基于多级安全策略的安全模型的分析和比较

摘要：多级安全策略的核心是将信息划分为不同秘密级别，从而采取不同的保护措施，广泛应用于军事和商业环境中。该文介绍了基于多级安全策略的三个信息安全模型——Bell-LaPadula模型、Biba模型和Clark-Wilson模型。着重阐述了这三个模型的特点，并根据它们各自的特点进行了模型间的比较分析。

关键词：信息安全模型；多级安全策；BLP模型；Clark-Wilson模型；Biba模型

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)20-4852-03

Analysis of Security Models Based on Multilevel Security Policy

SHEN Mei-hui

(Zhongnan University of Economics and Law, Wuhan 430073,China)

Abstract: The core of the multilevel security policy is to divide information into different security level. Information security model will adopt different protection measures according to the security levels. And the policy is widely used in military field and business environ? ment. This paper introduces three information security models based on multilevel security policy—Bell-LaPadula(BLP) model, Biba mod? el and Clark-Wilson model. It emphatically expounds the characteristics of the three models. And comparisons among them are given.

Key words: information security model; multilevel security policy; Bell-LaPadula model; Clark-Wilson model; Biba model

人类现在已经进入信息化社会，计算机与网络技术的发展为信息的获取、处理与传输利用提供了非常先进的技术，但也为好奇者与入侵者提供了方便之门，使得计算机与网络中的信息变得越来越不安全了。目前，信息安全评估标准是评价信息系统安全性或安全能力的尺度，而安全评价是以安全模型为基础的。因此信息安全模型的研究至关重要，也是当前信息安全研究的前沿。该文主要针对多级信息安全模型进行分析和比较。

信息安全模型[1]采用形式化或非形式化的方法来精确的描述信息系统的安全策略。信息安全模型建立在体系结构之上，而信息安全体系结构建立在各种信息安全技术和方法机制之上，是各种机制的子集元素的有机结合体。

多级安全策略最初用于支持军用系统和数据库的安全保密。它根据信息的重要性和敏感程度将信息划分为不同的密级，通常密级由低到高分为开放级、秘密级、机密级和绝密级[2]。多级安全策略通过密级确保信息仅能让被具有高于或等于该密级权限的人使用，多级安全信息结构示意图，如图1。

目前基于多级安全策略的安全模型，较为著名的有Bell-LaPadula模型、Clark-Wilson模型以及Biba模型。

3.1模型特点

3.1.1 BLP模型特点

BLP保密性模型是第一个能够提供分级数据机密性保障的安全策略模型。它同时也是第一个可以用数学方法证明的安全系统模型[9]。到目前为止，BLP模型仍是信息安全领域最为重要的模型之一，已经成为了公认的最著名的多级安全模型，是多级安全策略的代名词。

但BLP模型也存在一些不足，包括只处理秘密性没有考虑完整性、包含隐通道、没有制定修改访问控制权限的策略，可信主体权限过大等。随着计算机安全理论和技术的发展，BLP模型已经不能满足人们的需要[10]。3.1.2 Biba模型特点

Biba模型的优势在于其简单性以及与BLP模型相结合的可能性。它的实现是直观的和易于理解的。且可以比较容易地与BLP模型相结合以产生集机密性和完整性于一体的一体化安全模型。Biba模型是一种常见的商业安全模型[11]。

Biba模型的不足之处主要有：只解决了完整性问题，没有解决机密性或可用性问题；专注于保护客体不受外界的威胁，假定内部的威胁已被有效控制；没有说明访问控制管理，也没有提供分配或改变主体或客体分类级别的方法；并没有防止隐蔽通道。上述的不足，使Biba模型难以满足实际系统的真正需求。

3.1.3 Clark-Wilson模型特点

虽然Clark-Wilson模型略显复杂，且不能提供有效的机密性保护。但Clark-Wilson模型被业界认为是完整意义上的完整性目标、策略和机制的起源,是唯一实现三个完整性保护目标——防止未授权用户修改数据;保持数据的内在和外在一致性;防止授权用户以非授权的方式修改数据——的完整性模型[12]。

Clark-Wilson是为商业环境专门设计的安全模型，通常被用在银行系统中来保证数据的完整性，是为现代数据存储技术量身定制的，是一种适于商业应用的优秀模型。3.2模型间的比较

BLP模型、Biba模型和Clark-Wilson模型都是基于多级安全策略的信息安全模型。在多级安全策略思想的基础上，三者在设计和使用上都各有偏重。下面将从以下几点对其差异性进行比较。

1）成熟度

这三种模型中BLP模型是最为成熟的。BLP模型于1973年被提出，是最早、最常用、最著名的多级安全模型，影响了很多安全模型的发展。其次是Biba模型，于1977年被提出。Clark-Wilson模型是最为年轻的一个模型，于1987年被发表，1989年进行了修正。

2）描述方式

由于BLP模型和Biba模型较为成熟，因而具有严格的形式化语言。而Clark-Wilson模型尚不具有形式化的描述语言。

3）保护目标

BLP模型主要是针对解决访问控制的保密性问题，从而保护信息的安全。而Biba模型和Clark-Wilson模型则是着重研究与保护信息和系统的完整性。

4）适用领域

BLP模型是一种模拟军事安全策略的模型，主要应用于军事领域。Clark-Wilson模型则是为商业环境专门设计的安全模型，是为现代数据存储技术量身定制的，适用于商业应用。而Biba则是属于一种通用模型，适用范围较广。

5）优点

BLP模型具有严格明确的安全等级划分，能够有效地防止信息从一个高安全级流向低安全级。Biba模型的优势则在于其简单性、直观易于理解，同时能够与BLP模型相结合。而Clark-Wilson模型是唯一实现了三个完整性保护目标的安全模型。

6）不足

BLP模型只保护了信息的机密性而并没有考虑完整性。与此相反的是，Biba模型和Clark-Wilson模型只关注了完整性问题，而没有解决机密性问题。

对上述安全模型的分析比较汇总如表1所示。

表1模型特征分析比较

多级安全策略的核心是根据信息的重要性和敏感度，赋予信息不同的安全级别，从而采取不同的保护措施。多级安全策略有效地保护和控制了信息流的纵向传播。但是对于信息流的横向传播没有有效的管理机制。在实际应用中，多级安全策略常常与多边安全策略相结合，从而对信息提供更加完善的保护机制。

基于多级安全策略的Bell-LaPadula模型、Biba模型和Clark-Wilson模型被广泛应用于军事领域和商业环境。但随着信息技术和网络的飞速发展，人们对于信息的安全需求也将会越来越高。单独运用其中某一个安全模型已经无法满足实际的需求了。多个模型组合使用已经成为了一种必然的趋势。