信息安全管理：信息安全系统的技术规范模型

1 信息安全模型

信息安全模型利用数学符号和证明，是一个很好的参考去构建一个信息安全系统系统。
Models of Security
- Formal method is a process for building security into computer based systems while exploiting the power of mathematical notation and proofs
- To understand the relation between Security and Trust

1.1 两个角度

所有信息系统的功能和设计实施，其实都需要从两个角度来看，一个是用户的角度，一个是实施的角度。这样分开来有助于将来我们与用户和项目成员的交流沟通。
Two views of functions, of systems design

1.1.1 The user view

从用户的角度看，用户在意的是他的需求分析，看到他希望这个系统应该具备的功能。用户只能从综合上看待系统的可用性，所以，不需要告诉他实施的细节，只需要告诉用户你所实现的功能。
– Elicited during requirement analysis for a system, records what a system should do
– An aggregate of views
– independent of the details on the implementation
– Specification of the system

1.1.2 The implementation view

从实施的角度来看，系统是一个复杂庞大的综合性产品，需要极其细致的规划设计，实施的监控。一个好的设计和规范可以影响到每一个人。
– Built during system design and records as to how the system is to be constructed
– A design
– The design and specification should reflect each other

1.2 安全（security）和信任（trust）

和他人交流的时候，用信任（trust）程度，而不是安全（security），在安全模型中，我们也用信任程度而不是安全与否来讨论，（这主要指的是英文语义中security和trust的差别）。安全（security）是一个很绝对的概念，我们对安全的描述，只有安全和不安全。但世界上又没有绝对的安全，那么我们怎么来阐述我们系统的安全程度。所以，我们要引入信任（Trust）这个概念，信任是有等级之分的。所以在于他人交流的过程中，我们用信任（trust）的等级而不是安全（security）与别人交流，这样才能够在交流中达到比较一致的认知水平。

The relation between Security and Trust
Typically Security is binary (a Yes or No answer)
To Trust a systems other attributes may be necessary. such as:
- Functional correctness
- Enforcement of integrity
- Limited privileges
- Level of confidence

这里我们对比安全（security）和信任（trust）的相似之处和区别。
Attributes of security and trust

1.3 安全模型的作用

安全模型的作用主要用于测试（test）和编写文档（document），同时安全模型作为一个标准样例，可以节省设计者的很多时间，且可以比较容易地检查系统设计和实施的阶段与用户需求的差距。
Security models are used to
- Test a policy for completeness and consistency
- Document a policy
- Conceptualise and design an implementation
- Check if an implementation meets its requirements