基于等级保护的多级安全访问控制模型.pdfVIP

技术与应用 基于等级保护的多级安全访问控制模型 ◆王春兰 0引言 规则比较简单，在具体实施过程中还有不少问题，比如灵活性差。 2015年2月3H，中国互联网络信息中心(CNNIC)在北Biba模型的严格完整性策略能够有效地保证数据的完整性，却 京发布的《第35次中国互联网络发展状况统计报告》显示，截 不能防止恶意的不可信主体人为故意泄露高安全级别的信息给 至2014年12月，我国网民规模达6．49亿，互联网普及率为47．9％。低密级主体。其主要缺点在于主体和客体的完整性标记都是固定 在网络越来越普及的今天，早期建设的网络基础设施隐患重重， 不变的，严重缺乏灵活性。基于这样的缺陷，在多级安全的网络 信息安全受到的威胁种类越来越多。如今各行各业的信息系统都 通信中，我们可以对符合条件的对象安全标记进行调整。并且， 需要在互联网上交流传播信息，时时刻刻都避免不了面对各种安 BLP模型侧重于机密性，Biba模型侧重于完整性，而在实际信息 全威胁。为了提高信息安全保障，必须采取各种信息安全的策略， 系统中，需要兼顾机密性和完整性，所以，可以考虑把BLP模 其中最重要的就是等级保护。 型和BiBa模型结合起来使用。 以信息系统为丰体．等级保护就是根据该信息系统的重要性 2．1定义主要元素 采取相应的保护策略，按照信息系统等级实行分级保护，不同等 (1)实体：可以是信息系统中的所有资源(进程、文件、 级的系统采取不同层度的防护策略，即对重要系统重点防护，对 设备等)和用户。 一般系统适度保护。等级保护与多级安全紧密相关，因为等级保 (2)主体：主动发起对另一个实体的访问请求的实体，如 护起源于美国对军事安全所制定的多级安全策略。多级安全是指 用户、执行操作的进程、主机、设备等，记为Subject，简写为S。 对信息系统里的主体和客体分别设置安全标记、定级，依据主体、 (3)客体：被动接受主体发起的访问请求的实体，如消息、 客体安全标记的比较来决定主体对客体的访问是否允许。 文件、目录、分组、连接、设备等，记为Object，简写为O。 由于多级安全网络提出较晚，传统安全通信模型主要服务于 (4)主体授权标记：特定的可信主体可以获得的特定权限， IP网络。传统安全通信模型最初并没有考虑到多级安全，不能实 现安全标记与信息客体、数据流的绑定。所以，如果要在传统模 型中实现标记强制访问控制，则实施起来非常复杂、代价太大， 表示主体S的最低和最高完整性级别。 因此，传统安全模型难以适应多级安全的网络安全通信目标。另 (5)客体安全类别：客体的机密性和完整性受到破坏时可 外，因为互联网纷繁复杂，多级安全应用到互联网时在灵活性、 适应性方面部存在巨大挑战。严格遵循多级安全规则会导致部分 分别表示客体O的机密性类别和完整性类别。 网络主体的访问受限，满足不了网络协同工作的需求。因为以上 (6)主体安全标记：主体的机密性级别、完整性级别和授 这些原因，传统安全通信模型无法直接应用到多级安全网络中。 权标记，记为SL=(cmin，cmax，imin，imax)。 所以，面向多级安全的网络安全通信仍然存在着一些亟待解决的 (7)客体安全标记：客体的机密性级别、完整性级别和安 问题。比如，缺乏面向多级安全的网络安全通信模型，信息系统 全类别，记为OL=(cimp，iimp)。 中的各种对象的安全标记一成不变，不够灵活，无法适应网络通 (8)访问属性：主体对客体的访问方式，记为A={r，w)。 信的各种情况。因此，我们需要在具体通信中针对不同的访问请 其中，r表示只读、w表示只写。 求，对对象的安全标记适当地做一些调整。 2．2模型的基本安全特性 1 安全标记绑定技术 下面分别就何时主体可以读客体、主体可以写客体进行规 安全标记绑定技术是多级安全中主体与客体资源访问控制、 定。为了便于说明，定义如下：主体的机密性级别和完整性级