信息系统等级保护中的多级安全技术研究

盛凯

摘 要：本文主要首先简要回顾了计算机系统安全等级保护的传统方法，分析了其安全通信的不足和存在的问题，对当今信息系统等级保护中主流的多级安全技术从设计策略、设计思路和安全特性等方面进行了综述。

关键词：等级保护 安全模型 信息系统 信息安全

一、信息系统等级保护概述

信息系统等级保护是指对于涉及国家机密、法人、组织以及公民的私有信息和公开信息，以及对这些信息进行保存、传播、处理的信息系统进行分等级的安全保护，对信息系统中使用的涉及信息安全的相关产品进行登记管理，对信息系统中发生的信息安全事件进行分等级的相应和处置。

在信息系统等级保护的技术方面，欧美国家（如美国等）起步较早，美国早在20世纪80年代就已经提出了一组评估计算机系统安全性的标准。目前我国已经形成了以自主保护、指导保护、监督保护、强制保护以及专控保护为主的信息安全保护等级划分制度。在发展初期，信息系统的安全保护技术以机密性模型和完整性模型为主，但是各个模型均在不同程度上存在信息的安全共享问题以及无法兼顾的问题。随着计算机网络的扩展和独立个人计算机的普及，多级安全技术逐渐成为主流。

二、经典多级安全模型

经典多级安全模型是现今多级复杂安全网络信息系统间安全通信的基础，主流的模型有BLP模型、BIBA模型、中国墙模型、DTE模型等。通常使用在多级安全环境下的强制访问控制，能够最大程度上确保资源的机密性和完整性，成为现今多种多级安全模型的基础。

（一）BLP模型

BLP模型为最经典的计算机操作模型。BLP模型的安全策略由自主安全策略和强制安全策略两部分组成，同时引入了系统的安全级范围和安全级标签的概念。主体每次对客体的访问，都由该客体的整个安全标签范围确定。但是这一定义仍然有其自身的问题，由于对单级客体与多级客体的划分由主体对课题的具体访问操作来决定，这将会造成管理员在分配安全级别时产生二义性，由此产生了灵活性与适应性差而引起信息泄露的问题。

（二）BIBA模型

BIBA模型是由Biba提出的完整性安全模型，与BLP不同的是，BIBA模型从保护客体的完整性出发，为主体和客体分配完整性安全级别，通过比较主体和客体的安全标记来控制主体对客体的操作。BIBA自身也存在其缺陷，即不可信实体泄露高安全等級的信息的操作不会被模型阻止。

基于BLP模型的客体机密性保护和BIBA的完整性保护，后有研究人员两者一般结合使用，根据实体的安全标签，对不可信实体使用BLP模型，对可信实体采用BIBA模型。

（三）中国墙模型

中国墙模型是在真实的商业环境下为了控制用户对利益冲突数据的访问提出的。该模型针对信息提出了冲突类的概念，提供了一种灵活有效的控制机制来进行访问控制，具有利益冲突的单位为一个冲突类，将信息划分为最底层、中间层和最高层，其中以最高层的数据为所有有利益冲突的数据集合。

中国墙模型在商业信息领域得到了广泛的应用，目前又延伸出中国墙模型的各种加强变体。

（四）DTE模型

DTE模型主要侧重于保护数据的完整性。它为系统中的每一个主体指定一个表示该主体作用范围的属性（称为“域”，即domain），同时为系统中的每一个客体制定一个与“域”相对应的属性（称为“类别”，即Type）。主体对客体的访问权限定义在域间关系表，定义了访问模式和访问操作。

三、扩展的多级安全模型

针对以上的经典模型，研究学者们针对机密性与完整性不断改进，提出了一些扩展的多级安全模型，在灵活性与适应性，信息流控制等方面有了很大的提升。

（一） 基于多维控制的多级安全网络通信模型

该模型从多维安全网络的特点入手，分析了现有的多级安全模型的问题，以域间的关系为基础，一方面保留原始模型的安全标记访问控制，另一方面，通过多方面的控制（如保护域关系约束、主体可信度约束等），实现了信息系统域间信息交换的安全性。

该模型将信息系统划分为保护域的集合，通过域间关系控制访问权限和操作权限，防止域间任意通信。对于访问主体，建立主体可信度评估机制，评估主体安全属性的可信度，并将其作为评估网络多级安全控制的依据之一。充分考虑到了主体引发越权操作后的处理制度，充分体现其在网络应用中的灵活性，成为该模型的一大优点。

（二） BBED模型

BBED模型是一种扩展的DTE模型，使用改进的二维访问控制模型来表述流关系，形成了具有更强安全性和灵活性的安全模型。该模型基于SELinux的安全子系统，设计了更高安全等级的操作系统。

在该模型中，用户的权限是由系统中的应用来代表的，当进程作为主体访问客体时，安全服务器加载相应的安全策略，请求由安全策略执行模块处理。安全策略执行模块负责获取主体与客体的安全标识、所属域、操作权限等信息，并将信息发送给安全服务器。安全服务器将获取的信息与进行比对，采取相应的安全策略，将结果返回给进程主体，决定其是否有权限进行访问和操作。

对比SELinux，本系统的优势体现在混合模型的设计，能够更好的融合多个模型的优点，降低了策略配置的难度。

（三） 基于虚拟化技术的多级安全模型

以上两种安全系统模型均基于安全操作系统结构，对操作系统、应用和操作人员都有很高的要求。基于虚拟化技术的多级安全模型VBMSM，从结构上对传统的多级安全模型实现了改进，突破了传统模型难以形式化描述的局限性。

VBMSM模型将多级安全系统划分为多个安全域，并通过虚拟机技术将各个单级安全域进行隔离。使用了单机安全系统的安全标记和隔离机制来实现虚拟机安全标记管理功能，其安全标记方法分为隐式安全标记（在虚拟机内部使用）和显式安全标记（在虚拟机之外使用），技术上更容易实现，也更加灵活。同时，该模型使用基于BLP模型的多级安全代理的信息流控制机制来对不同安全级别的系统进行通信监控，安全代理可以比较不同域中的虚拟机和主机的安全标记，从而控制域间信息流的通信。

该模型扩展了BLP模型，结合了MILS体系和虚拟机技术，能够允许不可信的应用存在于系统中，也能够应用于不可信的操作系统，可用于高兼容性、高安全性的系统建设中。

结语

在信息化时代，时国民经济和社会发展对机密信息的安全保护能力的依赖性也越来越大。借鉴已有的模型成果，针对潜在的问题进行模型的创新和改进，不仅具有一定的科学理论意义，更具有重要的应用前景。

参考文献

[1]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学，2012.

[2]宋睿，公丕强.信息系统安全等级保护方案设计方法研究[J].邮电设计技术，2015，04：79-83.

[3]马俊，王志英，任江春，等.一种实现数据主动泄漏防护的扩展中国墙模型[J].软件学报， 2012， 23（3）：677-687.