|
1.P2DR2模型的策略域分析
网络系统是由参与信息交互的各类实体元素构成,可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。
通信实体集的内涵表示发起网络通信的主体,如:进程、任务文件等资源;对于网络系统,表示各类通信设备、服务器以及参与通信的用户。网络的信息交互的业务类型存在多样性,根据数据服务类型、业务类型,可以划分为数据信息、图片业务、声音业务;根据IP数据在安全网关的数据转换服务,业务类型可以划分为普通的分组;根据TCP/IP协议传输协议,业务类型可以划分为 ICMP、TCP、UDP分组。信息安全系统根据不同安全服务需求,使用不同分类法则。通信交互时间集则包含了通信事件发生的时间区域集。
安全策略是信息安全系统的核心。大规模信息系统安全必须依赖统一的安全策略管理、动态维护和管理各类安全服务。安全策略根据各类实体的安全需求,划分信任域,制定各类安全服务的策略。
在信任域内的实体元素,存在两种安全策略属性,即信任域内的实体元素所共同具有的有限安全策略属性集合,实体自身具有的、不违反Sa的特殊安全策略属性Spi 。由此我们不难看出,S=Sa+ΣSpi.
安全策略不仅制定了实体元素的安全等级,而且规定了各类安全服务互动的机制。每个信任域或实体元素根据安全策略分别实现身份验证、访问控制、安全通信、安全分析、安全恢复和响应的机制选择。
|