在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家介紹了系統(tǒng)架構和設計的第一部分,因為這個部分里的安全模型概念是CISSP考試考察的一個重點,同時目前所有的系統(tǒng)和軟件都是基于這些安全模型來設計安全原則的,所以J0ker打算在本文中詳細介紹這些安全模型:
我們都知道,信息安全的目的就是要保證信息資產(chǎn)的三個元素:保密性,完整性和可用性(CIA),CIA這個也就是這三個元素開始為人們所關注的時間的先后。現(xiàn)在系統(tǒng)設計中所使用的安全模型的出現(xiàn)的順序也大概如此,先出現(xiàn)專門針對保密性的BLP模型,然后出現(xiàn)針對完整性的Biba模型、Clark-Wilson模型等,在訪問控制中所使用的訪問控制列表/矩陣(Access Control List(ACL)/Access Control Matrix(ACM)),在CISSP的CBK內(nèi)容中也把它劃分到安全模型的范圍內(nèi)。順便說明一下,因為可用性本身涉及到的因素很多,并沒有一個被廣泛接受的通用安全模型,所以CISSP的CBK里只要求掌握針對保密性和完整性的安全模型。
安全模型所依賴的理論基礎——狀態(tài)機模型和信息流模型
狀態(tài)機(State Machine)模型是信息安全里用來描述無論何時狀態(tài)都是安全的系統(tǒng)模型,而處于特定時刻系統(tǒng)的快照便是一種狀態(tài)(State),如果這種狀態(tài)滿足安全策略的要求,我們就可以認為它是安全的。許多活動會導致系統(tǒng)狀態(tài)的改變,稱之為狀態(tài)轉換(States transaction),如果這些活動都是系統(tǒng)所允許而且不會威脅到系統(tǒng)安全的,則系統(tǒng)執(zhí)行的便是安全的狀態(tài)機模型(Secure State Machine)。一個安全狀態(tài)機模型總是從安全的狀態(tài)啟動,并且在所有狀態(tài)的轉換中保證安全,并只允許行為的實施者以符合安全策略要求的形式去訪問資源。
信息流(Information flow)模型是狀態(tài)機模型的具體化,在這個模型中,信息在的傳遞被抽象成流的形式,大家可以想象一下水流的樣子。信息流模型由對象,狀態(tài)轉換和信息流策略所組成,其中的對象可以是用戶,每個對象都會根據(jù)信息流策略分配一個安全等級和具體化的數(shù)值。信息流不單可以處理信息流的流向,同時它還可以處理信息流的種類——在BLP模型中,信息流模型處理的便是保密性,而在Biba模型中信息流所處理的則變成完整性。由于信息流動的行為可以在同安全級別的主體和客體之間發(fā)生,也可以在不同一個安全級別的情況下發(fā)生,所以信息流模型主要用于防止未授權的、不安全的或受限制的信息流動,信息只能夠在安全策略允許的方向上流動。
狀態(tài)機模型和信息流模型的進一步具體化就是CISSP CBK中所包括的安全模型,CISSP CBK中所提到的安全模型有:Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、訪問控制矩陣模型、China Wall模型、Lattice模型。下面J0ker將向大家逐一介紹。
前面說過,在信息安全目標的三個元素里面最先為人們所關注的是保密性,因此,在1973年出現(xiàn)了第一個針對保密性的安全模型——Bell-Lapadula模型,這個模型由David Bell和Len Lapadula為美國國防部的多級安全策略的具體化而開發(fā)。它基于強制訪問控制系統(tǒng)(MAC),以信息的敏感度作為安全等級的劃分標準,它的特點如下:
◆基于狀態(tài)機和信息流模型
◆只針對保密性進行處理
◆基于美國政府信息分級標準——分為:Unclassified、Restricted、Confidential、Secret、Top Secret
◆使用“Need to know” 原則
◆開始于安全狀態(tài),在多個安全狀態(tài)中進行轉換(要求初始狀態(tài)必須為安全,轉換結果才在安全狀態(tài))
 |
| 圖1 |
上圖 來自CISSP Official Guide,是BLP模型的安全策略示意圖,BLP模型規(guī)定,信息只能按照安全等級從下往上流動,或者根據(jù)策略的規(guī)定在同安全級別間流動。
由于BLP模型存在不保護信息的完整性和可用性,不涉及訪問控制等缺點,1977年Biba模型作為BLP模型的補充而提出,它針對的是信息的完整性保護,主要用于非軍用領域。它和BLP模型相類似,也是基于狀態(tài)機和信息流模型,也使用了和BLP模型相似的安全等級劃分方式,只不過Biba模型的劃分標準是信息對象的完整性。
 |
| 圖2 |
上圖 來自于CISSP Official Guide,Biba模型規(guī)定,信息只能從高完整性的安全等級向低完整性的安全等級流動,也就是要防止 低完整性的信息“污染”高完整性的信息。
我們知道,信息安全對完整性的要求有3個目標:防止數(shù)據(jù)不被未授權用戶修改、保護數(shù)據(jù)不被授權用戶越權修改、維護數(shù)據(jù)的內(nèi)部和外部一致性。Biba模型中只實現(xiàn)了完整性要求的第一點。于是,針對Biba模型的不足,1987年,另外一個完整性模型——Clark-Wilson模型被提出,這個模型實現(xiàn)了成型的事務處理機制,目前常用于銀行系統(tǒng)中以保證數(shù)據(jù)完整性。Clark-Wilson模型的特點是:
◆采用Subject/Program/Object 三元素的組成方式,Subject要訪問Object只能通過Program進行
◆權限分離原則:將關鍵功能分為由2個或多個Subject完成,防止已授權用戶進行未授權的修改
◆要求具有設計能力(Auditing)
因為Clark-Wilson模型因為使用了Program這一元素進行Subject對Object的訪問控制手段,因此Clark-Wilson模型也常稱為Restricted Interface模型。
訪問控制矩陣模型不屬于信息流模型,它主要用于Subject對Object的訪問進行控制的領域:
 |
| 圖3(點擊查看原圖) |
上圖 來自CISSP Official Guide,訪問控制矩陣模型定義了每一個Subject對每一個Object的訪問權限,而單個Subject對所用Object的訪問權限控制模型通常稱為訪問控制列表,也即Access Control List。
針對民用領域有對保密性控制靈活性的需求,同時安全要求也沒有政府和軍用領域的嚴格,Lattice模型作為BLP模型的擴展被提出。Lattice模型同樣是基于信息流和狀態(tài)機模型,但Lattice模型使用安全范圍來代替BLP模型里面的安全等級概念,已實現(xiàn)更靈活的保密性控制需求。
 |
| 圖4 |
如上圖,在Lattice模型中,一個Subject可以訪問安全級別基于Sensitive和Private之間的信息。這種權限設置常可以在企業(yè)中看到。
China Wall模型于1989年由Brew和Nash提出,這個模型和上述的安全模型不同,它主要用于可能存在利益沖突的多邊應用體系中。比如在某個領域有兩個競爭對手同時選擇了一個投資銀行作為他們的服務機構,而這個銀行出于對這兩個客戶的商業(yè)機密的保護就只能為其中一個客戶提供服務。China Wall模型的特點是:
◆用戶必須選擇一個他可以自由訪問的領域
◆用戶必須拒絕來自其他與其已選區(qū)域的內(nèi)容沖突的其他內(nèi)容的訪問。
以上的安全模型便是CISSP CBK中所包含的眾多經(jīng)典安全模型,在許多系統(tǒng)和應用也常常可以找到它們的使用,朋友們可以結合這些實際例子來加強理解。
下篇預告:《系統(tǒng)架構和設計-保護機制》,J0ker將向大家介紹系統(tǒng)架構和設計CBK中的保護機制部分,敬請期待!
