深入分析比较八个信息安全模型
（1）状态机模型：
无论处于什么样的状态，系统始终是安全的，一旦有不安全的事件发生，系统应该会保护自己，而不是是自己变得容易受到攻击。

（2）Bell-LaPadula模型：
多级安全策略的算术模型，用于定于安全状态机的概念、访问模式以及访问规则。

主要用于防止未经授权的方式访问到保密信息。

系统中的用户具有不同的访问级（clearance），而且系统处理的数据也有不同的类别（classification）。

信息分类决定了应该使用的处理步骤。

这些分类合起来构成格（lattice）。

BLP是一种状态机模型，模型中用到主体、客体、访问操作（读、写和读/写）以及安全等级。

也是一种信息流安全模型，BLP的规则，Simplesecurityrule，一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。

（-propertyrule)为不能往下写。

Strongstarpropertyrule，一个主体只能在同一安全登记内读写。

图1-1 Bell-Lapodupa安全模型解析图
基本安全定理，如果一个系统初始处于一个安全状态，而且所有的状态转换都是安全的，那么不管输入是什么，每个后续状态都是安全的。

不足之处：只能处理机密性问题，不能解决访问控制的管理问题，因为没有修改访问权限的机制；这个模型不能防止或者解决隐蔽通道问题；不能解决文件共享问题。

（3）Biba模型：
状态机模型，使用规则为，不能向上写：一个主体不能把数据写入位于较高完整性级别的客体。

不能向下读：一个主体不能从较低的完整性级别读取数据。

主要用于商业活动中的信息完整性问题。

图1-2 Biba安全模型解析图
（4）Clark-Wilson模型：
主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改，欺骗和错误来保护信息的完整性。

在该模型中，用户不能直接访问和操纵客体，而是必须通过一个代理程序来访问客体。

从而保护了客体的完整性。

使用职责分割来避免授权用户对数据执行未经授权的修改，再次保护数据的完整性。

在这个模型中还需要使用审计功能来跟踪系统外部进入系统的信息。

完整性的目标，防止未授权的用户进行修改，防止授权用户进行不正确的修改，维护内部和外部的一致性。

Biba只能够确认第一个目标。

（5）信息流模型：
Bell-LaPadula模型所关注的是能够从高安全级别流到低安全级别的信息。

Biba模型关注的是从高完整性级别流到低完整性级别的信息。

都使用了信息流模型，信息流模型能够处理任何类型的信息流，而不仅是流的方向。

（6）非干涉模型：
模型自身不关注数据流，而是关注主体对系统的状态有什么样的了解，以避免较高安全等级内的一个实体所引发的一种活动，被低等级的实体感觉到。

（7）Brewer和Nash模型：
是一个访问控制模型，这个模型可以根据用户以往的动作而动态地改变。

模型的主要功能就是防止用户访问被认为是利益冲突的数据。

（8）Graham-Denning安全模型：
创建允许主体在客体上操作的相关权限；
Harrison-Ruzzo-Ullman模型：允许修改访问权以及如何创建和删除主体和客体。