在國防與政府機密環境中,誰能看什麼資料不由個人決定,而由系統強制執行。Security Clearance 正是這套機制的核心——它代表人員經過審查後所獲得的安全等級許可。
什麼是 Security Clearance?
Security Clearance(安全許可)是強制存取控制(MAC, Mandatory Access Control)架構下,授予人員的安全等級憑證。系統會將人員的 Clearance 等級與資料的 Security Label(安全標籤)進行比對,只有當人員等級「大於或等於」資料標籤等級時,存取才被允許。典型分級從低至高為:Unclassified → Confidential → Secret → Top Secret。這套比對邏輯源自 Bell-LaPadula 模型,核心原則為「No Read Up」——禁止人員讀取高於自身許可等級的資料,從根本上防止機密外洩。
MAC 系統如何執行 Clearance 比對?
在 MAC 系統中,存取決策由作業系統或安全核心(Security Kernel)自動執行,使用者與管理員均無法覆蓋。每份文件、檔案或資料庫記錄都附有 Security Label,記錄其機密等級與分類類別(Category)。系統在每次存取請求時執行雙重比對:等級比對(Clearance ≥ Label)與類別比對(人員類別包含資料類別)。兩項條件均滿足,存取才成立。SELinux 與 Trusted Solaris 均實作了類似機制,是商業環境中最具代表性的 MAC 系統範例。
# 偽代碼:MAC 存取比對邏輯
def can_access(user_clearance, user_categories, data_label, data_categories):
level_ok = user_clearance >= data_label
category_ok = data_categories.issubset(user_categories)
return level_ok and category_ok
💡 重點整理
- Security Clearance 是授予人員的安全等級,非資料本身的屬性。
- Security Label 是資料的機密標記,兩者比對決定存取權限。
- Bell-LaPadula「No Read Up」原則禁止人員讀取高於自身等級的資料。
- 存取決策由系統核心強制執行,管理員與使用者均無法手動覆蓋。
Security Clearance 將「人員可信度」量化為系統可執行的等級,搭配 Security Label 構成 MAC 的核心防線。這套機制在國防領域行之有年,也持續影響現代零信任架構的設計思維。
📚 參考文獻
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations,美國國家標準暨技術研究院官方文件,涵蓋 MAC 與 Clearance 相關控制項。
- Bell, D.E. & LaPadula, L.J. (1976) — Secure Computer Systems: Unified Exposition and Multics Interpretation,Bell-LaPadula 模型原始論文,MAC 理論基礎。
- NSA/CISA — Trusted Computing and Mandatory Access Control,美國國家安全局官方技術指引。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言