37、多级安全系统的挑战与影响

多级安全系统的挑战与影响

1. 多级安全系统面临的问题

1.1 隐蔽通道与信息泄露

在一些特定应用中，存在隐蔽通道问题。例如在大型早期预警雷达系统中，雷达处理器（High）控制数百个天线元件，以高速脉冲序列照射目标（Low），脉冲序列用伪随机噪声调制以增加抗干扰能力。此时，雷达代码必须被信任，因为隐蔽通道带宽可达每秒数兆比特。而在常规分时操作系统中，开发者在实现BLP保密性保护时，最好的情况也只能将信息泄露速率限制在每秒约1比特。这一速率在防止大型TS/SCI文件（如卫星照片）从TS/SCI用户泄露到“秘密”用户时可能是可以接受的，但在防止加密密钥泄露时则远远不够，这也是军事领域采用专用硬件进行加密而非软件的原因之一。

1.2 病毒威胁

大多数病毒存在于大众市场产品（如个人电脑）中。1983年，Cohen用病毒轻松渗透多级安全系统，震惊了国防计算机界。他编写的一个文件病毒仅用了八小时就成功渗透了一个此前被认为是多级安全的系统。病毒和其他恶意代码可通过多种方式进行攻击。如果参考监视器（或其他TCB组件）被破坏，病毒可能会将整个系统交给攻击者，例如为攻击者授予未经授权的许可。即使TCB保持完好，病毒仍可利用任何可用的隐蔽通道向下发送信息。不过，TCB在很多情况下能为系统提供一定的防病毒攻击保护，同时也能防止用户或应用程序软件的粗心信息泄露，这往往比恶意泄露更为重要。病毒对军事理论的主要影响是强化了对多级安全的需求。

1.3 多实例化问题

多实例化是研究界关注的一个问题。假设高级用户创建了一个名为“agents”的文件，低级用户也尝试创建同名文件。如果MLS操作系统禁止低级用户创建，就会泄露高级用户存在同名文件的信