《信息系统安全》第二章信息安全模型作业

1.谈谈对格的认识。

在数学中，格是其非空有限子集都有一个上确界和一个下确界的偏序集合。其中重要的有两个重要概念，确界和偏序集。偏序集<A, R>是指非空集合A和A上的偏序关系R，偏序关系是指R满足自反性、反对称性和传递性，一般记为≤。而在偏序集中存在特殊元素最小元和最大元，称之为上确界和下确界。同时满足上述概念，即可称之为格。而从向量空间的概念上看，格可以理解为系数为整数的向量空间。

2.分别阐述安全需求、安全策略、安全系统、安全机制和安全模型的基本概念。

·安全需求：指在设计一个安全系统时期望得到的安全保障。个人隐私、商业机密、军事安全、防假冒、防篡改、可审计等都可能成为不同系统的安全保护侧重点。

·安全策略：针对面临的威胁和目标而制定的一整套行动规则。由组织的安全权力机构建立，并由具体的安全控制机构定义、描述、实施或实现。通常以授权为基础，如以身份为基础的安全策略、以规则为基础的安全策略、以角色为基础的安全策略等。

·安全系统：一个达到了预设时所制定安全策略要求的系统。只能以授权的方式进入系统的初始状态，且在运行过程中不能进入未经授权的状态。系统的安全与否是一个动态过程。当出现新的、未预期的安全威胁，或者有了更加严格的安全需求，则安全系统就会破裂（breach）。

·安全机制：实施全部或部分安全策略的具体技术或方法。OSI安全体系结构提出了认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务等五种安全服务。对应安全需求，有包括加密、数字签名、访问控制、数据完整性、认证、业务流填充、路由控制和公证等八类安全机制。

·安全模型：对安全策略的抽象和无歧义的（形式化）描述，指制定的一组关于信息的使用、保护和分发的安全规则。通过对系统的使用方式、使用环境类型、授权定义、受控共享等因素的综合，给出系统的形式化定义。

3.访问控制模型有哪几类？分别有什么特点？

分为自主访问控制模型、强制访问控制模型和基于角色访问控制模型。

1）自主访问控制模型（Discretionary Access Control，DAC）

是最常见的一类模型，基于客体—主体之间的所属关系，并根据这种关系限制主体对客体的访问。其基本思想史将用户作为客体的拥有者，并有权自主地决定那些用户可以访问他所拥有的客体

优势

灵活性较好：主体可以随时在自身拥有访问权限的范围自主的决定是否向其他主体授权，无需等待系统管理员的同意；

易用性较高：原理简单，容易实现；

伸缩性较强：基于矩阵访问控制，可方便的增加或减少主体与客体的数量以及访问的权限。

不足

安全程度低：容易出现信息泄漏、篡改数据和越位授权等严重安全问题；

权限动态变化：授权的传递性会使得“特洛伊木马”攻击成为可能；

管理权分散：缺乏统一的安全管理标准，容易出现安全悖论（即保护了可以公开的数据，泄露了应该保护的数据）；

不适合大型系统：当主体、客体数量较大时，系统开销会急剧增加。

2）强制访问控制模型（Mandatory Access Control，MAC）

是指在DAC的基础上提出的、能够为数据提供较高强度保护的一类安全模型。是根据客体中信息的敏感程度和访问敏感信息的主体的安全级别，对客体的访问实行限制的一种方法。

特点

对客体施加了更严格的访问控制，因而可以防止特洛伊木马之类的程序偷窃；

可以预防意外泄漏机密信息，但是无法防止恶意泄漏信息；

无法同时实行信息的机密性和完整性控制；

实行严格的访问限制，因而影响了系统的灵活性。

3）基于角色的访问控制模型（Role-Based Access Control，RBAC）

实现了用户与访问权限的逻辑分离，更符合企业的用户、组织、数据和应用特征。核心思想是将权限与角色联系起来，在系统中根据应用的需要为不同的工作岗位创建相应的角色，同时根据用户职责指派合适的角色，用户通过所指派的角色获得相应的权限，实现对文件的访问。

特点

基于角色的访问控制；

权限同角色关联，并且角色更为稳定；

用户和适当角色关联；

根据用户在活动性质确定其角色，并在用户访问系统时，只能访问和操作由角色权限所限制的客体；

一个用户可以充当多个角色，一个角色也可以由多个用户担任。只需变更用户的角色就可以改变其拥有的权限；

便于实现授权管理、安全“三原则”（即最小特权原则、责任分离原则、数据抽象原则）及文件分级管理；

是一种中立的访问控制策略。

4.阐述HRU模型定义的六个基本操作。

1）create subject s

即创建主体。须满足创建前s不存在于主体集（访问矩阵列元素）中，创建后主体集和客体集（访问矩阵行元素）中均有s存在。在添加了s的访问矩阵相应行列位置进行初始化，并更新原有访问矩阵。

2）create object o

即创建客体。须满足创建前o不存在于客体集中，创建后客体集中有o存在。在添加了o的访问矩阵相应列的每行进行初始化，并更新原有访问矩阵。

3）destory subject s

即删除主体。须满足删除前s存在于主体集中，删除后主体集和客体集中均无s存在。对去掉了s的访问矩阵相应行列位置置空，并更新原有访问矩阵。

4）destory object o

即删除客体。须满足删除前o存在于客体集中，删除后客体集中无o存在。对去掉了o的访问矩阵相应列的每行置空，并更新原有访问矩阵。

5）enter r into a[s, o]

即添加权限。须满足添加前s存在于主体集中、o存在于客体集中，创建后保持。在访问矩阵中添加权限r，并更新原有访问矩阵。

6）delete r from a[s, o]

即删除权限。须满足添加前s存在于主体集中、o存在于客体集中，创建后保持。在访问矩阵中删除权限r，并更新原有访问矩阵。

5.请总结归纳BLP模型的基本思想和主要特性。

1）基本思想是通过分级保证系统机密性，确保信息不会从高等级流向低等级。执行“向上读向下写”的访问控制策略。其执行结果是所有数据只能从低向高流动，从而保证了信息不被泄露。

2）主要特性包括自主安全性、简单安全性、星特性。

·自主安全性（discretionary-security property）:表示使用访问矩阵来描述自主访问控制。若没有强制检查，只要有授权主体就可以访问相应的客体。

·简单安全性（simple-security property）:声明主体不能读取处于比主体更高安全级别的客体。

·星特性（*-property）:表示主体不能向自己安全级别低的客体写入。

6.Biba有哪几种安全策略？分别有什么特点？

有低水标策略、环策略、严格完整性策略三种安全策略。

·低水标策略（Low-Watermark Policy）

无论主体或客体，只要被低等级信息所污染，就会自动降低其完整性级别。即对于主体，当其读了比它安全级别低的客体，那么它的安全等级将降低；对于客体，若当其被比它安全级别低的主体所修改，那么它的安全等级将降低。由于主体的完整性等级是非递增的，所以，主体可能很快就不能访问完整性等级较高的客体了。

·环策略（Ring Policy）

任何主体可以读取任何客体，不需要考虑它们的完整性等级。它仅阻止了直接修改操作，对主体和客体不做任何记录，因而对完整性的保证度不高，但提高了系统灵活性。它解决了低水标策略中主体完整性级别很快降至最低的问题，但又面临高完整性等级的主体被低完整性等级的客体“污染”的问题。为此，主体在读客体数据时，必须自己控制并净化低完整性级别的数据，以保证不会由于读入这样的数据而影响其它客体的完整性。

·严格完整性策略（Strict Integrity Policy）

即简单完整性策略，仅当客体等级不大于主体时，主体可以写入客体；完整性*-策略，主体的可写客体等级不大于可读客体；调用策略，主体仅可调用大于等于其等级的主体。即不下读、不上写。

7.阐述Clark-Wilson模型的基本思想和主要内容。

其基本思想为用程序而不是安全级别来标记主体和客体，并且将程序作为主体和客体之间的中间控制层。

其访问控制方式为定义可访问特定数据项(数据类型)的操作，定义主体(角色)可实施的访问操作。定义了约束性数据项（CDI）和非约束性数据项（UDI）两类数据项、完整性验证过程（IVP）和转换过程（TP）两组过程、验证规则（CR1 ~ 5）和执行规则（ER1 ~ 4）两组保障措施。

CDI：指从属于其完整性控制的数据；UDI：指不从属于完整性控制的数据；CDI集合和UDI集合是模型系统中所有数据集合的划分。一系列完整性约束限制着CDI的值。

IVP：一种需要进行对CDI是否符合完整性约束检验的过程。当运行这样的过程时，需要对CDI数据进行完整性检验，只有符合完整性检验，则称系统处于有效状态。TP：一种能够将系统数据从一个有效状态转换为另一个有效状态。TP实现的是良定义的事务处理。

CR：由系统管理者、系统的拥有者行使这些规则，验证CDI是否符合完整性约束要求。定义了系统的安全属性，说明了为使安全策略符合应用需求而应该进行的检查。ER：由系统行使这些规则，以保证事务处理过程的正确性。用于描述应实施安全策略的系统内部的安全机制，这些规则与BLP中的自主访问控制类似。

其中，CR1、CR2和ER1三条规则可用于保障系统内部的一致性，而ER2、CR3、ER3、CR4和ER4五条规则用于保障职责分离原则的贯彻实现。

8.阐述“中国墙”模型的简单安全属性和星属性。

1）简单安全属性（SS）

一个主体s可以读一个客体o，需满足下列条件之一：

$\exists o'\in PR(s)\wedge CD(o')=CD(o)$ ，即在包含o的公司数据集CD(o)中存在另一客体o’，其中CD(o)是s曾经读取过的客体集合与包含o'的公司数据集的交集；
$\forall o' \in PR(s)\rightarrow COI(o')\neq COI(o)$ ，即s曾经读取过的客体集合中的任意客体o'都满足o'的利益冲突类与o的不相同；
$o \in H(o)$ ，即要访问客体o存在于对各方利益都不会造成损害的客体集合中。

2）星属性（*）

一个主体s可以写一个客体o，当且仅当同时满足以下两个条件：

简单安全属性允许s读o；
$\forall o'\notin H(o), R(s, o')\rightarrow CD(o') = CD(o)$ ，即对所有不存在于对各方利益都不会造成损害的客体集合中的客体o'，s可对o'进行读操作，可推导包含o'公司数据集和包含o的相同。

9.简述RBAC模型组成和不同层次之间的关系。

RBAC模型由角色（Role）、用户（User）、组（Group）和权限（Privilege）四个部分组成。

User：是一个可以独立访问计算机系统中的数据或者用数据表示的其它资源的主体。一般情况下，用户是指人，也可以是某个智能体，如计算机、程序、机器人。

Privilege：是对某个客体（数据或其他资源）的特定的访问方式。权限可以有不同的形式和粒度，如可以访问这个网络或者只可以读某个文件。

Role：是指组织或任务中的某项工作或某个位置，代表了一种资格、权利和责任。在RBAC中，角色又作为一个用户与权限之间的代理，隔离了权限和用户的关系，所有的授权应该给予角色而不是直接给用户或组。角色是一组用户的集合 + 一组权限的集合。

Group：是用户的集合。若组被指派了某个角色，则组的所有成员都继承这个角色，并拥有这个角色的权限。

在一个成熟的组织中，角色的数量相对较少且比较稳定；用户和权限的数量则会很多，且变化很快。通过角色来控制访问，从而简化管理和访问控制检查。

角色体现了从事一项工作所需要的权限和责任；只要用户被指派某个角色，用户就会拥有该角色的权限；权限只与角色相关，只需更改用户的角色就可以很容易变更其权限；角色控制相对独立，可以根据需要使某些角色接近DAC，另外某些角色接近MAC。由上述可知，用户与角色之间和角色与权限之间都存在多对多对应关系，因而可推断用户与权限之间也存在多对多关系。

初学者作业，对问题叙述较为简单浅显，仅作为学习过程记录。

欢迎指正与讨论！