文章总结： 本文系统梳理CISSP安全工程模块中六大核心安全模型的基本概念，重点解析Bell-LaPadula模型的机密性保护规则、Biba模型的完整性规则及两者对比，详解Clark-Wilson模型的五元素事务机制、Brewer-Nash模型的利益冲突防护原理，并涵盖隐蔽通道分类与备考技巧。内容聚焦考试高频考点，提供规则对比记忆法和实操场景关联，助力考生高效掌握安全模型核心知识体系。 综合评分： 85 文章分类： 安全培训,技术标准,安全意识,安全建设,其他

---

CISSP 重点知识点合集｜D3 安全工程（单元一） 安全模型的基本概念

耶度 耶度

野猪与安全

2026年4月24日 08:47 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

D3

安全工程

哈喽～备考 CISSP 的小伙伴集合啦✅

D3 安全工程模块干货持续更新！今天聚焦 1.2 核心考点——安全模型的基本概念，这是安全工程模块的核心理论考点，也是 CISSP 考试的高频出题点（安全工程知识域占比约 13%）。

安全模型是安全策略的“具象化体现”，重点考察各大模型的核心目标、规则及适用场景，全程搭配考点标注、通俗解读和记忆技巧，帮你快速吃透每个模型，理清易混点，高效备考不踩坑！

本章节重点是 Bell-LaPadula、Biba、Clark-Wilson 等核心安全模型，知识点偏理论、易混淆，需重点区分各模型的核心侧重点（机密性/完整性/利益冲突），是后续安全架构设计、访问控制实施的基础，建议收藏🌟

 持续更新全模块干货，陪你稳步解锁 CISSP 考点，顺利上岸！

D3

安全工程 ：安全模型的基本概念

单元一

✅ 核心考点：

6 大核心安全模型（定义+核心规则+适用场景），隐蔽通道分类（高频选择+简答题）

💡 前置基础：

安全模型的核心作用——将抽象的安全策略，映射为信息系统的具体数据结构和技术，通常以数学和分析理念表示，最终指导代码开发，确保安全策略落地。

🔥 考点 A：Bell-LaPadula 模型（重中之重，必考！机密性核心模型）

核心定位：

多级安全策略的第一个算术模型，专门用于保护数据机密性（确保“秘密被保密”），是考试高频考点，重点记 4 条核心规则👇

▸ 核心目标

防止低安全级别主体获取高安全级别数据，核心保障数据机密性，常见于军事、政府等对数据保密要求高的场景。

▸ 4 条核心规则（记准名称+通俗解读，易考简答题）

📖 简单安全规则：

位于给定安全级别的主体，不能读取较高安全级别驻留的数据 → 通俗记：不能向上读（低级别看不到高级别数据）；

⭐ *属性规则（星属性规则）：

位于给定安全级别的主体，不能将信息写入较低安全级别 → 通俗记：不能向下写（高级别数据不能泄露到低级别）；

🔒 强星属性规则：

主体只能在同一安全级别上执行读写功能，高低级别均不能读写 → 主体与客体的安全级别必须完全一致才能读写；

🔓 自主安全属性：

系统通过访问控制矩阵实施自主访问控制 → 可通过“白名单”方式，打破上述 3 条规则（灵活适配特殊场景）。

💡 考点提示：

Bell-LaPadula 模型只关注机密性，不关注完整性，这是高频辨析点（常与 Biba 模型对比）。

CISSP

📝 考点 B：Biba 模型（重中之重，必考！完整性核心模型）

核心定位：专门解决系统内数据的完整性问题，与 Bell-LaPadula 模型对应（一个保机密性，一个保完整性），重点记 3 条核心规则👇

▸ 核心目标

防止低完整性级别数据污染高完整性级别数据，确保数据的准确性和可靠性，常见于金融、医疗等对数据完整性要求高的场景。

▸ 3 条核心规则（记准名称+通俗解读，易考简答题，对比Bell-LaPadula记忆）

⭐ *完整性公理规则：

主体不能向位于较高完整性级别的客体写数据 →通俗记：不能向上写（低完整性数据不能污染高级别）；

📖 简单完整性公理规则：

主体不能从较低完整性级别读取数据 → 通俗记：不能向下读（不读取低完整性数据，避免被污染）；

🔄 调用属性规则：

主体不能请求（调用）完整性级别更高的主体的服务 → 防止低完整性主体借助高级别主体，间接污染高完整性数据。

💡 易混对比：

Bell-LaPadula（机密性）→ 不能向上读、不能向下写；Biba（完整性）→ 不能向下读、不能向上写，记准对应关系，避免混淆！

CISSP

📚 考点 C：Clark-Wilson 模型（重点，完整性实操模型）

核心定位：

采用“事务处理+职能划分”的方式，保护数据完整性，比 Biba 模型更贴近实际业务场景，重点记核心元素和显著特点👇

▸ 5 个核心元素（记准名称+作用，易考多选题）

👥 用户：

活动个体（数据的操作主体）；

🔧 转换过程(TP)：

可编程的抽象操作（如读、写、更改），是操纵数据的唯一合法方式；

📦 约束数据项(CDI)：

只能由转换过程（TP）操纵，受完整性保护的数据（核心保护对象）；

📄 非约束数据项(UDI)：

用户可通过简单读写操作操纵，不受TP约束（如原始输入数据）；

🔍 完整性验证过程(IVP)：

检查约束数据项（CDI）与外部现实的一致性，确保数据真实有效。

▸ 显著特点

聚焦结构良好的事务处理（将数据从一个一致状态转换为另一个一致状态）和职能划分，贴合实际业务流程，是最具实操性的完整性模型。

CISSP

🎯 考点 D：无干扰方式（noninterference）（基础必记，隐蔽通道相关）

核心定位：

一种多级安全属性表达，重点解决“隐蔽通道”问题，记准核心定义和隐蔽通道分类👇

✅ 核心定义：

确保较高安全级别中的活动，不干扰（不影响）较低安全级别中的活动，核心目的是处理隐蔽通道；

✅ 隐蔽通道补充（必考细节）：

• 定义：

某个实体以未授权方式接收信息的方式，难以被监测；

• 两种类型（易考多选题）：

存储隐蔽通道、计时隐蔽通道。

CISSP

📖 考点 E：Brewer and Nash 模型（重点，利益冲突防护模型）

核心定位：

又称 Chinese Wall 模型（中国墙模型），专门解决“利益冲突”问题，重点记核心规则和目标👇

✅ 核心目标：

防止用户访问存在利益冲突的数据（如金融机构员工，不能同时访问两家竞争企业的数据）；

✅ 核心规则：

主体只有在不能读取不同数据集内的某个客体时，才能写另一个客体；

✅ 关键特点：

访问控制根据用户先前活动动态改变（随用户操作行为调整权限）。

💡 考点提示：

记住“Chinese Wall 模型 = Brewer and Nash 模型”，核心是“防利益冲突”，易考单选题。

CISSP

🔍 考点 F：其他模型实例（了解即可，易考多选题）

以下模型无需深入掌握细节，记准名称，避免考试中混淆即可：

✅ 访问控制矩阵（基础访问控制模型，后续章节会详细讲解）；

✅ 取-予模型（简单访问控制模型，基于“取权”和“予权”实现访问控制）；

✅ Sutherland 模型、Graham-Denning Model、Harrison-Ruzzo-Ullman Model（均为辅助安全模型，记名称即可）。

备考小贴士

CISSP

本章节核心考点：

Bell-LaPadula（机密性）、Biba（完整性）、Clark-Wilson（实操性完整性）、Brewer and Nash（利益冲突）4 大核心模型；无干扰方式及隐蔽通道分类；其他模型名称记忆。

建议重点突破：

① Bell-LaPadula 与 Biba 模型的规则对比（最易混，记准“机密性 vs 完整性”“读写规则差异”）；

② Clark-Wilson 模型的核心元素；

③ 隐蔽通道的两种类型；

④ Brewer and Nash 模型的别名和核心目标。这些是选择题、简答题高频考点，理论性强，建议结合“核心目标+规则”拆解记忆，避免记混。

补充提示：

安全模型是安全策略的“数学化表达”，考试中不会考复杂计算，重点考察“模型对应核心目标”“核心规则”“适用场景”，无需死记硬背，理解逻辑即可。

✨ 关注我，持续更新 CISSP 全模块重点知识点，每一篇都是纯干货，备考不迷路！

留言区可打卡学习，说说你 1.2 安全模型考点掌握得怎么样啦👇

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《CISSP 重点知识点合集｜D3 安全工程（单元一） 安全模型的基本概念》