安全架構(gòu)和設(shè)計(jì)

1、安全架構(gòu)和設(shè)計(jì)Security Architecture and Design CISSP培訓(xùn)PPT之四關(guān)鍵知識(shí)領(lǐng)域A. A. 理解安全模型的基本概念（如保密性、完整性與多層次模型）B. B. 理解信息系統(tǒng)安全評(píng)估模型的組成B.1 產(chǎn)品評(píng)估模型（如通用準(zhǔn)則）B.2 工業(yè)與國際安全實(shí)施準(zhǔn)則（如PIC-DSS、ISO）C. C. 理解信息系統(tǒng)的安全功能（如內(nèi)存保護(hù)、虛擬技術(shù)、可信平臺(tái)模塊）D. D. 理解安全架構(gòu)的漏洞D.1 系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）D.2 技術(shù)與流程的整合（如單點(diǎn)故障、面向服務(wù)的架構(gòu)）E. E. 理解軟件與系統(tǒng)的漏洞與威脅E.1 基于Web（如XML、SAML、OW

2、ASP）E.2 基于客戶端（如小程序）E.3 基于服務(wù)器（如數(shù)據(jù)流量控制）E.4 數(shù)據(jù)庫安全（如推斷、聚合、數(shù)據(jù)挖掘、數(shù)據(jù)倉庫）E.5 分布式系統(tǒng)（如云計(jì)算、網(wǎng)格計(jì)算、對(duì)等網(wǎng)絡(luò)）F. F. 理解對(duì)抗原理（如深度防御）目錄計(jì)算機(jī)安全系統(tǒng)架構(gòu)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)操作系統(tǒng)架構(gòu)系統(tǒng)安全體系結(jié)構(gòu)安全模型操作安全模式系統(tǒng)評(píng)價(jià)方法橘皮書和彩虹系列信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)通用標(biāo)準(zhǔn)認(rèn)證與認(rèn)可開放與封閉系統(tǒng)一些威脅的評(píng)估計(jì)算機(jī)安全（Computer Security ）可用性：防止丟失或訪問，數(shù)據(jù)和資源流失Availability: Prevention of loss of, or loss of access to,

3、data and resources完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改Integrity: Prevention of unauthorized modification of data and resources保密性：防止未授權(quán)披露的數(shù)據(jù)和資源Confidentiality: Prevention of unauthorized disclosure of data and resources系統(tǒng)架構(gòu)（System Architecture ）架構(gòu)（Architecture）：體現(xiàn)在其組成部分，它們彼此之間以及與環(huán)境的關(guān)系，和指導(dǎo)原則其設(shè)計(jì)和演進(jìn)的系統(tǒng)的基本組織。架構(gòu)描述（Archit

4、ectural description ，AD）：以正式的方式表述一個(gè)架構(gòu)的文檔集合。利益相關(guān)者（Stakeholder）：對(duì)于系統(tǒng)有利益關(guān)系或關(guān)注系統(tǒng)的個(gè)人、團(tuán)隊(duì)、組織（或集體）視圖（View）：從相關(guān)的一組關(guān)注點(diǎn)透視出的整個(gè)系統(tǒng)的表述視角（Viewpoint）：關(guān)于建設(shè)和使用視圖的慣例性說明，也是通過明確視圖建立目的、讀者，確立視圖與分析技巧后開發(fā)單個(gè)視圖的模板。正式的架構(gòu)術(shù)語和關(guān)系計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)（Computer Architecture ）計(jì)算機(jī)體系結(jié)構(gòu)包括所有用于它的計(jì)算機(jī)系統(tǒng)的所必需的部件的功能，包括操作系統(tǒng)，存儲(chǔ)芯片，邏輯電路，存儲(chǔ)設(shè)備，輸入和輸出設(shè)備，安全組件，總線和網(wǎng)絡(luò)接口。

5、中央處理器（The Central Processing Unit）多重處理（Multiprocessing）操作系統(tǒng)組件（Operating System Components）中央處理器（The Central Processing Unit，CPU）計(jì)算機(jī)的大腦。對(duì)CPU最常見的描述可能是：它從存儲(chǔ)器中提取指令并加以執(zhí)行?？刂茊卧阈g(shù)邏輯單元寄存器數(shù)據(jù)高速緩存器解碼單元預(yù)取單元指令高速緩存器總線單元（主存儲(chǔ)器）中央處理器（The Central Processing Unit，CPU）中央處理單元是計(jì)算機(jī)硬件的核心，主要任務(wù)是執(zhí)行各種命令，完成各種運(yùn)算和控制功能，是計(jì)算機(jī)的心臟，決定著系

6、統(tǒng)的類型、性能和速度，CPU中包含：(1)算術(shù)邏輯運(yùn)算單元ALU (Arithmetic Logic Unit) ：主要負(fù)責(zé)數(shù)據(jù)的計(jì)算或處理。(2)控制單元(Control unit)：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指令進(jìn)出CPU；并控制ALU的動(dòng)作。(3)寄存器/緩存器(Registers)：負(fù)責(zé)儲(chǔ)存數(shù)據(jù)，以利CPU快速地存取。累加器(Accumulator)程序記數(shù)器(Program Counter)內(nèi)存地址寄存器(Memory Address Register) 內(nèi)存數(shù)據(jù)寄存器(Memory Buffer Register)指令寄存器(Instruction Register) (4)連結(jié)路徑

7、(interconnection path)：負(fù)責(zé)連接CPU內(nèi)部的組件，以利數(shù)據(jù)或控制訊號(hào)在不同組件間流傳。CPU運(yùn)行狀態(tài)運(yùn)行狀態(tài)：Run/operating state執(zhí)行指令解題狀態(tài)：Application/Problem state執(zhí)行應(yīng)用程序僅執(zhí)行非特權(quán)(nonprivileged instructions)指令管理程序狀態(tài)：Supervisor state 特權(quán)模式下執(zhí)行程序可以訪問整個(gè)系統(tǒng)，同時(shí)執(zhí)行特權(quán)( Privileged instructions )和非特權(quán)指令等待狀態(tài)：Wait state 等待特定事件完成多重處理（Multiprocessing）對(duì)稱模式多重處理（Symm

8、etric mode multiprocessing ）計(jì)算機(jī)有兩個(gè)或者多個(gè)CPU且每個(gè)CPU都使用加載均衡方式非對(duì)稱模式多重處理（Asymmetric mode multiprocessing ）計(jì)算機(jī)有兩個(gè)或者多個(gè)CPU，且有一個(gè)CPU僅專門處理一個(gè)特定程序，而其他CPU執(zhí)行通用的處理程序關(guān)鍵概念通用寄存器（General registers ）：CPU在執(zhí)行指令過程中使用的臨時(shí)存儲(chǔ)位置。特殊寄存器（Special registers ）：保存關(guān)鍵處理參數(shù)的臨時(shí)存儲(chǔ)位置。保存諸如程序計(jì)數(shù)器，堆棧指針，程序狀態(tài)字（PSW）。程序計(jì)數(shù)器（Program counter ）：為CPU所要執(zhí)行的指

9、令保存存儲(chǔ)器地址棧（Stack ）：進(jìn)程用來彼此傳輸指令和數(shù)據(jù)的存儲(chǔ)器分段程序狀態(tài)字（Program status word ）：向CPU表明需要用什么狀態(tài)（內(nèi)核模式還是用戶模式）運(yùn)行的條件變量關(guān)鍵概念用戶模式（問題狀態(tài)）（User mode (problem state) ）：CPU在執(zhí)行不太可信的進(jìn)程指令時(shí)所用的保護(hù)模式內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（Kernel mode (supervisory state, privilege mode)）：CPU在執(zhí)行較為可信的進(jìn)程指令時(shí)所用的工作狀態(tài)，進(jìn)程在內(nèi)核模式下比在用戶模式下可以訪問更多的計(jì)算機(jī)資源地址總線（Address bus）：處理組

10、件和存儲(chǔ)器段之間的物理連接，用來傳輸處理過程中所擁到的物理存儲(chǔ)器地址數(shù)據(jù)總線（Data bus）：處理組件和存儲(chǔ)器段之間的物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。操作系統(tǒng)組件（Operating System Components）進(jìn)程管理（Process Management）線程管理（Thread Management）進(jìn)程調(diào)度（Process Scheduling）進(jìn)程活動(dòng)（Process Activity）進(jìn)程管理（Process Management）進(jìn)程管理：操作系統(tǒng)的職能之一，主要是對(duì)處理機(jī)進(jìn)行管理。為了提高CPU的利用率而采用多道程序技術(shù)。通過進(jìn)程管理來協(xié)調(diào)多道程序之間的關(guān)系

11、，使CPU得到充分的利用。進(jìn)程：Process一個(gè)獨(dú)立運(yùn)行的程序，有自己的地址空間, 是程序運(yùn)行的動(dòng)態(tài)過程只能有限地與其它進(jìn)程通信，由OS負(fù)責(zé)處理進(jìn)程間的通信進(jìn)程是程序運(yùn)行的一個(gè)實(shí)例，是運(yùn)行著的程序關(guān)鍵概念多程序設(shè)計(jì)(MultiProgramming)一個(gè)處理器允許多處程序的將交叉運(yùn)行, 即兩個(gè)或兩個(gè)以上程序在計(jì)算機(jī)系統(tǒng)中同處于開始個(gè)結(jié)束之間的狀態(tài)：多道、宏觀上并行、微觀上串行 解決主機(jī)和外轉(zhuǎn)設(shè)備速度不匹配問題，為提高CPU的利用率。通過進(jìn)程管理，協(xié)調(diào)多道程序之間的CPU分配調(diào)度、沖突處理及資源回收等關(guān)系。對(duì)象重用問題, TOC/TOU多任務(wù)（MultiTasking）單個(gè)處理器對(duì)兩個(gè)或兩個(gè)以

12、上的任務(wù)并行執(zhí)行、交叉執(zhí)行實(shí)時(shí)多任務(wù)(Realtime)、搶占式多任務(wù)(Preemptive)、協(xié)作式多任務(wù)(Cooperative)關(guān)鍵概念中斷（Interrupts）：分配給計(jì)算機(jī)部件（硬件和軟件）的值，以對(duì)計(jì)算機(jī)資源進(jìn)行有效的時(shí)間分片?？善帘沃袛啵∕askable interrupt ）：分配給非關(guān)鍵操作系統(tǒng)活動(dòng)中斷值。不可屏蔽中斷（Nonmaskable interrupt）：分配給關(guān)鍵操作系統(tǒng)活動(dòng)中斷值。線程管理（Thread Management）線程（Thread）：是為了節(jié)省資源而可以在同一個(gè)進(jìn)程中共享資源的一個(gè)執(zhí)行單位。多線程（Multithreading）：通過生成不同指令

13、集（線程）同時(shí)執(zhí)行多個(gè)活動(dòng)的應(yīng)用程序進(jìn)程調(diào)度（Process Scheduling）無論是在批處理系統(tǒng)還是分時(shí)系統(tǒng)中，用戶進(jìn)程數(shù)一般都多于處理機(jī)數(shù)、這將導(dǎo)致它們互相爭(zhēng)奪處理機(jī)。另外，系統(tǒng)進(jìn)程也同樣需要使用處理機(jī)。這就要求進(jìn)程調(diào)度程序按一定的策略，動(dòng)態(tài)地把處理機(jī)分配給處于就緒隊(duì)列中的某一個(gè)進(jìn)程，以使之執(zhí)行。軟件死鎖（Software deadlock ）：兩個(gè)進(jìn)程都在等待系統(tǒng)資源被釋放額導(dǎo)致不能完成他們的活動(dòng)的情況。存儲(chǔ)器管理管理目標(biāo)為編程人員提供一個(gè)抽象層通過有限的可用存儲(chǔ)器提供最高性能保護(hù)操作系統(tǒng)與加載入存儲(chǔ)器的應(yīng)用程序存儲(chǔ)器管理器五項(xiàng)基本功能重新部署根據(jù)需要，在RAM和硬盤之間交換內(nèi)容保護(hù)

14、限制進(jìn)程只與分配給它們的存儲(chǔ)器段交互，為存儲(chǔ)器段提供訪問控制共享當(dāng)進(jìn)程需要使用相同的共享存儲(chǔ)器段時(shí)，使用復(fù)雜的控制來確保完整性和機(jī)密性邏輯組織允許共享特定的軟件模塊物理組織為應(yīng)用程序和操作系統(tǒng)進(jìn)程劃分物理存儲(chǔ)器空間存儲(chǔ)器類型隨機(jī)存取存儲(chǔ)器（Random access memory，RAM）可隨時(shí)寫入或讀出數(shù)據(jù)用于操作系統(tǒng)和應(yīng)用所執(zhí)行的讀寫活動(dòng)，即通常所說的內(nèi)存寄存器，RegisterCache動(dòng)態(tài)隨機(jī)儲(chǔ)存內(nèi)存(Dynamic RAM, DRAM)靜態(tài)隨機(jī)儲(chǔ)存內(nèi)存(Static RAM，SRAM)由CPU直接存取關(guān)閉電源存放在DRAM、寄存器、Cache的內(nèi)容消失，不可永久保存資料存儲(chǔ)器類型只讀

15、存儲(chǔ)器（Read only memory，ROM）只能讀不能寫關(guān)閉電源內(nèi)容不消失，可永久保存數(shù)據(jù)。而使用SRAM進(jìn)行存儲(chǔ)，需要有電池等設(shè)備。種類：PROM( programmable ROM)：數(shù)據(jù)或程序可依使用者的需求來燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。EPROM( erasable PROM)：可擦拭可程序規(guī)劃的ROM，舊有的數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復(fù)使用該顆EPROM，來燒錄不同程序的程序或數(shù)據(jù)。EEPROM( electrically erase PROM)：電子式可擦拭可程序規(guī)劃的ROM。MASK ROM：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時(shí)寫入。存儲(chǔ)

16、器類型高速緩存（Cache Memory）為了緩和CPU與主存儲(chǔ)器之間速度的矛盾，在CPU和主存儲(chǔ)器之間設(shè)置一個(gè)緩沖性的高速存儲(chǔ)部件，它的工作速度接近CPU的工作速度，但其存儲(chǔ)容量比主存儲(chǔ)器小得多。高速緩存分為兩種，一種是內(nèi)建在CPU中的L1快取，另一種則是在CPU之外，稱為L(zhǎng)2快取。高速緩存愈大，對(duì)計(jì)算機(jī)執(zhí)行效率的幫助愈大。速度最快、最貴存儲(chǔ)器映射（Memory Mapping）緩沖區(qū)溢出（Buffer Overflows）緩沖區(qū)溢出攻擊利用編寫不夠嚴(yán)謹(jǐn)?shù)某绦?，通過向程序的緩存區(qū)寫入超過預(yù)定長(zhǎng)度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導(dǎo)致程序執(zhí)行流程的改變。 存儲(chǔ)器泄露（Memory L

17、eaks）開發(fā)正確釋放存儲(chǔ)器的更完善的代碼使用垃圾收集器（garbage collector）虛擬存儲(chǔ)器（Virtual Memory）通過使用二級(jí)存儲(chǔ)器(部分硬盤空間)來擴(kuò)展內(nèi)存(RAM)的容量，對(duì)未被執(zhí)行的程序頁進(jìn)行處理虛擬存儲(chǔ)器屬于操作系統(tǒng)中存儲(chǔ)管理的內(nèi)容，因此，其大部分功能由軟件實(shí)現(xiàn)。 虛擬存儲(chǔ)器是一個(gè)邏輯模型，并不是一個(gè)實(shí)際的物理存儲(chǔ)器。虛擬存儲(chǔ)器的作用：分隔地址空間；解決主存的容量問題；程序的重定位虛擬存儲(chǔ)器不僅解決了存儲(chǔ)容量和存取速度之間的矛盾，而且也是管理存儲(chǔ)設(shè)備的有效方法。有了虛擬存儲(chǔ)器，用戶無需考慮所編程序在主存中是否放得下或放在什么位置等問題。輸入輸出設(shè)備管理輸入是把信息

18、送入計(jì)算機(jī)系統(tǒng)的過程，輸出是從計(jì)算機(jī)系統(tǒng)送出信息的過程，用戶通過輸入/輸出設(shè)備與計(jì)算機(jī)系統(tǒng)互相通信。常用輸入設(shè)備：鍵盤、鼠標(biāo)器、掃描儀常用輸出設(shè)備：顯示器、打印機(jī)、繪圖儀輸出/輸入接口數(shù)據(jù)要從計(jì)算機(jī)內(nèi)部輸出時(shí)，它會(huì)將內(nèi)部的表示法轉(zhuǎn)成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從外圍設(shè)備傳數(shù)據(jù)到計(jì)算機(jī)內(nèi)部，它也會(huì)將外界的數(shù)據(jù)格式轉(zhuǎn)成計(jì)算機(jī)內(nèi)部看得懂的表示法。I/O技術(shù)可編程Programmed I/O速度慢中斷驅(qū)動(dòng)Interrupt-driven I/O由外部發(fā)出請(qǐng)求，請(qǐng)求CPU中斷或結(jié)束正常程序運(yùn)行處理中斷導(dǎo)致時(shí)間消耗DMA I/O using DMA是一種完全由硬件執(zhí)行I/O交換的工作方式。速

19、度快映射前Premapped I/OI/O取得足夠信任全映射Fully mapped I/O不完全信任I/OCPU架構(gòu)保護(hù)環(huán)Protection Ring一組同心的編號(hào)環(huán) 環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù)表示越高的特權(quán)程序假定執(zhí)行環(huán)數(shù)的位置 程序不可以直接訪問比自身高的層次，如需訪問，系統(tǒng)調(diào)用(system call)一般使用4個(gè)保護(hù)環(huán)：Ring 1 操作系統(tǒng)安全核心Ring 2 其他操作系統(tǒng)功能 設(shè)圖示控制器Ring 3 系統(tǒng)應(yīng)用程序，數(shù)據(jù)庫功能等Ring 4 應(yīng)用程序空間操作系統(tǒng)架構(gòu)（Operating System Architectures）單塊操作系統(tǒng)架構(gòu)分層操作系統(tǒng)架構(gòu)操作系統(tǒng)架

20、構(gòu)單片（Monolithic ）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。分層（Layered）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下的分層模型上運(yùn)行。微內(nèi)核（Microkernel）核心操作系統(tǒng)進(jìn)程運(yùn)行在內(nèi)核模式，其余運(yùn)行在用戶模式?；旌衔?nèi)核（Hybrid microkernel）所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。核心進(jìn)程運(yùn)行在微內(nèi)核，其他運(yùn)行在客戶端服務(wù)器模式。虛擬機(jī)系統(tǒng)安全體系結(jié)構(gòu)（System Security Architecture）安全策略（Security Policy）安全架構(gòu)要求（Security Architecture Requirements）安全策略（Security Policy

21、）安全架構(gòu)要求（Security Architecture Requirements）可信計(jì)算基（Trusted Computing Base）安全邊界（Security Perimeter）引用監(jiān)視器（Reference Monitor，RM）安全內(nèi)核（Security Kernel）可信計(jì)算基（Trusted Computing Base）TCB是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制的總體, 包括硬件、固體、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。TCB由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一的安全策略。TCB的三個(gè)要求TCB必須保證其自身在一個(gè)域中的執(zhí)行，防止被外界干擾或破壞TCB所控制的資源必須是已經(jīng)定義的

22、主體或客體的子集TCB必須隔離被保護(hù)的資源，以便進(jìn)行訪問控制和審計(jì)TCB維護(hù)每個(gè)域的保密性和完整性，監(jiān)視4個(gè)基本功能進(jìn)程激活：Process activation執(zhí)行域的切換：Execution domain switching內(nèi)存保護(hù)：Memory protectionI/O操作：I/O operation引用監(jiān)視器（Reference Monitor，RM）RM是一個(gè)抽象機(jī)的訪問控制概念，基于訪問控制數(shù)據(jù)庫協(xié)調(diào)所有主體對(duì)客體的訪問RM的任務(wù)根據(jù)訪問控制數(shù)據(jù)庫，對(duì)主體對(duì)客體的訪問請(qǐng)求做出是否允許的裁決，并將該請(qǐng)求記錄到審計(jì)數(shù)據(jù)庫中。注意：基準(zhǔn)監(jiān)視器有動(dòng)態(tài)維護(hù)訪問控制數(shù)據(jù)庫的能力。RM的特性：

23、執(zhí)行主體到對(duì)象所有訪問的抽象機(jī)必須執(zhí)行所有訪問，能夠在修改中被保護(hù)，能夠恢復(fù)正常，并且總是被調(diào)用。處理所有主體到客體訪問的抽象機(jī)安全內(nèi)核（Security Kernel）安全內(nèi)核是TCB中執(zhí)行引用監(jiān)視器概念的硬件、固件和軟件元素理論基礎(chǔ)：在一個(gè)大的操作系統(tǒng)中，只將相對(duì)比較小的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全，并將實(shí)施安全的這部分軟件隔離在一個(gè)可信的安全核，這個(gè)核就稱為安全核。需要滿足三個(gè)原則完備性：協(xié)調(diào)所有的訪問控制隔離性：受保護(hù)，不允許被修改可驗(yàn)證性：被驗(yàn)證是正確的安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，幾乎可以說是唯一能夠?qū)嵱玫募夹g(shù)。引用監(jiān)視器RM是概念，抽象的機(jī)器，協(xié)調(diào)所有主體對(duì)對(duì)象間

24、的訪問；安全內(nèi)核是硬件，是TCB中執(zhí)行RM的部分，TCB中除安全內(nèi)核外還有其它安全機(jī)制安全模型（Security Models ）狀態(tài)機(jī)模型（State Machine Models）Bell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型（Information Flow Model）非干涉模型（Noninterference Model）格子模型（Lattice Model）Brewer and Nash模型Graham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型狀態(tài)機(jī)模型（State Machine Models）狀態(tài)機(jī)模型描述了

25、一種無論處于何種狀態(tài)都是安全的系統(tǒng)一個(gè)狀態(tài)（State）是處于特定時(shí)刻系統(tǒng)的一個(gè)快照，如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之為安全的State transition：狀態(tài)轉(zhuǎn)換，許多活動(dòng)可能會(huì)改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（State transition），遷移總是導(dǎo)致新的狀態(tài)的出現(xiàn)如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于不安全狀態(tài)，則系統(tǒng)執(zhí)行一個(gè)安全狀態(tài)機(jī)模型：secure state model。一個(gè)安全的狀態(tài)機(jī)模型系統(tǒng)，總是從一個(gè)安全狀態(tài)啟動(dòng)，并且在所有遷移當(dāng)中保持安全狀態(tài)，只允許主體以和安全策略相一致的安全方式來訪問資源安全的狀態(tài)機(jī)模型是其他安全模型的基礎(chǔ)狀態(tài)機(jī)模型（St

26、ate Machine Models）Bell-LaPadula 模型1973年，David Bell和Len LaPadula提出了第一個(gè)正式的安全模型，該模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級(jí)別。將數(shù)據(jù)劃分為多安全級(jí)別與敏感度的系統(tǒng)稱之為多級(jí)安全系統(tǒng)為美國國防部多級(jí)安全策略形式化而開發(fā)Bell-LaPadula保密性模型是第一個(gè)能夠提供分級(jí)別數(shù)據(jù)機(jī)密性保障的安全策略模型(多級(jí)安全)。特點(diǎn)：信息流安全模型只對(duì)機(jī)密性進(jìn)行處理運(yùn)用狀態(tài)機(jī)模型和狀態(tài)轉(zhuǎn)換的概念基于政府信息分級(jí)無密級(jí)、敏感但無密級(jí)、機(jī)密、秘密、絕密“Need to know”誰需要知道？開始于安全狀態(tài)，在多個(gè)安全狀態(tài)中轉(zhuǎn)

27、換(初始狀態(tài)必須安全，轉(zhuǎn)變結(jié)果才在安全狀態(tài))Bell-LaPadula 模型安全規(guī)則簡(jiǎn)單安全規(guī)則ss (Simple Security Property )安全級(jí)別低的主體不能讀安全級(jí)別高的客體信息(No Read Up)星規(guī)則* The * (star) security Property安全級(jí)別高的主體不能往低級(jí)別的客體寫(No write Down)強(qiáng)星規(guī)則 Strong * property不允許對(duì)另一級(jí)別進(jìn)行讀取自主安全規(guī)則ds (Discretionary security Property )使用訪問控制矩陣來定義說明自由存取控制內(nèi)容相關(guān) Content Dependent 上下

28、文相關(guān)Context DependentBLP模型的缺陷不能防止隱蔽通道(covert channels)不針對(duì)使用文件共享和服務(wù)器的現(xiàn)代信息系統(tǒng)沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移(secure state transition)基于多級(jí)安全保護(hù)(multilevel security)而未針對(duì)其他策略類型 不涉及訪問控制管理不保護(hù)完整性和可用性Biba模型完整性的三個(gè)目標(biāo)：保護(hù)數(shù)據(jù)不被未授權(quán)用戶更改；保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改(未授權(quán)更改)；維持?jǐn)?shù)據(jù)內(nèi)部和外部的一致性1977作為Bell-Lapadula的完整性補(bǔ)充而提出, 用于非軍事行業(yè)Biba基于一種層次化的完整性級(jí)別格子(hierarch

29、ical lattice of integrity levels)，是一種信息流安全模型。特點(diǎn)：基于小于或等于關(guān)系的偏序的格最小上限(上確界)， least upper bound (LUB)最大下限(下確界)，greatest lower bound (GLB)Lattice = (IC,= , LUB, GUB) 數(shù)據(jù)和用戶分級(jí)強(qiáng)制訪問控制Clark-Wilson模型在1987年被提出的經(jīng)常應(yīng)用在銀行應(yīng)用中以保證數(shù)據(jù)完整性實(shí)現(xiàn)基于成形的事務(wù)處理機(jī)制要求完整性標(biāo)記定義：受限數(shù)據(jù)條目Constrained Data Item (CDI) 完整性檢查程序Integrity Verificatio

30、n Procedure (IVP)轉(zhuǎn)換程序Transformation Procedure (TP)自由數(shù)據(jù)條目Unconstrained Data ItemClark-Wilson需要integrity label用于確定一個(gè)數(shù)據(jù)項(xiàng)的完整級(jí)別，并在TP后驗(yàn)證其完整性是否維持，采用了實(shí)現(xiàn)內(nèi)/外一致性的機(jī)制，separation of duty, mandatory integrity policyClark-Wilson模型完整性的模型沒有像Biba那樣使用lattice結(jié)構(gòu)，而是使用Subject/Program/Object這樣的三方關(guān)系（triple），Subject并不能直接訪問Obj

31、ect，只能通過Program來訪問兩個(gè)原則：well-formed transactions：采用了program的形式，主體只能通過program訪問客體，每個(gè)恰當(dāng)設(shè)計(jì)的program都有特定的限制規(guī)則，這就有效限制了主體的能力separation of duties：將關(guān)鍵功能分成兩個(gè)或多個(gè)部分，必須由不同的主體去完成各個(gè)部分，可防止已授權(quán)用戶進(jìn)行未授權(quán)的修改要求具有審計(jì)能力（Auditing）Clark-Wilson model也被稱作restricted interface model該模型考慮到了完整性的3個(gè)目標(biāo)，而Biba模型只考慮了第一個(gè)信息流模型（Information Fl

32、ow Model）基于狀態(tài)機(jī)，由對(duì)象、狀態(tài)轉(zhuǎn)換以及格(流策略)狀態(tài)組成,對(duì)象可以是用戶，每個(gè)對(duì)象都被分配一個(gè)安全等級(jí)和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息從高安全等級(jí)流向低安全等級(jí)，后者要防止信息從低安全等級(jí)流向高安全等級(jí)信息流模型并不是只處理信息流向，也可以處理流類型信息流模型用于防止未授權(quán)的、不安全的或者受到限制的信息流，信息流可以是同一級(jí)別主體與客體之間的，也可以是不同級(jí)別間的信息流模型允許所有授權(quán)信息流，無論是否在同一級(jí)別; 信息流模型防止所有未授權(quán)的信息流，無論是否在同一級(jí)別信息被限制在策略允許的方向流動(dòng)隱蔽信道（Covert Channels）隱

33、蔽通道是一種讓一個(gè)實(shí)體以未授權(quán)方式接收信息。條件在產(chǎn)品開發(fā)過程中不當(dāng)監(jiān)督在軟件中實(shí)施不當(dāng)?shù)脑L問控制兩個(gè)實(shí)體之間未適當(dāng)?shù)乜刂乒蚕碣Y源隱蔽通道有兩種類型：存儲(chǔ)：存儲(chǔ)隱蔽通道，進(jìn)程能夠通過系統(tǒng)的一些類型的存儲(chǔ)空間通信。（木馬）通過創(chuàng)建文件。計(jì)時(shí)一個(gè)進(jìn)程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個(gè)進(jìn)程中繼續(xù)傳送數(shù)據(jù)。非干涉模型（Noninterference Model）基于信息流模型非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài)或者其他主體活動(dòng)的某個(gè)主體的活動(dòng)確保在較高安全級(jí)別發(fā)生的任何活動(dòng)不會(huì)影響，或者干涉在較低安全級(jí)別發(fā)生的活動(dòng)。如果在較高安全級(jí)內(nèi)的一個(gè)實(shí)體執(zhí)行一項(xiàng)操作，那么它不能改變?cè)谳^低安全級(jí)內(nèi)

34、實(shí)體的狀態(tài)如果一個(gè)處于較低安全級(jí)的實(shí)體感受到了由處于較高安全級(jí)內(nèi)的一個(gè)實(shí)體所引發(fā)的某種活動(dòng)，那么該實(shí)體可能能夠推斷出較高級(jí)別的信息，引發(fā)信息泄漏基本原理為，一組用戶(A)使用命令(C)，不被用戶組(B)(使用命令D)干擾，可以表達(dá)成A, C:| B, D，同樣，使用命令C的組A的行為不能被使用命令D的組B看到格子模型（Lattice Model）Lattice 模型通過劃分安全邊界對(duì)BLP模型進(jìn)行了擴(kuò)充，它將用戶和資源進(jìn)行分類，并允許它們之間交換信息，這是多邊安全體系的基礎(chǔ)。多邊安全的焦點(diǎn)是在不同的安全集束（部門，組織等）間控制信息的流動(dòng)，而不僅是垂直檢驗(yàn)其敏感級(jí)別。建立多邊安全的基礎(chǔ)是為分屬

35、不同安全集束的主體劃分安全等級(jí)，同樣在不同安全集束中的客體也必須進(jìn)行安全等級(jí)劃分，一個(gè)主體可同時(shí)從屬于多個(gè)安全集束，而一個(gè)客體僅能位于一個(gè)安全集束。在執(zhí)行訪問控制功能時(shí)，lattice模型本質(zhì)上同BLP模型是相同的，而lattice模型更注重形成安全集束。BLP模型中的上讀下寫原則在此仍然適用，但前提條件必須是各對(duì)象位于相同的安全集束中。主體和客體位于不同的安全集束時(shí)不具有可比性，因此在它們中沒有信息可以流通。Brewer and Nash ModelBrew and Nash: Chinese WallChinese Wall模型是應(yīng)用在多邊安全系統(tǒng)中的安全模型（也就是多個(gè)組織間的訪問控制系

36、統(tǒng)），應(yīng)用在可能存在利益沖突的組織中。最初是為投資銀行設(shè)計(jì)的，但也可應(yīng)用在其它相似的場(chǎng)合。 Chinese Wall安全策略的基礎(chǔ)是客戶訪問的信息不會(huì)與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，一個(gè)銀行會(huì)同時(shí)擁有多個(gè)互為競(jìng)爭(zhēng)者的客戶，一個(gè)銀行家可能為一個(gè)客戶工作，但他可以訪問所有客戶的信息。因此，應(yīng)當(dāng)制止該銀行家訪問其它客戶的數(shù)據(jù)。Chinese Wall安全模型的兩個(gè)主要屬性：用戶必須選擇一個(gè)他可以訪問的區(qū)域用戶必須自動(dòng)拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問這種模型同時(shí)包括了DAC和MAC的屬性：銀行家可以選擇為誰工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。Gr

37、aham-Denning模型如何安全地創(chuàng)建一個(gè)客體如何安全地創(chuàng)建一個(gè)主體如何安全地刪除客體如何安全地刪除主體如何安全地提供讀訪問權(quán)如何安全地提供準(zhǔn)許接入權(quán)如何安全地提供刪除訪問權(quán)限如何安全地提供轉(zhuǎn)移訪問權(quán)限Harrison-Ruzzo-Ullman（HRU）模型主體的訪問權(quán)限以及這些權(quán)限的完整性。主體只能對(duì)客體執(zhí)行一組有限的操作HRU被軟件設(shè)計(jì)人員用來確保沒有引入意外脆弱性，從而可以實(shí)現(xiàn)訪問控制目標(biāo)操作安全模式（Security Modes of Operation ）專用安全模式專用安全模式Dedicated Security Mode訪問系統(tǒng)上所有信息的適當(dāng)許可訪問系統(tǒng)上所有信息的正式訪問

38、批準(zhǔn)訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“任何用戶都能夠訪問所有數(shù)據(jù)系統(tǒng)高安全模式系統(tǒng)高安全模式System High-Security Mode訪問系統(tǒng)上所有信息的適當(dāng)許可訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn)訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”,所有用戶都能訪問一些數(shù)據(jù)分隔安全模式分隔安全模式Compartmented Security Mode訪問系統(tǒng)上所有信息的適當(dāng)許可訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn)訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”和正式批準(zhǔn),所有用戶都能訪

39、問一些數(shù)據(jù)多級(jí)安全模式多級(jí)安全模式Multilevel Security Mode訪問系統(tǒng)上所有信息的適當(dāng)許可訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn)訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”、許可和正式批準(zhǔn),所有用戶都能訪問一些數(shù)據(jù)系統(tǒng)評(píng)估方法（Systems Evaluation Methods ）ITSEC 1991CC 1.01996TCSEC 1985CTCPEC 1993FC 1992ISO15408 1999CC 2.01998GB/T 18336 2001CD1997FCD1998GIB 2646 1996GB 17859 1999GB/T

40、 18336 2008ISO15408 1999橘皮書（Orange Book）Trusted Computer System Evaluation Criteria（TCSEC），是一個(gè)評(píng)估OS、應(yīng)用的、系統(tǒng)的規(guī)范，評(píng)價(jià)不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和保證程度，提供多種級(jí)別。1970年由美國國防科學(xué)委員會(huì)提出。1985年公布。主要為軍用標(biāo)準(zhǔn)，延用至民用。TCSEC2000年被Common Criteria所替代，是第一個(gè)涉及計(jì)算機(jī)系統(tǒng)的安全規(guī)范。TCSEC等級(jí)D 最小保護(hù)(minimal protection)C 自主保護(hù)(discretionary protection)C1:

41、選擇安全性保護(hù)，Discretionary Security ProtectionC2: 受約束的訪問保護(hù)，Controlled Access Protection B 強(qiáng)制保護(hù)(mandatory protection)B1: 標(biāo)簽式安全保護(hù)，Labeled SecurityB2: 結(jié)構(gòu)化保護(hù)，Structure ProtectionB3: 安全域，Security DomainA 校驗(yàn)保護(hù)(verified protection)A1: 驗(yàn)證設(shè)計(jì)，Verified Design類別類別名稱名稱主要特征主要特征安全要求安全要求A驗(yàn)證設(shè)計(jì)（verity design）形式化的最高級(jí)描述和驗(yàn)證，

42、形式化的隱密通道分析，非形式化的代碼一致性證明設(shè)計(jì)必須從數(shù)學(xué)角度上經(jīng)過驗(yàn)證，而且必須進(jìn)行秘密能道和可信任分布的分析。B3安全域(security domain)安全內(nèi)核，高抗?jié)B透能力用戶工作站或終端能過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)B2結(jié)構(gòu)防護(hù)（structured protection）設(shè)計(jì)系統(tǒng)時(shí)必須有一個(gè)合理的總體設(shè)計(jì)方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的滲透能力，訪問控制應(yīng)對(duì)所有的主體和客體提供保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析計(jì)算機(jī)系統(tǒng)中所有對(duì)象都加標(biāo)簽，而且給設(shè)備（如工作站、終端和磁盤驅(qū)動(dòng)器）分配安全級(jí)別。B1標(biāo)號(hào)安全防護(hù)（label security protection）除了C2級(jí)

43、別的安全需求外，增加安全策略模型，數(shù)據(jù)標(biāo)號(hào)（安全和屬性）在不同級(jí)別對(duì)敏感信息提供更高級(jí)的保護(hù)，讓每個(gè)對(duì)象都有有一個(gè)敏感標(biāo)簽C2受控的訪問環(huán)境存取控制以用戶為單位廣泛的審計(jì)加入身份認(rèn)證級(jí)別，系統(tǒng)對(duì)發(fā)生的事件加以審計(jì)并寫入日志C1選擇性安全防護(hù)（discretionary security protection）有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位硬件有一定的安全保護(hù)（如硬件有帶鎖裝置），用戶在使用計(jì)算機(jī)系統(tǒng)前必須先登錄。允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。D最小保護(hù)保護(hù)措施很小，沒有安全功能不要求用戶進(jìn)行登記（要求用戶提供用戶名）或使用密碼（要求用戶提供惟一的字

44、符串來進(jìn)行訪問）橘皮書和彩虹系列（The Orange Book and the Rainbow Series ）橘皮書（Orange Book）專門針對(duì)操作系統(tǒng)主要著眼于安全的一個(gè)屬性（機(jī)密性）適用于政府分類評(píng)級(jí)數(shù)量較少紅皮書（Red Book）單個(gè)系統(tǒng)的安全問題解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評(píng)估問題，主要針對(duì)獨(dú)立局域網(wǎng)和廣域網(wǎng)系統(tǒng)涉及通信完整性、防止拒絕服務(wù)、泄露保護(hù)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（Information Technology Security）Information Technology Security Evaluation Criteria （ITSEC） 歐洲多國安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。首次提