一、緒論

（一）研究背景與意義

煙草行業(yè)作為經(jīng)濟(jì)的重要組成部分，實(shí)現(xiàn)了經(jīng)濟(jì)效益的連年增長(zhǎng)。與此同時(shí)，煙草行業(yè)也在不斷推進(jìn)信息化建設(shè)，信息系統(tǒng)涵蓋了生產(chǎn)、銷(xiāo)售、管理等諸多環(huán)節(jié)，其中存儲(chǔ)著大量涉及行業(yè)運(yùn)營(yíng)、消費(fèi)者信息、商業(yè)機(jī)密等重要數(shù)據(jù)。然而，隨著信息化應(yīng)用的日益廣泛，信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)量不斷加大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)趨于復(fù)雜，信息集成共享也更加廣泛，煙草行業(yè)信息安全面臨著諸多嚴(yán)峻挑戰(zhàn)。

一方面，內(nèi)部可能存在保密工作不到位、管理出現(xiàn)漏洞等情況，導(dǎo)致系統(tǒng)遭到破壞、數(shù)據(jù)丟失；另一方面，外部黑客攻擊、病毒侵入、垃圾郵件等威脅也防不勝防，這些都可能造成信息的泄露、更改或破壞，進(jìn)而影響煙草行業(yè)的正常運(yùn)營(yíng)以及穩(wěn)定發(fā)展。

在此背景下，Bell-Lapadula 模型和 Biba 模型的應(yīng)用具有重要意義。Bell-Lapadula 模型側(cè)重于維護(hù)系統(tǒng)的保密性，通過(guò)明確的規(guī)則限制主體對(duì)客體的訪問(wèn)，能夠有效防止低級(jí)別主體訪問(wèn)高級(jí)別機(jī)密信息，避免信息泄露風(fēng)險(xiǎn)，保障煙草行業(yè)中諸如新品研發(fā)計(jì)劃、營(yíng)銷(xiāo)策略等敏感商業(yè)信息的安全。而 Biba 模型聚焦于數(shù)據(jù)完整性保護(hù)，通過(guò)相應(yīng)規(guī)則防止低完整性主體將信息傳遞給高完整性主體，可確保煙草行業(yè)生產(chǎn)、銷(xiāo)售等環(huán)節(jié)數(shù)據(jù)的準(zhǔn)確性和完整性，避免如產(chǎn)量數(shù)據(jù)、銷(xiāo)售數(shù)據(jù)被篡改而影響決策制定。二者應(yīng)用于煙草行業(yè)，有助于構(gòu)建更為穩(wěn)固可靠的信息安全防護(hù)體系，保障行業(yè)數(shù)據(jù)安全，促進(jìn)煙草行業(yè)在穩(wěn)定、安全的環(huán)境下持續(xù)健康發(fā)展。

（二）研究目的與方法

本研究旨在深入且全面地剖析 Bell-Lapadula 模型和 Biba 模型在煙草行業(yè)的具體應(yīng)用情況。首先，詳細(xì)探究這兩種模型如何與煙草行業(yè)的業(yè)務(wù)流程及信息系統(tǒng)特點(diǎn)相契合，了解它們?cè)趯?shí)際應(yīng)用中是怎樣發(fā)揮保障信息安全的作用，包括在不同業(yè)務(wù)板塊（如煙草生產(chǎn)環(huán)節(jié)的數(shù)據(jù)管理、銷(xiāo)售渠道中的客戶信息保護(hù)、專賣(mài)管理中的執(zhí)法數(shù)據(jù)保密等）對(duì)信息保密性與完整性的具體維護(hù)機(jī)制。

其次，分析兩種模型應(yīng)用于煙草行業(yè)所展現(xiàn)出的優(yōu)勢(shì)，例如在防止信息泄露、確保數(shù)據(jù)準(zhǔn)確可靠方面相較于傳統(tǒng)安全措施的突出效果，以及對(duì)提升行業(yè)整體信息安全管理水平、增強(qiáng)應(yīng)對(duì)內(nèi)外部安全威脅能力等方面的積極影響。同時(shí)，也會(huì)探討其存在的局限性，像可能在面對(duì)復(fù)雜多變的業(yè)務(wù)需求或動(dòng)態(tài)的信息環(huán)境時(shí)所暴露出的靈活性不足等問(wèn)題。

為達(dá)成上述研究目的，本研究將采用多種研究方法。一是文獻(xiàn)研究法，廣泛查閱國(guó)內(nèi)外關(guān)于信息安全模型、煙草行業(yè)信息化建設(shè)以及二者結(jié)合應(yīng)用的相關(guān)學(xué)術(shù)文獻(xiàn)、行業(yè)報(bào)告、政策文件等資料，深入梳理 Bell-Lapadula 模型和 Biba 模型的理論基礎(chǔ)、發(fā)展歷程、應(yīng)用案例等內(nèi)容，同時(shí)掌握煙草行業(yè)信息安全現(xiàn)狀及需求，為本研究提供堅(jiān)實(shí)的理論依據(jù)和背景參考。二是案例分析法，選取煙草行業(yè)內(nèi)具有代表性的企業(yè)或具體項(xiàng)目作為案例，深入考察它們?cè)趹?yīng)用 Bell-Lapadula 模型和 Biba 模型過(guò)程中的實(shí)踐經(jīng)驗(yàn)、遇到的問(wèn)題以及解決措施等情況，通過(guò)實(shí)際案例剖析來(lái)直觀展現(xiàn)模型的應(yīng)用效果和實(shí)際價(jià)值，進(jìn)而總結(jié)出一般性的規(guī)律和應(yīng)用建議，為更多煙草企業(yè)提供借鑒。

（三）研究范圍與限制

本研究聚焦于煙草行業(yè)全產(chǎn)業(yè)鏈的主要業(yè)務(wù)板塊和核心流程中的信息安全應(yīng)用情況，涵蓋煙草種植環(huán)節(jié)的生產(chǎn)數(shù)據(jù)管理（例如種植面積、品種信息、病蟲(chóng)害防治數(shù)據(jù)等），工業(yè)生產(chǎn)環(huán)節(jié)的生產(chǎn)計(jì)劃、工藝配方、質(zhì)量檢測(cè)數(shù)據(jù)等信息安全保障，煙草銷(xiāo)售環(huán)節(jié)中涉及的客戶信息、銷(xiāo)售渠道數(shù)據(jù)、市場(chǎng)需求分析數(shù)據(jù)的安全防護(hù)，以及專賣(mài)管理環(huán)節(jié)的執(zhí)法數(shù)據(jù)、許可證審批信息等內(nèi)容。

不過(guò)，在研究過(guò)程中也存在一定限制。一方面，由于煙草行業(yè)部分?jǐn)?shù)據(jù)涉及商業(yè)機(jī)密，獲取詳細(xì)、全面且準(zhǔn)確的數(shù)據(jù)存在一定難度，這可能會(huì)影響對(duì)模型應(yīng)用實(shí)際效果分析的精準(zhǔn)性和深度。部分企業(yè)出于保密考慮，不愿完全公開(kāi)其信息安全管理中關(guān)于模型應(yīng)用的具體參數(shù)、配置情況等關(guān)鍵信息，使得研究難以獲取最一手、最詳實(shí)的內(nèi)部資料。另一方面，信息安全領(lǐng)域技術(shù)發(fā)展迅速，Bell-Lapadula 模型和 Biba 模型在實(shí)際應(yīng)用中的情況也處于動(dòng)態(tài)變化之中，本研究雖力求緊跟行業(yè)發(fā)展前沿，但可能受限于研究周期，無(wú)法涵蓋所有最新的應(yīng)用場(chǎng)景和技術(shù)變化情況。

二、Bell-Lapadula 模型與 Biba 模型理論基礎(chǔ)

（一）Bell-Lapadula 模型概述

Bell-Lapadula 模型（以下簡(jiǎn)稱 BLP 模型）是在 1973 年由 D.Bell 和 J.LaPadula 提出并加以完善的。其設(shè)計(jì)初衷是為了解決軍方系統(tǒng)的安全問(wèn)題，特別是針對(duì)具有密級(jí)劃分信息的訪問(wèn)控制問(wèn)題。它是第一個(gè)運(yùn)用比較完整的形式化方法對(duì)系統(tǒng)安全進(jìn)行嚴(yán)格證明的數(shù)學(xué)模型，在計(jì)算機(jī)系統(tǒng)的安全描述方面應(yīng)用廣泛。

從模型定義的集合來(lái)看，主要包含以下幾個(gè)方面：

主體集合：主體指的是用戶或代表用戶的進(jìn)程，是能使信息流動(dòng)的實(shí)體，用表示。

客體集合：客體涵蓋了文件、程序、存貯器段等，甚至主體也可看作特殊的客體，記為。

密級(jí)集合：主體或客體的密級(jí)集合用表示，元素之間呈全序關(guān)系，例如常見(jiàn)的密級(jí)有公開(kāi)（Unclassified）、受限（Restricted）、保密（Confidential）、秘密（Secret）、頂級(jí)機(jī)密（Top Secret）等，且滿足。

部門(mén)或類(lèi)別集合：用表示，用于進(jìn)一步區(qū)分主體或客體所屬的不同領(lǐng)域等情況。

訪問(wèn)屬性集：包含只讀（r）、讀寫(xiě)（w）、執(zhí)行（e）、添加（只寫(xiě)，a）、控制（c）等不同訪問(wèn)權(quán)限，記為。

請(qǐng)求元素集：像 get（得到）、give（賦予）、release（釋放）、rescind（撤銷(xiāo)）、change（改變客體的安全級(jí)）、create（創(chuàng)建客體）、delete（刪除客體）等操作請(qǐng)求元素，記為。

判斷集（結(jié)果集）：包含 yes（請(qǐng)求被執(zhí)行）、no（請(qǐng)求被拒絕）、error（系統(tǒng)出錯(cuò)，有多個(gè)規(guī)則適合于這一請(qǐng)求）、?（請(qǐng)求出錯(cuò)，規(guī)則不適用于這一請(qǐng)求），用表示。

訪問(wèn)矩陣集：元素是一的矩陣，的元素，用于表示在當(dāng)前狀態(tài)下主體對(duì)客體所擁有的訪問(wèn)權(quán)限。

系統(tǒng)狀態(tài)可以用這樣的狀態(tài)集合來(lái)表示，狀態(tài)用有序三元組呈現(xiàn)，其中，是當(dāng)前訪問(wèn)集；是訪問(wèn)矩陣；，和分別表示主體的密級(jí)和部門(mén)集，和分別表示客體的密級(jí)和部門(mén)集。

BLP 模型具有幾個(gè)重要的安全特性：

簡(jiǎn)單安全特性（Simple Security Property）：主體對(duì)客體進(jìn)行讀訪問(wèn)的必要條件是主體的安全級(jí)別不小于客體的安全級(jí)別，并且主體的范疇集合必須包含客體的全部范疇，也就是主體只能讀取屬于自己類(lèi)別或包含自己類(lèi)別的客體，即所謂的 “向下讀”。例如，若主體的安全許可為保密級(jí)別，那么它不能讀取絕密級(jí)別的數(shù)據(jù)，該特性有助于防止高安全級(jí)別的信息流向低安全級(jí)別的主體，保障信息的機(jī)密性。

* 特性（Star Property）：主體對(duì)客體進(jìn)行寫(xiě)訪問(wèn)的必要條件是客體的安全級(jí)別必須支配主體的安全級(jí)別，且客體的范疇集合要包含主體的全部范疇，意味著主體只能向?qū)儆谧约侯?lèi)別或包含自己類(lèi)別的客體寫(xiě)入數(shù)據(jù)，即 “向上寫(xiě)”。這確保了只有經(jīng)過(guò)授權(quán)的主體才能在適當(dāng)?shù)募?jí)別寫(xiě)入數(shù)據(jù)，防止非授權(quán)信息的向上流動(dòng)和擴(kuò)散。

BLP 模型的基本安全策略是 “下讀上寫(xiě)”，即主體可以讀安全級(jí)別比它低或相等的客體，也可以寫(xiě)安全級(jí)別比它高或相等的客體。通過(guò)將信息安全劃分為多個(gè)級(jí)別，每個(gè)級(jí)別配以唯一的標(biāo)識(shí)符，以此確保高級(jí)別用戶不能讀取低級(jí)別用戶的數(shù)據(jù)，從而有效地保護(hù)了數(shù)據(jù)的機(jī)密性。

（二）Biba 模型概述

Biba 模型是由 K.J.Biba 在 1977 年提出的完整性訪問(wèn)控制模型，也是一種強(qiáng)制訪問(wèn)控制模型。其提出主要是為了解決應(yīng)用程序數(shù)據(jù)的完整性問(wèn)題，側(cè)重于防止數(shù)據(jù)從低完整性級(jí)別流向高完整性級(jí)別，與關(guān)注保密性的 BLP 模型有所不同，它的訪問(wèn)控制是建立在完整性級(jí)別之上的，并不關(guān)心信息保密性的安全級(jí)別。

Biba 模型同樣利用主體、客體和完整性級(jí)別來(lái)描述安全策略要求，其中主體是指訪問(wèn)數(shù)據(jù)的用戶或程序，客體是指被訪問(wèn)的數(shù)據(jù)或資源，完整性級(jí)別則用于體現(xiàn)數(shù)據(jù)的重要性以及對(duì)數(shù)據(jù)完整性的需求，高完整性級(jí)別表示數(shù)據(jù)更為重要，低完整性級(jí)別表示數(shù)據(jù)的重要性相對(duì)較低。

Biba 模型具備三個(gè)主要的安全特性：

簡(jiǎn)單完整性公理：主體對(duì)客體進(jìn)行修改訪問(wèn)的必要條件是主體的完整性級(jí)別不小于客體的完整性級(jí)別，并且主體的范疇集合包含客體的全部范疇，即主體不能向下讀，可以理解為能向上讀。例如，高完整性級(jí)別的主體不能從低完整性級(jí)別的客體處讀取數(shù)據(jù)，以此防止低完整性數(shù)據(jù)對(duì)高完整性主體產(chǎn)生影響，保障數(shù)據(jù)的源頭質(zhì)量。

* 特性：主體的完整性級(jí)別小于客體的完整性級(jí)別時(shí)，主體不能修改客體，也就是主體不能向上寫(xiě)，可以理解為能向下寫(xiě)。該特性防止了低完整性級(jí)別的主體去篡改高完整性級(jí)別的數(shù)據(jù)，避免重要數(shù)據(jù)被低質(zhì)量的數(shù)據(jù)破壞。

調(diào)用特性：主體的完整性級(jí)別小于另一個(gè)主體的完整性級(jí)別時(shí)，不能調(diào)用另一個(gè)主體。這能防止低完整性的主體去調(diào)用高完整性主體的程序或服務(wù)，避免可能出現(xiàn)的錯(cuò)誤調(diào)用或者惡意利用情況。

通過(guò)這些規(guī)則，Biba 模型構(gòu)建起了保障數(shù)據(jù)完整性的核心機(jī)制，確保系統(tǒng)中的數(shù)據(jù)在流動(dòng)和使用過(guò)程中，始終遵循從高完整性到低完整性的合理方向，防止不符合要求的數(shù)據(jù)對(duì)高完整性數(shù)據(jù)造成破壞，從而保證整個(gè)系統(tǒng)數(shù)據(jù)的準(zhǔn)確性和一致性。

（三）兩模型對(duì)比分析

關(guān)注重點(diǎn)差異：

BLP 模型：側(cè)重于保密性，旨在防止非授權(quán)信息的擴(kuò)散，核心是通過(guò) “下讀上寫(xiě)” 等規(guī)則，嚴(yán)格限制主體對(duì)不同密級(jí)客體的訪問(wèn)，確保高級(jí)別機(jī)密信息不會(huì)被低級(jí)別主體獲取，重點(diǎn)保護(hù)信息的機(jī)密性，像是軍事、政府等對(duì)信息保密要求極高的領(lǐng)域，該模型應(yīng)用意義重大。

Biba 模型：聚焦于數(shù)據(jù)完整性，關(guān)注的是數(shù)據(jù)在系統(tǒng)內(nèi)流轉(zhuǎn)過(guò)程中的準(zhǔn)確性和一致性，運(yùn)用如簡(jiǎn)單完整性公理等規(guī)則，防止低完整性級(jí)別的數(shù)據(jù)流入高完整性級(jí)別，避免數(shù)據(jù)被未授權(quán)修改或破壞，在如金融、醫(yī)療等對(duì)數(shù)據(jù)準(zhǔn)確性要求嚴(yán)苛的行業(yè)應(yīng)用廣泛。

訪問(wèn)控制規(guī)則區(qū)別：

BLP 模型：其簡(jiǎn)單安全特性規(guī)定主體只能讀安全級(jí)別比自身低或相等的客體（向下讀），* 特性要求主體只能寫(xiě)安全級(jí)別比自身高或相等的客體（向上寫(xiě)）。例如，在一個(gè)采用 BLP 模型的軍事文件管理系統(tǒng)中，秘密級(jí)別的人員可以查看公開(kāi)和秘密級(jí)別的文件（向下讀），但只能向秘密、機(jī)密、絕密級(jí)別文件寫(xiě)入內(nèi)容（向上寫(xiě)）。

Biba 模型：簡(jiǎn)單完整性公理限制主體不能向下讀，* 特性使得主體不能向上寫(xiě)，調(diào)用特性約束低完整性主體不能調(diào)用高完整性主體。比如在一個(gè)軟件項(xiàng)目開(kāi)發(fā)的管理系統(tǒng)應(yīng)用 Biba 模型時(shí)，高完整性的核心代碼模塊所在主體，不會(huì)去讀取低完整性的測(cè)試代碼主體中的數(shù)據(jù)（不能向下讀），低完整性的外部插件主體也無(wú)法修改高完整性的核心模塊數(shù)據(jù)（不能向上寫(xiě)）。

適用場(chǎng)景不同：

BLP 模型：適用于對(duì)信息保密性要求優(yōu)先的場(chǎng)景，比如國(guó)防軍事系統(tǒng)中涉及國(guó)家機(jī)密文件的存儲(chǔ)、訪問(wèn)控制，還有政府部門(mén)的一些敏感政策文件、情報(bào)資料等管理場(chǎng)景，需要嚴(yán)格把控信息的知悉范圍，防止泄密。

Biba 模型：更契合對(duì)數(shù)據(jù)完整性要求極高的場(chǎng)合，像金融交易系統(tǒng)中，客戶的賬戶余額、交易記錄等數(shù)據(jù)不容許被錯(cuò)誤修改或被低質(zhì)量的數(shù)據(jù)影響；醫(yī)療信息系統(tǒng)里，患者的病歷、診斷結(jié)果等關(guān)鍵數(shù)據(jù)也需要保證其完整性，防止被惡意篡改或者因低完整性數(shù)據(jù)混入而出現(xiàn)錯(cuò)誤。

從互補(bǔ)性來(lái)看，在很多復(fù)雜的信息系統(tǒng)中，保密性和完整性往往都需要兼顧，BLP 模型和 Biba 模型可以相互配合使用。例如在一個(gè)大型企業(yè)的綜合信息管理系統(tǒng)中，對(duì)于涉及企業(yè)核心技術(shù)研發(fā)計(jì)劃等機(jī)密內(nèi)容，可以采用 BLP 模型保障其保密性；而對(duì)于生產(chǎn)環(huán)節(jié)中的產(chǎn)量數(shù)據(jù)、質(zhì)量檢測(cè)數(shù)據(jù)等，運(yùn)用 Biba 模型確保其完整性，從而構(gòu)建起一個(gè)更為全面、穩(wěn)固的信息安全防護(hù)體系。

二者的差異性也較為明顯，在規(guī)則設(shè)定、應(yīng)用目標(biāo)等方面截然不同，這就要求在實(shí)際應(yīng)用時(shí)，要根據(jù)具體的信息安全需求、業(yè)務(wù)特點(diǎn)等因素，合理選擇單獨(dú)使用或者聯(lián)合運(yùn)用這兩個(gè)模型來(lái)保障信息安全。

三、煙草行業(yè)信息安全需求分析

（一）煙草行業(yè)數(shù)據(jù)特點(diǎn)

煙草行業(yè)在生產(chǎn)、銷(xiāo)售、倉(cāng)儲(chǔ)等多個(gè)環(huán)節(jié)會(huì)產(chǎn)生類(lèi)型豐富的數(shù)據(jù)，且具備獨(dú)特的數(shù)據(jù)特點(diǎn)。

在生產(chǎn)環(huán)節(jié)，會(huì)涉及如煙草種植的種植面積、品種信息、病蟲(chóng)害防治數(shù)據(jù)，工業(yè)生產(chǎn)中的生產(chǎn)計(jì)劃、工藝配方以及質(zhì)量檢測(cè)數(shù)據(jù)等。這些數(shù)據(jù)往往具有較高的敏感性，例如工藝配方屬于企業(yè)的核心商業(yè)機(jī)密，關(guān)乎產(chǎn)品的獨(dú)特品質(zhì)與市場(chǎng)競(jìng)爭(zhēng)力，一旦泄露可能導(dǎo)致競(jìng)爭(zhēng)對(duì)手模仿，使企業(yè)失去優(yōu)勢(shì)。而質(zhì)量檢測(cè)數(shù)據(jù)也反映了產(chǎn)品是否符合相關(guān)標(biāo)準(zhǔn)，若被篡改會(huì)影響對(duì)產(chǎn)品質(zhì)量的準(zhǔn)確判斷，其數(shù)據(jù)量級(jí)依據(jù)企業(yè)的生產(chǎn)規(guī)模大小而定，大型煙草企業(yè)的此類(lèi)數(shù)據(jù)量往往較為龐大。

銷(xiāo)售環(huán)節(jié)包含客戶信息、銷(xiāo)售渠道數(shù)據(jù)以及市場(chǎng)需求分析數(shù)據(jù)等?？蛻粜畔⒑w了消費(fèi)者的個(gè)人基本情況、購(gòu)買(mǎi)偏好等內(nèi)容，屬于隱私信息，需嚴(yán)格保密，其數(shù)據(jù)量級(jí)會(huì)隨著客戶群體的擴(kuò)大而不斷增加。銷(xiāo)售渠道數(shù)據(jù)則涉及不同地區(qū)的經(jīng)銷(xiāo)商、銷(xiāo)售網(wǎng)絡(luò)布局等商業(yè)機(jī)密內(nèi)容，對(duì)企業(yè)的市場(chǎng)掌控至關(guān)重要，數(shù)據(jù)量級(jí)取決于企業(yè)銷(xiāo)售覆蓋范圍的廣度和深度。市場(chǎng)需求分析數(shù)據(jù)是企業(yè)制定營(yíng)銷(xiāo)策略的重要依據(jù)，其準(zhǔn)確性影響著企業(yè)的市場(chǎng)反應(yīng)能力，數(shù)據(jù)量也會(huì)隨著市場(chǎng)調(diào)研的不斷深入而增多。

倉(cāng)儲(chǔ)環(huán)節(jié)主要涉及庫(kù)存數(shù)量、倉(cāng)儲(chǔ)位置、貨物出入庫(kù)記錄等數(shù)據(jù)。庫(kù)存數(shù)量反映了企業(yè)的產(chǎn)品儲(chǔ)備情況，對(duì)于合理安排生產(chǎn)與銷(xiāo)售具有關(guān)鍵作用，倉(cāng)儲(chǔ)位置也屬于企業(yè)內(nèi)部管理的重要信息，貨物出入庫(kù)記錄則關(guān)乎產(chǎn)品的流向追蹤與賬目核對(duì)，這些數(shù)據(jù)量級(jí)同樣與企業(yè)的業(yè)務(wù)規(guī)模相關(guān)，且數(shù)據(jù)的敏感性在于其反映了企業(yè)的實(shí)際運(yùn)營(yíng)狀態(tài)，一旦被不法分子獲取，可能被利用進(jìn)行不正當(dāng)競(jìng)爭(zhēng)或擾亂企業(yè)正常的倉(cāng)儲(chǔ)物流秩序。

總體而言，煙草行業(yè)的數(shù)據(jù)敏感性程度較高，大量數(shù)據(jù)都涉及商業(yè)機(jī)密或者消費(fèi)者隱私等重要方面，并且隨著行業(yè)不斷發(fā)展，數(shù)據(jù)量級(jí)也處于持續(xù)增長(zhǎng)的態(tài)勢(shì)，這對(duì)數(shù)據(jù)的安全管理提出了更高要求。

（二）面臨的安全威脅

內(nèi)部安全威脅

煙草行業(yè)在信息化過(guò)程中，內(nèi)部存在多方面的安全威脅。一方面，員工違規(guī)操作是較為常見(jiàn)的問(wèn)題。部分員工可能由于安全意識(shí)淡薄，比如隨意使用未經(jīng)許可的移動(dòng)存儲(chǔ)設(shè)備在企業(yè)內(nèi)部電腦上拷貝數(shù)據(jù)，容易將病毒帶入企業(yè)信息系統(tǒng)，同時(shí)也可能在不經(jīng)意間造成內(nèi)部數(shù)據(jù)泄露，像將含有客戶信息的文件發(fā)送給外部無(wú)關(guān)人員等情況。還有些員工可能因工作疏忽，在離職或崗位調(diào)動(dòng)時(shí)未妥善交接數(shù)據(jù)權(quán)限，導(dǎo)致后續(xù)的數(shù)據(jù)管理出現(xiàn)混亂，增加數(shù)據(jù)丟失或被不當(dāng)訪問(wèn)的風(fēng)險(xiǎn)。

另一方面，企業(yè)內(nèi)部的管理漏洞也不容忽視。例如權(quán)限管理不嚴(yán)格，一些員工可能獲得了超出其崗位需求的高權(quán)限，能夠訪問(wèn)和操作本不應(yīng)涉及的敏感數(shù)據(jù)，這就為數(shù)據(jù)安全埋下隱患。還有內(nèi)部的信息系統(tǒng)維護(hù)不到位，缺乏定期的安全檢查與漏洞修復(fù)，使得系統(tǒng)本身存在安全弱點(diǎn)，容易被內(nèi)部別有用心的人員利用，從而威脅到企業(yè)數(shù)據(jù)安全。

外部安全威脅

從外部來(lái)看，網(wǎng)絡(luò)攻擊是煙草行業(yè)面臨的嚴(yán)峻挑戰(zhàn)之一。黑客可能會(huì)出于各種目的，如竊取商業(yè)機(jī)密、破壞企業(yè)運(yùn)營(yíng)等，對(duì)煙草企業(yè)的信息系統(tǒng)發(fā)起攻擊，常見(jiàn)的有利用系統(tǒng)漏洞進(jìn)行入侵，植入惡意軟件、木馬程序等，進(jìn)而獲取企業(yè)核心數(shù)據(jù)，或者干擾系統(tǒng)正常運(yùn)行，導(dǎo)致生產(chǎn)、銷(xiāo)售等環(huán)節(jié)出現(xiàn)中斷，影響企業(yè)的經(jīng)濟(jì)效益。

惡意竊取也是外部威脅的重要方面。競(jìng)爭(zhēng)對(duì)手或者不法分子可能會(huì)試圖通過(guò)網(wǎng)絡(luò)嗅探、社會(huì)工程學(xué)攻擊等手段，獲取煙草企業(yè)的商業(yè)機(jī)密數(shù)據(jù)，例如新品研發(fā)計(jì)劃、營(yíng)銷(xiāo)策略等關(guān)鍵信息，以此來(lái)?yè)屨际袌?chǎng)先機(jī)或者謀取不正當(dāng)利益。另外，隨著信息化程度的加深，煙草行業(yè)信息系統(tǒng)面臨的外部攻擊面不斷擴(kuò)大，網(wǎng)絡(luò)釣魚(yú)郵件、分布式拒絕服務(wù)攻擊（DDoS）等形式多樣的攻擊手段層出不窮，進(jìn)一步加劇了外部安全威脅的復(fù)雜性和嚴(yán)峻性，也凸顯了保障數(shù)據(jù)安全的緊迫性。

（三）安全需求歸納

基于上述對(duì)煙草行業(yè)數(shù)據(jù)特點(diǎn)以及面臨的安全威脅分析，其在信息安全方面有著多方面的需求。

在保密性方面，需要確保煙草行業(yè)涉及的各類(lèi)商業(yè)機(jī)密數(shù)據(jù)，如工藝配方、銷(xiāo)售渠道信息、新品研發(fā)計(jì)劃等，嚴(yán)格限制在授權(quán)范圍內(nèi)訪問(wèn)，防止內(nèi)部員工的不當(dāng)泄露以及外部的惡意竊取。要通過(guò)合理的訪問(wèn)控制機(jī)制，讓不同層級(jí)、不同崗位的人員只能獲取與其工作相關(guān)且符合其權(quán)限的數(shù)據(jù)，杜絕高級(jí)別機(jī)密信息流向低級(jí)別主體，保障企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中的核心優(yōu)勢(shì)不被侵犯。

對(duì)于完整性而言，無(wú)論是生產(chǎn)環(huán)節(jié)的產(chǎn)量數(shù)據(jù)、質(zhì)量檢測(cè)數(shù)據(jù)，還是銷(xiāo)售環(huán)節(jié)的客戶信息、市場(chǎng)需求分析數(shù)據(jù)等，都必須保證其在整個(gè)生命周期內(nèi)的準(zhǔn)確性和一致性。要防止數(shù)據(jù)在存儲(chǔ)、傳輸、使用過(guò)程中被篡改或者因低完整性的數(shù)據(jù)混入而遭到破壞，確保企業(yè)依據(jù)準(zhǔn)確的數(shù)據(jù)進(jìn)行生產(chǎn)安排、營(yíng)銷(xiāo)策略制定等決策活動(dòng)，維持企業(yè)運(yùn)營(yíng)的正常秩序。

可用性同樣重要，煙草行業(yè)的信息系統(tǒng)需保證在需要時(shí)能夠正常提供服務(wù)，例如生產(chǎn)線上的數(shù)據(jù)監(jiān)控系統(tǒng)、銷(xiāo)售端的訂單處理系統(tǒng)等，要避免因內(nèi)部故障或者外部攻擊導(dǎo)致系統(tǒng)癱瘓，使相關(guān)業(yè)務(wù)無(wú)法開(kāi)展。要具備完善的備份恢復(fù)機(jī)制、應(yīng)急響應(yīng)機(jī)制，確保在遭遇突發(fā)情況時(shí)能夠快速恢復(fù)系統(tǒng)運(yùn)行，減少對(duì)企業(yè)生產(chǎn)、銷(xiāo)售等環(huán)節(jié)的影響，保障企業(yè)業(yè)務(wù)的連續(xù)性。

這些信息安全需求是后續(xù)探討 Bell-Lapadula 模型和 Biba 模型在煙草行業(yè)應(yīng)用的重要基礎(chǔ)，通過(guò)合理應(yīng)用相應(yīng)模型，有望滿足上述需求，構(gòu)建起更為可靠的信息安全防護(hù)體系。

四、Bell-Lapadula 模型在煙草行業(yè)的應(yīng)用

（一）應(yīng)用場(chǎng)景列舉

在煙草行業(yè)中，Bell-Lapadula 模型有著諸多適用的應(yīng)用場(chǎng)景，以下為具體說(shuō)明：

研發(fā)部門(mén)

煙草行業(yè)的研發(fā)部門(mén)承載著新產(chǎn)品開(kāi)發(fā)的重任，例如新品煙草的配方研發(fā)工作。新品配方堪稱企業(yè)的核心機(jī)密，關(guān)乎著產(chǎn)品能否在市場(chǎng)上脫穎而出以及企業(yè)未來(lái)的市場(chǎng)份額與經(jīng)濟(jì)效益。在此場(chǎng)景下，Bell-Lapadula 模型能夠發(fā)揮關(guān)鍵作用。研發(fā)團(tuán)隊(duì)成員依據(jù)其在項(xiàng)目中的職責(zé)、權(quán)限以及對(duì)配方信息知悉的必要程度，被劃分為不同的安全級(jí)別主體。比如，負(fù)責(zé)核心配方調(diào)制的高級(jí)研究員處于較高安全級(jí)別，而參與基礎(chǔ)輔助性實(shí)驗(yàn)的初級(jí)人員則處于相對(duì)較低安全級(jí)別。

對(duì)于承載配方信息的各類(lèi)文件、實(shí)驗(yàn)數(shù)據(jù)記錄等客體，同樣依據(jù)其機(jī)密程度進(jìn)行密級(jí)劃分。像完整的核心配方文檔屬于絕密級(jí)客體，而一些初步的成分測(cè)試數(shù)據(jù)可能屬于機(jī)密級(jí)客體。借助 Bell-Lapadula 模型的簡(jiǎn)單安全特性，低級(jí)別主體（如初級(jí)人員）無(wú)法讀取高級(jí)別客體（如核心配方文檔），嚴(yán)格限制了機(jī)密信息的知悉范圍，避免了配方信息被無(wú)關(guān)人員獲取而導(dǎo)致泄露風(fēng)險(xiǎn)。同時(shí)，依據(jù) * 特性，高級(jí)別主體（如高級(jí)研究員）可以向更高級(jí)別或者同等密級(jí)的客體（如向核心配方完善記錄文檔）寫(xiě)入經(jīng)過(guò)驗(yàn)證的數(shù)據(jù)，保障了研發(fā)過(guò)程中數(shù)據(jù)更新的安全性與規(guī)范性，從整體上保護(hù)了新產(chǎn)品配方等機(jī)密信息。

管理決策層

管理決策層需要處理大量涉及企業(yè)戰(zhàn)略、敏感決策等重要文件，這些文件一旦泄露，可能會(huì)使企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中陷入被動(dòng)。例如，有關(guān)企業(yè)下一年度的新品投放計(jì)劃、重大投資決策以及與供應(yīng)商的關(guān)鍵合作策略等文件。在這個(gè)場(chǎng)景中，運(yùn)用 Bell-Lapadula 模型，將不同層級(jí)的管理人員設(shè)定為不同安全級(jí)別的主體，比如企業(yè)高層領(lǐng)導(dǎo)處于頂級(jí)安全級(jí)別，部門(mén)經(jīng)理處于中級(jí)安全級(jí)別，基層主管處于較低安全級(jí)別。

相應(yīng)地，各類(lèi)決策文件按照重要性和機(jī)密程度劃分為不同密級(jí)客體，像涉及企業(yè)長(zhǎng)遠(yuǎn)發(fā)展戰(zhàn)略的文件為絕密級(jí)，部門(mén)階段性工作計(jì)劃為機(jī)密級(jí)?；谀Ｐ偷囊?guī)則，基層主管只能訪問(wèn)與其工作直接相關(guān)的低密級(jí)客體（如所在部門(mén)的常規(guī)業(yè)務(wù)執(zhí)行文件），無(wú)法查看高級(jí)別機(jī)密文件，防止了敏感信息在企業(yè)內(nèi)部過(guò)度擴(kuò)散。而高層領(lǐng)導(dǎo)則可依據(jù)需要，對(duì)高級(jí)別決策文件進(jìn)行查看和根據(jù)授權(quán)向相應(yīng)密級(jí)客體寫(xiě)入審批意見(jiàn)等操作，保障了管理決策過(guò)程中信息的保密性以及決策流程的有序性，限制了敏感決策文件訪問(wèn)權(quán)限，使重要信息牢牢把控在合適層級(jí)人員手中。

（二）實(shí)際案例剖析

以某大型煙草企業(yè) A 為例，該企業(yè)在信息安全建設(shè)過(guò)程中引入了 Bell-Lapadula 模型，取得了顯著成效。

首先，在主體和客體的安全級(jí)別劃分方面，企業(yè)針對(duì)內(nèi)部員工，依據(jù)崗位職能、職責(zé)范圍以及對(duì)信息的需求程度，將主體劃分為五個(gè)不同安全級(jí)別，從低到高依次為普通員工級(jí)、基層管理級(jí)、中層管理級(jí)、高層管理級(jí)以及核心決策級(jí)。例如，普通員工級(jí)主體主要涵蓋生產(chǎn)線上的操作工人、倉(cāng)庫(kù)管理員等，他們僅需知曉和操作與本職工作緊密相關(guān)的基本生產(chǎn)數(shù)據(jù)、庫(kù)存記錄等；而核心決策級(jí)主體則是企業(yè)的董事長(zhǎng)、總經(jīng)理等高層領(lǐng)導(dǎo)，他們需要掌握涉及企業(yè)整體戰(zhàn)略、重大投資以及核心商業(yè)機(jī)密等信息。

對(duì)于客體，企業(yè)按照信息的機(jī)密性和重要性，劃分了公開(kāi)、內(nèi)部、機(jī)密、絕密四個(gè)密級(jí)。像企業(yè)對(duì)外發(fā)布的一般性宣傳資料屬于公開(kāi)級(jí)客體，內(nèi)部的工作流程手冊(cè)、部門(mén)規(guī)章制度等劃分為內(nèi)部級(jí)客體，涉及新品研發(fā)階段性成果、銷(xiāo)售渠道布局調(diào)整計(jì)劃等歸為機(jī)密級(jí)客體，而完整的核心工藝配方、未來(lái)五年戰(zhàn)略規(guī)劃等則屬于絕密級(jí)客體。

在訪問(wèn)權(quán)限設(shè)置上，依據(jù) Bell-Lapadula 模型的規(guī)則，普通員工級(jí)主體僅擁有對(duì)公開(kāi)級(jí)和部分內(nèi)部級(jí)客體的只讀權(quán)限，例如可以查看企業(yè)內(nèi)部的通知公告、本崗位的操作規(guī)范文件等，但無(wú)法對(duì)機(jī)密級(jí)及以上客體進(jìn)行任何訪問(wèn)操作?；鶎庸芾砑?jí)主體除了享有普通員工級(jí)的權(quán)限外，還可對(duì)部分機(jī)密級(jí)客體擁有只讀權(quán)限，便于了解所在部門(mén)相關(guān)工作涉及的重要信息。中層管理級(jí)主體能夠讀取機(jī)密級(jí)客體以及向機(jī)密級(jí)和絕密級(jí)客體進(jìn)行符合授權(quán)的寫(xiě)入操作，例如向涉及本部門(mén)業(yè)務(wù)的戰(zhàn)略執(zhí)行計(jì)劃文件中添加工作進(jìn)展情況等內(nèi)容。高層管理級(jí)主體可以讀取絕密級(jí)客體，并在經(jīng)過(guò)嚴(yán)格審批流程后對(duì)絕密級(jí)客體進(jìn)行相應(yīng)更新操作。核心決策級(jí)主體則擁有對(duì)所有級(jí)別客體的全面讀寫(xiě)及控制權(quán)限，確保能從全局把控企業(yè)信息并做出決策。

在安全規(guī)則制定方面，企業(yè)制定了詳細(xì)的訪問(wèn)控制流程和審批機(jī)制。例如，當(dāng)某中層管理人員需要訪問(wèn)絕密級(jí)的重要市場(chǎng)調(diào)研報(bào)告時(shí)，需先向上級(jí)領(lǐng)導(dǎo)提交訪問(wèn)申請(qǐng)，說(shuō)明訪問(wèn)目的、預(yù)計(jì)使用方式等信息，經(jīng)過(guò)高層管理級(jí)和核心決策級(jí)主體的層層審批通過(guò)后，方可獲得限時(shí)的只讀權(quán)限進(jìn)行查看，且系統(tǒng)會(huì)記錄整個(gè)訪問(wèn)過(guò)程，便于后續(xù)審計(jì)與追蹤。

通過(guò) Bell-Lapadula 模型的應(yīng)用，企業(yè) A 在實(shí)際運(yùn)營(yíng)中有效避免了多起可能的信息泄露事件，保障了如新品研發(fā)過(guò)程中的配方信息安全，以及管理決策過(guò)程中敏感文件的保密性，使企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中能夠穩(wěn)固保持自身的核心優(yōu)勢(shì)，同時(shí)也為企業(yè)內(nèi)部信息的規(guī)范化管理提供了有力支撐，提升了整體信息安全管理水平。

（三）應(yīng)用優(yōu)勢(shì)與局限

應(yīng)用優(yōu)勢(shì)

防止機(jī)密信息泄露：煙草行業(yè)存在大量如新品配方、銷(xiāo)售渠道布局、營(yíng)銷(xiāo)策略等機(jī)密信息，Bell-Lapadula 模型通過(guò)嚴(yán)格的 “下讀上寫(xiě)” 規(guī)則，依據(jù)主體和客體的安全級(jí)別及范疇進(jìn)行訪問(wèn)控制。低級(jí)別主體無(wú)法隨意訪問(wèn)高級(jí)別機(jī)密信息，從根本上杜絕了因內(nèi)部權(quán)限管理混亂或者外部非法獲取導(dǎo)致的信息泄露風(fēng)險(xiǎn)，有力保障了企業(yè)核心機(jī)密的安全性，維持企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)優(yōu)勢(shì)。

符合行業(yè)層級(jí)管理特點(diǎn)：煙草企業(yè)內(nèi)部有著清晰的層級(jí)結(jié)構(gòu)，從基層員工到高層管理者，不同層級(jí)所負(fù)責(zé)的工作內(nèi)容以及對(duì)信息的需求和知悉范圍各不相同。Bell-Lapadula 模型能夠很好地與之契合，將這種層級(jí)關(guān)系映射為主體的安全級(jí)別差異，對(duì)不同密級(jí)的信息進(jìn)行精準(zhǔn)管控，使信息在合適的層級(jí)范圍內(nèi)流轉(zhuǎn)和使用，既保障了工作開(kāi)展所需的信息支持，又避免了信息的無(wú)序擴(kuò)散，有助于提升企業(yè)內(nèi)部管理效率和信息管理的規(guī)范化程度。

應(yīng)用局限

靈活性不足：煙草行業(yè)的業(yè)務(wù)并非一成不變，隨著市場(chǎng)環(huán)境變化、新產(chǎn)品研發(fā)推進(jìn)以及營(yíng)銷(xiāo)策略調(diào)整等，信息的重要性和訪問(wèn)需求也會(huì)動(dòng)態(tài)變化。然而，Bell-Lapadula 模型一旦設(shè)定好主體和客體的安全級(jí)別以及訪問(wèn)規(guī)則，更改相對(duì)復(fù)雜，難以快速適應(yīng)這種頻繁變化的業(yè)務(wù)需求。例如，當(dāng)企業(yè)臨時(shí)組建跨部門(mén)項(xiàng)目團(tuán)隊(duì)來(lái)攻克某項(xiàng)新技術(shù)難題時(shí)，團(tuán)隊(duì)成員來(lái)自不同安全級(jí)別崗位，如何靈活調(diào)整其對(duì)相關(guān)研發(fā)資料的訪問(wèn)權(quán)限，模型在應(yīng)對(duì)這類(lèi)情況時(shí)顯得不夠靈活。

性能開(kāi)銷(xiāo)：在大型煙草企業(yè)中，信息系統(tǒng)的數(shù)據(jù)量龐大、用戶眾多且業(yè)務(wù)流程復(fù)雜，實(shí)施 Bell-Lapadula 模型需要對(duì)每次的訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格的規(guī)則校驗(yàn)、安全級(jí)別比對(duì)等操作，這會(huì)在一定程度上增加系統(tǒng)的運(yùn)算負(fù)擔(dān)，消耗更多的系統(tǒng)資源，影響信息系統(tǒng)的整體運(yùn)行效率。尤其是在業(yè)務(wù)高峰期，大量的訪問(wèn)請(qǐng)求同時(shí)出現(xiàn)時(shí)，可能會(huì)出現(xiàn)系統(tǒng)響應(yīng)延遲等問(wèn)題，對(duì)企業(yè)正常的生產(chǎn)、銷(xiāo)售等業(yè)務(wù)環(huán)節(jié)的信息交互及時(shí)性產(chǎn)生一定干擾。

五、Biba 模型在煙草行業(yè)的應(yīng)用

（一）應(yīng)用場(chǎng)景列舉

質(zhì)量檢測(cè)數(shù)據(jù)管理

在煙草行業(yè)的質(zhì)量檢測(cè)環(huán)節(jié)，會(huì)產(chǎn)生海量關(guān)乎產(chǎn)品品質(zhì)的數(shù)據(jù)，例如煙草原料的各項(xiàng)理化指標(biāo)數(shù)據(jù)、成品煙的焦油含量、一氧化碳含量等檢測(cè)結(jié)果。這些數(shù)據(jù)的準(zhǔn)確性和完整性對(duì)于把控產(chǎn)品質(zhì)量、符合國(guó)家標(biāo)準(zhǔn)以及滿足消費(fèi)者健康需求至關(guān)重要。

Biba 模型在此場(chǎng)景下可發(fā)揮關(guān)鍵作用。以某煙草生產(chǎn)車(chē)間為例，質(zhì)量檢測(cè)設(shè)備作為產(chǎn)生數(shù)據(jù)的主體，其被設(shè)定為較高完整性級(jí)別，因?yàn)樗鼈冚敵龅臄?shù)據(jù)是直接反映產(chǎn)品實(shí)際質(zhì)量狀況的 “源頭” 信息。而負(fù)責(zé)收集、整理和分析這些數(shù)據(jù)的質(zhì)量檢測(cè)人員所使用的辦公電腦系統(tǒng)等可視為相對(duì)低完整性級(jí)別的主體。依據(jù) Biba 模型的簡(jiǎn)單完整性公理，低完整性級(jí)別的辦公電腦系統(tǒng)主體不能從高完整性級(jí)別的檢測(cè)設(shè)備主體處讀取不符合其自身完整性級(jí)別的數(shù)據(jù)，這就防止了數(shù)據(jù)在獲取源頭被惡意篡改或者錯(cuò)誤傳遞，保障了質(zhì)量檢測(cè)數(shù)據(jù)從產(chǎn)生之初就是可靠的。

同時(shí)，在后續(xù)的數(shù)據(jù)傳輸環(huán)節(jié)，比如要將車(chē)間檢測(cè)數(shù)據(jù)匯總上傳至企業(yè)的質(zhì)量管控中心數(shù)據(jù)庫(kù)（可視為高完整性的客體），那些低完整性的臨時(shí)存儲(chǔ)介質(zhì)或者傳輸鏈路等主體，無(wú)法對(duì)高完整性的管控中心數(shù)據(jù)庫(kù)進(jìn)行不符合規(guī)則的寫(xiě)入操作，避免了低質(zhì)量、可能被篡改的數(shù)據(jù)混入高完整性的核心質(zhì)量數(shù)據(jù)存儲(chǔ)庫(kù)中，從而確保整個(gè)質(zhì)量檢測(cè)數(shù)據(jù)鏈條上的數(shù)據(jù)完整性，為后續(xù)的產(chǎn)品質(zhì)量追溯、問(wèn)題排查以及改進(jìn)措施制定提供了準(zhǔn)確可靠的數(shù)據(jù)基礎(chǔ)。

供應(yīng)鏈信息維護(hù)

煙草行業(yè)的供應(yīng)鏈涵蓋了從煙草種植、原料采購(gòu)、生產(chǎn)加工到倉(cāng)儲(chǔ)物流以及銷(xiāo)售等多個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都會(huì)產(chǎn)生大量信息，像種植戶提供的煙草原料品質(zhì)信息、供應(yīng)商的供貨批次與數(shù)量詳情、物流運(yùn)輸過(guò)程中的貨物狀態(tài)與位置信息以及銷(xiāo)售端的產(chǎn)品出入庫(kù)數(shù)據(jù)等。這些上下游信息的完整性對(duì)于保障整個(gè)供應(yīng)鏈的順暢運(yùn)作、合理安排生產(chǎn)計(jì)劃以及及時(shí)響應(yīng)市場(chǎng)需求起著關(guān)鍵作用。

運(yùn)用 Biba 模型，可將煙草企業(yè)的供應(yīng)鏈管理系統(tǒng)中，處于核心管控地位的總數(shù)據(jù)庫(kù)設(shè)定為高完整性級(jí)別主體，因?yàn)樗枰獏R總并處理來(lái)自各個(gè)環(huán)節(jié)準(zhǔn)確無(wú)誤的信息，以做出合理的資源調(diào)配、生產(chǎn)調(diào)度等決策。而各個(gè)環(huán)節(jié)的信息錄入終端、基層業(yè)務(wù)系統(tǒng)等可視為低完整性級(jí)別主體。根據(jù) Biba 模型的規(guī)則，低完整性級(jí)別的信息錄入終端主體不能向高完整性級(jí)別的總數(shù)據(jù)庫(kù)主體寫(xiě)入不符合其完整性要求的數(shù)據(jù)，比如物流運(yùn)輸環(huán)節(jié)的工作人員若想篡改運(yùn)輸時(shí)長(zhǎng)、貨物損耗等實(shí)際數(shù)據(jù)并上傳至總數(shù)據(jù)庫(kù)是不被允許的，這樣就防止了低完整性、可能存在錯(cuò)誤或者惡意篡改的數(shù)據(jù)進(jìn)入核心數(shù)據(jù)庫(kù)，保證了整個(gè)供應(yīng)鏈信息的完整性，使得企業(yè)能依據(jù)準(zhǔn)確完整的信息實(shí)現(xiàn)上下游的高效協(xié)同，優(yōu)化庫(kù)存管理、降低運(yùn)營(yíng)成本等。

（二）實(shí)際案例剖析

以國(guó)內(nèi)某知名煙草企業(yè) B 為例，該企業(yè)在生產(chǎn)環(huán)節(jié)十分注重?cái)?shù)據(jù)完整性的保障，特別是在涉及產(chǎn)品質(zhì)量把控以及生產(chǎn)流程銜接的關(guān)鍵數(shù)據(jù)管理方面，引入了 Biba 模型并取得了良好成效。

在該企業(yè)的生產(chǎn)線上，分布著多個(gè)用于實(shí)時(shí)監(jiān)測(cè)生產(chǎn)參數(shù)的傳感器，比如溫度傳感器、濕度傳感器以及物料流量傳感器等，這些傳感器作為產(chǎn)生數(shù)據(jù)的主體，依據(jù)其數(shù)據(jù)對(duì)生產(chǎn)過(guò)程的重要性以及準(zhǔn)確性要求，被賦予了高完整性級(jí)別。因?yàn)檫@些傳感器所采集的數(shù)據(jù)將直接影響后續(xù)生產(chǎn)環(huán)節(jié)的調(diào)控以及產(chǎn)品質(zhì)量的判定。而與之相連的車(chē)間數(shù)據(jù)采集終端，其主要負(fù)責(zé)收集各個(gè)傳感器的數(shù)據(jù)并進(jìn)行初步的整合與簡(jiǎn)單處理，被設(shè)定為相對(duì)低完整性級(jí)別主體。

按照 Biba 模型的簡(jiǎn)單完整性公理，車(chē)間數(shù)據(jù)采集終端這個(gè)低完整性級(jí)別主體不能從高完整性級(jí)別的傳感器處讀取不符合規(guī)則的數(shù)據(jù)，確保了數(shù)據(jù)在源頭采集時(shí)的真實(shí)性和準(zhǔn)確性。例如，若某個(gè)溫度傳感器出現(xiàn)故障導(dǎo)致數(shù)據(jù)異常（完整性受損），那么數(shù)據(jù)采集終端會(huì)依據(jù)模型規(guī)則拒絕接收該異常數(shù)據(jù)，避免了錯(cuò)誤數(shù)據(jù)進(jìn)入后續(xù)流程。

進(jìn)一步，車(chē)間數(shù)據(jù)采集終端需要將整合好的數(shù)據(jù)傳輸至企業(yè)的生產(chǎn)管理中心數(shù)據(jù)庫(kù)，此數(shù)據(jù)庫(kù)作為整個(gè)生產(chǎn)環(huán)節(jié)中用于存儲(chǔ)核心數(shù)據(jù)、指導(dǎo)生產(chǎn)計(jì)劃調(diào)整以及質(zhì)量追溯的關(guān)鍵客體，被設(shè)定為高完整性級(jí)別。根據(jù) Biba 模型的 * 特性，數(shù)據(jù)采集終端這個(gè)低完整性級(jí)別主體不能向上修改（寫(xiě)入）生產(chǎn)管理中心數(shù)據(jù)庫(kù)中的高完整性數(shù)據(jù)，除非經(jīng)過(guò)嚴(yán)格的數(shù)據(jù)驗(yàn)證和符合模型規(guī)則的授權(quán)流程。這就有效防止了在數(shù)據(jù)傳輸過(guò)程中，因網(wǎng)絡(luò)故障、人為惡意篡改等因素導(dǎo)致的數(shù)據(jù)完整性破壞。

在實(shí)際運(yùn)行過(guò)程中，曾有一次車(chē)間網(wǎng)絡(luò)受到不明干擾，部分?jǐn)?shù)據(jù)采集終端出現(xiàn)短暫的數(shù)據(jù)波動(dòng)情況，但由于 Biba 模型的防護(hù)，那些不符合高完整性要求的數(shù)據(jù)都被攔截在生產(chǎn)管理中心數(shù)據(jù)庫(kù)之外，沒(méi)有對(duì)后續(xù)的生產(chǎn)計(jì)劃制定、質(zhì)量把控等關(guān)鍵業(yè)務(wù)流程造成影響，保障了企業(yè)生產(chǎn)環(huán)節(jié)數(shù)據(jù)的可靠準(zhǔn)確，維持了整個(gè)生產(chǎn)業(yè)務(wù)流程的順暢進(jìn)行，也凸顯了 Biba 模型在保障煙草企業(yè)生產(chǎn)數(shù)據(jù)完整性方面的實(shí)際價(jià)值。

（三）應(yīng)用優(yōu)勢(shì)與局限

應(yīng)用優(yōu)勢(shì)

確保數(shù)據(jù)質(zhì)量：煙草行業(yè)的各類(lèi)決策，無(wú)論是生產(chǎn)計(jì)劃調(diào)整、新品投放還是市場(chǎng)策略制定等，都高度依賴準(zhǔn)確完整的數(shù)據(jù)。Biba 模型聚焦于數(shù)據(jù)完整性保護(hù)，通過(guò)限制低完整性數(shù)據(jù)流入高完整性環(huán)節(jié)，從源頭上避免了數(shù)據(jù)被篡改、錯(cuò)誤混入等情況的發(fā)生。例如在質(zhì)量檢測(cè)環(huán)節(jié)防止檢測(cè)數(shù)據(jù)被隨意更改，在供應(yīng)鏈環(huán)節(jié)杜絕虛假的庫(kù)存、運(yùn)輸?shù)刃畔⑦M(jìn)入核心管理系統(tǒng)，從而為企業(yè)提供了高質(zhì)量的數(shù)據(jù)支撐，使得決策層能夠依據(jù)可靠的數(shù)據(jù)做出精準(zhǔn)的判斷和合理的規(guī)劃，提升企業(yè)整體運(yùn)營(yíng)效率和市場(chǎng)競(jìng)爭(zhēng)力。

維護(hù)業(yè)務(wù)連貫性：在煙草行業(yè)復(fù)雜的業(yè)務(wù)流程中，各個(gè)環(huán)節(jié)相互關(guān)聯(lián)、相互影響，數(shù)據(jù)在其中起到了穿針引線的關(guān)鍵作用。Biba 模型保障了數(shù)據(jù)在不同環(huán)節(jié)、不同主體之間流轉(zhuǎn)時(shí)的完整性，使得上下游業(yè)務(wù)能夠順暢銜接。比如在生產(chǎn)與銷(xiāo)售環(huán)節(jié)的銜接上，準(zhǔn)確的生產(chǎn)產(chǎn)量數(shù)據(jù)、產(chǎn)品質(zhì)量數(shù)據(jù)能夠完整無(wú)誤地傳遞至銷(xiāo)售端，銷(xiāo)售端依據(jù)這些數(shù)據(jù)合理安排庫(kù)存調(diào)配、制定銷(xiāo)售策略等，避免了因數(shù)據(jù)錯(cuò)誤導(dǎo)致的業(yè)務(wù)停滯、資源浪費(fèi)等問(wèn)題，維持了整個(gè)業(yè)務(wù)鏈條的連貫性，保障企業(yè)能夠穩(wěn)定有序地開(kāi)展各項(xiàng)經(jīng)營(yíng)活動(dòng)。

應(yīng)用局限

保密性兼顧不足：Biba 模型主要關(guān)注的是數(shù)據(jù)完整性，其規(guī)則設(shè)計(jì)圍繞防止低完整性數(shù)據(jù)對(duì)高完整性數(shù)據(jù)的破壞，對(duì)于數(shù)據(jù)的保密性考慮相對(duì)欠缺。而煙草行業(yè)中存在大量如新品研發(fā)計(jì)劃、核心工藝配方等機(jī)密信息，僅依靠 Biba 模型無(wú)法有效防止這些敏感信息被未授權(quán)的主體訪問(wèn)和泄露。例如，在一個(gè)應(yīng)用了 Biba 模型的生產(chǎn)管理系統(tǒng)中，雖然能保證生產(chǎn)數(shù)據(jù)的完整性，但可能無(wú)法阻止內(nèi)部低權(quán)限人員通過(guò)其他途徑獲取到新品研發(fā)相關(guān)的高機(jī)密信息，企業(yè)還需搭配其他保密性相關(guān)的安全措施來(lái)彌補(bǔ)這一不足。

復(fù)雜業(yè)務(wù)場(chǎng)景適配性欠佳：煙草行業(yè)隨著市場(chǎng)發(fā)展和業(yè)務(wù)拓展，會(huì)出現(xiàn)一些復(fù)雜的業(yè)務(wù)場(chǎng)景，如跨部門(mén)合作項(xiàng)目、多元化業(yè)務(wù)融合等情況。在這些場(chǎng)景下，數(shù)據(jù)的完整性需求變得更加復(fù)雜，涉及多個(gè)不同類(lèi)型主體和客體之間的數(shù)據(jù)交互，且不同主體對(duì)于數(shù)據(jù)完整性的界定和要求也不盡相同。Biba 模型相對(duì)固定的規(guī)則在應(yīng)對(duì)這類(lèi)復(fù)雜多變的業(yè)務(wù)場(chǎng)景時(shí)，可能難以做到靈活適配，需要花費(fèi)較大的人力、物力進(jìn)行定制化調(diào)整和優(yōu)化，才能滿足特定場(chǎng)景下的數(shù)據(jù)完整性保障需求，否則容易出現(xiàn)數(shù)據(jù)管理漏洞，影響企業(yè)業(yè)務(wù)開(kāi)展。

六、Bell-Lapadula 模型與 Biba 模型結(jié)合應(yīng)用探討

（一）結(jié)合應(yīng)用的必要性

煙草行業(yè)作為國(guó)民經(jīng)濟(jì)中實(shí)行專賣(mài)專營(yíng)體制的重要組成部分，在信息化建設(shè)不斷推進(jìn)的過(guò)程中，信息系統(tǒng)涵蓋了生產(chǎn)、銷(xiāo)售、管理等諸多關(guān)鍵環(huán)節(jié)，其中存儲(chǔ)著大量涉及行業(yè)運(yùn)營(yíng)、消費(fèi)者信息、商業(yè)機(jī)密等重要數(shù)據(jù)。這些數(shù)據(jù)的安全與否直接關(guān)系到煙草行業(yè)的穩(wěn)定發(fā)展以及市場(chǎng)競(jìng)爭(zhēng)力。

一方面，從保密性角度來(lái)看，煙草行業(yè)存在如新品研發(fā)計(jì)劃、核心工藝配方、銷(xiāo)售渠道布局等眾多高度機(jī)密的信息，這些信息一旦泄露給競(jìng)爭(zhēng)對(duì)手或不法分子，可能會(huì)使企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中陷入極為被動(dòng)的局面，甚至遭受巨大的經(jīng)濟(jì)損失。例如，新品研發(fā)計(jì)劃若提前被泄露，競(jìng)爭(zhēng)對(duì)手可能提前推出類(lèi)似產(chǎn)品搶占市場(chǎng)份額；核心工藝配方若被竊取，企業(yè)產(chǎn)品獨(dú)特的品質(zhì)優(yōu)勢(shì)將不復(fù)存在。所以保障數(shù)據(jù)的保密性，嚴(yán)格限制機(jī)密信息在授權(quán)范圍內(nèi)訪問(wèn)，是煙草行業(yè)信 息安全的重要需求之一。

另一方面，對(duì)于數(shù)據(jù)完整性也有著極高要求。在生產(chǎn)環(huán)節(jié)，產(chǎn)量數(shù)據(jù)、質(zhì)量檢測(cè)數(shù)據(jù)等必須準(zhǔn)確無(wú)誤，任何數(shù)據(jù)的篡改都可能影響生產(chǎn)計(jì)劃的合理安排以及產(chǎn)品是否符合相關(guān)標(biāo)準(zhǔn)的判定；銷(xiāo)售環(huán)節(jié)中客戶信息、市場(chǎng)需求分析數(shù)據(jù)的完整性關(guān)乎營(yíng)銷(xiāo)策略制定的科學(xué)性與準(zhǔn)確性，若數(shù)據(jù)出現(xiàn)錯(cuò)誤或被惡意破壞，企業(yè)將難以做出精準(zhǔn)的市場(chǎng)決策，影響運(yùn)營(yíng)效率和效益。

而 Bell-Lapadula 模型側(cè)重于保障數(shù)據(jù)的保密性，通過(guò)明確的規(guī)則限制主體對(duì)客體的訪問(wèn)，能夠有效防止低級(jí)別主體訪問(wèn)高級(jí)別機(jī)密信息，避免信息泄露風(fēng)險(xiǎn)。Biba 模型聚焦于維護(hù)數(shù)據(jù)完整性，可確保數(shù)據(jù)在系統(tǒng)內(nèi)流轉(zhuǎn)過(guò)程中遵循從高完整性到低完整性的合理方向，防止低完整性數(shù)據(jù)對(duì)高完整性數(shù)據(jù)造成破壞，避免數(shù)據(jù)被未授權(quán)修改或破壞。

因此，鑒于煙草行業(yè)既需要防止機(jī)密信息泄露，又要確保數(shù)據(jù)在各環(huán)節(jié)流轉(zhuǎn)時(shí)的完整性，單獨(dú)使用某一個(gè)模型無(wú)法全面滿足信息安全需求，將 Bell-Lapadula 模型和 Biba 模型結(jié)合應(yīng)用具有重要的必要性，能夠構(gòu)建起更為穩(wěn)固可靠的信息安全防護(hù)體系，助力煙草行業(yè)在安全的環(huán)境下持續(xù)健康發(fā)展。

（二）結(jié)合應(yīng)用方式與策略

在煙草行業(yè)的信息系統(tǒng)架構(gòu)中，實(shí)現(xiàn) Bell-Lapadula 模型與 Biba 模型的有效結(jié)合應(yīng)用，需要綜合考慮多方面因素，采取合理的設(shè)置與協(xié)同策略。

首先，對(duì)于主體和客體需設(shè)置多重標(biāo)簽。主體方面，不僅要依據(jù)員工在企業(yè)內(nèi)部的層級(jí)（如普通員工、基層管理人員、中層管理人員、高層管理人員等）以及崗位職能賦予相應(yīng)的保密級(jí)別，例如高層管理人員可能對(duì)應(yīng)高保密級(jí)別，因?yàn)樗麄兡軌蚪佑|到如企業(yè)長(zhǎng)遠(yuǎn)發(fā)展戰(zhàn)略等絕密信息；同時(shí)還要根據(jù)主體在數(shù)據(jù)產(chǎn)生、處理、傳遞等流程中對(duì)數(shù)據(jù)完整性影響的程度確定其完整性級(jí)別，像負(fù)責(zé)核心數(shù)據(jù)錄入且有嚴(yán)格審核機(jī)制的崗位主體可設(shè)定為高完整性級(jí)別。

客體同樣如此，針對(duì)各類(lèi)數(shù)據(jù)文件、數(shù)據(jù)庫(kù)等客體，按照其包含信息的機(jī)密程度劃分保密級(jí)別，比如完整的核心工藝配方文件屬于絕密級(jí)客體，一般性的企業(yè)內(nèi)部通知公告可歸為公開(kāi)級(jí)客體；并且依據(jù)數(shù)據(jù)的準(zhǔn)確性、重要性以及對(duì)整體業(yè)務(wù)影響的程度來(lái)確定完整性級(jí)別，像生產(chǎn)線上實(shí)時(shí)監(jiān)測(cè)設(shè)備采集的關(guān)鍵生產(chǎn)參數(shù)數(shù)據(jù)可設(shè)定為高完整性級(jí)別，僅供特定高完整性主體訪問(wèn)和處理，而一些臨時(shí)用于數(shù)據(jù)備份且經(jīng)過(guò)后續(xù)驗(yàn)證才能使用的文件則可設(shè)為低完整性級(jí)別。

其次，協(xié)同制定訪問(wèn)控制策略至關(guān)重要?；趦煞N模型的規(guī)則，在訪問(wèn)控制時(shí)要同時(shí)滿足保密性和完整性要求。例如，當(dāng)一個(gè)主體（如某中級(jí)研發(fā)人員）想要訪問(wèn)一個(gè)客體（如某新品研發(fā)階段的實(shí)驗(yàn)數(shù)據(jù)文件）時(shí)，從保密性角度，依據(jù) Bell-Lapadula 模型的簡(jiǎn)單安全特性，該主體的保密級(jí)別必須不小于客體的保密級(jí)別才能進(jìn)行讀操作，防止其獲取超出權(quán)限的機(jī)密信息；從完整性角度，按照 Biba 模型的簡(jiǎn)單完整性公理，主體的完整性級(jí)別也不能低于客體的完整性級(jí)別才能進(jìn)行讀取，以此保障讀取到的數(shù)據(jù)是符合其所在環(huán)節(jié)對(duì)數(shù)據(jù)質(zhì)量要求的，避免低質(zhì)量數(shù)據(jù)影響后續(xù)研發(fā)判斷。

在寫(xiě)操作方面，若主體（如基層銷(xiāo)售數(shù)據(jù)錄入人員）要向客體（如企業(yè)銷(xiāo)售數(shù)據(jù)庫(kù)）寫(xiě)入數(shù)據(jù)，根據(jù) Bell-Lapadula 模型的特性，客體的保密級(jí)別要支配主體的保密級(jí)別，確保機(jī)密信息只能向合適級(jí)別流動(dòng)；同時(shí)依據(jù) Biba 模型的特性，主體的完整性級(jí)別要小于等于客體的完整性級(jí)別，防止低完整性的數(shù)據(jù)破壞高完整性的數(shù)據(jù)庫(kù)內(nèi)容。

此外，還需要建立完善的安全審計(jì)與動(dòng)態(tài)調(diào)整機(jī)制。通過(guò)安全審計(jì)記錄主體對(duì)客體的所有訪問(wèn)操作，便于及時(shí)發(fā)現(xiàn)是否存在違反保密性或完整性規(guī)則的異常訪問(wèn)行為，并進(jìn)行追溯和分析原因。同時(shí)，由于煙草行業(yè)業(yè)務(wù)會(huì)隨市場(chǎng)變化等因素動(dòng)態(tài)變化，要定期對(duì)主體和客體的保密級(jí)別、完整性級(jí)別以及訪問(wèn)控制策略進(jìn)行評(píng)估和調(diào)整，以適應(yīng)新的業(yè)務(wù)需求和信息安全形勢(shì)，確保兩模型結(jié)合應(yīng)用的有效性和適應(yīng)性。

（三）綜合應(yīng)用案例展示

以某大型綜合性煙草企業(yè)為例，該企業(yè)業(yè)務(wù)涵蓋了煙草種植、生產(chǎn)加工、銷(xiāo)售以及倉(cāng)儲(chǔ)物流等全產(chǎn)業(yè)鏈環(huán)節(jié)，在信息安全建設(shè)過(guò)程中，綜合運(yùn)用了 Bell-Lapadula 模型和 Biba 模型，取得了顯著的應(yīng)用成效。

在主體和客體的標(biāo)記設(shè)置上，企業(yè)將主體分為多個(gè)層級(jí)與類(lèi)別。例如，在研發(fā)部門(mén)，核心研發(fā)專家作為主體被賦予了高保密級(jí)別和高完整性級(jí)別，因?yàn)樗麄冋莆罩缕费邪l(fā)的核心技術(shù)和關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)的保密性和完整性要求都極高；而參與輔助實(shí)驗(yàn)的初級(jí)技術(shù)人員則處于相對(duì)較低的保密級(jí)別和中等完整性級(jí)別，他們主要負(fù)責(zé)基礎(chǔ)數(shù)據(jù)收集等工作，接觸的信息機(jī)密性相對(duì)較低，但也需要保證所收集數(shù)據(jù)的準(zhǔn)確性。對(duì)于客體，承載新品研發(fā)核心配方的文件庫(kù)被設(shè)定為絕密級(jí)保密級(jí)別和高完整性級(jí)別，是企業(yè)的核心機(jī)密資產(chǎn)且不容許任何錯(cuò)誤或低質(zhì)量數(shù)據(jù)混入；而一般性的研發(fā)過(guò)程記錄文檔，保密級(jí)別設(shè)為機(jī)密級(jí)，完整性級(jí)別設(shè)為中等，其重要性和對(duì)數(shù)據(jù)質(zhì)量要求稍低一些。

在訪問(wèn)控制策略方面，嚴(yán)格按照結(jié)合后的規(guī)則執(zhí)行。比如，當(dāng)核心研發(fā)專家需要參考之前階段的實(shí)驗(yàn)記錄文檔（客體）時(shí)，從保密性上，其高保密級(jí)別滿足讀取機(jī)密級(jí)文檔的要求；從完整性上，其高完整性級(jí)別也符合對(duì)中等完整性級(jí)別文檔的讀取條件，從而可以正常進(jìn)行讀取操作，獲取所需數(shù)據(jù)用于后續(xù)研發(fā)參考。而當(dāng)基層銷(xiāo)售數(shù)據(jù)錄入人員要將新收集的市場(chǎng)銷(xiāo)售數(shù)據(jù)寫(xiě)入企業(yè)銷(xiāo)售數(shù)據(jù)庫(kù)（客體）時(shí)，從保密性看，數(shù)據(jù)庫(kù)的保密級(jí)別高于錄入人員的保密級(jí)別，符合 Bell-Lapadula 模型 “上寫(xiě)” 規(guī)則；從完整性角度，數(shù)據(jù)庫(kù)作為高完整性的客體，會(huì)對(duì)錄入數(shù)據(jù)進(jìn)行驗(yàn)證等操作，確保低完整性主體不會(huì)將錯(cuò)誤或不符合要求的數(shù)據(jù)寫(xiě)入，滿足 Biba 模型的相關(guān)規(guī)則，保障了數(shù)據(jù)在流入核心數(shù)據(jù)庫(kù)時(shí)的質(zhì)量和保密性。

通過(guò)這樣的綜合應(yīng)用，企業(yè)整體信息安全水平得到了極大提升。以往頻繁出現(xiàn)的因人為疏忽導(dǎo)致的機(jī)密信息可能泄露風(fēng)險(xiǎn)大大降低，如不同層級(jí)人員對(duì)敏感文件的訪問(wèn)都在嚴(yán)格管控之下，不會(huì)出現(xiàn)低級(jí)別員工誤操作訪問(wèn)到絕密級(jí)信息的情況；同時(shí)，數(shù)據(jù)在各業(yè)務(wù)環(huán)節(jié)流轉(zhuǎn)過(guò)程中的完整性也得到有效保障，像生產(chǎn)環(huán)節(jié)的質(zhì)量檢測(cè)數(shù)據(jù)、銷(xiāo)售環(huán)節(jié)的客戶訂單數(shù)據(jù)等都能準(zhǔn)確無(wú)誤地在相應(yīng)系統(tǒng)中傳遞和使用，避免了因數(shù)據(jù)被篡改或混入低質(zhì)量數(shù)據(jù)而導(dǎo)致的業(yè)務(wù)決策失誤。

從業(yè)務(wù)風(fēng)險(xiǎn)角度來(lái)看，企業(yè)因信息安全問(wèn)題引發(fā)的潛在損失明顯減少，產(chǎn)品研發(fā)能夠按計(jì)劃順利推進(jìn)，不用擔(dān)心核心技術(shù)被竊取；銷(xiāo)售策略制定也更為精準(zhǔn)，依靠準(zhǔn)確完整的市場(chǎng)數(shù)據(jù)把握市場(chǎng)動(dòng)態(tài)，提升了市場(chǎng)競(jìng)爭(zhēng)力，使得企業(yè)在復(fù)雜多變的市場(chǎng)環(huán)境中能夠穩(wěn)定、健康地持續(xù)發(fā)展，充分彰顯了 Bell-Lapadula 模型和 Biba 模型結(jié)合應(yīng)用在煙草行業(yè)信息安全保障中的重要價(jià)值。

七、煙草行業(yè)應(yīng)用兩模型的挑戰(zhàn)與應(yīng)對(duì)措施

（一）面臨的挑戰(zhàn)

1. 人員理解與操作方面

煙草行業(yè)的工作人員構(gòu)成較為復(fù)雜，涵蓋了從生產(chǎn)一線員工到高層管理人員等多個(gè)層級(jí)，且不同崗位人員專業(yè)背景差異較大。對(duì)于 Bell-Lapadula 模型和 Biba 模型這種專業(yè)性較強(qiáng)的信息安全模型，很多人員在理解上存在困難。例如，一線生產(chǎn)員工可能只熟悉具體的生產(chǎn)操作流程，對(duì)于模型中涉及的主體、客體、安全級(jí)別、完整性級(jí)別等概念很難快速掌握，不清楚自己在信息訪問(wèn)和操作過(guò)程中應(yīng)遵循怎樣的規(guī)則。

而管理人員雖具備一定管理知識(shí)，但可能缺乏信息安全專業(yè)素養(yǎng)，在依據(jù)模型進(jìn)行權(quán)限分配、訪問(wèn)審批等操作時(shí)，容易出現(xiàn)誤判或執(zhí)行不到位的情況。同時(shí)，在實(shí)際工作中，人員的流動(dòng)性也會(huì)帶來(lái)問(wèn)題，新入職員工需要花費(fèi)大量時(shí)間學(xué)習(xí)和適應(yīng)基于這兩個(gè)模型構(gòu)建的信息安全體系，期間可能因操作不熟練而出現(xiàn)違反安全規(guī)則的行為，影響信息安全。

2. 系統(tǒng)兼容性方面

煙草行業(yè)現(xiàn)有的信息系統(tǒng)往往是經(jīng)過(guò)多年建設(shè)逐步完善起來(lái)的，可能集成了不同時(shí)期、不同供應(yīng)商開(kāi)發(fā)的各類(lèi)子系統(tǒng)，存在系統(tǒng)架構(gòu)多樣化、技術(shù)標(biāo)準(zhǔn)不統(tǒng)一等情況。而 Bell-Lapadula 模型和 Biba 模型在應(yīng)用時(shí)，需要與這些既有系統(tǒng)進(jìn)行深度融合，可能面臨兼容性挑戰(zhàn)。

例如，部分老舊的生產(chǎn)管理系統(tǒng)可能采用的是過(guò)時(shí)的操作系統(tǒng)或數(shù)據(jù)庫(kù)，無(wú)法直接支持模型所需的安全機(jī)制配置；一些銷(xiāo)售端的業(yè)務(wù)系統(tǒng)，其數(shù)據(jù)接口格式與模型要求的數(shù)據(jù)交互格式不一致，導(dǎo)致數(shù)據(jù)在傳遞過(guò)程中出現(xiàn)錯(cuò)誤或者無(wú)法順利傳輸，影響模型對(duì)信息安全的保障效果。另外，不同子系統(tǒng)間的通信協(xié)議差異也可能使模型的訪問(wèn)控制規(guī)則難以在整個(gè)信息系統(tǒng)中連貫、準(zhǔn)確地執(zhí)行，出現(xiàn)安全管控的漏洞。

3. 安全規(guī)則動(dòng)態(tài)調(diào)整方面

煙草行業(yè)的業(yè)務(wù)發(fā)展受到市場(chǎng)需求變化、政策法規(guī)調(diào)整以及技術(shù)創(chuàng)新等多因素影響，信息的重要性、敏感性以及訪問(wèn)需求處于動(dòng)態(tài)變化之中。比如，隨著消費(fèi)者對(duì)健康關(guān)注度的提升，煙草企業(yè)可能加大對(duì)低焦油、低危害煙草產(chǎn)品的研發(fā)力度，相應(yīng)的新品研發(fā)過(guò)程中的信息保密級(jí)別和數(shù)據(jù)完整性要求會(huì)發(fā)生改變；又或者在拓展新市場(chǎng)時(shí)，銷(xiāo)售渠道數(shù)據(jù)的安全規(guī)則需要相應(yīng)調(diào)整。

然而，Bell-Lapadula 模型和 Biba 模型一旦部署實(shí)施，其安全規(guī)則的調(diào)整相對(duì)復(fù)雜。對(duì)主體和客體的安全級(jí)別、完整性級(jí)別重新定義以及訪問(wèn)控制策略的修改，涉及到多個(gè)環(huán)節(jié)的協(xié)調(diào)和大量系統(tǒng)配置的更新，很難做到及時(shí)、精準(zhǔn)地適應(yīng)業(yè)務(wù)的動(dòng)態(tài)變化，容易出現(xiàn)規(guī)則與實(shí)際需求脫節(jié)的情況，使得信息安全保障出現(xiàn)滯后性問(wèn)題。

（二）應(yīng)對(duì)措施建議

1. 加強(qiáng)員工培訓(xùn)

針對(duì)不同崗位人員制定分層級(jí)、分專業(yè)的培訓(xùn)計(jì)劃。對(duì)于一線員工，采用通俗易懂、結(jié)合實(shí)際工作場(chǎng)景的方式講解模型的基本概念和與他們?nèi)粘２僮飨嚓P(guān)的安全規(guī)則，例如通過(guò)簡(jiǎn)單案例展示在生產(chǎn)數(shù)據(jù)錄入、查看時(shí)如何遵循模型要求，避免違規(guī)訪問(wèn)行為。

對(duì)管理人員，則側(cè)重于培訓(xùn)其依據(jù)模型進(jìn)行權(quán)限管理、訪問(wèn)審批等實(shí)際操作技能以及如何從整體上把控信息安全風(fēng)險(xiǎn)，可邀請(qǐng)信息安全專家進(jìn)行專項(xiàng)講座，并開(kāi)展模擬演練，提升其應(yīng)對(duì)復(fù)雜信息安全問(wèn)題的能力。同時(shí)，建立完善的員工培訓(xùn)檔案，記錄培訓(xùn)情況和考核結(jié)果，對(duì)于新入職員工要求其在規(guī)定時(shí)間內(nèi)通過(guò)相關(guān)培訓(xùn)考核才能正式上崗，確保全體員工都能熟練掌握并遵循基于兩模型的信息安全規(guī)范。

2. 優(yōu)化信息系統(tǒng)

對(duì)煙草行業(yè)現(xiàn)有的信息系統(tǒng)進(jìn)行全面梳理和整合，統(tǒng)一技術(shù)標(biāo)準(zhǔn)和數(shù)據(jù)格式。對(duì)于老舊且難以兼容模型安全機(jī)制的子系統(tǒng)，有計(jì)劃地進(jìn)行升級(jí)改造或者替換，逐步建立起架構(gòu)統(tǒng)一、兼容性良好的信息系統(tǒng)平臺(tái)。

在系統(tǒng)集成過(guò)程中，加強(qiáng)與模型供應(yīng)商或?qū)I(yè)信息安全技術(shù)團(tuán)隊(duì)的合作，依據(jù)模型要求定制開(kāi)發(fā)數(shù)據(jù)接口和通信協(xié)議轉(zhuǎn)換模塊，確保數(shù)據(jù)在不同子系統(tǒng)間能夠準(zhǔn)確、順暢地交互，使模型的訪問(wèn)控制規(guī)則能夠無(wú)縫覆蓋整個(gè)信息系統(tǒng)。同時(shí)，建立系統(tǒng)兼容性測(cè)試機(jī)制，在每次系統(tǒng)更新或新功能上線前，進(jìn)行嚴(yán)格的兼容性測(cè)試，及時(shí)發(fā)現(xiàn)并解決可能出現(xiàn)的兼容性問(wèn)題，保障信息系統(tǒng)與 Bell-Lapadula 模型和 Biba 模型的良好適配。

3. 建立靈活的安全管理機(jī)制

設(shè)立專門(mén)的信息安全管理團(tuán)隊(duì)，負(fù)責(zé)實(shí)時(shí)監(jiān)測(cè)煙草行業(yè)業(yè)務(wù)發(fā)展動(dòng)態(tài)以及內(nèi)外部環(huán)境變化對(duì)信息安全的影響，定期評(píng)估現(xiàn)有安全規(guī)則與實(shí)際業(yè)務(wù)需求的契合度。根據(jù)評(píng)估結(jié)果，及時(shí)發(fā)起對(duì) Bell-Lapadula 模型和 Biba 模型中主體和客體的安全級(jí)別、完整性級(jí)別以及訪問(wèn)控制策略的調(diào)整流程。

在調(diào)整過(guò)程中，制定詳細(xì)的變更計(jì)劃，明確各環(huán)節(jié)的責(zé)任人、時(shí)間節(jié)點(diǎn)以及回滾機(jī)制，確保調(diào)整過(guò)程有序、可控，盡量減少對(duì)正常業(yè)務(wù)的影響。同時(shí)，利用自動(dòng)化的安全配置管理工具，實(shí)現(xiàn)部分規(guī)則調(diào)整的自動(dòng)化操作，提高調(diào)整效率和準(zhǔn)確性。此外，加強(qiáng)與行業(yè)內(nèi)其他企業(yè)的信息安全經(jīng)驗(yàn)交流，借鑒先進(jìn)的動(dòng)態(tài)安全管理實(shí)踐案例，不斷完善自身的靈活安全管理機(jī)制，使信息安全保障能夠緊密跟隨煙草行業(yè)業(yè)務(wù)變化的步伐。

八、結(jié)論與展望

（一）研究結(jié)論

通過(guò)對(duì) Bell-Lapadula 模型和 Biba 模型在煙草行業(yè)應(yīng)用的深入探討與分析，可以得出以下核心研究結(jié)論：

整體應(yīng)用情況方面，Bell-Lapadula 模型與 Biba 模型在煙草行業(yè)多個(gè)關(guān)鍵環(huán)節(jié)均有著適配的應(yīng)用場(chǎng)景。Bell-Lapadula 模型側(cè)重于保密性保障，在煙草行業(yè)的研發(fā)部門(mén)、管理決策層等場(chǎng)景中，通過(guò)劃分主體與客體的安全級(jí)別，嚴(yán)格限制了機(jī)密信息的訪問(wèn)范圍，防止低級(jí)別主體獲取高級(jí)別機(jī)密信息，有效避免了如新品研發(fā)計(jì)劃、核心工藝配方等關(guān)鍵商業(yè)機(jī)密的泄露風(fēng)險(xiǎn)。例如在大型煙草企業(yè)的實(shí)際應(yīng)用案例中，依據(jù)該模型設(shè)置不同層級(jí)主體對(duì)相應(yīng)密級(jí)客體的訪問(wèn)權(quán)限，規(guī)范了信息流轉(zhuǎn)秩序。

Biba 模型聚焦于數(shù)據(jù)完整性維護(hù)，在質(zhì)量檢測(cè)數(shù)據(jù)管理、供應(yīng)鏈信息維護(hù)等環(huán)節(jié)發(fā)揮重要作用。它通過(guò)限定數(shù)據(jù)在不同完整性級(jí)別主體與客體間的合理流轉(zhuǎn)方向，防止低完整性數(shù)據(jù)混入高完整性數(shù)據(jù)中，確保了煙草生產(chǎn)環(huán)節(jié)質(zhì)量檢測(cè)數(shù)據(jù)的準(zhǔn)確性以及供應(yīng)鏈各環(huán)節(jié)信息的可靠，為企業(yè)依據(jù)準(zhǔn)確數(shù)據(jù)進(jìn)行生產(chǎn)安排、資源調(diào)配等決策提供了有力支撐，像在相關(guān)企業(yè)案例中，有效攔截了異常數(shù)據(jù)進(jìn)入核心數(shù)據(jù)庫(kù)，保障了業(yè)務(wù)流程的順暢進(jìn)行。

在應(yīng)用效果上，兩模型單獨(dú)應(yīng)用時(shí)均能在各自側(cè)重的信息安全維度為煙草行業(yè)帶來(lái)積極影響。Bell-Lapadula 模型契合煙草企業(yè)層級(jí)管理特點(diǎn)，保障了信息在合適范圍內(nèi)傳播，提升內(nèi)部管理效率；Biba 模型保障了數(shù)據(jù)質(zhì)量，維護(hù)了業(yè)務(wù)連貫性，助力企業(yè)各環(huán)節(jié)高效協(xié)同開(kāi)展經(jīng)營(yíng)活動(dòng)。

然而，兩模型在應(yīng)用中也存在一些問(wèn)題。Bell-Lapadula 模型靈活性不足，面對(duì)煙草行業(yè)動(dòng)態(tài)變化的業(yè)務(wù)需求，如臨時(shí)跨部門(mén)項(xiàng)目開(kāi)展時(shí)，難以快速調(diào)整主體訪問(wèn)權(quán)限；且在大型企業(yè)復(fù)雜的信息系統(tǒng)環(huán)境下，其規(guī)則校驗(yàn)等操作會(huì)增加性能開(kāi)銷(xiāo)，影響系統(tǒng)響應(yīng)效率。Biba 模型則對(duì)數(shù)據(jù)保密性兼顧不夠，無(wú)法有效防止機(jī)密信息被未授權(quán)訪問(wèn)，在復(fù)雜業(yè)務(wù)場(chǎng)景下適配性欠佳，應(yīng)對(duì)跨部門(mén)合作等多變業(yè)務(wù)場(chǎng)景時(shí)，需耗費(fèi)較多資源進(jìn)行定制化調(diào)整以滿足數(shù)據(jù)完整性保障需求。

綜合來(lái)看，將 Bell-Lapadula 模型與 Biba 模型結(jié)合應(yīng)用具有重要價(jià)值與必要性，通過(guò)合理設(shè)置主體和客體的多重標(biāo)簽、協(xié)同制定訪問(wèn)控制策略以及建立安全審計(jì)與動(dòng)態(tài)調(diào)整機(jī)制等方式，能夠構(gòu)建更為穩(wěn)固可靠的信息安全防護(hù)體系，全面滿足煙草行業(yè)對(duì)保密性與完整性的雙重要求，提升整體信息安全水平，降低業(yè)務(wù)風(fēng)險(xiǎn)，促進(jìn)煙草行業(yè)在安全環(huán)境下持續(xù)健康發(fā)展。

（二）未來(lái)展望

展望未來(lái)，煙草行業(yè)在信息安全領(lǐng)域進(jìn)一步優(yōu)化應(yīng)用 Bell-Lapadula 模型和 Biba 模型有著諸多值得探索與實(shí)踐的方向。

在優(yōu)化信息安全體系方面，首先應(yīng)持續(xù)加強(qiáng)員工培訓(xùn)力度，鑒于人員理解與操作存在的挑戰(zhàn)，需不斷深化分層級(jí)、分專業(yè)的培訓(xùn)模式，結(jié)合新興的培訓(xùn)技術(shù)手段，如線上虛擬仿真培訓(xùn)、即時(shí)互動(dòng)式案例教學(xué)等，讓不同崗位人員更深入理解模型內(nèi)涵及操作規(guī)范，提高全員信息安全素養(yǎng)與合規(guī)操作能力，降低因人為因素導(dǎo)致的信息安全風(fēng)險(xiǎn)。

同時(shí)，要進(jìn)一步優(yōu)化信息系統(tǒng)架構(gòu)，隨著技術(shù)發(fā)展持續(xù)整合現(xiàn)有系統(tǒng)，引入更先進(jìn)的兼容性技術(shù)框架，例如采用微服務(wù)架構(gòu)理念對(duì)系統(tǒng)進(jìn)行模塊化改造，增強(qiáng)與兩模型的適配性，提升系統(tǒng)整體兼容性和數(shù)據(jù)交互的高效性、準(zhǔn)確性，確保模型的安全機(jī)制能在復(fù)雜多樣的信息系統(tǒng)環(huán)境中穩(wěn)定、順暢運(yùn)行。

在拓展兩模型應(yīng)用深度廣度上，煙草行業(yè)應(yīng)結(jié)合大數(shù)據(jù)、人工智能等新興技術(shù)，深化模型應(yīng)用場(chǎng)景。例如利用大數(shù)據(jù)分析挖掘技術(shù)，精準(zhǔn)評(píng)估數(shù)據(jù)在不同業(yè)務(wù)場(chǎng)景下的保密性和完整性需求變化，進(jìn)而更合理地動(dòng)態(tài)調(diào)整模型中主體和客體的相關(guān)級(jí)別及訪問(wèn)控制策略；借助人工智能算法實(shí)現(xiàn)部分訪問(wèn)控制決策的自動(dòng)化智能化判斷，提高信息安全管理效率。此外，探索在煙草行業(yè)新興業(yè)務(wù)領(lǐng)域，如電子煙研發(fā)生產(chǎn)、煙草文化數(shù)字化傳播等環(huán)節(jié)應(yīng)用兩模型，拓展其保障范圍，以應(yīng)對(duì)新業(yè)務(wù)帶來(lái)的信息安全挑戰(zhàn)。

面對(duì)不斷變化的安全威脅，需建立更為敏銳、靈活的安全威脅監(jiān)測(cè)與響應(yīng)機(jī)制。實(shí)時(shí)跟蹤網(wǎng)絡(luò)安全領(lǐng)域新出現(xiàn)的攻擊手段、風(fēng)險(xiǎn)趨勢(shì)，利用威脅情報(bào)平臺(tái)等工具及時(shí)獲取外部威脅信息，提前做好防范準(zhǔn)備。同時(shí)，基于行業(yè)內(nèi)信息共享與協(xié)同合作，共同研究應(yīng)對(duì)新型安全威脅的策略與措施，及時(shí)更新完善兩模型結(jié)合應(yīng)用的安全規(guī)則，