信息安全模型和体系结构
中国信息安全测评中心
CISP-05-信息安全模型
2010年7月
目录安全模型和体系结构
访问控制模型
完整性模型
多边安全模型
信息流模型
对安全模型和体系结构的威胁
多维模型与安全技术框架
1234567
一、安全模型和体系结构
信息安全模型
安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。
?安全策略,是达到你所认为的安全和可接受的程度时,需要满足或达到的目标或目的
?安全模型用来描述为了实现安全策略,而应当满足的要求
安全模型的作用
?能准确地描述安全的重要方面与系统行为的关系。
?能提高对成功实现关键安全需求的理解层次。
?从中开发出一套安全性评估准则,和关键的描述变量。
安全模型的特点
构建一个安全模型包括定义系统的环境类型、授权方式等内容,并证明在真实环境下是可以实现的,然后应用于系统的安全性设计,可以最大限度地避免安全盲点
?精确,无歧义
?简单和抽象,容易理解
?模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现
?形式化模型是对现实世界的高度抽象,精确地描述了系统的安全需求和安全策略
?形式化模型适用于对信息安全进行理论研究。
建立安全模型的方法
建立安全模型的方法(从模型所控制的对象分)?信息流模型:主要着眼于对客体之间的信息传输过程的控制。
彻底切断系统中信息流的隐蔽通道,防止对信息的窃取.
?访问控制模型:从访问控制的角度描述安全系统,主要针对
系统中主体对客体的访问及其安全控制。
但“安全模型”的表达能力有其局限性。
?但是我们说现有的“安全模型”本质上不是完整的“模型”:仅
描述了安全要求(如:保密性),未给出实现要求的任何相
关机制和方法
系统体系架构
操作系统运行在硬件系统之上,为用户提供接口
操作系统所采用的安全机制——保护环(0环、1环、2环、3环)
?在内环中执行的进程比在外环中执行的进程有更高的权限
?通常处于特权模式或监控模式
环0操作系统内核环1
操作系统
环2
环3
文件系统驱动程序
电子邮件客户端
字处理器数据库操
作
系
统
工
具
Windows 体系结构
简化的Windows 体系架构
理念
?可信计算基础(TCB TrustComputeBase ):计算机系统内部协调工作实现一项安全策略的保护机制的总和。
包括硬件、固件、软件和负责执行安全策略的组合体。?参考监控器(RM ReferenceMonitor ):访问控制的概念
?安全核心(
SK )实现并增强了RM 的概念
个人=部件
社会=核心
法律=参考监控器如果个人走出法
律之外,那么就
会给社会带来威
胁
法律的作用就像通过规则实行的
一个参考监控器
参考监控器
?参考监控器是一个抽象的概念,它表现的是一种思想。
?解决用户程序的运行控制问题,在用户(程序)与系统资源之间实施一种授权的访问关系。
安全核心(满足3个原则)
?必须具有自我保护的能力
?必须总是处于活跃状态
?必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。
安全操作系统的发展
1965,失败的Multics操作系统
1973,Bell和LaPadula的BLP模型
1977,K.J.Biba提出了与BLP异曲同工的Biba 模型,Biba模型支持的是信息的完整性
第一个可以实际投入使用安全操作系统是Adept-50;随后有很多安全操作系统被开发出来。典型的有Multics、Mitre安全内核、UCLA Secure UNIX、KSOS和PSOS。
我国的安全操作系统发展
1993年,国防科技大学对基于TCSEC标准和UNIX SystemV3.2版的安全操作系统SUNIX进行了探讨
国家“八五”科技攻关项目中,围绕着UNIX类国产操作系统COSIX V2.0的安全子系统的设计与实现工作
中国科学院计算技术研究所研究开发了基于Linux的安全操作系统LIDS10
南京大学开发了基于Linux的安全操作系统SoftOS
中国科学院信息安全技术工程研究中心开发了基于Linux的安全操作系统SecLinux
二、访问控制模型
访问控制服务
?授权+访问控制
?身份认证和访问控制技术的区别 安全系统的逻辑模型
访问监视器
授权数据库
审计
用户
目标认证访问控制
访问控制系统
?主体(Subject):访问操作中的主动实体,通常可以是用户或用户的某个进程。
?客体(Object):访问操作中被动实体,通常是被调
用的程序、进程,要存取的数据、信息等资源。
?安全访问策略:一套策略,用以确定一个主体是否对客体拥有访问能力。
常用的实现方法
访问矩阵(Access Matrix):
以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。矩阵中第i 行第j 列的元素Mij记录着第i 个主体Si 可以执行的对第j 个客体Oj的访问方式,比如Mij等于{read, write}表示Si 可以对Oj进行读和写访问。
访问矩阵
File1File2File3File4Account1
John Own
R
W Own
R
W
Inquiry
Credit
Alice R Own
R
W W R Inquiry
Debit
Bob R
W R Own
R
W
访问能力表
?从主体(行)出发,表达矩阵某一行信息。
?着眼某一主体的访问权限,以主体的出发点描述控制信息,容易获得一个主体所被授权可以访问的客体及其权限
Alice
File1File2File3 R
W
R R
W
访问控制表ACL(Access Control List)?从客体(列)出发,表达矩阵某一列的信息。
?便于权限分组、表述直观、易于理解
File3Join Alice
O
W
R
W
AC模型类型
基本访问控制模型
?自主访问控制DAC(DiscretionaryAccessControl)保密性与完整性木马程序
?强制访问控制MAC(Mandatory Access Control)保密性隐通道?基于角色访问控制RBAC管理方式
信息安全风险评估模型及其算法研究 摘要:在信息科技日益发展,人类社会对信息的依赖性越来越强,信息资产的安全性受到空前的重视,而当前我国的信息安全水平普遍不高,与西方发达国家存在较大差距。在当前信息安全领域,主要的管理手段是奉行着“三分技术,七分管理”的原则。要想提高整体的信息安全水平,必须从一个组织整体的信息安全管理水平着手,而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段,而目前信息安全管理的最起始的工作主要是信息安全风险评估,而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手,而较少采用V AR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以V AR风险定量分析每个风险源的损失额度,以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例,从而便于组织合体调配资源,达到资源的最佳配置,降低组织的整体信息安全风险。 关键词:信息安全;风险评估;V AR分析;数理统计 1研究背景及现状 随着信息时代的迅速到来,众多的组织机构将重要信息存放在信息系统中,在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性,例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行,对不同行业,不同机构进行分类保护,极大的从制度和法规方面促进了我国信息安全保护水平的提升,从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作,不同行业的信息安全等级易于测量,但对于某一行业具体金融机构的信息安全能力定级上难以定量化,不同金融机构所面对的信息安全风险大小不一,来源不同,极具差异化。小型银行在信息安全领域的花费将和大银行完全相同,将加大中小银行的商业负担,造成不必要的浪费,如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。 ①国外的研究现状。目前在国外,最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA(InformationSystemsAuditandControl Association)在1996年公布的控制框架COBIT 目前已经更新至第四版,主要研究信息安全的风险管理。这个框架共有34个IT的流程,分成四个控制域:PO (Planning&Organization)、AI(Acquisition&Implementation)、DS (Delivery and Support)、ME(Monitor and Evaluate),共包含214个详细控制目标,提供了自我审计标准及最仕实践,能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点:更清晰的岗位责任划分。为了改善对IT流程模型的理解,COBIT4.0为每个IT流程进行了定义,对每个流程及基木输入/输出及与其他流程的关系进行了描述,确定它从哪个流程来,哪个
深入分析比较八个信息安全模型 信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。 国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI安全体系结构:ISO 7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T 9387.2-1995》。ISO 7498-2 安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO 7498-2 体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。 P2DR 模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(Adaptive NetworkSe cur ity Mode l)。P2DR 代表的分别是Polic y (策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。按照P2DR的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,因而可以用时间尺度来衡量一个体系的能力和安全性。 PDRR 模型,或者叫PPDRR(或者P2DR2),与P2DR非常相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR
1基于安全相似域的风险评估模型 本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM 风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。 面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。 SSD-REM模型 SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。 定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。 定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。 定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。 独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险 评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ} 式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属
信息安全研究现状模型 【摘要】随着电子商务技术的发展,信息安全得到越来越多的重视,网络交易安全成了电子商务发展的核心和关键问题,对于网络隐私数据(网络隐私权)安全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议等的隐私安全保护的有效手段。信息安全最初用于保护信息系统中处理和传递的秘密数据,注重机密性, 计算机网络的普及和发展,人们的生活和工作越来越依赖于网络,与此同时网络安全问题也随之呈现出来。首先分析了常用的安全技术:防火墙技术,数据加密技术,入侵检测技术,网络安全扫描技术,然后讨论了网络安全策略,最后给出了网络安全技术的发展趋势。随着Internet的普及和发展,计算机网络已经和人们的学习、工作紧密地联系在一起,越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源,以及方便快捷地收发信息。人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验,网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们。因此,解决网络安全问题势在必行。 【关键词】信息安全、网络隐私;安全协议、安全对策 1.1信息安全的内容 1.1.1硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。 1.1.2软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效。不被非法复制。 1.1.3运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。 1.1.4数据安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
一.浅谈信息安全五性的理解 所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具 有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。 而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态, 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在 信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息 和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换 过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。 二.WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型,它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC 6个环节的各个方面,将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。
(1)单项选择题 1.TCP/IP的层次模型只有 B 层。 A.三 B.四 C.七 D.五 2.IP位于 A 层。 A.网络 B.传输 C.数据链路 D.物理 3.TCP位于 B 层。 A.网络 B.传输 C.数据链路 D.物理 4.大部分网络接口有一个硬件地址,如以太网的硬件地址是一个 B 位的十六进制 数。 A.32 B.48 C.24 D.64 5.逻辑上防火墙是 A 。 A.过滤器、限制器、分析器 B.堡垒主机 C.硬件与软件的配合 D.隔离带 6.在被屏蔽主机的体系结构中,堡垒主机位于 A ,所有的外部连接都由过滤路 由器路由到它上面去。 A.内部网络 B.周边网络 C.外部网络 D.自由连接 7.在屏蔽的子网体系结构中,堡垒主机被放置在 C 上,它可以被认为是应用网 关,是这种防御体系的核心。 A.内部网络 B.外部网络 C.周边网络 D.内部路由器后边 8.外部路由器和内部路由器一般应用 B 规则。 A.不相同 B.相同 C.最小特权 D.过滤
9.外部数据包过滤路由器只能阻止一种类型的IP欺骗,即 D ,而不能阻止DNS 欺骗。 A.内部主机伪装成外部主机的IP B.内部主机伪装成内部主机的IP C.外部主机伪装成外部主机的IP D.外部主机伪装成内部主机的IP 10.最简单的数据包过滤方式是按照 B 进行过滤。 A.目标地址 B.源地址 C.服务 D.ACK 11.不同的防火墙的配置方法也不同,这取决于 C 、预算及全面规划。 A.防火墙的位置 B.防火墙的结构 C.安全策略 D.防火墙的技术 12.堡垒主机构造的原则是 A ;随时作好准备,修复受损害的堡垒主机。 A.使主机尽可能的简单 B.使用UNIX操作系统 C.除去无盘工作站的启动 D.关闭路由功能 13.加密算法若按照密匙的类型划分可以分为 A 两种。 A.公开密匙加密算法和对称密匙加密算法 B.公开密匙加密算法和算法分组密码 C.序列密码和分组密码 D.序列密码和公开密匙加密算法 14.Internet/Intranet 采用的安全技术有 E 和内容检查。 A.防火墙 B.安全检查 C.加密 D.数字签名 E.以上都是 15.下面的三级域名中只有 D 符合《中国互连网域名注册暂行管理办法》中的命 名原则。 A.WWW.AT&https://www.doczj.com/doc/a05494299.html, B.WWW.C++_https://www.doczj.com/doc/a05494299.html, https://www.doczj.com/doc/a05494299.html, https://www.doczj.com/doc/a05494299.html, 16.代理服务器与数据包过滤路由器的不同是 B 。 A.代理服务器在网络层筛选,而路由器在应用层筛选 B.代理服务器在应用层筛选,而路由器在网络层筛选 C.配置不合适时,路由器有安全性危险 D.配置不合适时,代理服务器有安全性危险 17.关于防火墙的描述不正确的是 C 。
信息安全模型和体系结构 中国信息安全测评中心 CISP-05-信息安全模型 2010年7月
目录安全模型和体系结构 访问控制模型 完整性模型 多边安全模型 信息流模型 对安全模型和体系结构的威胁 多维模型与安全技术框架 1234567
一、安全模型和体系结构
信息安全模型 安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。 ?安全策略,是达到你所认为的安全和可接受的程度时,需要满足或达到的目标或目的 ?安全模型用来描述为了实现安全策略,而应当满足的要求 安全模型的作用 ?能准确地描述安全的重要方面与系统行为的关系。 ?能提高对成功实现关键安全需求的理解层次。 ?从中开发出一套安全性评估准则,和关键的描述变量。
安全模型的特点 构建一个安全模型包括定义系统的环境类型、授权方式等内容,并证明在真实环境下是可以实现的,然后应用于系统的安全性设计,可以最大限度地避免安全盲点 ?精确,无歧义 ?简单和抽象,容易理解 ?模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现 ?形式化模型是对现实世界的高度抽象,精确地描述了系统的安全需求和安全策略 ?形式化模型适用于对信息安全进行理论研究。
建立安全模型的方法 建立安全模型的方法(从模型所控制的对象分)?信息流模型:主要着眼于对客体之间的信息传输过程的控制。 彻底切断系统中信息流的隐蔽通道,防止对信息的窃取. ?访问控制模型:从访问控制的角度描述安全系统,主要针对 系统中主体对客体的访问及其安全控制。 但“安全模型”的表达能力有其局限性。 ?但是我们说现有的“安全模型”本质上不是完整的“模型”:仅 描述了安全要求(如:保密性),未给出实现要求的任何相 关机制和方法
信息安全试题(1/共3) 1、 单项选择题(每小题2分,共20分) 1.信息安全的基本属性是_D__。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于__A_。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是_C__。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A 密 (M))。B方收到密文的解密方案是_C__。 秘密 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是__C_。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签 名的运算速度 D. 保证密文能正确还原成明文
6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是_B_。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制7.防火墙用于将Internet和内部网络隔离_B__。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括__D_。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于_B _。 A.2128 B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的_C__,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客 体,授权工作困难。 A.保密性 可用性 B.可用性 保密性 C.保密性 完整性 D.完整性 保密