資訊安全中為什么沒有狀態控制
在資訊系統安全防護中,核心就是訪問控制。無論是作業系統、WEB應用、DBMS、還是當前流行的云計算平臺、移動APP應用、工控系統等等,在安全防護中都用大量的篇幅討論訪問控制,在應用中具有絕對的統治地位。同時,在相關國家級測驗、測評技術中(如等級保護測評標準、風險評估標準),談論最多的也是訪問控制,而且是作為標配檢查項存在于標準中。
作為如此重要的安全控制機制,我們有必要深入分析訪問控制究竟是什么。從訪問控制應用看,其以訪問會話行為為核心控制目標,在安全防護方面有兩個作用:其一是實作會話行為本身的安全;其二是以訪問會話控制為手段,實作系統的不同安全需求。顯然,后者是訪問控制得以廣泛應用的關鍵。
但因此就能說訪問會話控制重要嗎?從控制物件看,訪問控制的控制目標(訪問會話行為)只是系統兩個基本要素(行為和狀態)之一的行為中的一類。從應用范圍看,訪問會話行為本身存在的范圍有限(僅是應用層用戶相關要素明確時可見,在相對底層或更高抽象層根本不適用。),這就限制了訪問控制的應用。此外,從控制效果看,訪問控制仍有許多問題不能解決。
針對這一現狀,我認為訪問控制只是系統安全防護手段之一,盡管現在是最重要的,但相信隨著資訊安全技術的發展,還會有其它更好的手段出現,將訪問控制手段作為核心乃至安全的全部,甚至設定為標準,本身反映了我們安全防護手段的匱乏。
一直以來,我很佩服訪問控制的狗屎運:一個控制物件并不起眼,應用范圍有限的模型,居然能作為系統安全防護的核心,還作為標準的重要組成部分存在。不知該感嘆是資訊安全研究之艱難,還是感嘆資訊安全研究還處于原始狀態。
在以前,個人學習了一些訪問控制模型,一直認為訪問控制模型的局限性存在于兩個方面:一是角色權限的硬編碼于應用邏輯中,其靈活性差。另一方面,訪問控制模型要求主體、客體、訪問會話行為明確,這也是一個很要命的限制。
在系統組成結構中,我們可知系統由行為和狀態構成,行為驅動狀態轉換從而構成系統。從這一角度看,僅有行為控制(訪問會話行為算是其中一小類行為)顯然是不夠的,行為控制和狀態控制的組合才形成完備的控制系統。此外,從應用角度看,狀態控制可作為行為控制的補充。在一些行為控制不適用的場合,狀態控制可發揮意想不到的效果。畢竟系統是由行為驅動的狀態序列構成,控制行為可通過控制狀態間接實作(當然,控制狀態也可通過控制行為間接實作)。這樣看來,在系統安全中引入狀態控制顯然是值得的,而且從訪問控制的大火看,搞得好,引入狀態控制,從而復制訪問控制的輝煌不是不可能的。
但是,國內外至今還很少見到狀態控制的相關研究和應用,為什么?是集體致盲了嗎?顯然不是,國外研究歷來以嚴謹細致而知名。那是為什么呢?有心人如果經過長時間的分析研究,會發現一個答案:狀態爆炸(這個問題好象從沒有人正面回答,也許這個回答并不正確,供參考)。狀態爆炸是當前國內外一直很頭疼的問題,個人猜測這或許是為什么狀態控制一直少有人研究的原因。但是狀態控制的輝煌讓人難以割舍,其顯而易見的優勢不容否認,難道我們就因為狀態爆炸就放棄狀態控制嗎?
通過深入研究,可以發現國內外對狀態爆炸有長期的研究,盡管很多并不涉及資訊安全領域。如國內有博士在程式分析中討論程式路徑的爆炸問題的解決方案。受此啟發,我想試圖在狀態控制方面走一步。首先是解決狀態爆炸問題,我們可以利用行為控制間接控制狀態,這是解決方案之一。之二是借助現有狀態爆炸的解決思路,在特定的狀態控制安全應用環境中,探討具體的應用解決方法。此外,在資訊安全中,有些關鍵狀態本身就很少,不一定存在爆炸問題。
在考慮過狀態爆炸問題之后,狀態控制的應用就廣泛了。如可針對狀態的控制,即以狀態為目標,確保系統中的狀態安全。另一個是以狀態控制為手段,實作系統的安全,即通過狀態控制實作系統的機密性、可用性等等。另外,還可通過狀態控制間接控制行為,實作訪問控制難以實作的一些安全防護功能。
當然,如何用狀態控制實作類似訪問控制的一系列模型,鑄就訪問控制的輝煌,還要研究人員深入研究。此外,如何將狀態控制這一安全理念真正落地,還需要深入研究。否則,如當前國內流行的網路行為控制一樣,只是一個不能落地的概念則會引人笑話。
林孟尼
2016年元月
這個本身很有爭議,歡迎大家討論
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/148274.html
標籤:安全技術/病毒