信息系統等級保護中的多級安全技術研究

盛凱

摘 要：本文主要首先簡要回顧了計算機系統安全等級保護的傳統方法，分析了其安全通信的不足和存在的問題，對當今信息系統等級保護中主流的多級安全技術從設計策略、設計思路和安全特性等方面進行了綜述。

關鍵詞：等級保護 安全模型 信息系統 信息安全

一、信息系統等級保護概述

信息系統等級保護是指對于涉及國家機密、法人、組織以及公民的私有信息和公開信息，以及對這些信息進行保存、傳播、處理的信息系統進行分等級的安全保護，對信息系統中使用的涉及信息安全的相關產品進行登記管理，對信息系統中發生的信息安全事件進行分等級的相應和處置。

在信息系統等級保護的技術方面，歐美國家（如美國等）起步較早，美國早在20世紀80年代就已經提出了一組評估計算機系統安全性的標準。目前我國已經形成了以自主保護、指導保護、監督保護、強制保護以及專控保護為主的信息安全保護等級劃分制度。在發展初期，信息系統的安全保護技術以機密性模型和完整性模型為主，但是各個模型均在不同程度上存在信息的安全共享問題以及無法兼顧的問題。隨著計算機網絡的擴展和獨立個人計算機的普及，多級安全技術逐漸成為主流。

二、經典多級安全模型

經典多級安全模型是現今多級復雜安全網絡信息系統間安全通信的基礎，主流的模型有BLP模型、BIBA模型、中國墻模型、DTE模型等。通常使用在多級安全環境下的強制訪問控制，能夠最大程度上確保資源的機密性和完整性，成為現今多種多級安全模型的基礎。

（一）BLP模型

BLP模型為最經典的計算機操作模型。BLP模型的安全策略由自主安全策略和強制安全策略兩部分組成，同時引入了系統的安全級范圍和安全級標簽的概念。主體每次對客體的訪問，都由該客體的整個安全標簽范圍確定。但是這一定義仍然有其自身的問題，由于對單級客體與多級客體的劃分由主體對課題的具體訪問操作來決定，這將會造成管理員在分配安全級別時產生二義性，由此產生了靈活性與適應性差而引起信息泄露的問題。

（二）BIBA模型

BIBA模型是由Biba提出的完整性安全模型，與BLP不同的是，BIBA模型從保護客體的完整性出發，為主體和客體分配完整性安全級別，通過比較主體和客體的安全標記來控制主體對客體的操作。BIBA自身也存在其缺陷，即不可信實體泄露高安全等級的信息的操作不會被模型阻止。

基于BLP模型的客體機密性保護和BIBA的完整性保護，后有研究人員兩者一般結合使用，根據實體的安全標簽，對不可信實體使用BLP模型，對可信實體采用BIBA模型。

（三）中國墻模型

中國墻模型是在真實的商業環境下為了控制用戶對利益沖突數據的訪問提出的。該模型針對信息提出了沖突類的概念，提供了一種靈活有效的控制機制來進行訪問控制，具有利益沖突的單位為一個沖突類，將信息劃分為最底層、中間層和最高層，其中以最高層的數據為所有有利益沖突的數據集合。

中國墻模型在商業信息領域得到了廣泛的應用，目前又延伸出中國墻模型的各種加強變體。

（四）DTE模型

DTE模型主要側重于保護數據的完整性。它為系統中的每一個主體指定一個表示該主體作用范圍的屬性（稱為“域”，即domain），同時為系統中的每一個客體制定一個與“域”相對應的屬性（稱為“類別”，即Type）。主體對客體的訪問權限定義在域間關系表，定義了訪問模式和訪問操作。

三、擴展的多級安全模型

針對以上的經典模型，研究學者們針對機密性與完整性不斷改進，提出了一些擴展的多級安全模型，在靈活性與適應性，信息流控制等方面有了很大的提升。

（一） 基于多維控制的多級安全網絡通信模型

該模型從多維安全網絡的特點入手，分析了現有的多級安全模型的問題，以域間的關系為基礎，一方面保留原始模型的安全標記訪問控制，另一方面，通過多方面的控制（如保護域關系約束、主體可信度約束等），實現了信息系統域間信息交換的安全性。

該模型將信息系統劃分為保護域的集合，通過域間關系控制訪問權限和操作權限，防止域間任意通信。對于訪問主體，建立主體可信度評估機制，評估主體安全屬性的可信度，并將其作為評估網絡多級安全控制的依據之一。充分考慮到了主體引發越權操作后的處理制度，充分體現其在網絡應用中的靈活性，成為該模型的一大優點。

（二） BBED模型

BBED模型是一種擴展的DTE模型，使用改進的二維訪問控制模型來表述流關系，形成了具有更強安全性和靈活性的安全模型。該模型基于SELinux的安全子系統，設計了更高安全等級的操作系統。

在該模型中，用戶的權限是由系統中的應用來代表的，當進程作為主體訪問客體時，安全服務器加載相應的安全策略，請求由安全策略執行模塊處理。安全策略執行模塊負責獲取主體與客體的安全標識、所屬域、操作權限等信息，并將信息發送給安全服務器。安全服務器將獲取的信息與進行比對，采取相應的安全策略，將結果返回給進程主體，決定其是否有權限進行訪問和操作。

對比SELinux，本系統的優勢體現在混合模型的設計，能夠更好的融合多個模型的優點，降低了策略配置的難度。

（三） 基于虛擬化技術的多級安全模型

以上兩種安全系統模型均基于安全操作系統結構，對操作系統、應用和操作人員都有很高的要求。基于虛擬化技術的多級安全模型VBMSM，從結構上對傳統的多級安全模型實現了改進，突破了傳統模型難以形式化描述的局限性。

VBMSM模型將多級安全系統劃分為多個安全域，并通過虛擬機技術將各個單級安全域進行隔離。使用了單機安全系統的安全標記和隔離機制來實現虛擬機安全標記管理功能，其安全標記方法分為隱式安全標記（在虛擬機內部使用）和顯式安全標記（在虛擬機之外使用），技術上更容易實現，也更加靈活。同時，該模型使用基于BLP模型的多級安全代理的信息流控制機制來對不同安全級別的系統進行通信監控，安全代理可以比較不同域中的虛擬機和主機的安全標記，從而控制域間信息流的通信。

該模型擴展了BLP模型，結合了MILS體系和虛擬機技術，能夠允許不可信的應用存在于系統中，也能夠應用于不可信的操作系統，可用于高兼容性、高安全性的系統建設中。

結語

在信息化時代，時國民經濟和社會發展對機密信息的安全保護能力的依賴性也越來越大。借鑒已有的模型成果，針對潛在的問題進行模型的創新和改進，不僅具有一定的科學理論意義，更具有重要的應用前景。

參考文獻

[1]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京工業大學，2012.

[2]宋睿，公丕強.信息系統安全等級保護方案設計方法研究[J].郵電設計技術，2015，04：79-83.

[3]馬俊，王志英，任江春，等.一種實現數據主動泄漏防護的擴展中國墻模型[J].軟件學報， 2012， 23（3）：677-687.