安全需求与安全策略课件

安全需求与安全策略在项目启动阶段进行安全设计，而不是在实现或维护阶段后来加上的服务包和补丁会带来新的漏洞容易陷入补丁、修复、再补丁的恶性循环启动阶段目标：定义系统的需求确定系统的用户起草一份针对系统的安全策略这是这一阶段必不可少的部分，是构建一个可信系统的基础安全需求安全策略安全需求与安全策略在项目启动阶段进行安全设计，而不是在实现内容提要安全需求安全策略安全策略的分类访问控制策略访问支持策略DTE策略内容提要安全需求1安全需求

1.1安全需求的定义所谓安全需求，就是在设计一个安全系统时期望得到的安全保障。不同的用户、不同的行业、不同的地点以及不同的社会制度有不同的安全需求个人隐私、商业机密、军事安全、

防假冒、防篡改、可审计等1安全需求

1.1安全需求的定义所谓安全需求，就是在设计举例：电子交易中的安全需求目的：保证电子交易的安全安全需求保证交易双方身份的确定性需求电子交易的双方，可能素昧平生、相隔千里要能确认对方的身份客户端是否是一个骗子？商店是否黑店？因此，电子交易的前提是能方便而可靠地确认对方身份信息的完整性需求输入时可能会发生意外差错，或者故意欺诈传输时可能会发生信息丢失、重复或者发生次序差异因此，电子交易的基础是保持交易双方的信息完整性举例：电子交易中的安全需求目的：保证电子交易的安全信息的不可伪造性需求电子交易中，交易双方的文件必须是不可伪造的，否则将损害某一方的利益这也是不可抵赖性的前提信息的不可抵赖性需求交易一旦达成，是不能被抵赖的，否则也将损害某一方的利益交易过程中，各个环节都必须是不可抵赖的信息的不可伪造性需求一般化的安全需求机密性需求，防止信息被泄漏给未授权的用户自主安全策略、强制安全策略；需知原则完整性需求，防止未授权用户对信息的修改维护系统资源在一个有效的、预期的状态，防止资源被不正确、不适当的修改；维护系统不同部分的一致性；防止在涉及记账或审计的事件中“舞弊”行为的发生。可记账性需求，防止用户对访问过某信息或执行过某一操作以否认可用性需求，保证授权用户对系统信息的可访问性“授权用户的任何正确的输入，系统会有相应的正确的输出”一般化的安全需求机密性需求，防止信息被泄漏给未授权的用户例子机密性完整性可记账性可用性军事安全策略侧重商用安全策略侧重侧重电信部门侧重例子机密性完整性可记账性可用性军事安全策略侧重商用安全策略侧3.2安全策略安全策略：

针对面临的威胁决定采用何种对策的方法安全策略为针对威胁而选择和实行对策提供了框架3.2安全策略安全策略：

针对面临的威胁决定采用何种对策的安全不安全3.1.1定义

“安全系统”定义在计算机安全领域内，一个系统是“安全系统”是指该系统达到了当初设计时所制定的安全策略的要求。在有限状态自动机下，安全策略：是“这样一种状态，它将系统状态分为已授权/安全状态和未授权/非安全的状态”一个“安全系统”：是“一个如果起始状态为授权状态，其后也不会进入未授权状态的系统”

安全不安全3.1.1定义

“安全系统”定义在计算机安全领域策略语言策略语言：用来表达安全性或完整性策略的语言策略与实现无关，它描述对系统中实体或行为的约束高级策略语言使用抽象的方法表达对于实体的约束精确低级策略语言根据输入或者调用选项来表达对系统中的程序约束策略语言策略语言：用来表达安全性或完整性策略的语言高级策略语言设：系统连接到Internet上。Web浏览器从远程站点下载程序并在本地执行。Pandey和Hashii：针对Java程序的策略约束语言（Policyconstraintlanguage）实体：类或方法

类：一些被实施特定的访问约束的对象的集合

方法：调用一个操作的方法的集合实例化：主体s创建了某个类c的一个实例，“s-|c”

调用：主体s1执行了另一个主体s2，“s1|→s2”高级策略语言设：系统连接到Internet上。Web浏览器从访问约束

deny(sopx)whenb

op为“-|”或“|→”；x为另一个主体或类

条件b为真时，主体s不能对x执行操作op

省略x，表示禁止s对所有实体进行操作访问约束

deny(sopx)whenb

op为“继承：用来将各个访问约束关联起来。例：

deny(s-|c1.f)whenb1

deny(s-|c2.f)whenb2若c1是c2的子类，则正确的约束为：

deny(s-|c1.f)whenb1∨b2继承：用来将各个访问约束关联起来。例，策略规定下载的程序不能访问Unix的password文件。程序中访问本地文件的类和方法如下：classFile{publicfile(Stringname);publicStringgetfilename();publiccharread();……则约束规则如下：deny(|→file.read)when(file.getfilename()==“/etc/passwd”)例，策略规定下载的程序不能访问Unix的password文件例：类Socket定义为网络套接字，方法Network.numconns定义为当前活动的网络连接数下面的访问约束禁止在达到100个连接数后再建立任何新的连接deny(|→Socket)when(Network.numconns>=100) 这种策略语言忽略了策略的具体实现，因此是高级策略语言例：类Socket定义为网络套接字，方法Network.nuDTEL语言DomainTypeEnforcementLanguageBoebert和Kain将类型限制为两种：数据和指令根据语言的类型，在实现一级上进行构造来表达约束成为防火墙系统以及其他安全系统的组成要素该语言将低级语言和高级语言的元素结合起来，抽象地对配置加以描述，因此也属于高级策略语言DTEL语言DomainTypeEnforcementDTEL将每个客体与一个type关联，而每个主体与一个domain相关连限制domain成员对某type的客体所能执行的操作DTEL将Unix系统分为4个相互隔离的主体域user_d：普通用户域admin_d：管理员用户域login_d：兼容DTE认证过程的域daemon_d：系统后台守护进程的域DTEL将每个客体与一个type关联，而每个主体与一个dom系统从daemon_d域开始运行（init进程）当用户试图登录系统，init进程就创建一个login_d域的login进程login进程控制user_d和admin_dDTE提出了如下5个客体型sysbin_t：可执行文件readable_t：可读文件writeable_t：可写文件dte_t：DTE数据generic_t：由用户进程产生的数据系统从daemon_d域开始运行（init进程）当init进程开始时，首先在daemon_d域中启动对writeable_t中的任何客体，能创建c、读取r、写入w和搜索d对sysbin_t中的任何客体，能够读取r、搜索d和执行x对generic_t，readable_t，dte_t中的任何客体，能够读取和搜索当init进程调用登录程序时，登录程序自动转换到login_d域中表示为：domaindaemon_d=(/sbin/init),(crwd->writable_t),

(rxd->sysbin_t),(rd->generic_t,dte_t,readable_t),(auto->login_d);与写权限分离若一个daemon_d的主体被攻破？？当init进程开始时，首先在daemon_d域中启动与写权限另外：domainadmin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(crwxd->readable_t,writable_t,dte_t,

sysbin_t),(sigtstp->daemon_d);还有domainuser_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),(crwxd->generic_t),(rxd->sysbin_t),(crwd->writable_t),(rd->readable_t,dte_t);若用户进程试图改变系统二进制文件？？注意：用户进程不能跳出用户域。另外：若用户进程试图改变系统二进制文件？？注意：用户进程不能以及domainlogin_d=(/usr/bin/login),(crwd->writable_t),(rd->readable_t,generic_t,dte_t),setauth,(exec->user_d,admin_d);以及起初，系统始于daemon_d域initial_domain=daemon_d;

用一系列的assign语句来设置客体的初始型，如assign–rgeneric_t/;assign–rwritable_t/usr/var,/dev,/tmp;assign–rreadable_t/etc;assign–r-sdte_t/dte;assign–r-ssysbin_t/sbin,/bin,/usr/bin,/usr/sbin-r，表示该型被递归的应用-s，表示该型与名称绑定。（删除后重建，同名同型）有序起初，系统始于daemon_d域-r，表示该型被递归的应用有添加对用户更改系统日志的限制为日志文件定义一个新的型log_t，只有daemon_d的主体和新加的log_d的主体才能更改系统日志domaindaemon_d=(/sbin/init),(crwd->writable_t),(rxd->readable_t),(rd->generic_t,dte_t,sysbin_t),(auto->login_d,log_d);domainlog_d=(/usr/sbin/syslogd),(crwd->log_t),(rwd->writable_t),(rd->generic_t,readable_t);assign-rlog_t/usr/var/log;assignwritable_t/usr/var/log/wtmp,/usr/var/log/utmp;syslogd是否能访问系统的可执行文件？若用户试图操作日志客体？添加对用户更改系统日志的限制为日志文件定义一个新的型log_低级策略语言低级策略语言只是一系列命令的输入或参数设置，用来设置或检查系统中的约束例如：基于UNIX的窗口系统X11为控制台访问提供一种语言。该语言由一条命令xhost和指导此命令的语法组成，可以根据主机名（IP地址）控制访问。以下命令

xhost+groucho–chico

对系统进行设定，允许主机groucho连接控制台，但禁止来自主机chico的连接低级策略语言低级策略语言只是一系列命令的输入或参数设置，用来又如：文件系统的扫描程序采用规定的策略检查文件系统的一致性。该策略由按需要设定的数据库构成。每个扫描程序使用自己的小型语言来描述需要的设定。扫描程序tripwire假设了一种一致性策略。它记录初始状态。在以后运行时，将报告设置发生改变的文件。策略由两个文件：tw.config和database组成。前者包括待检查属性的描述；后者为上次运行时属性的值。数据库可读，但难以编辑。又如：安全策略的分类基于应用场合的分类军事安全策略/政府安全策略以提供信息机密性为主要目的也涉及完整性、可记账性以及可用性商业安全策略以提供完整性为主要目的面向事务也要涉及机密性、可记账性以及可用性安全策略的分类基于应用场合的分类Lipner指出了商业安全策略中需注意的五个方面用户不能写自己的程序程序员可以在非产品的系统中开发和测试程序必须要有一个特殊处理上述特殊处理必须被控制和审计管理员和审计员能访问系统状态和系统日志体现了职责分离、功能分离、审计三个原则Lipner指出了商业安全策略中需注意的五个方面基于安全策略内涵的分类内涵如下：信息的机密性、完整性、可用性谁可以以何种方式去访问什么样的信息根据什么来制定访问策略：用户ID或其他最大化共享or最小特权任务分离？集中管理or分散管理等等基于安全策略内涵的分类内涵如下：访问控制策略：针对前两个方面分类反映系统的机密性和完整性要求确立相应的访问规则以控制对系统资源的访问访问支持策略：针对后两个方面分类反映系统的可记账性要求和可用性要求支持访问控制策略访问控制策略：针对前两个方面分类3.3访问控制策略访问控制属性主体：系统内行为的发起者。通常是用户发起的进程普通用户：一个获得授权可以访问系统资源的自然人。

授权包括：对信息的读/写/删除/追加/执行以及授予/撤销另外一个用户对信息的访问权限等等。信息的拥有者：该用户拥有对此信息的完全处理权限（如上），除非，该信息被系统另外加以访问控制。系统管理员：为使系统能正常云展，而对系统的运行进行管理的用户3.3访问控制策略访问控制属性客体：系统内所有主体行为的直接承担者。一般客体：在系统内以客观、具体的形式存在的信息实体，如文件、目录等设备客体：指系统内的设备，如软盘、打印机等特殊客体：某些主体客体：系统内所有主体行为的直接承担者。系统必须选择下列三类相关属性进行访问控制策略。主体属性客体属性系统环境（上下文）具体而言，涉及如下五个主要方面：系统必须选择下列三类相关属性进行访问控制策略。1）用户特征，即主体属性。这是系统用来决定访问控制的最常用的因素。一个用户的任何属性均可作为访问控制的决策点，如年龄、性别、居住地、出生日期等。常用的有：用户ID/组ID；

例如用于Unix按位的访问控制、常规自主访问控制用户访问许可级别；

例如用于强制访问控制。“需知”原则；角色；权能表1）用户特征，即主体属性。这是系统用来决定访问控制的最常用的2）客体特征，即客体属性也是访问控制策略的很重要的一部分。一般涉及如下几个方面：敏感性标签；（用于强制访问控制）TCSEC中将信息的安全等级分为：

Unclassified（无等级信息）

Confidential（机密信息）

Secret（秘密信息）

Topsecret（绝密信息）还模拟人力资源系统的分类，形成如下范畴：

如参谋部；作战部；后勤部。因此，一个敏感性标签由2部分组成：

信息的敏感性级别和范畴2）客体特征，即客体属性也是访问控制策略的很重要的一部分。访问控制表（用于自主访问控制）表示系统中哪些用户可以对此信息进行何种访问。由信息的拥有者加以管理。访问控制表（用于自主访问控制）3）外部状态某些策略是基于系统主客体属性之外的某些状态来制定的，例如地点，时间，状态另外，前述大多属性为静态信息，也有些访问策略可能是基于动态信息的地点：例如来自总经理办公室的人员才能被允许看某些文件时间：对系统内信息的访问可能会随着时间的变化而变化。例如，某报社内第二天将要出版的新闻稿：

在第二天早上9点前后的敏感性就不一样状态：例如问一个人问题，他高兴与否，结果可能不一样…3）外部状态某些策略是基于系统主客体属性之外的某些状态来制定4）数据内容/上下文属性某些可能基于数据的值。例如Sunny可能不被允许看到月薪超过15K￥的员工的文件。某些可能基于上下文。这种访问机制具有较大的动态性，适用于数据库之类的应用5）其他属性4）数据内容/上下文属性自主访问控制策略“自主”：

允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。自主访问控制策略通常基于系统内用户（如用户ID），加上对用户的访问授权（如权能表），或者客体的访问属性（如访问控制表ACL）来决定该用户是否有某权限访问该客体或者基于要访问信息的内容或者基于用户当时所处的角色等等自主访问控制策略“自主”：

允许系统中信息的拥有者按照自己的自主访问控制机制：通常在系统中实现。典型方式是

标明计算机系统内的用户和由此用户发起的进程对系统内给定信息的访问许可。例如：基于位掩码的保护方式，Unix基于访问控制表ACL的保护方式基于文件密码的保护方式自主访问控制机制：通常在系统中实现。对于访问申请，“引用监视器”根据系统自主访问控制策略来检查主体、客体及其相应的属性，或被用来实现自主访问控制的其他属性访问属性VS授权：允许or不允许对于访问申请，“引用监视器”根据系统自主访问控制策略来检查主自主访问控制的优点：访问模式设定灵活。读；写；执行；“每隔一周的周五可以读”；“读完文件x后才能读此文件”等等具有较好的适应性，常用与商用OS和应用中缺点：不能防范木马和某些形式的恶意代码。思考：一个用户的经典程序中隐藏了木马，将会如何？？自主访问控制，往往需要和强制访问控制结合起来自主访问控制的优点：自主访问控制，往往需要和强制访问控制结合强制访问控制策略经典场景：军事机密及其管理。无密级；保密；机密；绝密。强制访问控制，基于上述原型而来。主体/客体：贴上标签引用监视器：比较标签，决定是否许可效果：保证完整性和机密性强制访问控制策略经典场景：军事机密及其管理。强制访问控制的访问模式比较简单：读写在不同的需求下，访问控制策略的形式可能不同例如，在机密性要求下：低读；高写；而在完整性要求下：高读强制访问控制的访问模式比较简单：读写最显著的特征：全局性和永久性无论何时何地，主体和客体的标签是不会改变的。全局性：对特定的信息，从任何地方访问，它的敏感级别相同永久性：对特定的信息，在任何时间访问，它的敏感级别相同上述特征在多级安全体系中称为“宁静性原则”

（tranquility）一旦不满足该原则，则无法从根本上防备木马和恶意代码最显著的特征：全局性和永久性偏序关系对于一个具体的访问控制策略，若具有全局性和永久性，则其标签集合在数学上必会形成“偏序关系”（partialorder）支配关系：“≥”满足偏序关系的两个元素x和y，只可能存在3种关系x≥y；或者y≥x；或者无关：即x和y不可比偏序关系的特征反自身性：x≥x反对称性：若x≥y并且y≥x，则x＝y传递性：若x≥y并且y≥z，则x≥z偏序关系对于一个具体的访问控制策略，若具有全局性和永久性，则为保持全局性和永久性，标签的选择不能随便。举例，设主/客体的访问标签：敏感or公开

且，除周末外，系统内“公开”的主体可能访问“公开”的客体。

破坏了自反性；永久性。又如，允许“公开”的主体可以在周末访问“敏感”的客体。则“敏感”在周末前支配“公开”，而周末则反过来了。但由于“敏感”不等于“公开”，因此违反了反对称性，破坏了永久性。再如，引入“私有”标签。如果“私有”主体可以访问“敏感”客体，同时“敏感”主体可以访问“公开”客体，但若系统内存在某些“公开”客体，不能被“私有”主体访问，则违反了传递性，从而破坏了全局性。为保持全局性和永久性，标签的选择不能随便。因此，主客体访问标签不满足偏序关系的访问控制策略，不能称为强制访问控制策略，只能称之为自主访问控制策略。即，要么“强制”，要么“自主”，没有相交的部分两者最大的区别在于，是否能够防备木马和恶意程序的攻击若一个系统内有2个或以上的强制访问控制策略，则每个都必须分别满足偏序关系。例如机密性标签；完整性标签。因此，主客体访问标签不满足偏序关系的访问控制策略，不能称为强3.4访问支持策略访问支持策略，为保障访问控制策略的正确实施提供可靠的“支持”将系统中的用户与访问控制策略中的主体关联起来，即身份的合法性认证在用户进入系统后，执行与其身份不相称的操作或非法访问了它无权访问的文件，应“记录在案”等等3.4访问支持策略访问支持策略，为保障访问控制策略的正确实TCSEC中，将访问支持策略分为6类Identification&authentication，标识与鉴别Accountability，可记账性Assurance，确切保证Continuousprotection，连续保护Objectreuse，客体重用Covertchannels，隐通道处理TCSEC中，将访问支持策略分为6类标识与鉴别策略要求以一个身份来标识用户，并且此身份必须经过系统的认证与鉴别。在用户执行任何由系统TCB提供的操作前由用户登录系统完成TCB将保留用户的认证信息，并以此来验证用户的身份身份认证信息用户所知道的：最常见的实现机制：口令用户所拥有的用户是谁标识与鉴别策略要求以一个身份来标识用户，并且此身份必须经过系可记账性策略任何影响系统安全性的行为都要被跟踪并记录下来TCB必须拥有将用户ID与它被跟踪、审计下来的行为联系起来的能力审计信息必须有选择性的保留下来，并受到适当的保护一个可信系统必须能够将系统内发生的所有与安全相关的事件记录在审计日志文件中，并且所有的审计数据必须防止受到未授权的侵入、修改或者损坏，以作为日后对事件的调查的依据可记账性策略任何影响系统安全性的行为都要被跟踪并记录下来TCSEC规定，审计系统应能够记录以下事件与标识与鉴别机制相关的事件将客体导入用户地址空间的操作，如文件的打开操作，程序的启动等对客体的删除由系统管理员和/或系统安全管理员所执行的操作以及其他与安全相关的事件事件的审计记录项，一般应至少包含事件发生的日期和时间用户ID事件的类型事件的成功/失败信息对不同的需求，审计记录项可能还有其他信息TCSEC规定，审计系统应能够记录以下事件确切保证TCSEC中，确切保证是指

系统事先制定的安全策略能够得到正确地执行并且系统保护相关的元素能够真正精确可靠的实施安全策略的意图。作为扩展，确切保证必须

确保系统的TCB严格按照事先设计的方式来运行TCSEC规定了两种类型的确切保证生命周期保证：涉及系统设计、开发和维护各个环节操作保证确切保证TCSEC中，确切保证是指

系统事先制定的安全策略能生命周期保证安全系统开发企业要从系统的设计、开发和分发、安装、维护各个环节所制定的措施、目标以及执行的步骤加以保证必须进行严格的测试和评估任何改变，都要重新评估包括：安全性测试设计规范验证在B2级以上，还包括配置管理在A级，还要求可信分发生命周期保证安全系统开发企业要从系统的设计、开发和分发、安装操作保证是指用来保证系统在操作过程中安全策略不会被歪曲的功能特征和系统架构TCSEC要求的操作保证包括系统架构系统的完整性B2以上，还包括隐通道分析，可信实施管理以及可信恢复操作保证是指用来保证系统在操作过程中安全策略不会被歪曲的功能连续保护TCSEC的连续保护策略

要求可信机制的实施必须连续不断地保护系统免遭篡改和非授权的改变连续保护机制必须在计算机系统整个生命周期内起作用连续保护TCSEC的连续保护策略

要求可信机制的实施必须连续客体重用TCSEC，C2及以上开始重新分配给某些主体的介质（例如内存的页框、磁盘的簇、磁带）包含有一个或多个客体，为达到安全的重新分配这些资源的目的，这些资源在重新分配给新的主体时，不能包含任何残留信息即防止在系统中的存储介质在被重新分配时，确保曾经在介质中存放过的信息不会泄露给新的主体包括加密形式存在的信息客体重用TCSEC，C2及以上开始隐通道TCSEC关于隐通道的定义：

可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道存储隐通道时间隐通道使用带宽来衡量低带宽的威胁小（<100bps)但降低带宽，会影响合法用户的使用性能TCSEC从B2级开始要求分析隐通道，并估算其带宽，从而决定如何处理容忍存在、消除或审计隐通道TCSEC关于隐通道的定义：

可以被进程利用来以违反系3.5DTE策略DTE，Domain&typeenforcementR.O`Brien,C.Rogers,"DevelopingapplicationsonLOCK",14thNIST-NCSCNationalComputerSecurityConference,pp.147-156,1991.DTE是TE的一种扩展根据安全策略来限制进程的访问。3.5DTE策略DTE，Domain&typeenf域：与每个进程相关联类型：与每个对象相关联。访问时，DTEUnix首先进行DTE检查，然后进行标准的Unix检查访问模式：读r；写w；执行x；目录查找d；类型创建c每个inode包含3个指针：etype：一个目录或文件的型（always）rtype：目录下（递归）所有文件或子目录的型，包括这个目录utype：目录下（递归）所有文件或子目录的型，但不包括这个目录（always）域：与每个进程相关联以下规则决定文件的类型如果存在一条规则将etype赋给一个文件，则使用该规则；

若不存在，但存在一条规则将rtype赋值给这个文件的etype，则使用该规则；

若还不存在，则继承父目录的utype得到etype如果存在一条规则将utype赋给一个文件，则使用该规则；

若不存在，但存在一条规则将rtype赋值给这个文件的utype，则使用该规则；

若还不存在，则继承父目录的utype得到utype如果存在一条规则将rtype赋给一个晚间，则使用该规则；

若不存在，则rtype为空以下规则决定文件的类型域的转化自动转化：每当执行execve系统调用时，必须检查被执行文件是否为当前域能自动访问的目标域的入口点，如果是就进行域转化自愿转化：若被执行的文件是当前域能exec访问的目标域的入口点，而进程有要求进行这个域转化，那么域转化发生空的域转化：域没有发生变化域的转化自动转化：DTE策略文件由4个部分组成列举出所有的域和型给出所有域的详细定义对于每个域，说明它的名字、入口点文件、可允许的访问、可允许的域转化、可允许发送给其他域的进程的信号指定文件系统根及其的缺省类型，并指定一个初始域列出型分配规则DTE的语言：DTEL在引导装入程序时，从文件/dte/dte.conf中读出DTE策略DTE的管理就是对这个文件进行编辑。系统必须重新引导，更改才能生效。DTE策略文件由4个部分组成3.5.1域的划分DTE策略把所有的进程分为如下7个域守护进程域daemon_d(/sbin/init):

init进程；init进程创建的其他进程

都在daemon_d域中(auto->login_d,trusted_d):

直到某个进程调用login_d域的入口程序login，或者

调用trusted_d域的入口程序fsck，syslogd等(rxd->sysbin_t):

不能修改系统二进制文件没有wx组合：

不能够生成一个随后可执行的程序(rd->base_t,conf_t)base_t缺省的赋给根（递归）conf_t赋给/etc及其下所有文件3.5.1域的划分DTE策略把所有的进程分为如下7个域可信域trusted_d入口文件：/sbin/{fsck,mount_mfs};/usr/sbin/syslogdtrusted_d不再转化到其他域能rwd型syslog_t和disk_tsyslog_t赋给系统审计日志文件

/usr/var/log,/usr/var/run/{syslog.pid,utmp}disk_t赋给磁盘设备特殊文件

/dev/{rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h}只有trusted_d和admin_d才能写访问这两个类型只能(rd->base_t,conf_t)可信域trusted_d注册域login_d入口文件/usr/bin/dtelogin在daemon_d、user_d、system_d、admin_d调用dtelogin的时候，都会自动转入login_d域中只有通过login_d域，才能按要求转入user_d、system_d、admin_d中，这是不可绕过的只有dtelogin能运行在login_t中，但不能调用其他任意二进制文件，除非是转入其他域的人口文件注册域login_drd->base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,ciper_t其中，secpolicy_t赋给/dte及其下所有文件ciper_t赋给目录/etc下的master.passwd,spwd.db,pwd.db,passwd和其他与认证相关的文件可以写访问usr_log_t的文件，即/usr/var/log下的wt