下载掌阅APP,畅读海量书库
立即打开
模型是指对于某个实际问题或客观事物、规律进行抽象后的一种形式化表达方式,其作用是表达不同概念的性质。模型由目标、变量和关系三个部分组成。
· 目标:编制和使用模型,首先要有明确的目标。只有明确了模型的目标,才能进一步确定影响这种目标的各种关键变量,进而把各变量加以归纳、综合,并确定各变量之间的关系。
· 变量:变量是事物在幅度、强度和程度上变化的特征。在组织行为学研究中要测定三种类型的变量,即自变量、因变量和中介变量。
· 关系:确定了目标,确定了影响目标的各种变量之后,还需要进一步研究各变量之间的关系。
模型广泛应用于日常生活的各种方面,种类繁多,如数学模型、程序模型、逻辑模型、结构模型等。而随着人类步入高速发展的信息社会,利用安全模型和策略对信息数据进行保护成为必要手段。安全模型是表达特定策略或策略集合的模型,高安全级别系统都要求采用形式化安全模型来描述系统安全策略,并且是可验证的。因此,形式化安全模型对于精确地描述一个系统的安全性和安全策略是非常重要的。下面以Lampson基本模型为例进行介绍。
Lampson模型的结构被抽象为状态三元组( S , O , M ):
· S 为访问主体集。
· O 为访问客体集(可包含 S 的子集)。
· M 为访问矩阵,矩阵单元记为 M [ s , o ],表示主体 s 对客体 o 的访问权限。所有的访问权限构成一个有限集 A 。
· 状态变迁通过改变访问矩阵 M 实现。
由此可见,安全模型通常具有如下特点。
· 安全模型是精确和无歧义的。
· 安全模型是简单和抽象的,并且容易理解。
· 安全模型是一般性的,只涉及安全性质,不过多涉及具体的系统功能或实现。
· 安全模型足够小,便于模型的形式化描述、实现和验证。
信息安全模型用于精确地和形式地描述信息系统的安全特征,以及用于解释信息系统安全的相关行为。显然,信息安全模型能够准确描述信息安全的重要方面与系统行为的关系,同时提高学习者、应用者和研究者对成功实现关键安全需求的理解层次。
形式化安全模型是信息安全理论研究的基础,也是开发高安全级别系统不可缺少的形式化描述和验证技术。一般的安全模型都可以用一种称为格(Lattice)的数学表达式来表示。
格是一种定义在集合SC上的偏序关系,是一个集合 S 和关系 R 的组合,并且满足如下条件。
· R 是自反、反对称和传递的。
■ 自反性:任意 a ∈ S ,有 aRa 。
■ 反对称:任意 a , b ∈ S ,由 aRb 和 bRa 可推出 a = b 。
■ 传递性:任意 a , b , c ∈ S ,由 aRb 和 bRc 可推出 aRc 。
· 对任意 S , t ∈ S ,存在最大下界。
· 对任意 S , t ∈ S ,存在最小上界。
在一种多级安全策略模型中,SC表示有限的安全类集合,其中每个安全类可用一个二元组(A,C)来表示,A表示权限级别(Authority level),C表示类别集合(Category)。权限级别共分成四级。
· 0级:普通级(Unclassified)。
· 1级:秘密级(Confidential)。
· 2级:机密级(Secret)。
· 3级:绝密级(Top Secret)。
对于给定的安全类(A,C)和(A,C′),当且仅当A≤A且C≤C′时,(A,C)≤(A′,C′),称(A,C)受(A′,C′)的支配。例如,假设一个文件F的安全类为{Seet;NATO,NUCLEAR},如果一个用户的安全类为{Top Secret;NATO,NUCLEAR,CRYPTO},则该用户就可以访问文件F,因为该用户拥有比文件F更高的权限级别,并且在其类别集合中包含了文件F的所有类别。如果一个用户的安全类为{Top Secret;NATO,CRYPTO},则该用户就不能访问文件F,因为该用户缺少NUCLEAR类别。这种多级安全策略模型是对军事安全的抽象,其模型的表示方法被广泛用于其他各种安全模型中。
人们提出了各种信息安全模型,包括信息保密性模型、信息完整性模型、信息流控制模型和混合策略模型等。