2.1 信息安全模型

2.1.1 模型简介

模型是指对于某个实际问题或客观事物、规律进行抽象后的一种形式化表达方式，其作用是表达不同概念的性质。模型由目标、变量和关系三个部分组成。

• 目标：编制和使用模型，首先要有明确的目标。只有明确了模型的目标，才能进一步确定影响这种目标的各种关键变量，进而把各变量加以归纳、综合，并确定各变量之间的关系。

• 变量：变量是事物在幅度、强度和程度上变化的特征。在组织行为学研究中要测定三种类型的变量，即自变量、因变量和中介变量。

• 关系：确定了目标，确定了影响目标的各种变量之后，还需要进一步研究各变量之间的关系。

模型广泛应用于日常生活的各种方面，种类繁多，如数学模型、程序模型、逻辑模型、结构模型等。而随着人类步入高速发展的信息社会，利用安全模型和策略对信息数据进行保护成为必要手段。安全模型是表达特定策略或策略集合的模型，高安全级别系统都要求采用形式化安全模型来描述系统安全策略，并且是可验证的。因此，形式化安全模型对于精确地描述一个系统的安全性和安全策略是非常重要的。下面以Lampson基本模型为例进行介绍。

Lampson模型的结构被抽象为状态三元组（S，O，M）：

• S为访问主体集。

• O为访问客体集（可包含S的子集）。

• M为访问矩阵，矩阵单元记为M[s,o]，表示主体s对客体o的访问权限。所有的访问权限构成一个有限集A。

• 状态变迁通过改变访问矩阵M实现。

由此可见，安全模型通常具有如下特点。

• 安全模型是精确和无歧义的。

• 安全模型是简单和抽象的，并且容易理解。

• 安全模型是一般性的，只涉及安全性质，不过多涉及具体的系统功能或实现。

• 安全模型足够小，便于模型的形式化描述、实现和验证。

信息安全模型用于精确地和形式地描述信息系统的安全特征，以及用于解释信息系统安全的相关行为。显然，信息安全模型能够准确描述信息安全的重要方面与系统行为的关系，同时提高学习者、应用者和研究者对成功实现关键安全需求的理解层次。