信息安全安全架構(gòu)與設(shè)計(jì)

1、安全架構(gòu)和設(shè)計(jì)Security Architecture and Design,,關(guān)鍵知識(shí)領(lǐng)域,A. 理解安全模型的基本概念（如保密性、完整性與多層次模型）B. 理解信息系統(tǒng)安全評(píng)估模型的組成B.1 產(chǎn)品評(píng)估模型（如通用準(zhǔn)則）B.2 工業(yè)與國(guó)際安全實(shí)施準(zhǔn)則（如PIC-DSS、ISO）C. 理解信息系統(tǒng)的安全功能（如內(nèi)存保護(hù)、虛擬技術(shù)、可信平臺(tái)模塊）D. 理解安全架構(gòu)的漏洞D.1 系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）D.

2、2 技術(shù)與流程的整合（如單點(diǎn)故障、面向服務(wù)的架構(gòu)）E. 理解軟件與系統(tǒng)的漏洞與威脅E.1 基于Web（如XML、SAML、OWASP）E.2 基于客戶端（如小程序）E.3 基于服務(wù)器（如數(shù)據(jù)流量控制）E.4 數(shù)據(jù)庫(kù)安全（如推斷、聚合、數(shù)據(jù)挖掘、數(shù)據(jù)倉(cāng)庫(kù)）E.5 分布式系統(tǒng)（如云計(jì)算、網(wǎng)格計(jì)算、對(duì)等網(wǎng)絡(luò)）F. 理解對(duì)抗原理（如深度防御）,目錄,計(jì)算機(jī)安全系統(tǒng)架構(gòu)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)操作系統(tǒng)架構(gòu)系統(tǒng)安全體系結(jié)構(gòu)安全模型操

3、作安全模式系統(tǒng)評(píng)價(jià)方法橘皮書(shū)和彩虹系列信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)通用標(biāo)準(zhǔn)認(rèn)證與認(rèn)可開(kāi)放與封閉系統(tǒng)一些威脅的評(píng)估,計(jì)算機(jī)安全（Computer Security ）,可用性：防止丟失或訪問(wèn)，數(shù)據(jù)和資源流失Availability: Prevention of loss of, or loss of access to, data and resources完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改Integrity: Preve

4、ntion of unauthorized modification of data and resources保密性：防止未授權(quán)披露的數(shù)據(jù)和資源Confidentiality: Prevention of unauthorized disclosure of data and resources,系統(tǒng)架構(gòu)（System Architecture ）,架構(gòu)（Architecture）：體現(xiàn)在其組成部分，它們彼此之間以及與環(huán)境的關(guān)系，

5、和指導(dǎo)原則其設(shè)計(jì)和演進(jìn)的系統(tǒng)的基本組織。架構(gòu)描述（Architectural description ，AD）：以正式的方式表述一個(gè)架構(gòu)的文檔集合。利益相關(guān)者（Stakeholder）：對(duì)于系統(tǒng)有利益關(guān)系或關(guān)注系統(tǒng)的個(gè)人、團(tuán)隊(duì)、組織（或集體）視圖（View）：從相關(guān)的一組關(guān)注點(diǎn)透視出的整個(gè)系統(tǒng)的表述視角（Viewpoint）：關(guān)于建設(shè)和使用視圖的慣例性說(shuō)明，也是通過(guò)明確視圖建立目的、讀者，確立視圖與分析技巧后開(kāi)發(fā)單個(gè)視圖的模板。

6、,正式的架構(gòu)術(shù)語(yǔ)和關(guān)系,計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)（Computer Architecture ）,計(jì)算機(jī)體系結(jié)構(gòu)包括所有用于它的計(jì)算機(jī)系統(tǒng)的所必需的部件的功能，包括操作系統(tǒng)，存儲(chǔ)芯片，邏輯電路，存儲(chǔ)設(shè)備，輸入和輸出設(shè)備，安全組件，總線和網(wǎng)絡(luò)接口。中央處理器（The Central Processing Unit）多重處理（Multiprocessing）操作系統(tǒng)組件（Operating System Components）,中央處理器（Th

7、e Central Processing Unit，CPU）,計(jì)算機(jī)的大腦。對(duì)CPU最常見(jiàn)的描述可能是：它從存儲(chǔ)器中提取指令并加以執(zhí)行。,中央處理器（The Central Processing Unit，CPU）,中央處理單元是計(jì)算機(jī)硬件的核心，主要任務(wù)是執(zhí)行各種命令，完成各種運(yùn)算和控制功能，是計(jì)算機(jī)的心臟，決定著系統(tǒng)的類型、性能和速度，CPU中包含：(1)算術(shù)邏輯運(yùn)算單元ALU (Arithmetic Logic Unit) ：主

8、要負(fù)責(zé)數(shù)據(jù)的計(jì)算或處理。(2)控制單元(Control unit)：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指令進(jìn)出CPU；并控制ALU的動(dòng)作。(3)寄存器/緩存器(Registers)：負(fù)責(zé)儲(chǔ)存數(shù)據(jù)，以利CPU快速地存取。累加器(Accumulator)程序記數(shù)器(Program Counter)內(nèi)存地址寄存器(Memory Address Register) 內(nèi)存數(shù)據(jù)寄存器(Memory Buffer Register)指令寄存器(I

9、nstruction Register) (4)連結(jié)路徑(interconnection path)：負(fù)責(zé)連接CPU內(nèi)部的組件，以利數(shù)據(jù)或控制訊號(hào)在不同組件間流傳。,CPU運(yùn)行狀態(tài),運(yùn)行狀態(tài)：Run/operating state執(zhí)行指令解題狀態(tài)：Application/Problem state執(zhí)行應(yīng)用程序僅執(zhí)行非特權(quán)(nonprivileged instructions)指令管理程序狀態(tài)：Supervisor state

10、 特權(quán)模式下執(zhí)行程序可以訪問(wèn)整個(gè)系統(tǒng)，同時(shí)執(zhí)行特權(quán)( Privileged instructions )和非特權(quán)指令等待狀態(tài)：Wait state 等待特定事件完成,多重處理（Multiprocessing）,對(duì)稱模式多重處理（Symmetric mode multiprocessing ）計(jì)算機(jī)有兩個(gè)或者多個(gè)CPU且每個(gè)CPU都使用加載均衡方式非對(duì)稱模式多重處理（Asymmetric mode multiprocessin

11、g ）計(jì)算機(jī)有兩個(gè)或者多個(gè)CPU，且有一個(gè)CPU僅專門(mén)處理一個(gè)特定程序，而其他CPU執(zhí)行通用的處理程序,關(guān)鍵概念,中央處理單元CPU，算術(shù)邏輯單元ALU，寄存器，控制單元通用寄存器（General registers ）：CPU在執(zhí)行指令過(guò)程中使用的臨時(shí)存儲(chǔ)位置。特殊寄存器（Special registers ）：保存關(guān)鍵處理參數(shù)的臨時(shí)存儲(chǔ)位置。保存諸如程序計(jì)數(shù)器，堆棧指針，程序狀態(tài)字（PSW）。程序計(jì)數(shù)器（Program co

12、unter ）：為CPU所要執(zhí)行的指令保存存儲(chǔ)器地址棧（Stack ）：進(jìn)程用來(lái)彼此傳輸指令和數(shù)據(jù)的存儲(chǔ)器分段程序狀態(tài)字（Program status word ）：向CPU表明需要用什么狀態(tài)（內(nèi)核模式還是用戶模式）運(yùn)行的條件變量,關(guān)鍵概念,用戶模式（問(wèn)題狀態(tài)）（User mode (problem state) ）：CPU在執(zhí)行不太可信的進(jìn)程指令時(shí)所用的保護(hù)模式內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（Kernel mode (super

13、visory state, privilege mode)）：CPU在執(zhí)行較為可信的進(jìn)程指令時(shí)所用的工作狀態(tài)，進(jìn)程在內(nèi)核模式下比在用戶模式下可以訪問(wèn)更多的計(jì)算機(jī)資源地址總線（Address bus）：處理組件和存儲(chǔ)器段之間的物理連接，用來(lái)傳輸處理過(guò)程中所擁到的物理存儲(chǔ)器地址數(shù)據(jù)總線（Data bus）：處理組件和存儲(chǔ)器段之間的物理連接，用來(lái)傳輸處理過(guò)程中所用到的數(shù)據(jù)。對(duì)稱模式多重處理，不對(duì)稱模式多重處理,操作系統(tǒng)組件（Operat

14、ing System Components）,進(jìn)程管理（Process Management）線程管理（Thread Management）進(jìn)程調(diào)度（Process Scheduling）進(jìn)程活動(dòng)（Process Activity）,進(jìn)程管理（Process Management）,進(jìn)程管理：操作系統(tǒng)的職能之一，主要是對(duì)處理機(jī)進(jìn)行管理。為了提高CPU的利用率而采用多道程序技術(shù)。通過(guò)進(jìn)程管理來(lái)協(xié)調(diào)多道程序之間的關(guān)系，使CPU得到充分

15、的利用。進(jìn)程：Process一個(gè)獨(dú)立運(yùn)行的程序，有自己的地址空間, 是程序運(yùn)行的動(dòng)態(tài)過(guò)程只能有限地與其它進(jìn)程通信，由OS負(fù)責(zé)處理進(jìn)程間的通信進(jìn)程是程序運(yùn)行的一個(gè)實(shí)例，是運(yùn)行著的程序,關(guān)鍵概念,多程序設(shè)計(jì)(MultiProgramming)一個(gè)處理器允許多處程序的將交叉運(yùn)行, 即兩個(gè)或兩個(gè)以上程序在計(jì)算機(jī)系統(tǒng)中同處于開(kāi)始個(gè)結(jié)束之間的狀態(tài)：多道、宏觀上并行、微觀上串行 解決主機(jī)和外轉(zhuǎn)設(shè)備速度不匹配問(wèn)題，為提高CPU的利用率。通過(guò)

16、進(jìn)程管理，協(xié)調(diào)多道程序之間的CPU分配調(diào)度、沖突處理及資源回收等關(guān)系。對(duì)象重用問(wèn)題, TOC/TOU多任務(wù)（MultiTasking）單個(gè)處理器對(duì)兩個(gè)或兩個(gè)以上的任務(wù)并行執(zhí)行、交叉執(zhí)行實(shí)時(shí)多任務(wù)(Realtime)、搶占式多任務(wù)(Preemptive)、協(xié)作式多任務(wù)(Cooperative)。協(xié)調(diào)式多任務(wù)各個(gè)進(jìn)程控制釋放CPU時(shí)間，搶占式多任務(wù)主要由操作系統(tǒng)控制時(shí)間,關(guān)鍵概念,進(jìn)程表PCB：包含CPU所需的進(jìn)程狀態(tài)數(shù)據(jù)中斷（I

17、nterrupts）：分配給計(jì)算機(jī)部件（硬件和軟件）的值，以對(duì)計(jì)算機(jī)資源進(jìn)行有效的時(shí)間分片?？善帘沃袛啵∕askable interrupt ）：分配給非關(guān)鍵操作系統(tǒng)活動(dòng)中斷值。不可屏蔽中斷（Nonmaskable interrupt）：分配給關(guān)鍵操作系統(tǒng)活動(dòng)中斷值，如復(fù)位鍵,線程管理（Thread Management）,線程（Thread）：是為了節(jié)省資源而可以在同一個(gè)進(jìn)程中共享資源的一個(gè)執(zhí)行單位。多線程（Multithre

18、ading）：通過(guò)生成不同指令集（線程）同時(shí)執(zhí)行多個(gè)活動(dòng)的應(yīng)用程序,進(jìn)程調(diào)度（Process Scheduling）,無(wú)論是在批處理系統(tǒng)還是分時(shí)系統(tǒng)中，用戶進(jìn)程數(shù)一般都多于處理機(jī)數(shù)、這將導(dǎo)致它們互相爭(zhēng)奪處理機(jī)。另外，系統(tǒng)進(jìn)程也同樣需要使用處理機(jī)。這就要求進(jìn)程調(diào)度程序按一定的策略，動(dòng)態(tài)地把處理機(jī)分配給處于就緒隊(duì)列中的某一個(gè)進(jìn)程，以使之執(zhí)行。軟件死鎖（Software deadlock ）：兩個(gè)進(jìn)程都在等待系統(tǒng)資源被釋放額導(dǎo)致不能完成他們

19、的活動(dòng)的情況。,進(jìn)程活動(dòng),早期操作系統(tǒng)中，一個(gè)進(jìn)程掛起，其它所有程序也會(huì)掛起進(jìn)程隔離：對(duì)象封裝，共享資源時(shí)分復(fù)用，命名區(qū)分，虛擬映射,關(guān)鍵概念,進(jìn)程多程序設(shè)計(jì)：操作系統(tǒng)交叉執(zhí)行不止一個(gè)進(jìn)程多任務(wù)處理：操作系統(tǒng)同時(shí)執(zhí)行不止一個(gè)任務(wù)協(xié)調(diào)式多任務(wù)搶占式多任務(wù)進(jìn)程狀態(tài)：就緒，運(yùn)行，阻塞中斷，可屏蔽中斷線程，多線程軟件死鎖,存儲(chǔ)器管理,管理目標(biāo)為編程人員提供一個(gè)抽象層通過(guò)有限的可用存儲(chǔ)器提供最高性能保護(hù)操作系統(tǒng)與加載入存儲(chǔ)

20、器的應(yīng)用程序存儲(chǔ)器管理器五項(xiàng)基本功能重新部署根據(jù)需要，在RAM和硬盤(pán)之間交換內(nèi)容保護(hù)限制進(jìn)程只與分配給它們的存儲(chǔ)器段交互，為存儲(chǔ)器段提供訪問(wèn)控制共享當(dāng)進(jìn)程需要使用相同的共享存儲(chǔ)器段時(shí)，使用復(fù)雜的控制來(lái)確保完整性和機(jī)密性邏輯組織允許共享特定的軟件模塊物理組織為應(yīng)用程序和操作系統(tǒng)進(jìn)程劃分物理存儲(chǔ)器空間,存儲(chǔ)器類型,隨機(jī)存取存儲(chǔ)器（Random access memory，RAM）可隨時(shí)寫(xiě)入或讀出數(shù)據(jù)用于操作系統(tǒng)和應(yīng)

21、用所執(zhí)行的讀寫(xiě)活動(dòng)，即通常所說(shuō)的內(nèi)存寄存器，RegisterCache動(dòng)態(tài)隨機(jī)儲(chǔ)存內(nèi)存(Dynamic RAM, DRAM)靜態(tài)隨機(jī)儲(chǔ)存內(nèi)存(Static RAM，SRAM)：面積更大，造價(jià)更高，速度更快由CPU直接存取關(guān)閉電源存放在DRAM、寄存器、Cache的內(nèi)容消失，不可永久保存資料抖動(dòng)：讀取數(shù)據(jù)所花時(shí)間超過(guò)處理數(shù)據(jù)的時(shí)間,存儲(chǔ)器類型,只讀存儲(chǔ)器（Read only memory，ROM）只能讀不能寫(xiě)關(guān)閉電源內(nèi)容

22、不消失，可永久保存數(shù)據(jù)。而使用SRAM進(jìn)行存儲(chǔ)，需要有電池等設(shè)備。種類：PROM( programmable ROM)：數(shù)據(jù)或程序可依使用者的需求來(lái)燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無(wú)法更改。EPROM( erasable PROM)：可擦拭可程序規(guī)劃的ROM，舊有的數(shù)據(jù)或程序可利用紫外線的照射來(lái)加以消除，使用者可以重復(fù)使用該顆EPROM，來(lái)燒錄不同程序的程序或數(shù)據(jù)。EEPROM( electrically erase PROM)：電子

23、式可擦拭可程序規(guī)劃的ROM。MASK ROM：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過(guò)程時(shí)寫(xiě)入。,存儲(chǔ)器類型,高速緩存（Cache Memory）為了緩和CPU與主存儲(chǔ)器之間速度的矛盾，在CPU和主存儲(chǔ)器之間設(shè)置一個(gè)緩沖性的高速存儲(chǔ)部件，它的工作速度接近CPU的工作速度，但其存儲(chǔ)容量比主存儲(chǔ)器小得多。高速緩存分為兩種，一種是內(nèi)建在CPU中的L1快取，另一種則是在CPU之外，稱為L(zhǎng)2快取。高速緩存愈大，對(duì)計(jì)算機(jī)執(zhí)行效率的幫助愈大。速度

24、最快、最貴存儲(chǔ)器映射（Memory Mapping）：邏輯地址引導(dǎo)到特定的物理地址緩沖區(qū)溢出（Buffer Overflows）緩沖區(qū)溢出攻擊利用編寫(xiě)不夠嚴(yán)謹(jǐn)?shù)某绦颍ㄟ^(guò)向程序的緩存區(qū)寫(xiě)入超過(guò)預(yù)定長(zhǎng)度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導(dǎo)致程序執(zhí)行流程的改變。 ALSR：地址空間隨機(jī)布局化DEP：數(shù)據(jù)執(zhí)行保護(hù)存儲(chǔ)器泄露（Memory Leaks）開(kāi)發(fā)正確釋放存儲(chǔ)器的更完善的代碼使用垃圾收集器（garbage co

25、llector）,虛擬存儲(chǔ)器（Virtual Memory）,通過(guò)使用二級(jí)存儲(chǔ)器(部分硬盤(pán)空間)來(lái)擴(kuò)展內(nèi)存(RAM)的容量，對(duì)未被執(zhí)行的程序頁(yè)進(jìn)行處理虛擬存儲(chǔ)器屬于操作系統(tǒng)中存儲(chǔ)管理的內(nèi)容，因此，其大部分功能由軟件實(shí)現(xiàn)。 虛擬存儲(chǔ)器是一個(gè)邏輯模型，并不是一個(gè)實(shí)際的物理存儲(chǔ)器。虛擬存儲(chǔ)器的作用：分隔地址空間；解決主存的容量問(wèn)題；程序的重定位虛擬存儲(chǔ)器不僅解決了存儲(chǔ)容量和存取速度之間的矛盾，而且也是管理存儲(chǔ)設(shè)備的有效方法。有了虛擬存

26、儲(chǔ)器，用戶無(wú)需考慮所編程序在主存中是否放得下或放在什么位置等問(wèn)題。,關(guān)鍵概念,進(jìn)程隔離動(dòng)態(tài)鏈接庫(kù)基礎(chǔ)寄存器（起始地址），限制寄存器（終止地址）RAM ROM 高速緩沖存儲(chǔ)器絕對(duì)地址，邏輯地址緩沖區(qū)溢出，ASLR，DEP垃圾收集器，虛擬存儲(chǔ)器,輸入輸出設(shè)備管理,輸入是把信息送入計(jì)算機(jī)系統(tǒng)的過(guò)程，輸出是從計(jì)算機(jī)系統(tǒng)送出信息的過(guò)程，用戶通過(guò)輸入/輸出設(shè)備與計(jì)算機(jī)系統(tǒng)互相通信。常用輸入設(shè)備：鍵盤(pán)、鼠標(biāo)器、掃描儀常用輸出設(shè)備：顯示

27、器、打印機(jī)、繪圖儀輸出/輸入接口數(shù)據(jù)要從計(jì)算機(jī)內(nèi)部輸出時(shí)，它會(huì)將內(nèi)部的表示法轉(zhuǎn)成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從外圍設(shè)備傳數(shù)據(jù)到計(jì)算機(jī)內(nèi)部，它也會(huì)將外界的數(shù)據(jù)格式轉(zhuǎn)成計(jì)算機(jī)內(nèi)部看得懂的表示法。檢驗(yàn)數(shù)據(jù)的完整性,I/O技術(shù),可編程Programmed I/O速度慢中斷驅(qū)動(dòng)Interrupt-driven I/O由外部發(fā)出請(qǐng)求，請(qǐng)求CPU中斷或結(jié)束正常程序運(yùn)行處理中斷導(dǎo)致時(shí)間消耗DMA I/O using DMA

28、是一種完全由硬件執(zhí)行I/O交換的工作方式。速度快映射前Premapped I/OI/O取得足夠信任，IIO與存儲(chǔ)器直接交互數(shù)據(jù)全映射Fully mapped I/O不完全信任I/O，IO設(shè)備只與邏輯地址直接交互,CPU架構(gòu),保護(hù)環(huán)Protection Ring一組同心的編號(hào)環(huán) 環(huán)數(shù)決定可以訪問(wèn)的層次，越低的環(huán)數(shù)表示越高的特權(quán)程序假定執(zhí)行環(huán)數(shù)的位置 程序不可以直接訪問(wèn)比自身高的層次，如需訪問(wèn)，系統(tǒng)調(diào)用(syst

29、em call)一般使用4個(gè)保護(hù)環(huán)：Ring 1 操作系統(tǒng)安全核心Ring 2 其他操作系統(tǒng)功能 – 設(shè)圖示控制器Ring 3 系統(tǒng)應(yīng)用程序，數(shù)據(jù)庫(kù)功能等Ring 4 應(yīng)用程序空間,操作系統(tǒng)架構(gòu)（Operating System Architectures）,單塊操作系統(tǒng)架構(gòu),分層操作系統(tǒng)架構(gòu),操作系統(tǒng)架構(gòu),單片（Monolithic ）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。分層（Layered）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下

30、的分層模型上運(yùn)行。內(nèi)核過(guò)大微內(nèi)核（Microkernel）核心操作系統(tǒng)進(jìn)程運(yùn)行在內(nèi)核模式，其余運(yùn)行在用戶模式。內(nèi)核過(guò)小混合微內(nèi)核（Hybrid microkernel）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。核心進(jìn)程運(yùn)行在微內(nèi)核，其他運(yùn)行在客戶端\服務(wù)器模式。,分層操作系統(tǒng),,微內(nèi)核操作系統(tǒng),,Windows混合微內(nèi)核架構(gòu),,主要的操作系統(tǒng)內(nèi)核架構(gòu),,虛擬機(jī),虛擬機(jī)優(yōu)勢(shì),多個(gè)服務(wù)器整合遺留應(yīng)用程序運(yùn)行運(yùn)行不可信程序，提供安全的隔離

31、的沙箱模仿獨(dú)立計(jì)算機(jī)網(wǎng)絡(luò)多個(gè)系統(tǒng)，多種硬件適合強(qiáng)大的調(diào)試和性能監(jiān)控超強(qiáng)隔離能力備份、恢復(fù)、遷移更簡(jiǎn)單,系統(tǒng)安全體系結(jié)構(gòu)（System Security Architecture）,安全策略（Security Policy）安全架構(gòu)要求（Security Architecture Requirements）,安全策略（Security Policy）,指導(dǎo)性綱領(lǐng)，為系統(tǒng)整體和構(gòu)成它的組件從安全角度提出根本的目標(biāo)，是戰(zhàn)略工具。安

32、全策略是一個(gè)系統(tǒng)的基礎(chǔ)規(guī)范，使系統(tǒng)集成后評(píng)估它的基準(zhǔn)。,安全架構(gòu)要求（Security Architecture Requirements）,可信計(jì)算基（Trusted Computing Base）安全邊界（Security Perimeter）引用監(jiān)視器（Reference Monitor，RM）安全內(nèi)核（Security Kernel）,可信計(jì)算基（Trusted Computing Base）,TCB是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制

33、的總體, 包括硬件、固體、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。TCB由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一的安全策略。TCB的三個(gè)要求TCB必須保證其自身在一個(gè)域中的執(zhí)行，防止被外界干擾或破壞TCB所控制的資源必須是已經(jīng)定義的主體或客體的子集TCB必須隔離被保護(hù)的資源，以便進(jìn)行訪問(wèn)控制和審計(jì)TCB維護(hù)每個(gè)域的保密性和完整性，監(jiān)視4個(gè)基本功能進(jìn)程激活：Process activation執(zhí)行域的切換：Execution d

34、omain switching內(nèi)存保護(hù)：Memory protectionI/O操作：I/O operation,引用監(jiān)視器（Reference Monitor，RM）,RM是一個(gè)抽象機(jī)的訪問(wèn)控制概念，基于訪問(wèn)控制數(shù)據(jù)庫(kù)協(xié)調(diào)所有主體對(duì)客體的訪問(wèn)RM的任務(wù)根據(jù)訪問(wèn)控制數(shù)據(jù)庫(kù)，對(duì)主體對(duì)客體的訪問(wèn)請(qǐng)求做出是否允許的裁決，并將該請(qǐng)求記錄到審計(jì)數(shù)據(jù)庫(kù)中。注意：基準(zhǔn)監(jiān)視器有動(dòng)態(tài)維護(hù)訪問(wèn)控制數(shù)據(jù)庫(kù)的能力。RM的特性：執(zhí)行主體到對(duì)象所有訪問(wèn)

35、的抽象機(jī)必須執(zhí)行所有訪問(wèn)，能夠在修改中被保護(hù)，能夠恢復(fù)正常，并且總是被調(diào)用。處理所有主體到客體訪問(wèn)的抽象機(jī),安全內(nèi)核（Security Kernel）,安全內(nèi)核是TCB中執(zhí)行引用監(jiān)視器概念的硬件、固件和軟件元素理論基礎(chǔ)：在一個(gè)大的操作系統(tǒng)中，只將相對(duì)比較小的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全，并將實(shí)施安全的這部分軟件隔離在一個(gè)可信的安全核，這個(gè)核就稱為安全核。需要滿足三個(gè)原則完備性：協(xié)調(diào)所有的訪問(wèn)控制隔離性：受保護(hù)，不允許被修改可

36、驗(yàn)證性：被驗(yàn)證是正確的安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，幾乎可以說(shuō)是唯一能夠?qū)嵱玫募夹g(shù)。引用監(jiān)視器RM是概念，抽象的機(jī)器，協(xié)調(diào)所有主體對(duì)對(duì)象間的訪問(wèn)；安全內(nèi)核是硬件，是TCB中執(zhí)行RM的部分，TCB中除安全內(nèi)核外還有其它安全機(jī)制,關(guān)鍵概念,虛擬化Hypervisor:用來(lái)管理模擬環(huán)境中的虛擬機(jī)的中央程序安全策略可信計(jì)算基可信路徑：進(jìn)程之間用來(lái)通信的，不能被繞過(guò)的可信軟件通道安全邊界引用監(jiān)視器安全內(nèi)核多級(jí)

37、安全策略,安全模型（Security Models ）,狀態(tài)機(jī)模型（State Machine Models）Bell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型（Information Flow Model）非干涉模型（Noninterference Model）格子模型（Lattice Model）Brewer and Nash模型Graham-Denning模型Harrison-Ru

38、zzo-Ullman（HRU）模型,安全策略與安全模型,安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安全模型提供了實(shí)現(xiàn)這些目標(biāo)應(yīng)該做什么，不應(yīng)該做什么，具有實(shí)踐指導(dǎo)意義，給出了策略的形式,狀態(tài)機(jī)模型（State Machine Models）,狀態(tài)機(jī)模型描述了一種無(wú)論處于何種狀態(tài)都是安全的系統(tǒng)一個(gè)狀態(tài)（State）是處于特定時(shí)刻系統(tǒng)的一個(gè)快照，如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之為安全的State transition：狀態(tài)轉(zhuǎn)換

39、，許多活動(dòng)可能會(huì)改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（State transition），遷移總是導(dǎo)致新的狀態(tài)的出現(xiàn)如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于不安全狀態(tài)，則系統(tǒng)執(zhí)行一個(gè)——安全狀態(tài)機(jī)模型：secure state model。一個(gè)安全的狀態(tài)機(jī)模型系統(tǒng)，總是從一個(gè)安全狀態(tài)啟動(dòng)，并且在所有遷移當(dāng)中保持安全狀態(tài)，只允許主體以和安全策略相一致的安全方式來(lái)訪問(wèn)資源安全的狀態(tài)機(jī)模型是其他安全模型的基礎(chǔ),狀態(tài)機(jī)模型（State

40、Machine Models）,Bell-LaPadula 模型,1973年，David Bell和Len LaPadula提出了第一個(gè)正式的安全模型，該模型基于強(qiáng)制訪問(wèn)控制系統(tǒng)，以敏感度來(lái)劃分資源的安全級(jí)別。將數(shù)據(jù)劃分為多安全級(jí)別與敏感度的系統(tǒng)稱之為多級(jí)安全系統(tǒng)為美國(guó)國(guó)防部多級(jí)安全策略形式化而開(kāi)發(fā)Bell-LaPadula保密性模型是第一個(gè)能夠提供分級(jí)別數(shù)據(jù)機(jī)密性保障的安全策略模型(多級(jí)安全)。特點(diǎn)：信息流安全模型只對(duì)機(jī)密性

41、進(jìn)行處理運(yùn)用狀態(tài)機(jī)模型和狀態(tài)轉(zhuǎn)換的概念基于政府信息分級(jí)——無(wú)密級(jí)、敏感但無(wú)密級(jí)、機(jī)密、秘密、絕密“Need to know”——誰(shuí)需要知道？開(kāi)始于安全狀態(tài)，在多個(gè)安全狀態(tài)中轉(zhuǎn)換(初始狀態(tài)必須安全，轉(zhuǎn)變結(jié)果才在安全狀態(tài)),Bell-LaPadula 模型安全規(guī)則,簡(jiǎn)單安全規(guī)則ss (Simple Security Property )安全級(jí)別低的主體不能讀安全級(jí)別高的客體信息(No Read Up)星規(guī)則* The * (s

42、tar) security Property安全級(jí)別高的主體不能往低級(jí)別的客體寫(xiě)(No write Down)強(qiáng)星規(guī)則 Strong * property不允許對(duì)另一級(jí)別進(jìn)行讀取自主安全規(guī)則ds (Discretionary security Property )使用訪問(wèn)控制矩陣來(lái)定義說(shuō)明自由存取控制內(nèi)容相關(guān) Content Dependent 上下文相關(guān)Context Dependent,BLP模型的缺陷,不能防止隱蔽通

43、道(covert channels)不針對(duì)使用文件共享和服務(wù)器的現(xiàn)代信息系統(tǒng)沒(méi)有明確定義何謂安全狀態(tài)轉(zhuǎn)移(secure state transition)基于多級(jí)安全保護(hù)(multilevel security)而未針對(duì)其他策略類型 不涉及訪問(wèn)控制管理不保護(hù)完整性和可用性,Biba模型,完整性的三個(gè)目標(biāo)：保護(hù)數(shù)據(jù)不被未授權(quán)用戶更改；保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改(未授權(quán)更改)；維持?jǐn)?shù)據(jù)內(nèi)部和外部的一致性1977作為Bell-L

44、apadula的完整性補(bǔ)充而提出, 用于非軍事行業(yè)Biba基于一種層次化的完整性級(jí)別格子(hierarchical lattice of integrity levels)，是一種信息流安全模型。特點(diǎn)：基于小于或等于關(guān)系的偏序的格最小上限(上確界)， least upper bound (LUB)最大下限(下確界)，greatest lower bound (GLB)Lattice = (IC,<= , LUB, GU

45、B) 數(shù)據(jù)和用戶分級(jí)強(qiáng)制訪問(wèn)控制,Biba模型安全規(guī)則,*完整性公理：主題不能向位于較高完整性級(jí)別的客體寫(xiě)數(shù)據(jù)，不能向上寫(xiě)簡(jiǎn)單完整性公理：主題不能從較低完整性級(jí)別讀取數(shù)據(jù)，不能向下讀調(diào)用屬性：主體不能請(qǐng)求完整性級(jí)別更高的主體服務(wù)信息來(lái)源，可信數(shù)據(jù),Clark-Wilson模型,在1987年被提出的經(jīng)常應(yīng)用在銀行應(yīng)用中以保證數(shù)據(jù)完整性實(shí)現(xiàn)基于成形的事務(wù)處理機(jī)制要求完整性標(biāo)記定義：受限數(shù)據(jù)條目Constrained D

46、ata Item (CDI) 完整性檢查程序Integrity Verification Procedure (IVP)轉(zhuǎn)換程序Transformation Procedure (TP)自由數(shù)據(jù)條目Unconstrained Data ItemClark-Wilson需要integrity label用于確定一個(gè)數(shù)據(jù)項(xiàng)的完整級(jí)別，并在TP后驗(yàn)證其完整性是否維持，采用了實(shí)現(xiàn)內(nèi)/外一致性的機(jī)制，separation of duty,

47、 mandatory integrity policy,Clark-Wilson模型,完整性的模型沒(méi)有像Biba那樣使用lattice結(jié)構(gòu)，而是使用Subject/Program/Object這樣的三方關(guān)系（triple），Subject并不能直接訪問(wèn)Object，只能通過(guò)Program來(lái)訪問(wèn)兩個(gè)原則：well-formed transactions：采用了program的形式，主體只能通過(guò)program訪問(wèn)客體，每個(gè)恰當(dāng)設(shè)計(jì)的p

48、rogram都有特定的限制規(guī)則，這就有效限制了主體的能力separation of duties：將關(guān)鍵功能分成兩個(gè)或多個(gè)部分，必須由不同的主體去完成各個(gè)部分，可防止已授權(quán)用戶進(jìn)行未授權(quán)的修改要求具有審計(jì)能力（Auditing）Clark-Wilson model也被稱作restricted interface model該模型考慮到了完整性的3個(gè)目標(biāo)，而B(niǎo)iba模型只考慮了第一個(gè)：防止未授權(quán)用戶更改；防止授權(quán)用戶的不正確更改（

49、職責(zé)分離），維護(hù)內(nèi)部和外部的一致性,信息流模型（Information Flow Model）,基于狀態(tài)機(jī)，由對(duì)象、狀態(tài)轉(zhuǎn)換以及格(流策略)狀態(tài)組成,對(duì)象可以是用戶，每個(gè)對(duì)象都被分配一個(gè)安全等級(jí)和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息從高安全等級(jí)流向低安全等級(jí)，后者要防止信息從低安全等級(jí)流向高安全等級(jí)信息流模型并不是只處理信息流向，也可以處理流類型信息流模型用于防止未授權(quán)的、不安全的或者受到限制的

50、信息流，信息流可以是同一級(jí)別主體與客體之間的，也可以是不同級(jí)別間的信息流模型允許所有授權(quán)信息流，無(wú)論是否在同一級(jí)別; 信息流模型防止所有未授權(quán)的信息流，無(wú)論是否在同一級(jí)別信息被限制在策略允許的方向流動(dòng),隱蔽信道（Covert Channels）,隱蔽通道是一種讓一個(gè)實(shí)體以未授權(quán)方式接收信息。條件在產(chǎn)品開(kāi)發(fā)過(guò)程中不當(dāng)監(jiān)督在軟件中實(shí)施不當(dāng)?shù)脑L問(wèn)控制兩個(gè)實(shí)體之間未適當(dāng)?shù)乜刂乒蚕碣Y源隱蔽通道有兩種類型：存儲(chǔ)：存儲(chǔ)隱蔽通道，

51、進(jìn)程能夠通過(guò)系統(tǒng)的一些類型的存儲(chǔ)空間通信。（木馬）通過(guò)創(chuàng)建文件。計(jì)時(shí)一個(gè)進(jìn)程通過(guò)調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個(gè)進(jìn)程中繼續(xù)傳送數(shù)據(jù)。,非干涉模型（Noninterference Model）,基于信息流模型非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài)或者其他主體活動(dòng)的某個(gè)主體的活動(dòng)確保在較高安全級(jí)別發(fā)生的任何活動(dòng)不會(huì)影響，或者干涉在較低安全級(jí)別發(fā)生的活動(dòng)。如果在較高安全級(jí)內(nèi)的一個(gè)實(shí)體執(zhí)行一項(xiàng)操作，那么它不能改變?cè)谳^低安全

52、級(jí)內(nèi)實(shí)體的狀態(tài)如果一個(gè)處于較低安全級(jí)的實(shí)體感受到了由處于較高安全級(jí)內(nèi)的一個(gè)實(shí)體所引發(fā)的某種活動(dòng)，那么該實(shí)體可能能夠推斷出較高級(jí)別的信息，引發(fā)信息泄漏基本原理為，一組用戶(A)使用命令(C)，不被用戶組(B)(使用命令D)干擾，可以表達(dá)成A, C:| B, D，同樣，使用命令C的組A的行為不能被使用命令D的組B看到,格子模型（Lattice Model）,Lattice 模型通過(guò)劃分安全邊界對(duì)BLP模型進(jìn)行了擴(kuò)充，它將用戶和資源進(jìn)行分

53、類，并允許它們之間交換信息，這是多邊安全體系的基礎(chǔ)。多邊安全的焦點(diǎn)是在不同的安全集束（部門(mén)，組織等）間控制信息的流動(dòng)，而不僅是垂直檢驗(yàn)其敏感級(jí)別。建立多邊安全的基礎(chǔ)是為分屬不同安全集束的主體劃分安全等級(jí)，同樣在不同安全集束中的客體也必須進(jìn)行安全等級(jí)劃分，一個(gè)主體可同時(shí)從屬于多個(gè)安全集束，而一個(gè)客體僅能位于一個(gè)安全集束。在執(zhí)行訪問(wèn)控制功能時(shí)，lattice模型本質(zhì)上同BLP模型是相同的，而lattice模型更注重形成"安全

54、集束"。BLP模型中的"上讀下寫(xiě)"原則在此仍然適用，但前提條件必須是各對(duì)象位于相同的安全集束中。主體和客體位于不同的安全集束時(shí)不具有可比性，因此在它們中沒(méi)有信息可以流通。,Brewer and Nash Model,Brew and Nash: Chinese WallChinese Wall模型是應(yīng)用在多邊安全系統(tǒng)中的安全模型（也就是多個(gè)組織間的訪問(wèn)控制系統(tǒng)），應(yīng)用在可能存在利益沖突的組織中。最初是為投

55、資銀行設(shè)計(jì)的，但也可應(yīng)用在其它相似的場(chǎng)合。 Chinese Wall安全策略的基礎(chǔ)是客戶訪問(wèn)的信息不會(huì)與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，一個(gè)銀行會(huì)同時(shí)擁有多個(gè)互為競(jìng)爭(zhēng)者的客戶，一個(gè)銀行家可能為一個(gè)客戶工作，但他可以訪問(wèn)所有客戶的信息。因此，應(yīng)當(dāng)制止該銀行家訪問(wèn)其它客戶的數(shù)據(jù)。Chinese Wall安全模型的兩個(gè)主要屬性：用戶必須選擇一個(gè)他可以訪問(wèn)的區(qū)域用戶必須自動(dòng)拒絕來(lái)自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問(wèn)這種

56、模型同時(shí)包括了DAC和MAC的屬性：銀行家可以選擇為誰(shuí)工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。,Graham-Denning模型,如何安全地創(chuàng)建一個(gè)客體如何安全地創(chuàng)建一個(gè)主體如何安全地刪除客體如何安全地刪除主體如何安全地提供讀訪問(wèn)權(quán)如何安全地提供準(zhǔn)許接入權(quán)如何安全地提供刪除訪問(wèn)權(quán)限如何安全地提供轉(zhuǎn)移訪問(wèn)權(quán)限,Harrison-Ruzzo-Ullman（HRU）模型,主體的訪問(wèn)權(quán)限以及這些權(quán)限的完整性

57、。主體只能對(duì)客體執(zhí)行一組有限的操作HRU被軟件設(shè)計(jì)人員用來(lái)確保沒(méi)有引入意外脆弱性，從而可以實(shí)現(xiàn)訪問(wèn)控制目標(biāo),操作安全模式（Security Modes of Operation ）,信任與保證,TCSEC中，較低保證級(jí)別評(píng)定工作會(huì)考察系統(tǒng)的保護(hù)機(jī)制和測(cè)試結(jié)果，較高保證級(jí)別評(píng)定工作更多考查系統(tǒng)的設(shè)計(jì)、規(guī)范、開(kāi)發(fā)過(guò)程、支持文檔以及測(cè)試結(jié)果,系統(tǒng)評(píng)估方法（Systems Evaluation Methods ）,ITSEC 1991,C

58、C 1.01996,TCSEC 1985,,CTCPEC 1993,FC 1992,,,,,ISO15408 1999,,CC 2.01998,GB/T 18336 2001,CD1997,FCD1998,,,,,GIB 2646 1996,GB 17859 1999,,,,,,GB/T 18336 2008,,ISO15408 1999,,橘皮書(shū)（Orange Book）,Trusted Computer Syste

59、m Evaluation Criteria（TCSEC），是一個(gè)評(píng)估OS、應(yīng)用的、系統(tǒng)的規(guī)范，評(píng)價(jià)不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和保證程度，提供多種級(jí)別。1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出。1985年公布。主要為軍用標(biāo)準(zhǔn)，延用至民用。TCSEC2000年被Common Criteria所替代，是第一個(gè)涉及計(jì)算機(jī)系統(tǒng)的安全規(guī)范。,TCSEC等級(jí),D — 最小保護(hù)(minimal protection)C — 自主保護(hù)(d

60、iscretionary protection)C1: 選擇安全性保護(hù)，Discretionary Security ProtectionC2: 受約束的訪問(wèn)保護(hù)，Controlled Access Protection B — 強(qiáng)制保護(hù)(mandatory protection)B1: 標(biāo)簽式安全保護(hù)，Labeled SecurityB2: 結(jié)構(gòu)化保護(hù)，Structure ProtectionB3: 安全域，Securit

61、y DomainA — 校驗(yàn)保護(hù)(verified protection)A1: 驗(yàn)證設(shè)計(jì)，Verified Design,,橘皮書(shū)和彩虹系列（The Orange Book and the Rainbow Series ）,橘皮書(shū)（Orange Book）專門(mén)針對(duì)操作系統(tǒng)主要著眼于安全的一個(gè)屬性（機(jī)密性）適用于政府分類評(píng)級(jí)數(shù)量較少紅皮書(shū)（Red Book）單個(gè)系統(tǒng)的安全問(wèn)題解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評(píng)估問(wèn)題，主要針對(duì)獨(dú)

62、立局域網(wǎng)和廣域網(wǎng)系統(tǒng)涉及通信完整性、防止拒絕服務(wù)、泄露保護(hù),信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Security）,Information Technology Security Evaluation Criteria （ITSEC） 歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。首次提出了信息安全的保密性、完整性、可用性的概念評(píng)

63、估對(duì)象TOE(Target of Evaluation )產(chǎn)品和系統(tǒng)安全性目標(biāo)security target安全增強(qiáng)機(jī)制安全策略,通用標(biāo)準(zhǔn)（Common Criteria ）,定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，與PDR(防護(hù)、檢聽(tīng)、反應(yīng))模型和現(xiàn)代動(dòng)態(tài)安全概念相符合的，強(qiáng)調(diào)安全的假設(shè)、威脅的、安全策略等安全需求的針對(duì)性，充分突出保護(hù)輪廓強(qiáng)調(diào)把安全需求劃分為安全功能需求

64、和安全保證需求兩個(gè)獨(dú)立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的安全等級(jí)定義了7個(gè)評(píng)估保證級(jí)別(EAL)，每一級(jí)均需評(píng)估7個(gè)功能類,通用標(biāo)準(zhǔn)（Common Criteria ）,CC（ISO/IEC 15408-X）分為三個(gè)部分：第一部分：介紹和一般模型 —— 一般性概念，IT安全評(píng)估的原則，高級(jí)編寫(xiě)規(guī)范，對(duì)目標(biāo)受眾的有用價(jià)值。對(duì)消費(fèi)者來(lái)說(shuō)是不錯(cuò)的背景介紹和參考。第二部分：安全功能需求 —— 功能性需求，組件，評(píng)估目標(biāo)(Target

65、of Evaluation，TOE)；對(duì)消費(fèi)者來(lái)說(shuō)是不錯(cuò)的指導(dǎo)和參考，可以用來(lái)闡述對(duì)安全功能的需求。第三部分：安全保障 —— 對(duì)TOE的保障需求(assurance requirement)，對(duì)保護(hù)輪廓(Protection Profile)和安全目標(biāo)(Security Target)的評(píng)估標(biāo)準(zhǔn)。指導(dǎo)消費(fèi)者提出相應(yīng)的保障等級(jí),通用標(biāo)準(zhǔn)概念,保護(hù)輪廓（Protection profile，PP）滿足特定用戶需求、與一類TOE實(shí)現(xiàn)無(wú)關(guān)的一

66、組安全要求。評(píng)估對(duì)象（Target of evaluation ，TOE）作為評(píng)估主體的IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。安全目標(biāo)（Security target ）作為指定的TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。安全功能（Security functional requirements）規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事安全保證（Security assurance requirements）對(duì)功能產(chǎn)生信心的方法

67、包-功能保證級(jí)（Packages—EALs）把功能和保證要求封裝起來(lái)，以便今后使用。這部分描述必須得到滿足，以實(shí)現(xiàn)特定的EAL等級(jí)。,評(píng)估標(biāo)準(zhǔn)間的比較,認(rèn)證與認(rèn)可（Certification vs. Accreditation ）,認(rèn)證, Certification評(píng)估技術(shù)和非技術(shù)特征以確定設(shè)計(jì)是否符合安全要求認(rèn)可, Accreditation認(rèn)證權(quán)威 DAA (Designated Approving Authority )

68、來(lái)自于指定的認(rèn)證權(quán)威的正式聲明，表明系統(tǒng)已被認(rèn)可在安全狀態(tài)下運(yùn)行,一些威脅的評(píng)估（A Few Threats to Review ）,維護(hù)鉤子（Maintenance Hooks）檢驗(yàn)時(shí)間/使用時(shí)間攻擊(Time-of-Check/Time-of-Use Attacks，TOC/TOU),維護(hù)鉤子（Maintenance Hooks）,軟件內(nèi)開(kāi)發(fā)人員才知道和能夠調(diào)用的指令,使他們能夠方便的訪問(wèn)代碼.對(duì)策使用主機(jī)入侵檢測(cè)系統(tǒng)監(jiān)視通