第八章操作系統(tǒng)安全技術(shù)-訪問控制模型計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)從安全屬性的角度來看，信息安全性包括機密性、完整性和可用性。信息安全屬性通過安全策略來描述。安全策略（SecurityPolicy）是為了描述系統(tǒng)的安全需求而制定的對用戶行為進(jìn)行約束的一整套嚴(yán)謹(jǐn)?shù)囊?guī)則。這些規(guī)則規(guī)定系統(tǒng)中所有授權(quán)的訪問，是實施訪問控制的依據(jù)。什么是訪問控制模型訪問控制模型操作系統(tǒng)安全技術(shù)訪問控制模型是安全策略的具體實現(xiàn)。它依據(jù)一定的授權(quán)規(guī)則，對提出的資源訪問加以控制。訪問控制是網(wǎng)絡(luò)安全防護(hù)技術(shù)的主要安全策略之一，其基本任務(wù)是：防止對資源的非法訪問（包括非法用戶訪問資源和合法用戶以未授權(quán)的方式訪問資源）保證合法用戶合理訪問資源訪問控制模型的主要內(nèi)容包括兩個方面：（1）安全策略所涉及的實體（如資源、用戶等）；（2）組成安全策略的規(guī)則。什么是訪問控制模型？訪問控制模型操作系統(tǒng)安全技術(shù)訪問控制模型什么是訪問控制模型？訪問控制模型是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。Lampson在1992年提出了訪問控制模型操作系統(tǒng)安全技術(shù)訪問控制模型訪問控制模型的理論基礎(chǔ)訪問控制模型的理論基礎(chǔ)是：狀態(tài)機模型和信息流模型。狀態(tài)機模型是描述系統(tǒng)處于任何狀態(tài)是否安全的系統(tǒng)模型。信息流模型是狀態(tài)機模型的具體化，在這個模型中，信息的傳遞被抽象成流的形式。操作系統(tǒng)安全技術(shù)訪問控制模型常見的訪問控制模型常見的訪問控制模型包括：（1）Bell-LaPadula模型（2）Lattice安全模型（3）Biba模型（4）ClarkWilson模型（5）ChineseWall模型操作系統(tǒng)安全技術(shù)BLP安全模型對主體和客體按照強制訪問控制的原則進(jìn)行分類，其數(shù)據(jù)和用戶被劃分為以下安全等級：（1）公開（Unclassified）（2）受限（Restricted）（3）秘密（Confidential）（4）機密（Secret）（5）絕密（TopSecret）Bell-LaPadula模型（BLP）訪問控制模型操作系統(tǒng)安全技術(shù)Bell-LaPadula模型（BLP）訪問控制模型操作系統(tǒng)安全技術(shù)Lattice模型訪問控制模型Lattice模型中客體和主體被劃分為公開、受限、秘密、機密和絕密Lattice模型采用一個稱之為“格”（Lattice）的數(shù)學(xué)概念來描述主體和客體所擁有的安全級別。格包括一組成員（主體或客體），并描述了這些成員的安全邊界，該安全邊界的上限為一個最高安全級別，而其下限是一個最低安全級別。操作系統(tǒng)安全技術(shù)Biba模型基于兩個規(guī)則來保障數(shù)據(jù)的完整性：（1）無下讀(NRU)屬性：主體不能讀取安全級別低于它的數(shù)據(jù)；（2）無上寫(NWD)屬性：主體不能寫入安全級別高于它的數(shù)據(jù)。Biba模型訪問控制模型操作系統(tǒng)安全技術(shù)Clark-Wilson完整性模型的核心是基于“事務(wù)”（Transaction）：形式化描述的事務(wù)是將系統(tǒng)從一種狀態(tài)轉(zhuǎn)換到另外一個狀態(tài)的一組操作。借助于事務(wù)，將保障數(shù)據(jù)完整性轉(zhuǎn)換為保障事務(wù)的完整性。為了達(dá)到分離的目的，要求事務(wù)校驗和事務(wù)實現(xiàn)必須由不同的實體來完成。事務(wù)校驗是指檢驗一個事務(wù)是否會將系統(tǒng)從安全狀態(tài)改變?yōu)榉前踩珷顟B(tài)；而事務(wù)實現(xiàn)是將系統(tǒng)從一個安全狀態(tài)改變?yōu)榱硗庖粋€安全狀態(tài)。Clark-Wilson完整性模型訪問控制模型操作系統(tǒng)安全技術(shù)ChineseWall安全策略的基礎(chǔ)是主體訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突。為此，ChineseWall安全模型的兩個主要規(guī)則是：（1）主體必須選擇一個它可以訪問的客體類別；