信息安全模型

信息安全模型是用来精确描述信息系统安全策略，用形式化或非形式化的方法描述信息系统的安全性策略。信息安全模型建立在体系结构之上，信息安全体系结构建立在各种信息安全技术和方法机制之上，是各种机制的子集元素的有机结合体。安全模型的目的就是为了精确描述信息系统的安全需要，因此，安全模型必须具备以下特点：①它是精确的和无二义性的。②它是简单的、抽象的，并且易于理解的。③它仅涉及系统的安全策略。从安全控制的观点上划分，安全模型可以分为访问控制、信息流控制、混合控制三大类。

1.访问控制模型

这是从访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中，一般包括主体、客体，以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常，访问控制可以分为任意访问控制和强制访问控制。

访问控制模型将系统的安全状态表示成一个大的矩阵，在这个矩阵中，行表示系统的主体，列表示系统中的主体和客体。矩阵中的每个值制订了一个主体对一个客体或其他主体的访问方式。在实际应用中，由于访问矩阵多为稀疏矩阵，常用能力表或访问控制表取代访问矩阵。访问控制模型是状态机模型的变形，状态变量包括主体和客体集，它们的安全类别以及访问方式、状态转移函数描述访问矩阵及相关变量的变化。描述系统安全状态的另一个方法是从主体与客体的安全属性的角度来进行，主体对客体的访问是通过比较它们的安全属性来决定的。

2.信息流控制模型

这是根据信息流控制策略建立起来的，主要用于描述客体能够存储的信息的安全类和客体安全类之间的关系，也包括不同安全类客体之间信息的流动关系。信息控制模型有着良好的理论基础，它是建立在格理论基础上的。在这种模型中，分别把主体与客体划分为不同的安全类，规定信息只能在同安全类内或由低安全类向高安全类流动。 由于这种对信息流的控制原则与人类团体组织的实际控制方式相吻合，因此，这种信息流模型得到了广泛应用。著名的信息流控制模型有军用安全模型、BLP模型、Biba模型等。

信息流控制模型主要着眼于对客体之间的信息传输过程的控制，通过对信息流向的分析，可以发现系统中存在的隐蔽通道，并设法予以堵塞。信息流是信息根据某种因果关系（如函数）的流动，信息流总是从旧状态的变量流向新状态的变量，信息流模型的出发点是彻底切断系统中信息流的隐蔽通道，防止对信息的窃取。信息流模型需要遵守的安全规则是：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高的状态，信息流模型实现的关键在于对系统的描述，即对模型进行彻底的信息流分析，找出所有的信息流，并根据信息流安全规则判断其是否为异常流，若是，就反复修改系统的描述或模型，直到所有的信息流都不是异常流为止。

信息流模型是访问控制模型的一种变形，它不校验主体对客体的访问模式，而是试图控制从一个客体到另一个客体的信息流，强迫其根据两个客体的安全属性决定访问操作是否进行。信息流模型和访问控制模型之间差别很小，但访问控制模型不能帮助系统发现隐蔽通道，而信息流模型可以有效帮助系统发现隐蔽通道。

3.混合控制模型

混合控制模型是在访问矩阵中采用信息流控制机制，这是在实际系统中普遍采用的控制机制。当需要判断是否允许某一主体对某客体的访问时，访问监控器依据访问矩阵可以完成判断任务。当主体需要对客体进行实际访问时，则采用信息流控制策略进行控制。利用混合模型的访问矩阵作为模型的数据结构，利用监控器作为访问控制和信息流控制的执行机构，可以更加全面和更真实地模型化现实系统，或设计一种更强有力的新型安全保护系统。