系统安全第七次作业题目及答案

一、

1.RBAC0 RBAC1 RBAC2 RBAC3

2.属性 身份标识

3.接入访问控制 资源访问控制 网络端口和节点的访问控制

二、

1.B

2.A

3.ABE

4.BCD

5.ABC

三、

1.

答：基于属性的访问控制（ABAC）是通过对实体属性添加约束策略的方式实现主、客体之间的授权访问。ABAC模型以属性为最小的授权单位，替代基于角色的访问控制模型中以身份标识为依据的授权方式，以满足开放网络环境下资源访同控制的要求。根据信息系统预先定义的安全策略，对提出访间请求的主体，依据其拥有的属性特征集、客体特征属性集和相应的环境属性特征集进行授权决策。在基本的ABAC模型中主要涉及三类实体属性：主体属性、客体属性、环境属性和权限属性。

2.

答：

BLP模型：

1. 安全策略：

BLP模型的目的是保护数据的机密性，但无法阻止未授权主体 修改客体信息，破坏其完整性，其基本安全策略是“下读上写”，即主体对客体向下读、向上写，保证敏感信息不泄漏。

1. 安全访问规则：

BLP模型的安全访问规则包括两类:强制安全访问规则和自主安全访问规则：
安全访问规则可以用三元组 (s，o，m) 表示主体s能够以权限m访问客体o；m = M(s, o)表示主体s能够以权限m访问客体o
其中M为访问矩阵;f是主体或客体的安全级别函数，其定义为f: s∪o→L，其中L为安全级别的集合。
（1）简单安全性访问规则：如果主体s对客体o有读权限，则前者的安全级别不低于后者，又被称为“下读”原则。
（2）*安全性访问规则：如果一个主体s对客体o有追加记录权限， 则后者的安全级别一定不低于前者，又被称为“上写”原则。
（3）自主安全访问规则：这个规则保证主体s对客体o的权限是通过自主授权来进行的。

1. 适用范围：

BLP模型是第一个信息系统多级安全模型，也是安全策略形式化的第一个数学模型，它反映了多级安全策略的安全特性和状态转换规则。目的是保护数据的机密性，它将客体的安全级别分为绝密、机密、秘密和公开等四类。该模型详细说朋计算机系统的多级操作规则，对应军事类型的安全级别分类，其基本安全策略是“下读上写”，即主体对客体向下读、向上写，保证敏感信息不泄漏。

上述规则保证了客体的高度机密性，保证了系统中信息的流向是单向不可逆的，即信息总是从低密级的主体向高密级的主体流动，避免敏感信息的泄露。同时，利用BLP模型可以分析同一台计算机上并行运行不同密级的数据处理程序的安全性问题，可以检验高密级处理程序是否把敏感数据泄漏给了低密级外理程序，或低密级处理程序是否访问了高密级数据。

1. 可能存在的问题：

BLP模型存在隐蔽通道问题：隐蔽通道是指不在安全策略控制范围内的通信通道。由于BLP模型允许低密级的主体向高密级的客体写入，即“上写”，这将带来潜在的隐藏通道问题。
例如，在一个信息系统中，进程B的许可级别低于文件data的安全级别，即进程B可以向文件data中写入，但不能读取文件data。根据BLP模型，进程可以写打开或关闭文件data。当进程B为写而成功打开文件data时，将返回一个文件已打开的标志信息，但这个标志信息可以成为一个隐蔽通道，将高安全级别的信息传送到低安全级别的区域。

Biba模型：

1. 安全策略：

Biba模型可以保护信息的完整性，类似于BLP模型，每个主体和客体都被分配一个完整性属性，它包括一个完整性级别和范围。Biba模型规定，信息只能从高完整性等级向低完整性等级流动，为此，它将完整性等级从高到低分为三级：关键级（Critical,C)，非常重要(Very Important，VI)和重要(Important，I)，它们的关系为C>VI>I。

1. 安全访问规则：

1. 非自主安全访问规则：
   Biba模型中有5种非自主安全访问规则:严格完整性规则，下限标记策略(针对主体的下限标记规则，针对客体的下限标记规则，下限标记完整性审计规则)，环规则。
2. 自主安全访问规则：
   访问要求:
   一个主体仅在环允许的范围内对客体拥有modify访问方式。

一个主体仅在环允许的范围内拥有对另一个具有更高权限的主体的invoke访问方式。
一个主体仅在环允许的范围内对客体拥有observe访问方式。
访问规则:访问控制表、客体层次结构和环

1. 适用范围：

Biba模型是一个完整性模型，但却是一个与BLP模型完全相反的模型，一旦将保密性和完整性同时考虑时，必须注意不要混淆保密性访问和完整性访问，它们两个是相互独立的，之间没有任何关系。Biba模型的优势在于其简单性以及与BLP模型相结合的可能性。

1. 可能存在的问题：
   ①完整性级别的标签确定困难：由于Biba模型的机密性策略与政府分级机制完美结合，所以很容易确定机密性标签的分级和范围，但对于完整性的分级和分类一直没有相应的标准支持。
   ②Biba模型的目的性不明确：Biba模型保护数据免受非授权用户的恶意修改，同时认为内部完整性威胁应该通过程序验证来解决，但在该模型中没有包含这个要求，因此，Biba模型在保护数据一致性方面不充分。
   ③Biba模型与BLP模型结合困难：虽然这种实现机密性和完整性的方法在原理上是简单的，但是由于许多应用内在的复杂性，使得人们不得不通过设置更多的范围来满足这些复杂应用在机密性和完整性方面的要求，这些不同性质的范围在同时满足机密性和完整性目标方面是很难配合使用的，很容易出现进程不能访问任何数据的局面。同时，Fred Cohen已经证明即使使用了BLP模型和Biba模型，也无法抵御病毒的攻击。

3.

答：

（1）角色互斥：

角色互斥分为静态互斥和动态互斥两种方式。
静态角色互斥：只有当一个角色与用户所属的其他角色彼此不冲突时，这个角色才能授权给该用户。它发生在角色分配阶段。
动态角色互斥：只有当一个角色与一个主体的任何一个当前活跃角色都不互斥时，这个角色才能成为该主体的另一个活跃角色。它发生在会话选择阶段。

（2）角色继承

在RBAC中，定义了这样一些角色，它们有自己的属性，但可能还继承了其他角色的权限。角色继承是将角色组织起来，自然反映系统内部角色之间的权利、责任关系。角色继承可以用“父子”关系来表示。