信息安全安全架構與設計

安全架構和設計

SecurityArchitectureandDesign1

2關鍵知識領域A.理解安全模型的基本概念（如保密性、完整性與多層次模型）B.理解信息系統(tǒng)安全評估模型的組成B.1產(chǎn)品評估模型（如通用準則）B.2工業(yè)與國際安全實施準則（如PIC-DSS、ISO）C.理解信息系統(tǒng)的安全功能（如內(nèi)存保護、虛擬技術、可信平臺模塊）D.理解安全架構的漏洞D.1系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）D.2技術與流程的整合（如單點故障、面向服務的架構）E.理解軟件與系統(tǒng)的漏洞與威脅E.1基于Web（如XML、SAML、OWASP）E.2基于客戶端（如小程序）E.3基于服務器（如數(shù)據(jù)流量控制）E.4數(shù)據(jù)庫安全（如推斷、聚合、數(shù)據(jù)挖掘、數(shù)據(jù)倉庫）E.5分布式系統(tǒng)（如云計算、網(wǎng)格計算、對等網(wǎng)絡）F.理解對抗原理（如深度防御）22024/5/6目錄計算機安全系統(tǒng)架構計算機系統(tǒng)結構操作系統(tǒng)架構系統(tǒng)安全體系結構安全模型操作安全模式系統(tǒng)評價方法橘皮書和彩虹系列信息技術安全評估標準通用標準認證與認可開放與封閉系統(tǒng)一些威脅的評估32024/5/6計算機安全（ComputerSecurity）可用性：防止丟失或訪問，數(shù)據(jù)和資源流失Availability:Preventionoflossof,orlossofaccessto,dataandresources完整性：防止數(shù)據(jù)和資源的未經(jīng)授權的修改Integrity:Preventionofunauthorizedmodificationofdataandresources保密性：防止未授權披露的數(shù)據(jù)和資源Confidentiality:Preventionofunauthorizeddisclosureofdataandresources42024/5/6系統(tǒng)架構（SystemArchitecture）架構（Architecture）：體現(xiàn)在其組成部分，它們彼此之間以及與環(huán)境的關系，和指導原則其設計和演進的系統(tǒng)的基本組織。架構描述（Architecturaldescription，AD）：以正式的方式表述一個架構的文檔集合。利益相關者（Stakeholder）：對于系統(tǒng)有利益關系或關注系統(tǒng)的個人、團隊、組織（或集體）視圖（View）：從相關的一組關注點透視出的整個系統(tǒng)的表述視角（Viewpoint）：關于建設和使用視圖的慣例性說明，也是通過明確視圖建立目的、讀者，確立視圖與分析技巧后開發(fā)單個視圖的模板。52024/5/6正式的架構術語和關系62024/5/6計算機系統(tǒng)結構（ComputerArchitecture）計算機體系結構包括所有用于它的計算機系統(tǒng)的所必需的部件的功能，包括操作系統(tǒng)，存儲芯片，邏輯電路，存儲設備，輸入和輸出設備，安全組件，總線和網(wǎng)絡接口。中央處理器（TheCentralProcessingUnit）多重處理（Multiprocessing）操作系統(tǒng)組件（OperatingSystemComponents）72024/5/6中央處理器（TheCentralProcessingUnit，CPU）計算機的大腦。對CPU最常見的描述可能是：它從存儲器中提取指令并加以執(zhí)行。控制單元算術邏輯單元寄存器數(shù)據(jù)高速緩存器解碼單元預取單元指令高速緩存器總線單元（主存儲器）82024/5/6中央處理器（TheCentralProcessingUnit，CPU）中央處理單元是計算機硬件的核心，主要任務是執(zhí)行各種命令，完成各種運算和控制功能，是計算機的心臟，決定著系統(tǒng)的類型、性能和速度，CPU中包含：(1)算術邏輯運算單元ALU(ArithmeticLogicUnit)：主要負責數(shù)據(jù)的計算或處理。(2)控制單元(Controlunit)：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指令進出CPU；并控制ALU的動作。(3)寄存器/緩存器(Registers)：負責儲存數(shù)據(jù)，以利CPU快速地存取。累加器(Accumulator)程序記數(shù)器(ProgramCounter)內(nèi)存地址寄存器(MemoryAddressRegister)內(nèi)存數(shù)據(jù)寄存器(MemoryBufferRegister)指令寄存器(InstructionRegister)(4)連結路徑(interconnectionpath)：負責連接CPU內(nèi)部的組件，以利數(shù)據(jù)或控制訊號在不同組件間流傳。92024/5/6CPU運行狀態(tài)運行狀態(tài)：Run/operatingstate執(zhí)行指令解題狀態(tài)：Application/Problemstate執(zhí)行應用程序僅執(zhí)行非特權(nonprivilegedinstructions)指令管理程序狀態(tài)：Supervisorstate特權模式下執(zhí)行程序可以訪問整個系統(tǒng)，同時執(zhí)行特權(Privilegedinstructions)和非特權指令等待狀態(tài)：Waitstate等待特定事件完成102024/5/6多重處理（Multiprocessing）對稱模式多重處理（Symmetricmodemultiprocessing）計算機有兩個或者多個CPU且每個CPU都使用加載均衡方式非對稱模式多重處理（Asymmetricmodemultiprocessing）計算機有兩個或者多個CPU，且有一個CPU僅專門處理一個特定程序，而其他CPU執(zhí)行通用的處理程序112024/5/6關鍵概念中央處理單元CPU，算術邏輯單元ALU，寄存器，控制單元通用寄存器（Generalregisters）：CPU在執(zhí)行指令過程中使用的臨時存儲位置。特殊寄存器（Specialregisters）：保存關鍵處理參數(shù)的臨時存儲位置。保存諸如程序計數(shù)器，堆棧指針，程序狀態(tài)字（PSW）。程序計數(shù)器（Programcounter）：為CPU所要執(zhí)行的指令保存存儲器地址棧（Stack）：進程用來彼此傳輸指令和數(shù)據(jù)的存儲器分段程序狀態(tài)字（Programstatusword）：向CPU表明需要用什么狀態(tài)（內(nèi)核模式還是用戶模式）運行的條件變量122024/5/6關鍵概念用戶模式（問題狀態(tài)）（Usermode(problemstate)）：CPU在執(zhí)行不太可信的進程指令時所用的保護模式內(nèi)核模式（監(jiān)管狀態(tài)、特權模式）（Kernelmode(supervisorystate,privilegemode)）：CPU在執(zhí)行較為可信的進程指令時所用的工作狀態(tài)，進程在內(nèi)核模式下比在用戶模式下可以訪問更多的計算機資源地址總線（Addressbus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所擁到的物理存儲器地址數(shù)據(jù)總線（Databus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。對稱模式多重處理，不對稱模式多重處理132024/5/6操作系統(tǒng)組件（OperatingSystemComponents）進程管理（ProcessManagement）線程管理（ThreadManagement）進程調(diào)度（ProcessScheduling）進程活動（ProcessActivity）142024/5/6進程管理（ProcessManagement）進程管理：操作系統(tǒng)的職能之一，主要是對處理機進行管理。為了提高CPU的利用率而采用多道程序技術。通過進程管理來協(xié)調(diào)多道程序之間的關系，使CPU得到充分的利用。進程：Process一個獨立運行的程序，有自己的地址空間,是程序運行的動態(tài)過程只能有限地與其它進程通信，由OS負責處理進程間的通信進程是程序運行的一個實例，是運行著的程序152024/5/6關鍵概念多程序設計(MultiProgramming)一個處理器允許多處程序的將交叉運行,即兩個或兩個以上程序在計算機系統(tǒng)中同處于開始個結束之間的狀態(tài)：多道、宏觀上并行、微觀上串行解決主機和外轉(zhuǎn)設備速度不匹配問題，為提高CPU的利用率。通過進程管理，協(xié)調(diào)多道程序之間的CPU分配調(diào)度、沖突處理及資源回收等關系。對象重用問題,TOC/TOU多任務（MultiTasking）單個處理器對兩個或兩個以上的任務并行執(zhí)行、交叉執(zhí)行實時多任務(Realtime)、搶占式多任務(Preemptive)、協(xié)作式多任務(Cooperative)。協(xié)調(diào)式多任務各個進程控制釋放CPU時間，搶占式多任務主要由操作系統(tǒng)控制時間162024/5/6關鍵概念進程表PCB：包含CPU所需的進程狀態(tài)數(shù)據(jù)中斷（Interrupts）：分配給計算機部件（硬件和軟件）的值，以對計算機資源進行有效的時間分片。可屏蔽中斷（Maskableinterrupt）：分配給非關鍵操作系統(tǒng)活動中斷值。不可屏蔽中斷（Nonmaskableinterrupt）：分配給關鍵操作系統(tǒng)活動中斷值，如復位鍵172024/5/6線程管理（ThreadManagement）線程（Thread）：是為了節(jié)省資源而可以在同一個進程中共享資源的一個執(zhí)行單位。多線程（Multithreading）：通過生成不同指令集（線程）同時執(zhí)行多個活動的應用程序182024/5/6進程調(diào)度（ProcessScheduling）無論是在批處理系統(tǒng)還是分時系統(tǒng)中，用戶進程數(shù)一般都多于處理機數(shù)、這將導致它們互相爭奪處理機。另外，系統(tǒng)進程也同樣需要使用處理機。這就要求進程調(diào)度程序按一定的策略，動態(tài)地把處理機分配給處于就緒隊列中的某一個進程，以使之執(zhí)行。軟件死鎖（Softwaredeadlock）：兩個進程都在等待系統(tǒng)資源被釋放額導致不能完成他們的活動的情況。192024/5/6進程活動早期操作系統(tǒng)中，一個進程掛起，其它所有程序也會掛起進程隔離：對象封裝，共享資源時分復用，命名區(qū)分，虛擬映射202024/5/6關鍵概念進程多程序設計：操作系統(tǒng)交叉執(zhí)行不止一個進程多任務處理：操作系統(tǒng)同時執(zhí)行不止一個任務協(xié)調(diào)式多任務搶占式多任務進程狀態(tài)：就緒，運行，阻塞中斷，可屏蔽中斷線程，多線程軟件死鎖212024/5/6存儲器管理管理目標為編程人員提供一個抽象層通過有限的可用存儲器提供最高性能保護操作系統(tǒng)與加載入存儲器的應用程序存儲器管理器五項基本功能重新部署根據(jù)需要，在RAM和硬盤之間交換內(nèi)容保護限制進程只與分配給它們的存儲器段交互，為存儲器段提供訪問控制共享當進程需要使用相同的共享存儲器段時，使用復雜的控制來確保完整性和機密性邏輯組織允許共享特定的軟件模塊物理組織為應用程序和操作系統(tǒng)進程劃分物理存儲器空間222024/5/6存儲器類型隨機存取存儲器（Randomaccessmemory，RAM）可隨時寫入或讀出數(shù)據(jù)用于操作系統(tǒng)和應用所執(zhí)行的讀寫活動，即通常所說的內(nèi)存寄存器，RegisterCache動態(tài)隨機儲存內(nèi)存(DynamicRAM,DRAM)靜態(tài)隨機儲存內(nèi)存(StaticRAM，SRAM)：面積更大，造價更高，速度更快由CPU直接存取關閉電源存放在DRAM、寄存器、Cache的內(nèi)容消失，不可永久保存資料抖動：讀取數(shù)據(jù)所花時間超過處理數(shù)據(jù)的時間232024/5/6存儲器類型只讀存儲器（Readonlymemory，ROM）只能讀不能寫關閉電源內(nèi)容不消失，可永久保存數(shù)據(jù)。而使用SRAM進行存儲，需要有電池等設備。種類：PROM(programmableROM)：數(shù)據(jù)或程序可依使用者的需求來燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。EPROM(erasablePROM)：可擦拭可程序規(guī)劃的ROM，舊有的數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復使用該顆EPROM，來燒錄不同程序的程序或數(shù)據(jù)。EEPROM(electricallyerasePROM)：電子式可擦拭可程序規(guī)劃的ROM。MASKROM：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時寫入。242024/5/6存儲器類型高速緩存（CacheMemory）為了緩和CPU與主存儲器之間速度的矛盾，在CPU和主存儲器之間設置一個緩沖性的高速存儲部件，它的工作速度接近CPU的工作速度，但其存儲容量比主存儲器小得多。高速緩存分為兩種，一種是內(nèi)建在CPU中的L1快取，另一種則是在CPU之外，稱為L2快取。高速緩存愈大，對計算機執(zhí)行效率的幫助愈大。速度最快、最貴存儲器映射（MemoryMapping）：邏輯地址引導到特定的物理地址緩沖區(qū)溢出（BufferOverflows）緩沖區(qū)溢出攻擊利用編寫不夠嚴謹?shù)某绦?，通過向程序的緩存區(qū)寫入超過預定長度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導致程序執(zhí)行流程的改變。ALSR：地址空間隨機布局化DEP：數(shù)據(jù)執(zhí)行保護存儲器泄露（MemoryLeaks）開發(fā)正確釋放存儲器的更完善的代碼使用垃圾收集器（garbagecollector）252024/5/6虛擬存儲器（VirtualMemory）通過使用二級存儲器(部分硬盤空間)來擴展內(nèi)存(RAM)的容量，對未被執(zhí)行的程序頁進行處理虛擬存儲器屬于操作系統(tǒng)中存儲管理的內(nèi)容，因此，其大部分功能由軟件實現(xiàn)。虛擬存儲器是一個邏輯模型，并不是一個實際的物理存儲器。虛擬存儲器的作用：分隔地址空間；解決主存的容量問題；程序的重定位虛擬存儲器不僅解決了存儲容量和存取速度之間的矛盾，而且也是管理存儲設備的有效方法。有了虛擬存儲器，用戶無需考慮所編程序在主存中是否放得下或放在什么位置等問題。262024/5/6關鍵概念進程隔離動態(tài)鏈接庫基礎寄存器（起始地址），限制寄存器（終止地址）RAMROM高速緩沖存儲器絕對地址，邏輯地址緩沖區(qū)溢出，ASLR，DEP垃圾收集器，虛擬存儲器272024/5/6輸入輸出設備管理輸入是把信息送入計算機系統(tǒng)的過程，輸出是從計算機系統(tǒng)送出信息的過程，用戶通過輸入/輸出設備與計算機系統(tǒng)互相通信。常用輸入設備：鍵盤、鼠標器、掃描儀常用輸出設備：顯示器、打印機、繪圖儀輸出/輸入接口數(shù)據(jù)要從計算機內(nèi)部輸出時，它會將內(nèi)部的表示法轉(zhuǎn)成外圍設備看得懂的表示法以利輸出。反之，若要從外圍設備傳數(shù)據(jù)到計算機內(nèi)部，它也會將外界的數(shù)據(jù)格式轉(zhuǎn)成計算機內(nèi)部看得懂的表示法。檢驗數(shù)據(jù)的完整性282024/5/6I/O技術可編程ProgrammedI/O速度慢中斷驅(qū)動Interrupt-drivenI/O由外部發(fā)出請求，請求CPU中斷或結束正常程序運行處理中斷導致時間消耗DMAI/OusingDMA是一種完全由硬件執(zhí)行I/O交換的工作方式。速度快映射前PremappedI/OI/O取得足夠信任，IIO與存儲器直接交互數(shù)據(jù)全映射FullymappedI/O不完全信任I/O，IO設備只與邏輯地址直接交互292024/5/6CPU架構保護環(huán)ProtectionRing一組同心的編號環(huán)環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù)表示越高的特權程序假定執(zhí)行環(huán)數(shù)的位置程序不可以直接訪問比自身高的層次，如需訪問，系統(tǒng)調(diào)用(systemcall)一般使用4個保護環(huán)：Ring1操作系統(tǒng)安全核心Ring2其他操作系統(tǒng)功能–設圖示控制器Ring3系統(tǒng)應用程序，數(shù)據(jù)庫功能等Ring4應用程序空間302024/5/6操作系統(tǒng)架構（OperatingSystemArchitectures）單塊操作系統(tǒng)架構分層操作系統(tǒng)架構312024/5/6操作系統(tǒng)架構單片（Monolithic）所有操作系統(tǒng)進程在內(nèi)核模式下運行。分層（Layered）所有操作系統(tǒng)進程在內(nèi)核模式下的分層模型上運行。內(nèi)核過大微內(nèi)核（Microkernel）核心操作系統(tǒng)進程運行在內(nèi)核模式，其余運行在用戶模式。內(nèi)核過小混合微內(nèi)核（Hybridmicrokernel）所有操作系統(tǒng)進程在內(nèi)核模式下運行。核心進程運行在微內(nèi)核，其他運行在客戶端\服務器模式。322024/5/6分層操作系統(tǒng)332024/5/6微內(nèi)核操作系統(tǒng)342024/5/6Windows混合微內(nèi)核架構352024/5/6主要的操作系統(tǒng)內(nèi)核架構362024/5/6虛擬機372024/5/6虛擬機優(yōu)勢多個服務器整合遺留應用程序運行運行不可信程序，提供安全的隔離的沙箱模仿獨立計算機網(wǎng)絡多個系統(tǒng)，多種硬件適合強大的調(diào)試和性能監(jiān)控超強隔離能力備份、恢復、遷移更簡單382024/5/6系統(tǒng)安全體系結構（SystemSecurityArchitecture）安全策略（SecurityPolicy）安全架構要求（SecurityArchitectureRequirements）392024/5/6安全策略（SecurityPolicy）指導性綱領，為系統(tǒng)整體和構成它的組件從安全角度提出根本的目標，是戰(zhàn)略工具。安全策略是一個系統(tǒng)的基礎規(guī)范，使系統(tǒng)集成后評估它的基準。402024/5/6安全架構要求（SecurityArchitectureRequirements）可信計算基（TrustedComputingBase）安全邊界（SecurityPerimeter）引用監(jiān)視器（ReferenceMonitor，RM）安全內(nèi)核（SecurityKernel）412024/5/6可信計算基（TrustedComputingBase）TCB是計算機系統(tǒng)內(nèi)保護機制的總體,包括硬件、固體、軟件和負責執(zhí)行安全策略的組合體。TCB由一系列的部件構成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一的安全策略。TCB的三個要求TCB必須保證其自身在一個域中的執(zhí)行，防止被外界干擾或破壞TCB所控制的資源必須是已經(jīng)定義的主體或客體的子集TCB必須隔離被保護的資源，以便進行訪問控制和審計TCB維護每個域的保密性和完整性，監(jiān)視4個基本功能進程激活：Processactivation執(zhí)行域的切換：Executiondomainswitching內(nèi)存保護：MemoryprotectionI/O操作：I/Ooperation422024/5/6引用監(jiān)視器（ReferenceMonitor，RM）RM是一個抽象機的訪問控制概念，基于訪問控制數(shù)據(jù)庫協(xié)調(diào)所有主體對客體的訪問RM的任務根據(jù)訪問控制數(shù)據(jù)庫，對主體對客體的訪問請求做出是否允許的裁決，并將該請求記錄到審計數(shù)據(jù)庫中。注意：基準監(jiān)視器有動態(tài)維護訪問控制數(shù)據(jù)庫的能力。RM的特性：執(zhí)行主體到對象所有訪問的抽象機必須執(zhí)行所有訪問，能夠在修改中被保護，能夠恢復正常，并且總是被調(diào)用。處理所有主體到客體訪問的抽象機432024/5/6安全內(nèi)核（SecurityKernel）安全內(nèi)核是TCB中執(zhí)行引用監(jiān)視器概念的硬件、固件和軟件元素理論基礎：在一個大的操作系統(tǒng)中，只將相對比較小的一部分軟件負責實施系統(tǒng)安全，并將實施安全的這部分軟件隔離在一個可信的安全核，這個核就稱為安全核。需要滿足三個原則完備性：協(xié)調(diào)所有的訪問控制隔離性：受保護，不允許被修改可驗證性：被驗證是正確的安全核技術是早期構建安全操作系統(tǒng)最為常用的技術，幾乎可以說是唯一能夠?qū)嵱玫募夹g。引用監(jiān)視器RM是概念，抽象的機器，協(xié)調(diào)所有主體對對象間的訪問；安全內(nèi)核是硬件，是TCB中執(zhí)行RM的部分，TCB中除安全內(nèi)核外還有其它安全機制442024/5/6關鍵概念虛擬化Hypervisor:用來管理模擬環(huán)境中的虛擬機的中央程序安全策略可信計算基可信路徑：進程之間用來通信的，不能被繞過的可信軟件通道安全邊界引用監(jiān)視器安全內(nèi)核多級安全策略452024/5/6安全模型（SecurityModels）狀態(tài)機模型（StateMachineModels）Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型（InformationFlowModel）非干涉模型（NoninterferenceModel）格子模型（LatticeModel）BrewerandNash模型Graham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型462024/5/6安全策略與安全模型安全策略勾勒出目標，寬泛、模糊而抽象，安全模型提供了實現(xiàn)這些目標應該做什么，不應該做什么，具有實踐指導意義，給出了策略的形式472024/5/6狀態(tài)機模型（StateMachineModels）狀態(tài)機模型描述了一種無論處于何種狀態(tài)都是安全的系統(tǒng)一個狀態(tài)（State）是處于特定時刻系統(tǒng)的一個快照，如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之為安全的Statetransition：狀態(tài)轉(zhuǎn)換，許多活動可能會改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（Statetransition），遷移總是導致新的狀態(tài)的出現(xiàn)如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于不安全狀態(tài)，則系統(tǒng)執(zhí)行一個——安全狀態(tài)機模型：securestatemodel。一個安全的狀態(tài)機模型系統(tǒng)，總是從一個安全狀態(tài)啟動，并且在所有遷移當中保持安全狀態(tài)，只允許主體以和安全策略相一致的安全方式來訪問資源安全的狀態(tài)機模型是其他安全模型的基礎482024/5/6狀態(tài)機模型（StateMachineModels）492024/5/6Bell-LaPadula模型1973年，DavidBell和LenLaPadula提出了第一個正式的安全模型，該模型基于強制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別。將數(shù)據(jù)劃分為多安全級別與敏感度的系統(tǒng)稱之為多級安全系統(tǒng)為美國國防部多級安全策略形式化而開發(fā)Bell-LaPadula保密性模型是第一個能夠提供分級別數(shù)據(jù)機密性保障的安全策略模型(多級安全)。特點：信息流安全模型只對機密性進行處理運用狀態(tài)機模型和狀態(tài)轉(zhuǎn)換的概念基于政府信息分級——無密級、敏感但無密級、機密、秘密、絕密“Needtoknow”——誰需要知道？開始于安全狀態(tài)，在多個安全狀態(tài)中轉(zhuǎn)換(初始狀態(tài)必須安全，轉(zhuǎn)變結果才在安全狀態(tài))502024/5/6Bell-LaPadula模型安全規(guī)則簡單安全規(guī)則ss(SimpleSecurityProperty)安全級別低的主體不能讀安全級別高的客體信息(NoReadUp)星規(guī)則*The*(star)securityProperty安全級別高的主體不能往低級別的客體寫(NowriteDown)強星規(guī)則Strong*property不允許對另一級別進行讀取自主安全規(guī)則ds(DiscretionarysecurityProperty)使用訪問控制矩陣來定義說明自由存取控制內(nèi)容相關ContentDependent上下文相關ContextDependent512024/5/6BLP模型的缺陷不能防止隱蔽通道(covertchannels)不針對使用文件共享和服務器的現(xiàn)代信息系統(tǒng)沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移(securestatetransition)基于多級安全保護(multilevelsecurity)而未針對其他策略類型不涉及訪問控制管理不保護完整性和可用性522024/5/6Biba模型完整性的三個目標：保護數(shù)據(jù)不被未授權用戶更改；保護數(shù)據(jù)不被授權用戶越權修改(未授權更改)；維持數(shù)據(jù)內(nèi)部和外部的一致性1977作為Bell-Lapadula的完整性補充而提出,用于非軍事行業(yè)Biba基于一種層次化的完整性級別格子(hierarchicallatticeofintegritylevels)，是一種信息流安全模型。特點：基于小于或等于關系的偏序的格最小上限(上確界)，leastupperbound(LUB)最大下限(下確界)，greatestlowerbound(GLB)Lattice=(IC,<=,LUB,GUB)數(shù)據(jù)和用戶分級強制訪問控制532024/5/6Biba模型安全規(guī)則*完整性公理：主題不能向位于較高完整性級別的客體寫數(shù)據(jù)，不能向上寫簡單完整性公理：主題不能從較低完整性級別讀取數(shù)據(jù)，不能向下讀調(diào)用屬性：主體不能請求完整性級別更高的主體服務信息來源，可信數(shù)據(jù)542024/5/6Clark-Wilson模型在1987年被提出的經(jīng)常應用在銀行應用中以保證數(shù)據(jù)完整性實現(xiàn)基于成形的事務處理機制要求完整性標記定義：受限數(shù)據(jù)條目ConstrainedDataItem(CDI)完整性檢查程序IntegrityVerificationProcedure(IVP)轉(zhuǎn)換程序TransformationProcedure(TP)自由數(shù)據(jù)條目UnconstrainedDataItemClark-Wilson需要integritylabel用于確定一個數(shù)據(jù)項的完整級別，并在TP后驗證其完整性是否維持，采用了實現(xiàn)內(nèi)/外一致性的機制，separationofduty,mandatoryintegritypolicy552024/5/6Clark-Wilson模型完整性的模型沒有像Biba那樣使用lattice結構，而是使用Subject/Program/Object這樣的三方關系（triple），Subject并不能直接訪問Object，只能通過Program來訪問兩個原則：well-formedtransactions：采用了program的形式，主體只能通過program訪問客體，每個恰當設計的program都有特定的限制規(guī)則，這就有效限制了主體的能力separationofduties：將關鍵功能分成兩個或多個部分，必須由不同的主體去完成各個部分，可防止已授權用戶進行未授權的修改要求具有審計能力（Auditing）Clark-Wilsonmodel也被稱作restrictedinterfacemodel該模型考慮到了完整性的3個目標，而Biba模型只考慮了第一個：防止未授權用戶更改；防止授權用戶的不正確更改（職責分離），維護內(nèi)部和外部的一致性562024/5/6信息流模型（InformationFlowModel）基于狀態(tài)機，由對象、狀態(tài)轉(zhuǎn)換以及格(流策略)狀態(tài)組成,對象可以是用戶，每個對象都被分配一個安全等級和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息從高安全等級流向低安全等級，后者要防止信息從低安全等級流向高安全等級信息流模型并不是只處理信息流向，也可以處理流類型信息流模型用于防止未授權的、不安全的或者受到限制的信息流，信息流可以是同一級別主體與客體之間的，也可以是不同級別間的信息流模型允許所有授權信息流，無論是否在同一級別;信息流模型防止所有未授權的信息流，無論是否在同一級別信息被限制在策略允許的方向流動572024/5/6隱蔽信道（CovertChannels）隱蔽通道是一種讓一個實體以未授權方式接收信息。條件在產(chǎn)品開發(fā)過程中不當監(jiān)督在軟件中實施不當?shù)脑L問控制兩個實體之間未適當?shù)乜刂乒蚕碣Y源隱蔽通道有兩種類型：存儲：存儲隱蔽通道，進程能夠通過系統(tǒng)的一些類型的存儲空間通信。（木馬）通過創(chuàng)建文件。計時一個進程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個進程中繼續(xù)傳送數(shù)據(jù)。582024/5/6非干涉模型（NoninterferenceModel）基于信息流模型非干涉模型并不關心信息流，而是關心影響系統(tǒng)狀態(tài)或者其他主體活動的某個主體的活動確保在較高安全級別發(fā)生的任何活動不會影響，或者干涉在較低安全級別發(fā)生的活動。如果在較高安全級內(nèi)的一個實體執(zhí)行一項操作，那么它不能改變在較低安全級內(nèi)實體的狀態(tài)如果一個處于較低安全級的實體感受到了由處于較高安全級內(nèi)的一個實體所引發(fā)的某種活動，那么該實體可能能夠推斷出較高級別的信息，引發(fā)信息泄漏基本原理為，一組用戶(A)使用命令(C)，不被用戶組(B)(使用命令D)干擾，可以表達成A,C:|B,D，同樣，使用命令C的組A的行為不能被使用命令D的組B看到592024/5/6格子模型（LatticeModel）Lattice模型通過劃分安全邊界對BLP模型進行了擴充，它將用戶和資源進行分類，并允許它們之間交換信息，這是多邊安全體系的基礎。多邊安全的焦點是在不同的安全集束（部門，組織等）間控制信息的流動，而不僅是垂直檢驗其敏感級別。建立多邊安全的基礎是為分屬不同安全集束的主體劃分安全等級，同樣在不同安全集束中的客體也必須進行安全等級劃分，一個主體可同時從屬于多個安全集束，而一個客體僅能位于一個安全集束。在執(zhí)行訪問控制功能時，lattice模型本質(zhì)上同BLP模型是相同的，而lattice模型更注重形成"安全集束"。BLP模型中的"上讀下寫"原則在此仍然適用，但前提條件必須是各對象位于相同的安全集束中。主體和客體位于不同的安全集束時不具有可比性，因此在它們中沒有信息可以流通。602024/5/6BrewerandNashModelBrewandNash:ChineseWallChineseWall模型是應用在多邊安全系統(tǒng)中的安全模型（也就是多個組織間的訪問控制系統(tǒng)），應用在可能存在利益沖突的組織中。最初是為投資銀行設計的，但也可應用在其它相似的場合。ChineseWall安全策略的基礎是客戶訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，一個銀行會同時擁有多個互為競爭者的客戶，一個銀行家可能為一個客戶工作，但他可以訪問所有客戶的信息。因此，應當制止該銀行家訪問其它客戶的數(shù)據(jù)。ChineseWall安全模型的兩個主要屬性：用戶必須選擇一個他可以訪問的區(qū)域用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問這種模型同時包括了DAC和MAC的屬性：銀行家可以選擇為誰工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。612024/5/6Graham-Denning模型如何安全地創(chuàng)建一個客體如何安全地創(chuàng)建一個主體如何安全地刪除客體如何安全地刪除主體如何安全地提供讀訪問權如何安全地提供準許接入權如何安全地提供刪除訪問權限如何安全地提供轉(zhuǎn)移訪問權限622024/5/6Harrison-Ruzzo-Ullman（HRU）模型主體的訪問權限以及這些權限的完整性。主體只能對客體執(zhí)行一組有限的操作HRU被軟件設計人員用來確保沒有引入意外脆弱性，從而可以實現(xiàn)訪問控制目標632024/5/6操作安全模式（SecurityModesofOperation）專用安全模式DedicatedSecurityMode訪問系統(tǒng)上所有信息的適當許可訪問系統(tǒng)上所有信息的正式訪問批準訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“任何用戶都能夠訪問所有數(shù)據(jù)系統(tǒng)高安全模式SystemHigh-SecurityMode訪問系統(tǒng)上所有信息的適當許可訪問系統(tǒng)上所有信息的正式訪問批準訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”,所有用戶都能訪問一些數(shù)據(jù)分隔安全模式CompartmentedSecurityMode訪問系統(tǒng)上所有信息的適當許可訪問系統(tǒng)上所有信息的正式訪問批準訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”和正式批準,所有用戶都能訪問一些數(shù)據(jù)多級安全模式MultilevelSecurityMode訪問系統(tǒng)上所有信息的適當許可訪問系統(tǒng)上所有信息的正式訪問批準訪問系統(tǒng)上所有信息的簽名NDA訪問系統(tǒng)上所有信息的有效”知其所需“根據(jù)他們的“知其所需”、許可和正式批準,所有用戶都能訪問一些數(shù)據(jù)642024/5/6信任與保證TCSEC中，較低保證級別評定工作會考察系統(tǒng)的保護機制和測試結果，較高保證級別評定工作更多考查系統(tǒng)的設計、規(guī)范、開發(fā)過程、支持文檔以及測試結果652024/5/6系統(tǒng)評估方法（SystemsEvaluationMethods）ITSEC1991CC1.01996TCSEC1985CTCPEC1993FC1992ISO154081999CC2.01998GB/T183362001CD1997FCD1998GIB26461996GB178591999GB/T183362008ISO154081999662024/5/6橘皮書（OrangeBook）TrustedComputerSystemEvaluationCriteria（TCSEC），是一個評估OS、應用的、系統(tǒng)的規(guī)范，評價不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和保證程度，提供多種級別。1970年由美國國防科學委員會提出。1985年公布。主要為軍用標準，延用至民用。TCSEC2000年被CommonCriteria所替代，是第一個涉及計算機系統(tǒng)的安全規(guī)范。672024/5/6TCSEC等級D—最小保護(minimalprotection)C—自主保護(discretionaryprotection)C1:選擇安全性保護，DiscretionarySecurityProtectionC2:受約束的訪問保護，ControlledAccessProtectionB—強制保護(mandatoryprotection)B1:標簽式安全保護，LabeledSecurityB2:結構化保護，StructureProtectionB3:安全域，SecurityDomainA—校驗保護(verifiedprotection)A1:驗證設計，VerifiedDesign682024/5/6類別名稱主要特征安全要求A驗證設計（veritydesign）形式化的最高級描述和驗證，形式化的隱密通道分析，非形式化的代碼一致性證明設計必須從數(shù)學角度上經(jīng)過驗證，而且必須進行秘密能道和可信任分布的分析。B3安全域(securitydomain)安全內(nèi)核，高抗?jié)B透能力用戶工作站或終端能過可信任途徑連接網(wǎng)絡系統(tǒng)B2結構防護（structuredprotection）設計系統(tǒng)時必須有一個合理的總體設計方案，面向安全的體系結構，遵循最小授權原則，較好的滲透能力，訪問控制應對所有的主體和客體提供保護，對系統(tǒng)進行隱蔽通道分析計算機系統(tǒng)中所有對象都加標簽，而且給設備（如工作站、終端和磁盤驅(qū)動器）分配安全級別。B1標號安全防護（labelsecurityprotection）除了C2級別的安全需求外，增加安全策略模型，數(shù)據(jù)標號（安全和屬性）在不同級別對敏感信息提供更高級的保護，讓每個對象都有有一個敏感標簽C2受控的訪問環(huán)境存取控制以用戶為單位廣泛的審計加入身份認證級別，系統(tǒng)對發(fā)生的事件加以審計并寫入日志C1選擇性安全防護（discretionarysecurityprotection）有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護以用戶組為單位硬件有一定的安全保護（如硬件有帶鎖裝置），用戶在使用計算機系統(tǒng)前必須先登錄。允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設立訪問許可權限。D最小保護保護措施很小，沒有安全功能不要求用戶進行登記（要求用戶提供用戶名）或使用密碼（要求用戶提供惟一的字符串來進行訪問）692024/5/6橘皮書和彩虹系列（TheOrangeBookandtheRainbowSeries）橘皮書（OrangeBook）專門針對操作系統(tǒng)主要著眼于安全的一個屬性（機密性）適用于政府分類評級數(shù)量較少紅皮書（RedBook）單個系統(tǒng)的安全問題解決網(wǎng)絡和網(wǎng)絡組件的安全評估問題，主要針對獨立局域網(wǎng)和廣域網(wǎng)系統(tǒng)涉及通信完整性、防止拒絕服務、泄露保護702024/5/6信息技術安全評估標準（InformationTechnologySecurity）InformationTechnologySecurityEvaluationCriteria（ITSEC）