24小时热门版块排行榜

南方科技大学公共卫生及应急管理学院2026级博士研究生招生报考通知（长期有效）

返回列表

linzhi_wj

新虫 (小有名气)

应助: 0 (幼儿园)
金币: 394.8
红花: 4
帖子: 65
在线: 34.8小时
虫号: 1488987
注册: 2011-11-13
专业: 信息安全

[交流] 信息安全中为什么没有状态控制已有2人参与

信息安全中为什么没有状态控制
在信息系统安全防护中，核心就是访问控制。无论是操作系统、WEB应用、DBMS、还是当前流行的云计算平台、移动APP应用、工控系统等等，在安全防护中都用大量的篇幅讨论访问控制，在应用中具有绝对的统治地位。同时，在相关国家级测试、测评技术中（如等级保护测评标准、风险评估标准），谈论最多的也是访问控制，而且是作为标配检查项存在于标准中。
作为如此重要的安全控制机制，我们有必要深入分析访问控制究竟是什么。从访问控制应用看，其以访问会话行为为核心控制目标，在安全防护方面有两个作用：其一是实现会话行为本身的安全；其二是以访问会话控制为手段，实现系统的不同安全需求。显然，后者是访问控制得以广泛应用的关键。
但因此就能说访问会话控制重要吗？从控制对象看，访问控制的控制目标（访问会话行为）只是系统两个基本要素（行为和状态）之一的行为中的一类。从应用范围看，访问会话行为本身存在的范围有限（仅是应用层用户相关要素明确时可见，在相对底层或更高抽象层根本不适用。），这就限制了访问控制的应用。此外，从控制效果看，访问控制仍有许多问题不能解决。
针对这一现状，我认为访问控制只是系统安全防护手段之一，尽管现在是最重要的，但相信随着信息安全技术的发展，还会有其它更好的手段出现，将访问控制手段作为核心乃至安全的全部，甚至设定为标准，本身反映了我们安全防护手段的匮乏。
一直以来，我很佩服访问控制的狗屎运：一个控制对象并不起眼，应用范围有限的模型，居然能作为系统安全防护的核心，还作为标准的重要组成部分存在。不知该感叹是信息安全研究之艰难，还是感叹信息安全研究还处于原始状态。
在以前，个人学习了一些访问控制模型，一直认为访问控制模型的局限性存在于两个方面：一是角色权限的硬编码于应用逻辑中，其灵活性差。另一方面，访问控制模型要求主体、客体、访问会话行为明确，这也是一个很要命的限制。
在系统组成结构中，我们可知系统由行为和状态构成，行为驱动状态转换从而构成系统。从这一角度看，仅有行为控制（访问会话行为算是其中一小类行为）显然是不够的，行为控制和状态控制的组合才形成完备的控制系统。此外，从应用角度看，状态控制可作为行为控制的补充。在一些行为控制不适用的场合，状态控制可发挥意想不到的效果。毕竟系统是由行为驱动的状态序列构成，控制行为可通过控制状态间接实现（当然，控制状态也可通过控制行为间接实现）。这样看来，在系统安全中引入状态控制显然是值得的，而且从访问控制的大火看，搞得好，引入状态控制，从而复制访问控制的辉煌不是不可能的。
但是，国内外至今还很少见到状态控制的相关研究和应用，为什么？是集体致盲了吗？显然不是，国外研究历来以严谨细致而知名。那是为什么呢？有心人如果经过长时间的分析研究，会发现一个答案：状态爆炸（这个问题好象从没有人正面回答，也许这个回答并不正确，供参考）。状态爆炸是当前国内外一直很头疼的问题，个人猜测这或许是为什么状态控制一直少有人研究的原因。但是状态控制的辉煌让人难以割舍，其显而易见的优势不容否认，难道我们就因为状态爆炸就放弃状态控制吗？
通过深入研究，可以发现国内外对状态爆炸有长期的研究，尽管很多并不涉及信息安全领域。如国内有博士在程序分析中讨论程序路径的爆炸问题的解决方案。受此启发，我想试图在状态控制方面走一步。首先是解决状态爆炸问题，我们可以利用行为控制间接控制状态，这是解决方案之一。之二是借助现有状态爆炸的解决思路，在特定的状态控制安全应用环境中，探讨具体的应用解决方法。此外，在信息安全中，有些关键状态本身就很少，不一定存在爆炸问题。
在考虑过状态爆炸问题之后，状态控制的应用就广泛了。如可针对状态的控制，即以状态为目标，确保系统中的状态安全。另一个是以状态控制为手段，实现系统的安全，即通过状态控制实现系统的机密性、可用性等等。另外，还可通过状态控制间接控制行为，实现访问控制难以实现的一些安全防护功能。
当然，如何用状态控制实现类似访问控制的一系列模型，铸就访问控制的辉煌，还要研究人员深入研究。此外，如何将状态控制这一安全理念真正落地，还需要深入研究。否则，如当前国内流行的网络行为控制一样，只是一个不能落地的概念则会引人笑话。

林孟尼
2016年元月

这个本身很有争议，欢迎大家讨论

回复此楼