? 强静态原则,是指安全等级在系统的整个生命周期中不改变。强静态原则的优点是没有 安
全等级的变化,这样就不会产生违反安全条件的可能性;缺点是不够灵活,在实际应 用中,这样的原则太过严格。
? 弱静态原则,是指安全等级在不违反已给定的安全策略的情况下可以改变。弱静态原则对于安
全等级的变动要求更加灵活,如果用户要求这种状态转换,那么在不违反安全策略的情况下,应当允许这种状态转换。
由于静态原则突出了模型中的信任假设,因此在Bell-LaPadula模型中有着十分重要的作用,在应用过程中应该受到特别的关注。 2.3.4 Bell-LaPadula模型的局限性
Bell-LaPadula模型是第一个符合军事安全策略的多级安全模型。该模型的理论思想对于后续其他的安全模型有着重大的影响,并且在一些信息安全系统的设计中得到应用。Bell-LaPadula模型从本质上讲是一种基于安全等级的访问控制模型,它以主体对客体的访问安全级函数构成访问控制权限矩阵来实现主体对客体的访问。Bell-LaPadula模型自被提出以来,就不断地引起人们对该模型的讨论,人们一般认为该模型的局限性主要有以下几点:
①缺乏对信息的完整性保护。实际上这是Bell-LaPadula模型的一个特征而不是缺陷。对于一个安全模型来说,限制它的目标是十分合理的。也就是说该模型的目标只专注于信息的保密性,这正是Bell-LaPadula模型的特点之一。
②包含隐信道。隐信道是系统中不受安全策略控制的、违反安全策略的信息泄露途径。在Bell-LaPadula模型中,信息是不能直接由高等级向低等级流动的,但实际情况是可以利用访问控制机制本身构造一个隐信道来破坏这一原则。Bell-LaPadula模型不能防止或解决隐信道问题,在特殊环境下的实际应用中应尽量避免这一问题的产生。例如,如果低级别的主体可以看见高级别客体的名字,虽然直接访问客体的内容是被拒绝的,但是它可以通过隐信道非法得到想访问的内容。因此,仅仅隐藏客体的内容是远远不够的,往往还需要隐藏客体本身的存在。
③“向上写”会造成应答盲区。当一个低安全等级的进程向一个高安全等级的进程发送一段数据后,按照Bell-LaPadula模型中“不向下写”的规则,高等级的进程无法向低等级进程发送关于操作成功的回应,相应的低等级进程无法知道它向高等级进程发出的消息是否正确到达。
④时域安全性。不同主体访问同一客体时会出现时域上的重叠,有时会出现信息的泄露。
⑤安全等级定义的完备性。主体的安全等级是由安全密级和类别组成的二元组。在创建主体时就确定了该主体当前的安全等级,并且在主体的整个生命周期内固定不变。这种方法过于严格,缺乏灵活性。
了解了Bell-LaPadula模型以及它的局限性,在实际的应用中就可以针对安全目标来制定适合具体环境的安全模型,弥补原始模型中的一些漏洞,改进原始模型在某些方面的不足。 2.4 完整性模型与策略
信息的完整性要求是指维护系统资源在一个有效的、预期的状态,防止资源被不正确、不适当地修改。完整性模型与策略是对信息的完整性进行保护,防止信息的非授权更改,此时对于信息的机密性保护成为次要目标。下面我们就来了解完整性策略以及典型的完整性模型。 2.4.1 完整性策略的目标
完整性策略主要应用在商业领域。例如,对于一个库存控制系统而言,它的正常运作建立在管理数据可以正常发布的情况下。如果这些数据被随意改动了,那么这个管理系统也就不能正常工作了。完整性的主要目标是防止涉及记账或者审计的舞弊行为的发生。例如,入侵到银行系统内部非法更改账户的存款金额,入侵到大型超市的物流管理网络非法篡改货物信息等等都是对信息的完整性进行破坏。
上文介绍的Bell-LaPadula模型的出现为人们解决信息系统的保密性问题做出了巨大的贡献,但是,人们发现商业与军事在安全方面的需求是不同的,商业安全更强调保留资料的完整性,Bell-LaPadula模型并不适合所有的环境。因此,人们提出了针对保护信息完整性的模型和策略。下面就以Lipner提出的完整性