cha：计算机安全策略

计算机安全CH2：计算机安全策略12/21/20222提要系统的安全需求安全策略的定义安全策略的分类安全策略的形式化描述安全策路的选择访问控制的属性安全策略及其分类访问控制策略访问支持策略12/21/20223信息安全与保密的结构层次物理安全安全控制安全服务12/21/20224物理安全是指在物理介质层次上对存储和传输的网络及信息的安全保护，它是网络及信息安全的最基本的保障，是整个安全系统不可缺少和忽视的组成部分。该层次上的不安全因素主要有：（1）自然灾害、物理破坏、设备保障（2）电磁辐射、乘机而入、痕迹泄露（3）操作失误、意外泄露12/21/20225安全控制是指在网络及信息安全中对存储和传输信息的操作进行控制和管理。重点是在信息处理层次上对信息进行初步的安全保护。可分为三个层次：（1）操作系统的安全控制（2）网络接口的安全控制（3）网络互联设备的安全控制安全控制主要通过现有的操作系统或网管软件、路由器配置等实现，只提供了初步的安全功能和信息保护。12/21/20226安全服务是指在应用层次上对信息的保密性、完整性和资源的真实性进行保护和鉴别。以满足用户安全需求，防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有系统的安全漏洞。

12/21/20227安全服务主要包括安全机制：是用来预防、检测和从安全攻击中恢复的机制，是安全服务乃至整个安全系统的核心和关键。安全协议：是多个实体为完成某些任务所采取的一些列有序步骤。协议特点：预先建立、相互同意、非二义性和完整性。12/21/20228安全连接：是在安全处理前网络通信双方之间的连接过程，主要包括会话密钥产生、分发和身份验证。安全策略：是决策的集合。它集中体现了一个组织对安全的态度。确切地说安全策略对于可接受的行为以及对违规作出何种响应确定了界限。安全策略是安全机制、安全连接和安全协议的有机结合，是信息系统安全性的完整解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。12/21/20229安全需求大多数安全策略考虑的是机密性、完整性、可记账性、可用性这四项要求，但其侧重点各有不同。例如：军事安全策略侧重于信息的机密性要求商用安全策略则偏重于信息的完整性与可记账性电信部门侧重于系统的可用性然而，仅考虑某一方面的需求是远远不够的，还应当均衡考虑。系统的安全需求的内容机密性（confidentiality）：防止信息泄露给未授权的用户。完整性（integrity）：防止未授权的用户对信息的修改。可记账性（accountability）：防止用户对访问过的信息或执行的操作予以否认。可用性（availablity）：保证授权用户对系统信息的可访问性。12/21/202210信息的机密密性需求美国国防部部在1985年12月发布了了可信计算算机评估标标准（TCSEC，，“桔皮书书”）对信信息的机密密性做出了了具体的要要求。提出出了“强制安全策策略(MAC)”的要求，，即系统中中所有的信信息必须按按照其敏感感性等级和和所属部门门分类，而而系统中的的所有用户户也加以分分类，以使使他们仅能能访问那些些“需要知知道”的信信息。强制安全策策略也可用用于非军事事部门。12/20/202211信息的机密密性需求另一种用于于民用目的的的安全策策略是“自主安全策策略(DAC)”，即每个个信息有一一个所有者者，它可以以决定是否否允许其他他用户或进进程对此信信息进行访访问。12/20/202212信息的完整整性需求指维护系统统资源在一一个有效的的、预期的的状态，防防止资源不不正确、不不适当地修修改，或是是为了维护护系统不同同部分的一一致性。主主要目的是是防止在涉涉及到记账账或审计的的事件中舞舞弊行为的的发生。12/20/202213信息的可记记账性需求求目的是为了了知道用户户执行了什什么操作，，是谁执行行了该操作作等。这对对知晓系统统破坏的程程度、恢复复丢失信息息、评估系系统安全性性以及为对对系统造成成严重破坏坏的民事赔赔偿或法律律诉讼提供供依据。12/20/202214信息的可用用性需求是为了保证证系统的顺顺利工作，，即保证已已获得授权权的用户对对系统信息息的可访问问性。12/20/20221512/20/202216安全策略所谓安全策略，简单地说，，就是用来描描述用户对安安全的要求。。在计算机安安全领域内，，说一个系统统是“安全系系统”，其““安全”的概概念就是指此此系统达到了了当初设计时时所制定的安安全策略的要要求。12/20/202217安全策略对于一个信息息系统而言，，其安全策略略的制定依据据如下：信息的机密性性、完整性与与可用性什么人可以以以何种方式去去访问什么信信息根据什么来制制定访问决策策，例如是根根据用户的ID号呢？还还是依据用户户的其它什么么特征是要最大化的的共享，还是是要实现最小小特权是否要实行任任务的分离对涉及到系统统的安全性属属性的操作是是实行集中管管理，还是实实行分散管理理……安全策略的分分类安全策略：是是关于信息系系统安全性最最高层次的指指导原则，是是根据用户的的需求、设备备情况、单位位章程和法律律约束等要求求制定的。在企事业单位位信息系统的的每一个层次次，从管理活活动到硬件保保护都要做出出安全性决策策，其中包括括企事业级安安全决策、行行政管理方面面的安全决策策、有关数据据处理设备及及运行环境的的安全策略。。12/20/202218如“职工的奖奖金数量不公公开”是企事事业级的安全全决策；“职职工的表现记记录在数据库库中保存3年年”是行政决决策；“修改改计算机设备备中的应用程程序至少需要要两位领导的的同意”是设设备决策；““保护存储器器要以2048B为单位位”是操作系系统决策等。。12/20/202219安全策略是决决策的集合，，是对于可接接受的行为以以及应对违规规做出何种响响应确定了界界限。安全策略是对对一个系统应应该具有的安安全性的描述述，只有当一一个系统与安安全策略相称称，也就是说说该系统能够够满足对它的的安全要求，，这个系统才才是安全的。。12/20/202220大多数安全策策略都考虑上上述四点要求求：机密性要求完整性要求可记账性要求求可用性要要求12/20/20222112/20/202222安全策略略的分类类基于信息息系统安安全策略略的定义义和内涵涵，我们们将其分分为两大大类：访问控制制策略(AccessControlPolicy)：基基于安全全策略内内涵的机密性和和完整性性要求，它它确立相相应的访访问规则则以控制制对系统统资源的的访问访问支持持策略(AccessSupportingPolicy)：基基于安全全策略内内涵的可记账性性要求和和可用性性要求。由由于它是是以支持持访问控控制策略略的面貌貌出现的的，故称称为访问问支持策策略。12/20/202223访问控制制（AccessControl）定义：是指对对主体访访问客体体的权限限或能力力的限制制，以及及限制进进入物理理区域（（出入控控制）和和限制使使用计算算机系统统和计算算机存储储数据的的过程（（存取控控制）。。访问控制制的目的：为了保保障资源源受控，，合法的的使用，，用户只只能根据据自己的的权限大大小来访访问资源源，不能能越权访访问。同同时访问问控制也也是记帐帐、审计计的前提提。访问控制制（AccessControl）访问控制制是计算算机保护护中极其其重要的的一环，，它是在在身份识识别的基基础上，，根据身身份对提提出的资资源访问问请求加加以限制制。12/20/20222412/20/202225一些重要要的访问问控制策策略：1、最小权限限策略：信息限限于给那那些完成成某任务务所需者者。2、最大共享享策略：是使存存储的信信息获得得最大的的应用。。3、访问的开开放与封封闭：在封闭闭系统中中，仅当当明确的的授权时时才允许许访问，，在开放放系统中中，则要要求除非非明确的的禁止，，访问都都允许。。前者较较安全，，是最小小权限策策略的基基本支持持，后者者费用较较少，应应用于采采用最大大共享策策略的场场合。12/20/2022264、离散访问问控制：它是根根据请求求的主、、客体名名称作出出可否访访问的决决策，又又称名称称相关访访问控制制。因为为不需要要依据数数据库中中的数据据内容就就能作出出决策，，有时也也称为内内容无关关访问控控制。5、自主访问问控制：客体的的属主可可以自主主地决定定哪个用用户能够够访问他他的资源源。12/20/2022276、强制访问控控制：主体和客客体都有固固定的安全全属性，这这些安全属属性都刻画画在主、客客体的安全全标记中。。安全标记记是根据安安全信息流流对系统中中的主、客客体统一标标定的。可可否访问的的决策是依依据请求访访问的主、、客体统一一制定的，，又称为非非离散访问问控制。它它远比离散散访问控制制安全，但但实现起来来较困难。。12/20/2022287、内容相关及及其他访问问控制：内容相关：：访问与否否与客体当当前的数据据有关；上下文相关关：允许访访问条件是是数据集合合的函数；；时间相关：：允许访问问条件是系系统时钟的的函数；历史相关：：允许访问问条件是系系统先前状状态的函数数。12/20/202229访问控制的的属性一般来说，，在计算机机系统内和和访问控制制策略相关关的因素有有三大类：：主体(用户户)：就是指系统统内行为的的发起者，，通常是指指由用户发发起的进程程。客体(文件件、目录、、数据库等等)：指在计算机机系统内所所有的主体体行为的直直接承担者者。相应的可用用作访问控控制的主体体属性、客体属性。12/20/202230主体一般可分为为如下几类类：普通用户(User)：一个获得授授权可以访访问系统资资源的自然然人。在一一个计算机机系统中，，相应的授授权包括对对信息的读读、写、删删除、追加加、执行以以及授予或或撤销另外外一个用户户对信息的的访问权限限等等。对对某些信息息而言，此此用户可能能是此信息息的拥有者者或系统管管理员。信息的拥有有者(Owner)：一般情况下下，信息的的拥有者指指的是该用用户拥有对对此信息的的完全处理理权限，包包括读、写写、修改和和删除该信信息的权限限以及它可可以授权其其它用户对对其所拥有有的信息拥拥有某些相相应的权限限，除非该该信息被系系统另外加加以访问控控制。系统管理员员(SystemAdministrator)：为使系统能能进行正常常运转，而而对系统的的运行进行行管理的用用户。例如如在普通的的UNIX系统中，，ROOT用户即为为系统管理理员。12/20/202231客体总的来说，系系统内的客体体也可以分为为三大类：一般客体(GeneralObject)：：指在系统内以以客观、具体体的形式存在在的信息实体体，如文件、、目录等。设备客体(DeviceObject)：指系统内的设设备，如软盘盘、打印机等等。特殊客体(SpecialObject)：：有时系统内的的某些进程也也是另外一些些进程的行为为的承担者，，那么这类进进程也是属于于客体的一部部分。12/20/202232主、客体属性性另外，信息系系统的访问控控制策略除了了涉及到主、、客体之外，，还包括以下下几个因素：：将要访问该信信息的用户的的属性，即主体的属属性(例如，，用户ID号号或许可级别别等)；将要被访问的的信息的属性性，即客体的属属性(例如信信息的安全性性级别，信息息来源等)；；系统的环境或或上下文的属属性(例如某天的的某个时候，，系统状态等等等)。12/20/202233每一个系统必必须选择以上上三类相关的的属性来进行行访问控制的的决策。一般般来说，信息息安全策略的的制定就是通通过比较系统统内的主、客客体的相关属属性来制定的的。分别从以上几几类属性来对对访问控制策策略的基础进进行具体说明明，共分五个个方面：主体特征、客体特征、外部状况、数据内容/上上下文属性以及其他属性。12/20/202234主体属性(用用户特征)用户特征是系统用来决决定访问控制制的最常用的的因素。通常常一个用户的的任何一种属属性，例如年年龄、性别、、居住地、出出生日期等等等，均可以作作为访问控制制的决策点。。下面就是在在一般系统访访问控制策略略中最常用的的几种用户属属性：用户ID╱组组ID：用户访问许可可级别“需知”原则则(need-to-know)角色能力列表(CapabilityList)12/20/202235客体属性(客客体特征)在信息系统中中，除了主体体的属性被用用来作为访问问控制的条件件外，与系统统内客体(即即信息)相关关联的属性也也作为访问控控制策略的一一部分。一般般来说，客体体的特征属性性有如下几个个方面：敏感性标签：：由信息的敏敏感性级别和和范畴两部分分组成访问列表（accesslist）12/20/202236外部状态某些策略是基基于系统主客客体属性之外外的某些因素素来制定的，，例如时间、、地点或者状状态。另外外，，上上面面所所述述的的大大多多数数属属性性均均属属于于静态态信信息息，但但也也有有些些访访问问策策略略可可能能是是基基于于某某些些动态态信信息息。12/20/202237数据据内内容容/上上下下文文环环境境有些些访访问问控控制制策策略略可可能能基基于于数数据据的的内内容容。。例例如如，，用用户户Sunny可可能能不不被被允允许许看看到到那那些些月月薪薪超超过过15000RMB的的员员工工的的文文件件。。更为为复复杂杂的的访访问问控控制制策策略略可可能能是是基基于于上上下下文文的的，，这这在在数数据据库库系系统统中中经经常常用用到到。。使用用静静态态的的信信息息标标签签是是用用人人工工的的方方法法来来决决定定信信息息敏敏感感性性的的一一种种延延续续，，而而基基于于数数据据内内容容/上上下下文文的的动动态态访访问问机机制制则则被被认认为为是是取取代代静静态态标标签签的的一一种种潜潜在在的的方方法法。。12/20/202238访问问控控制制策策略略自主主访访问问控控制制(DiscretionaryAccessControlPolicy，，DAC)强制制访访问问控控制制(MandatoryAccessControlPolicy，，MAC)12/20/202239自主主访访问问控控制制策策略略自主主性性：它它允允许许系系统统中中信信息息的的拥拥有有者者按按照照自自己己的的意意愿愿去去指指定定谁谁可可以以以以何何种种访访问问模模式式去去访访问问该该客客体体。。一般般来来说说，，自自主主访访问问控控制制策策略略是是基基于于系系统统内内用用户户以以及及访访问问授授权权或或者者客客体体的的访访问问属属性性来来决决定定该该用用户户是是否否有有相相应应的的权权限限访访问问该该客客体体。。也也可可能能是是基基于于要要访访问问的的信信息息的的内内容容或或是是基基于于用用户户在在发发出出对对信信息息访访问问时时的的相相应应请请求求所所充充当当的的角角色色来来进进行行访访问问控控制制的的。。12/20/202240实际的计计算机系系统中，，自主访访问控制制策略由由一个三元组(S，O，A)表示，其其中S表示主体体，O表示客体体，A表示访问问模式。。当用户申申请以某某种方式式访问某某一个客客体时，，系统““引用监控控器”就根根据系统统自主访访问控制制策略来来检查主主、客体体及其相相应的属属性或被被用来实实现自主主访问控控制的其其他属性性。如果果申请的的访问属属性与系系统内所所指定的的授权相相同，则则授予该该主体所所申请的的访问许许可权，，否则则则拒绝该该用户对对此信息息的访问问。12/20/202241自主访问问控制策策略的优优点能够提供供比强制制访问控控制策略略更为精精细的访访问控制制粒度。。它能够够将所设设的访问问控制策策略细化化到具体体的某个个人。相对于强强制访问问控制策策略中的的访问模模式只能能是“读”和“写”两种而而言，自自主访问问控制策策略“自自主”的的优点还还表现在在它的访访问模式式的设定定非常灵灵活。例例如，我我们可以以将它设设为“每每隔一周周的周五五可以读读此文件件”或““只有读读完文件件1后才才能读此此文件””等等。。自主访问问控制策策略卓越越的灵活活性特征征使得它它适用于于各种各各样的操操作系统统和应用用程序，，因而使使得它在在各种情情况下得得到大量量的应用用。12/20/202242自主访问问控制策策略的缺缺点自主访问问控制策策略中危危害最大大的是它它不能防防范“特特洛伊木木马”或或某些些形式的的“恶意意程序””。例如，如如果某程程序中隐隐藏了““特洛伊伊木马””，此““特洛伊伊木马””一经用用户执行行，即可可将所有有属于他他的并且且只对他他的文件件在某一一目录下下生成一一份拷贝贝；与此此同时，，还将这这份拷贝贝设为系系统中所所有其他他用户均均可读。。如此一一来，这这些原本本属于该该用户的的、并且且只能他他自己读读的文件件如今已已变得众众人皆知知了。这这样，对对这些文文件的自自主访问问控制机机制就形形同虚设设。为解决此类类问题，在在系统内实实现自主访访问控制的的同时，利利用强制访访问控制策策略加强系系统的安全全性是必要要的。12/20/202243强制访问控控制策略在强制访问问控制机制制下，系统统内的每一一个用户或或主体根据据他对敏感感性客体的的访问许可可级别被赋赋予一个访问标签；同样地，，系统内的的每一个客客体也被赋赋予一敏感性标签签以反映该信信息的敏感感性级别。。系统内的的“引用监监视器”通通过比较主主、客体相相应的标签签来决定是是否授予一一个主体对对客体的访访问请求。。所谓“强制”，就是安安全属性由由系统管理理员人为设设置，或由由操作系统统自动地按按照严格的的安全策略略与规则进进行设置，，用户和他他们的进程程不能修改改这些属性性。12/20/202244强制访问控控制的实质是对系统当当中所有的的客体和所所有的主体体分配敏感性标签签（sensitivitylabel），用用户的敏感感性标签指指定了该用用户的敏感感等级或信信任等级，，也称为安全许可（clearance）；而而文件的敏敏感标签说说明了访问问该文件的的用户必须须具备的信信任等级。。在大多系统统内(例如如单域系统统，即一进进程只拥有有一个域)，主体只只有一个访访问标签，，而在有些些系统中(例如多域域系统，即即一个进程程拥有多个个域)，一一个主体可可能有多个个访问标签签(每一个个域的进程程拥有一个个标签，分分别代表着着不同的含含义)。12/20/202245强制访问控控制策略既既可以用来来防止对信信息的非授授权的篡改，又可以防防止未授权权的信息泄露。在一个特定定的强制访访问控制策策略中，标标签可以以以不同的形形式来实现现信息的完完整性和机机密性。例如在国防防部门，标标签可能是是“秘密””、“机密密”、“绝绝密”等等等；而在一一个企业内内，标签很很可能是““公共信息息”、“私私有信息””(为保证证信息的机机密性)，，或是“技技术信息””、“管理理信息”(为保证信信息的完整整性)；另另外，它还还可以表示示不同的部部门分工，，如“财务务部”、““人事部””、“技术术部”等等等，每个部部门的人只只能访问同同一部门的的信息。12/20/202246在强制访问问控制策略略中，其访访问三元组(S，O，A)与自主访问问控制策略略相同。但此三元组组内的访问问模式A与自主访问问控制策略略中的访问问模式有所所不同。后后者可以有有非常灵活活的形式，，而前者只只有两种，，即“读”和“写”。在不同的情情况下，其其访问控制制策略在形形式上有可可能表现不不同：例如如在有些情情况下(如如保证信息息的机密性性)，主体体对客体要要想拥有读读权限，当当且仅当主主体的访问问标签“高高于”客体体的敏感性性标签；而而在另外一一些情况下下(如保证证信息的完完整性)可可能正好相相反，即主主体要想读读访问客体体，其完整整性标签要要“低于””客体的完完整性标签签。12/20/202247强制访问问控制策策略的特特性强制访问问控制策策略最显显著的特特征是其其“全局性”(Global)和和“永久性”(Persistent)。“全局性性”的含含义是指指对特定定的信息息，无论论它处于于何地，其敏感感性级别别相同而“永久久性”的的含义则则是指对对特定的的信息，，无论在在何时其敏感性性程序相相同换句话说说，在强强制访问问控制策策略中，，无论何何时何地地，主、、客体的的标签是是不会改改变的。。这一特特征在多多级安全全体系统统中称为为“宁静性原原则”(tranquility)。12/20/202248强制访问问控制策策略的特特性对于一个个具体的的访问控控制策略略而言，，如果它它具有以以上两个个特征（（全局性性、永久久性），，那么其其标签的的集合在在数学上上必会形形成“偏偏序关系系”(partialorder)12/20/202249偏序关系系由于访问问标签的的集合具具有偏序序的关系系，因此此其集合合内的元元素之间间的比较较可以用用“支配配”关系系来描述述，在数数学上将将这种关关系以““≧”来来表示：：对两个符符合“偏偏序关系系”的元元素x和和y来说说，它们们之间只只存在三三种关系系，即x支配y(写作作x≧y)，y支配x(写作作y≧x)，x与y无无关(xy且yx)，，并且它它们在数数学上具具有三个个基本的的特征：：自反性(reflexivity)反对称性性(antisymmetry)传递性(transitivity)12/20/202250上述述三三种种基基本本的的特特征征，，用用““偏偏序序关关系系””来来表表示示如如下下(假假设设有有三三个个符符合合上上述述三三种种基基本本的的特特征征的的元元素素x、、y和和z)：：自反反性性(reflexivity)：：反对对称称性性(antisymmetry)：：传递递性性(transitivity)：：如果果在在访访问问控控制制策策略略中中，，访访问问标标签签集集合合中中元元素素间间的的关关系系与与上上述述三三种种特特征征之之一一不不符符，，则则强强制制访访问问策策略略的的两两大大特特征征““全全局局性性””和和““永永久久性性””必必有有一一个个要要遭遭到到破破坏坏，，从从而而使使得得该该访访问问控控制制策策略略不不能能从从根根本本上上防防备备““特特洛洛伊伊木木马马””或或恶恶意意程程序序的的攻攻击击。。12/20/202251自反反性性被被破破坏坏示示例例考虑虑在在一一个个访访问问控控制制策策略略中中，，主主、、客客体体的的访访问问标标签签分分别别是是““敏敏感感””和和““公公开开””中中的的一一个个，，并并且且指指定定除了了周周末末外外，系系统统内内的的““公公开开””的的主主体体可可能能访访问问““公公开开””的的客客体体，，这这就就造造成成了了同同一一访访问问级级别别的的标标签签不不能能总总是是支支配配其其本本身身，，即即，，这这与与““偏偏序序关关系系””中中的的““自自反反性性原原则则””相相违违背背，，使使得得强强制制访访问问控控制制策策略略中中的的““永永久久性性””特特征征遭遭到到破破坏坏；；12/20/202252反对对称称性性原原则则被被破破坏坏示示例例如果果访访问问控控制制策策略略指指定定““公公开开””的的主主体体可可在在每每周周末末访访问问““敏敏感感””客客体体，，则则访访问问标标签签““敏敏感感””在在周周末末前前支支配配标标签签““公公开开””；；而而在在周周末末，，访访问问标标签签““公公开开””支支配配标标签签““敏敏感感””，，但但这这两两个个标标签签并并不不相相等等，，即即并且且x1≠≠y1，，但但是是有有和和，，这这就就违违反反了了““反反对对称称性性””原原则则，，同同样样造造成成了了强强制制访访问问控控制制策策略略中中““永永久久性性””特特征征的的破破坏坏。。12/20/202253传递性性原则则被破破坏示示例类似地地，如如果在在一个个访问问控制制策略略中，，除了了使用用标签签“敏敏感””和标标签““公开开”外外，还还使用用了标标签““私有有”，，如果果“私私有””主体体可以以访问问“敏敏感””客体体，同同时““敏感感”主主体可可以访访问““公开开”客客体，，但是是如果果系统统内存存在有有某些些“公公开””客体体不能能被““私有有”主主体访访问，，即，，但但，，则违违反了了“传传递性性”原原则，，从而而造成成了强强制访访问控控制策策略的的“全全局性性”的的破坏坏。12/20/202254两种访访问控控制策策略的的关系系对于访访问控控制策策略而而言，，要么么是““强制制的””，要要么是是“自自主的的”，，二者者之间间没有有相交交的部部分。。如上所所述的的访问问控制制策略略使用用的主主、客客体访访问标标签由由于不不满足足“偏偏序””关系系，违违背了了强制制访问问控制制策略略的两两大主主要特特征之之一，，因此此不属属于强强制访访问控控制策策略，，但它它们却却是属属于自自主访访问控控制策策略。。12/20/202255两种访访问控控制策策略的的关系系进一步步而言言，一一个访访问控控制策策略是是强制制访问问控制制策略略，当当且仅仅当它它的访访问标标签集集合中中的元元素满满足““偏序序”关关系，，否则则它就就是自自主访访问控控制策策略。。强制访访问控控制策策略和和自主主访问问控制制策略略在功功能上上的最最大的的区别别在于于它们们是否否能够够防备备“特特洛伊伊木马马”或或“恶恶意””程序序的攻攻击。。12/20/202256如果在一个系系统内存在两两种强制访问问控制策略，，则该系统内内的主、客体体必有两类不不同的访问标标签，每一类类标签与一个个强制访问控控制策略相对对应。这时，，两类访问标标签之间可能能毫无关系，，但在同一类类访问标签之之间却必须满满足“偏序””关系。例如，一个系系统要同时保保证信息的机机密性和完整整性，就需要要有两类不同同的访问标签签。其中一类类用于保证信信息的机密性性，另一类用用于保证信息息的完整性。。12/20/202257访问支持策略略用来保障访问问控制策略的的正确实施提提供可靠的““支持”。一般来说，这这类安全策略略将系统中的的用户与访问问控制策略中中的“主体””联系起来。。例如用户必必须要经过““身份的合法法性认证”，，才能够成为为系统中的合合法用户的一一员（即访问问控制策略中中的“主体””），去访问问相应的资源源；或者在用用户进入系统统后，执行了了某些与其身身份不相称的的操作或非法法访问了它无无权访问的文文件，所有这这些都应记录录在册。12/20/202258访问支持策略略这些策略虽然然和基于主、、客体及其属属性的访问控控制策略不同同，但却为后后者的有效实实施提供“保保障和支持””，因此称之之为访问支持持策略。TCSEC中中，将系统的的访问支持策策略分为六类类：标识与鉴别、、可记账性、、可靠性、连连续保护、客客体复用、隐隐通道处理12/20/202259安全策略的选选择理想的安全系系统是能够同同时保持信息息的机密性、、完整性、可可记账性和可可用性，但是是实际上不可可能，也没必必要做到信息息的绝对安全全。在设计之前要要分析一下我我们当前面临临的主要危险险是什么？造造成的损失有有多大？然后后我们才能做做到有的放矢矢。12/20/202260安全策略的选选择一般来说，要要设计一个安安全的计算机机信息系统，，主要考虑其其对信息的机机密性与完整整性的保护（（也就是主要要考虑访问控控制策略），，其次才考虑虑信息的可用用性和可记账账性。因此，，访问控制是是设计安全计计算机系统的的主要目的，，在此基础上上，再加入对对用户的标识识与鉴别机制制和对审计等等策略的支持持。12/20/202261谢谢！！9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Tuesday,December20,202210、雨中黄黄叶树，，灯下白白头人。。。17:11:1117:11:1117:1112/20/20225:11:11PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2217:11:1117:11Dec-2220-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。17:11:1117:11:1117:11Tuesday,December20,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2217:11:1117:11:11December20,202214、他乡生生白发，，旧国见见青山。。。20十十二月20225:11:11下午午17:11:1112月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。。十二月月225:11下下午午12月月-2217:11December20,202216、行动出成成果，工作作出财富。。。2022/12/2017:11:1117:11:11