| 查看: 599 | 回复: 3 | |||
[交流]
信息安全中为什么没有状态控制 已有2人参与
|
|
信息安全中为什么没有状态控制 在信息系统安全防护中,核心就是访问控制。无论是操作系统、WEB应用、DBMS、还是当前流行的云计算平台、移动APP应用、工控系统等等,在安全防护中都用大量的篇幅讨论访问控制,在应用中具有绝对的统治地位。同时,在相关国家级测试、测评技术中(如等级保护测评标准、风险评估标准),谈论最多的也是访问控制,而且是作为标配检查项存在于标准中。 作为如此重要的安全控制机制,我们有必要深入分析访问控制究竟是什么。从访问控制应用看,其以访问会话行为为核心控制目标,在安全防护方面有两个作用:其一是实现会话行为本身的安全;其二是以访问会话控制为手段,实现系统的不同安全需求。显然,后者是访问控制得以广泛应用的关键。 但因此就能说访问会话控制重要吗?从控制对象看,访问控制的控制目标(访问会话行为)只是系统两个基本要素(行为和状态)之一的行为中的一类。从应用范围看,访问会话行为本身存在的范围有限(仅是应用层用户相关要素明确时可见,在相对底层或更高抽象层根本不适用。),这就限制了访问控制的应用。此外,从控制效果看,访问控制仍有许多问题不能解决。 针对这一现状,我认为访问控制只是系统安全防护手段之一,尽管现在是最重要的,但相信随着信息安全技术的发展,还会有其它更好的手段出现,将访问控制手段作为核心乃至安全的全部,甚至设定为标准,本身反映了我们安全防护手段的匮乏。 一直以来,我很佩服访问控制的狗屎运:一个控制对象并不起眼,应用范围有限的模型,居然能作为系统安全防护的核心,还作为标准的重要组成部分存在。不知该感叹是信息安全研究之艰难,还是感叹信息安全研究还处于原始状态。 在以前,个人学习了一些访问控制模型,一直认为访问控制模型的局限性存在于两个方面:一是角色权限的硬编码于应用逻辑中,其灵活性差。另一方面,访问控制模型要求主体、客体、访问会话行为明确,这也是一个很要命的限制。 在系统组成结构中,我们可知系统由行为和状态构成,行为驱动状态转换从而构成系统。从这一角度看,仅有行为控制(访问会话行为算是其中一小类行为)显然是不够的,行为控制和状态控制的组合才形成完备的控制系统。此外,从应用角度看,状态控制可作为行为控制的补充。在一些行为控制不适用的场合,状态控制可发挥意想不到的效果。毕竟系统是由行为驱动的状态序列构成,控制行为可通过控制状态间接实现(当然,控制状态也可通过控制行为间接实现)。这样看来,在系统安全中引入状态控制显然是值得的,而且从访问控制的大火看,搞得好,引入状态控制,从而复制访问控制的辉煌不是不可能的。 但是,国内外至今还很少见到状态控制的相关研究和应用,为什么?是集体致盲了吗?显然不是,国外研究历来以严谨细致而知名。那是为什么呢?有心人如果经过长时间的分析研究,会发现一个答案:状态爆炸(这个问题好象从没有人正面回答,也许这个回答并不正确,供参考)。状态爆炸是当前国内外一直很头疼的问题,个人猜测这或许是为什么状态控制一直少有人研究的原因。但是状态控制的辉煌让人难以割舍,其显而易见的优势不容否认,难道我们就因为状态爆炸就放弃状态控制吗? 通过深入研究,可以发现国内外对状态爆炸有长期的研究,尽管很多并不涉及信息安全领域。如国内有博士在程序分析中讨论程序路径的爆炸问题的解决方案。受此启发,我想试图在状态控制方面走一步。首先是解决状态爆炸问题,我们可以利用行为控制间接控制状态,这是解决方案之一。之二是借助现有状态爆炸的解决思路,在特定的状态控制安全应用环境中,探讨具体的应用解决方法。此外,在信息安全中,有些关键状态本身就很少,不一定存在爆炸问题。 在考虑过状态爆炸问题之后,状态控制的应用就广泛了。如可针对状态的控制,即以状态为目标,确保系统中的状态安全。另一个是以状态控制为手段,实现系统的安全,即通过状态控制实现系统的机密性、可用性等等。另外,还可通过状态控制间接控制行为,实现访问控制难以实现的一些安全防护功能。 当然,如何用状态控制实现类似访问控制的一系列模型,铸就访问控制的辉煌,还要研究人员深入研究。此外,如何将状态控制这一安全理念真正落地,还需要深入研究。否则,如当前国内流行的网络行为控制一样,只是一个不能落地的概念则会引人笑话。 林孟尼 2016年元月 这个本身很有争议,欢迎大家讨论 |
回复此楼» 猜你喜欢
求调剂一志愿武汉理工大学材料工程(085601)
已经有5人回复
-
上海电力大学材料防护与新材料重点实验室招收调剂研究生(材料、化学、电化学,环境)
已经有3人回复
-
急发核心期刊论文
已经有5人回复
-
291 求调剂
已经有5人回复
-
298-一志愿中国农业大学-求调剂
已经有11人回复
-
一志愿南京理工大学085701资源与环境302分求调剂
已经有7人回复
-
316求调剂
已经有7人回复
-
材料与化工考研调剂
已经有4人回复
-
一志愿重庆大学085700资源与环境,总分308求调剂
已经有7人回复
-
一志愿211 初试270分 求调剂
已经有4人回复
» 本主题相关价值贴推荐,对您同样有帮助:
- 注意培养自己的什么情绪
已经有73人回复
- 我在美国的一年博后生活 (节日与旅游部分部分)
已经有30人回复
- 乐嘉老师拍手叫绝~关于异性选择,什么样的更适合你,测过了吗?
已经有21人回复
- 欧盟委员会关于人用药品分销质量管理规范指南(2011年8月,第1版节选)
已经有2人回复
- 如何在美国租房及其注意事项
已经有17人回复
- 【分享】常见笔记本电池修复方法【已搜索无重复】
已经有13人回复
- 【转载】食物安全与营养改善是最大的民生
已经有2人回复
2楼2016-01-20 09:06:56
 |
3楼2016-01-21 08:29:57
qiangzhiqao
金虫 (著名写手)
- 应助: 13 (小学生)
- 金币: 3822.8
- 散金: 20
- 红花: 6
- 帖子: 1639
- 在线: 55.5小时
- 虫号: 3110254
- 注册: 2014-04-03
- 性别: GG
- 专业: 信息安全
4楼2016-01-21 20:40:15
