复习-Security Architecture and Design（2）

                                                              作者：安言咨询 JOker

    安全架构和设计CBK里的安全模型概念是CISSP考试考察的一个重点，同时目前所有的系统和软件都是基于这些安全模型来设计安全原则的，所以J0ker打算在本文中详细介绍这些安全模型：

安全模型的概念：

    我们都知道，信息安全的目的就是要保证信息资产的三个元素：保密性，完整性和可用性（CIA），CIA这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的安全模型的出现的顺序也大概如此，先出现专门针对保密性的BLP模型，然后出现针对完整性的Biba模型、Clark-Wilson模型等，在访问控制中所使用的访问控制列表/矩阵（Access Control List(ACL)/Access Control Matrix(ACM)），在CISSP的CBK内容中也把它划分到安全模型的范围内。顺便说明一下，因为可用性本身涉及到的因素很多，并没有一个被广泛接受的通用安全模型，所以CISSP的CBK里只要求掌握针对保密性和完整性的安全模型。

安全模型的理论基础：

    在开始介绍各种安全模型之前，J0ker 打算先给大家介绍一下这些安全模型所依赖的理论基础——状态机模型和信息流模型。

状态机（State Machine）模型是信息安全里用来描述无论何时状态都是安全的系统模型，而处于特定时刻系统的快照便是一种状态(State)，如果这种状态满足安全策略的要求，我们就可以认为它是安全的。许多活动会导致系统状态的改变，称之为状态转换（States transaction），如果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全的状态机模型（Secure State Machine）。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。

信息流（Information flow）模型是状态机模型的具体化，在这个模型中，信息在的传递被抽象成流的形式，大家可以想象一下水流的样子。信息流模型由对象，状态转换和信息流策略所组成，其中的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类——在BLP模型中，信息流模型处理的便是保密性，而在Biba模型中信息流所处理的则变成完整性。由于信息流动的行为可以在同安全级别的主体和客体之间发生，也可以在不同一个安全级别的情况下发生，所以信息流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方向上流动。

各种安全模型的详细介绍：

    状态机模型和信息流模型的进一步具体化就是CISSP CBK中所包括的安全模型，CISSP CBK中所提到的安全模型有：Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、访问控制矩阵模型、China Wall模型、Lattice模型。下面J0ker将向大家逐一介绍。

Bell-Lapadula模型：

    前面说过，在信息安全目标的三个元素里面最先为人们所关注的是保密性，因此，在1973年出现了第一个针对保密性的安全模型——Bell-Lapadula模型，这个模型由David Bell和Len Lapadula为美国国防部的多级安全策略的具体化而开发。它基于强制访问控制系统（MAC），以信息的敏感度作为安全等级的划分标准，它的特点如下：

l         基于状态机和信息流模型

l         只针对保密性进行处理

l         基于美国政府信息分级标准——分为：Unclassified、Restricted、Confidential、Secret、Top Secret

l         使用“Need to know” 原则

l         开始于安全状态，在多个安全状态中进行转换（要求初始状态必须为安全，转换结果才在安全状态）