CISSP的成长之路（十三）：安全架构和设计之安全模型

　　◆要求具有设计能力（Auditing）

　　因为Clark-Wilson模型因为使用了Program这一元素进行Subject对Object的访问控制手段，因此Clark-Wilson模型也常称为Restricted Interface模型。

　　访问控制矩阵模型不属于信息流模型，它主要用于Subject对Object的访问进行控制的领域：

　　图3（点击查看原图）

　　上图 来自CISSP Official Guide，访问控制矩阵模型定义了每一个Subject对每一个Object的访问权限，而单个Subject对所用Object的访问权限控制模型通常称为访问控制列表，也即Access Control List。

　　针对民用领域有对保密性控制灵活性的需求，同时安全要求也没有政府和军用领域的严格，Lattice模型作为BLP模型的扩展被提出。Lattice模型同样是基于信息流和状态机模型，但Lattice模型使用安全范围来代替BLP模型里面的安全等级概念，已实现更灵活的保密性控制需求。

　　图4

　　如上图，在Lattice模型中，一个Subject可以访问安全级别基于Sensitive和Private之间的信息。这种权限设置常可以在企业中看到。

　　China Wall模型于1989年由Brew和Nash提出，这个模型和上述的安全模型不同，它主要用于可能存在利益冲突的多边应用体系中。比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构，而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务。China Wall模型的特点是：

　　◆用户必须选择一个他可以自由访问的领域

　　◆用户必须拒绝来自其他与其已选区域的内容冲突的其他内容的访问。

　　以上的安全模型便是CISSP CBK中所包含的众多经典安全模型，在许多系统和应用也常常可以找到它们的使用，朋友们可以结合这些实际例子来加强理解。