安全策略是对系统安全需求的形式化或非形式化描述。而安全需求则是从有关管理、保护和发布敏感信息的法律、规定和实施细则中导出的。基于系统安全策略的定义和内涵可将其分为两大类:访问控制策略和访问支持策略。访问控制策略反映系统的机密性和完整性要求,确立相应的访问控制规则以控制对系统资源的访问。访问支持策略反映系统的可追究性(accountability)和可用性要求,以支持访问控制策略的面貌出现。安全模型的目的就在于明确地表达这些需求。
安全模型有下列特点:
(1)它是精确的,无歧义的。
(2)它是简单和抽象的,容易理解的。
(3)它是一般的,只涉及安全性质,不过度地抑制系统的功能或其实现。
(4)安全模型是安全策略的明显表现。
安全模型一般分为两种:形式化的安全模型和非形式化的安全模型。非形式化安全模型仅模拟系统的安全功能;形式化安全模型则使用数学模型,精确地描述安全性及其在系统中使用的情况。
8.3.1 机密性安全模型
本节主要介绍具有代表性的Bell-LaPadula机密性安全模型。
Bell-LaPadula模型(简称BLP模型)是D.Elliott Bell和Leonard J.LaPadula开发的,为了将遵守军事安全策略的计算机操作模型化。这项工作的先期工作是在凯斯西储大学进行的,该模型的最终目的是描述计算机的多级安全操作规则。
在BLP模型中将主体定义为能够发起行为的实体,如进程;将客体定义为被动的主体行为承担者,如数据、文件等。BLP模型的安全策略包括两部分:自主安全策略与强制安全策略。自主安全策略是用一个访问矩阵来表示的,它包括读、写、运行,及控制等存取模式,其中控制模式用来表示主体是否可以将它对某一客体的存取权转移给其他主体。强制安全策略是由系统对所有的主体和客体都分配一个访问类属性,包括主体和客体的密级和范畴,系统通过比较主体与客体的访问类属性控制主体对客体的访问。主体对客体的访问分为四种形式:
(1)向下读。主体安全级别高于客体信息资源的安全级别时,允许读操作。
(2)向上读。主体安全级别低于客体信息资源的安全级别时,允许读操作。
(3)向下写。主体安全级别高于客体信息资源的安全级别时,允许写操作。(www.xing528.com)
(4)向上写。主体安全级别低于客体信息资源的安全级别时,允许写操作。
BLP模型是一个状态机模型,形式化地定义了系统、系统状态以及系统状态间的转换规则;定义了安全概念;制定了一组安全特性,以此对系统状态和状态转换规则进行约束,使得对于一个系统而言,如果它的初始状态是安全的,并且所经过的一系列规则转换都保持安全,那么可以证明该系统的结束也是安全的。
BLP模型在军事和商业界的安全操作系统、安全文件系统和安全数据库系统中得到了广泛的应用和实践。但实践表明,严格实施原型Bell-LaPadula模型的安全性质的系统往往是不实际的。另外,BLP主要注重保密性控制,控制信息从低安全级传向高安全级(只允许向下读、向上写),而缺少完整性控制。向上写操作存在潜在的问题,不能有效地限制隐蔽通道。
8.3.2 完整性安全模型
BLP模型通过防止非授权信息的扩散保证系统的安全,但它不能防止非授权修改系统信息。于是Biba等人在1977年提出了第一个完整性安全模型——Biba模型,其主要应用类似BLP模型的规则来保护信息的完整性。Biba模型也是基于主体、客体以及它们级别的概念。Biba模型将完整性威胁分为来源于子系统内部和外部的威胁。如果子系统的一个组件是恶意或不正确,则产生内部威胁;如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子习题,则产生外部威胁。Biba认为内部威胁可以通过程序测试来解决,所以模型主要针对外部威胁,解决了完整性的第一个目标:防止非授权用户的篡改。
Biba模型被用于解决应用程序数据的完整性问题,能够防止数据从低完整性级别流向高完整性级别,Biba模型有三条规则提供这种保护:
(1)当完整性级别为“中完整性”的主体访问完整性级别为“高完整性”的客体时,主体对客体可读不可写,也不能调用主体的任何程序和服务。
(2)当完整性级别为“中完整性”的主体访问完整性级别为“中完整性”的客体时,主体对客体可读可写。
(3)当完整性级别为“中完整性”的主体访问完整性级别为“低完整性”的客体时,主体对客体可写不可读。
Biba模型的不足有以下几点:
(1)完整标签确定的困难性。由于BLP机密性策略可以与政府分级机制完美结合,所以很容易确定机密性标签的分级和范畴,但是对于完整性的分级和分类一直没有相应的标准予以支持。
(2)Biba认为内部完整性威胁应该通过程序验证来解决,但在该模型中并没有包括这个要求,因此Biba模型在有效保护数据一致性方面是不充分的。
(3)对于Biba模型和BLP模型的结合,虽然原理上是简单的,但是由于应用的内在复杂性,同时满足安全性和完整性目标是难以配合使用的,当保密性和完整性都受到充分的重视后,很容易出现进程不能存取任何数据的局面。另外,即使一个已经实现了BLP模型和Biba模型的系统也不能抵御病毒攻击。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
