8、信息安全：系统安全发展概述

信息安全：系统安全发展概述

在当今数字化时代，信息安全至关重要。从操作系统到数据库系统，从网络到新兴技术，各个领域都面临着不同的安全挑战。本文将详细介绍信息安全领域的发展历程、关键概念、各类安全系统以及构建安全系统的步骤。

1. 访问控制与其他安全概念

访问控制是信息安全的基础，主要分为 discretionary 访问控制和 mandatory 访问控制。
- Discretionary 访问控制 ：用户或用户组被授予对数据对象的访问权限，这些数据对象可以是文件、关系、对象或数据项。访问控制策略包括如用户 U 对关系 R1 有读访问权限，对关系 R2 有写访问权限等规则，也可以包括否定访问控制，即用户 U 对关系 R 没有读访问权限。
- Mandatory 访问控制 ：代表用户行事的主体根据某些策略被授予对对象的访问权限。著名的 Bell 和 LaPadula 策略规定，主体被授予安全级别，对象有敏感级别，安全级别形成一个偏序格：非机密 < 机密 < 秘密 < 绝密。主体对对象有读访问权限的条件是其安全级别高于对象的级别，有写访问权限的条件是其安全级别低于对象的级别。
- 基于角色的访问控制 ：根据用户的角色和执行的功能授予访问权限。例如，人事经理可以访问薪资数据，项目经理可以访问项目数据，通常基于“需要知道”的原则给予访问权限。

早期的访问控制策略是为操作系统制定的，后来扩展到数据库系统、网络和分布式系统等。此外，安全策略还包括管理策略、识别和认证策略。管理策略涉及数据的所有权、管理和分发，由数据库管理员和系统安全