安全模型和体系结构.doc_第1页
安全模型和体系结构.doc_第2页
安全模型和体系结构.doc_第3页
安全模型和体系结构.doc_第4页
安全模型和体系结构.doc_第5页
免费预览已结束,剩余3页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

北京银长城CISP培训 模拟题安全模型和体系结构一、快速提示 系统可以有完全相同的硬件、软件和应用,但却会因为系统建立在不同的安全策略 和安全模型之上而提供不同的保护级别。 CPU包括一个控制单元,它控制指令和数据执行的时序;一个ALU(算术逻辑单 元),它执行算术功能和逻辑操作。 绝大多数系统部使用保护环(protection ring)。进程的特权级别越高,则运行在编号越小的保护环中,它就能访问全部或者大部分的系统资源。应用运行在编号越大的保护环中它能访问的资源就越少。 操作系统的进程运行在特权或监控模式中,应用运行在用户模式中,也称为“问题”状态。 次级存储(second storage)是永久性的,它可以是硬盘、CDROM、软驱、磁带备份或者Zip驱动器。 虚存(virtual storage)由RAM和次级存储所构成,系统因此显得具有很大一块存储器。 当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。 安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。 安全机制越复杂,它能提供的保险程度就越低。 并不是所有的系统组成部分都要处于TCB范围内:只有那些直接以及需要实施安全策略的部件才是。构成TCB的组成部分有硬件、软件、回件,因为它们都提供了某种类型的安全保护功能。安全边界(security perimeter)是一个假想的边界线,可信的部件位子其中(那些构成TCB的部件),而不可信的部件则处于边界之外。引用监控器(reference monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有必要的访问权限。因此,它是主体对客体所有访问的中介。安全核心(security kernel)是实际落实引用监控器规则的机制。安全核心必须隔离实施引用监控概念的进程、必须不会被篡改、必须对每次访问企图调用引用监控,而且必须小到足以能正确地测试。安全领域(security domain)是一个主体能够用到的全部客体。需要对进程进行隔离,这可以通过内存分段寻址做到。安全策略(security policy)是一组规定如何管理、保护和发布敏感数据的规则。它给出了系统必须达到的安全目标。系统提供的安全水平取决于它落实安全策略的程度有多大。多级安全系统能受理属于不同类别(安全水平)的数据,具有不同访问级(安全水平)的用户能够使用该系统。应该赋予进程最小的特权,以便使其具有的系统特权只够履行它们的任务,没有多余。有些系统提供在系统不同层次上的功能,这称为分层。这就将进程进行了分离,给单个进程提供了更多的保护。数据隐藏是指,当处于不同层次上的进程彼此互不知晓,因此也就没有办法互相通信。这就给数据提供了更多的保护。给一类客体分配权限,称之为抽象化(abstraction)。安全模型(security model)将安全策略的抽象目标映射到计算机系统的术语和概念上。它给出安全策略的结构,并且为系统提供一个框架。Bell-LdPadula模型只解决机密性的要求,Biba和ClarkWilson则解决数据完整性的要求。状态机模型处理一个系统能够进入的不同状态。如果一个系统开始是在一个安全状态下,在该系统中发生的全部活动都是安全的,那么系统就决不会进入一个不安全的状态。格(Lattice)给授权访问提供了上界和下界。信息流安全模型不允许数据以一种不安全的方式流向客体。Bell-LaPadula模型有一条简单安全规则,意思是说,主体不能从更高级别读取数据(不能向上读)。*-特性规则的意思是说,主体不能向更低级别写数据(不能向下写)。强星特性规则是指一个主体只能在同一安全等级内读和写,不能高也不能低。Biba模型不允许主体向位于更高级别的客体写数据(不能向上写),它也不允许主体从更低级别读取数据(不能向下读)。这样做是为了保护数据的完整性。Bell-LaPadula模型主要用在军事系统中,Biba和ClarkWilson模型则用于商业部门。Clark-Wilson模型要求主体通过经批准的程序、职责分割以及审计来访问客体。如果系统在一个专门的安全模式中运行,那么系统只能处理一级数据分级,所有的用户都必须具有这一访问级,才能使用系统。分段的(compartmented)和多级的(multilevel)安全模式让系统能够处理划入不同分类级别上的数据。可信(trust)意味着系统正确地使用其全部保护机制来为许多类型的用户处理敏感数据。保险(assurance)是你在这种信任关系中具有的信心水平,以及保护机制在所有环境中都能持续正确运行。在不同评测标准下,较低的评定级别评审的是系统性能及其测试结果,而较高的评定级别不但考察这一信息,而且还有系统设计、开发过程以及建档工作。橘皮书(orange Book)也称为可信计算机系统评测标准(TCSEC),制定该标准是为了评测主要供军用的系统。在橘皮书中,D组表示系统提供了最小的安全性,它用于被评测,但不能满足更高类别标准的系统。在橘皮书中,C组涉及自主保护(须知),B组涉及强制保护(安全标签)。在橘皮书中,A组意味着系统的设计和保护水平是能够验证核实的,它提供了最高水平的安全性和可信度。在橘皮书中,C2级要求客体重用保护和审计。在橘皮书中,B1级是要求有安全标签的第一个级别。 在橘皮书中,B2级要求所有的主体和设备具有安全标签,必须有可信通路(trusted path)和隐蔽通道(covert channel)分析,而且要提供单独的系统管理功能。在橘皮书中,B3级要求发送安全通知,要定义安全管理员的角色,系统必须能在不威胁到系统安全的情况下恢复。在橘皮书中,C1描述基于个人和(或)组的访问控制。它需要区分用户和信息并依赖实体的标识和认证。橘皮书主要涉及到操作系统,所以还编写了一系列书籍,涵盖了安全领域内的其他方面;这些书籍称为彩虹系列(Rainbow Series)。红皮书(Red Book),即可信网络解释(Trusted Network Interpretation, TNI),为网络和网络部件提供了指导。信息技术安全评测标准(ITSEC)显示出欧洲国家在试图开发和使用一套而不是几套评测标准。ITSEC分别评测系统的保险程度和功能性,而TCSEC将两者合到了一个级别中。通用准则(common Criteria)的制定提供了一个得到公认的评测标准,而且现如今还在使用。它将TCSEC、ITSEG、CTCPEC和联邦标准(Federal Criteria)的各部分结合了起来。通用准则使用了保护样板(protection profile)和从EALI到EAL7的级别。认证(certification)是对系统及其及全部件的技术评测。认可(accreditation)是管理层正式批准和接受系统所提供的安全保障。开放系统提供了与其他系统和产品更好的互操作性,但是提供的安全级别却更低。封闭系统运行在专有的环境中,它降低了系统的互操作性和功能,但是却提供了更高的安全性。隐蔽通道(covert channel)是一条通信路径,它传输数据的方式违反了安全策略。隐蔽通道有两种类型:计时隐蔽通道和存储隐蔽通道。隐蔽计时通道(covert timing channel)使得进程能够通过调整它对系统资源的使用来向其他进程传递信息。隐蔽存储通道(covert timing channel)使得进程能够把数据写入存储介质,从而让其他进程能够读取到它。后门(backdoor),也称为维护分支(maintenance hook),是用来让程序员迅速进入应用,维护或者增加功能。后门应该在应用投入使用之前删除,否则它会造成严重的安全风险。执行领域(execution domain)是CPU执行指令的地方。操作系统的指令是以特权模式执行的,而应用的指令是以用户模式执行的。进程隔离(process isolation)确保了多个进程能够并发运行,进程不会彼此互相干扰或者影响彼此的存储段。只有需要全部系统特权的进程才会位于系统的内核中。一个状态机处理一个安全级别。多状态机能够处理两个或者更多的安全级别,而不会有威胁系统安全的风险。强制类型定义表明要强制实行抽象数据类型。 TOC/TOU代表“time一of一check和time一of一use”。这是一类异步攻击。Biba模型是以完整性级别具有层次结构的格(lattice)为基础的。Biba模型解决了完整性的第一个目标,即防止未经授权的用户进行修改。Clark一Wilson模型解决了完整性的所有三个目标:防止未经授权的用户进行修改、防止授权的用户进行不恰当的修改,以及通过审计维护内外的一致性。在Clark一Wilson模型中,用户只能通过程序访问和操控客体。它使用访问三元组,即主体-程序-客体。 ITSEC是为欧洲国家制定的。它不是一个国际性的评测标准。二、习题 请记住,这些问题的格式及提问的方式都是有原因的。问题和答案似乎显得奇特或者说模棱两可,但这就是你将会看到的真实的考试。1. What flaw creates buffer overflows?A. Application executing in privileged modeB. Inadequate memory segmentationC. Inadequate protection ring useD. Insufficient parameter checking2. The operating system performs all except which of the following tasks?A. Memory allocationC. Resource allocationB. Input and output tasksD. User access to database views3. If an operating system allows sequential use of an object without refreshing it, whatsecurity issue can arise? A. Disclosure of residual data B. Unauthorized access to privileged processes C. Data leakage through covert channels D. Compromising the execution domain4. What is the final step in authorizing a system for use in an environment? A. Certification B. Security evaluation and rating C. Accreditation D. Verification5. What feature enables code to be executed without the usual security checks? A. Antivirus software B. Maintenance hook C. Timing channel D. Ready state6. If a component fails, a system should be designed to do which of the following? A. Change to a protected execution domain B. Change to a problem state C. Change to a more secure state D. Release all data held in volatile memory7. What security advantage does firmware have over software? A. it is difficult to modify without physical access. B. It requires a smaller memory segment. C. It does not need to enforce the security policy. D. It is easier to reprogram.8. Which is the first level of the Orange Book that requires classification labeling of data? A. B3 B. B2 C. B1 D. C29. Which of the following best describes the reference monitor concept? A. A software component that monitors activity and writes security events to an audit log B. A software component that determines if a user is authorized to perform a requested C. A software component that isolates processes and separates privilege and user modes D. A software component that works in the center protection ring and provides interfaces10. The Information Technology Security Evaluation Criteria was developed for which of the following?A. International use B.U.S. useC. European use D. Global use11. A security kernel contains which of the following? A. Software, hardware, and firmware B. Software, hardware, and system design C. Security policy, protection mechanisms, and software D. Security policy, protection mechanisms, and system design12. What characteristic of a trusted process does not allow users unrestricted access to sensitive data? A. Process isolation enforcement B. Security domain enforcement C. Need-to-know enforcement D. TCB enforcement13. The Orange Book states that a system should uniquely identify each user for accountability purposes and A. Require the user to perform object reuse operations B. Associate this identity with all auditable actions taken by that individual C. Associate this identity with all processes the user initiates D. Require that only that user have access to his specific audit information14. The trusted computing base (TCB) controls which of the following? A. All trusted processes and software components B. All trusted security policies and implementation mechanisms C. All trusted software and design mechanisms D. All trusted software and hardware components15. What is the imaginary boundary that separates components that maintain security from components that are not security related? A. Reference monitor B. Security kernel C. Security perimeter D. Security policy16. Which model deals only with confidentiality? A. Bell-LaPadula B. Clark-Wilson C. Biba D. Reference monitor17. What is the best description of a security kernel from a security point of view? A. Reference monitor B. Resource manager C. Memory mapper D. Security perimeter18. When is security of a system most effective and economical? A. If it is designed and implemented from the beginning of the development Of the system B. If it is designed and implemented as a secure and trusted front end C. If it is customized to fight specific types of attacks D. If the system is optimized before security is added19. In secure computing systems, why is there a logical form of separation used between processes? A. Processes are contained within their own security domains so that each does not make unauthorized accesses to other objects or their resources. B. Processes are contained within their own security perimeter so that they can only access protection levels above them. C. Processes are contained within their own security perimeter so that they can only access protection levels equal to them. D. The separation is hardware and not logical in nature.20. What type of attack is taking place when a higher level subject writes data to a storage area and a lower level subject reads it? A. TOC/TOU B. Covert storage attack C. Covert timing attack D. Buffer overflow21. What type of rating does the Common Criteria give to products? A. PP B. EPL C. EAL D. A-D22. Which best describes the * -integrity axiom? A. No write up in the Biba model B. No read down in the Biba model C. No write down in the Bell-LaPadula model D. No read up in the Bell-LaPadula model23. Which best describes the simple security rule? A. No write up in the Biba model B. No read down in the Biba model C. No write down in the Bell-LaPadula model D. No read up in the Bell-LaPadula model24. Which of the following was the first mathematical model of a multilevel security policy used to define the concept of a security state, modes of access, and outlines rules of access? A. Biba B. Bell-LaPadula C. Clark-Wilson D. State machine25Which Of the following is not a characteristic 0f the BellLaPadula model? AConfidentiality model BIntegrity model CDeveloped and used by the USDoD DFirst mathematical multilevel security model三、答案1D。缓冲区溢出发生在太多的数据作为输入而无法接受时。程序员应该通过适当的安全控制防止缓冲区溢出的发生,意味着他们需要执行边界检查,检查参数确保只有允许数量的数据才可以被接受和处理。2D。操作系统有一长串的责任,但是实现数据库视图不是操作系统的责任,而是数据库管理软件的职责。3A。如果一个对象包含机密的数据,在其他主体可以访问之前,这些数据没有被擦除,那么残留的数据就可能被攻击者读取,可能导致系统或数据的安全被破坏或者机密信息泄露。4C。认证是对一个产品的技术评论,而认可(Accreditation)是管理层正式地批复这个认证过程。这一问题问你,在一个环境中实际使用系统之前,哪一步是系统授权的最后一步,这也是认可工作所要求的。5B。维护分支(Maintenance hooks)可以越过系统或应用的安全和访问控制检查,允许知道特定序列的任何人访问应用,甚至访问代码。在任何代码投入生产之前,必须清除所有的维护分支。6C。状态机模型描述了一个系统应该从安全状态启动,执行安全的状态转移,即便失败也要停留在一个安全状态。这意味着,如果一个系统遇到了它认为不安全的事件时,它应该改变到一个更安全的状态以自我保护和防范。7A。固件是烧制到ROM或EROM芯片中的一种软件,一般用于计算机和外部设备的通信。系统,BIOS指令也在主板的固件里,绝大多数情况下,固件是不可修改的,除非有人可以物理访问该系统。固件不像其他软件可以远程修改。8C。这些保险度级别来自于橘皮书。B级和B级以上要求使用安全标签,不过这个问题是问哪个是第一个要求安全标签的级别。Bl在B2和B3之前,显然是正确的答案。9B。引用监控器是一个抽象的机器,它包含系统所有的访问控制规则。安全内核是一个活动实体,它执行引用监控器的规则,控制主体的所有访问,用户是主体的一个特例。10C。在ITSEC中,I代表信息(Information)而不是国际(International)。这一标准是欧洲国家开发的,用于对他们的安全产品进行分类和评估。11A。安全内核主要由TCB组成,一般包括软件、硬件和固件。安全内核执行许多不同的活动以保护系统,执行引用监控器的规则只是这些活动中的一种。12C。一个执行needtoknow的系统不允许主体访问一个客体,除非它基于needtoknow规则被正式授权。这一问题针对基于MAC:的系统,一般使用安全标签、安全类别和分类作为
人人文库> 全部分类> 应用文书 > 规章制度

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论