· 全国
收起
BLP模型的安全策略示意图,BLP模型规定,信息只能按照安全等级从下往上流动,或者根据策略的规定在同安全级别间流动。 由于BLP模型存在不保护信息的完整性和可用性,不涉及访问控制等缺点,1977年Biba模型作为BLP模型的补充而提出,它针对的是信息的完整性保护,主要用于非军用领域。它和BLP模型相类似,也是基于状态机和信息流模型,也使用了和BLP模型相似的安全等级划分方式,只不过Biba模型的划分标准是信息对象的完整性。
Biba模型规定,信息只能从高完整性的安全等级向低完整性的安全等级流动,也就是要防止 低完整性的信息“污染”高完整性的信息。 我们知道,信息安全对完整性的要求有3个目标:防止数据不被未授权用户修改、保护数据不被授权用户越权修改、维护数据的内部和外部一致性。Biba模型中只实现了完整性要求的第一点。
于是,针对Biba模型的不足,1987年,另外一个完整性模型——Clark-Wilson模型被提出,这个模型实现了成型的事务处理机制,现在常用于银行系统中以保证数据完整性。
Clark-Wilson模型的特点是:
1、采用Subject/Program/Object 三元素的组成方式,Subject要访问Object只能通过Program进行。
2、权限分离原则:将要害功能分为由2个或多个Subject完成,防止已授权用户进行未授权的修改。
3、要求具有设计能力(Auditing)。
因为Clark-Wilson模型因为使用了Program这一元素进行Subject对Object的访问控制手段,因此Clark-Wilson模型也常称为Restricted Interface模型。 访问控制矩阵模型不属于信息流模型,它主要用于Subject对Object的访问进行控制的领域。
