安全模型(Security Models)

主要是用於達成資安政策目標的框架與解決方案
針對不同的資安要求可採用不同的模型

口訣：
． Star 星號代表寫入(write)
． Simple 代表讀(Read)

Bell-LaPadula

主要目標：首重機密性，防止以未經授權的方式訪問秘密資訊。
安全策略的第一個數學模型，用於定義安全狀態和訪問模式的概念。
相同角色的權限，應該要相同。
No read up,No write down.
我(High)的私房錢，老公沒辦法看，老公(High)的私房錢，我沒辦法看；但我們都可以看共用帳號(Low)裡面剩多少錢…

Biba

主要目標：首重完整性，解決了應用程序中資料的完整性問題。
避免低完整性資料"汙染"高完整性的資料，不能向高層編修總結果。
No write up, No Read down.
不能寫高層，不能讀低層。

對於安全級別和機密性較寬鬆，因此它不基於存取決策，使用的是完整性等級的框架。
我(Low)跟老公(Low)每個月都要匯總家用開支給共用帳號(High)，我們不會直接改共用帳號的內容，共用帳號也沒有權限可以讀我們的帳號，只能看共用的開支。

Clark-Wilson

主要目標：首重完整性，求授權主體的交易在提交之前由另一方進行評估，精神是職責分離(SOD)
訪問三元組：subject (User), program (TP), and object (CDI)。
用戶無法在不使用TP的情況下修改CDI。
使用Clark-Wilson模型時，它會將資料分為需要高度保護的一個子集，約束資料項目（CDI）和另一個不需要高級別保護的子集，這被稱為無約束數據項（UDI），用戶無法直接修改關鍵數據（CDI）。
相反，用戶必須通過應用程式認證（TP）將代表用戶執行操作。
包含抽象資料類型的軟體工程、權限分離、最小權限和非自由訪問控制。

我(User)沒有老公的授權(TP)就沒辦法取得老公的私房錢(CDI)，但放在共用帳號(UDI)就可以自由使用…
但問題是老公的私房錢放在哪裡啊…

Brewer-Nash

又稱中國牆(Chinese Wall)
主要目標：緩解利益衝突的控制，並建立在資料流模型之上。
專有名詞為角色衝突(Conflict of interest categories,CoIs)，擇一選邊站。
原則是用戶不應訪問客戶組織和其一個或多個競爭對手的機密資料。

我已經收了老公買菜的錢，就不應該再收婆婆給我的買菜錢…

Graham-Denning

主要目標：安全的建立與刪除Subject & Object，讀取、授予、刪除、轉移權限…
以存取控制矩陣(Acess Control Matrix)為主，構成三要素：Subject、Object、Rule
像檔案屬性中，都會設定可存取角色權限，是否可增\刪\修的矩陣概念。

Harrison-Ruzzo-Ullman (HRU)

主要目標：程式設計師確保不會造成未知的漏洞
Subject 只能對 Object 進行有限的操作。(預先定義好的，沒有調整的空間)
寶寶的錢只能匯入寶寶的帳號，沒有轉出或匯出的權限。

狀態機(State Machine)

主要目標：驗證系統的安全性
實現狀態機模型的操作系統的開發人員需要查看可能的所有不同狀態轉換，並評估是否可以通過任何這些事件將處於安全狀態啟動的系統置於不安全狀態。

如果臨時我發現共同帳戶的一大筆錢被提走了，我可以更改帳號的狀態，快速通知銀行做凍結。

AIO P.312、P.313