BLP安全模型安全分析.docVIP

BLP安全模型摘要：随着IT技术的发展与普及，企业及政府等相关部门信息化程度的逐渐加快，越来越的多应用被部署到我们的信息系统中，随之而来的安全风险也逐渐增加。为了实现信息系统的安全，安全界设计了多种多样的安全模型并开发了相应的技术。本文从Bell-Lapadula模型出发，对此模型关键词：信息安全 安全模型 　　1 前言 　　信息是指事务运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定的概念体系，通常可以理解为消息、信号、数据、情报和知识等。对于企业而言，信息承载着企业的各种商业数据和机密情报，如专利技术，交易记录等，所以信息是一种资产，其价值地位不低于甚至高于设备资产，所以保证企业信息资产的安全就显得尤为重要。 　　从安全角度考虑，要保证信息资产的安全，主要关注信息的保密性，可用性和完整性，这个三个属性被成为信息安全的三元组。其中： 　　保密性（Confidentiality）是确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体； 　　可用性（Availability）是确保授权用户或实体对信息及资源的正常使用不被异常拒绝，允许其可靠而及时地访问信息。 　　完整性是（Integrity）是确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 2 Bell-Lapadula模型　　 孤立的信息是没有价值的，信息只有在需要被识别，被传递及被访问才能产生价值，所以信息的安全，实际上访问控制的安全，即哪些信息可以被哪些群体访问，哪些信息被访问时完整性没有被破坏的，哪些信息是保密的不可以被随便访问。围绕信息安全的三个重要属性，国内外安全界开发了多种安全模型。其中最为著名的是Bell-Lapadula模型。 　　Bell-lapadula是20世纪70年代，美国军方提出的用于解决分时系统的信息安全和保密问题，该模型主要用于防止保密信息被未授权的主体访问。使用Bell-lapadula模型的系统会对系统的用户（主体）和数据（客体）做相应的安全标记，因此这种系统又被称为多级安全系统，级别和模型用于限制主体对客体的访问操作，该模型用于加强访问控制的信息保密性。 　　Bell-lapadula使用主体，客体，访问操作（读，写，读/写）以及安全级别这些概念，当主体和客体位于不同的安全级别时，主体对客体就存在一定的访问限制。实现该模型后，它能保证信息不被非授权主体所访问。其访问机制如下图所示： 　　 图 Bell-lapadula模型 　　1.安全级别为“机密”的主体访问安全级别为“绝密”的客体时，主体对客体可写不可读（no read up）； 　　2.当安全级别为“机密”的主体访问安全级别为“机密”的客体时，主体对客体可写可读； 3.当安全级别为“机密”的主体访问安全级别为“秘密”的客体时，主体对客体可读不可写(no write down)； BLP模型是一种访问控制模型，它通过制定主体对客体的访问规则和操作权限来保证系统的安全性。BLP模型中基本的安全控制方法有两种。 一种是自主访问控制（DAC）：它是一种普遍采用的访问控制手段。它使用户可以按自己的意愿对系统参数作适当修改，以决定哪些用户可以访问他们的系统资源。这里的“自主”，即资源的所有者可以决定对资源的访问权，而且这种访问权可以按“工作需要”的原则动态地转让和回收。它往往用以限制数据在同一密级或同一部分内未经许可的流动。自主访问控制有多种方法，如权力表、口令、访问控制表等。 另一种是强制访问控制（MAC），它是一种强有力的访问控制手段。它使用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某种资源。这种访问控制方式也叫指定型访问控制方式，它对用户、资源按密级和部门进行划分，对访问的类型也按读、写等划分。所谓“指定”，就是对资源的访问权不是由资源的所有者来决定，而是由系统的安全管理者来决定，往往用以限制数据从高密级流向低密级，从一个部门流向另一个部门。它可以保证系统的保密性和完整性。 小结 BLP模型能够成为分级系统最流行的安全模型是因为在BLP模型状态的描述中可以证明，只要初始状态是安全状态，并且所有的转移函数也是安全的，那么当系统从某个安全状态启动，无论按何种顺序调用系统功能,系统总是保持在安全状态。但是BLP模型在数据的完整性和可用性方面的改进也是今后研究的重点。 1