在資訊安全中,完整性與機密性同等重要。Biba 模型專注於防止低品質資料污染高完整性系統,是每位安全架構師必須掌握的核心存取控制模型。
Biba 模型的兩大核心原則
Biba 模型由 Kenneth Biba 於 1977 年提出,是 Bell-LaPadula 模型的完整性鏡像。Bell-LaPadula 保護機密性,Biba 則反向設計來守護資料完整性。模型將主體與客體分配完整性等級(如:高、中、低),並透過兩條鐵則控制存取行為。
No Read Down(不可向下讀取):高完整性主體禁止讀取低完整性客體。例如,核心業務系統不可直接讀取未經驗證的外部輸入資料,防止「髒資料」滲入信任邊界。
No Write Up(不可向上寫入):低完整性主體禁止寫入高完整性客體。例如,匿名使用者提交的內容不可直接修改核心設定檔,避免低可信度來源破壞關鍵資料。
與 Bell-LaPadula 的對比與實務應用
兩個模型的設計邏輯呈現對稱關係。Bell-LaPadula 的「No Read Up / No Write Down」保護機密性;Biba 的「No Read Down / No Write Up」則保護完整性。兩者可疊加使用,形成同時兼顧機密與完整性的複合存取控制策略。
實務場景中,Biba 模型廣泛應用於金融交易系統、醫療記錄平台與軍事指揮系統。這些環境的共同需求是:任何資料修改都必須來自可信任的來源,一旦完整性被破壞,後果往往比機密外洩更難察覺且更難修復。
💡 重點整理
- No Read Down:高完整性主體不可讀取低完整性資料,防止污染。
- No Write Up:低完整性主體不可寫入高完整性客體,防止破壞。
- Bell-LaPadula 的鏡像:一保護機密性,一保護完整性,可組合使用。
- 核心目標:確保資料修改來源的可信度,維護系統整體完整性。
Biba 模型以簡潔的雙規則守護資料完整性,是設計零信任架構與多層存取控制的重要理論基礎。理解其原則,有助於在系統設計初期即建立正確的信任邊界。
📚 參考文獻
- Biba, K. J. (1977). Integrity Considerations for Secure Computer Systems. MITRE Corporation Technical Report MTR-3153 — Biba 模型原始論文,完整性控制模型的第一手資料。
- NIST SP 800-192, Verification and Test Methods for Access Control Policies/Models — 美國國家標準暨技術研究院對存取控制模型的權威指引。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言