通过明确指定实现安全策略所必需的数据结构和技术,安全模型将安全策略的抽象目标映射到信息系统的具体内容上,安全模型通常以数学和分析的理念来表示,然后映射到系统的规范说明上,再由编程人员通过编写代码开发出来。因此,我们就有了实现诸如"每个主体必须经过授权才能访问每个客体"之类的安全目标的策略。安全模型采纳这些需求,并且提供要达到这个目标所必须遵循的数学公式、关系和结构。安全策略只是勾勒出目标,却没有就如何实现目标给出任何思路。安全模型则是一个架构,它给出了策略的形式,并且解决了特殊情况下的安全问题。人们已经开发出了几种安全模型,用以实施安全策略。120世纪70年代,美国军方使用了采用分时系统的大型主机,他们需要知道这些系统的安全性,以及分类信息是否会泄漏出去。于是,Bell-LaPadula模型被开发出来解决这个问题。它是多级安全策略的第一个算术模型,用于定义安全状态机的概念、访问的模式以及概述访问的规则。采用Bell-LaPadula模型的系统之所以被称为多级安全系统,是因为使用这个系统的用户具有不同的许可,而且系统处理的数据也具有不同的分类。Bell-LaPadula模型的开发是为了确保秘密被保密;因此,它仅仅提供和解决了机密性。该模型不能解决系统维护的数据完整性——只有谁能够访问和无法访问数据,以及可以执行哪些操作。Bell-LaPadula模型中使用和实施了3种主要的规则:•简单安全规则规定位于给定安全级别上的主体不能读取较高安全级别驻留的数据。例如,如果Bob获得秘密级安全许可,那么这一规则就表明他不能读取分类级别为绝密的数据。如果组织希望Bob能够读取绝密数据,那么必须首先为其赋予相应的访问许可。•*属性规则(星属性规则)规定位于给定安全级别上的主体不能将信息写入较低的安全级别。简单安全规则称为“不能向上读”规则,*属性规则称为“不能向下写”规则。•第三个规则是强星属性规则,它规定一个主体只能在同一安全级别上执行读写功能,在较高或较低级别都不能读写。因此,一个主体要读写一个客体,主体的许可和客体的分类必须同等。2Biba模式解决了系统内数据的完整性问题。它不关心安全级别和机密性。Biba模型用完整性级别来防止数据从任何完整性级别流到较高的完整性级别中。Biba通过3条主要规则来提供这种保护:•*完整性公理主体不能向位于较高完整性级别的客体写数据(被称为“不能向上写”)。•简单完整性公理主体不能从较低完整性级别读取数据(被称为“不能向下读...
