时间限制71安全策略与安全模型访问控制策略应用程序访问控制信息访问控制敏感系统隔离监控系统的访问和使用事件日志记录监控系统的使用移动计算和远程工作BYOD设备信息不损坏，采用正式策略文件，考虑BYOD设备的工作风险以及风险评方法。防止BYOD设备盗窃和信息盗窃、非法公开信息，对组织内部系统进行远程非法访问或滥用设备的行为。72安全策略与安全模型针对策略的描述、转换、措施的部署是研究的热点（refinement)。策略的描述策略转换措施自动部署策略与措施一致性分析规则相容性73安全策略与安全模型配置傻瓜化操作过程可视化路径清晰化计算机网络防御策略描述语言研究解决思路研究计算机网络防御策略的组成和划分，以及策略到规则的自动代换方法，并建立计算机网络防御策略模型。根据策略模型，研究并设计一种抽象网络防御控制行为的描述语言，具体包括词法设计、语法设计和语义设计。将策略转化为防御节点的规则。74安全策略与安全模型计算机网络防御策略描述语言研究防御策略模型基于or-BAC的基础上，抽象网络防御控制行为，建立CNDPM；对保护、检测、响应进行统一描述引入角色、视图、活动的自动分配方法9种实体、10种关系，策略和规则的实体通过谓词建立关联，从而实现策略的推导。75安全策略与安全模型策略的形式化描述策略（policy）可以形式化描述成六元组：POLICY::=<org,r,a,v,c,m>其中，

策略中各实体存在偏函数关系：76安全策略与安全模型具体规则（rule）指主体对客体允许、不允许的动作或对不良行为的响应的声明。规则形式化描述为五元组：RULE::=<org,s,,o,m>

其中：

表示组织org中主体s对客体o的动作

应用措施m。77安全策略与安全模型任何组织定义的任一角色、雇用的任一主体，如果主体具有此角色含有的特性，则该组织雇用的主体可以作为该角色。78安全策略与安全模型策略到具体规则的推导任何一条策略中，如果组织雇用主体s为角色r，使用客体o为视图v，考虑动作

为活动a，并且s，o和

处于上下文c中，则组织中的主体s对客体o的动作

应用措施m。79安全策略与安全模型计算机网络防御策略描述语言研究计算机网络防御策略描述语言的设计目标是：丰富的表达能力，面向CNDPM模型，表示各种保护、检测和响应策略；简洁灵活性，语法形式简单、形象直观；实现无关性，自动解析成具体执行部件所规定的防御规则；一定的可扩展性，可以方便地对其扩展以表示更多的策略。80安全策略与安全模型计算机网络防御策略描述语言研究下面给出CNDPSL的EBNF范式。<cndpsl>::=<语句块>|<cndpsl><语句块><语句块>::=<组织声明>|(<组织名>|<组织声明>)<策略语句块>|<组织名><策略>|<策略信息显示><策略语句块>::=‘{’<策略语句>{<策略语句>}‘}’<策略语句>::=<角色语句>|<toview>|<视图语句>|<活动语句>|<策略>|<上下文>81安全策略与安全模型计算机网络防御策略描述语言研究<策略>::=(policy|delete_policy)<措施><角色名><活动名><视图短语>(<上下文名>|default)其中视图可以通过角色的转化得到，语法如下：<视图短语>::=<视图名>|<toview>toview::=toview‘(’<角色名>‘)’//角色到视图的转化82安全策略与安全模型计算机网络防御策略描述语言研究<措施>::=<保护措施>|<检测措施>|<响应措施><保护措施>::=<encrypt>|permit|deny

<检测措施>::=detect_PasswordCracker|detect_ICMPFlood|detect_SYNFlood|detect_UDPFlood|detect_Slammer|detect_IPSpoof||detect_Smurf|any

<响应措施>::=prohibit_source|patch|reboot|disconnect|stop_service防御措施不限于已列举的措施，可以根据需要增加相应的描述，从而实现完备性。例如，保护可以增加对身份认证等的描述，检测措施可以增加对新攻击的检测，而响应可以添加攻击源定位等的描述。83安全策略与安全模型计算机网络防御策略描述语言研究84安全策略与安全模型解决效果防御策略描述语言可以按需求描述防御策略，防御策略由防御策略描述语言解释器按照防御策略模型的语义进行正确解释，策略引擎能按模型的规则进行正确的推导，最后转化为防御规则，部署在防御节点中。为计算机网络攻防演练提供了防御策略支持。85安全策略与安全模型防御策略外网能访问服务器中开放的服务；外网还能访问httpserver的无连接服务；内网可以访问外网；内网必须检测口令窃取攻击，同时Domain_B中还要检测蠕虫；对一切攻击，必须及时切断攻击源。86安全策略与安全模型用CNDPSL描述如下：orgbluesu