譯者 | 李睿

審校 | 重樓

在計算世界中，安全性在保護資源方面起著至關重要的作用。在過去的10年，網絡安全機構和服務商已經創(chuàng)建了各種安全模型來確保信息的機密性、完整性和可用性。他們提出了企業(yè)可以采用的方法來建立正式的信息安全政策。這些策略旨在為部署安全措施和實踐提供結構化方法，以保護敏感信息并防止出現安全漏洞。了解不同的安全模型、這些模型的特性以及它們對特定情況的適用性對于企業(yè)來說是至關重要的。它使人們能夠在選擇適當的安全模型時做出明智的決定，從而有效地解決安全問題并保護計算資源。

訪問控制模型

訪問控制模型是最常用的模型之一，被設計用來幫助創(chuàng)建與不同資源(例如文件、數據庫和網絡)的系統(tǒng)/用戶級訪問相關的策略。其經驗法則是只提供對執(zhí)行其職責所需的實體的訪問。該模型包含三種主要的控制類型：自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）。使用自主訪問控制（DAC），資源所有者有能力決定“誰可以訪問什么?”例如，文件的所有者決定他們想要授予誰訪問權限和其他權限(編輯或查看權限)。由于其多功能性和易用性，自主訪問控制（DAC）模型通常被較小的組織所采用。

另一方面，像國防和政府等部門通常采用非常嚴格的控制策略，例如強制訪問控制（MAC）。強制訪問控制（MAC）模型中的訪問限制可以基于分配給資源的安全標簽來強制執(zhí)行。這些標簽決定了訪問資源所需的安全許可級別。它們還支持一種結構化的方法來實現安全措施，并防止對敏感數據的未經授權的訪問。然而，大多數企業(yè)都需要一個中間地帶，也就是一種不太嚴格但也不太自由的控制。在這種情況下，基于角色的訪問控制（RBAC）是最合適的。它根據企業(yè)中分配的用戶角色授予訪問權限。這使得企業(yè)可以在角色發(fā)生變化時輕松修改訪問權限，而不需要修改每個用戶的訪問權限。

Take-Grant模型

Take-Grant模型依賴于個人可以向其他個人或實體授予或獲取權限的概念。該模型的有效性可以通過有向圖表示來清楚地評估。在這個模型下有兩個主要的規(guī)則。使用“獲取規(guī)則”，一個主體可以從另一個主體獲得權限，而“授予規(guī)則”允許一個主體授予另一個主體的訪問權限。

例如，營銷部門的員工可以訪問營銷資產，而IT部門的員工可以訪問敏感的技術信息。如果營銷團隊成員需要訪問技術文檔，他們將需要請求對資源具有授予權限的人員。在這種情況下，可能是IT主管。

圖1是Take-Grant模型的有向圖，需要注意權限如何從一個主體傳遞到另一個主體或從一個主體傳遞到一個對象。

圖1有向圖(Take-Grant模型)

Biba模型

該模型的設計與Bell-LaPadula模型非常相似，主要區(qū)別在于它關注數據完整性。它還基于分配給資源的級別的多級安全系統(tǒng)中流動的信息。該模型的兩個主要組件包括簡單完整性屬性(SIP)和*(星號)完整性屬性。在簡單完整性屬性(SIP)中，處于更高安全級別的用戶無法讀取給定級別的數據，也就是“不向下讀取”。例如高級工程師不能閱讀初級工程師所做的代碼更改，直到它們被提交。在*(星號)完整性屬性下，給定級別的數據不能由較低級別的用戶修改，也就是“無寫操作”。金融和醫(yī)療保健等機構通常采用這種模式來保護患者記錄和其他敏感信息。

Clark-Wilson模型

數據完整性是Clark-Wilson模型的主要關注點，該模型允許通過受控接口/訪問門戶進行有限的修改。對于用戶來說，職責是分離的，他們的資源訪問是有限的，如圖2所示。該模型有三個主要組成部分：約束數據項(CDI)、完整性驗證過程(IVP)和轉換過程(TP)。約束數據項(CDI)執(zhí)行了訪問控制，以確保授權訪問。完整性驗證過程(IVP)用于檢查數據完整性。在數據的完整性建立之后，轉換過程將控制進行的修改。該模型廣泛應用于數據完整性和安全性至關重要的電子商務和金融行業(yè)。

圖2 Clark Wilson模型

非干擾模型

非干擾模型基于分離安全級別和信息流的概念，重點關注機密性。它的兩個主要組件是高級安全性和低級安全性。在高級安全性上執(zhí)行的操作不應該對低級安全性的用戶產生影響，甚至不應該引起用戶注意。這可以防止信息泄露，并提供了對木馬和后門等秘密程序的保護。它廣泛應用于安全信息流至關重要的政府或軍事領域。

可信計算基(TCB) 模型

顧名思義，可信計算基(TCB)模型確保企業(yè)內部使用的所有計算資源都是可信的，并且沒有安全漏洞。它的四個主要組件是安全策略、安全內核、參考監(jiān)視器和安全邊界。系統(tǒng)的整體安全功能在安全策略下定義，資源訪問在安全內核處進行調解。在授予訪問權限之前，引用監(jiān)控器驗證每個資源的授權。最后，安全邊界會阻止或限制外部世界對企業(yè)資源的訪問。大多數頂級科技公司使用可信計算基(TCB)來確保系統(tǒng)設計的安全性。

Brewer -Nash 模型

該模型廣泛應用于法律和咨詢領域，當員工能夠訪問與不同客戶相關的關鍵數據時，可以防止利益沖突。它基于一種隔離數據以防止未經授權的訪問的概念。創(chuàng)建數據的邏輯或物理隔離可以保證一個客戶的數據不能被與另一個客戶合作的員工訪問。

Graham-Denning模型

該模型基于主題和對象的安全創(chuàng)建。它定義了誰可以訪問/更改哪些數據。它主要以數據完整性和訪問控制為中心，建立了只有經過授權的主體才能訪問數據對象的事實。它廣泛用于銀行和電子商務網站，其中客戶帳戶信息及其交易/購買是重要的保護。它有八個主要規(guī)則，包含安全地創(chuàng)建/刪除主題和對象，同時確保安全的讀、寫、刪除和授予訪問權限。

Harrison-Ruzzo-Ullman模型

該模型是Graham-Denning模型的擴展，用于確保后端系統(tǒng)(例如操作系統(tǒng)和數據庫)的安全性。它定義了一組為主體/用戶提供訪問權限的過程。這可以用矩陣表示，其中主題和對象分別按行和列組織。引入了一個額外的控件，以啟用矩陣的修改權限，同時實現了完整性規(guī)則，以確保用戶不能創(chuàng)建違反系統(tǒng)級驗證需求的新主題或對象。此模型的一個明確應用是在操作系統(tǒng)中，其中對系統(tǒng)資源的訪問由授權級別決定。因此，用戶只能使用他們被授權訪問的資源。

在這些模型中，有各種可用的安全控制來確保系統(tǒng)的安全性和準確性。以下是一些可以幫助企業(yè)選擇適合其需求和系統(tǒng)功能的控件的因素：

• 通用標準(CC)：這是一組用于評估和驗證系統(tǒng)安全特性的標準。它涉及基于評級的方法，旨在提供產品的主觀評價。通用標準(CC)包含兩個關鍵元素：一是保護配置文件，它指定產品必須滿足的安全需求；二是安全目標，它評估企業(yè)為保護其產品所采取的措施。
• 運營授權(ATO)：作為基于風險的方法的一部分，在使用任何資源或產品之前都需要獲得官方批準。這就是所謂的“操作授權”。授權者可以做出四個關鍵決定：操作授權、共同控制授權、使用授權和拒絕授權。
• 界面：應用程序可以包含一個受限或受限的界面，根據用戶授權的權限限制用戶的訪問或可見性。

原文標題：Guarding Against Threats: Examining the Strengths and Applications of Modern Security Models，作者：Akanksha Pathak