CISSP的成长之路（十三）：安全架构和设计之安全模型

　　图1

　　上图 来自CISSP Official Guide，是BLP模型的安全策略示意图，BLP模型规定，信息只能按照安全等级从下往上流动，或者根据策略的规定在同安全级别间流动。

　　由于BLP模型存在不保护信息的完整性和可用性，不涉及访问控制等缺点，1977年Biba模型作为BLP模型的补充而提出，它针对的是信息的完整性保护，主要用于非军用领域。它和BLP模型相类似，也是基于状态机和信息流模型，也使用了和BLP模型相似的安全等级划分方式，只不过Biba模型的划分标准是信息对象的完整性。

　　图2

　　上图 来自于CISSP Official Guide，Biba模型规定，信息只能从高完整性的安全等级向低完整性的安全等级流动，也就是要防止 低完整性的信息“污染”高完整性的信息。

　　我们知道，信息安全对完整性的要求有3个目标：防止数据不被未授权用户修改、保护数据不被授权用户越权修改、维护数据的内部和外部一致性。Biba模型中只实现了完整性要求的第一点。于是，针对Biba模型的不足，1987年，另外一个完整性模型——Clark-Wilson模型被提出，这个模型实现了成型的事务处理机制，目前常用于银行系统中以保证数据完整性。Clark-Wilson模型的特点是：

　　◆采用Subject/Program/Object 三元素的组成方式，Subject要访问Object只能通过Program进行

　　◆权限分离原则：将关键功能分为由2个或多个Subject完成，防止已授权用户进行未授权的修改