36、多级安全系统的未来与挑战

多级安全系统的未来与挑战

多级安全系统的未来趋势

多级安全系统概述

多级安全（MLS）系统提供了一种多级模型，不同级别的多个机构可以对目标进行监控，同时也能相互监控。例如，警方可能会监听毒贩，而反腐败部门则会监视警方。在实际应用中，窃听通常以带有静默第三方的电话会议形式实现，其主要保护目标是消除任何可能泄露监控存在的隐蔽通道，但这一目标并非总能实现。此外，单纯的 MLS 安全策略是不够的，嫌疑人可以通过引入虚假信号音来干扰窃听设备，因此策略应具备抵抗在线篡改的能力，同时还应防止软件篡改。

各操作系统及技术中的多级安全系统应用

Vista

Vista 系统将多级完整性引入了大众市场，它本质上使用了 Biba 模型。所有进程以及可安全保护的对象（如目录、文件和注册表项）都可能有一个完整性级别标签。文件对象默认标记为“中等”，而 Internet Explorer 及其下载的内容则标记为“低”。这意味着用户需要手动升级下载的内容，才能让其修改现有文件。然而，这可能并非万无一失，因为所有安装软件可能都会频繁要求用户进行升级，这可能导致用户在不知情的情况下升级病毒。

Vista 还可以实现一个粗略的 BLP 策略，用户可以设置“禁止向上读取”和“禁止向上执行”策略，但这些并非默认设置。微软主要担心恶意软件在系统中安装并隐藏，因此将浏览器设置为“低”级别，使安装变得困难，同时允许所有进程（包括低级别进程）检查系统的其他部分，使隐藏变得困难。但这也意味着低级别运行的恶意软件可能会窃取用户的所有数据，因此一些用户可能希望为敏感目录设置“禁止向上读取”策略，但这可能会导致一些应用程序无法正常运行，谨慎的用户可能会为网页浏览、电