完整性的策略模型课件

完整性策略及混合策略完整性策略1商业系统的安全需求1.用户不能自己编写程序,而要使用现有的生产程序和生产数据库。2.程序员开发测试程序是在一个非生产系统上完成的;如果他们需要访问实际的数据,他们就需要使用特定的处理过程来获得生产数据,但是他们只能在自己的开发系统上使用这些数据。3.将开发系统上的个程序安装到生产系统上必须遵从一个特定的处理过程。4.必须对需求3中的特定处理过程进行控制和审计5.管理员和审计员必须能够对系统状态和已生成的系统日志进行访问。商业系统的安全需求2目标商业需求与军事需求的区别在于,商业需求强调的是数据的完整性首先是职责分离原则这条原则规定如果需要两个或多个步骤来执行一个关键操作,那么至少需要两个不同的人来执行这些步骤其次是功能分离原则禁止开发人员在生产系统上开发新的程序,因为这样会对生产数据构成威胁最后是审计。商业系统强调的是可恢复系统的处理过以确定发生了什么操作,以及这些棵作的执行者。因此,商业系统必须进行大量的审目标3Biba完整性模型■1977年,Biba首先对系统的完整性进行了研宄,提出了完整性策略系统包括一个主体集合S,一个客体集合O和一个完整性等级集合P,这些等级是有序的。关系<cx成立仅当第二个完整性等级高于第一完整性等级。关系≤S×I成立仅当第二个完整性等级高于或者等于第一个完整性等级。函数min:1×Il给出了两个完整性等级中的较低者(对应于关系≤)。函数i:SUO·I返回一个主体或客体的完整性等级。关系rsS×O定义了主体读取客体的能力;关系wsxO定义了主体写入客体的能力;关系cSxS定义了一个主体调用(执行)另一个主体的能力。定义61条信息转移略径是一个客体序列o1,…,on和与之对应的主体序列51;…,5,使得对于所有的i,1≤i≤n满足r0和SwoBiba完整性模型4low-water-mark策略s∈S可以对∈O进行写操作,当且仅当i(o)≤i(s);2.如果s∈S读取o∈O,那么i(s)=mn(i(s),io)),其中()是主体在完成读取操作之后的完整性等级s1∈S可以执行s2∈S,当且仅当i(s2)≤i(51)第一条规则防止从低等级向高等级写入,它禁止一个主体向更高等级的可信任法每不正的成者伪的在慈棵为的可有比高体度的在装种文就可信度。因此,这种读取一个完整性等级较低的主体的完整性等级会降低。这种思想在于主体使用的数据的可信度比它自己的可信性还要低。因此,主体的可信度要下降到较低的可信度等级。这样就可以防止数据“污染”主体或主体的操作第三条规则允许一个主体执行另外一个主体,只要第二个主体的完整性等级不比第个主体的完整性等级高。否则,可信度低的调用者能够控制并破坏被调用的主体即使被调用主体的可信度更高low-water-mark策略5完整性的策略模型课件6完整性的策略模型课件7完整性的策略模型课件8完整性的策略模型课件9完整性的策略模型课件10完整性的策略模型课件11完整性的策略模型课件12完整性的策略模型课件13完整性的策略模型课件14完整性的策略模型课件15完整性的策略模型课件16完整性的策略模型课件17完整性的策略模型课件18完整性的策略模型课件19完整性的策略模型课件20完整性的策略模型课件21完整性的策略模型课件22完整性的策略模型课件23完整性的策略模型课件24完整性的策略模型课件25完整性的策略模型课件26完整性的策略模型课件27完整性的策略模型课件28完整性的策略模型课件29完整性的策略模型课件30完整性的策略模型课件31完整性的策略模型课件32完整性的策略模型课件33完整性的策略模型课件34完整性的策略模型课件35完整性的策略模型课件36完整性的策略模型课件37完整性的策略模型课件38完整性的策略模型课件39完整性的策略模型课件40完整性的策略模型课件41完整性的策略模型课件42完整性的策略模型课件43完整性的策略模型课件44完整性的策略模型课件45完整性的策略模型课件46完整性的策略模型课件47完整性的策略模型课件48完整性的策略模型课件49完整性的策略模型课件50完整性的策略模型课件51完整性的策略模型课件52完整性的策略模型课件53完整性的策略模型课件54完整性的策略模型课件55完整性的策略模型课件56完整性的策略模型课件57完整性的策略模型课件58完整性的策略模型课件59完整性的策略模型课件60完整性的策略模型课件61完整性的策略模型课件62完整性的策略模型课件63完整性的策略模型课件64完整性的策略模型课件65完整性的策略模型课件66完整性策略及混合策略完整性策略67商业系统的安全需求1.用户不能自己编写程序,而要使用现有的生产程序和生产数据库。2.程序员开发测试程序是在一个非生产系统上完成的;如果他们需要访问实际的数据,他们就需要使用特定的处理过程来获得生产数据,但是他们只能在自己的开发系统上使用这些数据。3.将开发系统上的个程序安装到生产系统上必须遵从一个特定的处理过程。4.必须对需求3中的特定处理过程进行控制和审计5.管理员和审计员必须能够对系统状态和已生成的系统日志进行访问。商业系统的安全需求68目标商业需求与军事需求的区别在于,商业需求强调的是数据的完整性首先是职责分离原则这条原则规定如果需要两个或多个步骤来执行一个关键操作,那么至少需要两个不同的人来执行这些步骤其次是功能分离原则禁止开发人员在生产系统上开发新的程序,因为这样会对生产数据构成威胁最后是审计。商业系统强调的是可恢复系统的处理过以确定发生了什么操作,以及这些棵作的执行者。因此,商业系统必须进行大量的审目标69Biba完整性模型■1977年,Biba首先对系统的完整性进行了研宄,提出了完整性策略系统包括一个主体集合S,一个客体集合O和一个完整性等级集合P,这些等级是有序的。关系<cx成立仅当第二个完整性等级高于第一完整性等级。关系≤S×I成立仅当第二个完整性等级高于或者等于第一个完整性等级。函数min:1×Il给出了两个完整性等级中的较低者(对应于关系≤)。函数i:SUO·I返回一个主体或客体的完整性等级。关系rsS×O定义了主体读取客体的能力;关系wsxO定义了主体写入客体的能力;关系cSxS定义了一个主体调用(执行)另一个主体的能力。定义61条信息转移略径是一个客体序列o1,…,on和与之对应的主体序列51;…,5,使得对于所有的i,1≤i≤n满足r0和SwoBiba完整性模型70low-water-mark策略s∈S可以对∈O进行写操作,当且仅当i(o)≤i(s);2.如果s∈S读取o∈O,那么i(s)=mn(i(s),io)),其中()是主体在完成读取操作之后的完整性等级s1∈S可以执行s2∈S,当且仅当i(s2)≤i(51)第一条规则防止从低等级向高等级写入,它禁止一个主体向更高等级的可信任法每不正的成者伪的在慈棵为的可有比高体度的在装种文就可信度。因此,这种读取一个完整性等级较低的主体的完整性等级会降低。这种思想在于主体使用的数据的可信度比它自己的可信性还要低。因此,主体的可信度要下降到较低的可信度等级。这样就可以防止数据“污染”主体或主体的操作第三条规则允许一个主体执行另外一个主体,只要第二个主体的完整性等级不比第个主体的完整性等级高。否则,可信度低的调用者能够控制并破坏被调用的主体即使被调用主体的可信度更高low-water-mark策略71完整性的策略模型课件72完整性的策略模型课件73完整性的策略模型课件74完整性的策略模型课件75完整性的策略模型课件76完整性的策略模型课件77完整性的策略模型课件78完整性的策略模型课件79完整性的策略模型课件80完整性的策略模型课件81完整性的策略模型课件82完整性的策略模型课件83完整性的策略模型课件84完整性的策略模型课件85完整性的策略模型课件86完整性的策略模型课件87完整性的策略模型课件88完整性的策略模型课件89完整性的策略模型课件90完整性的策略模型课件91完整性的策略模型课件92完整性的策略模型课件93完整性的策略模型课件94完整性的策略模型课件95完整性的策略模型课件96完整性的策略模型课件97完整性的策略模型课件98完整性的策略模型课件99完整性的策略模型课件100完整性的策略模型课件101完整性的策略模型课件102完整性的策略模型课件103完整性的策略模型课件104完整性的策略模型课件105完整性的策略模型课件106完整性的策略模型课件107完整性的策略模型课件108完整性的策略模型课件109完整性的策略模型课件110完整性的策略模型课件111完整性的策略模型课件112完整性的策略模型课件113完整性的策略模型课件114完整性的策略模型课件115完整性的策略模型课件116完整性的策略模型课件117完整性的策略模型课件118