狠狠躁日日躁夜夜躁2022麻豆,亚洲欧洲日产8x8x,天天玩天天射天天操动态图,中文字幕在线观看亚洲,91黄色在线观看,一级黄色毛片在线免费观看,久草精品在线播放

<button id="naulr"></button>

<rt id="naulr"><tr id="naulr"></tr></rt>

<var id="naulr"><form id="naulr"></form></var>

<button id="naulr"><tbody id="naulr"></tbody></button>

<button id="naulr"></button>

會員中心
加入VIP
微信

客服微信網(wǎng)站公眾號

　煤礦　化工　建筑
　機械　電力　冶金
　消防　交通　特種

　論壇　活動　視頻
　問答　投稿　 MSDS
　簽到　超市　招聘

導航：安全管理網(wǎng)>> 培訓課件>> 其他>>正文

信息安全安全架構(gòu)與設(shè)計

		點擊數(shù)：	更新時間： 2021年03月02日
下載地址：點擊這里	文件大?。?1.22 MB 共81頁	文檔格式： PPT	下載點數(shù)： 16 點（VIP免費）

部分內(nèi)容預覽 [文件共81頁]

本文件共81頁，只能預覽部分內(nèi)容，查看全部內(nèi)容需要下載。

注：預覽效果可能會出現(xiàn)部分文字亂碼（如口口口）、內(nèi)容顯示不全等問題，下載是正常的。

	文件大?。?.22 MB 共81頁文件格式：PPT 下載點數(shù)：16 點（VIP會員免費）

下一篇：信息安全體系結(jié)構(gòu)安全評估

上一篇：管路安全培訓

文本預覽

僅提取頁面文字內(nèi)容，供快速閱讀使用。

安全架構(gòu)和設(shè)計Security Architecture and Design 
備注：1
關(guān)鍵知識領(lǐng)域
A. 理解安全模型的基本概念（如保密性、完整性與多層次模型）
B. 理解信息系統(tǒng)安全評估模型的組成
B.1 產(chǎn)品評估模型（如通用準則）
B.2 工業(yè)與國際安全實施準則（如PIC-DSS、ISO）
C. 理解信息系統(tǒng)的安全功能（如內(nèi)存保護、虛擬技術(shù)、可信平臺模塊）
D. 理解安全架構(gòu)的漏洞
D.1 系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）
D.2 技術(shù)與流程的整合（如單點故障、面向服務的架構(gòu)）
E. 理解軟件與系統(tǒng)的漏洞與威脅
E.1 基于Web（如XML、SAML、OWASP）
E.2 基于客戶端（如小程序）
E.3 基于服務器（如數(shù)據(jù)流量控制）
E.4 數(shù)據(jù)庫安全（如推斷、聚合、數(shù)據(jù)挖掘、數(shù)據(jù)倉庫）
E.5 分布式系統(tǒng)（如云計算、網(wǎng)格計算、對等網(wǎng)絡(luò)）
F. 理解對抗原理（如深度防御）
備注：2
目錄
計算機安全
系統(tǒng)架構(gòu)
計算機系統(tǒng)結(jié)構(gòu)
操作系統(tǒng)架構(gòu)
系統(tǒng)安全體系結(jié)構(gòu)
安全模型
操作安全模式
系統(tǒng)評價方法
橘皮書和彩虹系列
信息技術(shù)安全評估標準
通用標準
認證與認可
開放與封閉系統(tǒng)
一些威脅的評估
備注：3
計算機安全（Computer Security ）
可用性：防止丟失或訪問，數(shù)據(jù)和資源流失
Availability: Prevention of loss of, or loss of access to, data and resources
完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改
Integrity: Prevention of unauthorized modification of data and resources
保密性：防止未授權(quán)披露的數(shù)據(jù)和資源
Confidentiality: Prevention of unauthorized disclosure of data and resources
備注：4
系統(tǒng)架構(gòu)（System Architecture ）
架構(gòu)（Architecture）：體現(xiàn)在其組成部分，它們彼此之間以及與環(huán)境的關(guān)系，和指導原則其設(shè)計和演進的系統(tǒng)的基本組織。
架構(gòu)描述（Architectural description ，AD）：以正式的方式表述一個架構(gòu)的文檔集合。
利益相關(guān)者（Stakeholder）：對于系統(tǒng)有利益關(guān)系或關(guān)注系統(tǒng)的個人、團隊、組織（或集體）
視圖（View）：從相關(guān)的一組關(guān)注點透視出的整個系統(tǒng)的表述
視角（Viewpoint）：關(guān)于建設(shè)和使用視圖的慣例性說明，也是通過明確視圖建立目的、讀者，確立視圖與分析技巧后開發(fā)單個視圖的模板。
備注：5
正式的架構(gòu)術(shù)語和關(guān)系
備注：6
計算機系統(tǒng)結(jié)構(gòu)（Computer Architecture ）
計算機體系結(jié)構(gòu)包括所有用于它的計算機系統(tǒng)的所必需的部件的功能，包括操作系統(tǒng)，存儲芯片，邏輯電路，存儲設(shè)備，輸入和輸出設(shè)備，安全組件，總線和網(wǎng)絡(luò)接口。
中央處理器（The Central Processing Unit）
多重處理（Multiprocessing）
操作系統(tǒng)組件（Operating System Components）
備注：7
中央處理器（The Central Processing Unit，CPU）
計算機的大腦。對CPU最常見的描述可能是：它從存儲器中提取指令并加以執(zhí)行。
控制單元
算術(shù)邏輯單元
寄存器
數(shù)據(jù)高速緩存器
解碼單元
預取單元
指令高速緩存器
總線單元
（主存儲器）
備注：8
中央處理器（The Central Processing Unit，CPU）
中央處理單元是計算機硬件的核心，主要任務是執(zhí)行各種命令，完成各種運算和控制功能，是計算機的心臟，決定著系統(tǒng)的類型、性能和速度，CPU中包含：
(1)算術(shù)邏輯運算單元ALU (Arithmetic Logic Unit) ：主要負責數(shù)據(jù)的計算或處理。
(2)控制單元(Control unit)：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指令進出CPU；并控制ALU的動作。
(3)寄存器/緩存器(Registers)：負責儲存數(shù)據(jù)，以利CPU快速地存取。
累加器(Accumulator)
程序記數(shù)器(Program Counter)
內(nèi)存地址寄存器(Memory Address Register) 
內(nèi)存數(shù)據(jù)寄存器(Memory Buffer Register)
指令寄存器(Instruction Register) 
(4)連結(jié)路徑(interconnection path)：負責連接CPU內(nèi)部的組件，以利數(shù)據(jù)或控制訊號在不同組件間流傳。
備注：9
CPU運行狀態(tài)
運行狀態(tài)：Run/operating state
執(zhí)行指令
解題狀態(tài)：Application/Problem state
執(zhí)行應用程序
僅執(zhí)行非特權(quán)(nonprivileged instructions)指令
管理程序狀態(tài)：Supervisor state 
特權(quán)模式下執(zhí)行
程序可以訪問整個系統(tǒng)，同時執(zhí)行特權(quán)( Privileged instructions )和非特權(quán)指令
等待狀態(tài)：Wait state 
等待特定事件完成
備注：10
多重處理（Multiprocessing）
對稱模式多重處理（Symmetric mode multiprocessing ）
計算機有兩個或者多個CPU且每個CPU都使用加載均衡方式
非對稱模式多重處理（Asymmetric mode multiprocessing ）
計算機有兩個或者多個CPU，且有一個CPU僅專門處理一個特定程序，而其他CPU執(zhí)行通用的處理程序
備注：11
關(guān)鍵概念
中央處理單元CPU，算術(shù)邏輯單元ALU，寄存器，控制單元
通用寄存器（General registers ）：CPU在執(zhí)行指令過程中使用的臨時存儲位置。
特殊寄存器（Special registers ）：保存關(guān)鍵處理參數(shù)的臨時存儲位置。保存諸如程序計數(shù)器，堆棧指針，程序狀態(tài)字（PSW）。
程序計數(shù)器（Program counter ）：為CPU所要執(zhí)行的指令保存存儲器地址
棧（Stack ）：進程用來彼此傳輸指令和數(shù)據(jù)的存儲器分段
程序狀態(tài)字（Program status word ）：向CPU表明需要用什么狀態(tài)（內(nèi)核模式還是用戶模式）運行的條件變量
備注：12
關(guān)鍵概念
用戶模式（問題狀態(tài)）（User mode (problem state) ）：CPU在執(zhí)行不太可信的進程指令時所用的保護模式
內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（Kernel mode (supervisory state, privilege mode)）：CPU在執(zhí)行較為可信的進程指令時所用的工作狀態(tài)，進程在內(nèi)核模式下比在用戶模式下可以訪問更多的計算機資源
地址總線（Address bus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所擁到的物理存儲器地址
數(shù)據(jù)總線（Data bus）：處理組件和存儲器段之間的物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。
對稱模式多重處理，不對稱模式多重處理
備注：13
操作系統(tǒng)組件（Operating System Components）
進程管理（Process Management）
線程管理（Thread Management）
進程調(diào)度（Process Scheduling）
進程活動（Process Activity）
備注：14
進程管理（Process Management）
進程管理：操作系統(tǒng)的職能之一，主要是對處理機進行管理。為了提高CPU的利用率而采用多道程序技術(shù)。通過進程管理來協(xié)調(diào)多道程序之間的關(guān)系，使CPU得到充分的利用。
進程：Process
一個獨立運行的程序，有自己的地址空間, 是程序運行的動態(tài)過程
只能有限地與其它進程通信，由OS負責處理進程間的通信
進程是程序運行的一個實例，是運行著的程序
備注：15
關(guān)鍵概念
多程序設(shè)計(MultiProgramming)
一個處理器允許多處程序的將交叉運行, 即兩個或兩個以上程序在計算機系統(tǒng)中同處于開始個結(jié)束之間的狀態(tài)：多道、宏觀上并行、微觀上串行 
解決主機和外轉(zhuǎn)設(shè)備速度不匹配問題，為提高CPU的利用率。通過進程管理，協(xié)調(diào)多道程序之間的CPU分配調(diào)度、沖突處理及資源回收等關(guān)系。
對象重用問題, TOC/TOU
多任務（MultiTasking）
單個處理器對兩個或兩個以上的任務并行執(zhí)行、交叉執(zhí)行
實時多任務(Realtime)、搶占式多任務(Preemptive)、協(xié)作式多任務(Cooperative)。協(xié)調(diào)式多任務各個進程控制釋放CPU時間，搶占式多任務主要由操作系統(tǒng)控制時間
備注：16
關(guān)鍵概念
進程表PCB：包含CPU所需的進程狀態(tài)數(shù)據(jù)
中斷（Interrupts）：
分配給計算機部件（硬件和軟件）的值，以對計算機資源進行有效的時間分片。
可屏蔽中斷（Maskable interrupt ）：分配給非關(guān)鍵操作系統(tǒng)活動中斷值。
不可屏蔽中斷（Nonmaskable interrupt）：分配給關(guān)鍵操作系統(tǒng)活動中斷值，如復位鍵
備注：17
線程管理（Thread Management）
線程（Thread）：是為了節(jié)省資源而可以在同一個進程中共享資源的一個執(zhí)行單位。
多線程（Multithreading）：通過生成不同指令集（線程）同時執(zhí)行多個活動的應用程序
備注：18
進程調(diào)度（Process Scheduling）
無論是在批處理系統(tǒng)還是分時系統(tǒng)中，用戶進程數(shù)一般都多于處理機數(shù)、這將導致它們互相爭奪處理機。另外，系統(tǒng)進程也同樣需要使用處理機。這就要求進程調(diào)度程序按一定的策略，動態(tài)地把處理機分配給處于就緒隊列中的某一個進程，以使之執(zhí)行。
軟件死鎖（Software deadlock ）：兩個進程都在等待系統(tǒng)資源被釋放額導致不能完成他們的活動的情況。
備注：19
進程活動
早期操作系統(tǒng)中，一個進程掛起，其它所有程序也會掛起
進程隔離：對象封裝，共享資源時分復用，命名區(qū)分，虛擬映射
備注：20
關(guān)鍵概念
進程
多程序設(shè)計：操作系統(tǒng)交叉執(zhí)行不止一個進程
多任務處理：操作系統(tǒng)同時執(zhí)行不止一個任務
協(xié)調(diào)式多任務
搶占式多任務
進程狀態(tài)：就緒，運行，阻塞
中斷，可屏蔽中斷
線程，多線程
軟件死鎖

備注：21
存儲器管理
管理目標
為編程人員提供一個抽象層
通過有限的可用存儲器提供最高性能
保護操作系統(tǒng)與加載入存儲器的應用程序
存儲器管理器五項基本功能
重新部署
根據(jù)需要，在RAM和硬盤之間交換內(nèi)容
保護
限制進程只與分配給它們的存儲器段交互，為存儲器段提供訪問控制
共享
當進程需要使用相同的共享存儲器段時，使用復雜的控制來確保完整性和機密性
邏輯組織
允許共享特定的軟件模塊
物理組織
為應用程序和操作系統(tǒng)進程劃分物理存儲器空間
備注：22
存儲器類型
隨機存取存儲器（Random access memory，RAM）
可隨時寫入或讀出數(shù)據(jù)
用于操作系統(tǒng)和應用所執(zhí)行的讀寫活動，即通常所說的內(nèi)存
寄存器，Register
Cache
動態(tài)隨機儲存內(nèi)存(Dynamic RAM, DRAM)
靜態(tài)隨機儲存內(nèi)存(Static RAM，SRAM)：面積更大，造價更高，速度更快
由CPU直接存取
關(guān)閉電源存放在DRAM、寄存器、Cache的內(nèi)容消失，不可永久保存資料
抖動：讀取數(shù)據(jù)所花時間超過處理數(shù)據(jù)的時間
備注：23
存儲器類型
只讀存儲器（Read only memory，ROM）
只能讀不能寫
關(guān)閉電源內(nèi)容不消失，可永久保存數(shù)據(jù)。而使用SRAM進行存儲，需要有電池等設(shè)備。
種類：
PROM( programmable ROM)：數(shù)據(jù)或程序可依使用者的需求來燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。
EPROM( erasable PROM)：可擦拭可程序規(guī)劃的ROM，舊有的數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復使用該顆EPROM，來燒錄不同程序的程序或數(shù)據(jù)。
EEPROM( electrically erase PROM)：電子式可擦拭可程序規(guī)劃的ROM。
MASK ROM：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時寫入。
備注：24
存儲器類型
高速緩存（Cache Memory）
為了緩和CPU與主存儲器之間速度的矛盾，在CPU和主存儲器之間設(shè)置一個緩沖性的高速存儲部件，它的工作速度接近CPU的工作速度，但其存儲容量比主存儲器小得多。
高速緩存分為兩種，一種是內(nèi)建在CPU中的L1快取，另一種則是在CPU之外，稱為L2快取。
高速緩存愈大，對計算機執(zhí)行效率的幫助愈大。
速度最快、最貴
存儲器映射（Memory Mapping）：邏輯地址引導到特定的物理地址
緩沖區(qū)溢出（Buffer Overflows）
緩沖區(qū)溢出攻擊利用編寫不夠嚴謹?shù)某绦颍ㄟ^向程序的緩存區(qū)寫入超過預定長度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導致程序執(zhí)行流程的改變。 
ALSR：地址空間隨機布局化
DEP：數(shù)據(jù)執(zhí)行保護
存儲器泄露（Memory Leaks）
開發(fā)正確釋放存儲器的更完善的代碼
使用垃圾收集器（garbage collector）
備注：25
虛擬存儲器（Virtual Memory）
通過使用二級存儲器(部分硬盤空間)來擴展內(nèi)存(RAM)的容量，對未被執(zhí)行的程序頁進行處理
虛擬存儲器屬于操作系統(tǒng)中存儲管理的內(nèi)容，因此，其大部分功能由軟件實現(xiàn)。 
虛擬存儲器是一個邏輯模型，并不是一個實際的物理存儲器。
虛擬存儲器的作用：分隔地址空間；解決主存的容量問題；程序的重定位
虛擬存儲器不僅解決了存儲容量和存取速度之間的矛盾，而且也是管理存儲設(shè)備的有效方法。有了虛擬存儲器，用戶無需考慮所編程序在主存中是否放得下或放在什么位置等問題。
備注：26
關(guān)鍵概念
進程隔離
動態(tài)鏈接庫
基礎(chǔ)寄存器（起始地址），限制寄存器（終止地址）
RAM ROM 高速緩沖存儲器
絕對地址，邏輯地址
緩沖區(qū)溢出，ASLR，DEP
垃圾收集器，虛擬存儲器
備注：27
輸入輸出設(shè)備管理
輸入是把信息送入計算機系統(tǒng)的過程，輸出是從計算機系統(tǒng)送出信息的過程，用戶通過輸入/輸出設(shè)備與計算機系統(tǒng)互相通信。
常用輸入設(shè)備：鍵盤、鼠標器、掃描儀
常用輸出設(shè)備：顯示器、打印機、繪圖儀
輸出/輸入接口
數(shù)據(jù)要從計算機內(nèi)部輸出時，它會將內(nèi)部的表示法轉(zhuǎn)成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從外圍設(shè)備傳數(shù)據(jù)到計算機內(nèi)部，它也會將外界的數(shù)據(jù)格式轉(zhuǎn)成計算機內(nèi)部看得懂的表示法。檢驗數(shù)據(jù)的完整性
備注：28
I/O技術(shù)
可編程Programmed I/O
速度慢
中斷驅(qū)動Interrupt-driven I/O
由外部發(fā)出請求，請求CPU中斷或結(jié)束正常程序運行
處理中斷導致時間消耗
DMA I/O using DMA
是一種完全由硬件執(zhí)行I/O交換的工作方式。速度快
映射前Premapped I/O
I/O取得足夠信任，IIO與存儲器直接交互數(shù)據(jù)
全映射Fully mapped I/O
不完全信任I/O，IO設(shè)備只與邏輯地址直接交互
備注：29
CPU架構(gòu)
保護環(huán)Protection Ring
一組同心的編號環(huán)   
環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù)表示越高的特權(quán)
程序假定執(zhí)行環(huán)數(shù)的位置     
程序不可以直接訪問比自身高的層次，如需訪問，系統(tǒng)調(diào)用(system call)
一般使用4個保護環(huán)：
Ring 1 操作系統(tǒng)安全核心
Ring 2 其他操作系統(tǒng)功能 – 設(shè)圖示控制器
Ring 3 系統(tǒng)應用程序，數(shù)據(jù)庫功能等
Ring 4 應用程序空間
備注：30
操作系統(tǒng)架構(gòu)（Operating System Architectures）
單塊操作系統(tǒng)架構(gòu)
分層操作系統(tǒng)架構(gòu)
備注：31
操作系統(tǒng)架構(gòu)
單片（Monolithic ）
所有操作系統(tǒng)進程在內(nèi)核模式下運行。
分層（Layered）
所有操作系統(tǒng)進程在內(nèi)核模式下的分層模型上運行。內(nèi)核過大
微內(nèi)核（Microkernel）
核心操作系統(tǒng)進程運行在內(nèi)核模式，其余運行在用戶模式。內(nèi)核過小
混合微內(nèi)核（Hybrid microkernel）
所有操作系統(tǒng)進程在內(nèi)核模式下運行。核心進程運行在微內(nèi)核，其他運行在客戶端\服務器模式。
備注：32
分層操作系統(tǒng)

備注：33
微內(nèi)核操作系統(tǒng)
備注：34
Windows混合微內(nèi)核架構(gòu)
備注：35
主要的操作系統(tǒng)內(nèi)核架構(gòu)
備注：36
虛擬機
備注：37
虛擬機優(yōu)勢
多個服務器整合
遺留應用程序運行
運行不可信程序，提供安全的隔離的沙箱
模仿獨立計算機網(wǎng)絡(luò)
多個系統(tǒng)，多種硬件適合
強大的調(diào)試和性能監(jiān)控
超強隔離能力
備份、恢復、遷移更簡單

備注：38
系統(tǒng)安全體系結(jié)構(gòu)（System Security Architecture）
安全策略（Security Policy）
安全架構(gòu)要求（Security Architecture Requirements）
備注：39
安全策略（Security Policy）
指導性綱領(lǐng)，為系統(tǒng)整體和構(gòu)成它的組件從安全角度提出根本的目標，是戰(zhàn)略工具。安全策略是一個系統(tǒng)的基礎(chǔ)規(guī)范，使系統(tǒng)集成后評估它的基準。
備注：40
安全架構(gòu)要求（Security Architecture Requirements）
可信計算基（Trusted Computing Base）
安全邊界（Security Perimeter）
引用監(jiān)視器（Reference Monitor，RM）
安全內(nèi)核（Security Kernel）
備注：41
可信計算基（Trusted Computing Base）
TCB是計算機系統(tǒng)內(nèi)保護機制的總體, 包括硬件、固體、軟件和負責執(zhí)行安全策略的組合體。
TCB由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一的安全策略。
TCB的三個要求
TCB必須保證其自身在一個域中的執(zhí)行，防止被外界干擾或破壞
TCB所控制的資源必須是已經(jīng)定義的主體或客體的子集
TCB必須隔離被保護的資源，以便進行訪問控制和審計
TCB維護每個域的保密性和完整性，監(jiān)視4個基本功能
進程激活：Process activation
執(zhí)行域的切換：Execution domain switching
內(nèi)存保護：Memory protection
I/O操作：I/O operation
備注：42
引用監(jiān)視器（Reference Monitor，RM）
RM是一個抽象機的訪問控制概念，基于訪問控制數(shù)據(jù)庫協(xié)調(diào)所有主體對客體的訪問
RM的任務
根據(jù)訪問控制數(shù)據(jù)庫，對主體對客體的訪問請求做出是否允許的裁決，并將該請求記錄到審計數(shù)據(jù)庫中。注意：基準監(jiān)視器有動態(tài)維護訪問控制數(shù)據(jù)庫的能力。
RM的特性：
執(zhí)行主體到對象所有訪問的抽象機
必須執(zhí)行所有訪問，能夠在修改中被保護，能夠恢復正常，并且總是被調(diào)用。
處理所有主體到客體訪問的抽象機
備注：43
安全內(nèi)核（Security Kernel）
安全內(nèi)核是TCB中執(zhí)行引用監(jiān)視器概念的硬件、固件和軟件元素
理論基礎(chǔ)：在一個大的操作系統(tǒng)中，只將相對比較小的一部分軟件負責實施系統(tǒng)安全，并將實施安全的這部分軟件隔離在一個可信的安全核，這個核就稱為安全核。
需要滿足三個原則
完備性：協(xié)調(diào)所有的訪問控制
隔離性：受保護，不允許被修改
可驗證性：被驗證是正確的
安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，幾乎可以說是唯一能夠?qū)嵱玫募夹g(shù)。
引用監(jiān)視器RM是概念，抽象的機器，協(xié)調(diào)所有主體對對象間的訪問；安全內(nèi)核是硬件，是TCB中執(zhí)行RM的部分，TCB中除安全內(nèi)核外還有其它安全機制
備注：44
關(guān)鍵概念
虛擬化
Hypervisor:用來管理模擬環(huán)境中的虛擬機的中央程序
安全策略
可信計算基
可信路徑：進程之間用來通信的，不能被繞過的可信軟件通道
安全邊界
引用監(jiān)視器
安全內(nèi)核
多級安全策略
備注：45
安全模型（Security Models ）
狀態(tài)機模型（State Machine Models）
Bell-LaPadula 模型
Biba模型
Clark-Wilson模型
信息流模型（Information Flow Model）
非干涉模型（Noninterference Model）
格子模型（Lattice Model）
Brewer and Nash模型
Graham-Denning模型
Harrison-Ruzzo-Ullman（HRU）模型
備注：46
安全策略與安全模型
安全策略勾勒出目標，寬泛、模糊而抽象，安全模型提供了實現(xiàn)這些目標應該做什么，不應該做什么，具有實踐指導意義，給出了策略的形式
備注：47
狀態(tài)機模型（State Machine Models）
狀態(tài)機模型描述了一種無論處于何種狀態(tài)都是安全的系統(tǒng)
一個狀態(tài)（State）是處于特定時刻系統(tǒng)的一個快照，如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之為安全的
State transition：狀態(tài)轉(zhuǎn)換，
許多活動可能會改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（State transition），遷移總是導致新的狀態(tài)的出現(xiàn)
如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于不安全狀態(tài)，則系統(tǒng)執(zhí)行一個——安全狀態(tài)機模型：secure state model。
一個安全的狀態(tài)機模型系統(tǒng)，總是從一個安全狀態(tài)啟動，并且在所有遷移當中保持安全狀態(tài)，只允許主體以和安全策略相一致的安全方式來訪問資源
安全的狀態(tài)機模型是其他安全模型的基礎(chǔ)
備注：48
狀態(tài)機模型（State Machine Models）
備注：49
Bell-LaPadula 模型
1973年，David Bell和Len LaPadula提出了第一個正式的安全模型，該模型基于強制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別。將數(shù)據(jù)劃分為多安全級別與敏感度的系統(tǒng)稱之為多級安全系統(tǒng)
為美國國防部多級安全策略形式化而開發(fā)
Bell-LaPadula保密性模型是第一個能夠提供分級別數(shù)據(jù)機密性保障的安全策略模型(多級安全)。
特點：
信息流安全模型
只對機密性進行處理
運用狀態(tài)機模型和狀態(tài)轉(zhuǎn)換的概念
基于政府信息分級——無密級、敏感但無密級、機密、秘密、絕密
“Need to know”——誰需要知道？
開始于安全狀態(tài)，在多個安全狀態(tài)中轉(zhuǎn)換(初始狀態(tài)必須安全，轉(zhuǎn)變結(jié)果才在安全狀態(tài))
備注：50
Bell-LaPadula 模型安全規(guī)則
簡單安全規(guī)則ss (Simple Security Property )
安全級別低的主體不能讀安全級別高的客體信息(No Read Up)
星規(guī)則* The *  (star) security Property
安全級別高的主體不能往低級別的客體寫(No write Down)
強星規(guī)則 Strong * property
不允許對另一級別進行讀取
自主安全規(guī)則ds (Discretionary security Property )
使用訪問控制矩陣來定義說明自由存取控制
內(nèi)容相關(guān) Content Dependent 
上下文相關(guān)Context Dependent
備注：51
BLP模型的缺陷
不能防止隱蔽通道(covert channels)
不針對使用文件共享和服務器的現(xiàn)代信息系統(tǒng)
沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移(secure state transition)
基于多級安全保護(multilevel security)而未針對其他策略類型 
不涉及訪問控制管理
不保護完整性和可用性
備注：52
Biba模型
完整性的三個目標：保護數(shù)據(jù)不被未授權(quán)用戶更改；保護數(shù)據(jù)不被授權(quán)用戶越權(quán)修改(未授權(quán)更改)；維持數(shù)據(jù)內(nèi)部和外部的一致性
1977作為Bell-Lapadula的完整性補充而提出, 用于非軍事行業(yè)
Biba基于一種層次化的完整性級別格子(hierarchical lattice of integrity levels)，是一種信息流安全模型。
特點：
基于小于或等于關(guān)系的偏序的格
最小上限(上確界)， least upper bound (LUB)
最大下限(下確界)，greatest lower bound (GLB)
Lattice = (IC,<= , LUB, GUB) 
數(shù)據(jù)和用戶分級
強制訪問控制
備注：53
Biba模型安全規(guī)則
*完整性公理：主題不能向位于較高完整性級別的客體寫數(shù)據(jù)，不能向上寫
簡單完整性公理：主題不能從較低完整性級別讀取數(shù)據(jù)，不能向下讀
調(diào)用屬性：主體不能請求完整性級別更高的主體服務

信息來源，可信數(shù)據(jù)

備注：54
Clark-Wilson模型
在1987年被提出的
經(jīng)常應用在銀行應用中以保證數(shù)據(jù)完整性
實現(xiàn)基于成形的事務處理機制
要求完整性標記
定義：
受限數(shù)據(jù)條目Constrained Data Item (CDI) 
完整性檢查程序Integrity Verification Procedure (IVP)
轉(zhuǎn)換程序Transformation Procedure (TP)
自由數(shù)據(jù)條目Unconstrained Data Item
Clark-Wilson需要integrity label用于確定一個數(shù)據(jù)項的完整級別，并在TP后驗證其完整性是否維持，采用了實現(xiàn)內(nèi)/外一致性的機制，separation of duty, mandatory integrity policy
備注：55
Clark-Wilson模型
完整性的模型
沒有像Biba那樣使用lattice結(jié)構(gòu)，而是使用Subject/Program/Object這樣的三方關(guān)系（triple），Subject并不能直接訪問Object，只能通過Program來訪問
兩個原則：
well-formed transactions：采用了program的形式，主體只能通過program訪問客體，每個恰當設(shè)計的program都有特定的限制規(guī)則，這就有效限制了主體的能力
separation of duties：將關(guān)鍵功能分成兩個或多個部分，必須由不同的主體去完成各個部分，可防止已授權(quán)用戶進行未授權(quán)的修改
要求具有審計能力（Auditing）
Clark-Wilson model也被稱作restricted interface model
該模型考慮到了完整性的3個目標，而Biba模型只考慮了第一個：防止未授權(quán)用戶更改；防止授權(quán)用戶的不正確更改（職責分離），維護內(nèi)部和外部的一致性
備注：56
信息流模型（Information Flow Model）
基于狀態(tài)機，由對象、狀態(tài)轉(zhuǎn)換以及格(流策略)狀態(tài)組成,對象可以是用戶，每個對象都被分配一個安全等級和值
Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息從高安全等級流向低安全等級，后者要防止信息從低安全等級流向高安全等級
信息流模型并不是只處理信息流向，也可以處理流類型
信息流模型用于防止未授權(quán)的、不安全的或者受到限制的信息流，信息流可以是同一級別主體與客體之間的，也可以是不同級別間的
信息流模型允許所有授權(quán)信息流，無論是否在同一級別;   信息流模型防止所有未授權(quán)的信息流，無論是否在同一級別
信息被限制在策略允許的方向流動
備注：57
隱蔽信道（Covert Channels）
隱蔽通道是一種讓一個實體以未授權(quán)方式接收信息。
條件
在產(chǎn)品開發(fā)過程中不當監(jiān)督
在軟件中實施不當?shù)脑L問控制
兩個實體之間未適當?shù)乜刂乒蚕碣Y源
隱蔽通道有兩種類型：
存儲：
存儲隱蔽通道，進程能夠通過系統(tǒng)的一些類型的存儲空間通信。（木馬）
通過創(chuàng)建文件。
計時
一個進程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個進程中繼續(xù)傳送數(shù)據(jù)。
備注：58
非干涉模型（Noninterference Model）
基于信息流模型
非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài)或者其他主體活動的某個主體的活動
確保在較高安全級別發(fā)生的任何活動不會影響，或者干涉在較低安全級別發(fā)生的活動。如果在較高安全級內(nèi)的一個實體執(zhí)行一項操作，那么它不能改變在較低安全級內(nèi)實體的狀態(tài)
如果一個處于較低安全級的實體感受到了由處于較高安全級內(nèi)的一個實體所引發(fā)的某種活動，那么該實體可能能夠推斷出較高級別的信息，引發(fā)信息泄漏
基本原理為，一組用戶(A)使用命令(C)，不被用戶組(B)(使用命令D)干擾，可以表達成A, C:| B, D，同樣，使用命令C的組A的行為不能被使用命令D的組B看到
備注：59
格子模型（Lattice Model）
Lattice 模型通過劃分安全邊界對BLP模型進行了擴充，它將用戶和資源進行分類，并允許它們之間交換信息，這是多邊安全體系的基礎(chǔ)。
多邊安全的焦點是在不同的安全集束（部門，組織等）間控制信息的流動，而不僅是垂直檢驗其敏感級別。
建立多邊安全的基礎(chǔ)是為分屬不同安全集束的主體劃分安全等級，同樣在不同安全集束中的客體也必須進行安全等級劃分，一個主體可同時從屬于多個安全集束，而一個客體僅能位于一個安全集束。
在執(zhí)行訪問控制功能時，lattice模型本質(zhì)上同BLP模型是相同的，而lattice模型更注重形成"安全集束"。BLP模型中的"上讀下寫"原則在此仍然適用，但前提條件必須是各對象位于相同的安全集束中。主體和客體位于不同的安全集束時不具有可比性，因此在它們中沒有信息可以流通。
備注：60
Brewer and Nash Model
Brew and Nash: Chinese Wall
Chinese Wall模型是應用在多邊安全系統(tǒng)中的安全模型（也就是多個組織間的訪問控制系統(tǒng)），應用在可能存在利益沖突的組織中。最初是為投資銀行設(shè)計的，但也可應用在其它相似的場合。 
Chinese Wall安全策略的基礎(chǔ)是客戶訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，一個銀行會同時擁有多個互為競爭者的客戶，一個銀行家可能為一個客戶工作，但他可以訪問所有客戶的信息。因此，應當制止該銀行家訪問其它客戶的數(shù)據(jù)。
Chinese Wall安全模型的兩個主要屬性：
用戶必須選擇一個他可以訪問的區(qū)域
用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問
這種模型同時包括了DAC和MAC的屬性：銀行家可以選擇為誰工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。
備注：61
Graham-Denning模型
如何安全地創(chuàng)建一個客體
如何安全地創(chuàng)建一個主體
如何安全地刪除客體
如何安全地刪除主體
如何安全地提供讀訪問權(quán)
如何安全地提供準許接入權(quán)
如何安全地提供刪除訪問權(quán)限
如何安全地提供轉(zhuǎn)移訪問權(quán)限
備注：62
Harrison-Ruzzo-Ullman（HRU）模型
主體的訪問權(quán)限以及這些權(quán)限的完整性。
主體只能對客體執(zhí)行一組有限的操作
HRU被軟件設(shè)計人員用來確保沒有引入意外脆弱性，從而可以實現(xiàn)訪問控制目標
備注：63
操作安全模式（Security Modes of Operation ）
專用安全模式
Dedicated Security Mode	訪問系統(tǒng)上所有信息的適當許可
訪問系統(tǒng)上所有信息的正式訪問批準
訪問系統(tǒng)上所有信息的簽名NDA
訪問系統(tǒng)上所有信息的有效”知其所需“
任何用戶都能夠訪問所有數(shù)據(jù)
系統(tǒng)高安全模式
System High-Security Mode	訪問系統(tǒng)上所有信息的適當許可
訪問系統(tǒng)上所有信息的正式訪問批準
訪問系統(tǒng)上所有信息的簽名NDA
訪問系統(tǒng)上所有信息的有效”知其所需“
根據(jù)他們的“知其所需”,所有用戶都能訪問一些數(shù)據(jù)
分隔安全模式
Compartmented Security Mode	訪問系統(tǒng)上所有信息的適當許可
訪問系統(tǒng)上所有信息的正式訪問批準
訪問系統(tǒng)上所有信息的簽名NDA
訪問系統(tǒng)上所有信息的有效”知其所需“
根據(jù)他們的“知其所需”和正式批準,所有用戶都能訪問一些數(shù)據(jù)
多級安全模式
Multilevel Security Mode	訪問系統(tǒng)上所有信息的適當許可
訪問系統(tǒng)上所有信息的正式訪問批準
訪問系統(tǒng)上所有信息的簽名NDA
訪問系統(tǒng)上所有信息的有效”知其所需“
根據(jù)他們的“知其所需”、許可和正式批準,所有用戶都能訪問一些數(shù)據(jù)
備注：64
信任與保證
TCSEC中，較低保證級別評定工作會考察系統(tǒng)的保護機制和測試結(jié)果，較高保證級別評定工作更多考查系統(tǒng)的設(shè)計、規(guī)范、開發(fā)過程、支持文檔以及測試結(jié)果

備注：65
系統(tǒng)評估方法（Systems Evaluation Methods ）
ITSEC 
1991
CC 1.0
1996

TCSEC
 1985
CTCPEC 
1993
FC 
1992
ISO15408 1999
CC 2.0
1998
GB/T 18336 2001
CD
1997
FCD
1998
GIB 2646 
1996
GB 17859 
1999
GB/T 18336 2008
ISO15408 1999
備注：66
橘皮書（Orange Book）
Trusted Computer System Evaluation Criteria（TCSEC），是一個評估OS、應用的、系統(tǒng)的規(guī)范，評價不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和保證程度，提供多種級別。
1970年由美國國防科學委員會提出。1985年公布。
主要為軍用標準，延用至民用。
TCSEC2000年被Common Criteria所替代，是第一個涉及計算機系統(tǒng)的安全規(guī)范。
備注：67
TCSEC等級
D — 最小保護(minimal protection)
C — 自主保護(discretionary protection)
C1: 選擇安全性保護，Discretionary Security Protection
C2: 受約束的訪問保護，Controlled Access Protection 
B — 強制保護(mandatory protection)
B1: 標簽式安全保護，Labeled Security
B2: 結(jié)構(gòu)化保護，Structure Protection
B3: 安全域，Security Domain
A — 校驗保護(verified protection)
A1: 驗證設(shè)計，Verified Design
備注：68
類別	名稱	主要特征	安全要求
A	驗證設(shè)計
（verity design）	形式化的最高級描述和驗證，形式化的隱密通道分析，非形式化的代碼一致性證明	設(shè)計必須從數(shù)學角度上經(jīng)過驗證，而且必須進行秘密能道和可信任分布的分析。
B3	安全域
(security domain)	安全內(nèi)核，高抗?jié)B透能力	用戶工作站或終端能過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)
B2	結(jié)構(gòu)防護
（structured protection）	設(shè)計系統(tǒng)時必須有一個合理的總體設(shè)計方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的滲透能力，訪問控制應對所有的主體和客體提供保護，對系統(tǒng)進行隱蔽通道分析	計算機系統(tǒng)中所有對象都加標簽，而且給設(shè)備（如工作站、終端和磁盤驅(qū)動器）分配安全級別。
B1	標號安全防護
（label security protection）	除了C2級別的安全需求外，增加安全策略模型，數(shù)據(jù)標號（安全和屬性）	在不同級別對敏感信息提供更高級的保護，讓每個對象都有有一個敏感標簽
C2	受控的訪問環(huán)境	存取控制以用戶為單位廣泛的審計	加入身份認證級別，系統(tǒng)對發(fā)生的事件加以審計并寫入日志
C1	選擇性安全防護
（discretionary security protection）	有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護以用戶組為單位	硬件有一定的安全保護（如硬件有帶鎖裝置），用戶在使用計算機系統(tǒng)前必須先登錄。允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。
D	最小保護	保護措施很小，沒有安全功能	不要求用戶進行登記（要求用戶提供用戶名）或使用密碼（要求用戶提供惟一的字符串來進行訪問）
備注：69
橘皮書和彩虹系列（The Orange Book and the Rainbow Series ）
橘皮書（Orange Book）
專門針對操作系統(tǒng)
主要著眼于安全的一個屬性（機密性）
適用于政府分類
評級數(shù)量較少
紅皮書（Red Book）
單個系統(tǒng)的安全問題
解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評估問題，主要針對獨立局域網(wǎng)和廣域網(wǎng)系統(tǒng)
涉及通信完整性、防止拒絕服務、泄露保護
備注：70
信息技術(shù)安全評估標準（Information Technology Security）
Information Technology Security Evaluation Criteria （ITSEC） 
歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。
以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。
首次提出了信息安全的保密性、完整性、可用性的概念
評估對象TOE(Target of Evaluation )
產(chǎn)品和系統(tǒng)
安全性目標security target
安全增強機制
安全策略
備注：71
通用標準（Common Criteria ）
定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，與PDR(防護、檢聽、反應)模型和現(xiàn)代動態(tài)安全概念相符合的，強調(diào)安全的假設(shè)、威脅的、安全策略等安全需求的針對性，充分突出保護輪廓
強調(diào)把安全需求劃分為安全功能需求和安全保證需求兩個獨立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的安全等級
定義了7個評估保證級別(EAL)，每一級均需評估7個功能類
備注：72
通用標準（Common Criteria ）
CC（ISO/IEC 15408-X）分為三個部分：
第一部分：介紹和一般模型 —— 一般性概念，IT安全評估的原則，高級編寫規(guī)范，對目標受眾的有用價值。對消費者來說是不錯的背景介紹和參考。
第二部分：安全功能需求 —— 功能性需求，組件，評估目標(Target of Evaluation，TOE)；對消費者來說是不錯的指導和參考，可以用來闡述對安全功能的需求。
第三部分：安全保障 —— 對TOE的保障需求(assurance requirement)，對保護輪廓(Protection Profile)和安全目標(Security Target)的評估標準。指導消費者提出相應的保障等級
備注：73
通用標準概念
保護輪廓（Protection profile，PP）滿足特定用戶需求、與一類TOE實現(xiàn)無關(guān)的一組安全要求。
評估對象（Target of evaluation ，TOE）作為評估主體的IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。
安全目標（Security target ）作為指定的TOE評估基礎(chǔ)的一組安全要求和規(guī)范。
安全功能（Security functional requirements）規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應做的事
安全保證（Security assurance requirements）對功能產(chǎn)生信心的方法
包-功能保證級（Packages—EALs）把功能和保證要求封裝起來，以便今后使用。這部分描述必須得到滿足，以實現(xiàn)特定的EAL等級。
備注：74
評估標準間的比較
備注：75
認證與認可（Certification vs. Accreditation ）
認證, Certification
評估技術(shù)和非技術(shù)特征以確定設(shè)計是否符合安全要求
認可, Accreditation
認證權(quán)威 DAA (Designated Approving Authority ) 
來自于指定的認證權(quán)威的正式聲明，表明系統(tǒng)已被認可在安全狀態(tài)下運行
備注：76
一些威脅的評估（A Few Threats to Review ）
維護鉤子（Maintenance Hooks）
檢驗時間/使用時間攻擊(Time-of-Check/Time-of-Use Attacks，TOC/TOU)
備注：77
維護鉤子（Maintenance Hooks）
軟件內(nèi)開發(fā)人員才知道和能夠調(diào)用的指令,使他們能夠方便的訪問代碼.
對策
使用主機入侵檢測系統(tǒng)監(jiān)視通過后門進入系統(tǒng)的供給者
使用文件系統(tǒng)加密來保護敏感信息
實現(xiàn)審計,以檢測任何類型的后門使用
備注：78
檢驗時間/使用時間攻擊(Time-of-Check/Time-of-Use Attacks，TOC/TOU)
也稱異步攻擊。攻擊者利用系統(tǒng)進程請求和執(zhí)行任務的方法發(fā)動攻擊。
對策
應用“軟件鎖”，在執(zhí)行“檢查”任務時鎖定要使用的項
備注：79
交流與討論
2021年3月2日星期二
備注：80
備注：81

網(wǎng)友評論 more

其他最新內(nèi)容

03-02

境外防恐專題培訓

02-22

導管風險管理

02-22

導管的安全管理

02-19

滑坡災變預測與安全?！?/a>

假期出行安全防護指南

11-19

物業(yè)員工安全知識培訓…

11-19

物業(yè)員工安全知識培訓…

11-19

物業(yè)員工安全知識培訓…

其他熱點內(nèi)容

346

安全生產(chǎn)主題PPT模板

235

危險源辨識培訓課件

218

地震災害安全體驗館…

169

安全漫畫-作業(yè)現(xiàn)場…

156

時間位點在手術(shù)室安…

146

安全生產(chǎn)月活動PPT

124

各工種安全作業(yè)操作…

117

辦公區(qū)安全規(guī)范

相關(guān)內(nèi)容

海委信息安全中的等級保護…

信息安全技術(shù) 公鑰基礎(chǔ)設(shè)…

信息安全技術(shù) 公鑰基礎(chǔ)設(shè)…

工業(yè)控制系統(tǒng)信息安全第1…

信息安全技術(shù) 信息安全?！?/a>

創(chuàng)想安科網(wǎng)站簡介會員服務廣告服務業(yè)務合作提交需求會員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們

<tt id="vnyam"></tt>

<var id="vnyam"><label id="vnyam"><sub id="vnyam"></sub></label></var>

<code id="vnyam"></code><table id="vnyam"></table>

<button id="vnyam"><input id="vnyam"></input></button>

<code id="vnyam"><wbr id="vnyam"><ul id="vnyam"></ul></wbr></code>