多级安全(MLS)

 

 　　多级安全（Multilevel security，简称MLS ），是指计算机网络系统可以处理多个不同密级的信息并保证它们的保密性安全的一种解决方案。多级安全系统，满足BLP保密性模型，即用户根据其安全许可（Security Clearance）和知悉范围（Need to Know，简称N2K），满足“不上读”和“不下写”两个安全属性。满足BLP模型的系统被证明其保密性是安全的，即基本安全定理。

　

多级安全系统不能干什么？

　

　　顾名思义，多级安全系统满足BLP模型，低密级用户不能上读高密级信息，高密级用户不能向低密级系统或网络上写高密级信息。这两种情形都造成了高密级信息向低密级用户的泄漏，是被禁止的情形。

　

多级安全系统能干什么？

　

　　多级安全系统不禁止的事情都可以干，归纳起来，能干两件事：可下读和可上写。即高密级用户可以读低密级的信息，低密级用户可以向高密级网络上写信息。

　

如何实现一个多级安全系统？

　

　　最常见的办法是在一个高可信的操作系统上实现多级安全的功能，这是一种办法，但不是唯一的必需办法。基于硬件实现的非对称隔离，也是一种较好的办法，其可信程度和安全程度远高于可信操作系统。非对称隔离，可以达到EAL7级保障程度，但一个操作系统要达到EAL7难度很大。一般的可信操作系统的保障等级在EAL4，如Trusted Solaris 10。在满足以下三个操作系统安全保护轮廓（CAPP，LSPP，RBACPP）后，被认为是一个可信操作系统。LSPP被认为是B1级安全操作系统的基本要求。而CAPP只能满足C2级的要求。

　　1、Controlled Access Protection Profile, Version 1.d;

　　2、Labelled Security Protection Profile, Version 1.b; and

　　3、Role Based Access Control Protection Profile Version 1.0.

　

　　一个高可信的安全操作系统本身也是一个难题，其核心是实现LSPP，即基于标记安全的保护轮廓。一个操作系统是安全的，最核心的要求是实现强制访问控制（Mandatory Access Control，简称MAC），而MAC是基于标记安全的（Labeled Security）。

　

　　尽管很多的Unix操作系统都实现了LSPP，但最有价值的却是在Windows上实现LSPP，因为超过90%以上的操作系统是Windows，无论是那个国家，无论是军方还是政府，都不例外。

　

　　多级安全，是军事安全、情报安全、保密安全、政府安全的不二选择。