网络信息安全中安全策略模型包括，网络安全中哪几个信息进行规定策略的控制

《网络安全中基于安全策略模型的信息控制策略》

一、网络信息安全中的安全策略模型概述

在网络信息安全领域，安全策略模型是构建有效安全防护体系的关键框架，常见的安全策略模型包括自主访问控制（DAC）模型、强制访问控制（MAC）模型以及基于角色的访问控制（RBAC）模型等。

1、自主访问控制（DAC）模型

- 自主访问控制模型中，资源的所有者对资源的访问权限具有很大的控制权，所有者可以决定哪些主体（如用户、进程等）能够访问该资源，以及以何种方式访问，在一个企业内部的文件共享系统中，员工创建了一个文档，他可以自行设置哪些同事能够读取、修改或者执行这个文档，这一模型主要是基于身份标识和访问规则的，主体通过明确的授权操作来赋予其他主体对资源的访问权限。

图片来源于网络，如有侵权联系删除

- DAC模型也存在一些局限性，由于所有者有较大的权限，如果所有者的安全意识不足或者权限被恶意利用，可能会导致信息的不当泄露，一个员工可能误将机密文件的访问权限开放给了不应该访问的人员，在大型复杂的网络环境中，管理大量的自主授权会变得非常复杂，难以确保整体的安全性。

2、强制访问控制（MAC）模型

- MAC模型依据主体和客体的安全级别进行访问控制，主体（如用户、进程等）和客体（如文件、设备等）都被赋予了不同的安全级别标签，如绝密、机密、秘密、公开等，系统根据这些标签来决定主体是否能够访问客体，只有当主体的安全级别高于或等于客体的安全级别时，访问才被允许，在军事或政府的机密信息系统中，只有具有相应安全级别许可的人员才能访问特定级别的机密文件。

- 这种模型的优点是安全性较高，能够有效地防止信息的泄露和非法访问，它的灵活性较差，因为它是基于严格的安全级别划分，不便于在一些需要灵活协作的环境中应用，在一个科研项目中，不同安全级别的研究人员可能需要频繁地共享和交流数据，MAC模型可能会对这种协作造成一定的阻碍。

3、基于角色的访问控制（RBAC）模型

- RBAC模型通过角色来管理访问权限，首先定义不同的角色，如经理、工程师、秘书等，然后将访问权限与角色相关联，而不是直接与用户相关联，当用户被分配到某个角色时，就自动获得了该角色所对应的访问权限，在一个企业的管理系统中，经理角色可能具有查看和审批财务报表、员工绩效评估等权限，而工程师角色可能具有访问项目文档、使用研发工具等权限。

- RBAC模型的优势在于它的可管理性和灵活性，对于企业来说，当员工的职位发生变化时，只需要改变其角色，而不需要重新逐个设置访问权限，它也便于根据企业的组织结构和业务流程来分配权限，提高了安全性和工作效率，RBAC模型的实施需要对企业的角色和权限有清晰的定义，如果定义不准确，可能会导致权限分配的不合理。

二、网络安全中依据安全策略模型进行信息控制的策略

图片来源于网络，如有侵权联系删除

1、身份认证相关信息的控制

- 在网络安全中，身份认证是确保合法访问的第一道防线，无论是采用DAC、MAC还是RBAC模型，都需要准确地识别主体的身份，对于身份认证相关信息，如用户名、密码、数字证书等，需要进行严格的控制策略，密码应满足一定的复杂度要求，如包含字母、数字和特殊字符，并且定期更新，在MAC模型下，高安全级别的用户可能需要更高级别的身份认证方式，如多因素认证，包括指纹识别、令牌认证等。

- 在RBAC模型中，身份认证信息也与角色相关联，不同角色可能有不同的身份认证要求，对于企业的财务角色，可能需要额外的身份验证步骤，如通过安全密钥进行二次认证，以确保涉及资金等重要信息的安全性。

2、资源访问权限相关信息的控制

- 根据不同的安全策略模型，资源访问权限相关信息的控制方式有所不同，在DAC模型中，资源所有者的授权信息是关键，需要记录所有者对每个主体的授权操作，包括授权的时间、访问类型（读、写、执行等）等信息，要对这些授权信息进行审计，以便在出现安全问题时能够追溯。

- 在MAC模型下，资源和主体的安全级别标签是核心的权限控制信息，这些标签需要准确地定义和维护，确保其与实际的安全需求相符，当一个文件的机密等级提升时，要及时更新其安全级别标签，并调整相关主体的访问权限，在RBAC模型中，角色与权限的映射关系信息至关重要，企业需要明确每个角色所对应的具体权限，并且随着业务的发展和变化，及时更新这些映射关系。

3、审计与监控相关信息的控制

- 为了确保网络安全策略的有效实施，审计与监控相关信息的控制不可或缺，在所有的安全策略模型中，都需要记录主体对客体的访问操作，包括访问的时间、来源、操作类型等，这些审计信息可以帮助发现潜在的安全威胁，如异常的访问行为，在DAC模型中，如果发现某个用户频繁地对不属于自己的资源进行访问尝试，可能存在安全风险。

图片来源于网络，如有侵权联系删除

- 在MAC模型下，审计信息可以用于检查是否有违反安全级别访问规则的行为，低安全级别的主体试图访问高安全级别的资源时，审计系统能够及时发现并报警，在RBAC模型中，审计信息有助于分析角色权限的合理性，如果某个角色频繁地执行超出其正常权限范围的操作，可能意味着角色的权限定义存在问题，需要进行调整。

4、网络环境信息的控制

- 网络环境信息包括网络拓扑结构、网络地址、网络服务等方面的信息，在网络安全策略中，需要对这些信息进行有效的控制，在MAC模型下，不同安全级别的网络区域可能被划分开来，只有符合安全级别要求的主体才能访问特定的网络区域，对于网络服务，如Web服务、数据库服务等，需要根据安全策略模型设置访问控制。

- 在RBAC模型中，不同角色可能被允许访问不同的网络服务，企业的网络管理员角色可以访问网络设备的配置服务，而普通员工角色只能访问一些基本的办公网络服务，在DAC模型中，网络环境信息的控制也与资源所有者的授权相关，网络共享文件夹的所有者可以决定哪些主体能够通过网络访问该文件夹。

网络信息安全中的安全策略模型为网络安全中的信息控制提供了基本的框架和方法，通过对身份认证、资源访问权限、审计监控和网络环境等多方面信息的有效控制，可以构建一个较为完善的网络安全防护体系，适应不同的网络应用场景和安全需求。

标签： #网络信息安全