Bell-LaPadual模型(简称BLP模型)是最早的一种安全模型也是最著名的多级安全策略模型BL..

免费智能真题库 > 历年试卷 > 信息安全工程师 > 2018年上半年信息安全工程师上午试卷综合知识

第58题

知识点： BLP机密性模型安全策略安全模型

关键词：安全策略安全模型多级安全简单安全特性安全章/节：网络安全体系相关安全模型

Bell-LaPadual模型(简称BLP模型)是最早的一种安全模型,也是最著名的多级安全策略模型,BLP模型的简单安全特性是指（）。

A. 不可上读

B. 不可上写

C. 不可下读

D. 不可下写


知识点讲解
· BLP机密性模型 · 安全策略 · 安全模型

BLP机密性模型

Bell-LaPadula模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型，简称BLP模型。该模型用于防止非授权信息的扩散，从而保证系统的安全。BLP模型有两个特性：简单安全特性、*特性。

（1）简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。

（2）*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。

如下图所示，信息流只向高级别的客体方向流动，而高级别的主体可以读取低级别的主体信息。

Bell-LaPadula模型安全作用示意图

BLP机密性模型可用于实现军事安全策略（Miliary Security Policy）。该策略最早是美国国防部为了保护计算机系统中的机密信息而提出的一种限制策略。其策略规定，用户要合法读取某信息，当且仅当用户的安全级大于或等于该信息的安全级，并且用户的访问范畴包含该信息范畴时。为了实现军事安全策略，计算机系统中的信息和用户都分配了一个访问类，它由两部分组成：

. 安全级：安全级别对应诸如公开、秘密、机密和绝密等名称；

. 范畴集：指安全级的有效领域或信息所归属的领域，如人事处、财务处等。

安全级的顺序一般规定为：公开<秘密<机密<绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中，仅有单一的安全级，而范畴可以包含多个。下面给出系统访问类例子：

. 文件F访问类：｛机密：人事处，财务处｝；

. 用户A访问类：｛绝密：人事处｝；

. 用户B访问类：｛绝密：人事处，财务处，科技处｝。

按照军事安全策略规定，用户B可以阅读文件F，因为用户B的级别高，涵盖了文件的范畴。而用户A的安全级虽然高，但不能读文件F，因为用户A缺少了“财务处”范畴。

安全策略

安全策略概述

安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。

安全策略的核心内容就是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。

安全策略具有科学性、严肃性、非二义性和可操作性。

建立安全策略需要处理好的关系

1．安全与应用相互依存

安全与应用既矛盾，又相互依存。没有应用，就不会产生相应的安全需求等问题；不妥善地解决安全问题，就不能更好地开展应用。另外，安全是有代价的，会增加系统建设和运行的费用，会规定对使用的限制，给应用带来一些不便。

2．风险度的观点

安全是相对的，是一个风险大小的问题。它是一个动态过程，我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围内。

3．适度安全的观点

安全风险与安全代价相对应，需要经过风险评估后对风险和代价进行均衡，有效控制两者的平衡点，既能保证安全风险的有效控制，又使安全的代价可以接受。

4．木桶效应观点

安全就好比木桶的短板，应关注于安全。

5．安全等级保护

国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级：

.用户自主保护级：适用于普通内联网用户。

.系统审计保护级：适用于通过内联网或国际网进行商业活动，需要保密的非重要单位。

.安全标记保护级：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

.结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

.访问验证保护级：适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

建立安全策略的设计原则

建立安全策略的设计原则是在决策之前需要清理头绪，抓住“关键环节”。

信息系统安全管理的8个总原则：

.主要领导人负责原则

.规范定级原则

.依法行政原则

.以人为本原则

.注重效费比原则

.全面防范、突出重点原则

.系统、动态原则

.特殊的安全管理原则

信息系统安全管理的10个特殊原则是：

.分权制衡原则

.最小特权原则

.标准化原则

.失效保护原则

.普遍参与原则

.职责分离原则

.审计独立原则

.控制社会影响原则

.保护资源和效率原则

系统安全方案

全局性的系统方案直接影响到信息系统安全实施与效果。因此，从信息安全考虑，确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括：

.主要硬件设备的选型。

.操作系统和数据库的选型。

.网络拓扑结构的选型。

.数据存储方案和存储设备的选型。

.安全设备的选型。

.应用软件开发平台的选型。

.应用软件系统结构的选型。

.供货商和集成商的选择。

.业务运营与安全管理的职责划分。

.应急处理方案的确定以及人员的落实。

确定系统安全方案主要包括如下内容：

.首先确定采用MIS+S、S-MIS或S2-MIS体系架构。

.确定业务和数据存储方案。

.确定网络拓扑结构。

.基础安全设施和主要安全设备的选型。

.业务应用系统安全级别确定。

.系统资金和人员投入的档次。

系统安全策略内容

安全策略的核心内容为“七定”，安全策略种类包括：

.机房设备安全管理策略。

.主机和操作系统管理策略。

.网络和数据库管理策略。

.应用和输入输出管理策略。

.应用开发管理策略。

.应急事故管理策略。

.密码和安全设备管理策略。

.信息审计管理策略等。

安全模型

安全模型定义了执行策略以及技术和方法，通常这些模型是经过时间证明为有效的数学模型。如果一个模型未经数学证明，则称为非正式安全模型，否则就称为正式安全模型。常用的正式安全模型主要有Bell-LaPadule、Biba和Clark-Wilson等模型。

（1）Bell-LaPadule。Bell-LaPadule（BLP）模型是基于机密性的访问模型，模型对安全状态进行了定义，并具有一个特殊的转换函数，能够将系统从一个安全状态转换到另一个安全状态。BLP模型还定义了关于读写的基本访问模式以及主体如何对客体进行访问。

安全状态是指根据一定的安全策略，只有经过允许的访问模型是可用的。BLP模型基于对主体和客体的分类级别来判断对客体的访问权限，包括只读、只写以及读写3种权限。

BLP模型基于2种属性，分别是简单安全属性（simple security property）和星属性（star property）。简单安全属性指出高保密性的客体（文件）不能被低保密性的主体（进程）读取，低保密性的客体可以被高保密性的主体读取，这称为“不能从上读”，这样就保证了高保密级别的内容不被窃取。星属性指出主体只能向相同级别以及更高级别的客体中写信息，这称为“不能向下写”。以这种方式，就可以防止主体从一个级别向一个更低的级别中复制信息，从而保证了高保密性的内容不会泄漏。

（2）Biba。Biba模型是基于完整性的访问模型，完整性模型通常会与机密性模型相互冲突。Biba模型主要是建立在具有不同级别的完整性程度的单元之上，每个单元的元素是主动的主体的集合或者是被动的客体的集合。Biba模型的主要目的就是为了解决完整性的问题，防止未授权用户对信息的修改。

Biba模型基于3种属性，分别是简单安全属性、星属性和请求属性。简单安全属性规定，低完整性的主体可以读取（访问）高完整性的客体，高完整性主体不可以读取（访问）低完整性的客体。星属性规定，低完整性的主体不能写（修改）高完整性的客体，高完整性的主体可以写（修改）低完整性的客体。请求属性规定，低完整性的主体不能向高完整性的客体发送消息。

（3）Clark-Wilson。Clark-Wilson模型也是基于完整性的访问模型，与Biba不同的是，Clark-Wilson模型主要有3个完整性目标：阻止未授权的用户修改信息；维护内部和外部的一致性；阻止授权的用户对信息进行不适当的修改。

题号导航 2018年上半年信息安全工程师上午试卷综合知识

本试卷我的完整做题情况



	第58题在手机中做本题