9,506
社区成员
发帖
与我相关
我的任务
分享信息安全中为什么没有状态控制
信息安全中为什么没有状态控制
在信息系统安全防护中,核心就是访问控制。无论是操作系统、WEB应用、DBMS、还是当前流行的云计算平台、移动APP应用、工控系统等等,在安全防护中都用大量的篇幅讨论访问控制,在应用中具有绝对的统治地位。同时,在相关国家级测试、测评技术中(如等级保护测评标准、风险评估标准),谈论最多的也是访问控制,而且是作为标配检查项存在于标准中。
作为如此重要的安全控制机制,我们有必要深入分析访问控制究竟是什么。从访问控制应用看,其以访问会话行为为核心控制目标,在安全防护方面有两个作用:其一是实现会话行为本身的安全;其二是以访问会话控制为手段,实现系统的不同安全需求。显然,后者是访问控制得以广泛应用的关键。
但因此就能说访问会话控制重要吗?从控制对象看,访问控制的控制目标(访问会话行为)只是系统两个基本要素(行为和状态)之一的行为中的一类。从应用范围看,访问会话行为本身存在的范围有限(仅是应用层用户相关要素明确时可见,在相对底层或更高抽象层根本不适用。),这就限制了访问控制的应用。此外,从控制效果看,访问控制仍有许多问题不能解决。
针对这一现状,我认为访问控制只是系统安全防护手段之一,尽管现在是最重要的,但相信随着信息安全技术的发展,还会有其它更好的手段出现,将访问控制手段作为核心乃至安全的全部,甚至设定为标准,本身反映了我们安全防护手段的匮乏。
一直以来,我很佩服访问控制的狗屎运:一个控制对象并不起眼,应用范围有限的模型,居然能作为系统安全防护的核心,还作为标准的重要组成部分存在。不知该感叹是信息安全研究之艰难,还是感叹信息安全研究还处于原始状态。
在以前,个人学习了一些访问控制模型,一直认为访问控制模型的局限性存在于两个方面:一是角色权限的硬编码于应用逻辑中,其灵活性差。另一方面,访问控制模型要求主体、客体、访问会话行为明确,这也是一个很要命的限制。
在系统组成结构中,我们可知系统由行为和状态构成,行为驱动状态转换从而构成系统。从这一角度看,仅有行为控制(访问会话行为算是其中一小类行为)显然是不够的,行为控制和状态控制的组合才形成完备的控制系统。此外,从应用角度看,状态控制可作为行为控制的补充。在一些行为控制不适用的场合,状态控制可发挥意想不到的效果。毕竟系统是由行为驱动的状态序列构成,控制行为可通过控制状态间接实现(当然,控制状态也可通过控制行为间接实现)。这样看来,在系统安全中引入状态控制显然是值得的,而且从访问控制的大火看,搞得好,引入状态控制,从而复制访问控制的辉煌不是不可能的。
但是,国内外至今还很少见到状态控制的相关研究和应用,为什么?是集体致盲了吗?显然不是,国外研究历来以严谨细致而知名。那是为什么呢?有心人如果经过长时间的分析研究,会发现一个答案:状态爆炸(这个问题好象从没有人正面回答,也许这个回答并不正确,供参考)。状态爆炸是当前国内外一直很头疼的问题,个人猜测这或许是为什么状态控制一直少有人研究的原因。但是状态控制的辉煌让人难以割舍,其显而易见的优势不容否认,难道我们就因为状态爆炸就放弃状态控制吗?
通过深入研究,可以发现国内外对状态爆炸有长期的研究,尽管很多并不涉及信息安全领域。如国内有博士在程序分析中讨论程序路径的爆炸问题的解决方案。受此启发,我想试图在状态控制方面走一步。首先是解决状态爆炸问题,我们可以利用行为控制间接控制状态,这是解决方案之一。之二是借助现有状态爆炸的解决思路,在特定的状态控制安全应用环境中,探讨具体的应用解决方法。此外,在信息安全中,有些关键状态本身就很少,不一定存在爆炸问题。
在考虑过状态爆炸问题之后,状态控制的应用就广泛了。如可针对状态的控制,即以状态为目标,确保系统中的状态安全。另一个是以状态控制为手段,实现系统的安全,即通过状态控制实现系统的机密性、可用性等等。另外,还可通过状态控制间接控制行为,实现访问控制难以实现的一些安全防护功能。
当然,如何用状态控制实现类似访问控制的一系列模型,铸就访问控制的辉煌,还要研究人员深入研究。此外,如何将状态控制这一安全理念真正落地,还需要深入研究。否则,如当前国内流行的网络行为控制一样,只是一个不能落地的概念则会引人笑话。
林孟尼
2016年元月
这个本身很有争议,欢迎大家讨论
在信息系统安全防护中,核心就是访问控制。无论是操作系统、WEB应用、DBMS、还是当前流行的云计算平台、移动APP应用、工控系统等等,在安全防护中都用大量的篇幅讨论访问控制,在应用中具有绝对的统治地位。同时,在相关国家级测试、测评技术中(如等级保护测评标准、风险评估标准),谈论最多的也是访问控制,而且是作为标配检查项存在于标准中。
作为如此重要的安全控制机制,我们有必要深入分析访问控制究竟是什么。从访问控制应用看,其以访问会话行为为核心控制目标,在安全防护方面有两个作用:其一是实现会话行为本身的安全;其二是以访问会话控制为手段,实现系统的不同安全需求。显然,后者是访问控制得以广泛应用的关键。
但因此就能说访问会话控制重要吗?从控制对象看,访问控制的控制目标(访问会话行为)只是系统两个基本要素(行为和状态)之一的行为中的一类。从应用范围看,访问会话行为本身存在的范围有限(仅是应用层用户相关要素明确时可见,在相对底层或更高抽象层根本不适用。),这就限制了访问控制的应用。此外,从控制效果看,访问控制仍有许多问题不能解决。
针对这一现状,我认为访问控制只是系统安全防护手段之一,尽管现在是最重要的,但相信随着信息安全技术的发展,还会有其它更好的手段出现,将访问控制手段作为核心乃至安全的全部,甚至设定为标准,本身反映了我们安全防护手段的匮乏。
一直以来,我很佩服访问控制的狗屎运:一个控制对象并不起眼,应用范围有限的模型,居然能作为系统安全防护的核心,还作为标准的重要组成部分存在。不知该感叹是信息安全研究之艰难,还是感叹信息安全研究还处于原始状态。
在以前,个人学习了一些访问控制模型,一直认为访问控制模型的局限性存在于两个方面:一是角色权限的硬编码于应用逻辑中,其灵活性差。另一方面,访问控制模型要求主体、客体、访问会话行为明确,这也是一个很要命的限制。
在系统组成结构中,我们可知系统由行为和状态构成,行为驱动状态转换从而构成系统。从这一角度看,仅有行为控制(访问会话行为算是其中一小类行为)显然是不够的,行为控制和状态控制的组合才形成完备的控制系统。此外,从应用角度看,状态控制可作为行为控制的补充。在一些行为控制不适用的场合,状态控制可发挥意想不到的效果。毕竟系统是由行为驱动的状态序列构成,控制行为可通过控制状态间接实现(当然,控制状态也可通过控制行为间接实现)。这样看来,在系统安全中引入状态控制显然是值得的,而且从访问控制的大火看,搞得好,引入状态控制,从而复制访问控制的辉煌不是不可能的。
但是,国内外至今还很少见到状态控制的相关研究和应用,为什么?是集体致盲了吗?显然不是,国外研究历来以严谨细致而知名。那是为什么呢?有心人如果经过长时间的分析研究,会发现一个答案:状态爆炸(这个问题好象从没有人正面回答,也许这个回答并不正确,供参考)。状态爆炸是当前国内外一直很头疼的问题,个人猜测这或许是为什么状态控制一直少有人研究的原因。但是状态控制的辉煌让人难以割舍,其显而易见的优势不容否认,难道我们就因为状态爆炸就放弃状态控制吗?
通过深入研究,可以发现国内外对状态爆炸有长期的研究,尽管很多并不涉及信息安全领域。如国内有博士在程序分析中讨论程序路径的爆炸问题的解决方案。受此启发,我想试图在状态控制方面走一步。首先是解决状态爆炸问题,我们可以利用行为控制间接控制状态,这是解决方案之一。之二是借助现有状态爆炸的解决思路,在特定的状态控制安全应用环境中,探讨具体的应用解决方法。此外,在信息安全中,有些关键状态本身就很少,不一定存在爆炸问题。
在考虑过状态爆炸问题之后,状态控制的应用就广泛了。如可针对状态的控制,即以状态为目标,确保系统中的状态安全。另一个是以状态控制为手段,实现系统的安全,即通过状态控制实现系统的机密性、可用性等等。另外,还可通过状态控制间接控制行为,实现访问控制难以实现的一些安全防护功能。
当然,如何用状态控制实现类似访问控制的一系列模型,铸就访问控制的辉煌,还要研究人员深入研究。此外,如何将状态控制这一安全理念真正落地,还需要深入研究。否则,如当前国内流行的网络行为控制一样,只是一个不能落地的概念则会引人笑话。
林孟尼
2016年元月
这个本身很有争议,欢迎大家讨论
...全文
请发表友善的回复…
发表回复
