申美惠

摘要：多級安全策略的核心是將信息劃分為不同秘密級別，從而采取不同的保護措施，廣泛應用于軍事和商業(yè)環(huán)境中。該文介紹了基于多級安全策略的三個信息安全模型——Bell-LaPadula模型、Biba模型和Clark-Wilson模型。著重闡述了這三個模型的特點，并根據(jù)它們各自的特點進行了模型間的比較分析。

關鍵詞：信息安全模型；多級安全策；BLP模型；Clark-Wilson模型；Biba模型

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)20-4852-03

Analysis of Security Models Based on Multilevel Security Policy

SHEN Mei-hui

(Zhongnan University of Economics and Law, Wuhan 430073,China)

Abstract: The core of the multilevel security policy is to divide information into different security level. Information security model will adopt different protection measures according to the security levels. And the policy is widely used in military field and business environ? ment. This paper introduces three information security models based on multilevel security policy—Bell-LaPadula(BLP) model, Biba mod? el and Clark-Wilson model. It emphatically expounds the characteristics of the three models. And comparisons among them are given.

Key words: information security model; multilevel security policy; Bell-LaPadula model; Clark-Wilson model; Biba model

人類現(xiàn)在已經(jīng)進入信息化社會，計算機與網(wǎng)絡技術的發(fā)展為信息的獲取、處理與傳輸利用提供了非常先進的技術，但也為好奇者與入侵者提供了方便之門，使得計算機與網(wǎng)絡中的信息變得越來越不安全了。目前，信息安全評估標準是評價信息系統(tǒng)安全性或安全能力的尺度，而安全評價是以安全模型為基礎的。因此信息安全模型的研究至關重要，也是當前信息安全研究的前沿。該文主要針對多級信息安全模型進行分析和比較。

信息安全模型[1]采用形式化或非形式化的方法來精確的描述信息系統(tǒng)的安全策略。信息安全模型建立在體系結構之上，而信息安全體系結構建立在各種信息安全技術和方法機制之上，是各種機制的子集元素的有機結合體。

多級安全策略最初用于支持軍用系統(tǒng)和數(shù)據(jù)庫的安全保密。它根據(jù)信息的重要性和敏感程度將信息劃分為不同的密級，通常密級由低到高分為開放級、秘密級、機密級和絕密級[2]。多級安全策略通過密級確保信息僅能讓被具有高于或等于該密級權限的人使用，多級安全信息結構示意圖，如圖1。

目前基于多級安全策略的安全模型，較為著名的有Bell-LaPadula模型、Clark-Wilson模型以及Biba模型。

3.1模型特點

3.1.1 BLP模型特點

BLP保密性模型是第一個能夠提供分級數(shù)據(jù)機密性保障的安全策略模型。它同時也是第一個可以用數(shù)學方法證明的安全系統(tǒng)模型[9]。到目前為止，BLP模型仍是信息安全領域最為重要的模型之一，已經(jīng)成為了公認的最著名的多級安全模型，是多級安全策略的代名詞。

但BLP模型也存在一些不足，包括只處理秘密性沒有考慮完整性、包含隱通道、沒有制定修改訪問控制權限的策略，可信主體權限過大等。隨著計算機安全理論和技術的發(fā)展，BLP模型已經(jīng)不能滿足人們的需要[10]。3.1.2 Biba模型特點

Biba模型的優(yōu)勢在于其簡單性以及與BLP模型相結合的可能性。它的實現(xiàn)是直觀的和易于理解的。且可以比較容易地與BLP模型相結合以產(chǎn)生集機密性和完整性于一體的一體化安全模型。Biba模型是一種常見的商業(yè)安全模型[11]。

Biba模型的不足之處主要有：只解決了完整性問題，沒有解決機密性或可用性問題；專注于保護客體不受外界的威脅，假定內(nèi)部的威脅已被有效控制；沒有說明訪問控制管理，也沒有提供分配或改變主體或客體分類級別的方法；并沒有防止隱蔽通道。上述的不足，使Biba模型難以滿足實際系統(tǒng)的真正需求。

3.1.3 Clark-Wilson模型特點

雖然Clark-Wilson模型略顯復雜，且不能提供有效的機密性保護。但Clark-Wilson模型被業(yè)界認為是完整意義上的完整性目標、策略和機制的起源,是唯一實現(xiàn)三個完整性保護目標——防止未授權用戶修改數(shù)據(jù);保持數(shù)據(jù)的內(nèi)在和外在一致性;防止授權用戶以非授權的方式修改數(shù)據(jù)——的完整性模型[12]。

Clark-Wilson是為商業(yè)環(huán)境專門設計的安全模型，通常被用在銀行系統(tǒng)中來保證數(shù)據(jù)的完整性，是為現(xiàn)代數(shù)據(jù)存儲技術量身定制的，是一種適于商業(yè)應用的優(yōu)秀模型。3.2模型間的比較

BLP模型、Biba模型和Clark-Wilson模型都是基于多級安全策略的信息安全模型。在多級安全策略思想的基礎上，三者在設計和使用上都各有偏重。下面將從以下幾點對其差異性進行比較。

1）成熟度

這三種模型中BLP模型是最為成熟的。BLP模型于1973年被提出，是最早、最常用、最著名的多級安全模型，影響了很多安全模型的發(fā)展。其次是Biba模型，于1977年被提出。Clark-Wilson模型是最為年輕的一個模型，于1987年被發(fā)表，1989年進行了修正。

2）描述方式

由于BLP模型和Biba模型較為成熟，因而具有嚴格的形式化語言。而Clark-Wilson模型尚不具有形式化的描述語言。

3）保護目標

BLP模型主要是針對解決訪問控制的保密性問題，從而保護信息的安全。而Biba模型和Clark-Wilson模型則是著重研究與保護信息和系統(tǒng)的完整性。

4）適用領域

BLP模型是一種模擬軍事安全策略的模型，主要應用于軍事領域。Clark-Wilson模型則是為商業(yè)環(huán)境專門設計的安全模型，是為現(xiàn)代數(shù)據(jù)存儲技術量身定制的，適用于商業(yè)應用。而Biba則是屬于一種通用模型，適用范圍較廣。

5）優(yōu)點

BLP模型具有嚴格明確的安全等級劃分，能夠有效地防止信息從一個高安全級流向低安全級。Biba模型的優(yōu)勢則在于其簡單性、直觀易于理解，同時能夠與BLP模型相結合。而Clark-Wilson模型是唯一實現(xiàn)了三個完整性保護目標的安全模型。

6）不足

BLP模型只保護了信息的機密性而并沒有考慮完整性。與此相反的是，Biba模型和Clark-Wilson模型只關注了完整性問題，而沒有解決機密性問題。

對上述安全模型的分析比較匯總如表1所示。

表1模型特征分析比較

多級安全策略的核心是根據(jù)信息的重要性和敏感度，賦予信息不同的安全級別，從而采取不同的保護措施。多級安全策略有效地保護和控制了信息流的縱向傳播。但是對于信息流的橫向傳播沒有有效的管理機制。在實際應用中，多級安全策略常常與多邊安全策略相結合，從而對信息提供更加完善的保護機制。

基于多級安全策略的Bell-LaPadula模型、Biba模型和Clark-Wilson模型被廣泛應用于軍事領域和商業(yè)環(huán)境。但隨著信息技術和網(wǎng)絡的飛速發(fā)展，人們對于信息的安全需求也將會越來越高。單獨運用其中某一個安全模型已經(jīng)無法滿足實際的需求了。多個模型組合使用已經(jīng)成為了一種必然的趨勢。