盛凱

摘 要：本文主要首先簡要回顧了計算機系統(tǒng)安全等級保護的傳統(tǒng)方法，分析了其安全通信的不足和存在的問題，對當(dāng)今信息系統(tǒng)等級保護中主流的多級安全技術(shù)從設(shè)計策略、設(shè)計思路和安全特性等方面進行了綜述。

關(guān)鍵詞：等級保護 安全模型 信息系統(tǒng) 信息安全

一、信息系統(tǒng)等級保護概述

信息系統(tǒng)等級保護是指對于涉及國家機密、法人、組織以及公民的私有信息和公開信息，以及對這些信息進行保存、傳播、處理的信息系統(tǒng)進行分等級的安全保護，對信息系統(tǒng)中使用的涉及信息安全的相關(guān)產(chǎn)品進行登記管理，對信息系統(tǒng)中發(fā)生的信息安全事件進行分等級的相應(yīng)和處置。

在信息系統(tǒng)等級保護的技術(shù)方面，歐美國家（如美國等）起步較早，美國早在20世紀(jì)80年代就已經(jīng)提出了一組評估計算機系統(tǒng)安全性的標(biāo)準(zhǔn)。目前我國已經(jīng)形成了以自主保護、指導(dǎo)保護、監(jiān)督保護、強制保護以及?？乇Ｗo為主的信息安全保護等級劃分制度。在發(fā)展初期，信息系統(tǒng)的安全保護技術(shù)以機密性模型和完整性模型為主，但是各個模型均在不同程度上存在信息的安全共享問題以及無法兼顧的問題。隨著計算機網(wǎng)絡(luò)的擴展和獨立個人計算機的普及，多級安全技術(shù)逐漸成為主流。

二、經(jīng)典多級安全模型

經(jīng)典多級安全模型是現(xiàn)今多級復(fù)雜安全網(wǎng)絡(luò)信息系統(tǒng)間安全通信的基礎(chǔ)，主流的模型有BLP模型、BIBA模型、中國墻模型、DTE模型等。通常使用在多級安全環(huán)境下的強制訪問控制，能夠最大程度上確保資源的機密性和完整性，成為現(xiàn)今多種多級安全模型的基礎(chǔ)。

（一）BLP模型

BLP模型為最經(jīng)典的計算機操作模型。BLP模型的安全策略由自主安全策略和強制安全策略兩部分組成，同時引入了系統(tǒng)的安全級范圍和安全級標(biāo)簽的概念。主體每次對客體的訪問，都由該客體的整個安全標(biāo)簽范圍確定。但是這一定義仍然有其自身的問題，由于對單級客體與多級客體的劃分由主體對課題的具體訪問操作來決定，這將會造成管理員在分配安全級別時產(chǎn)生二義性，由此產(chǎn)生了靈活性與適應(yīng)性差而引起信息泄露的問題。

（二）BIBA模型

BIBA模型是由Biba提出的完整性安全模型，與BLP不同的是，BIBA模型從保護客體的完整性出發(fā)，為主體和客體分配完整性安全級別，通過比較主體和客體的安全標(biāo)記來控制主體對客體的操作。BIBA自身也存在其缺陷，即不可信實體泄露高安全等級的信息的操作不會被模型阻止。

基于BLP模型的客體機密性保護和BIBA的完整性保護，后有研究人員兩者一般結(jié)合使用，根據(jù)實體的安全標(biāo)簽，對不可信實體使用BLP模型，對可信實體采用BIBA模型。

（三）中國墻模型

中國墻模型是在真實的商業(yè)環(huán)境下為了控制用戶對利益沖突數(shù)據(jù)的訪問提出的。該模型針對信息提出了沖突類的概念，提供了一種靈活有效的控制機制來進行訪問控制，具有利益沖突的單位為一個沖突類，將信息劃分為最底層、中間層和最高層，其中以最高層的數(shù)據(jù)為所有有利益沖突的數(shù)據(jù)集合。

中國墻模型在商業(yè)信息領(lǐng)域得到了廣泛的應(yīng)用，目前又延伸出中國墻模型的各種加強變體。

（四）DTE模型

DTE模型主要側(cè)重于保護數(shù)據(jù)的完整性。它為系統(tǒng)中的每一個主體指定一個表示該主體作用范圍的屬性（稱為“域”，即domain），同時為系統(tǒng)中的每一個客體制定一個與“域”相對應(yīng)的屬性（稱為“類別”，即Type）。主體對客體的訪問權(quán)限定義在域間關(guān)系表，定義了訪問模式和訪問操作。

三、擴展的多級安全模型

針對以上的經(jīng)典模型，研究學(xué)者們針對機密性與完整性不斷改進，提出了一些擴展的多級安全模型，在靈活性與適應(yīng)性，信息流控制等方面有了很大的提升。

（一） 基于多維控制的多級安全網(wǎng)絡(luò)通信模型

該模型從多維安全網(wǎng)絡(luò)的特點入手，分析了現(xiàn)有的多級安全模型的問題，以域間的關(guān)系為基礎(chǔ)，一方面保留原始模型的安全標(biāo)記訪問控制，另一方面，通過多方面的控制（如保護域關(guān)系約束、主體可信度約束等），實現(xiàn)了信息系統(tǒng)域間信息交換的安全性。

該模型將信息系統(tǒng)劃分為保護域的集合，通過域間關(guān)系控制訪問權(quán)限和操作權(quán)限，防止域間任意通信。對于訪問主體，建立主體可信度評估機制，評估主體安全屬性的可信度，并將其作為評估網(wǎng)絡(luò)多級安全控制的依據(jù)之一。充分考慮到了主體引發(fā)越權(quán)操作后的處理制度，充分體現(xiàn)其在網(wǎng)絡(luò)應(yīng)用中的靈活性，成為該模型的一大優(yōu)點。

（二） BBED模型

BBED模型是一種擴展的DTE模型，使用改進的二維訪問控制模型來表述流關(guān)系，形成了具有更強安全性和靈活性的安全模型。該模型基于SELinux的安全子系統(tǒng)，設(shè)計了更高安全等級的操作系統(tǒng)。

在該模型中，用戶的權(quán)限是由系統(tǒng)中的應(yīng)用來代表的，當(dāng)進程作為主體訪問客體時，安全服務(wù)器加載相應(yīng)的安全策略，請求由安全策略執(zhí)行模塊處理。安全策略執(zhí)行模塊負(fù)責(zé)獲取主體與客體的安全標(biāo)識、所屬域、操作權(quán)限等信息，并將信息發(fā)送給安全服務(wù)器。安全服務(wù)器將獲取的信息與進行比對，采取相應(yīng)的安全策略，將結(jié)果返回給進程主體，決定其是否有權(quán)限進行訪問和操作。

對比SELinux，本系統(tǒng)的優(yōu)勢體現(xiàn)在混合模型的設(shè)計，能夠更好的融合多個模型的優(yōu)點，降低了策略配置的難度。

（三） 基于虛擬化技術(shù)的多級安全模型

以上兩種安全系統(tǒng)模型均基于安全操作系統(tǒng)結(jié)構(gòu)，對操作系統(tǒng)、應(yīng)用和操作人員都有很高的要求?；谔摂M化技術(shù)的多級安全模型VBMSM，從結(jié)構(gòu)上對傳統(tǒng)的多級安全模型實現(xiàn)了改進，突破了傳統(tǒng)模型難以形式化描述的局限性。

VBMSM模型將多級安全系統(tǒng)劃分為多個安全域，并通過虛擬機技術(shù)將各個單級安全域進行隔離。使用了單機安全系統(tǒng)的安全標(biāo)記和隔離機制來實現(xiàn)虛擬機安全標(biāo)記管理功能，其安全標(biāo)記方法分為隱式安全標(biāo)記（在虛擬機內(nèi)部使用）和顯式安全標(biāo)記（在虛擬機之外使用），技術(shù)上更容易實現(xiàn)，也更加靈活。同時，該模型使用基于BLP模型的多級安全代理的信息流控制機制來對不同安全級別的系統(tǒng)進行通信監(jiān)控，安全代理可以比較不同域中的虛擬機和主機的安全標(biāo)記，從而控制域間信息流的通信。

該模型擴展了BLP模型，結(jié)合了MILS體系和虛擬機技術(shù)，能夠允許不可信的應(yīng)用存在于系統(tǒng)中，也能夠應(yīng)用于不可信的操作系統(tǒng)，可用于高兼容性、高安全性的系統(tǒng)建設(shè)中。

結(jié)語

在信息化時代，時國民經(jīng)濟和社會發(fā)展對機密信息的安全保護能力的依賴性也越來越大。借鑒已有的模型成果，針對潛在的問題進行模型的創(chuàng)新和改進，不僅具有一定的科學(xué)理論意義，更具有重要的應(yīng)用前景。

參考文獻

[1]高朝勤.信息系統(tǒng)等級保護中的多級安全技術(shù)研究[D].北京工業(yè)大學(xué)，2012.

[2]宋睿，公丕強.信息系統(tǒng)安全等級保護方案設(shè)計方法研究[J].郵電設(shè)計技術(shù)，2015，04：79-83.

[3]馬俊，王志英，任江春，等.一種實現(xiàn)數(shù)據(jù)主動泄漏防護的擴展中國墻模型[J].軟件學(xué)報， 2012， 23（3）：677-687.