安全生产_信息安全安全架构与设计

安全架构和设计SecurityArchitectureandDesign 关键知识领域 A 理解安全模型的基本概念 如保密性 完整性与多层次模型 B 理解信息系统安全评估模型的组成B 1产品评估模型 如通用准则 B 2工业与国际安全实施准则 如PIC DSS ISO C 理解信息系统的安全功能 如内存保护 虚拟技术 可信平台模块 D 理解安全架构的漏洞D 1系统 如隐蔽通道 状态攻击 电子发射 D 2技术与流程的整合 如单点故障 面向服务的架构 E 理解软件与系统的漏洞与威胁E 1基于Web 如XML SAML OWASP E 2基于客户端 如小程序 E 3基于服务器 如数据流量控制 E 4数据库安全 如推断 聚合 数据挖掘 数据仓库 E 5分布式系统 如云计算 网格计算 对等网络 F 理解对抗原理 如深度防御 目录 计算机安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可开放与封闭系统一些威胁的评估 计算机安全 ComputerSecurity 可用性 防止丢失或访问 数据和资源流失Availability Preventionoflossof orlossofaccessto dataandresources完整性 防止数据和资源的未经授权的修改Integrity Preventionofunauthorizedmodificationofdataandresources保密性 防止未授权披露的数据和资源Confidentiality Preventionofunauthorizeddisclosureofdataandresources 系统架构 SystemArchitecture 架构 Architecture 体现在其组成部分 它们彼此之间以及与环境的关系 和指导原则其设计和演进的系统的基本组织 架构描述 Architecturaldescription AD 以正式的方式表述一个架构的文档集合 利益相关者 Stakeholder 对于系统有利益关系或关注系统的个人 团队 组织 或集体 视图 View 从相关的一组关注点透视出的整个系统的表述视角 Viewpoint 关于建设和使用视图的惯例性说明 也是通过明确视图建立目的 读者 确立视图与分析技巧后开发单个视图的模板 正式的架构术语和关系 计算机系统结构 ComputerArchitecture 计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能 包括操作系统 存储芯片 逻辑电路 存储设备 输入和输出设备 安全组件 总线和网络接口 中央处理器 TheCentralProcessingUnit 多重处理 Multiprocessing 操作系统组件 OperatingSystemComponents 中央处理器 TheCentralProcessingUnit CPU 计算机的大脑 对CPU最常见的描述可能是 它从存储器中提取指令并加以执行 中央处理器 TheCentralProcessingUnit CPU 中央处理单元是计算机硬件的核心 主要任务是执行各种命令 完成各种运算和控制功能 是计算机的心脏 决定着系统的类型 性能和速度 CPU中包含 1 算术逻辑运算单元ALU ArithmeticLogicUnit 主要负责数据的计算或处理 2 控制单元 Controlunit 控制数据流向 例如数据或指令进出CPU 并控制ALU的动作 3 寄存器 缓存器 Registers 负责储存数据 以利CPU快速地存取 累加器 Accumulator 程序记数器 ProgramCounter 内存地址寄存器 MemoryAddressRegister 内存数据寄存器 MemoryBufferRegister 指令寄存器 InstructionRegister 4 连结路径 interconnectionpath 负责连接CPU内部的组件 以利数据或控制讯号在不同组件间流传 CPU运行状态 运行状态 Run operatingstate执行指令解题状态 Application Problemstate执行应用程序仅执行非特权 nonprivilegedinstructions 指令管理程序状态 Supervisorstate特权模式下执行程序可以访问整个系统 同时执行特权 Privilegedinstructions 和非特权指令等待状态 Waitstate等待特定事件完成 多重处理 Multiprocessing 对称模式多重处理 Symmetricmodemultiprocessing 计算机有两个或者多个CPU且每个CPU都使用加载均衡方式非对称模式多重处理 Asymmetricmodemultiprocessing 计算机有两个或者多个CPU 且有一个CPU仅专门处理一个特定程序 而其他CPU执行通用的处理程序 关键概念 中央处理单元CPU 算术逻辑单元ALU 寄存器 控制单元通用寄存器 Generalregisters CPU在执行指令过程中使用的临时存储位置 特殊寄存器 Specialregisters 保存关键处理参数的临时存储位置 保存诸如程序计数器 堆栈指针 程序状态字 PSW 程序计数器 Programcounter 为CPU所要执行的指令保存存储器地址栈 Stack 进程用来彼此传输指令和数据的存储器分段程序状态字 Programstatusword 向CPU表明需要用什么状态 内核模式还是用户模式 运行的条件变量 关键概念 用户模式 问题状态 Usermode problemstate CPU在执行不太可信的进程指令时所用的保护模式内核模式 监管状态 特权模式 Kernelmode supervisorystate privilegemode CPU在执行较为可信的进程指令时所用的工作状态 进程在内核模式下比在用户模式下可以访问更多的计算机资源地址总线 Addressbus 处理组件和存储器段之间的物理连接 用来传输处理过程中所拥到的物理存储器地址数据总线 Databus 处理组件和存储器段之间的物理连接 用来传输处理过程中所用到的数据 对称模式多重处理 不对称模式多重处理 操作系统组件 OperatingSystemComponents 进程管理 ProcessManagement 线程管理 ThreadManagement 进程调度 ProcessScheduling 进程活动 ProcessActivity 进程管理 ProcessManagement 进程管理 操作系统的职能之一 主要是对处理机进行管理 为了提高CPU的利用率而采用多道程序技术 通过进程管理来协调多道程序之间的关系 使CPU得到充分的利用 进程 Process一个独立运行的程序 有自己的地址空间 是程序运行的动态过程只能有限地与其它进程通信 由OS负责处理进程间的通信进程是程序运行的一个实例 是运行着的程序 关键概念 多程序设计 MultiProgramming 一个处理器允许多处程序的将交叉运行 即两个或两个以上程序在计算机系统中同处于开始个结束之间的状态 多道 宏观上并行 微观上串行解决主机和外转设备速度不匹配问题 为提高CPU的利用率 通过进程管理 协调多道程序之间的CPU分配调度 冲突处理及资源回收等关系 对象重用问题 TOC TOU多任务 MultiTasking 单个处理器对两个或两个以上的任务并行执行 交叉执行实时多任务 Realtime 抢占式多任务 Preemptive 协作式多任务 Cooperative 协调式多任务各个进程控制释放CPU时间 抢占式多任务主要由操作系统控制时间 关键概念 进程表PCB 包含CPU所需的进程状态数据中断 Interrupts 分配给计算机部件 硬件和软件 的值 以对计算机资源进行有效的时间分片 可屏蔽中断 Maskableinterrupt 分配给非关键操作系统活动中断值 不可屏蔽中断 Nonmaskableinterrupt 分配给关键操作系统活动中断值 如复位键 线程管理 ThreadManagement 线程 Thread 是为了节省资源而可以在同一个进程中共享资源的一个执行单位 多线程 Multithreading 通过生成不同指令集 线程 同时执行多个活动的应用程序 进程调度 ProcessScheduling 无论是在批处理系统还是分时系统中 用户进程数一般都多于处理机数 这将导致它们互相争夺处理机 另外 系统进程也同样需要使用处理机 这就要求进程调度程序按一定的策略 动态地把处理机分配给处于就绪队列中的某一个进程 以使之执行 软件死锁 Softwaredeadlock 两个进程都在等待系统资源被释放额导致不能完成他们的活动的情况 进程活动 早期操作系统中 一个进程挂起 其它所有程序也会挂起进程隔离 对象封装 共享资源时分复用 命名区分 虚拟映射 关键概念 进程多程序设计 操作系统交叉执行不止一个进程多任务处理 操作系统同时执行不止一个任务协调式多任务抢占式多任务进程状态 就绪 运行 阻塞中断 可屏蔽中断线程 多线程软件死锁 存储器管理 管理目标为编程人员提供一个抽象层通过有限的可用存储器提供最高性能保护操作系统与加载入存储器的应用程序存储器管理器五项基本功能重新部署根据需要 在RAM和硬盘之间交换内容保护限制进程只与分配给它们的存储器段交互 为存储器段提供访问控制共享当进程需要使用相同的共享存储器段时 使用复杂的控制来确保完整性和机密性逻辑组织允许共享特定的软件模块物理组织为应用程序和操作系统进程划分物理存储器空间 存储器类型 随机存取存储器 Randomaccessmemory RAM 可随时写入或读出数据用于操作系统和应用所执行的读写活动 即通常所说的内存寄存器 RegisterCache动态随机储存内存 DynamicRAM DRAM 静态随机储存内存 StaticRAM SRAM 面积更大 造价更高 速度更快由CPU直接存取关闭电源存放在DRAM 寄存器 Cache的内容消失 不可永久保存资料抖动 读取数据所花时间超过处理数据的时间 存储器类型 只读存储器 Readonlymemory ROM 只能读不能写关闭电源内容不消失 可永久保存数据 而使用SRAM进行存储 需要有电池等设备 种类 PROM programmableROM 数据或程序可依使用者的需求来烧录 程序或数据一经烧录便无法更改 EPROM erasablePROM 可擦拭可程序规划的ROM 旧有的数据或程序可利用紫外线的照射来加以消除 使用者可以重复使用该颗EPROM 来烧录不同程序的程序或数据 EEPROM electricallyerasePROM 电子式可擦拭可程序规划的ROM MASKROM 屏蔽式 数据由制造厂商在内存制造过程时写入 存储器类型 高速缓存 CacheMemory 为了缓和CPU与主存储器之间速度的矛盾 在CPU和主存储器之间设置一个缓冲性的高速存储部件 它的工作速度接近CPU的工作速度 但其存储容量比主存储器小得多 高速缓存分为两种 一种是内建在CPU中的L1快取 另一种则是在CPU之外 称为L2快取 高速缓存愈大 对计算机执行效率的帮助愈大 速度最快 最贵存储器映射 MemoryMapping 逻辑地址引导到特定的物理地址缓冲区溢出 BufferOverflows 缓冲区溢出攻击利用编写不够严谨的程序 通过向程序的缓存区写入超过预定长度的数据 造成缓存的溢出 从而破坏程序的堆栈 导致程序执行流程的改变 ALSR 地址空间随机布局化DEP 数据执行保护存储器泄露 MemoryLeaks 开发正确释放存储器的更完善的代码使用垃圾收集器 garbagecollector 虚拟存储器 VirtualMemory 通过使用二级存储器 部分硬盘空间 来扩展内存 RAM 的容量 对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容 因此 其大部分功能由软件实现 虚拟存储器是一个逻辑模型 并不是一个实际的物理存储器 虚拟存储器的作用 分隔地址空间 解决主存的容量问题 程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的矛盾 而且也是管理存储设备的有效方法 有了虚拟存储器 用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题 关键概念 进程隔离动态链接库基础寄存器 起始地址 限制寄存器 终止地址 RAMROM高速缓冲存储器绝对地址 逻辑地址缓冲区溢出 ASLR DEP垃圾收集器 虚拟存储器 输入输出设备管理 输入是把信息送入计算机系统的过程 输出是从计算机系统送出信息的过程 用户通过输入 输出设备与计算机系统互相通信 常用输入设备 键盘 鼠标器 扫描仪常用输出设备 显示器 打印机 绘图仪输出 输入接口数据要从计算机内部输出时 它会将内部的表示法转成外围设备看得懂的表示法以利输出 反之 若要从外围设备传数据到计算机内部 它也会将外界的数据格式转成计算机内部看得懂的表示法 检验数据的完整性 I O技术 可编程ProgrammedI O速度慢中断驱动Interrupt drivenI O由外部发出请求 请求CPU中断或结束正常程序运行处理中断导致时间消耗DMAI OusingDMA是一种完全由硬件执行I O交换的工作方式 速度快映射前PremappedI OI O取得足够信任 IIO与存储器直接交互数据全映射FullymappedI O不完全信任I O IO设备只与逻辑地址直接交互 CPU架构 保护环ProtectionRing一组同心的编号环环数决定可以访问的层次 越低的环数表示越高的特权程序假定执行环数的位置程序不可以直接访问比自身高的层次 如需访问 系统调用 systemcall 一般使用4个保护环 Ring1操作系统安全核心Ring2其他操作系统功能 设图示控制器Ring3系统应用程序 数据库功能等Ring4应用程序空间 操作系统架构 OperatingSystemArchitectures 单块操作系统架构 分层操作系统架构 操作系统架构 单片 Monolithic 所有操作系统进程在内核模式下运行 分层 Layered 所有操作系统进程在内核模式下的分层模型上运行 内核过大微内核 Microkernel 核心操作系统进程运行在内核模式 其余运行在用户模式 内核过小混合微内核 Hybridmicrokernel 所有操作系统进程在内核模式下运行 核心进程运行在微内核 其他运行在客户端 服务器模式 分层操作系统 微内核操作系统 Windows混合微内核架构 主要的操作系统内核架构 虚拟机 虚拟机优势 多个服务器整合遗留应用程序运行运行不可信程序 提供安全的隔离的沙箱模仿独立计算机网络多个系统 多种硬件适合强大的调试和性能监控超强隔离能力备份 恢复 迁移更简单 系统安全体系结构 SystemSecurityArchitecture 安全策略 SecurityPolicy 安全架构要求 SecurityArchitectureRequirements 安全策略 SecurityPolicy 指导性纲领 为系统整体和构成它的组件从安全角度提出根本的目标 是战略工具 安全策略是一个系统的基础规范 使系统集成后评估它的基准 安全架构要求 SecurityArchitectureRequirements 可信计算基 TrustedComputingBase 安全边界 SecurityPerimeter 引用监视器 ReferenceMonitor RM 安全内核 SecurityKernel 可信计算基 TrustedComputingBase TCB是计算机系统内保护机制的总体 包括硬件 固体 软件和负责执行安全策略的组合体 TCB由一系列的部件构成 在产品或系统中执行统一的安全策略 TCB的三个要求TCB必须保证其自身在一个域中的执行 防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源 以便进行访问控制和审计TCB维护每个域的保密性和完整性 监视4个基本功能进程激活 Processactivation执行域的切换 Executiondomainswitching内存保护 MemoryprotectionI O操作 I Ooperation 引用监视器 ReferenceMonitor RM RM是一个抽象机的访问控制概念 基于访问控制数据库协调所有主体对客体的访问RM的任务根据访问控制数据库 对主体对客体的访问请求做出是否允许的裁决 并将该请求记录到审计数据库中 注意 基准监视器有动态维护访问控制数据库的能力 RM的特性 执行主体到对象所有访问的抽象机必须执行所有访问 能够在修改中被保护 能够恢复正常 并且总是被调用 处理所有主体到客体访问的抽象机 安全内核 SecurityKernel 安全内核是TCB中执行引用监视器概念的硬件 固件和软件元素理论基础 在一个大的操作系统中 只将相对比较小的一部分软件负责实施系统安全 并将实施安全的这部分软件隔离在一个可信的安全核 这个核就称为安全核 需要满足三个原则完备性 协调所有的访问控制隔离性 受保护 不允许被修改可验证性 被验证是正确的安全核技术是早期构建安全操作系统最为常用的技术 几乎可以说是唯一能够实用的技术 引用监视器RM是概念 抽象的机器 协调所有主体对对象间的访问 安全内核是硬件 是TCB中执行RM的部分 TCB中除安全内核外还有其它安全机制 关键概念 虚拟化Hypervisor 用来管理模拟环境中的虚拟机的中央程序安全策略可信计算基可信路径 进程之间用来通信的 不能被绕过的可信软件通道安全边界引用监视器安全内核多级安全策略 安全模型 SecurityModels 状态机模型 StateMachineModels Bell LaPadula模型Biba模型Clark Wilson模型信息流模型 InformationFlowModel 非干涉模型 NoninterferenceModel 格子模型 LatticeModel BrewerandNash模型Graham Denning模型Harrison Ruzzo Ullman HRU 模型 安全策略与安全模型 安全策略勾勒出目标 宽泛 模糊而抽象 安全模型提供了实现这些目标应该做什么 不应该做什么 具有实践指导意义 给出了策略的形式 状态机模型 StateMachineModels 状态机模型描述了一种无论处于何种状态都是安全的系统一个状态 State 是处于特定时刻系统的一个快照 如果该状态所有方面都满足安全策略的要求 就称之为安全的Statetransition 状态转换 许多活动可能会改变系统状态 成为状态迁移 Statetransition 迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态 则系统执行一个 安全状态机模型 securestatemodel 一个安全的状态机模型系统 总是从一个安全状态启动 并且在所有迁移当中保持安全状态 只允许主体以和安全策略相一致的安全方式来访问资源安全的状态机模型是其他安全模型的基础 状态机模型 StateMachineModels Bell LaPadula模型 1973年 DavidBell和LenLaPadula提出了第一个正式的安全模型 该模型基于强制访问控制系统 以敏感度来划分资源的安全级别 将数据划分为多安全级别与敏感度的系统称之为多级安全系统为美国国防部多级安全策略形式化而开发Bell LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型 多级安全 特点 信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级 无密级 敏感但无密级 机密 秘密 绝密 Needtoknow 谁需要知道 开始于安全状态 在多个安全状态中转换 初始状态必须安全 转变结果才在安全状态 Bell LaPadula模型安全规则 简单安全规则ss SimpleSecurityProperty 安全级别低的主体不能读安全级别高的客体信息 NoReadUp 星规则 The star securityProperty安全级别高的主体不能往低级别的客体写 NowriteDown 强星规则Strong property不允许对另一级别进行读取自主安全规则ds DiscretionarysecurityProperty 使用访问控制矩阵来定义说明自由存取控制内容相关ContentDependent上下文相关ContextDependent BLP模型的缺陷 不能防止隐蔽通道 covertchannels 不针对使用文件共享和服务器的现代信息系统没有明确定义何谓安全状态转移 securestatetransition 基于多级安全保护 multilevelsecurity 而未针对其他策略类型不涉及访问控制管理不保护完整性和可用性 Biba模型 完整性的三个目标 保护数据不被未授权用户更改 保护数据不被授权用户越权修改 未授权更改 维持数据内部和外部的一致性1977作为Bell Lapadula的完整性补充而提出 用于非军事行业Biba基于一种层次化的完整性级别格子 hierarchicallatticeofintegritylevels 是一种信息流安全模型 特点 基于小于或等于关系的偏序的格最小上限 上确界 leastupperbound LUB 最大下限 下确界 greatestlowerbound GLB Lattice IC LUB GUB 数据和用户分级强制访问控制 Biba模型安全规则 完整性公理 主题不能向位于较高完整性级别的客体写数据 不能向上写简单完整性公理 主题不能从较低完整性级别读取数据 不能向下读调用属性 主体不能请求完整性级别更高的主体服务信息来源 可信数据 Clark Wilson模型 在1987年被提出的经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记定义 受限数据条目ConstrainedDataItem CDI 完整性检查程序IntegrityVerificationProcedure IVP 转换程序TransformationProcedure TP 自由数据条目UnconstrainedDataItemClark Wilson需要integritylabel用于确定一个数据项的完整级别 并在TP后验证其完整性是否维持 采用了实现内 外一致性的机制 separationofduty mandatoryintegritypolicy Clark Wilson模型 完整性的模型没有像Biba那样使用lattice结构 而是使用Subject Program Object这样的三方关系 triple Subject并不能直接访问Object 只能通过Program来访问两个原则 well formedtransactions 采用了program的形式 主体只能通过program访问客体 每个恰当设计的program都有特定的限制规则 这就有效限制了主体的能力separationofduties 将关键功能分成两个或多个部分 必须由不同的主体去完成各个部分 可防止已授权用户进行未授权的修改要求具有审计能力 Auditing Clark Wilsonmodel也被称作restrictedinterfacemodel该模型考虑到了完整性的3个目标 而Biba模型只考虑了第一个 防止未授权用户更改 防止授权用户的不正确更改 职责分离 维护内部和外部的一致性 信息流模型 InformationFlowModel 基于状态机 由对象 状态转换以及格 流策略 状态组成 对象可以是用户 每个对象都被分配一个安全等级和值Bell LaPadula和Biba模型都是信息流模型 前者要防止信息从高安全等级流向低安全等级 后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向 也可以处理流类型信息流模型用于防止未授权的 不安全的或者受到限制的信息流 信息流可以是同一级别主体与客体之间的 也可以是不同级别间的信息流模型允许所有授权信息流 无论是否在同一级别 信息流模型防止所有未授权的信息流 无论是否在同一级别信息被限制在策略允许的方向流动 隐蔽信道 CovertChannels 隐蔽通道是一种让一个实体以未授权方式接收信息 条件在产品开发过程中不当监督在软件中实施不当的访问控制两个实体之间未适当地控制共享资源隐蔽通道有两种类型 存储 存储隐蔽通道 进程能够通过系统的一些类型的存储空间通信 木马 通过创建文件 计时一个进程通过调整其使用系统资源的信息转发到另一个进程中继续传送数据 非干涉模型 NoninterferenceModel 基于信息流模型非干涉模型并不关心信息流 而是关心影响系统状态或者其他主体活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响 或者干涉在较低安全级别发生的活动 如果在较高安全级内的一个实体执行一项操作 那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动 那么该实体可能能够推断出较高级别的信息 引发信息泄漏基本原理为 一组用户 A 使用命令 C 不被用户组 B 使用命令D 干扰 可以表达成A C B D 同样 使用命令C的组A的行为不能被使用命令D的组B看到 格子模型 LatticeModel Lattice模型通过划分安全边界对BLP模型进行了扩充 它将用户和资源进行分类 并允许它们之间交换信息 这是多边安全体系的基础 多边安全的焦点是在不同的安全集束 部门 组织等 间控制信息的流动 而不仅是垂直检验其敏感级别 建立多边安全的基础是为分属不同安全集束的主体划分安全等级 同样在不同安全集束中的客体也必须进行安全等级划分 一个主体可同时从属于多个安全集束 而一个客体仅能位于一个安全集束 在执行访问控制功能时 lattice模型本质上同BLP模型是相同的 而lattice模型更注重形成 安全集束 BLP模型中的 上读下写 原则在此仍然适用 但前提条件必须是各对象位于相同的安全集束中 主体和客体位于不同的安全集束时不具有可比性 因此在它们中没有信息可以流通 BrewerandNashModel BrewandNash ChineseWallChineseWall模型是应用在多边安全系统中的安全模型 也就是多个组织间的访问控制系统 应用在可能存在利益冲突的组织中 最初是为投资银行设计的 但也可应用在其它相似的场合 ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突 在投资银行中 一个银行会同时拥有多个互为竞争者的客户 一个银行家可能为一个客户工作 但他可以访问所有客户的信息 因此 应当制止该银行家访问其它客户的数据 ChineseWall安全模型的两个主要属性 用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问这种模型同时包括了DAC和MAC的属性 银行家可以选择为谁工作 DAC 但是一旦选定 他就被只能为该客户工作 MAC Graham Denning模型 如何安全地创建一个客体如何安全地创建一个主体如何安全地删除客体如何安全地删除主体如何安全地提供读访问权如何安全地提供准许接入权如何安全地提供删除访问权限如何安全地提供转移访问权限 Harrison Ruzzo Ullman HRU 模型 主体的访问权限以及这些权限的完整性 主体只能对客体执行一组有限的操作HRU被软件设计人员用来确保没有引入意外脆弱性 从而可以实现访问控制目标 操作安全模式 SecurityModesofOperation 信任与保证 TCSEC中 较低保证级别评定工作会考察系统的保护机制和测试结果 较高保证级别评定工作更多考查系统的设计 规范 开发过程 支持文档以及测试结果 系统评估方法 SystemsEvaluationMethods ITSEC1991 CC1 01996 TCSEC1985 CTCPEC1993 FC1992 ISO154081999 CC2 01998 GB T183362001 CD1997 FCD1998 GIB26461996 GB178591999 GB T183362008 ISO154081999 橘皮书 OrangeBook TrustedComputerSystemEvaluationCriteria TCSEC 是一个评估OS 应用的 系统的规范 评价不同系统的尺度 检查系统的功能性 有效性和保证程度 提供多种级别 1970年由美国国防科学委员会提出 1985年公布 主要为军用标准 延用至民用 TCSEC2000年被CommonCriteria所替代 是第一个涉及计算机系统的安全规范 TCSEC等级 D 最小保护 minimalprotection C 自主保护 discretionaryprotection C1 选择安全性保护 DiscretionarySecurityProtectionC2 受约束的访问保护 ControlledAccessProtectionB 强制保护 mandatoryprotection B1 标签式安全保护 LabeledSecurityB2 结构化保护 StructureProtectionB3 安全域 SecurityDomainA 校验保护 verifiedprotection A1 验证设计 VerifiedDesign 橘皮书和彩虹系列 TheOrangeBookandtheRainbowSeries 橘皮书 OrangeBook 专门针对操作系统主要着眼于安全的一个属性 机密性 适用于政府分类评级数量较少红皮书 RedBook 单个系统的安全问题解决网络和网络组件的安全评估问题 主要针对独立局域网和广域网系统涉及通信完整性 防止拒绝服务 泄露保护 信息技术安全评估标准 InformationTechnologySecurity InformationTechnologySecurityEvaluationCriteria ITSEC 欧洲多国安全评价方法的综合产物 军用 政府用和商用 以超越TCSEC为目的 将安全概念分为功能与功能评估两部分 首次提出了信息安全的保密性 完整性 可用性的概念评