CISSP的成长之路（十三）：安全架构和设计之安全模型

　　信息流（Information flow）模型是状态机模型的具体化，在这个模型中，信息在的传递被抽象成流的形式，大家可以想象一下水流的样子。信息流模型由对象，状态转换和信息流策略所组成，其中的对象可以是用户，每个对象都会根据信息流策略分配一个安全等级和具体化的数值。信息流不单可以处理信息流的流向，同时它还可以处理信息流的种类——在BLP模型中，信息流模型处理的便是保密性，而在Biba模型中信息流所处理的则变成完整性。由于信息流动的行为可以在同安全级别的主体和客体之间发生，也可以在不同一个安全级别的情况下发生，所以信息流模型主要用于防止未授权的、不安全的或受限制的信息流动，信息只能够在安全策略允许的方向上流动。

　　状态机模型和信息流模型的进一步具体化就是CISSP CBK中所包括的安全模型，CISSP CBK中所提到的安全模型有：Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、访问控制矩阵模型、China Wall模型、Lattice模型。下面J0ker将向大家逐一介绍。

　　前面说过，在信息安全目标的三个元素里面最先为人们所关注的是保密性，因此，在1973年出现了第一个针对保密性的安全模型——Bell-Lapadula模型，这个模型由David Bell和Len Lapadula为美国国防部的多级安全策略的具体化而开发。它基于强制访问控制系统（MAC），以信息的敏感度作为安全等级的划分标准，它的特点如下：

　　◆基于状态机和信息流模型

　　◆只针对保密性进行处理

　　◆基于美国政府信息分级标准——分为：Unclassified、Restricted、Confidential、Secret、Top Secret

　　◆使用“Need to know” 原则

　　◆开始于安全状态，在多个安全状态中进行转换（要求初始状态必须为安全，转换结果才在安全状态）