般化的安全需求 冬机密性需求,防止信息被泄漏给未授权的用户 >自主安全策略、强制安全策略;需知原则 & 完整性需求,防止未授权用户对信息的修改 >维护系统资源在一个有效的、预期的状态,防止资源被不正确 不适当的修改;维护系统不同部分的一致性;防止在涉及记 账或审计的事件中“舞弊”行为的发生。 必 可记账性需求,防止用户对访问过某信息或执行过某一 操作以否认 冬可用性需求,保证授权用户对系统信息的可访问性 “授权用户的任何正确的输入,系统会有相应的正确的输出” ce and Te 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC
一般化的安全需求 ❖ 机密性需求,防止信息被泄漏给未授权的用户 ➢ 自主安全策略、强制安全策略;需知原则 ❖ 完整性需求,防止未授权用户对信息的修改 ➢ 维护系统资源在一个有效的、预期的状态,防止资源被不正确 、不适当的修改;维护系统不同部分的一致性;防止在涉及记 账或审计的事件中“舞弊”行为的发生。 ❖ 可记账性需求,防止用户对访问过某信息或执行过某一 操作以否认 ❖ 可用性需求,保证授权用户对系统信息的可访问性 ➢ “授权用户的任何正确的输入,系统会有相应的正确的输出
例子 机密性 完整性 可记账性 可用性 军事安全策略 侧重 商用安全策略 侧重 侧重 电信部门 侧重 软入式系统买尖殓室 EMBEDDED SYSTEM LABORATORY 写uzHou i悠TITUTE FOR ADVANCED写TuD¥可USTC
例子 机密性 完整性 可记账性 可用性 军事安全策略 侧重 商用安全策略 侧重 侧重 电信部门 侧重
3.2安全策略 冬安全策略: 针对面临的威胁决定采用何种对策的方法 >安全策略为针对威胁而选择和实行对策提供了框架 1958 of Science and Technol 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC
3.2 安全策略 ❖安全策略: 针对面临的威胁决定采用何种对策的方法 ➢安全策略为针对威胁而选择和实行对策提供了框架
3.1.1定义 安全系统”定义 在计算机安全领域内,一个系统是 “安全系统”是指该 系统达到了当初设计时所制定的安全策略的要求。 文 在有限状态自动机下 >安全策略:是“这样一种状态,它将系统状态分为已授权/安全 状态和未授权非安全的状态” 一个“"安全系统”:是”一个如果起始状态为授权状态,其后 也不会进入未授权状态的系统” 安全 不安全 S1 S2 t4 S3 t5 S4 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC
安全 不安全 3.1.1 定义 “安全系统”定义 ❖ 在计算机安全领域内,一个系统是“安全系统”是指该 系统达到了当初设计时所制定的安全策略的要求。 ❖ 在有限状态自动机下, ➢ 安全策略:是“这样一种状态,它将系统状态分为已授权/安全 状态和未授权/非安全的状态” ➢ 一个“安全系统”:是“一个如果起始状态为授权状态,其后 也不会进入未授权状态的系统” S1 S2 S3 S4 t1 t2 t4 t5 t3
策略语言 ?策略语言:用来表达安全性或完整性策略的语言 必策略与实现无关,它描述对系统中实体或行为的 约束 1958 必高级策略语言 >使用抽象的方法表达对于实体的约束 >精确 低级策略语言 >根据输入或者调用选项来表达对系统中的程序约束 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC
策略语言 ❖策略语言:用来表达安全性或完整性策略的语言 ❖策略与实现无关,它描述对系统中实体或行为的 约束 ❖高级策略语言 ➢使用抽象的方法表达对于实体的约束 ➢精确 ❖低级策略语言 ➢根据输入或者调用选项来表达对系统中的程序约束