信息安全安全架構(gòu)與設(shè)計

1、安全架構(gòu)和設(shè)計Security Architecture and Design,,關(guān)鍵知識領(lǐng)域,A. 理解安全模型的基本概念（如保密性、完整性與多層次模型）B. 理解信息系統(tǒng)安全評估模型的組成B.1 產(chǎn)品評估模型（如通用準(zhǔn)則）B.2 工業(yè)與國際安全實(shí)施準(zhǔn)則（如PIC-DSS、ISO）C. 理解信息系統(tǒng)的安全功能（如內(nèi)存保護(hù)、虛擬技術(shù)、可信平臺模塊）D. 理解安全架構(gòu)的漏洞D.1 系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）D.

2、2 技術(shù)與流程的整合（如單點(diǎn)故障、面向服務(wù)的架構(gòu)）E. 理解軟件與系統(tǒng)的漏洞與威脅E.1 基于Web（如XML、SAML、OWASP）E.2 基于客戶端（如小程序）E.3 基于服務(wù)器（如數(shù)據(jù)流量控制）E.4 數(shù)據(jù)庫安全（如推斷、聚合、數(shù)據(jù)挖掘、數(shù)據(jù)倉庫）E.5 分布式系統(tǒng)（如云計算、網(wǎng)格計算、對等網(wǎng)絡(luò)）F. 理解對抗原理（如深度防御）,目錄,計算機(jī)安全系統(tǒng)架構(gòu)計算機(jī)系統(tǒng)結(jié)構(gòu)操作系統(tǒng)架構(gòu)系統(tǒng)安全體系結(jié)構(gòu)安全模型操

3、作安全模式系統(tǒng)評價方法橘皮書和彩虹系列信息技術(shù)安全評估標(biāo)準(zhǔn)通用標(biāo)準(zhǔn)認(rèn)證與認(rèn)可開放與封閉系統(tǒng)一些威脅的評估,計算機(jī)安全（Computer Security ）,可用性：防止丟失或訪問，數(shù)據(jù)和資源流失Availability: Prevention of loss of, or loss of access to, data and resources完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改Integrity: Preve

4、ntion of unauthorized modification of data and resources保密性：防止未授權(quán)披露的數(shù)據(jù)和資源Confidentiality: Prevention of unauthorized disclosure of data and resources,系統(tǒng)架構(gòu)（System Architecture ）,架構(gòu)（Architecture）：體現(xiàn)在其組成部分，它們彼此之間以及與環(huán)境的關(guān)系，

5、和指導(dǎo)原則其設(shè)計和演進(jìn)的系統(tǒng)的基本組織。架構(gòu)描述（Architectural description ，AD）：以正式的方式表述一個架構(gòu)的文檔集合。利益相關(guān)者（Stakeholder）：對于系統(tǒng)有利益關(guān)系或關(guān)注系統(tǒng)的個人、團(tuán)隊、組織（或集體）視圖（View）：從相關(guān)的一組關(guān)注點(diǎn)透視出的整個系統(tǒng)的表述視角（Viewpoint）：關(guān)于建設(shè)和使用視圖的慣例性說明，也是通過明確視圖建立目的、讀者，確立視圖與分析技巧后開發(fā)單個視圖的模板。

6、,正式的架構(gòu)術(shù)語和關(guān)系,計算機(jī)系統(tǒng)結(jié)構(gòu)（Computer Architecture ）,計算機(jī)體系結(jié)構(gòu)包括所有用于它的計算機(jī)系統(tǒng)的所必需的部件的功能，包括操作系統(tǒng)，存儲芯片，邏輯電路，存儲設(shè)備，輸入和輸出設(shè)備，安全組件，總線和網(wǎng)絡(luò)接口。中央處理器（The Central Processing Unit）多重處理（Multiprocessing）操作系統(tǒng)組件（Operating System Components）,中央處理器（Th

7、e Central Processing Unit，CPU）,計算機(jī)的大腦。對CPU最常見的描述可能是：它從存儲器中提取指令并加以執(zhí)行。,中央處理器（The Central Processing Unit，CPU）,中央處理單元是計算機(jī)硬件的核心，主要任務(wù)是執(zhí)行各種命令，完成各種運(yùn)算和控制功能，是計算機(jī)的心臟，決定著系統(tǒng)的類型、性能和速度，CPU中包含：(1)算術(shù)邏輯運(yùn)算單元ALU (Arithmetic Logic Unit) ：主

8、要負(fù)責(zé)數(shù)據(jù)的計算或處理。(2)控制單元(Control unit)：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指令進(jìn)出CPU；并控制ALU的動作。(3)寄存器/緩存器(Registers)：負(fù)責(zé)儲存數(shù)據(jù)，以利CPU快速地存取。累加器(Accumulator)程序記數(shù)器(Program Counter)內(nèi)存地址寄存器(Memory Address Register) 內(nèi)存數(shù)據(jù)寄存器(Memory Buffer Register)指令寄存器(I

9、nstruction Register) (4)連結(jié)路徑(interconnection path)：負(fù)責(zé)連接CPU內(nèi)部的組件，以利數(shù)據(jù)或控制訊號在不同組件間流傳。,CPU運(yùn)行狀態(tài),運(yùn)行狀態(tài)：Run/operating state執(zhí)行指令解題狀態(tài)：Application/Problem state執(zhí)行應(yīng)用程序僅執(zhí)行非特權(quán)(nonprivileged instructions)指令管理程序狀態(tài)：Supervisor state

10、 特權(quán)模式下執(zhí)行程序可以訪問整個系統(tǒng)，同時執(zhí)行特權(quán)( Privileged instructions )和非特權(quán)指令等待狀態(tài)：Wait state 等待特定事件完成,多重處理（Multiprocessing）,對稱模式多重處理（Symmetric mode multiprocessing ）計算機(jī)有兩個或者多個CPU且每個CPU都使用加載均衡方式非對稱模式多重處理（Asymmetric mode multiprocessin

11、g ）計算機(jī)有兩個或者多個CPU，且有一個CPU僅專門處理一個特定程序，而其他CPU執(zhí)行通用的處理程序,關(guān)鍵概念,中央處理單元CPU，算術(shù)邏輯單元ALU，寄存器，控制單元通用寄存器（General registers ）：CPU在執(zhí)行指令過程中使用的臨時存儲位置。特殊寄存器（Special registers ）：保存關(guān)鍵處理參數(shù)的臨時存儲位置。保存諸如程序計數(shù)器，堆棧指針，程序狀態(tài)字（PSW）。程序計數(shù)器（Program co

12、unter ）：為CPU所要執(zhí)行的指令保存存儲器地址棧（Stack ）：進(jìn)程用來彼此傳輸指令和數(shù)據(jù)的存儲器分段程序狀態(tài)字（Program status word ）：向CPU表明需要用什么狀態(tài)（內(nèi)核模式還是用戶模式）運(yùn)行的條件變量,關(guān)鍵概念,用戶模式（問題狀態(tài)）（User mode (problem state) ）：CPU在執(zhí)行不太可信的進(jìn)程指令時所用的保護(hù)模式內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（Kernel mode (super

13、visory state, privilege mode)）：CPU在執(zhí)行較為可信的進(jìn)程指令時所用的工作狀態(tài)，進(jìn)程在內(nèi)核模式下比在用戶模式下可以訪問更多的計算機(jī)資源地址總線（Address bus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所擁到的物理存儲器地址數(shù)據(jù)總線（Data bus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。對稱模式多重處理，不對稱模式多重處理,操作系統(tǒng)組件（Operat

14、ing System Components）,進(jìn)程管理（Process Management）線程管理（Thread Management）進(jìn)程調(diào)度（Process Scheduling）進(jìn)程活動（Process Activity）,進(jìn)程管理（Process Management）,進(jìn)程管理：操作系統(tǒng)的職能之一，主要是對處理機(jī)進(jìn)行管理。為了提高CPU的利用率而采用多道程序技術(shù)。通過進(jìn)程管理來協(xié)調(diào)多道程序之間的關(guān)系，使CPU得到充分

15、的利用。進(jìn)程：Process一個獨(dú)立運(yùn)行的程序，有自己的地址空間, 是程序運(yùn)行的動態(tài)過程只能有限地與其它進(jìn)程通信，由OS負(fù)責(zé)處理進(jìn)程間的通信進(jìn)程是程序運(yùn)行的一個實(shí)例，是運(yùn)行著的程序,關(guān)鍵概念,多程序設(shè)計(MultiProgramming)一個處理器允許多處程序的將交叉運(yùn)行, 即兩個或兩個以上程序在計算機(jī)系統(tǒng)中同處于開始個結(jié)束之間的狀態(tài)：多道、宏觀上并行、微觀上串行 解決主機(jī)和外轉(zhuǎn)設(shè)備速度不匹配問題，為提高CPU的利用率。通過

16、進(jìn)程管理，協(xié)調(diào)多道程序之間的CPU分配調(diào)度、沖突處理及資源回收等關(guān)系。對象重用問題, TOC/TOU多任務(wù)（MultiTasking）單個處理器對兩個或兩個以上的任務(wù)并行執(zhí)行、交叉執(zhí)行實(shí)時多任務(wù)(Realtime)、搶占式多任務(wù)(Preemptive)、協(xié)作式多任務(wù)(Cooperative)。協(xié)調(diào)式多任務(wù)各個進(jìn)程控制釋放CPU時間，搶占式多任務(wù)主要由操作系統(tǒng)控制時間,關(guān)鍵概念,進(jìn)程表PCB：包含CPU所需的進(jìn)程狀態(tài)數(shù)據(jù)中斷（I

17、nterrupts）：分配給計算機(jī)部件（硬件和軟件）的值，以對計算機(jī)資源進(jìn)行有效的時間分片?？善帘沃袛啵∕askable interrupt ）：分配給非關(guān)鍵操作系統(tǒng)活動中斷值。不可屏蔽中斷（Nonmaskable interrupt）：分配給關(guān)鍵操作系統(tǒng)活動中斷值，如復(fù)位鍵,線程管理（Thread Management）,線程（Thread）：是為了節(jié)省資源而可以在同一個進(jìn)程中共享資源的一個執(zhí)行單位。多線程（Multithre

18、ading）：通過生成不同指令集（線程）同時執(zhí)行多個活動的應(yīng)用程序,進(jìn)程調(diào)度（Process Scheduling）,無論是在批處理系統(tǒng)還是分時系統(tǒng)中，用戶進(jìn)程數(shù)一般都多于處理機(jī)數(shù)、這將導(dǎo)致它們互相爭奪處理機(jī)。另外，系統(tǒng)進(jìn)程也同樣需要使用處理機(jī)。這就要求進(jìn)程調(diào)度程序按一定的策略，動態(tài)地把處理機(jī)分配給處于就緒隊列中的某一個進(jìn)程，以使之執(zhí)行。軟件死鎖（Software deadlock ）：兩個進(jìn)程都在等待系統(tǒng)資源被釋放額導(dǎo)致不能完成他們

19、的活動的情況。,進(jìn)程活動,早期操作系統(tǒng)中，一個進(jìn)程掛起，其它所有程序也會掛起進(jìn)程隔離：對象封裝，共享資源時分復(fù)用，命名區(qū)分，虛擬映射,關(guān)鍵概念,進(jìn)程多程序設(shè)計：操作系統(tǒng)交叉執(zhí)行不止一個進(jìn)程多任務(wù)處理：操作系統(tǒng)同時執(zhí)行不止一個任務(wù)協(xié)調(diào)式多任務(wù)搶占式多任務(wù)進(jìn)程狀態(tài)：就緒，運(yùn)行，阻塞中斷，可屏蔽中斷線程，多線程軟件死鎖,存儲器管理,管理目標(biāo)為編程人員提供一個抽象層通過有限的可用存儲器提供最高性能保護(hù)操作系統(tǒng)與加載入存儲

20、器的應(yīng)用程序存儲器管理器五項(xiàng)基本功能重新部署根據(jù)需要，在RAM和硬盤之間交換內(nèi)容保護(hù)限制進(jìn)程只與分配給它們的存儲器段交互，為存儲器段提供訪問控制共享當(dāng)進(jìn)程需要使用相同的共享存儲器段時，使用復(fù)雜的控制來確保完整性和機(jī)密性邏輯組織允許共享特定的軟件模塊物理組織為應(yīng)用程序和操作系統(tǒng)進(jìn)程劃分物理存儲器空間,存儲器類型,隨機(jī)存取存儲器（Random access memory，RAM）可隨時寫入或讀出數(shù)據(jù)用于操作系統(tǒng)和應(yīng)

21、用所執(zhí)行的讀寫活動，即通常所說的內(nèi)存寄存器，RegisterCache動態(tài)隨機(jī)儲存內(nèi)存(Dynamic RAM, DRAM)靜態(tài)隨機(jī)儲存內(nèi)存(Static RAM，SRAM)：面積更大，造價更高，速度更快由CPU直接存取關(guān)閉電源存放在DRAM、寄存器、Cache的內(nèi)容消失，不可永久保存資料抖動：讀取數(shù)據(jù)所花時間超過處理數(shù)據(jù)的時間,存儲器類型,只讀存儲器（Read only memory，ROM）只能讀不能寫關(guān)閉電源內(nèi)容

22、不消失，可永久保存數(shù)據(jù)。而使用SRAM進(jìn)行存儲，需要有電池等設(shè)備。種類：PROM( programmable ROM)：數(shù)據(jù)或程序可依使用者的需求來燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。EPROM( erasable PROM)：可擦拭可程序規(guī)劃的ROM，舊有的數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復(fù)使用該顆EPROM，來燒錄不同程序的程序或數(shù)據(jù)。EEPROM( electrically erase PROM)：電子

23、式可擦拭可程序規(guī)劃的ROM。MASK ROM：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時寫入。,存儲器類型,高速緩存（Cache Memory）為了緩和CPU與主存儲器之間速度的矛盾，在CPU和主存儲器之間設(shè)置一個緩沖性的高速存儲部件，它的工作速度接近CPU的工作速度，但其存儲容量比主存儲器小得多。高速緩存分為兩種，一種是內(nèi)建在CPU中的L1快取，另一種則是在CPU之外，稱為L2快取。高速緩存愈大，對計算機(jī)執(zhí)行效率的幫助愈大。速度

24、最快、最貴存儲器映射（Memory Mapping）：邏輯地址引導(dǎo)到特定的物理地址緩沖區(qū)溢出（Buffer Overflows）緩沖區(qū)溢出攻擊利用編寫不夠嚴(yán)謹(jǐn)?shù)某绦?，通過向程序的緩存區(qū)寫入超過預(yù)定長度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導(dǎo)致程序執(zhí)行流程的改變。 ALSR：地址空間隨機(jī)布局化DEP：數(shù)據(jù)執(zhí)行保護(hù)存儲器泄露（Memory Leaks）開發(fā)正確釋放存儲器的更完善的代碼使用垃圾收集器（garbage co

25、llector）,虛擬存儲器（Virtual Memory）,通過使用二級存儲器(部分硬盤空間)來擴(kuò)展內(nèi)存(RAM)的容量，對未被執(zhí)行的程序頁進(jìn)行處理虛擬存儲器屬于操作系統(tǒng)中存儲管理的內(nèi)容，因此，其大部分功能由軟件實(shí)現(xiàn)。 虛擬存儲器是一個邏輯模型，并不是一個實(shí)際的物理存儲器。虛擬存儲器的作用：分隔地址空間；解決主存的容量問題；程序的重定位虛擬存儲器不僅解決了存儲容量和存取速度之間的矛盾，而且也是管理存儲設(shè)備的有效方法。有了虛擬存

26、儲器，用戶無需考慮所編程序在主存中是否放得下或放在什么位置等問題。,關(guān)鍵概念,進(jìn)程隔離動態(tài)鏈接庫基礎(chǔ)寄存器（起始地址），限制寄存器（終止地址）RAM ROM 高速緩沖存儲器絕對地址，邏輯地址緩沖區(qū)溢出，ASLR，DEP垃圾收集器，虛擬存儲器,輸入輸出設(shè)備管理,輸入是把信息送入計算機(jī)系統(tǒng)的過程，輸出是從計算機(jī)系統(tǒng)送出信息的過程，用戶通過輸入/輸出設(shè)備與計算機(jī)系統(tǒng)互相通信。常用輸入設(shè)備：鍵盤、鼠標(biāo)器、掃描儀常用輸出設(shè)備：顯示

27、器、打印機(jī)、繪圖儀輸出/輸入接口數(shù)據(jù)要從計算機(jī)內(nèi)部輸出時，它會將內(nèi)部的表示法轉(zhuǎn)成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從外圍設(shè)備傳數(shù)據(jù)到計算機(jī)內(nèi)部，它也會將外界的數(shù)據(jù)格式轉(zhuǎn)成計算機(jī)內(nèi)部看得懂的表示法。檢驗(yàn)數(shù)據(jù)的完整性,I/O技術(shù),可編程Programmed I/O速度慢中斷驅(qū)動Interrupt-driven I/O由外部發(fā)出請求，請求CPU中斷或結(jié)束正常程序運(yùn)行處理中斷導(dǎo)致時間消耗DMA I/O using DMA

28、是一種完全由硬件執(zhí)行I/O交換的工作方式。速度快映射前Premapped I/OI/O取得足夠信任，IIO與存儲器直接交互數(shù)據(jù)全映射Fully mapped I/O不完全信任I/O，IO設(shè)備只與邏輯地址直接交互,CPU架構(gòu),保護(hù)環(huán)Protection Ring一組同心的編號環(huán) 環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù)表示越高的特權(quán)程序假定執(zhí)行環(huán)數(shù)的位置 程序不可以直接訪問比自身高的層次，如需訪問，系統(tǒng)調(diào)用(syst

29、em call)一般使用4個保護(hù)環(huán)：Ring 1 操作系統(tǒng)安全核心Ring 2 其他操作系統(tǒng)功能 – 設(shè)圖示控制器Ring 3 系統(tǒng)應(yīng)用程序，數(shù)據(jù)庫功能等Ring 4 應(yīng)用程序空間,操作系統(tǒng)架構(gòu)（Operating System Architectures）,單塊操作系統(tǒng)架構(gòu),分層操作系統(tǒng)架構(gòu),操作系統(tǒng)架構(gòu),單片（Monolithic ）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。分層（Layered）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下

30、的分層模型上運(yùn)行。內(nèi)核過大微內(nèi)核（Microkernel）核心操作系統(tǒng)進(jìn)程運(yùn)行在內(nèi)核模式，其余運(yùn)行在用戶模式。內(nèi)核過小混合微內(nèi)核（Hybrid microkernel）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。核心進(jìn)程運(yùn)行在微內(nèi)核，其他運(yùn)行在客戶端\服務(wù)器模式。,分層操作系統(tǒng),,微內(nèi)核操作系統(tǒng),,Windows混合微內(nèi)核架構(gòu),,主要的操作系統(tǒng)內(nèi)核架構(gòu),,虛擬機(jī),虛擬機(jī)優(yōu)勢,多個服務(wù)器整合遺留應(yīng)用程序運(yùn)行運(yùn)行不可信程序，提供安全的隔離

31、的沙箱模仿獨(dú)立計算機(jī)網(wǎng)絡(luò)多個系統(tǒng)，多種硬件適合強(qiáng)大的調(diào)試和性能監(jiān)控超強(qiáng)隔離能力備份、恢復(fù)、遷移更簡單,系統(tǒng)安全體系結(jié)構(gòu)（System Security Architecture）,安全策略（Security Policy）安全架構(gòu)要求（Security Architecture Requirements）,安全策略（Security Policy）,指導(dǎo)性綱領(lǐng)，為系統(tǒng)整體和構(gòu)成它的組件從安全角度提出根本的目標(biāo)，是戰(zhàn)略工具。安

32、全策略是一個系統(tǒng)的基礎(chǔ)規(guī)范，使系統(tǒng)集成后評估它的基準(zhǔn)。,安全架構(gòu)要求（Security Architecture Requirements）,可信計算基（Trusted Computing Base）安全邊界（Security Perimeter）引用監(jiān)視器（Reference Monitor，RM）安全內(nèi)核（Security Kernel）,可信計算基（Trusted Computing Base）,TCB是計算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制

33、的總體, 包括硬件、固體、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。TCB由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一的安全策略。TCB的三個要求TCB必須保證其自身在一個域中的執(zhí)行，防止被外界干擾或破壞TCB所控制的資源必須是已經(jīng)定義的主體或客體的子集TCB必須隔離被保護(hù)的資源，以便進(jìn)行訪問控制和審計TCB維護(hù)每個域的保密性和完整性，監(jiān)視4個基本功能進(jìn)程激活：Process activation執(zhí)行域的切換：Execution d

34、omain switching內(nèi)存保護(hù)：Memory protectionI/O操作：I/O operation,引用監(jiān)視器（Reference Monitor，RM）,RM是一個抽象機(jī)的訪問控制概念，基于訪問控制數(shù)據(jù)庫協(xié)調(diào)所有主體對客體的訪問RM的任務(wù)根據(jù)訪問控制數(shù)據(jù)庫，對主體對客體的訪問請求做出是否允許的裁決，并將該請求記錄到審計數(shù)據(jù)庫中。注意：基準(zhǔn)監(jiān)視器有動態(tài)維護(hù)訪問控制數(shù)據(jù)庫的能力。RM的特性：執(zhí)行主體到對象所有訪問

35、的抽象機(jī)必須執(zhí)行所有訪問，能夠在修改中被保護(hù)，能夠恢復(fù)正常，并且總是被調(diào)用。處理所有主體到客體訪問的抽象機(jī),安全內(nèi)核（Security Kernel）,安全內(nèi)核是TCB中執(zhí)行引用監(jiān)視器概念的硬件、固件和軟件元素理論基礎(chǔ)：在一個大的操作系統(tǒng)中，只將相對比較小的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全，并將實(shí)施安全的這部分軟件隔離在一個可信的安全核，這個核就稱為安全核。需要滿足三個原則完備性：協(xié)調(diào)所有的訪問控制隔離性：受保護(hù)，不允許被修改可

36、驗(yàn)證性：被驗(yàn)證是正確的安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，幾乎可以說是唯一能夠?qū)嵱玫募夹g(shù)。引用監(jiān)視器RM是概念，抽象的機(jī)器，協(xié)調(diào)所有主體對對象間的訪問；安全內(nèi)核是硬件，是TCB中執(zhí)行RM的部分，TCB中除安全內(nèi)核外還有其它安全機(jī)制,關(guān)鍵概念,虛擬化Hypervisor:用來管理模擬環(huán)境中的虛擬機(jī)的中央程序安全策略可信計算基可信路徑：進(jìn)程之間用來通信的，不能被繞過的可信軟件通道安全邊界引用監(jiān)視器安全內(nèi)核多級

37、安全策略,安全模型（Security Models ）,狀態(tài)機(jī)模型（State Machine Models）Bell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型（Information Flow Model）非干涉模型（Noninterference Model）格子模型（Lattice Model）Brewer and Nash模型Graham-Denning模型Harrison-Ru

38、zzo-Ullman（HRU）模型,安全策略與安全模型,安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安全模型提供了實(shí)現(xiàn)這些目標(biāo)應(yīng)該做什么，不應(yīng)該做什么，具有實(shí)踐指導(dǎo)意義，給出了策略的形式,狀態(tài)機(jī)模型（State Machine Models）,狀態(tài)機(jī)模型描述了一種無論處于何種狀態(tài)都是安全的系統(tǒng)一個狀態(tài)（State）是處于特定時刻系統(tǒng)的一個快照，如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之為安全的State transition：狀態(tài)轉(zhuǎn)換

39、，許多活動可能會改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（State transition），遷移總是導(dǎo)致新的狀態(tài)的出現(xiàn)如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于不安全狀態(tài)，則系統(tǒng)執(zhí)行一個——安全狀態(tài)機(jī)模型：secure state model。一個安全的狀態(tài)機(jī)模型系統(tǒng)，總是從一個安全狀態(tài)啟動，并且在所有遷移當(dāng)中保持安全狀態(tài)，只允許主體以和安全策略相一致的安全方式來訪問資源安全的狀態(tài)機(jī)模型是其他安全模型的基礎(chǔ),狀態(tài)機(jī)模型（State

40、Machine Models）,Bell-LaPadula 模型,1973年，David Bell和Len LaPadula提出了第一個正式的安全模型，該模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別。將數(shù)據(jù)劃分為多安全級別與敏感度的系統(tǒng)稱之為多級安全系統(tǒng)為美國國防部多級安全策略形式化而開發(fā)Bell-LaPadula保密性模型是第一個能夠提供分級別數(shù)據(jù)機(jī)密性保障的安全策略模型(多級安全)。特點(diǎn)：信息流安全模型只對機(jī)密性

41、進(jìn)行處理運(yùn)用狀態(tài)機(jī)模型和狀態(tài)轉(zhuǎn)換的概念基于政府信息分級——無密級、敏感但無密級、機(jī)密、秘密、絕密“Need to know”——誰需要知道？開始于安全狀態(tài)，在多個安全狀態(tài)中轉(zhuǎn)換(初始狀態(tài)必須安全，轉(zhuǎn)變結(jié)果才在安全狀態(tài)),Bell-LaPadula 模型安全規(guī)則,簡單安全規(guī)則ss (Simple Security Property )安全級別低的主體不能讀安全級別高的客體信息(No Read Up)星規(guī)則* The * (s

42、tar) security Property安全級別高的主體不能往低級別的客體寫(No write Down)強(qiáng)星規(guī)則 Strong * property不允許對另一級別進(jìn)行讀取自主安全規(guī)則ds (Discretionary security Property )使用訪問控制矩陣來定義說明自由存取控制內(nèi)容相關(guān) Content Dependent 上下文相關(guān)Context Dependent,BLP模型的缺陷,不能防止隱蔽通

43、道(covert channels)不針對使用文件共享和服務(wù)器的現(xiàn)代信息系統(tǒng)沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移(secure state transition)基于多級安全保護(hù)(multilevel security)而未針對其他策略類型 不涉及訪問控制管理不保護(hù)完整性和可用性,Biba模型,完整性的三個目標(biāo)：保護(hù)數(shù)據(jù)不被未授權(quán)用戶更改；保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改(未授權(quán)更改)；維持?jǐn)?shù)據(jù)內(nèi)部和外部的一致性1977作為Bell-L

44、apadula的完整性補(bǔ)充而提出, 用于非軍事行業(yè)Biba基于一種層次化的完整性級別格子(hierarchical lattice of integrity levels)，是一種信息流安全模型。特點(diǎn)：基于小于或等于關(guān)系的偏序的格最小上限(上確界)， least upper bound (LUB)最大下限(下確界)，greatest lower bound (GLB)Lattice = (IC,<= , LUB, GU

45、B) 數(shù)據(jù)和用戶分級強(qiáng)制訪問控制,Biba模型安全規(guī)則,*完整性公理：主題不能向位于較高完整性級別的客體寫數(shù)據(jù)，不能向上寫簡單完整性公理：主題不能從較低完整性級別讀取數(shù)據(jù)，不能向下讀調(diào)用屬性：主體不能請求完整性級別更高的主體服務(wù)信息來源，可信數(shù)據(jù),Clark-Wilson模型,在1987年被提出的經(jīng)常應(yīng)用在銀行應(yīng)用中以保證數(shù)據(jù)完整性實(shí)現(xiàn)基于成形的事務(wù)處理機(jī)制要求完整性標(biāo)記定義：受限數(shù)據(jù)條目Constrained D

46、ata Item (CDI) 完整性檢查程序Integrity Verification Procedure (IVP)轉(zhuǎn)換程序Transformation Procedure (TP)自由數(shù)據(jù)條目Unconstrained Data ItemClark-Wilson需要integrity label用于確定一個數(shù)據(jù)項(xiàng)的完整級別，并在TP后驗(yàn)證其完整性是否維持，采用了實(shí)現(xiàn)內(nèi)/外一致性的機(jī)制，separation of duty,

47、 mandatory integrity policy,Clark-Wilson模型,完整性的模型沒有像Biba那樣使用lattice結(jié)構(gòu)，而是使用Subject/Program/Object這樣的三方關(guān)系（triple），Subject并不能直接訪問Object，只能通過Program來訪問兩個原則：well-formed transactions：采用了program的形式，主體只能通過program訪問客體，每個恰當(dāng)設(shè)計的p

48、rogram都有特定的限制規(guī)則，這就有效限制了主體的能力separation of duties：將關(guān)鍵功能分成兩個或多個部分，必須由不同的主體去完成各個部分，可防止已授權(quán)用戶進(jìn)行未授權(quán)的修改要求具有審計能力（Auditing）Clark-Wilson model也被稱作restricted interface model該模型考慮到了完整性的3個目標(biāo)，而Biba模型只考慮了第一個：防止未授權(quán)用戶更改；防止授權(quán)用戶的不正確更改（

49、職責(zé)分離），維護(hù)內(nèi)部和外部的一致性,信息流模型（Information Flow Model）,基于狀態(tài)機(jī)，由對象、狀態(tài)轉(zhuǎn)換以及格(流策略)狀態(tài)組成,對象可以是用戶，每個對象都被分配一個安全等級和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息從高安全等級流向低安全等級，后者要防止信息從低安全等級流向高安全等級信息流模型并不是只處理信息流向，也可以處理流類型信息流模型用于防止未授權(quán)的、不安全的或者受到限制的

50、信息流，信息流可以是同一級別主體與客體之間的，也可以是不同級別間的信息流模型允許所有授權(quán)信息流，無論是否在同一級別; 信息流模型防止所有未授權(quán)的信息流，無論是否在同一級別信息被限制在策略允許的方向流動,隱蔽信道（Covert Channels）,隱蔽通道是一種讓一個實(shí)體以未授權(quán)方式接收信息。條件在產(chǎn)品開發(fā)過程中不當(dāng)監(jiān)督在軟件中實(shí)施不當(dāng)?shù)脑L問控制兩個實(shí)體之間未適當(dāng)?shù)乜刂乒蚕碣Y源隱蔽通道有兩種類型：存儲：存儲隱蔽通道，

51、進(jìn)程能夠通過系統(tǒng)的一些類型的存儲空間通信。（木馬）通過創(chuàng)建文件。計時一個進(jìn)程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個進(jìn)程中繼續(xù)傳送數(shù)據(jù)。,非干涉模型（Noninterference Model）,基于信息流模型非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài)或者其他主體活動的某個主體的活動確保在較高安全級別發(fā)生的任何活動不會影響，或者干涉在較低安全級別發(fā)生的活動。如果在較高安全級內(nèi)的一個實(shí)體執(zhí)行一項(xiàng)操作，那么它不能改變在較低安全

52、級內(nèi)實(shí)體的狀態(tài)如果一個處于較低安全級的實(shí)體感受到了由處于較高安全級內(nèi)的一個實(shí)體所引發(fā)的某種活動，那么該實(shí)體可能能夠推斷出較高級別的信息，引發(fā)信息泄漏基本原理為，一組用戶(A)使用命令(C)，不被用戶組(B)(使用命令D)干擾，可以表達(dá)成A, C:| B, D，同樣，使用命令C的組A的行為不能被使用命令D的組B看到,格子模型（Lattice Model）,Lattice 模型通過劃分安全邊界對BLP模型進(jìn)行了擴(kuò)充，它將用戶和資源進(jìn)行分

53、類，并允許它們之間交換信息，這是多邊安全體系的基礎(chǔ)。多邊安全的焦點(diǎn)是在不同的安全集束（部門，組織等）間控制信息的流動，而不僅是垂直檢驗(yàn)其敏感級別。建立多邊安全的基礎(chǔ)是為分屬不同安全集束的主體劃分安全等級，同樣在不同安全集束中的客體也必須進(jìn)行安全等級劃分，一個主體可同時從屬于多個安全集束，而一個客體僅能位于一個安全集束。在執(zhí)行訪問控制功能時，lattice模型本質(zhì)上同BLP模型是相同的，而lattice模型更注重形成"安全

54、集束"。BLP模型中的"上讀下寫"原則在此仍然適用，但前提條件必須是各對象位于相同的安全集束中。主體和客體位于不同的安全集束時不具有可比性，因此在它們中沒有信息可以流通。,Brewer and Nash Model,Brew and Nash: Chinese WallChinese Wall模型是應(yīng)用在多邊安全系統(tǒng)中的安全模型（也就是多個組織間的訪問控制系統(tǒng)），應(yīng)用在可能存在利益沖突的組織中。最初是為投

55、資銀行設(shè)計的，但也可應(yīng)用在其它相似的場合。 Chinese Wall安全策略的基礎(chǔ)是客戶訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，一個銀行會同時擁有多個互為競爭者的客戶，一個銀行家可能為一個客戶工作，但他可以訪問所有客戶的信息。因此，應(yīng)當(dāng)制止該銀行家訪問其它客戶的數(shù)據(jù)。Chinese Wall安全模型的兩個主要屬性：用戶必須選擇一個他可以訪問的區(qū)域用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問這種

56、模型同時包括了DAC和MAC的屬性：銀行家可以選擇為誰工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。,Graham-Denning模型,如何安全地創(chuàng)建一個客體如何安全地創(chuàng)建一個主體如何安全地刪除客體如何安全地刪除主體如何安全地提供讀訪問權(quán)如何安全地提供準(zhǔn)許接入權(quán)如何安全地提供刪除訪問權(quán)限如何安全地提供轉(zhuǎn)移訪問權(quán)限,Harrison-Ruzzo-Ullman（HRU）模型,主體的訪問權(quán)限以及這些權(quán)限的完整性

57、。主體只能對客體執(zhí)行一組有限的操作HRU被軟件設(shè)計人員用來確保沒有引入意外脆弱性，從而可以實(shí)現(xiàn)訪問控制目標(biāo),操作安全模式（Security Modes of Operation ）,信任與保證,TCSEC中，較低保證級別評定工作會考察系統(tǒng)的保護(hù)機(jī)制和測試結(jié)果，較高保證級別評定工作更多考查系統(tǒng)的設(shè)計、規(guī)范、開發(fā)過程、支持文檔以及測試結(jié)果,系統(tǒng)評估方法（Systems Evaluation Methods ）,ITSEC 1991,C

58、C 1.01996,TCSEC 1985,,CTCPEC 1993,FC 1992,,,,,ISO15408 1999,,CC 2.01998,GB/T 18336 2001,CD1997,FCD1998,,,,,GIB 2646 1996,GB 17859 1999,,,,,,GB/T 18336 2008,,ISO15408 1999,,橘皮書（Orange Book）,Trusted Computer Syste

59、m Evaluation Criteria（TCSEC），是一個評估OS、應(yīng)用的、系統(tǒng)的規(guī)范，評價不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和保證程度，提供多種級別。1970年由美國國防科學(xué)委員會提出。1985年公布。主要為軍用標(biāo)準(zhǔn)，延用至民用。TCSEC2000年被Common Criteria所替代，是第一個涉及計算機(jī)系統(tǒng)的安全規(guī)范。,TCSEC等級,D — 最小保護(hù)(minimal protection)C — 自主保護(hù)(d

60、iscretionary protection)C1: 選擇安全性保護(hù)，Discretionary Security ProtectionC2: 受約束的訪問保護(hù)，Controlled Access Protection B — 強(qiáng)制保護(hù)(mandatory protection)B1: 標(biāo)簽式安全保護(hù)，Labeled SecurityB2: 結(jié)構(gòu)化保護(hù)，Structure ProtectionB3: 安全域，Securit

61、y DomainA — 校驗(yàn)保護(hù)(verified protection)A1: 驗(yàn)證設(shè)計，Verified Design,,橘皮書和彩虹系列（The Orange Book and the Rainbow Series ）,橘皮書（Orange Book）專門針對操作系統(tǒng)主要著眼于安全的一個屬性（機(jī)密性）適用于政府分類評級數(shù)量較少紅皮書（Red Book）單個系統(tǒng)的安全問題解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評估問題，主要針對獨(dú)

62、立局域網(wǎng)和廣域網(wǎng)系統(tǒng)涉及通信完整性、防止拒絕服務(wù)、泄露保護(hù),信息技術(shù)安全評估標(biāo)準(zhǔn)（Information Technology Security）,Information Technology Security Evaluation Criteria （ITSEC） 歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。首次提出了信息安全的保密性、完整性、可用性的概念評

63、估對象TOE(Target of Evaluation )產(chǎn)品和系統(tǒng)安全性目標(biāo)security target安全增強(qiáng)機(jī)制安全策略,通用標(biāo)準(zhǔn)（Common Criteria ）,定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，與PDR(防護(hù)、檢聽、反應(yīng))模型和現(xiàn)代動態(tài)安全概念相符合的，強(qiáng)調(diào)安全的假設(shè)、威脅的、安全策略等安全需求的針對性，充分突出保護(hù)輪廓強(qiáng)調(diào)把安全需求劃分為安全功能需求

64、和安全保證需求兩個獨(dú)立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的安全等級定義了7個評估保證級別(EAL)，每一級均需評估7個功能類,通用標(biāo)準(zhǔn)（Common Criteria ）,CC（ISO/IEC 15408-X）分為三個部分：第一部分：介紹和一般模型 —— 一般性概念，IT安全評估的原則，高級編寫規(guī)范，對目標(biāo)受眾的有用價值。對消費(fèi)者來說是不錯的背景介紹和參考。第二部分：安全功能需求 —— 功能性需求，組件，評估目標(biāo)(Target

65、of Evaluation，TOE)；對消費(fèi)者來說是不錯的指導(dǎo)和參考，可以用來闡述對安全功能的需求。第三部分：安全保障 —— 對TOE的保障需求(assurance requirement)，對保護(hù)輪廓(Protection Profile)和安全目標(biāo)(Security Target)的評估標(biāo)準(zhǔn)。指導(dǎo)消費(fèi)者提出相應(yīng)的保障等級,通用標(biāo)準(zhǔn)概念,保護(hù)輪廓（Protection profile，PP）滿足特定用戶需求、與一類TOE實(shí)現(xiàn)無關(guān)的一

66、組安全要求。評估對象（Target of evaluation ，TOE）作為評估主體的IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。安全目標(biāo)（Security target ）作為指定的TOE評估基礎(chǔ)的一組安全要求和規(guī)范。安全功能（Security functional requirements）規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事安全保證（Security assurance requirements）對功能產(chǎn)生信心的方法

67、包-功能保證級（Packages—EALs）把功能和保證要求封裝起來，以便今后使用。這部分描述必須得到滿足，以實(shí)現(xiàn)特定的EAL等級。,評估標(biāo)準(zhǔn)間的比較,認(rèn)證與認(rèn)可（Certification vs. Accreditation ）,認(rèn)證, Certification評估技術(shù)和非技術(shù)特征以確定設(shè)計是否符合安全要求認(rèn)可, Accreditation認(rèn)證權(quán)威 DAA (Designated Approving Authority )

68、來自于指定的認(rèn)證權(quán)威的正式聲明，表明系統(tǒng)已被認(rèn)可在安全狀態(tài)下運(yùn)行,一些威脅的評估（A Few Threats to Review ）,維護(hù)鉤子（Maintenance Hooks）檢驗(yàn)時間/使用時間攻擊(Time-of-Check/Time-of-Use Attacks，TOC/TOU),維護(hù)鉤子（Maintenance Hooks）,軟件內(nèi)開發(fā)人員才知道和能夠調(diào)用的指令,使他們能夠方便的訪問代碼.對策使用主機(jī)入侵檢測系統(tǒng)監(jiān)視通