信息安全模型全解：从机密性到完整性的理论基石

前言

在当今这个数据驱动的时代，信息安全已成为任何信息系统设计与实现过程中不可或缺的核心组成部分。无论是国家安全、企业商业机密，还是普通用户的隐私数据，都面临着被非法访问、泄露、篡改甚至破坏的风险。为了保障信息的机密性、完整性与可用性，安全模型的设计与应用显得尤为重要。

本文将深入介绍多个经典的信息安全模型，包括基础模型 HRU、机密性模型（如 BLP 和 Chinese Wall）、完整性模型（如 Biba 和 Clark-Wilson），以及多种访问控制机制（MAC、DAC、RBAC）和信息流模型。这些模型构成了现代信息安全体系的理论基础，也为实际系统的安全架构设计提供了方向。

1 信息安全的三大核心目标

信息安全模型的设计普遍围绕着三个核心目标：机密性（Confidentiality）、完整性（Integrity） 和 可用性（Availability）。尽管本文主要聚焦前两者，但在实际应用中，三者之间必须保持平衡。

1. 机密性是指防止信息被未授权用户读取或泄露。
2. 完整性则确保数据在存储、处理与传输过程中保持准确、完整且未被篡改。
3. 可用性保证授权用户在需要时可以及时访问信息和系统资源。

不同的安全模型各自强调不同的目标，下面我们从模型角度深入分析。

2 机密性保障模型

2.1 Bell-LaPadula 模型（BLP）

Bell-LaPadula 模型是历史上第一个形式化的计算机安全模型，于1973年由美国政府提出，专注于保护信息的机密性。该模型广泛应用于军事和政府信息系统中。

BLP 的核心思想是通过强制访问控制（Mandatory Access Control, MAC）手段来防止信息向低密级泄露。系统中的每个用户和每个对象（如文件）都有一个固定的安全等级，如“机密”、“秘密”、“绝密”等。模型定义了两个主要安全属性：

• 简单安全属性（Simple Security Property）：用户不能读取高于自己权限级别的信息（No Read Up）。
• *属性（Star Property）：用户不能将高密级信息写入低密级对象（No Write Down）。
  

这两个规则共同确保了信息只能在相同或更高密级之间流动，避免了敏感数据被下级用户泄露的风险。

然而，BLP 模型仅关注机密性，对数据的完整性与系统功能限制考虑较少，在商业系统中应用有限。

2.2 Chinese Wall 模型（中文墙模型）

Chinese Wall 模型主要用于商业环境中，旨在防止由于访问多个竞争对手信息而产生的利益冲突。该模型通过动态访问控制策略，限制用户在访问某类公司数据后不能访问其竞争对手的数据。

假设某分析师访问了A公司的财务数据，系统会立即阻止其访问B公司（A公司竞争对手）的相关数据。这种策略虽然限制了用户的访问自由，但有效避免了潜在的数据泄密和利益冲突。

Chinese Wall 模型的最大特点是访问控制不是静态的，而是动态地随着用户行为变化，这为模型带来了更高的适应性和复杂性。

3 完整性保障模型

3.1 Biba 模型

与 BLP 模型相对应，Biba 模型于1977年提出，是专注于完整性保护的安全模型。Biba 的基本出发点是防止低可信级别用户破坏高可信级别的数据。

其核心规则恰好与 BLP 模型相反：

• 简单完整性属性（Simple Integrity Property）：用户不能读取低于自己完整性级别的数据（No Read Down），避免被污染的数据影响用户判断。
• *完整性属性（Star Integrity Property）：用户不能将数据写入高于自身完整性级别的对象（No Write Up），防止低级别用户篡改重要数据。

Biba 模型适用于那些对数据完整性要求极高的环境，如银行系统、医疗系统、航空航天等，但它同样不关心机密性，因此在实践中常与其他模型联合使用。

3.2 Clark-Wilson 模型

Clark-Wilson 模型进一步推进了完整性保护的思想，尤其适用于商业信息系统。该模型认为，完整性不仅仅是防止非法修改，更是防止“未经授权或不当的合法修改”。

其核心概念包括：

• 认证程序（Transformation Procedures, TP）：只能通过认证的程序来修改数据，防止用户直接访问原始数据。
• 受约束数据项（Constrained Data Items, CDI）**和**不可变数据项（Unconstrained Data Items, UDI）：对敏感数据进行保护，只能通过 TP 操作。
• 职责分离：一个操作流程由多个角色共同完成，避免单人滥权，例如一个员工提交支出，一个经理审批。

Clark-Wilson 模型的优势在于高度实用，特别适合现代企业系统的合规和审计需求。

4 访问控制模型

4.1 强制访问控制（MAC）

MAC 是一种由系统强制执行的访问控制策略，用户无权更改自己的访问权限。在 MAC 环境中，安全策略由系统管理员预设，不可更改，常与 BLP 和 Biba 模型配合使用。

MAC 适用于高度保密的组织机构，如军事或国家安全系统。虽然安全性高，但灵活性较低。

4.2 自主访问控制（DAC）

与 MAC 相反，DAC 模型允许对象所有者自主设定谁可以访问其资源。这种方式更为灵活，但也更容易受到恶意软件和滥用行为的影响。

操作系统如 Windows 和 Unix 通常采用 DAC 模型。例如，文件拥有者可以使用 chmod 命令更改文件权限。

4.3 基于角色的访问控制（RBAC）

RBAC 是一种更符合企业组织结构的访问控制方式。权限不是直接赋予用户，而是赋予“角色”，用户再被赋予角色，从而获得权限。

例如，一个“财务人员”角色可以访问财务系统，一个“管理员”角色可以管理用户账户。RBAC 提高了权限管理的可扩展性和维护性，特别适用于大型组织和动态权限需求的环境。

5 信息流模型

信息流模型关注的是系统中信息的传播路径，确保信息不会沿着非法路径泄露或被污染。它通常与 BLP 和 Biba 模型配合使用，进行更细致的信息传递控制。

信息流控制不仅关心数据是否被访问，还关心数据被访问后会如何被传播。例如，一个用户如果读取了高密级数据，再向低密级文件写入内容，就可能在逻辑上导致泄密，尽管访问权限上没有违规。

因此，信息流模型强调数据“源—汇”路径的完整性和合法性，是动态分析安全行为的重要补充工具。

6 基础模型：HRU 模型

Harrison-Ruzzo-Ullman（HRU）模型是最早提出的访问控制理论基础之一，主要用于形式化描述安全系统中的权限管理问题。

HRU 模型通过一个访问控制矩阵来定义用户、对象与权限之间的关系。每一个单元格记录一个用户对某一对象的访问权限，例如读、写、执行等操作。

HRU 模型的一个重要结论是：在一般情况下，无法判定系统是否“始终安全”（即权限不会在将来非法扩散），这个问题被证明是不可判定的。这一发现为安全系统的理论研究带来了深远影响，也说明了设计安全机制的复杂性和必要性。

结语

信息安全模型是信息系统构建中不可忽视的理论支柱。不同的模型各自强调不同的安全目标，从保护敏感信息的 BLP 模型，到保障数据完整性的 Biba 和 Clark-Wilson 模型，再到灵活管理权限的 RBAC，每一种模型都是对现实需求的抽象与回应。

在实际系统中，单一模型往往难以满足所有安全需求，因此通常会结合多种模型共同发挥作用。例如，在一个企业信息系统中，可能同时应用 RBAC 管理角色权限，使用 Clark-Wilson 保证交易的完整性，同时借助信息流控制来防止数据泄露。