如今无所不在的社交网络,Web邮箱,移动存储设备,网络存储方法,等等,让企业与组织敞开了大门,内部信息可以毫无阻拦地流向外部。企业与组织担心员工将内部数据向外泄露,引入了大量的防范方法。有比较“军事化”的方法:拉掉网线,屏蔽无线,对本地存储设备(如USB总线插口、SD插口、光驱,等等)贴封条;此类方法显然是在向石器时代倒退。也有比较智能的DLP(data loss prevention)技术:对员工的上网行为进行监控,对员工发送或存储的文件、数据进行扫描分析,等等;此类方法其实都是属于试图用机器智能来战胜人脑智能,难以有效实现。无论石器时代的还是较智能的DLP方法都采用围追堵截手段,阻碍了员工通过IT设备和网络获取信息和共享知识的需求,降低了办工效率,打击了员工的士气。在网络环境中长大的90后们正在步入办公室,不让他们正常使用网络的雇主对他们是不会有吸引力的。
BLP(Bell-LaPadula)模型是由D. Bell和L. LaPadula在1973年向美国国防部提出的一个多层安全信息系统模型。BLP模型的基本安全策略可以简单描述为“下读上写”,即一个主体可以读取安全级别比它低的客体生成的内容,可以向安全级别比它高的客体写出内容。一个满足BLP“下读上写”安全策略的信息处理系统可以保证系统中所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
我们知道所有多用户操作系统都或多或少具有不同权限用户的概念:高权限用户可以做一些低权限用户不能做的事,比如读取某些文件,数据等,所以仅对这样一个操作系统自身内部而言,我们是可以看到(嗅出)一点BLP多层安全模型影子(味道)的。问题是,如今成功的商用操作系统都可以非常方便地连接网络这个大计算机,并驱动多种形形色色的外部设备这些小计算机,如果说只有可以连接到网络和驱动各种有用外部设备的操作系统才能算作真正有用的操作系统,那么我们也可以说如今尚不存在满足BLP安全模型的操作系统。
道里云公司将操作系统分割成不同模块进行设计与实现:“下操作系统”连接到网络,让用户不受限地获得与共享信息,“上操作系统”通过二极管单向防火墙连到下操作系统,使数据可以按二极管设定方向从下操作系统流入上操作系统但不能反向流出(实际上可以有条件流出到在一个白名单上的实体),另外连接到上操作系统的存储设备的IO被自动作密码学处理。
下面照片(道里云参展2012英特尔IDF北京峰会展台)展示出了道里云公司实现的BLP安全操作系统的几幅屏幕:用户可以在同一屏幕上方便自如地使用上、下操作系统,用下操作系统上网获取信息,将数据传到上操作系统,在上操作系统中工作,从上操作系统仅可将数据传出至由白名单指定的实体。还有一个控制模块未在照片中展示:该控制模块控制二极管防火墙,对上操作系统IO数据做密码学处理,为上操作系统设定管理流出数据白名单。
306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
