在介紹安全模型之前,先大概說明一下什麼是安全模型,以wiki上的註解來講就是指用來指定和執行安全性政策(security policies)的方案,核心目標都是確保維護資料的機密性、完整性和可用性。

  安全模型至今有非常多種類,wiki上的page就有32種。這些安全模型的產生都是為了能夠達成資安政策目標的框架以及減輕風險的方案。

  這次想介紹的安全模型,是提到安全模型就會想到這三種安全模型。分別為Bell-LaPadula Model( BLP)、Biba Integrity Models、Clark-Wilson。

  ★ Bell-LaPadula Model( BLP):為了解決機密性的問題(但不能解決完整性)

   是由美國國防部在1970年代被設計出來的,用於保護機密的資訊。此模型具有三個的安全規則:

   ● sample Security property (不能向上讀):No Read Up

    → 可以對上層提供資料(寫入)、但是不能讀取上層的資料

   ● Star(*) Security property (不能向下寫):No Write Down

    → 可以讀取下層的資料,但是不能提供自己的資料給下層,避免資料非法外洩。

   ● **Strong Star (Discretionary) Security property (讀寫只可以同階層)(需要有控制存取矩陣來規定)

    → 跟自己同階層的資料可讀且可寫。

  彙整規則的意思就是指:能往上讀高於自己安全等級的資料以及能把資料寫入低於自己安全性等級的分類級別。這樣就可以避免資訊從較高的安全等級洩露到較低的安全等級。

  ★ Biba Integrity Models:完整性

   Biba 模型由 Kenneth J. Biba 於 1977 年建立,Biba 模型致力於透過根據完整性等級調整資料流來防止數位環境中的資料損壞。跟BLP不同的是著重於資料的完整性。

  ● sample Integrity Axiom (不能向下讀):No Read Down

   → 完整性高的主體不能從完整性低的讀取資料。

  ● Star(*) Integrity Axiom (不能向上寫):No Write Up

   → 完整性低的主體不能提供資料給完整性高的。

  ● Invocation Integrity Axiom

   → 完整性等級低的主體不能請求調用完整性高的主體服務。

  意思就是指:能往上提供資料給高於自己完整性的等級以及讀取低於自己完整性等級的資料。這樣就可以避免完整性等級較高的資料受到汙染(破壞)。

  ★ Clark-Wilson Model:有監管機制注重完整性

   Clark-Wilson模型重點也是保護資料的完整性,有經過使用授權的使用者才可以更改資料。特點是權責分離以及保持系統內部保存與外部輸入資料的一致性(Well-formed transaction)。

   ● 分成三個部分(triple):Subject(主體)、Program、Object(客體)。

   ● Subject(使用者)只能透過定義的Program (Transformation Procedures) 修改讀取 Object(Constrained Data Item) 。

   ● 就是主體不能直接存取客體,只能透過程式來存取。簡單來說 使用者(active agents) 嘗試讀取的文件是受限制的項目(CDI:約束資料項目),要經過Program(TP:轉換過程)

   ● Unconstrained Data Items (UDI):指非受限制項目-比較不重要的資料,可以直接讀取修改。

   ● Integrity Verification Procedures (IVP) :驗證CDI是否有效並確認其完整性。

  還有像是其他的資訊安全模型注重點的差異,像是Brewer-Nash Model(Chinese Wall):避免利益衝突 conflict of interest (COI)、Graham-Denning:如何安全的建立與刪除Subject & Object(包含 讀取、授權、刪除、轉移權限)等規則、Harrison-Ruzzo-Ullman(HRU):細節調整。規定subject 對object的操作權限,確保不會造成未知的漏洞等。興趣的也可以再自行去了解其他的Security Models。

參考資料:

  1、https://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model

  2、https://en.wikipedia.org/wiki/Biba_Model

  3、https://en.wikipedia.org/wiki/Clark%E2%80%93Wilson_model

  4、https://www.studynotesandtheory.com/single-post/the-clark-wilson-model

  5、https://www.icet.ac.in/Uploads/Downloads/MOD2.pdf

  6、https://www.vpnunlimited.com/help/cybersecurity/biba-model?srsltid=AfmBOopNZY6J0MToQQCMUJFiJlH0hiyK5ClPnOc-XmxpdBJokFhVUhJ9

  7、https://luizfirmino.blogspot.com/2006/07/clark-wilson-model.html

  想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com