安全模型理论Read课件

1、第七章 安全模型理论安全模型理论访问控制访问控制机制自主访问控制强制访问控制访问控制矩阵保护状态访问控制矩阵模式保护状态转变条件命令拷贝，拥有和特权的弱化总结安全模型理论完整性策略目标Biba 完整性模式Lipner的完整性矩阵模式Clark-Wilson 完整性模式小结混合性政策中国长城模式临床信息系统安全政策创建者控制访问控制基于任务的控制小结审查 访问控制访问控制是计算机保护中极其重要的一环。它是在身份识别的基础上，根据身份对提出的资源访问请求加以控制。 访问控制中三个元素：访问的发起者称为主体，通常为进程，程序或用户。 包括各种资源称为客体，如文件，设备，信号量等。保护规则，它定义了主

2、体与客体可能的相互作用途径。 访问控制机制保护域：每一主体（进程）都在一特定的保护域下工作。保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。 可对客体操作的能力称为访问权（Access Right），访问权定义为有序对的形式。 一个域是访问权的集合。 访问控制机制有重叠的保护域 访问控制机制主体（进程）在某一特定时刻可以访问的客体（软件，硬件）的集合称为客体。客体可以是静态的，即在进程生命期中保持不变，或动态改变。为使进程对自身或他人可能造成的危害最小，最好在所有时间里进程都运行在最小客体下。 访问控制机制一般客体的保护机制有两种：自主访问控制（Discretion

3、ary Access Control）：用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。 强制访问控制（Mandatory Access Control）：用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。 自主访问控制为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式存放在系统中。访问矩阵中的每行表示一个主体，每一列则表示一个受保护的客

4、体，而矩阵中的元素，则表示主体可以对客体的访问模式。 实际上常常是基于矩阵的行或列来表达访问控制信息。 自主访问控制 基于行的自主访问控制基于行的自主访问控制：所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。 权限字：权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体，并指定这些客体上允许的操作。它作为一张凭证，允许主体对某一客体完成特定类型的访问。 自主访问控制 基于行的自主访问控制具有转移或传播权限的主体A可以将其权限字的副本传递给，也可将权限字传递给，并可移去其中的转移权限，于是将不能继续传递权限字。 权限字也是一种程序运行期间直接跟

5、踪主体对客体的访问权限的方法。每个权限字都标识了作用域中的单个客体，因此，权限字的集合就定义了作用域。权限字必须存放在内存中不能被普通用户访问的地方，如系统保留区、专用区或者被保护区域内。进程必须不能直接改动它自己的权限字表。举例：UNIX，Linux自主访问控制 基于行的自主访问控制前缀表前缀表(prefixes)包含受保护的文件名（客体名）及主体对它的访问权限。 当系统中有某个主体欲访问某个客体时，访问控制机制将检查主体的前缀是否具有它所请求的访问权。 自主访问控制 基于列的自主访问控制基于列的自主访问控制所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。 基于列的访问控制可以

6、有两种方式： 保护位。保护位对所有的主体、主体组（用户、用户组）以及该客体（文件）的拥有者，规定了一个访问模式的集合。 例如UNIX。存取控制表。存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。表中的每一项包括主体的身份以及对该客体的访问权。 自主访问控制访问许可与访问模式对访问许可与访问模式加以区分，把客体的控制与对客体的访问区别开来。自主访问控制自主访问控制的访问许可：访问许可允许主体修改客体的存取控制表，可利用它实现对自主访问控制机制的控制。 这种控制有三种类型：等级型。将对客体存取控制表的修改能力划分成等级。不同等级享有不同的权限范围。拥有型。只有拥有者才是对客体有修改

7、权的唯一主体。拥有者对其拥有的客体具有全部控制权，但无法传递这种控制权。自由型。一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权 自主访问控制自主访问控制的访问模式：文件读拷贝(read-copy) 写删除（write-delete） 执行（execute） Null（无效） 目录ReadWrite-expand 其它：读状态（status），修改（modify），附加（append）强制访问控制在自主访问控制方式中，无法区分对文件存取控制信息修改是用户自己的操作，还是恶意攻击的特洛伊木马的非法操作。通过强加一些不可逾越的访问限制，系统可以防止某一些类型的特洛伊木马的攻击。 强

8、制访问控制一般强制访问控制采用以下几种方法：访问限制控制用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。 过程控制 只要系统允许用户自己编程，就没办法杜绝特洛伊木马。但可以对其过程采取某些措施。例如，警告用户不要运行系统目录以外的任何程序。 系统限制实施的限制最好是由系统自动完成，比如，限制共享文件。安全模型理论访问控制访问控制机制自主访问控制强制访问控制访问控制矩阵保护状态访问控制矩阵模式保护状态转变条件命令拷贝，拥有和特权的弱化总结访问控制矩阵如果我们可以证明一个主要的系统类是安全的，那么我们就可以

9、证明属于那个类的系统原形是安全的。更具体的说，我们可以总结出安全系统的特点。 访问控制矩阵描述了广泛应用的访问许可的表示法。 保护状态一个系统的状态是指在这个系统中当前运作的所有的存储区域，二级存储器，寄存器和其他系统组件的总和。 这个总和的处理保护的子集就是系统的保护状态。访问控制矩阵就是可以描述当前保护状态的一个工具。 保护状态假设可能的保护状态集合为P，P的子集Q由那些系统可以相容的那些状态构成。因此，当系统状态在Q中，这时系统就是安全的。当前的状态在P之中却不在Q中，则此时系统是不安全的。 加强安全的侧重点就是确定系统状态始终是Q中的一个元素。表现Q中状态的特性是安全条约的作用；阻止系

10、统进入PQ状态就是安全机制的职能。当一条指令改变了系统的状态，状态转变就发生了。 如用某一允许操作使得某一授权状态发生改变，则结果一定也是一个授权状态。系统总会处于一个授权状态中。因此状态和状态改变都是受到限制的。 访问控制矩阵模式通过矩阵中的文件形容出每个使用者的权利。对象集O，主体集S 。实体间的关系都在矩阵A中，A由关系集R中每个条目as，o的对应关系所描述出。系统中的保护状态集可以由一个三元关系(S，O，A)表示。 访问控制矩阵模式文件1文件2进程1进程2进程1读，写读拥有写进程2添加，读读拥有访问控制矩阵 保护状态转变当进程执行操作时，保护系统的状态发生改变 系统的原始状态 X0=(

11、S0，O0，A0) 操作集1，2， 连续状态由X1，X2 转变i+1使系统从状态Xi到Xi+1 X在一系列状态转变之后，进入状态Y 保护状态转变改变访问控制矩阵的简单命令集在执行每个命令之前的保护状态为(S，O，A)在执行每个命令之后的则为(S，O，A)。 创建一个新主体s前提：s不属于O原始指令：createsubjects结果：S=Ss，O=Os，(VyO)as，y=，(VxS)ax，s=，(VxS)(VyO)ax，y=ax，y保护状态转变创建一个新的对象o 前提：o不属于O原始命令：createobjecto结果：S=S，O=Oo，(VxS)ax，o=，(VxS)(VyO0ax，y=ax

12、，y向as，o中加入权力r 前提：sS，oO原始命令：enterrintoas，o结果；S=S，O=O，as，o=as，or，(VxS)(VyO)(x，y)(s，o)ax，y=ax，y保护状态转变从as，o中删除权力r 前提：sS，oO原始命令：deleterfromas，o结果：S=S，O=O，as，o=as，o-r，(VxS)(VyO)(x，y)(s，o)ax，y=ax，y 删除主体s 前提：sS原始命令：destroysubjects结果：S=S-s，O=O-s，(VyO)as，y=，(VxS)ax，s=，(VxS)(VyO)ax，y=ax，y保护状态转变删除对象o，在A中相应的列同时被

13、删除。前提：oO原始命令：destroyobjecto结果：S=S，O=O-s，(VxS)ax，o=，(VxS)(VyO)ax，y=ax，y条件命令一些原始命令的执行需要满足特殊的预处理。举例：假设进程p希望给另一个进程q从文件f中读取的权力。在许多系统中，p必须拥有f。命令： command grantreadfile1(p，f，q)if own in ap，fthenenter r into aq，f；end条件命令任何条件都可以用and结合起来。假设一个系统有加以区别的权力c。如果一个主体在一个对象上有权力r和c，它在这个对象上可以给另外的主体r权力。则：command grantrea

14、dfile2(p，f，q)if r inap，f and c in ap，fthenenter r into aq，f；end条件命令所有条件都是用and连接起来的，而决不可能是用or。因为用or连接的条件等价与两个命令每个命令只有一个条件，这种连接是不需要的。条件拒绝是不允许的；也就是说，不能用在条件if r not in ap，f下的命令测试权力的存在与否。 拷贝，拥有和特权的弱化拷贝权力 拷贝权力(通常也被叫称为授予权力)允许拥有者可以对别人授权。在弱化规则中，只有授予者拥有的这些权力可以被拷贝。自身权力自身权力是一个特殊的权力，它可以使拥有者增加或是减少对他们自己的特权它也能允许拥有者

15、授权给别人 拷贝，拥有和特权的弱化特权弱化原则一个主体不会把自己不拥有的特权给别人。总结访问控制矩阵是在计算机安全中的一个原始的抽象机制。 在它最抽象的形势下，它可以表达任何可以表达的安全规则。 改变转换系统的状态。转变以命令的形式被表达出来。命令由一个或是多个原始操作所可能产生的条件所组成。条件可能包括所有权或是拷贝权力的能力。特权弱化法则产生条件，这个条件规定如果主体不拥有权力，它就不能把这个权力授予任何人。安全模型理论完整性策略目标Biba 完整性模式Lipner的完整性矩阵模式Clark-Wilson 完整性模式小结混合性政策中国长城模式临床信息系统安全政策创建者控制访问控制基于任务的

16、控制小结审查 完整性策略完整性策略集中在完整性上而不是机密性上，因为绝大多数商业和工业公司更加关心精确性而不是资料的泄露。 目标1. 用户将不用写他们自己的程序，而是使用现存的生成的程序和数据库。 2.编程人员将在一个无生产系统上开发和测试程序；一旦他们需要获取真实的资料，他们将经由一个特殊的步骤得到产生的资料，但是必须在他们的开发系统上使用。3.当把一个程序从开发系统安装到生产系统上时，必须跟一个特殊的步骤。在条件3之中的特殊步骤必须是可控制的和审查的。目标必要条件表明了几个操作的原则：职责的分离 功能的分离 审核 Biba 完整性模式在1997年，Biba提出一个系统是由一个主题的集合S，

17、物体的集合O，完整性级别的集合I组成。这个级别是有序的。当第二完整性级别支配着第一级别时，保持关系当第二级别或支配或者和第一级别等同时，保持关系Min函数： 得到两个级别中较低的一个（与相对应）。函数I： 返回一个主题或者物体的安全级别。关系 定义了一个主题读取一个物体的能力；而关系 定义了一个主题写入一个物体的能力，以及关系 定义了一个主题唤醒（执行）另外一个主题的能力。Biba 完整性模式Biba定义了一个信息转移路径的观念来测试他的策略。定义1：一个信息转移路径是一系列的对象O1，On+1以及对应的主题系列S1，Sn，对于所有i， ，有Si r Oi 和 Si w Oi+1。直观的说，通

18、过在一个信息流路径中连续的读和写，在O1中的资料能够转化入On+1中。 Biba 完整性模式Low-Water Mark Policy无论在什么时候一个对象访问一个目标对象，策略将对象的完整性级别降低到较低的主题和目标对象的完整性级别。特别指出：sS能够写成oO，当且仅当 I(o) I(s)。如果对于每一个sS读oO ，则I(s) = min(I(s)，I(o)，其中I(s)是读之后对象的完整性级别。对于S1S能够推出S2S当且仅当I(S2)I(S1)。Biba 完整性模式定理1：如果存在一条信息转换路径从对象O1O，则low-water 标记策略的执行需要I（On+1）I（O1），对于所有的

19、n1。这个策略的问题是，它事实上改变了完整级别。特别是，级别不再增加，也就是说它不能再访问级别比它高的事务了。一个相反的想法是，降低事务的优先级而不是降低目标的优先级，但是这样有一点使之退化到最低的地方。 Biba 完整性模式环策略这个策略忽略了间接修改的问题而集中在直接修改上。它将解决前面所描述的Low-Water Mark Policy的问题。 它的规则是：任意的对象能够读取任意的目标对象，而忽略完整性级别。对任何sS能写入oO，当且仅当I(o) I(s)。对于S1S能够推出S2S当且仅当I(S2) I(S1)。这个策略和Low-Water标记策略之间的区别就是任意的主题能够读取任意的对象

20、。 Biba 完整性模式Biba的模式这个模式是Bell-LaPadula模式的对称的，通常称为Biba的模式（或者严格完整性策略），它的规则如下： 1、对任何sS能读取oO，当且仅当I(s) I(o)。2、对任何sS能写入oO，当且仅当I(o) I(s)。3、对于S1S能够推出S2S当且仅当I(S2)I(S1)。注意规则1和规则2表明了如果读取和写入同时被允许则I(s) = I(o)。Lipner的完整性矩阵模式Lipner回到了Bell-LaPadula模式，并把它和Biba模式合并创造出一种与商业政策的需求更加一致的模式。为了更加清楚，我们先考虑Bell-LaPadula模式作为Lipn

21、er的一部分，然后和Biba模式合并。 Lipner的完整性矩阵模式Lipner对Bell-LaPadula模式的使用Lipner提供了两个安全级别，在下列的次序中（从高到低）：审核管理者（AM）：系统的审核和管理函数在这个级别；系统低点（SL）：任何进程能在这个级别读取信息。Lipner的完整性矩阵模式类似的定义了5个策略：开发（D）：产品程序的开发和测试，但并不是产品的使用；产品代码（PC）：产品进程和程序；产品资料（PD）：完整性策略覆盖下的资料；系统开发（SD）：系统程序的开发，但不在产品中使用；软件工具（T）：生产系统上提供的与敏感和受保护的资料无关的程序。 Lipner的完整性矩阵

22、模式Lipner在按照用户对应工作的基础上赋予了他们各个安全级别 用户 清除 普通用户 (SL，PC，PD)应用程序开发员 （SL，D，T）系统程序员（SL，SD，T）系统控制者 （SL，D，PC，PD，SD，T）和递减的优先权系统管理员和审核员 （AM，D，PC，PD，SD，T）Lipner的完整性矩阵模式系统对象根据谁将使用他们而对应于不同的安全级别 对象 类别 开发代码/测试资料 （SL，D，T） 产品代码 (SL，PC) 产品资料 （SL，PC，PD） 系统程序 (SL，/) 修改中的系统程序 (SL，SD，T) 系统和应用程序日志 (AM，适当策略) Lipner的完整性矩阵模式Li

23、pner的全模式Lipner的全模式增加了安全分类和三个完整性分类：系统程序(ISP)：系统程序的分类；操作上的(IO)：生产程序和开发软件的分类；系统低级（ISL）：用户登陆的分类。两个完整性策略用来区分生产和开发软件和资料：开发(ID)：开发实体；生产(IP)：生产实体。Lipner的完整性矩阵模式我们也可以把生产代码和生产资料压缩成一个单独的策略。以下就给出了安全策略：生产(SP)：生产代码和资料：开发（SD）；与先前的开发策略相同；系统开发（SSD）：与先前的系统开发策略相同；Lipner的完整性矩阵模式用户的所有分类的安全策略和那些没有完整性级别和策略的模式保持着相等性。完整性分类被

24、选择适当的允许资料和程序的修改。 用户 安全清除完整性清除普通用户 (SL，SP)(ISL，IP)应用程序开发员(SL，SD)(ISL，ID)系统程序员(SL，SSD)(ISL，ID)系统控制者(SL，SP，SD)和递减的优先级(SP，IP，ID)系统管理员和审核员(AM，SP，SD，SSD)(ISL，IP，ID)修复员(SL，SP)(ISL，IP)Lipner的完整性矩阵模式最后一步是替事务选择完整性分类。对象 安全性级别完整性级别开发的代码/测试资料(SL，SD)(ISL，IP)产品的代码(SL，SP)(IO，IP)产品资料(SL，SP)(ISL，IP)软件工具(SL，/)(IO，ID)

25、系统程序(SL，/)(ISP，IP，ID)修改中的系统程序(SL，SSD)(ISL，ID)系统和应用程序日志(AM，相应的策略)(ISL，/)修复(SL，SP)(ISL，IP)Lipner的完整性矩阵模式与Biba的比较这个完整性矩阵模式论证了Bell-LaPadula模式能适合许多商业的需求，即使它为另一个非常不同的目的所设计。这个模式的弹性是部分吸引人之处；然而，根本上来讲，Bell-LaPadula模式限制了信息的流动。Lipner指出了这点，并建议把他的模式和Biba的一起考虑将是最有效的。Clark-Wilson 完整性模式在1987年，David Clark和David Wilso

26、n开发了一个与先前不同的完整性模式。这个模式把事务作为基本操作，使得许多商业系统比以前的模式更加真实化。Clark-Wilson 完整性模式Clark-Wilson模式把服从策略控制的资料定义为“被束缚的资料”（CDIs）。反之则定义为“不被束缚的资料”（UDIs）。CDIs集和UDIs集使对系统中所有被模式化的资料的一个分割。一个“完整性约束”集约束了CDIs的值。模式同样定义了两个过程集。“完整性检验过程”（IVPs），用来检测当IVPs运行时CDIs遵守完整性约束。在这种情况下，系统处于“有效状态”中。“转化过程“（TPs），改变系统中资料的状态从一个有效状态转到另一个。TPs实现了一个

27、良好的事务。举例：在一个银行帐户的例子中，CDIs时帐户中的收支差额；核查帐号是否收支平衡时IVP，存款，取款，转帐等都是TPs。为确保帐户被正确管理，一个银行的监测员必须确保银行使用着合适的过程来检查帐户的存取，转换等。然而这些过程仅仅提供存款和查询帐户，可能没有提供其它类型的操作，比如非常微小的现金。 Clark-Wilson模式通过两条证明规则来捕获这种需求：认证规则1：任意IVP运行时，必须确保所有的CDIs处于有效状态。认证规则2：对于一些相关的CDIs集，TP必须把这些CDIs从一个有效状态转到另一个（很可能不同）的有效状态。 加强规则1：系统必须保持“认证”关系，并确保只有那个被

28、认证了在一个CDI上运行的TP才能操作该CDI；特别的，加强规则1说明了一个TP f操作一个CDI o，则（f，o）C。加强规则2：系统必须使一个用户对每一个TP和CDIs集有关联。TP可以访问那些跟相关用户的利益有关的CDIs。这样就定义了一个三元组（用户，TP，CDI集合），被称为允许A关系，当然这些关系必须证明： 认证规则3：被允许的关系必须与被职责分离的原则所强加的需求相适应。 加强规则3：系统必须鉴别每一个用户尝试着执行一个TP。认证规则4：所有的TP必须附加足够的信息来重建对一个只能附加的CDI的操作。认证规则5：任何TP输入UDI的，只能进行有效的转换或者没有转换对于所有可能的U

29、DI的值。转换后则会拒绝UDI或者转换成一个CDI。加强规则4：只有TP的认证者才可能改变与这个TP相关的实体列表，可能执行与这个实体相关的任务。与需求的比较我们假定生产程序对应于TPs，生产资料（及数据库）是CDI。如果用户不被允许对TP的认证，取而代之的是“信任的职员”，则认证规则4和5实现了这个需求。由于普通的用户不能创建认证了的TP，他们不能写程序来访问产品数据库。他们必须用现有的TP和CDI，及产品程序和产品数据库。认证规则4提供了一个程序安装的审核。加强规则3来鉴别“信任的职员”的安装。，认证规则5和加强规则5控制着安装过程。最后，日志作为一个简单的CDI，管理员和核查员能够通过相

30、应的TP来访问系统日志。类似的，他们也可以访问系统的状态。至此，Clark-Wilson 完整性模式符合了Lipner的需求。 与其他模式的比较Biba不能完全仿效Clark-Wilson，反之则可以。小结完整性模式在多样性和广泛性方面在不断增加。 维持完整性的重要性在于理解如何信任有效的完整性。 安全模型理论完整性策略目标Biba 完整性模式Lipner的完整性矩阵模式Clark-Wilson 完整性模式小结混合性政策中国长城模式临床信息系统安全政策创建者控制访问控制基于任务的控制小结审查 混合性政策很少有机构仅仅限制他们的安全目的为机密性或者完整性。绝大多数希望在某种混合状态下拥有两者。

31、中国长城模式衍生于英国法律关心的利益冲突，临床信息系统安全模式衍生于医学道德和散布病人数据的法律。两个模式展示了信息管理的相反的观点。 创造者访问控制让创建者决定谁该访问这些数据以及怎样访问。基于访问控制使更多的普通用户群的意见正式化。 中国长城模式中国长城模式（CW）是一种平等对待机密性和完整性的安全策略模式。 这个模式的目标就是阻止在两个客户交易间的利益冲突，以及客户冲突的最佳利益。 中国长城模式非正式描述举例：投资公司与两家存在利益冲突的银行的例子中国长城模式正式的模式设S是一个主体集，O是对象集，LCD作为标签的集合。定义映射函数：OC及：OD。其中C对应于利益冲突类的集合，D对应于公

32、司的数据集的集合，在上面的非正式说明中。对于sS和oO的访问矩阵的入口是H(s，o)；这个元素当s访问或者曾经访问过o时为真，否则为假。这个矩阵把一个历史元素并入了一个标准的访问控制矩阵。最后，R(s，o)表示了s读取o的需求。这个模式的第一个假设就是一个数据集不能横跨两个COI类。因而如果两个对象在同一个数据集中，那么他们一定在同一个COI中。中国长城模式公理1：对于所有的O1 ，O2 O，如果 ，则逆否命题则是：引理2：对于所有的O1 ，O2 O，如果 ，则中国长城模式公理3：一个主体s能够读取一个对象o当且仅当对于所有的 ，有 ，或者满足 或者 。这个公理是CW的安全规则：一个主体能够读

33、取一个对象当且仅当它还没读取COI中的其他数据集里的对象或者它已经读取了CD里的对象。但这个规则必须保持确保状态的安全。因此最简单的CW安全规则里的状态是那些从没被访问的。在那种状态下，任何访问的请求应该被允许。中国长城模式公理4：H (s，o) = false，对于所有的 s S和o O都初始是一个安全状态。中国长城模式中国长城模式中国长城模式Bell-LaPadula和中国长城模式Clark-Wilson模式和CW模式临床信息系统安全政策医疗记录需要有机密性和完整性的政策，但是和经纪人公司是走不一样的路的。利益冲突并不是关键问题。病人的机密性，记录和个人的鉴别在这些记录中做了接口，以及确保

34、记录没有被错误的修改都是关键的。 安德森为这样的政策提出了一种模式，阐明机密性和完整性的合并来保护病人的隐私和记录的完整性。 临床信息系统安全政策安德森在政策中定义了三个类型的接口：定义13：病人是医疗记录的主体，或者一个病人赞成的能代替病人的代理。定义14：个人健康信息是关于一个病人的健康信息或者能使病人被认证的治疗方案。定义15：一个临床医生是一个卫生保健专业，工作就是通过访问个人的健康信息。临床信息系统安全政策访问原则1：每一个医疗记录里有一份记录了那些能够读取和追加记录的个人或组的列表。系统必须访问那些在访问控制列表里被认证了的。访问原则2：访问控制列表里的一个临床医师（可靠的）必须有

35、权利追加其他临床医师进入列表中。访问原则3：可靠的医师必须通报病人列表上的名字不论何时病人的记录被打开。除非 遇到紧急情况，但这个医师必须征得病人的同意。访问原则4：临床医师的名字，访问医疗记录的日期时刻都必须被记录。类似的信息必须保护好防止被删。临床信息系统安全政策创建原则：一个临床医师可能和另一个在记录上的医师或者病人来打开一个记录。如果记录是作为一个提名的结果被打开的，这个提名的医师很可能也在访问控制列表中。删除原则：在医疗记录里的医疗信息不能被删除，除非过了合适的时间。限制原则：一条来自于一个医疗记录的信息能被追加到另外一个医疗记录中当且仅当后者的访问控制列表是前者的子集。聚集原则：保

36、护病人数据的集合的措施必须有效。特别的，当任何人被加入他们的记录访问控制列表时，病人必须被通报，并且这个医师访问过大量的医疗记录。加强原则：处理医疗记录的电脑系统必须有子系统来加强以上的原则。这些控制的效果必须由独立的审核员来评估。创建者控制访问控制强制的和自由的访问控制并不处理那些即使在文章散布后仍保持控制他们的环境。Graubert开发了一个叫ORCON的策略（创建者控制的缩写），在那里一个主体只有在创建那个对象的人同意后才能够把对那个对象的权利给另外一个主体。规则如下：对象的拥有者不能更改对对象的访问控制当一个对象被拷贝，那个资源的访问控制限制也同样被拷贝，并且和拷贝的目标绑定。创建者在一个主体对应一个对象的情况下能更改访问控制的权限。 基于任务的控制访问信息的能力，如果需要，要依靠个人工作的