第一章
安全目标:
-
机密性:授权用户具有读权限 机密性就是不被别人看到: BLP、DG/UX
-
完整性:仅被授权实体可按所授权限进行修改 完整性就是不能被别人修改:Biba、CW
-
可用性:仅被授权实体可以访问
防御方法:
- 防止
- 阻碍
- 震慑,制止
- 偏斜,偏差
- 检测
- 恢复
安全原则:
- 最弱链接原则
- 适当保护原则:不是最大化安全
- 有效性原则
- 深度防御
- 晦涩的安全是不起作用的
银行的安全需求
-
安全保护客户的帐户主文件以及每天交易记录文件
-
系统的主要威胁来源于银行员工
-
帐簿式的防御过程已经演化升级、许同不停地补充新的措施
-
当交易金额比较大时需要2-3个授权人共同完成
-
需要有告警系统查询是否有不合理的交易量、非法交易模式
-
员工在休假期间不能访问、登陆银行系统
-
自动取款机的安全
-
交易过程中通过密码和PIN鉴别,防止来自外部和内部的攻击—做起来比想象的难得多
-
银行的电子系统本质上是**高价值**的信息系统
-
银行间转移数量巨大金额时的安全
-
交易的安全性;信用保证机制;信用卡的保护措施防御措施要包含密码的管理、访问控制、交易记录过程管理
空军基地的安全需求
•电子化的战争系统要具有复杂功能,主要目标是阻塞敌人雷达侦察自己,同时防止自己被阻塞
•反制措施,反-反制措施, 等等
•一系列未被发现和使用的欺骗措施
•要具有专用于战争中的洞察力
医院的需求
•医院采用的是基于Web的技术*,* 面临一些新的保障性问题*.*
•需保证药品目录不被修改、医生给病人的诊断记录不被修改
•医生在家里通过Web访问病人的医疗记录, 需要适当的电子鉴别措施和加密机制
•医疗系统应保证病人隐私,仅部分人员可以访问所有病人的记录
•护士可在任意时间访问本科室所护理的病人90天内的纪录
•护士调换科室后的访问控制
基于角色的访问控制
•患者的病历可被医学研究以匿名形式使用,但保证匿名性是比较困难的
•仅加密病人的名字是不够充分的,
–查询示例,“查看59岁、男性、在1966年9月15日锁骨折断的记录”
–该查询可锁定某领导人的信息
•当匿名措施不充分时,需要进一步、更严格的规则保障
第二章
操作系统提供的安全目标
1.允许多用户安全的共享单机:进程、内存、文件设备等的分离与共享
如何实现?–内存保护–处理器模式–鉴别-文件的访问控制
2.确保网络环境下的安全操作
如何实现? –鉴别–访问控制–安全通信 (利用加密手段)–记录日志 & 审计–入侵检测-恢复
内存保护模式
cpu模式
-
系统模式:可以执行任意指令、访问任意内存地址、 硬件设备、中断操作、改变处理器特权状态、访问内存管理单元、修改寄存器.
-
用户模式:受限的内存访问, 有些指令不能执行
不能:停止中断, 改变任意进程状态, 访问内存管理单元等
-
从用户模式转到系统模式的切换必须通过系统调用 (system calls
内核空间VS用户空间
- 操作系统的一部分运行在内核模式
- 操作系统的其它部分运行在用户模式,包括服务程序、用户的应用等
- root运行的进程可能在内核模式或用户模式
内核实现方法:单核 微内核
系统调用
从用户模式进入内核模式的系统程序
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZbcU7pyF-1578301991659)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105213456391.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SXRgME0b-1578301991661)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105213529280.png)]
用户的鉴别
密码系统中的深层次问题:
攻击单一账户:猜测密码
渗透到单一系统的任意账户:利用服务
渗透到任意系统的任意账户:盗版软件、利用匿名服务登入系统
拒绝服务攻击
第三章
文件的组织与权限表示
-
打开现存文件或创建新文件,内核向进程返回一个文件描述符
-
对内核而言,所有文件都是由文件描述符引用
-
运行二进制文件 执行 | 脚本文件 执行和读
-
权限位不是直接授权用户操作某程序,而是授权给用户可以使用相应的系统调用 :read() write()系统调用
-
文件的r:可读取此文件的实际内容
-
文件的w:可以编辑、新增或者修改文件的内容(但不含删除该文件)
-
文件的x:该文件具有可以被系统执行的权限
-
文件的suid位
suid:s出现在文件所有者的x权限上时,suid的特殊权限
执行此文件时,将进程的euid设置为文件的ruid
目录的组织与权限表示
-
目录的r:具有读取目录结构列表的权限
表示可以查询该目录下的文件名数据,可以利用ls命令将目录的内容列表显示出来
-
w:具有更改目录结构列表的权限:
- 新建新的文件与目录
- 删除已经存在的文件与目录(不论该文件的权限如何)
- 将已存在的文件或者目录进行重命名
- 转移该目录内的文件、目录位置
-
x:用户能否进入该目录成为工作目录的用途
有目录的执行位,才能操作相应的文件或目录
-
目录的权限不具有继承性,访问一个路径下的文件时,需要整个路径上的目录都有执行权限
-
硬连接:只有超级用户可以创建指向一个目录的硬连接
-
符号连接:任何用户可以创建指向目录的符号连接
-
读文件:文件的读权限,层层目录的读和执行权限。
-
在目录下改文件名、删除文件:目录的写+执行权限(不需要对文件有写权限) ????????????
-
运行可执行文件:需要文件的执行权限,层层目录的读和执行权限。
-
运行脚本文件:文件的读和执行权限,目录的读和执行
-
硬连接,删除时,需要找到文件的inode指针,对inode指针里的链接数进行修改,当硬连接数大于1的时候不能删除该文件。硬连接数为1的时候删除该文件。
读/home/abc/aaa.txt文件所需权限?删除/home/abc/aaa.txt需要什么权限?
读/home/abc/aaa.txt 目录 / /home /abc 具有读和执行权限
删除/home/abc:目录 abc 具有写权限
-
写文件 /d1/d2/f3: x on / and /d1 and /d2, w on f3 :想要对目录下文件进行操作就要对目录有执行权限
-
删除文件 /d1/d2/f3: x and w on /d1/d2, x on / and /d1 :删除文件需要对目录有写和执行权限
- 执行二进制文件 /d1/d2/f3:x on f3 and / and /d1 and /d1/d2,
- 执行脚本文件 /d1/d2/f3: r and x on f3, x on / and /d1 and /d2 :执行脚本文件需要对文件有执行和读权限
-
列出文件夹下的文件名字 /d1/d2s:x on / and /d1 , r on /d2s
-
删除空目录 /d1/d2:x on / and /d1, w on /d1
-
- 删除目录 /d1/d2, 里面有一个文件 /d1/d2/f3: x on / and /d1, w on /d1, w and x on /d2
-
删除目录/d1/d2, /d1/d2 里有一个子目录/d1/d2/d3, 子目录里有一个文件 /d1/d2/d3/f4: x on / , w and x on /d1, w and x on /d1/d2, w and x on /d1/d2/d3
-
- 新建文件夹 /d1/d2/d3, /d1/d2 存在,: x on / and /d1, x and w and r on /d1/d2
:新建文件夹需要读权限
-
将文件 /d1/d2/f3 改名为 /d1/d2/f4:改文件名,需要文件夹的w权限:x on / and /d1, w and x on /d2
-
创建一个硬连接 /d1/d2/f3, 指向 /d4/f5:/d2文件夹有写权限, f5文件有写权限:x on / and /d1 , x and w on /d2, r and x on /d4, w on f5
*:创建硬连接:第一个文件夹有写权限,第二个文件有写权限*
11.remove /d1/d2/f3, 是一个硬连接指向 /d4/f5 : /d2有wx权限,f5有w权限
x on / and /d1 , w and x on /d1/d2 , 对目录d2要有写和执行权限 r and x on /d4,w on f5对文件有写权限 才能修改连接数
-
创建一个符号连接 /d1/d2/f3, 指向文件夹 /d4
:目录d2有wx权限,f3有rx权限:
x on / and /d1 and /d2, w on /d2, r x on f3
-
14 读文件/d1/d2/f3/f5, /d1/d2/f3 是一个符号连接指向 /d4, /d4 包含一个文件 /d4/f5。
符号链接文件f3有rx权限,/d4有x权限,f5有r权限
x on / and /d1 and /d2
rx on f3 , rx on /d4 , r on f5
-
15 删除文件 /d1/d2/f3/f5, in the same setting as above
x on / and /d1 and /d1/d2 and /d4 , w on f3 and /d4
用户、主体和客体
1.用户访问文件:具体的操作由主体执行,主体是进程:主体访问文件时,需要知道其以哪个用户身份访问:real uid、effective uid、saveuid
| ruid | 我们是谁 |
|---|---|
| rgid | 在登录时取自口令文件中的登陆项 |
| euid | 用于文件存取许可权检查 |
| egid | 决定了对文件的访问权 |
| suid | 由exec函数保存 |
| sgid | 保存了euid和egid的副本 |
执行一个文件操作时,进程的euid就是ruid
2、Fork创建的进程,子进程和父进程的euid,suid,ruid相同
exec执行设置setuid位的程序,euid为root,ruid是登录用户id,suid为0或登录用户id
执行exec后,进程ID、父进程ID、ruid、rgid 保持不变
3、1)每个进程在进程表中都有一个记录项,每个记录项中包含一张 打开文件描述符,包含:
文件描述符标志
指向一个文件表项的指针
2)内核为所有打开文件维持一张文件表,包含:
文件状态标志:读、写、增写、同步等
当前文件位移量
指向该文件v节点表项的指针
进程的uid切换
第四章
UNIX访问控制的问题:
•设计系统时仅考虑单机上的用户共享系统, 未考虑网络攻击和软件bug
•粗粒度
–访问控制时取决于user id; 但, 该user可能运行多个程序 (一些程序是不可信的), 这些程序以同样的权限运行,如果每个程序拥有各自有限的权限会提高安全性
•root功能太强大
解决办法:
虚拟化限制:限制进程在有效空间内不影响其它进程;三种虚拟化技术
root权限分开
细粒度的、基于进程的强制访问控制:目的是更好的实现最小特权:分配一个程序其需要的权限,不同于按用户进行权限划分
虚拟化限制方法
操作系统级虚拟化
chroot
chroot 系统调用:改变当前进程和子进程到指定路径下的“根”目录,新的“根”目录受真正的root的文件系统约束
为什么要chroot?
- 限制被chroot的使用者所能执行的程序
- 防止使用者存取某些特定文件,如/etc/passwd
- 防止入侵者/bin/rm -rf/
- 提供guest服务
- 增进系统的安全
chroot好处
- 增加了系统的安全性,限制了用户的权力
- 建立了一个与原系统隔离的系统目录结构,方便用户开发
- 切换系统的根目录位置,引导Linux系统启动以及急救系统等
chroot缺点
-
仅root用户可运行chroot
应防止用户将一个setuid程序(如, 一个假的/etc/passwd 文件)放入一个特殊编制的chroot环境以避免受骗而获得高权限
-
chroot并非在所有系统上都完全安全
因为是root权限下的chroot环境,一旦攻破chroot会影响root安全
-
chroot环境也会影响其它进程和网络空间
-
chroot不能限制I/O、带宽、磁盘空间、cpu时间等资源
chroot原则
-
在chroot环境下以 non-root user 运行
-
正确的"放弃" 权限程序
利用"saved" uid在 non-root user 和 root 用户切换
利用无歧义函数setresuid() seteuid(), setreuid()
-
利用chdir显式进入jail
-
在jail环境中内容尽量少
-
尽可能让 root 管理jailed 文件
-
限制jail内文件和目录的权限
-
建立权限设置脚本
-
不要在jail环境存放 /etc/passwd 文件
-
在建立jail环境前关闭文件描述符
-
chroot配置了网络服务后,外部需要查看chroot环境的配置文件,从外部连接配置文件
-
chroot之前关闭文件描述符:
每个进程在进程表中都有一个记录项,每个记录项中包含一张打开文件描述符,包含:文件描述符标志、指向一个文件表项的指针。
dup函数,用来复制一个现存的文件描述符。
通过猜测文件描述符,即可使用已打开的文件,对已打开的文件进行读、写执行操作。
所以关闭文件描述符,能防止文件被非法操作
-
chroot环境下以non-root user运行:
因为仅root用户可运行 chroot。应防止用户将一个setuid程序(如, 一个假的/etc/passwd 文件)放入一个特殊编制的chroot环境以避免受骗而获得高权限
chroot并非在所有系统上都完全安全。因为是root权限下的chroot环境,一旦攻破chroot会影响root安全
-
正确的"放弃"权限:
程序利用"saved" uid在 non-root user 和 root 用户切换
利用无歧义函数setresuid() seteuid(), setreuid()。
-
利用chdir显式进入jall:
不进入jail文件夹,就没有进入虚拟环境。能通过虚拟环境进入外部的根目录。
-
尽可能让root管理jailed文件:
root管理文件,在系统更新、升级时,虚拟环境能自动升级,否则要手动单独升级。
root用户应用了很多管理方法,应利用系统的管理方法。
-
对比chroot和root能力划分两种管理方式,分析其应用场景和安全性。哪种方式安全性更高?
-
Chroot主要应用在启动时需要root权限,启动后不使用root或很少使用root的场景下。服务启动后,需要root权限的代码和主服务代码能够剥离开,适合使用chroot。
-
root能力位,应用于某能力位作用清晰,和其他服务的能力位非常明显的区分场景。比如kill能力,就是杀掉进程,root可以利用kill能力杀掉其他用户的进程。 root的进程管理、文件管理的能力位使用时还是需要注意安全性。
-
Chroot将进程限制在有限空间内,不影响其它进程。Chroot建立操作系统下的虚拟环境。在单核、单操作系统上运行多个虚拟服务。经过 chroot 之后,在新根下将访问不到旧系统的根目录结构和文件,这样就增强了系统的安全性。
-
Linux 内核将root权限分为多种能力。当把root的高权限授予某进程,普通用户运行时即可使用该高特权。对系统的影响也很大。
比如,给/bin/chown程序授予cap_chown能力,那么普通用户可以用/bin/chown程序更改任意文件的owner。
因此,在使用root的能力位的时候,要仔细考量什么情况下可以授予什么能力位,尽量减少普通用户使用root能力位的时间。如果root的能力位应用不当,会对系统造成更大的伤害。
FreeBSD jall
每个 jail 是一个运行于单机的虚拟环境 ,拥有自己的文件, 进程, 用户,超级用户. 在jail内部看起来和真实系统一样
虚拟机
虚拟指令集
root权限划分
每个进程有三个能力集 effective Permitted inheritable
4、在支持capability的linux系统中,CAP_SYS_MODULE、CAP_LINUX_IMMUTABLE能力的功能和使用方法。
系统引导时删除部分能力,会保护系统。如,保护系统工具和日志的完整性。
CAP_LINUX_IMMUTABLE能力,允许修改文件的IMMUTABLE和APPEND属性标志。系统启动时没有CAP_LINUX_IMMUTABLE能力,攻击者不能删除其攻击轨迹、不能安装后门工具、系统日志文件为“append-only” 、系统工具不被删除和修改。
CAP_SYS_MODULE能力,允许修改系统内核。如果系统启动时没有CAP_SYS_MODULE能力,攻击者不能修改系统的内核。系统内核被改动,需要重新启动系统才能使用新内核。所以,对24小时在线运行的服务器来说,是不需要系统升级等修改内核操作的,要去除系统的CAP_SYS_MODULE能力。
4、在支持root能力集系统中,组合能力,在系统级设置几个从低到高的运行级别
例如:
(1) 设置网络服务能力,将CAP_NET_BIND_SERVICE、CAP_NET_BROADCAST能力打开,即可获得网络服务能力。
(2) 拥有root的文件管理能力。授予CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH能力即可
CAP_DAC_OVERRIDE 1 忽略对文件的所有DAC访问限制
CAP_DAC_READ_SEARCH 2 忽略所有对读、搜索操作的限制
(3) 拥有root的用户管理能力。授予CAP_SETGID、CAP_FSETID能力。
CAP_FSETID 4 允许设置setuid位
CAP_SETGID 6 允许改变组ID
细粒度的强制访问控制
5、SELinux系统的授权方式
1)理解SELinux系统的基于主体对进程细粒度的授权方式,比较细粒度的授权和基于粗粒度的对客体的授权方式的不同之处和安全性差异;
2)系统中运行了httpd程序,允许www用户杀死httpd进程,如何进行细粒度的授权?并进行解释。
答案:
1)主体对进程细粒度的授权方式,是给用户的进程进行授权,进程的权限是有限的,每个进程仅能执行有限的操作,不会越权执行权限。
粗粒度的授权方式,是将客体的权限授予用户,用户带着很多权限去执行进程。如果用户运行了root的setuid程序,可以利用root权限破坏系统文件或进程。而细粒度的访问控制因用户没有多余的权限,破坏系统的可能性大大降低。
2)允许www用户杀死httpd进程
允许root用户(root_t)启动调用kill可执行文件(kill_t)
allow root_t kill_t : httpd {getattr execute};
允许www用户(www_t)启动execve()调用kill可执行文件(kill_exec_t)
allow www_t kill_exec_t : file {getattr execute};
对kill_t域的入口访问权 :
allow kill_t kill_exec_t : file entrypoint;
许可原始的类型(www_t)到新的类型(kill_t)进行域转变 TRansition 访问
allow www_t kill_t : process transition;
第五章
控制访问矩阵
控制访问矩阵:准确描述了保护状态的模型。描述一个主体(进程)相对于系统中其它实体的权限。
行:主体 列:客体
访问控制列表 ACL
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-klx9ERH1-1578301991662)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105191524764.png)]
能力表 CAPABILITY LISTS
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ezLdJYAh-1578301991662)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105191702883.png)]
关系
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0S4iQabv-1578301991664)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106153549949.png)]
- 自主访问(DAC)控制是依据主体的判断力授予访问权限,通常由客体的拥有者授权。应用于 UNIX, Windows系统。
- 强制访问控制 (MAC) 按照系统级策略限制主体对客体的访问。用户所创建的资源,也拒绝用户的完全控制。系统的安全策略完全取决于权限,权限由管理员设置。
2、
自主访问控制:
缺点:
(1) 不适合用户多、用户经常变化的情况。不能授权用户在某时间段使用。
(2) 运行时的安全检查不充分。比如查询某进程应用了哪些权限是困难的。
(3) 不容易查询用户对哪些文件有权限,因为以文件为单位授权。
(4)不能解决混淆责任问题
能力表:
优点:(1)运行时安全检查更加有效,授权更方便。
(2)用户运行程序时,权责清晰。能解决混淆责任问题。
缺点:(1)改变文件状态比较困难。
二者差别:
-
命名空间:ACL需要客体和主体的命名空间。能力表指定资源和 权限。
-
权限管理:能力表授权给主体相应的权限,是基于主体聚集的权 限管理方式。
ACL授权给资源访问权限,由文件拥有者指定权限。
-
权利边界:能力表的权限清晰,没有额外权限。
ACL执行程序时权限边界不清晰,额外权限多,会引发混淆责任问题。
-
鉴别内容:ACL鉴别主体。能力表不需要鉴别主体,但需要控制权限的传播。
-
权限审查:ACL提供单客体的权限审查。能力表提供单主体的权限审查。
-
权限撤销:ACL基于单客体撤销权限。能力表基于单主体撤销权限
-
最小特权:能力表提供细粒度的最小特权控制,可动态、短时间访问。ACL提供粗粒度的权限管理,不能实现短时间访问。
-
适用性:能力表适合于进程及共享。ACL适合用户级共享。
3、
ACL和CAPBILITY中如何撤销权限,两种方式中撤销权限的不同之处
ACL以资源为单位进行授权。资源属于客体,文件、端口等。撤销权限时基于客体进行权限收回。当收回用户的权限时比较困难,需要遍历文件系统才能把该用对对应的文件和目录权限收回,还不能收回动态使用过程的权限。所以收回用户的权限比较困难,采用该密码,使用后不能登录的放式收回权限。
CAPBILITY:
能力表基于单主体撤销权限,授权时基于主体进行授权。可检查主体的权限,然后收回主体的权限。但要控制主体权限的分发。比如软件制造商,卖给用户软件的使用权,用户也可以把软件给他人使用,这时能力表对主体控制其权限分发就非常重要。能力表要能够检查权限是否被用户分发出去,且能控制被分发出去的权限。
4、ACL授权时为什么引发混淆责任问题,如何解决该问题
ACL:
以编译程序 SYSX/FORT为例,SYSX文件夹下的文件: STAT、BILL文件。编译程序需要在SYSX目录下写文件, 因此对目录SYSX授予写权限。一个普通用户可以运行编译程序SYSX/FORT,用户也可以自己指定输出文件。恶意用户:输出文件名指定为SYSX/BILL,导致编译程序的清单文件被替换。编译器运行时,执行两个用户的权限:编译用户和执行用户的权限,系统无法区分应为哪个用户服务。
能力表:
各用户的权限清晰,各用户写自己文件夹下的目录不会冲突。
编译程序compiler的权能:访问SYSX/STAT和SYSX/BILL, 权限存放在自己的能力槽(slots 1 & 2)。应用者运行compiler,有写文件权限, 其权限存放在能力槽(slot 3). 应用者没有写SYSX/BILL文件的权限,因为授权时没有赋予相应的权限。当写入billing信息时, 编译程序使用slot 2中的权限. 当写输出信息时, 使用slot 3中的权限。
第六章 数据库安全
安全需求
完整性
物理完整性:整个数据库损毁、保证数据能够物理读取
逻辑完整性:仅授权用户可以更新、个人数据项不可读
数据项完整性:正确、精准
审计
优点:维护完整性,受破坏后可恢复
用户累加式访问受保护数据
后台记录用户访问记录:推理用户意图
缺点:粒度问题:记录级、域级
访问控制
防止推理
鉴别用户
可靠性和完整性
数据库完整性: 防止数据库整体性损坏, 硬盘毁坏、主数据库索引项毁坏. 采用操作系统的完整性控制措施、恢复措施
数据项完整性: 写入特定的数据值、仅授权用户可写。恰当的访问控制可保护数据库免受非授权用户破坏
数据项精度: 正确的数据值写入数据项. 检查域值可以防止插入不合适的数据值. 设置限制条件,以检测不正确的数据
操作系统级的保护:周期性备份数据库文件和用户文件、保护文件、OS对所有数据做完整性检查
两阶段更新:
例如: 要被修改的数据项很长, 一半被更新, 一半未更新后数据库掉电
准备阶段 : 准备更新数据, 不对数据库做改变
提交阶段: 设置 提交标志 写入数据库, 永久性改变
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g8oSE5Bl-1578301991666)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105193433486.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-umIehe6B-1578301991667)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105193450088.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BqE17ysZ-1578301991668)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105193507236.png)]
冗余/内部一致性
恢复:日志
并发性/一致性
敏感数据
推理
多级数据库
多级安全方法
第八章 机密性策略
BLP模型
DG/UX System
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EPgOXN78-1578301991669)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105204215999.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qjpfTcBS-1578301991670)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105204248582.png)]
证明DG/UX 系统中连接数大于1时,必须有显式标签:
1).硬连接:创建硬连接需要有显式标签,如果标签为隐式,需将标签改为显式
2).符号连接:系统解析符号连接时,客体标签就是符号连接目标的标签
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q4toml6m-1578301991671)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105194958543.png)]
第九章 完整性策略
完整性需求
信息不能反向流动,开发人员不能进入产品系统
-
责任分离
需要多部完成一个事务时,需2个以上人员共同完成
-
功能分离
开发环境、开发系统
产品环境、产品系统
开发人员不能在产品数据上做操作
-
审计需求
商业系统:保证可恢复、问责
能够:记录日志、可审计
审计人员:进行审计
特别地,从测试环境进入产品环境,需记录日志、审计
Biba模型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qEq6eRwz-1578301991671)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106155024610.png)]
完整性隐含信任
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-frJgUKkG-1578301991672)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105210038456.png)]
Clark-Wilson模型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lEgjOlwe-1578301991673)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105210054912.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gCIKIImp-1578301991674)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200105210108618.png)]
第十章 混合策略
1、理解中国墙模型如何解决利益冲突问题,其所用的数据结构。
将同类信息划分为一个利益冲突类,类内包含多个公司的数据集,各家公司的数据又分为保密和公开两种级别。对保密信息:一个类内管理人员只能读和写一家公司的数据集,以避免利用接触信息的便利条件造成影响平等竞争。
对读和写有其自己的约束条件。
2、理解医疗信息系统中如何防止信息泄露
病人信息分为病例和访问控制列表。控制接触病例的人靠访问控制列表约束,在访问控制列表上的人才有相应的权限访问,且控制访问权限。
对于医院上层可接触大量医疗信息状况,在汇聚信息时进行控制,且告知病人访问控制列表的变化,病人可自行判断是否信息泄露。
医院人员访问病例必须在访问控制列表上,且访问过程都要记录日志,不能不受控制。
基于角色的访问控制:
-
角色的执行规则
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-K7lXFNfi-1578301991675)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160654556.png)]
-
角色的授权规则
-
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iB5NSyQD-1578301991676)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160705940.png)]
-
角色所授事务集权规则
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xQHWW6nT-1578301991677)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160735464.png)]
-
包含规则
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ByzTHVDU-1578301991677)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160805732.png)]
-
责任分离规则
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CUViHG1m-1578301991678)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160836435.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VQJOh6kn-1578301991679)(/Users/jiangxi/Library/Application Support/typora-user-images/image-20200106160604989.png)]
第十一章 基于属性的访问控制
ABAC模型
