信息安全安全架构与设计

安全架构和设计

SecurityArchitectureandDesign1

2关键知识领域A.理解安全模型的基本概念（如保密性、完整性与多层次模型）B.理解信息系统安全评估模型的组成B.1产品评估模型（如通用准则）B.2工业与国际安全实施准则（如PIC-DSS、ISO）C.理解信息系统的安全功能（如内存保护、虚拟技术、可信平台模块）D.理解安全架构的漏洞D.1系统（如隐蔽通道、状态攻击、电子发射）D.2技术与流程的整合（如单点故障、面向服务的架构）E.理解软件与系统的漏洞与威胁E.1基于Web（如XML、SAML、OWASP）E.2基于客户端（如小程序）E.3基于服务器（如数据流量控制）E.4数据库安全（如推断、聚合、数据挖掘、数据仓库）E.5分布式系统（如云计算、网格计算、对等网络）F.理解对抗原理（如深度防御）22024/5/6目录计算机安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可开放与封闭系统一些威胁的评估32024/5/6计算机安全（ComputerSecurity）可用性：防止丢失或访问，数据和资源流失Availability:Preventionoflossof,orlossofaccessto,dataandresources完整性：防止数据和资源的未经授权的修改Integrity:Preventionofunauthorizedmodificationofdataandresources保密性：防止未授权披露的数据和资源Confidentiality:Preventionofunauthorizeddisclosureofdataandresources42024/5/6系统架构（SystemArchitecture）架构（Architecture）：体现在其组成部分，它们彼此之间以及与环境的关系，和指导原则其设计和演进的系统的基本组织。架构描述（Architecturaldescription，AD）：以正式的方式表述一个架构的文档集合。利益相关者（Stakeholder）：对于系统有利益关系或关注系统的个人、团队、组织（或集体）视图（View）：从相关的一组关注点透视出的整个系统的表述视角（Viewpoint）：关于建设和使用视图的惯例性说明，也是通过明确视图建立目的、读者，确立视图与分析技巧后开发单个视图的模板。52024/5/6正式的架构术语和关系62024/5/6计算机系统结构（ComputerArchitecture）计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能，包括操作系统，存储芯片，逻辑电路，存储设备，输入和输出设备，安全组件，总线和网络接口。中央处理器（TheCentralProcessingUnit）多重处理（Multiprocessing）操作系统组件（OperatingSystemComponents）72024/5/6中央处理器（TheCentralProcessingUnit，CPU）计算机的大脑。对CPU最常见的描述可能是：它从存储器中提取指令并加以执行。控制单元算术逻辑单元寄存器数据高速缓存器解码单元预取单元指令高速缓存器总线单元（主存储器）82024/5/6中央处理器（TheCentralProcessingUnit，CPU）中央处理单元是计算机硬件的核心，主要任务是执行各种命令，完成各种运算和控制功能，是计算机的心脏，决定着系统的类型、性能和速度，CPU中包含：(1)算术逻辑运算单元ALU(ArithmeticLogicUnit)：主要负责数据的计算或处理。(2)控制单元(Controlunit)：控制数据流向，例如数据或指令进出CPU；并控制ALU的动作。(3)寄存器/缓存器(Registers)：负责储存数据，以利CPU快速地存取。累加器(Accumulator)程序记数器(ProgramCounter)内存地址寄存器(MemoryAddressRegister)内存数据寄存器(MemoryBufferRegister)指令寄存器(InstructionRegister)(4)连结路径(interconnectionpath)：负责连接CPU内部的组件，以利数据或控制讯号在不同组件间流传。92024/5/6CPU运行状态运行状态：Run/operatingstate执行指令解题状态：Application/Problemstate执行应用程序仅执行非特权(nonprivilegedinstructions)指令管理程序状态：Supervisorstate特权模式下执行程序可以访问整个系统，同时执行特权(Privilegedinstructions)和非特权指令等待状态：Waitstate等待特定事件完成102024/5/6多重处理（Multiprocessing）对称模式多重处理（Symmetricmodemultiprocessing）计算机有两个或者多个CPU且每个CPU都使用加载均衡方式非对称模式多重处理（Asymmetricmodemultiprocessing）计算机有两个或者多个CPU，且有一个CPU仅专门处理一个特定程序，而其他CPU执行通用的处理程序112024/5/6关键概念中央处理单元CPU，算术逻辑单元ALU，寄存器，控制单元通用寄存器（Generalregisters）：CPU在执行指令过程中使用的临时存储位置。特殊寄存器（Specialregisters）：保存关键处理参数的临时存储位置。保存诸如程序计数器，堆栈指针，程序状态字（PSW）。程序计数器（Programcounter）：为CPU所要执行的指令保存存储器地址栈（Stack）：进程用来彼此传输指令和数据的存储器分段程序状态字（Programstatusword）：向CPU表明需要用什么状态（内核模式还是用户模式）运行的条件变量122024/5/6关键概念用户模式（问题状态）（Usermode(problemstate)）：CPU在执行不太可信的进程指令时所用的保护模式内核模式（监管状态、特权模式）（Kernelmode(supervisorystate,privilegemode)）：CPU在执行较为可信的进程指令时所用的工作状态，进程在内核模式下比在用户模式下可以访问更多的计算机资源地址总线（Addressbus）：处理组件和存储器段之间的物理连接，用来传输处理过程中所拥到的物理存储器地址数据总线（Databus）：处理组件和存储器段之间的物理连接，用来传输处理过程中所用到的数据。对称模式多重处理，不对称模式多重处理132024/5/6操作系统组件（OperatingSystemComponents）进程管理（ProcessManagement）线程管理（ThreadManagement）进程调度（ProcessScheduling）进程活动（ProcessActivity）142024/5/6进程管理（ProcessManagement）进程管理：操作系统的职能之一，主要是对处理机进行管理。为了提高CPU的利用率而采用多道程序技术。通过进程管理来协调多道程序之间的关系，使CPU得到充分的利用。进程：Process一个独立运行的程序，有自己的地址空间,是程序运行的动态过程只能有限地与其它进程通信，由OS负责处理进程间的通信进程是程序运行的一个实例，是运行着的程序152024/5/6关键概念多程序设计(MultiProgramming)一个处理器允许多处程序的将交叉运行,即两个或两个以上程序在计算机系统中同处于开始个结束之间的状态：多道、宏观上并行、微观上串行解决主机和外转设备速度不匹配问题，为提高CPU的利用率。通过进程管理，协调多道程序之间的CPU分配调度、冲突处理及资源回收等关系。对象重用问题,TOC/TOU多任务（MultiTasking）单个处理器对两个或两个以上的任务并行执行、交叉执行实时多任务(Realtime)、抢占式多任务(Preemptive)、协作式多任务(Cooperative)。协调式多任务各个进程控制释放CPU时间，抢占式多任务主要由操作系统控制时间162024/5/6关键概念进程表PCB：包含CPU所需的进程状态数据中断（Interrupts）：分配给计算机部件（硬件和软件）的值，以对计算机资源进行有效的时间分片。可屏蔽中断（Maskableinterrupt）：分配给非关键操作系统活动中断值。不可屏蔽中断（Nonmaskableinterrupt）：分配给关键操作系统活动中断值，如复位键172024/5/6线程管理（ThreadManagement）线程（Thread）：是为了节省资源而可以在同一个进程中共享资源的一个执行单位。多线程（Multithreading）：通过生成不同指令集（线程）同时执行多个活动的应用程序182024/5/6进程调度（ProcessScheduling）无论是在批处理系统还是分时系统中，用户进程数一般都多于处理机数、这将导致它们互相争夺处理机。另外，系统进程也同样需要使用处理机。这就要求进程调度程序按一定的策略，动态地把处理机分配给处于就绪队列中的某一个进程，以使之执行。软件死锁（Softwaredeadlock）：两个进程都在等待系统资源被释放额导致不能完成他们的活动的情况。192024/5/6进程活动早期操作系统中，一个进程挂起，其它所有程序也会挂起进程隔离：对象封装，共享资源时分复用，命名区分，虚拟映射202024/5/6关键概念进程多程序设计：操作系统交叉执行不止一个进程多任务处理：操作系统同时执行不止一个任务协调式多任务抢占式多任务进程状态：就绪，运行，阻塞中断，可屏蔽中断线程，多线程软件死锁212024/5/6存储器管理管理目标为编程人员提供一个抽象层通过有限的可用存储器提供最高性能保护操作系统与加载入存储器的应用程序存储器管理器五项基本功能重新部署根据需要，在RAM和硬盘之间交换内容保护限制进程只与分配给它们的存储器段交互，为存储器段提供访问控制共享当进程需要使用相同的共享存储器段时，使用复杂的控制来确保完整性和机密性逻辑组织允许共享特定的软件模块物理组织为应用程序和操作系统进程划分物理存储器空间222024/5/6存储器类型随机存取存储器（Randomaccessmemory，RAM）可随时写入或读出数据用于操作系统和应用所执行的读写活动，即通常所说的内存寄存器，RegisterCache动态随机储存内存(DynamicRAM,DRAM)静态随机储存内存(StaticRAM，SRAM)：面积更大，造价更高，速度更快由CPU直接存取关闭电源存放在DRAM、寄存器、Cache的内容消失，不可永久保存资料抖动：读取数据所花时间超过处理数据的时间232024/5/6存储器类型只读存储器（Readonlymemory，ROM）只能读不能写关闭电源内容不消失，可永久保存数据。而使用SRAM进行存储，需要有电池等设备。种类：PROM(programmableROM)：数据或程序可依使用者的需求来烧录，程序或数据一经烧录便无法更改。EPROM(erasablePROM)：可擦拭可程序规划的ROM，旧有的数据或程序可利用紫外线的照射来加以消除，使用者可以重复使用该颗EPROM，来烧录不同程序的程序或数据。EEPROM(electricallyerasePROM)：电子式可擦拭可程序规划的ROM。MASKROM：屏蔽式，数据由制造厂商在内存制造过程时写入。242024/5/6存储器类型高速缓存（CacheMemory）为了缓和CPU与主存储器之间速度的矛盾，在CPU和主存储器之间设置一个缓冲性的高速存储部件，它的工作速度接近CPU的工作速度，但其存储容量比主存储器小得多。高速缓存分为两种，一种是内建在CPU中的L1快取，另一种则是在CPU之外，称为L2快取。高速缓存愈大，对计算机执行效率的帮助愈大。速度最快、最贵存储器映射（MemoryMapping）：逻辑地址引导到特定的物理地址缓冲区溢出（BufferOverflows）缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓存区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。ALSR：地址空间随机布局化DEP：数据执行保护存储器泄露（MemoryLeaks）开发正确释放存储器的更完善的代码使用垃圾收集器（garbagecollector）252024/5/6虚拟存储器（VirtualMemory）通过使用二级存储器(部分硬盘空间)来扩展内存(RAM)的容量，对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容，因此，其大部分功能由软件实现。虚拟存储器是一个逻辑模型，并不是一个实际的物理存储器。虚拟存储器的作用：分隔地址空间；解决主存的容量问题；程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的矛盾，而且也是管理存储设备的有效方法。有了虚拟存储器，用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。262024/5/6关键概念进程隔离动态链接库基础寄存器（起始地址），限制寄存器（终止地址）RAMROM高速缓冲存储器绝对地址，逻辑地址缓冲区溢出，ASLR，DEP垃圾收集器，虚拟存储器272024/5/6输入输出设备管理输入是把信息送入计算机系统的过程，输出是从计算机系统送出信息的过程，用户通过输入/输出设备与计算机系统互相通信。常用输入设备：键盘、鼠标器、扫描仪常用输出设备：显示器、打印机、绘图仪输出/输入接口数据要从计算机内部输出时，它会将内部的表示法转成外围设备看得懂的表示法以利输出。反之，若要从外围设备传数据到计算机内部，它也会将外界的数据格式转成计算机内部看得懂的表示法。检验数据的完整性282024/5/6I/O技术可编程ProgrammedI/O速度慢中断驱动Interrupt-drivenI/O由外部发出请求，请求CPU中断或结束正常程序运行处理中断导致时间消耗DMAI/OusingDMA是一种完全由硬件执行I/O交换的工作方式。速度快映射前PremappedI/OI/O取得足够信任，IIO与存储器直接交互数据全映射FullymappedI/O不完全信任I/O，IO设备只与逻辑地址直接交互292024/5/6CPU架构保护环ProtectionRing一组同心的编号环环数决定可以访问的层次，越低的环数表示越高的特权程序假定执行环数的位置程序不可以直接访问比自身高的层次，如需访问，系统调用(systemcall)一般使用4个保护环：Ring1操作系统安全核心Ring2其他操作系统功能–设图示控制器Ring3系统应用程序，数据库功能等Ring4应用程序空间302024/5/6操作系统架构（OperatingSystemArchitectures）单块操作系统架构分层操作系统架构312024/5/6操作系统架构单片（Monolithic）所有操作系统进程在内核模式下运行。分层（Layered）所有操作系统进程在内核模式下的分层模型上运行。内核过大微内核（Microkernel）核心操作系统进程运行在内核模式，其余运行在用户模式。内核过小混合微内核（Hybridmicrokernel）所有操作系统进程在内核模式下运行。核心进程运行在微内核，其他运行在客户端\服务器模式。322024/5/6分层操作系统332024/5/6微内核操作系统342024/5/6Windows混合微内核架构352024/5/6主要的操作系统内核架构362024/5/6虚拟机372024/5/6虚拟机优势多个服务器整合遗留应用程序运行运行不可信程序，提供安全的隔离的沙箱模仿独立计算机网络多个系统，多种硬件适合强大的调试和性能监控超强隔离能力备份、恢复、迁移更简单382024/5/6系统安全体系结构（SystemSecurityArchitecture）安全策略（SecurityPolicy）安全架构要求（SecurityArchitectureRequirements）392024/5/6安全策略（SecurityPolicy）指导性纲领，为系统整体和构成它的组件从安全角度提出根本的目标，是战略工具。安全策略是一个系统的基础规范，使系统集成后评估它的基准。402024/5/6安全架构要求（SecurityArchitectureRequirements）可信计算基（TrustedComputingBase）安全边界（SecurityPerimeter）引用监视器（ReferenceMonitor，RM）安全内核（SecurityKernel）412024/5/6可信计算基（TrustedComputingBase）TCB是计算机系统内保护机制的总体,包括硬件、固体、软件和负责执行安全策略的组合体。TCB由一系列的部件构成，在产品或系统中执行统一的安全策略。TCB的三个要求TCB必须保证其自身在一个域中的执行，防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源，以便进行访问控制和审计TCB维护每个域的保密性和完整性，监视4个基本功能进程激活：Processactivation执行域的切换：Executiondomainswitching内存保护：MemoryprotectionI/O操作：I/Ooperation422024/5/6引用监视器（ReferenceMonitor，RM）RM是一个抽象机的访问控制概念，基于访问控制数据库协调所有主体对客体的访问RM的任务根据访问控制数据库，对主体对客体的访问请求做出是否允许的裁决，并将该请求记录到审计数据库中。注意：基准监视器有动态维护访问控制数据库的能力。RM的特性：执行主体到对象所有访问的抽象机必须执行所有访问，能够在修改中被保护，能够恢复正常，并且总是被调用。处理所有主体到客体访问的抽象机432024/5/6安全内核（SecurityKernel）安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素理论基础：在一个大的操作系统中，只将相对比较小的一部分软件负责实施系统安全，并将实施安全的这部分软件隔离在一个可信的安全核，这个核就称为安全核。需要满足三个原则完备性：协调所有的访问控制隔离性：受保护，不允许被修改可验证性：被验证是正确的安全核技术是早期构建安全操作系统最为常用的技术，几乎可以说是唯一能够实用的技术。引用监视器RM是概念，抽象的机器，协调所有主体对对象间的访问；安全内核是硬件，是TCB中执行RM的部分，TCB中除安全内核外还有其它安全机制442024/5/6关键概念虚拟化Hypervisor:用来管理模拟环境中的虚拟机的中央程序安全策略可信计算基可信路径：进程之间用来通信的，不能被绕过的可信软件通道安全边界引用监视器安全内核多级安全策略452024/5/6安全模型（SecurityModels）状态机模型（StateMachineModels）Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型（InformationFlowModel）非干涉模型（NoninterferenceModel）格子模型（LatticeModel）BrewerandNash模型Graham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型462024/5/6安全策略与安全模型安全策略勾勒出目标，宽泛、模糊而抽象，安全模型提供了实现这些目标应该做什么，不应该做什么，具有实践指导意义，给出了策略的形式472024/5/6状态机模型（StateMachineModels）状态机模型描述了一种无论处于何种状态都是安全的系统一个状态（State）是处于特定时刻系统的一个快照，如果该状态所有方面都满足安全策略的要求，就称之为安全的Statetransition：状态转换，许多活动可能会改变系统状态，成为状态迁移（Statetransition），迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态，则系统执行一个——安全状态机模型：securestatemodel。一个安全的状态机模型系统，总是从一个安全状态启动，并且在所有迁移当中保持安全状态，只允许主体以和安全策略相一致的安全方式来访问资源安全的状态机模型是其他安全模型的基础482024/5/6状态机模型（StateMachineModels）492024/5/6Bell-LaPadula模型1973年，DavidBell和LenLaPadula提出了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统为美国国防部多级安全策略形式化而开发Bell-LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)。特点：信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级——无密级、敏感但无密级、机密、秘密、绝密“Needtoknow”——谁需要知道？开始于安全状态，在多个安全状态中转换(初始状态必须安全，转变结果才在安全状态)502024/5/6Bell-LaPadula模型安全规则简单安全规则ss(SimpleSecurityProperty)安全级别低的主体不能读安全级别高的客体信息(NoReadUp)星规则*The*(star)securityProperty安全级别高的主体不能往低级别的客体写(NowriteDown)强星规则Strong*property不允许对另一级别进行读取自主安全规则ds(DiscretionarysecurityProperty)使用访问控制矩阵来定义说明自由存取控制内容相关ContentDependent上下文相关ContextDependent512024/5/6BLP模型的缺陷不能防止隐蔽通道(covertchannels)不针对使用文件共享和服务器的现代信息系统没有明确定义何谓安全状态转移(securestatetransition)基于多级安全保护(multilevelsecurity)而未针对其他策略类型不涉及访问控制管理不保护完整性和可用性522024/5/6Biba模型完整性的三个目标：保护数据不被未授权用户更改；保护数据不被授权用户越权修改(未授权更改)；维持数据内部和外部的一致性1977作为Bell-Lapadula的完整性补充而提出,用于非军事行业Biba基于一种层次化的完整性级别格子(hierarchicallatticeofintegritylevels)，是一种信息流安全模型。特点：基于小于或等于关系的偏序的格最小上限(上确界)，leastupperbound(LUB)最大下限(下确界)，greatestlowerbound(GLB)Lattice=(IC,<=,LUB,GUB)数据和用户分级强制访问控制532024/5/6Biba模型安全规则*完整性公理：主题不能向位于较高完整性级别的客体写数据，不能向上写简单完整性公理：主题不能从较低完整性级别读取数据，不能向下读调用属性：主体不能请求完整性级别更高的主体服务信息来源，可信数据542024/5/6Clark-Wilson模型在1987年被提出的经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记定义：受限数据条目ConstrainedDataItem(CDI)完整性检查程序IntegrityVerificationProcedure(IVP)转换程序TransformationProcedure(TP)自由数据条目UnconstrainedDataItemClark-Wilson需要integritylabel用于确定一个数据项的完整级别，并在TP后验证其完整性是否维持，采用了实现内/外一致性的机制，separationofduty,mandatoryintegritypolicy552024/5/6Clark-Wilson模型完整性的模型没有像Biba那样使用lattice结构，而是使用Subject/Program/Object这样的三方关系（triple），Subject并不能直接访问Object，只能通过Program来访问两个原则：well-formedtransactions：采用了program的形式，主体只能通过program访问客体，每个恰当设计的program都有特定的限制规则，这就有效限制了主体的能力separationofduties：将关键功能分成两个或多个部分，必须由不同的主体去完成各个部分，可防止已授权用户进行未授权的修改要求具有审计能力（Auditing）Clark-Wilsonmodel也被称作restrictedinterfacemodel该模型考虑到了完整性的3个目标，而Biba模型只考虑了第一个：防止未授权用户更改；防止授权用户的不正确更改（职责分离），维护内部和外部的一致性562024/5/6信息流模型（InformationFlowModel）基于状态机，由对象、状态转换以及格(流策略)状态组成,对象可以是用户，每个对象都被分配一个安全等级和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息从高安全等级流向低安全等级，后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向，也可以处理流类型信息流模型用于防止未授权的、不安全的或者受到限制的信息流，信息流可以是同一级别主体与客体之间的，也可以是不同级别间的信息流模型允许所有授权信息流，无论是否在同一级别;信息流模型防止所有未授权的信息流，无论是否在同一级别信息被限制在策略允许的方向流动572024/5/6隐蔽信道（CovertChannels）隐蔽通道是一种让一个实体以未授权方式接收信息。条件在产品开发过程中不当监督在软件中实施不当的访问控制两个实体之间未适当地控制共享资源隐蔽通道有两种类型：存储：存储隐蔽通道，进程能够通过系统的一些类型的存储空间通信。（木马）通过创建文件。计时一个进程通过调整其使用系统资源的信息转发到另一个进程中继续传送数据。582024/5/6非干涉模型（NoninterferenceModel）基于信息流模型非干涉模型并不关心信息流，而是关心影响系统状态或者其他主体活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响，或者干涉在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作，那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动，那么该实体可能能够推断出较高级别的信息，引发信息泄漏基本原理为，一组用户(A)使用命令(C)，不被用户组(B)(使用命令D)干扰，可以表达成A,C:|B,D，同样，使用命令C的组A的行为不能被使用命令D的组B看到592024/5/6格子模型（LatticeModel）Lattice模型通过划分安全边界对BLP模型进行了扩充，它将用户和资源进行分类，并允许它们之间交换信息，这是多边安全体系的基础。多边安全的焦点是在不同的安全集束（部门，组织等）间控制信息的流动，而不仅是垂直检验其敏感级别。建立多边安全的基础是为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束。在执行访问控制功能时，lattice模型本质上同BLP模型是相同的，而lattice模型更注重形成"安全集束"。BLP模型中的"上读下写"原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性，因此在它们中没有信息可以流通。602024/5/6BrewerandNashModelBrewandNash:ChineseWallChineseWall模型是应用在多边安全系统中的安全模型（也就是多个组织间的访问控制系统），应用在可能存在利益冲突的组织中。最初是为投资银行设计的，但也可应用在其它相似的场合。ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其它客户的数据。ChineseWall安全模型的两个主要属性：用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问这种模型同时包括了DAC和MAC的属性：银行家可以选择为谁工作（DAC），但是一旦选定，他就被只能为该客户工作（MAC）。612024/5/6Graham-Denning模型如何安全地创建一个客体如何安全地创建一个主体如何安全地删除客体如何安全地删除主体如何安全地提供读访问权如何安全地提供准许接入权如何安全地提供删除访问权限如何安全地提供转移访问权限622024/5/6Harrison-Ruzzo-Ullman（HRU）模型主体的访问权限以及这些权限的完整性。主体只能对客体执行一组有限的操作HRU被软件设计人员用来确保没有引入意外脆弱性，从而可以实现访问控制目标632024/5/6操作安全模式（SecurityModesofOperation）专用安全模式DedicatedSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“任何用户都能够访问所有数据系统高安全模式SystemHigh-SecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”,所有用户都能访问一些数据分隔安全模式CompartmentedSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”和正式批准,所有用户都能访问一些数据多级安全模式MultilevelSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”、许可和正式批准,所有用户都能访问一些数据642024/5/6信任与保证TCSEC中，较低保证级别评定工作会考察系统的保护机制和测试结果，较高保证级别评定工作更多考查系统的设计、规范、开发过程、支持文档以及测试结果652024/5/6系统评估方法（SystemsEvaluationMethods）ITSEC1991CC1.01996TCSEC1985CTCPEC1993FC1992ISO154081999CC2.01998GB/T183362001CD1997FCD1998GIB26461996GB178591999GB/T183362008ISO154081999662024/5/6橘皮书（OrangeBook）TrustedComputerSystemEvaluationCriteria（TCSEC），是一个评估OS、应用的、系统的规范，评价不同系统的尺度，检查系统的功能性、有效性和保证程度，提供多种级别。1970年由美国国防科学委员会提出。1985年公布。主要为军用标准，延用至民用。TCSEC2000年被CommonCriteria所替代，是第一个涉及计算机系统的安全规范。672024/5/6TCSEC等级D—最小保护(minimalprotection)C—自主保护(discretionaryprotection)C1:选择安全性保护，DiscretionarySecurityProtectionC2:受约束的访问保护，ControlledAccessProtectionB—强制保护(mandatoryprotection)B1:标签式安全保护，LabeledSecurityB2:结构化保护，StructureProtectionB3:安全域，SecurityDomainA—校验保护(verifiedprotection)A1:验证设计，VerifiedDesign682024/5/6类别名称主要特征安全要求A验证设计（veritydesign）形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明设计必须从数学角度上经过验证，而且必须进行秘密能道和可信任分布的分析。B3安全域(securitydomain)安全内核，高抗渗透能力用户工作站或终端能过可信任途径连接网络系统B2结构防护（structuredprotection）设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析计算机系统中所有对象都加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。B1标号安全防护（labelsecurityprotection）除了C2级别的安全需求外，增加安全策略模型，数据标号（安全和属性）在不同级别对敏感信息提供更高级的保护，让每个对象都有有一个敏感标签C2受控的访问环境存取控制以用户为单位广泛的审计加入身份认证级别，系统对发生的事件加以审计并写入日志C1选择性安全防护（discretionarysecurityprotection）有选择的存取控制，用户与数据分离，数据的保护以用户组为单位硬件有一定的安全保护（如硬件有带锁装置），用户在使用计算机系统前必须先登录。允许系统管理员为一些程序或数据设立访问许可权限。D最小保护保护措施很小，没有安全功能不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供惟一的字符串来进行访问）692024/5/6橘皮书和彩虹系列（TheOrangeBookandtheRainbowSeries）橘皮书（OrangeBook）专门针对操作系统主要着眼于安全的一个属性（机密性）适用于政府分类评级数量较少红皮书（RedBook）单个系统的安全问题解决网络和网络组件的安全评估问题，主要针对独立局域网和广域网系统涉及通信完整性、防止拒绝服务、泄露保护702024/5/6信息技术安全评估标准（InformationTechnologySecurity）InformationTechnologySecurityEvaluationCriteria（ITSEC）