架构设计师-BLP、Biba与Chinese Wall原理与应用

一、引言

1. 核心概念定义
   访问控制安全模型是通过形式化数学方法定义的主体（用户、进程、服务）对客体（文件、数据、系统资源）的访问规则集合，是安全架构设计的核心理论基础，能够将抽象的安全策略转化为可落地、可验证的技术实现。
2. 软考知识点定位
   本知识点属于软考高级系统架构设计师考试中 “系统安全架构设计” 模块的核心考点，在历年考试中选择题、案例分析题均有涉及，占安全类知识点分值的 15%-20%，要求考生掌握三类模型的核心原理、规则、适用场景及优劣对比。
3. 技术发展脉络
   访问控制模型的发展经历了三个阶段：20 世纪 70 年代美国军方为解决多级机密信息防护问题提出 BLP 模型，是首个强制访问控制的形式化模型；1977 年为弥补 BLP 模型未覆盖完整性防护的缺陷，Biba 模型应运而生；20 世纪 80 年代为满足商业场景下的利益冲突防护需求，Chinese Wall 模型正式提出，形成了覆盖机密性、完整性、商业场景冲突防护的完整经典模型体系。
4. 本文内容覆盖
   本文将依次解析三类模型的核心原理、设计规则、实现机制、应用场景及对比分析，最后给出软考备考要点与实践落地建议。

二、BLP 机密性模型：多级安全的数学基石

（一）核心原理与设计目标

1. 基本定义
   BLP（Bell-LaPadula）模型是首个面向多级安全场景的强制访问控制模型，核心目标是严格保护信息的机密性，防止高密级信息向低密级主体泄露，最早应用于美国国防部的涉密信息系统，是《可信计算机系统评估准则（TCSEC）》B 级及以上安全等级系统的核心要求。
2. 核心要素
   模型包含三类核心要素：一是主体，指主动发起访问请求的实体，包括用户、进程、应用服务；二是客体，指被访问的资源，包括文件、数据库记录、系统接口；三是安全级标签，为每个主体和客体分配从高到低的安全级别，典型分级为绝密、机密、秘密、公开四级，每个级别包含密级和范畴两个维度，范畴用于实现同密级下的领域隔离。

（二）核心访问控制规则

1. 简单安全规则（不上读）
   规则定义：主体的安全级别低于客体的安全级别时，禁止主体对客体执行读操作。该规则从读取路径阻断低权限用户获取高密级信息的可能，例如秘密级用户无法读取绝密级文档，是机密性防护的第一道防线。
2. 星属性安全规则（不下写）
   规则定义：主体的安全级别高于客体的安全级别时，禁止主体对客体执行写操作。该规则从写入路径防止高密级信息被主动泄露到低密级区域，例如绝密级进程无法将涉密数据写入秘密级存储目录，避免高密级信息通过文件流转扩散。
3. 自主安全规则
   在强制访问控制规则基础上，支持通过访问控制矩阵实现自主权限配置，允许资源所有者在不违反强制规则的前提下，向其他主体授予同安全级别的访问权限，兼顾安全性与灵活性。

（三）架构特性与局限性

1. 优势
   具备严格的形式化数学证明，所有访问规则可验证、可审计，能够实现 100% 的机密性防护目标，完全满足军事、政府等强涉密场景的安全要求。
2. 局限性
   未覆盖完整性防护需求，允许高密级主体读取低密级数据，存在低密级恶意数据污染高密级系统的风险；同时权限调整复杂度高，不适用于权限变更频繁的商业场景。

BLP 模型访问规则示意图，展示不同安全级别的主体与客体之间的允许 / 禁止访问路径

三、Biba 完整性模型：数据可信的防护框架

（一）核心原理与设计目标

1. 基本定义
   Biba 模型是面向完整性防护的强制访问控制模型，核心目标是防止高完整性数据被低可信度主体污染，保障数据的准确性、一致性和可信度，广泛应用于金融、工业控制等对数据真实性要求极高的领域。
2. 核心要素
   模型核心要素为完整性级别，为每个主体和客体分配从高到低的完整性等级，例如金融核心系统数据为最高级，公开互联网数据为最低级，级别越高代表数据或主体的可信度越高。

（二）核心访问控制规则

1. 简单完整性规则（不下读）
   规则定义：完整性级别高的主体禁止读取完整性级别低的客体。该规则防止高可信进程读取被污染的低可信度数据，例如银行核心账务系统的计算进程禁止读取互联网公开接口返回的未校验数据，避免错误数据进入核心计算链路。
2. 星完整性规则（不上写）
   规则定义：完整性级别低的主体禁止向完整性级别高的客体执行写操作。该规则防止低可信度主体篡改高可信数据，例如普通用户无法修改银行核心账务表的记录，避免核心数据被非授权篡改。
3. 调用属性规则
   规则定义：低完整性级别的主体禁止调用高完整性级别的客体（包括程序、服务、接口）。该规则防止低可信程序通过调用高可信服务实现权限提升，例如未经过安全校验的第三方应用无法调用系统级的加密服务接口。

（三）与 BLP 模型的对比分析

1. 设计目标差异
   BLP 模型聚焦机密性，防止信息泄露；Biba 模型聚焦完整性，防止数据被篡改。
2. 规则逻辑差异
   两类模型规则几乎完全对称：BLP 是 “不上读、不下写”，Biba 是 “不下读、不上写”；BLP 的安全级越高信息越敏感，Biba 的完整性级别越高信息越可信。
3. 适用场景差异
   BLP 适用于军事、政府等涉密场景；Biba 适用于金融、工业控制、医疗等数据准确性要求高的场景。

BLP 与 Biba 模型规则对比表，包含核心目标、访问规则、适用场景、优势、局限性五个维度的对比

四、Chinese Wall 利益冲突模型：商业场景的访问控制规范

（一）核心原理与设计目标

1. 基本定义
   Chinese Wall（中国墙）模型是面向商业场景利益冲突防护的访问控制模型，核心目标是防止同一用户访问存在直接竞争关系的不同主体的敏感信息，避免利益输送或内幕交易，是金融、法律、审计、咨询等服务类行业的核心安全要求。
2. 核心要素
   模型包含三类核心要素：一是主体，即服务提供方的员工，如律师、审计师、投资顾问；二是客体，即客户的敏感数据集，包括客户财务数据、商业计划、法务文档；三是利益冲突组，将存在直接竞争关系的客户归为同一利益冲突组，例如同一行业的两家头部竞争企业属于同一冲突组。

（二）核心访问控制规则

1. 初始访问自由规则
   用户首次访问系统时，无任何访问限制，可选择访问任意利益冲突组下的任意客户数据集。
2. 冲突组隔离规则
   用户一旦访问了某一客户的数据集，此后只能访问两类客体：一是同一客户的其他数据集，二是与该客户所属利益冲突组完全无关的其他客户数据集；同一利益冲突组内的其他客户数据集将被永久禁止访问。
3. 强制隔离规则
   同一利益冲突组内，一个用户最多只能访问一个客户的数据集，确保不会出现同时为两家竞争企业提供服务的情况。

（三）典型应用场景

1. 律师事务所场景
   同一律师禁止同时访问同一诉讼案件中原告和被告的相关资料，避免出现利益冲突。
2. 投资银行场景
   同一投行分析师禁止同时访问存在直接竞争关系的两家上市公司的内幕信息，防止内幕交易或利益输送。
3. 审计事务所场景
   同一审计师禁止同时审计属于同一行业的两家直接竞争企业的财务数据，确保审计独立性。

Chinese Wall 模型访问隔离示意图，展示利益冲突组、客户数据集、用户三者之间的访问限制关系

五、三类模型的架构实现与系统设计

（一）模型的技术实现机制

1. 标签化实现
   三类模型均基于标签化机制实现：BLP 和 Biba 为主体和客体分配安全 / 完整性标签，Chinese Wall 为用户分配已访问冲突组标签，所有访问请求首先经过标签校验模块，校验通过后才允许执行操作。
2. 访问控制流程
   典型实现流程为：主体发起访问请求→标签校验模块提取主体与客体的标签→匹配对应模型的访问规则→规则校验通过则放行，校验失败则拦截并记录审计日志。
3. 行业标准合规要求
   BLP 模型符合 TCSEC B2 级及以上安全要求，Biba 模型符合《信息安全技术 网络安全等级保护基本要求》中三级及以上系统的完整性防护要求，Chinese Wall 模型符合《证券法》《律师法》中关于利益冲突隔离的监管要求。

（二）组合架构设计

实际系统中通常组合使用三类模型实现全维度安全防护：

1. 涉密政府系统：采用 BLP+Biba 组合架构，BLP 负责机密性防护，Biba 负责完整性防护，同时满足数据不泄露、不被篡改的要求。
2. 金融核心系统：采用 Biba+Chinese Wall 组合架构，Biba 保障核心账务数据的完整性，Chinese Wall 实现投资业务的利益冲突隔离。
3. 跨部门协同系统：采用 BLP+Chinese Wall 组合架构，BLP 实现跨部门的密级隔离，Chinese Wall 实现同部门不同业务线的利益冲突隔离。

三类模型组合架构图，展示标签管理模块、规则引擎模块、审计模块的交互关系

六、技术发展趋势与软考考点分析

（一）前沿发展动态

1. 模型扩展
   传统模型与零信任架构融合，将动态信任评估结果作为标签调整的依据，实现安全级别的动态升降，解决传统模型静态标签灵活性不足的问题；同时基于属性的访问控制（ABAC）与三类经典模型结合，支持更细粒度的访问控制规则。
2. 技术落地
   云原生环境下的模型实现，基于 Kubernetes 的准入控制机制实现三类模型的规则校验，保障容器集群内的访问安全；大数据场景下的模型扩展，实现数据湖内不同密级、不同完整性级别数据的访问控制。

（二）软考考试要点

1. 高频考点
   三类模型的核心规则、设计目标、适用场景是选择题的高频考点，通常以场景题形式出现，给出具体业务场景要求选择适用的安全模型；案例分析题通常要求结合业务需求设计访问控制方案，对比不同模型的优劣。
2. 易错点
   BLP 与 Biba 模型的规则混淆，考生需牢记 “BLP 保机密、不上读不下写；Biba 保完整、不下读不上写” 的核心差异；Chinese Wall 模型的利益冲突组规则，注意是同一冲突组内只能访问一个客户，而非同一行业只能访问一个客户。

访问控制模型技术演进路线图，展示从经典模型到动态安全架构的发展路径

七、总结与建议

（一）核心要点提炼

1. BLP 模型是机密性防护的核心模型，采用 “不上读、不下写” 规则，适用于涉密场景。
2. Biba 模型是完整性防护的核心模型，采用 “不下读、不上写” 规则，适用于数据准确性要求高的场景。
3. Chinese Wall 模型是商业利益冲突防护的核心模型，采用冲突组隔离规则，适用于金融、法律、审计等服务行业。
4. 实际系统需根据安全需求组合使用三类模型，实现多维度的安全防护。

（二）备考建议

1. 对比记忆三类模型的核心规则、适用场景，重点掌握规则之间的差异点，避免混淆。
2. 结合历年真题中的场景题练习，能够根据具体业务需求快速判断适用的安全模型。
3. 掌握模型的组合设计方法，能够在案例分析题中给出符合业务需求的访问控制架构方案。

（三）实践落地建议

1. 模型落地前需完成业务安全需求梳理，明确机密性、完整性、利益冲突三类安全目标的优先级，选择适配的模型组合。
2. 标签体系设计需符合行业监管要求，安全级别的划分需通过相关主管部门的审核。
3. 模型实现后需开展形式化验证，确保所有访问规则符合模型的数学定义，避免出现规则漏洞。