CISSP要点-第五章安全体系结构和设计

CISSPCISSP 要点要点 第五章安全体系结构和设计第五章安全体系结构和设计 两个系统可以有完全相同的硬件 软件和应用程序 但却两个系统可以有完全相同的硬件 软件和应用程序 但却 会因为建立在不同的安全策略和安全模型之上而提供不同会因为建立在不同的安全策略和安全模型之上而提供不同 的保护级别 的保护级别 CPUCPU 包括一个控制单元 它控制指令和数据执行的时序 还包括一个控制单元 它控制指令和数据执行的时序 还 包含一个包含一个 ALU ALU 算术逻辑单元 算术逻辑单元 它执行算术功能和逻辑操作 它执行算术功能和逻辑操作 逻辑单元逻辑单元 它执行算术功能和逻辑操作 它执行算术功能和逻辑操作 绝大多数系统都使用保护环绝大多数系统都使用保护环 Protection Protection Ring Ring 进程的特权进程的特权 级别越高 则运行编号越小的保护环中 它就能访问全部级别越高 则运行编号越小的保护环中 它就能访问全部 或者大部分的系统资源 应用程序运行在编号越大的保护或者大部分的系统资源 应用程序运行在编号越大的保护 环中 它能访问的资源就越少 环中 它能访问的资源就越少 操作系统的进程运行在特权或监控模式中 应用程序运行操作系统的进程运行在特权或监控模式中 应用程序运行 在用户模式中 也称为在用户模式中 也称为 问题问题 状态 状态 次级存储次级存储 Second Second Storage Storage 是永久性的 它可以是硬盘 是永久性的 它可以是硬盘 CD ROMCD ROM 软驱 磁带备份或者 软驱 磁带备份或者 U U 盘 盘 虚存虚存 Virtual Virtual Storage Storage 由由 RAMRAM 和次级存储所构成 系统因和次级存储所构成 系统因 此看起来具有很大一块存储器 此看起来具有很大一块存储器 当两个进程试图同时访问相同的资源 或者一个进程占据当两个进程试图同时访问相同的资源 或者一个进程占据 着某项资源而且不释放的时候 就发生了死锁情况 着某项资源而且不释放的时候 就发生了死锁情况 安全机制着眼于不同的问题 运行于不同的层次 复杂性安全机制着眼于不同的问题 运行于不同的层次 复杂性 也不尽相同 也不尽相同 安全机制越复杂 它能提供的保险程度就越低 安全机制越复杂 它能提供的保险程度就越低 并不是所有的系统组成部分都要处于并不是所有的系统组成部分都要处于 TCBTCB 范围内 只有那范围内 只有那 些直接以及需要实施安全策略的部件才是 这些部分要位些直接以及需要实施安全策略的部件才是 这些部分要位 于安全边界内 于安全边界内 构成构成 TCBTCB 的组成部分有硬件 软件 固件 因为它们都提的组成部分有硬件 软件 固件 因为它们都提 供了某种类型的安全保护功能 供了某种类型的安全保护功能 安全边界安全边界 Security Security Perimeter Perimeter 是一个假想的边界线 可信是一个假想的边界线 可信 的部件位于其中的部件位于其中 那些构成那些构成 TCBTCB 的部件的部件 而不可信的部件 而不可信的部件 则处于边界之外 则处于边界之外 引用监控器引用监控器 Reference Reference Monitor Monitor 是一个抽象机 它能确保是一个抽象机 它能确保 所有的主体在访问客体之前拥有必要的访问权限 因此 所有的主体在访问客体之前拥有必要的访问权限 因此 它是主体对客体所有访问的中介 它是主体对客体所有访问的中介 安全内核安全内核 Security Security Kernel Kernel 是实际落实引用监控器规则的是实际落实引用监控器规则的 机制 机制 安全内核必须隔离实施引用监控器概念的进程 必须不会安全内核必须隔离实施引用监控器概念的进程 必须不会 被篡改 必须被每次访问企图调用 而且必须小到足以能被篡改 必须被每次访问企图调用 而且必须小到足以能 正确地测试 正确地测试 安全域安全域 Security Security Domain Domain 是一个主体能够用到的全部客体 是一个主体能够用到的全部客体 进程需要进行隔离 这可以通过内存分段寻址 对象封装 进程需要进行隔离 这可以通过内存分段寻址 对象封装 共享资源时分复用 命名区分和虚拟映射来做到 共享资源时分复用 命名区分和虚拟映射来做到 系统提供的安全水平取决于它落实安全策略的程度有多大 系统提供的安全水平取决于它落实安全策略的程度有多大 多级安全系统能受理属于不同类别多级安全系统能受理属于不同类别 安全等级安全等级 的数据 具的数据 具 有不同访问级有不同访问级 安全等级安全等级 的用户都能够使用该系统 的用户都能够使用该系统 应该赋予进程最小的特权 以便使其具有的系统特权只够应该赋予进程最小的特权 以便使其具有的系统特权只够 履行它们的任务 没有多余 履行它们的任务 没有多余 有些系统在架构上提供不同层次的功能 这称为分层 这有些系统在架构上提供不同层次的功能 这称为分层 这 就将进程进行了分离 为单个进程提供了更多的保护 就将进程进行了分离 为单个进程提供了更多的保护 数据隐藏用于处于不同层次上的进程之间存在多层访问控数据隐藏用于处于不同层次上的进程之间存在多层访问控 制 进程只需要知道如何通过彼此的接口进行通信制 进程只需要知道如何通过彼此的接口进行通信 安全模型安全模型 Security Security Model Model 将安全策略的抽象目标映射到计将安全策略的抽象目标映射到计 算机系统的术算机系统的术 语和概念上 它给出安全策略的结构 并语和概念上 它给出安全策略的结构 并 且为系统提供一个框架 且为系统提供一个框架 封闭式系统通常为制造商或供应商所有 而开放式系统则封闭式系统通常为制造商或供应商所有 而开放式系统则 允许更多的互操作性允许更多的互操作性 Bell LaPadulaBell LaPadula 模型只解决机密性的要求 模型只解决机密性的要求 BibaBiba 和和 Clark Clark WilsollWilsoll 则解决数据完整性的要求 则解决数据完整性的要求 状态机模型处理一个系统能够进入的不同状态 如果一个状态机模型处理一个系统能够进入的不同状态 如果一个 系统开始是在一个安全状态下 在该系统中发生的全部活系统开始是在一个安全状态下 在该系统中发生的全部活 动都是安全的 那么系统就决不会进入一个不安全的状态 动都是安全的 那么系统就决不会进入一个不安全的状态 格子格子 Lattice Lattice 模型给主体的授权访问提供了上界和下界 模型给主体的授权访问提供了上界和下界 信息流安全模型不允许数据以一种不安全的方式流向客体 信息流安全模型不允许数据以一种不安全的方式流向客体 Bell LaPadulaBell LaPadula 模型有一条简单安全规则 意思是说 主体模型有一条简单安全规则 意思是说 主体 不能从更高级别读取数据不能从更高级别读取数据 不能向上读不能向上读 特性规则的意思 特性规则的意思 是说 主体不能向更低级别写数据是说 主体不能向更低级别写数据 不能向下写不能向下写 强星特 强星特 性规则是指一个主体只能在同一安全等级内读和写 不能性规则是指一个主体只能在同一安全等级内读和写 不能 高也不能低 高也不能低 BibaBiba 模型不允许主体向位于更高级别的客体写数据模型不允许主体向位于更高级别的客体写数据 不能向不能向 上写上写 它也不允许主体从更低级别读取数据 它也不允许主体从更低级别读取数据 不能向下读不能向下读 这样做是为了保护数据的完整性 这样做是为了保护数据的完整性 BellBell LaPadulaLaPadula 模型主要用在军事系统中 模型主要用在军事系统中 BibaBiba 和和 ClarkClark WilsonWilson 模型则用于商业部门 模型则用于商业部门 ClarkClark WilsonWilson 模型要求主体只能通过应用程序访问客体 模型要求主体只能通过应用程序访问客体 该模型还说明如何为职责分割提供功能性 并要求在软件该模型还说明如何为职责分割提供功能性 并要求在软件 内进行审计任务 内进行审计任务 如果系统在一个专属安全模式中运行 那么系统只能处理如果系统在一个专属安全模式中运行 那么系统只能处理 一级数据分级 所有的用户都必须具有这一访问级 才能一级数据分级 所有的用户都必须具有这一访问级 才能 使用系统 使用系统 分段的分段的 Compartmented Compartmented 和多级的和多级的 Multilevel Multilevel 安全模式让安全模式让 系统能够处理划入不系统能够处理划入不 同分类级别上的数据 同分类级别上的数据 可信可信 Trust Trust 意味着系统正确地使用其全部保护机制来为许意味着系统正确地使用其全部保护机制来为许 多类型的用户处理敏感数据 保险多类型的用户处理敏感数据 保险 Assurance Assurance 是你在这种是你在这种 信任关系中具有的信心水平 以及保护机制在所有环境中信任关系中具有的信心水平 以及保护机制在所有环境中 都能持续正确运行 都能持续正确运行 在不同评测标准下 较低的评定级别评审的是系统性能及在不同评测标准下 较低的评定级别评审的是系统性能及 其测试结果 而较高的评定级别不但考察这一信息 而且其测试结果 而较高的评定级别不但考察这一信息 而且 还有系统设计 开发过程以及建档工作 还有系统设计 开发过程以及建档工作 橘皮书橘皮书 Orange Orange Book Book 也称为可信计算机系统评测标准也称为可信计算机系统评测标准 TCSEC TCSEC 制定该标准是为了评测主要供军用的系统 它的 制定该标准是为了评测主要供军用的系统 它的 用途已经扩展到评测其他类型的产品 用途已经扩展到评测其他类型的产品 在橘皮书中 在橘皮书中 D D 组表示系统提供了最小的安全性 它用于被组表示系统提供了最小的安全性 它用于被 评测 但不能满足更高类别标准的系统 评测 但不能满足更高类别标准的系统 在橘皮书中 在橘皮书中 C C 组涉及自主保护 组涉及自主保护 B B 组涉及强制保护组涉及强制保护 安全安全 标签标签 在橘皮书中 在橘皮书中 A A 组意味着系统的设计和保护水平是能够验证组意味着系统的设计和保护水平是能够验证 核实的 它提供了最高水平的安全性和可信度 核实的 它提供了最高水平的安全性和可信度 在橘皮书中 在橘皮书中 C2C2 级要求客体重用保护和审计 级要求客体重用保护和审计 在橘皮书中 在橘皮书中 B1B1 级是要求有安全标签的第一个级别 级是要求有安全标签的第一个级别 在橘皮书中 在橘皮书中 B2B2 级要求所有的主体和设备具有安全标签 级要求所有的主体和设备具有安全标签 必须有可信路径和隐蔽通道必须有可信路径和隐蔽通道 Covert Covert Channel Channel 分析 而且要分析 而且要 提供单独的系统管理功能 提供单独的系统管理功能 橘皮书主要涉及独立的系统 所以还编写了一系列书籍 橘皮书主要涉及独立的系统 所以还编写了一系列书籍 涵盖了安全领域内的其他方面 这些书籍称为彩虹系列涵盖了安全领域内的其他方面 这些书籍称为彩虹系列 Rainbow Rainbow Series Series ITSECITSEC 分别评测系统的保险程度和功能性 而分别评测系统的保险程度和功能性 而 TCSECTCSEC 将两者将两者 合到了一个级别中 合到了一个级别中 通用准则通用准则 Common Common Criteria Criteria 的制定提供了一个得到公认的的制定提供了一个得到公认的 评测标准 而且现如今还在使用评测标准 而且现如今还在使用 它将它将 TCSECTCSEC ITSECITSEC CTCPECCTCPEC 和联邦标准和联邦标准 Federal Federal Criteria Criteria 的的 各部分结合了起来 各部分结合了起来 通用准则使用了保护样板通用准则使用了保护样板 Protection Protection Profile Profile 和从和从 EAL1 EAL1 EAL7 EAL7 的级别 的级别 认证是对系统或产品及其安全部件的技术评测 鉴定认证是对系统或产品及其安全部件的技术评测 鉴定 Accreditation Accreditation 是管理层正式批准和接受系统所提供的安是管理层正式批准和接受系统所提供的安 全保障 全保障 隐蔽遁道隐蔽遁道 Covert Covert Channel Channel 是一条非计划中的通信路径 它是一条非计划中的通信路径 它 传输数据的方式违反了安全策略 隐蔽遁道有两种类型 传输数据的方式违反了安全策略 隐蔽遁道有两种类型 计时隐蔽通道和存储隐蔽通道 计时隐蔽通道和存储隐蔽通道 隐蔽计时通道隐蔽计时通道 Covert Covert TimingTiming Channel Channel 使得进程能够通过使得进程能够通过 调制它对系统资源的使用来向其他进程传递信息 调制它对系统资源的使用来向其他进程传递信息 隐蔽存储遥道隐蔽存储遥道 Coven Coven StorageStorage Channel Channel 使得进程能够把数使得进程能够把数 据写入存储介质 从而让其他进程能够读取到它 据写入存储介质 从而让其他进程能够读取到它 维护陷阱 是用来让程序员迅速进入应用 维护或者增加维护陷阱 是用来让程序员迅速进入应用 维护或者增加 功能 后门应该在应用投入使用之前删除 否则它会造成功能 后门应该在应用投入使用之前删除 否则它会造成 严重的