《安全架構(gòu)和設(shè)計(jì)》word版

1、安全架構(gòu)和設(shè)計(jì)12安全架構(gòu)和設(shè)計(jì)（1）如果把信息安全管理比作指引組織進(jìn)行安全項(xiàng)目的路標(biāo)，那么安全架構(gòu)和設(shè)計(jì)便是組織通往信息安全這個(gè)目標(biāo)所用的交通工具的基本結(jié)構(gòu)，它包括用于設(shè)計(jì)、實(shí)施、監(jiān)控和保護(hù)操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用以及用以實(shí)施各種級(jí)別保密性、完整性和可用性控制的概念、原則、結(jié)構(gòu)和標(biāo)準(zhǔn)。安全架構(gòu)和設(shè)計(jì)CBK的內(nèi)容大概可以分為四個(gè)部分：概念部分、保護(hù)機(jī)制、安全模型和系統(tǒng)測(cè)評(píng)，J0ker打算用5到6個(gè)文章的篇幅，逐一介紹這些內(nèi)容并總結(jié)CISSP考試的重點(diǎn)。本文先從第一部分： 概念部分開(kāi)始。在進(jìn)行一個(gè)信息系統(tǒng)的設(shè)計(jì)時(shí)，我們需要對(duì)目標(biāo)系統(tǒng)的眾多需求進(jìn)行平衡，這些需求包括功能、靈活性、性能、易用性、成

2、本、業(yè)務(wù)需求和安全。這里強(qiáng)調(diào)一下，安全應(yīng)該在系統(tǒng)設(shè)計(jì)中的開(kāi)始階段就作為一個(gè)關(guān)鍵因素進(jìn)行考慮，使用了超過(guò)業(yè)務(wù)需求的安全性能，就會(huì)導(dǎo)致用戶體驗(yàn)的惡化，但降低的安全性能也會(huì)系統(tǒng)的部署和運(yùn)行維護(hù)成本將會(huì)大大增加。系統(tǒng)設(shè)計(jì)的過(guò)程就是平衡多種需求的過(guò)程，設(shè)計(jì)者通常需要根據(jù)組成構(gòu)架的每個(gè)元素的重要性，來(lái)確定如何Trade-off。在設(shè)計(jì)階段考慮安全性，并不會(huì)對(duì)架構(gòu)的設(shè)計(jì)增加太多的勞動(dòng)量，它可以平滑的嵌入到架構(gòu)設(shè)計(jì)的各個(gè)階段，這樣就可以保證安全性可以隨著架構(gòu)逐漸的設(shè)計(jì)完成而完成。安全架構(gòu)從概念上說(shuō)，便是從安全角度審視整個(gè)系統(tǒng)架構(gòu)，它主要提供系統(tǒng)架構(gòu)所需要的安全服務(wù)、機(jī)制、技術(shù)和功能，并提供如何進(jìn)行安全設(shè)施部署

3、的建議。CISSP CBK中在安全架構(gòu)概念部分的安排里面，還要求CISSP對(duì)最基本的架構(gòu)有了解，它所指出的就是Layered Approach，也就是分層結(jié)構(gòu)。請(qǐng)看下圖： 圖1 在這個(gè)架構(gòu)中，用戶只與應(yīng)用程序進(jìn)行交流，而操作系統(tǒng)向上負(fù)責(zé)與應(yīng)用程序，向下負(fù)責(zé)與硬件、網(wǎng)絡(luò)層進(jìn)行聯(lián)絡(luò)。為了更好的理解安全架構(gòu)，CISSP還需要進(jìn)一步的了解分層結(jié)構(gòu)包含的底層架構(gòu)，列表如下：Platform Architecture 平臺(tái)架構(gòu)Network Environment 網(wǎng)絡(luò)環(huán)境Enterprise Architecture 企業(yè)架構(gòu)Security Model 安全模型Protection Mechanism

4、s 保護(hù)機(jī)制在深入討論這些組成安全架構(gòu)的元素之前，朋友們還要了解一點(diǎn)，安全架構(gòu)的設(shè)計(jì)應(yīng)該和組織的安全策略相吻合，否則就不能實(shí)現(xiàn)組織的安全目標(biāo)。關(guān)于安全策略的詳細(xì)內(nèi)容大家可參與CISSP Official Guide、All in One或本系列文章的之前內(nèi)容。平臺(tái)架構(gòu)主要指馮諾依曼的經(jīng)典計(jì)算機(jī)模型，CISSP需要了解操作系統(tǒng)軟件和工具的概念和功能、組成計(jì)算機(jī)的CPU、內(nèi)存、存儲(chǔ)設(shè)備的類型和輸入輸出設(shè)備的概念和功能、針對(duì)內(nèi)存攻擊的類型等。從CISSP考試的模擬題和J0ker自己參加過(guò)的考試來(lái)看，關(guān)于平臺(tái)架構(gòu)的題目一般只會(huì)簡(jiǎn)單的考察概念。網(wǎng)絡(luò)環(huán)境方面主要是對(duì)常見(jiàn)的網(wǎng)絡(luò)威脅進(jìn)行分類，在Telecom

5、munication and Network Security CBK中有更深入的介紹。企業(yè)架構(gòu)主要是指組織本身對(duì)人員和職能的劃分，在Official Guide中定義了六個(gè)角色和與其相對(duì)應(yīng)的職能，朋友們?cè)趶?fù)習(xí)時(shí)也需要記住。安全模型指的是一些常見(jiàn)的保證信息安全的保密性完整性可用性(CIA)三角的控制模型，這是本CBK的考察重點(diǎn)，J0ker在后面的文章還將詳細(xì)講述。另外，在這一節(jié)中，有以下的一些概念在復(fù)習(xí)時(shí)也需要理解一下：CPU的狀態(tài)內(nèi)存管理中的分頁(yè)技術(shù)、虛擬內(nèi)存技術(shù)以及相應(yīng)的內(nèi)存保護(hù)、攻擊技術(shù)TOU/TOC Time of use/Time of check多種類型的操作系統(tǒng)類型的概念及其安全

6、性共享環(huán)境(Shared environment)下的攻擊概念系統(tǒng)五種安全模式的概念Dedicated Security modeSystem high-security modeMulti-level security modeControlled modeCompartmentalized security mode 這一個(gè)CBK里的概念比較多也比較抽象，但因?yàn)檫@一章里面的內(nèi)容對(duì)后面的CBK起了技術(shù)方面的總領(lǐng)作用，CISSP考試也以考概念為主，建議朋友們?cè)趶?fù)習(xí)這個(gè)CBK時(shí)盡量靜下心來(lái)看。13安全架構(gòu)和設(shè)計(jì)之安全模型我們都知道，信息安全的目的就是要保證信息資產(chǎn)的三個(gè)元素：保密性，完整性和可用

7、性（CIA），CIA這個(gè)也就是這三個(gè)元素開(kāi)始為人們所關(guān)注的時(shí)間的先后。現(xiàn)在系統(tǒng)設(shè)計(jì)中所使用的安全模型的出現(xiàn)的順序也大概如此，先出現(xiàn)專門針對(duì)保密性的BLP模型，然后出現(xiàn)針對(duì)完整性的Biba模型、Clark-Wilson模型等，在訪問(wèn)控制中所使用的訪問(wèn)控制列表/矩陣（Access Control List(ACL)/Access Control Matrix(ACM)），在CISSP的CBK內(nèi)容中也把它劃分到安全模型的范圍內(nèi)。順便說(shuō)明一下，因?yàn)榭捎眯员旧砩婕暗降囊蛩睾芏?，并沒(méi)有一個(gè)被廣泛接受的通用安全模型，所以CISSP的CBK里只要求掌握針對(duì)保密性和完整性的安全模型。安全模型所依賴的理論基礎(chǔ)狀態(tài)

8、機(jī)模型和信息流模型狀態(tài)機(jī)（State Machine）模型是信息安全里用來(lái)描述無(wú)論何時(shí)狀態(tài)都是安全的系統(tǒng)模型，而處于特定時(shí)刻系統(tǒng)的快照便是一種狀態(tài)(State)，如果這種狀態(tài)滿足安全策略的要求，我們就可以認(rèn)為它是安全的。許多活動(dòng)會(huì)導(dǎo)致系統(tǒng)狀態(tài)的改變，稱之為狀態(tài)轉(zhuǎn)換（States transaction），如果這些活動(dòng)都是系統(tǒng)所允許而且不會(huì)威脅到系統(tǒng)安全的，則系統(tǒng)執(zhí)行的便是安全的狀態(tài)機(jī)模型（Secure State Machine）。一個(gè)安全狀態(tài)機(jī)模型總是從安全的狀態(tài)啟動(dòng)，并且在所有狀態(tài)的轉(zhuǎn)換中保證安全，并只允許行為的實(shí)施者以符合安全策略要求的形式去訪問(wèn)資源。信息流（Information fl

9、ow）模型是狀態(tài)機(jī)模型的具體化，在這個(gè)模型中，信息在的傳遞被抽象成流的形式，大家可以想象一下水流的樣子。信息流模型由對(duì)象，狀態(tài)轉(zhuǎn)換和信息流策略所組成，其中的對(duì)象可以是用戶，每個(gè)對(duì)象都會(huì)根據(jù)信息流策略分配一個(gè)安全等級(jí)和具體化的數(shù)值。信息流不單可以處理信息流的流向，同時(shí)它還可以處理信息流的種類在BLP模型中，信息流模型處理的便是保密性，而在Biba模型中信息流所處理的則變成完整性。由于信息流動(dòng)的行為可以在同安全級(jí)別的主體和客體之間發(fā)生，也可以在不同一個(gè)安全級(jí)別的情況下發(fā)生，所以信息流模型主要用于防止未授權(quán)的、不安全的或受限制的信息流動(dòng)，信息只能夠在安全策略允許的方向上流動(dòng)。狀態(tài)機(jī)模型和信息流模型的

10、進(jìn)一步具體化就是CISSP CBK中所包括的安全模型，CISSP CBK中所提到的安全模型有：Bell-Lapadula(BLP模型)、Biba模型、Clark-Wilson模型、訪問(wèn)控制矩陣模型、China Wall模型、Lattice模型。下面J0ker將向大家逐一介紹。前面說(shuō)過(guò)，在信息安全目標(biāo)的三個(gè)元素里面最先為人們所關(guān)注的是保密性，因此，在1973年出現(xiàn)了第一個(gè)針對(duì)保密性的安全模型Bell-Lapadula模型，這個(gè)模型由David Bell和Len Lapadula為美國(guó)國(guó)防部的多級(jí)安全策略的具體化而開(kāi)發(fā)。它基于強(qiáng)制訪問(wèn)控制系統(tǒng)（MAC），以信息的敏感度作為安全等級(jí)的劃分標(biāo)準(zhǔn)，它的特

11、點(diǎn)如下：基于狀態(tài)機(jī)和信息流模型只針對(duì)保密性進(jìn)行處理基于美國(guó)政府信息分級(jí)標(biāo)準(zhǔn)分為：Unclassified、Restricted、Confidential、Secret、Top Secret使用“Need to know” 原則開(kāi)始于安全狀態(tài)，在多個(gè)安全狀態(tài)中進(jìn)行轉(zhuǎn)換（要求初始狀態(tài)必須為安全，轉(zhuǎn)換結(jié)果才在安全狀態(tài)）上圖 來(lái)自CISSP Official Guide，是BLP模型的安全策略示意圖，BLP模型規(guī)定，信息只能按照安全等級(jí)從下往上流動(dòng)，或者根據(jù)策略的規(guī)定在同安全級(jí)別間流動(dòng)。由于BLP模型存在不保護(hù)信息的完整性和可用性，不涉及訪問(wèn)控制等缺點(diǎn)，1977年Biba模型作為BLP模型的補(bǔ)充而提出

12、，它針對(duì)的是信息的完整性保護(hù)，主要用于非軍用領(lǐng)域。它和BLP模型相類似，也是基于狀態(tài)機(jī)和信息流模型，也使用了和BLP模型相似的安全等級(jí)劃分方式，只不過(guò)Biba模型的劃分標(biāo)準(zhǔn)是信息對(duì)象的完整性。上圖 來(lái)自于CISSP Official Guide，Biba模型規(guī)定，信息只能從高完整性的安全等級(jí)向低完整性的安全等級(jí)流動(dòng)，也就是要防止 低完整性的信息“污染”高完整性的信息。我們知道，信息安全對(duì)完整性的要求有3個(gè)目標(biāo)：防止數(shù)據(jù)不被未授權(quán)用戶修改、保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改、維護(hù)數(shù)據(jù)的內(nèi)部和外部一致性。Biba模型中只實(shí)現(xiàn)了完整性要求的第一點(diǎn)。于是，針對(duì)Biba模型的不足，1987年，另外一個(gè)完整性模

13、型Clark-Wilson模型被提出，這個(gè)模型實(shí)現(xiàn)了成型的事務(wù)處理機(jī)制，目前常用于銀行系統(tǒng)中以保證數(shù)據(jù)完整性。Clark-Wilson模型的特點(diǎn)是：采用Subject/Program/Object 三元素的組成方式，Subject要訪問(wèn)Object只能通過(guò)Program進(jìn)行權(quán)限分離原則：將關(guān)鍵功能分為由2個(gè)或多個(gè)Subject完成，防止已授權(quán)用戶進(jìn)行未授權(quán)的修改要求具有設(shè)計(jì)能力（Auditing）因?yàn)镃lark-Wilson模型因?yàn)槭褂昧薖rogram這一元素進(jìn)行Subject對(duì)Object的訪問(wèn)控制手段，因此Clark-Wilson模型也常稱為Restricted Interface模型。訪

14、問(wèn)控制矩陣模型不屬于信息流模型，它主要用于Subject對(duì)Object的訪問(wèn)進(jìn)行控制的領(lǐng)域：上圖 來(lái)自CISSP Official Guide，訪問(wèn)控制矩陣模型定義了每一個(gè)Subject對(duì)每一個(gè)Object的訪問(wèn)權(quán)限，而單個(gè)Subject對(duì)所用Object的訪問(wèn)權(quán)限控制模型通常稱為訪問(wèn)控制列表，也即Access Control List。針對(duì)民用領(lǐng)域有對(duì)保密性控制靈活性的需求，同時(shí)安全要求也沒(méi)有政府和軍用領(lǐng)域的嚴(yán)格，Lattice模型作為BLP模型的擴(kuò)展被提出。Lattice模型同樣是基于信息流和狀態(tài)機(jī)模型，但Lattice模型使用安全范圍來(lái)代替BLP模型里面的安全等級(jí)概念，已實(shí)現(xiàn)更靈活的保密

15、性控制需求。如上圖，在Lattice模型中，一個(gè)Subject可以訪問(wèn)安全級(jí)別基于Sensitive和Private之間的信息。這種權(quán)限設(shè)置常可以在企業(yè)中看到。China Wall模型于1989年由Brew和Nash提出，這個(gè)模型和上述的安全模型不同，它主要用于可能存在利益沖突的多邊應(yīng)用體系中。比如在某個(gè)領(lǐng)域有兩個(gè)競(jìng)爭(zhēng)對(duì)手同時(shí)選擇了一個(gè)投資銀行作為他們的服務(wù)機(jī)構(gòu)，而這個(gè)銀行出于對(duì)這兩個(gè)客戶的商業(yè)機(jī)密的保護(hù)就只能為其中一個(gè)客戶提供服務(wù)。China Wall模型的特點(diǎn)是：用戶必須選擇一個(gè)他可以自由訪問(wèn)的領(lǐng)域用戶必須拒絕來(lái)自其他與其已選區(qū)域的內(nèi)容沖突的其他內(nèi)容的訪問(wèn)。以上的安全模型便是CISSP C

16、BK中所包含的眾多經(jīng)典安全模型，在許多系統(tǒng)和應(yīng)用也常常可以找到它們的使用，朋友們可以結(jié)合這些實(shí)際例子來(lái)加強(qiáng)理解。14系統(tǒng)架構(gòu)和設(shè)計(jì)之保護(hù)機(jī)制安全模型只是個(gè)概念，要把它應(yīng)用到實(shí)踐中，就需要使用到本文要介紹的保護(hù)機(jī)制，它是比安全模型更具體，更接近實(shí)際應(yīng)用的概念，當(dāng)前的許多操作系統(tǒng)、安全軟件產(chǎn)品的基礎(chǔ)，都是建立在它之上的（再次提醒，CISSP考試不涉及具體的產(chǎn)品和技術(shù)細(xì)節(jié)）。保護(hù)機(jī)制實(shí)現(xiàn)的目標(biāo)是將系統(tǒng)內(nèi)的所有實(shí)體（數(shù)據(jù)、用戶、程序等）進(jìn)行隔離，并通過(guò)一定的規(guī)則允許實(shí)體間進(jìn)行訪問(wèn)。因此從所執(zhí)行的動(dòng)作，保護(hù)機(jī)制可以分成主動(dòng)（Active）和被動(dòng)（Passive）兩類：主動(dòng)保護(hù)機(jī)制是根據(jù)所定義的規(guī)則，主動(dòng)

17、阻止對(duì)指定實(shí)體的訪問(wèn)，訪問(wèn)控制、內(nèi)存保護(hù)等技術(shù)都屬于主動(dòng)保護(hù)機(jī)制；而被動(dòng)保護(hù)機(jī)制本身不會(huì)阻止對(duì)指定實(shí)體的訪問(wèn)，但會(huì)通過(guò)阻止對(duì)指定實(shí)體的使用來(lái)實(shí)現(xiàn)保護(hù)功能，我們使用加密技術(shù)來(lái)防止信息的泄漏、用Checksum來(lái)檢測(cè)對(duì)信息的未授權(quán)修改，都屬于被動(dòng)保護(hù)機(jī)制。保護(hù)機(jī)制通常部署到操作系統(tǒng)、硬件或固件上，CISSP CBK中將它按照所部署的位置分成三類：平臺(tái)（Platform）、大型機(jī)（Mainframe）、網(wǎng)絡(luò)（Network），下面J0ker給逐一給大家介紹在這三個(gè)分類上使用的保護(hù)機(jī)制：平臺(tái)保護(hù)和大型機(jī)保護(hù)機(jī)制：平臺(tái)保護(hù)是主要用在通用操作系統(tǒng)上的保護(hù)機(jī)制，主要以軟件實(shí)現(xiàn)為主；大型機(jī)保護(hù)則是主要應(yīng)用于大

18、型機(jī)上的保護(hù)機(jī)制，一般使用專用的安全硬件實(shí)現(xiàn)。但隨著近年來(lái)軟硬件技術(shù)的發(fā)展，這兩個(gè)分類所使用的保護(hù)技術(shù)都在互相融合，由于硬件產(chǎn)品集成度提高和價(jià)格的大大下降，許多PC和工作站上已經(jīng)集成了原來(lái)只在大型機(jī)上使用的安全硬件，而大型機(jī)為了降低制造成本，也將越來(lái)越多的保護(hù)功能通過(guò)軟件來(lái)實(shí)現(xiàn)，所以在CISSPOfficialGuide中不再將平臺(tái)保護(hù)和大型機(jī)保護(hù)分開(kāi)來(lái)列，而是將它們所用的保護(hù)技術(shù)列在一起。使用在這兩個(gè)分類的保護(hù)技術(shù)可信計(jì)算基礎(chǔ)（Trusted Computing Base，TCB）：TCB是一個(gè)計(jì)算機(jī)系統(tǒng)中所有提供保護(hù)功能的組件的總稱，包括硬件、軟件、固件、進(jìn)程和一些進(jìn)程間的通信等，它通過(guò)這

19、些組件完成對(duì)安全策略的實(shí)現(xiàn)。TCP功能的實(shí)現(xiàn)是根據(jù)其內(nèi)置的保護(hù)機(jī)制或用戶所輸入的參數(shù)，來(lái)保證安全策略的實(shí)施或滿足相應(yīng)的安全標(biāo)準(zhǔn)（如TCSEC等）。不過(guò)要注意的是，TCB是一個(gè)定義而不是一個(gè)特定的產(chǎn)品，目前的大部分操作系統(tǒng)都沒(méi)有完全使用TCB的全部組件，只使用了TCB用來(lái)執(zhí)行功能的一部分，這個(gè)部分就是接下去要介紹到的引用監(jiān)視器（Reference Monitor）。TCB的設(shè)計(jì)需求如下：1、TCB應(yīng)該在一個(gè)不受外部干擾影響的自有域內(nèi)執(zhí)行2、TCB所控制的資源應(yīng)根據(jù)使用關(guān)系分為使用者（Subject）和目標(biāo)（Object）兩個(gè)子集3、TCB應(yīng)該把資源進(jìn)行隔離以執(zhí)行訪問(wèn)控制和審計(jì)功能TCB提供的基本

20、功能有：1、進(jìn)程激活：在一個(gè)多重處理的環(huán)境內(nèi)管理進(jìn)程激活/掛起時(shí)提供寄存器、文件訪問(wèn)列表、進(jìn)程狀態(tài)信息和指針等敏感信息的管理功能2、執(zhí)行域切換：確保在一個(gè)域內(nèi)執(zhí)行的進(jìn)程不會(huì)影響到其他域內(nèi)的其他進(jìn)程3、內(nèi)存保護(hù)：確保每個(gè)域所使用的內(nèi)存的安全4、輸入輸出操作：監(jiān)視程序?qū)υO(shè)備直接或間接的輸入輸出操作引用監(jiān)視器（Reference Monitor）：RM的功能是根據(jù)訪問(wèn)控制數(shù)據(jù)庫(kù)的定義，對(duì)抽象系統(tǒng)中所有使用者對(duì)目標(biāo)的訪問(wèn)進(jìn)行控制。安全內(nèi)核（Security Kernel）：安全內(nèi)核由TCB的硬件、軟件和固件部分加上引用監(jiān)視器所構(gòu)成，我們可以這樣來(lái)區(qū)分安全內(nèi)核和引用監(jiān)視器：引用監(jiān)視器和安全內(nèi)核的功能是相

21、同的，但引用監(jiān)視器是執(zhí)行訪問(wèn)控制功能的抽象模型，而安全內(nèi)核則是使用在各種系統(tǒng)中的具體實(shí)現(xiàn)。安全內(nèi)核的結(jié)構(gòu)如下圖：為了保證安全功能的實(shí)現(xiàn)，安全內(nèi)核必須滿足以下三個(gè)要求：1、安全內(nèi)核能管理所有的訪問(wèn)（全局性）2、安全內(nèi)核能保護(hù)自己不受有意或意外修改（隔離性）3、安全內(nèi)核可以通過(guò)驗(yàn)證確定其有效性（可驗(yàn)證性）TCB、RM和Security Kernel這三個(gè)概念挺容易混淆，CISSP考試也經(jīng)?？己伺c它們相關(guān)的內(nèi)容，復(fù)習(xí)的時(shí)候應(yīng)當(dāng)注意一下。安全邊界（Security Perimeter）：用來(lái)隔離安全內(nèi)核內(nèi)外的資源，安全邊界外的資源是不可信的。注意將它和近兩年常說(shuō)的“邊界安全“相區(qū)別。分層（Layeri

22、ng）：分層是指在系統(tǒng)設(shè)計(jì)時(shí)對(duì)功能和實(shí)現(xiàn)按照一定的原則進(jìn)行分層，層次越低的權(quán)限越高，每一層的操作和使用的數(shù)據(jù)都盡量不對(duì)其它層次產(chǎn)生影響，這里會(huì)引入一個(gè)技術(shù)數(shù)據(jù)隱藏（Data Hiding）。此外，部署安全措施的層次越低，則安全措施的效能和控制范圍就越好，因此應(yīng)該把安全措施部署在系統(tǒng)的最底層，下面是一個(gè)示例系統(tǒng)的分層：TOC/TOU保護(hù)：系統(tǒng)設(shè)計(jì)時(shí)需要使用資源鎖定防止權(quán)限低的進(jìn)程/用戶通過(guò)劫持或修改特權(quán)用戶的操作的途徑訪問(wèn)敏感信息。額外保護(hù)（Guard Protection）：系統(tǒng)常常需要使用其他的方案來(lái)提供額外的保護(hù)，比如在數(shù)據(jù)庫(kù)系統(tǒng)中，除了在數(shù)據(jù)庫(kù)本身對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制之外，通常還會(huì)通

23、過(guò)提供一個(gè)帶有查詢檢查功能的界面來(lái)限制用戶提交不符合安全策略規(guī)定的查詢。進(jìn)程隔離（Process Isolation）：系統(tǒng)對(duì)同時(shí)執(zhí)行的進(jìn)程進(jìn)行隔離，防止進(jìn)程之間的互相影響，這個(gè)功能在現(xiàn)代操作系統(tǒng)中是一個(gè)基本功能。最低權(quán)限原則（Least Privilege）：系統(tǒng)中所有的權(quán)限給予滿足操作所需的最低權(quán)限即可，這個(gè)在其他許多領(lǐng)域也能看到，比如許多企業(yè)內(nèi)網(wǎng)用戶只有User權(quán)限，不能夠在自己的機(jī)器上安裝或修改軟件，要新增軟件必須由管理員干涉。加固（Hardening）：加固是通過(guò)一定的操作和配置使系統(tǒng)的安全程度得到提高，它不屬于系統(tǒng)設(shè)計(jì)階段，而屬于系統(tǒng)的部署和維護(hù)階段。以上是在系統(tǒng)設(shè)計(jì)時(shí)常使用的安全

24、措施，此外，根據(jù)安全措施在系統(tǒng)中部署的層次不同，還可以將其分為通用操作系統(tǒng)級(jí)保護(hù)、應(yīng)用程序級(jí)保護(hù)、存儲(chǔ)設(shè)備保護(hù)、網(wǎng)絡(luò)級(jí)保護(hù)。其中：操作系統(tǒng)級(jí)別保護(hù)需要滿足的需求有：用戶識(shí)別和認(rèn)證（User Identification and Authentication）強(qiáng)制訪問(wèn)控制（Mandatory Access Control）自主訪問(wèn)控制（Discretionary Access Control）完全控制（Complete mediation）目標(biāo)重用保護(hù)（Object reuse protection）審計(jì) （Audit）審計(jì)日志的保護(hù) （Protection of Audit logs）日志篩選

25、 （Audit logs reduction）可信路徑 （Trusted Path）入侵檢測(cè) （Intrusion Detection）應(yīng)用程序級(jí)別上所提供的保護(hù)措施主要是針對(duì)用戶的輸入和程序的輸出進(jìn)行保護(hù)、過(guò)濾，還使用上面說(shuō)過(guò)的Guard Protection技術(shù)來(lái)提供額外的安全功能。存儲(chǔ)設(shè)備保護(hù)關(guān)注的是保護(hù)存儲(chǔ)在各種設(shè)備上的敏感信息的保密性和完整性，最近幾年安全業(yè)界比較關(guān)注的企業(yè)移動(dòng)設(shè)備安全和企業(yè)級(jí)加密就屬于這個(gè)領(lǐng)域。網(wǎng)絡(luò)級(jí)保護(hù)關(guān)注的是信息傳輸過(guò)程中的保密性和完整性，這個(gè)領(lǐng)域的內(nèi)容在CISSP另外一個(gè)CBK電信和網(wǎng)絡(luò)安全還會(huì)詳細(xì)介紹。15系統(tǒng)架構(gòu)和設(shè)計(jì)之安全標(biāo)準(zhǔn)在J0ker的CISSP之路

26、系列的上一篇文章保護(hù)機(jī)制里，J0ker給大家介紹了CISSP CBK中提到的，同時(shí)也是現(xiàn)實(shí)產(chǎn)品中最常使用的幾個(gè)保護(hù)機(jī)制。在實(shí)踐中采購(gòu)一個(gè)信息技術(shù)產(chǎn)品之前，我們一般都會(huì)先了解目標(biāo)產(chǎn)品的安全程度。但如果由不同需求的人員來(lái)對(duì)產(chǎn)品進(jìn)行評(píng)估，如果沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，結(jié)果也是千差萬(wàn)別這樣就產(chǎn)生對(duì)統(tǒng)一標(biāo)準(zhǔn)的需求，因此世界上的許多國(guó)家和組織推出了自己的產(chǎn)品安全評(píng)估標(biāo)準(zhǔn)，其中使用最廣泛的就是CISSP CBK中介紹到的TCSEC（橘皮書(shū)）、TNI（紅皮書(shū)）、ITSEC和CC這幾種。 在了解這些安全評(píng)估標(biāo)準(zhǔn)之前，我們先要了解一下基本的概念：產(chǎn)品和系統(tǒng)。我們知道，所有的安全評(píng)估標(biāo)準(zhǔn)，所針對(duì)的對(duì)象都是產(chǎn)品或系統(tǒng)，那這里所

27、提到的產(chǎn)品和系統(tǒng)到底指的是什么？在CISSP Official Guide里面提到，“產(chǎn)品”，指的是某個(gè)特定的可以使用在其設(shè)計(jì)目標(biāo)場(chǎng)合的應(yīng)用程序，或在某些預(yù)定義的規(guī)則下操作的應(yīng)用程序，操作系統(tǒng)作為一個(gè)整體來(lái)看，就是一個(gè)產(chǎn)品；而“系統(tǒng)”則是指完成某個(gè)特定目標(biāo)或者在某個(gè)特定場(chǎng)合下操作的許多產(chǎn)品的集合。明白這兩個(gè)概念之間的差異，對(duì)理解安全評(píng)估標(biāo)準(zhǔn)很有幫助。說(shuō)完了最基本的概念，J0ker開(kāi)始給大家介紹CISSP CBK上所提到的安全評(píng)估標(biāo)準(zhǔn)： TCSEC，也就是俗稱的橘皮書(shū)（Orange Book），它是第一個(gè)被廣泛接受的安全評(píng)估標(biāo)準(zhǔn)，由美國(guó)國(guó)防部于1985年提出，目的在于評(píng)估所部署系統(tǒng)的安全程度。T

28、CSEC評(píng)估產(chǎn)品的出發(fā)點(diǎn)基于三個(gè)： 功能，目標(biāo)系統(tǒng)所具有的安全功能，比如用戶驗(yàn)證和審計(jì)； 有效性，安全功能的使用是否滿足所需要提供的安全級(jí)別； 認(rèn)可度：授權(quán)機(jī)構(gòu)對(duì)系統(tǒng)所提供的安全級(jí)別的認(rèn)可程度。 TCSEC把評(píng)估對(duì)象的安全程度分成了4個(gè)等級(jí)：A、B、C和D，安全程度從A到D逐級(jí)下降，確定為A的產(chǎn)品具有最高的安全性，而D等級(jí)的產(chǎn)品則完全沒(méi)有安全性的考慮。這四個(gè)等級(jí)的分級(jí)標(biāo)準(zhǔn)包括：安全策略：目標(biāo)系統(tǒng)的安全策略設(shè)置是強(qiáng)制或自主式訪問(wèn)控制策略 物件標(biāo)記：是否對(duì)系統(tǒng)內(nèi)的物件根據(jù)敏感程度的不同進(jìn)行標(biāo)記 使用者識(shí)別：使用者必須經(jīng)過(guò)識(shí)別和驗(yàn)證 審計(jì)：安全相關(guān)的事件必須進(jìn)行日志記錄 保證性：指：1.操作保證性，

29、比如系統(tǒng)架構(gòu)、對(duì)執(zhí)行域的保護(hù)、系統(tǒng)完整性；2.生命周期保證性，如設(shè)計(jì)方法、安全測(cè)試和設(shè)置管理等 文檔：用戶和管理員應(yīng)該了解如何安裝和使用系統(tǒng)的安全功能，測(cè)試人員也需要文檔去進(jìn)行測(cè)試 持續(xù)保護(hù)：保護(hù)機(jī)制本身不容易被干擾或破壞根據(jù)這些分級(jí)標(biāo)準(zhǔn)，TCSEC的4個(gè)安全等級(jí)再細(xì)分為7個(gè)等級(jí)，這些等級(jí)的名字和詳細(xì)內(nèi)容如下：分級(jí) 安全功能 A1 （ Verified Security ） A1 級(jí)等于 B3 級(jí)，它提供最高的安全性，并設(shè)有系統(tǒng)安全管理員這一角色，不過(guò)A1級(jí)別系統(tǒng)的部署和維護(hù)成本也是非常高的，現(xiàn)實(shí)中只有極少數(shù)的系統(tǒng)要求達(dá)到這一安全級(jí)別。 B1 、 B2 、 B3（ Mandatory Prot

30、ection ） B1 級(jí)（ Labeled protection ）是安全等級(jí) B 中最低一級(jí)，要求提供滿足強(qiáng)制訪問(wèn)控制策略的模型，數(shù)據(jù)標(biāo)簽、已命名的訪問(wèn)者及訪問(wèn)目標(biāo)控制、更詳細(xì)的文檔和測(cè)試、文檔 / 源代碼 / 目標(biāo)代碼需要經(jīng)過(guò)分析，這個(gè)安全等級(jí)常用于 Compartment 環(huán)境 B2 級(jí)（ Structured Protection ）在 B1 的基礎(chǔ)上，增加了更多系統(tǒng)設(shè)計(jì)要求。其中，要求實(shí)現(xiàn)規(guī)范的安全模型，隱蔽信道分析、更強(qiáng)的驗(yàn)證方式和可信機(jī)房管理。 B3 級(jí)（ Security Domains ）是安全等級(jí) B 中最強(qiáng)的一級(jí)，它在 B2 的基礎(chǔ)上增加的新元素是安全管理，包括安全事件

31、的自動(dòng)通知、安全管理員的支持等 C1 、 C2 （ Discretionary Protection ） C1 級(jí)（ Discretionary Security Protection ）主要用于多用戶環(huán)境，只提供防止用戶的數(shù)據(jù)被其他用戶修改或破壞的基本保護(hù)功能 C2 級(jí)（ Controlled Access Protection ）在 C1 的基礎(chǔ)上增加了用戶登錄和審計(jì)功能，并使用 DAC 訪問(wèn)控制，盡管 C2 的安全功能較弱，但 C2 級(jí)是較適合用于商用系統(tǒng)和程序的安全級(jí)別，常見(jiàn)的 MS Windows 和 Linux 都是屬于 C2 級(jí)別 D（ Minimal Protection ）

32、只提交給 TCSEC 評(píng)估，自身沒(méi)有部署安全措施的系統(tǒng)都屬于 D 級(jí)。 因?yàn)門CSEC是1960年代開(kāi)始設(shè)計(jì)，并于1985年成型的標(biāo)準(zhǔn)，由于當(dāng)時(shí)安全觀點(diǎn)的局限性，TCSEC的評(píng)估目標(biāo)只涉及了保密性，而沒(méi)有涉及完整性和可用性的評(píng)估。因?yàn)橹饾u不適合現(xiàn)代信息環(huán)境和新標(biāo)準(zhǔn)的紛紛推出，美國(guó)于2000年廢除了TCSEC。 TNI：TNI也稱為紅皮書(shū)（Red Book），由于TCSEC存在評(píng)估對(duì)象只對(duì)單一系統(tǒng)，并且沒(méi)有完整性評(píng)估的缺點(diǎn)，1987年提出了TNI安全標(biāo)準(zhǔn)。TNI用于評(píng)估電信和網(wǎng)絡(luò)系統(tǒng)，它基于TCSEC，同樣使用了TCSEC中的ABCD分級(jí)方法。 TNI中的關(guān)鍵功能如下： 完整性：TNI使用了Bi

33、ba安全模型來(lái)保證數(shù)據(jù)的完整性，并使用了信息源/目標(biāo)認(rèn)證、加密等方法來(lái)保證信息傳輸?shù)耐暾?標(biāo)簽：在使用和TCSEC類似的保密性標(biāo)簽之外，TNI還加入了完整性標(biāo)簽，以進(jìn)行強(qiáng)制訪問(wèn)控制 其他安全服務(wù)，主要可分成以下幾個(gè)類型：通訊完整性，包括驗(yàn)證、通訊域完整性、抗抵賴性；拒絕服務(wù)防御：操作持續(xù)性、基于協(xié)議的保護(hù)和網(wǎng)絡(luò)管理；威脅保護(hù)：數(shù)據(jù)保密性和通訊保密性。 ITSEC：在TCSEC標(biāo)準(zhǔn)推出不久，許多歐洲國(guó)家也在醞釀推出自己的安全評(píng)測(cè)標(biāo)準(zhǔn)，結(jié)果便是ITSEC的推出。ITSEC于1990年推出第一版草稿，并最終于1995年又歐盟會(huì)議批準(zhǔn)。盡管ITSEC借用了TCSEC的許多設(shè)計(jì)思想，但因?yàn)門CSEC被

34、認(rèn)為過(guò)分死板，因此ITSEC的一個(gè)主要目標(biāo)就是為安全評(píng)估提供一個(gè)更靈活的標(biāo)準(zhǔn)。ITSEC和TCSEC的主要區(qū)別在于，ITSEC不單針對(duì)了保密性，同時(shí)也把完整性和可用性作為評(píng)估的標(biāo)準(zhǔn)之一。 ITSEC的制定認(rèn)識(shí)到IT系統(tǒng)安全的實(shí)現(xiàn)通常是要將技術(shù)和非技術(shù)手段結(jié)合起來(lái)，技術(shù)手段用來(lái)抵御威脅，而組織和管理手段則用來(lái)指導(dǎo)實(shí)現(xiàn)。因此ITSEC對(duì)目標(biāo)的評(píng)估基于兩個(gè)因素：有效性和準(zhǔn)確性，有效性表明評(píng)估目標(biāo)能夠在多大程度上抵御威脅，而準(zhǔn)確性則表明系統(tǒng)的設(shè)計(jì)和操作在多大程度上保證安全性。 為了涵蓋這兩個(gè)方面，ITSEC使用了“評(píng)估目標(biāo)（TOE）“這一概念，它表述了目標(biāo)產(chǎn)品的操作安全需求和面臨的威脅，而另外一個(gè)概念

35、，”安全目標(biāo)（Security Objectives）“，則表述了目標(biāo)產(chǎn)品所要滿足的安全功能和評(píng)估級(jí)別。ITSEC的安全等級(jí)劃分與ITSEC不同，他分為功能性等級(jí)（F）和保證性等級(jí)（E），這兩個(gè)等級(jí)的具體內(nèi)容如下：功能性F：功能性等級(jí)（ F ） 內(nèi)容 F1-F5 和 TCSEC 安全等級(jí)所提供的功能相同 F6 有高完整性要求的系統(tǒng)和應(yīng)用程序（如數(shù)據(jù)庫(kù)系統(tǒng)） F7 有高可用性要求或特殊要求的系統(tǒng) F8 有通信完整性要求的系統(tǒng) F9 有高保密性要求的系統(tǒng)（如加密系統(tǒng)） F10 網(wǎng)絡(luò)要求高的保密性和完整性 確定性等級(jí)E：確定性等級(jí)（ E ） 內(nèi)容 E0 無(wú)要求 E1 有安全目標(biāo)和 TOE 的描述，滿足安全目標(biāo)的測(cè)試 E2 要求具體設(shè)計(jì)的描述，測(cè)試證據(jù)需要加以評(píng)估，配置管理，分發(fā)控制 E3 需要進(jìn)行源代碼和結(jié)構(gòu)評(píng)估，安全機(jī)制的測(cè)試證據(jù)需要加以評(píng)估 E4 安全策略模型、需要有安全增強(qiáng)功能、架構(gòu)設(shè)計(jì)和詳細(xì)設(shè)計(jì) E5 具體設(shè)計(jì)和源代碼必須相符，并需要使用源代碼進(jìn)行漏洞分析 E6 TOE 的強(qiáng)制標(biāo)準(zhǔn)、安全策略模型的實(shí)施 E3級(jí)別被認(rèn)為是最常用的安全