信息安全安全架構(gòu)與設(shè)計(jì)課件

《信息安全安全架構(gòu)與設(shè)計(jì)課件》由會員分享，可在線閱讀，更多相關(guān)《信息安全安全架構(gòu)與設(shè)計(jì)課件（80頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,,*,安全架構(gòu)和設(shè)計(jì),Security Architecture and Design,安全架構(gòu)和設(shè)計(jì)Security Architecture a,關(guān)鍵知識領(lǐng)域,?,?,A.,理解安全模型的基本概念（如保密性、完整性與多,層次模型）,B.,理解信息系統(tǒng)安全評估模型的組成,?,?,B.1,產(chǎn)品評估模型（如通用準(zhǔn)則）,B.2,工業(yè)與國際安全實(shí)施準(zhǔn)則（如,PIC-DSS,、,ISO,）,?,?,C.,理解信息系統(tǒng)的安全

2、功能（如內(nèi)存保護(hù)、虛擬技術(shù)、,可信平臺模塊）,D.,理解安全架構(gòu)的漏洞,?,?,D.1,系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）,D.2,技術(shù)與流程的整合（如單點(diǎn)故障、面向服務(wù)的架構(gòu)）,E.1,基于,Web,（如,XML,、,SAML,、,OWASP,）,E.2,基于客戶端（如小程序）,?,E.,理解軟件與系統(tǒng)的漏洞與威脅,?,?,關(guān)鍵知識領(lǐng)域??A. 理解安全模型的基本概念（如保密性、完整,目錄,?,?,?,?,?,?,?,?,?,?,?,?,計(jì)算機(jī)安全,系統(tǒng)架構(gòu),計(jì)算機(jī)系統(tǒng)結(jié)構(gòu),操作系統(tǒng)架構(gòu),系統(tǒng)安全體系結(jié)構(gòu),安全模型,操作安全模式,系統(tǒng)評價(jià)方法,橘皮書和彩虹系列,信息技術(shù)安全評估標(biāo)準(zhǔn),通用

3、標(biāo)準(zhǔn),認(rèn)證與認(rèn)可,目錄????????????計(jì)算機(jī)安全系統(tǒng)架構(gòu)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu),計(jì)算機(jī)安全（,Computer Security,）,?,可用性：防止丟失或訪問，數(shù)據(jù)和資源流失,?,Availability: Prevention of loss of, or loss of access to, data and,resources,?,完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改,?,Integrity: Prevention of unauthorized modification of data and,resources,Confidentiality: Prevention of una

4、uthorized disclosure of data and,resources,?,保密性：防止未授權(quán)披露的數(shù)據(jù)和資源,?,計(jì)算機(jī)安全（Computer Security ）?可用性：,系統(tǒng)架構(gòu)（,System Architecture,）,?,?,?,架構(gòu)（,Architecture,）：體現(xiàn)在其組成部分，它們彼此,之間以及與環(huán)境的關(guān)系，和指導(dǎo)原則其設(shè)計(jì)和演進(jìn)的,系統(tǒng)的基本組織。,架構(gòu)描述（,Architectural description,，,AD,）：以正式,的方式表述一個(gè)架構(gòu)的文檔集合。,利益相關(guān)者（,Stakeholder,）：對于系統(tǒng)有利益關(guān)系或關(guān)注,系統(tǒng)的個(gè)人、團(tuán)隊(duì)、組織

5、（或集體）,視圖（,View,）：從相關(guān)的一組關(guān)注點(diǎn)透視出的整個(gè)系統(tǒng)的,表述,視角（,Viewpoint,）：關(guān)于建設(shè)和使用視圖的慣例性說明，,也是通過明確視圖建立目的、讀者，確立視圖與分析技巧,后開發(fā)單個(gè)視圖的模板。,?,?,系統(tǒng)架構(gòu)（System Architecture ）???架,正式的架構(gòu)術(shù)語和關(guān)系,正式的架構(gòu)術(shù)語和關(guān)系,計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)（,Computer Architecture,）,?,計(jì)算機(jī)體系結(jié)構(gòu)包括所有用于它的計(jì)算機(jī)系統(tǒng)的所必,需的部件的功能，包括操作系統(tǒng)，存儲芯片，邏輯電,路，存儲設(shè)備，輸入和輸出設(shè)備，安全組件，總線和,網(wǎng)絡(luò)接口。,?,?,?,中央處理器（,The Cen

6、tral Processing Unit,）,多重處理（,Multiprocessing,）,操作系統(tǒng)組件（,Operating System Components,）,計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)（Computer Architecture,中央處理器（,The Central Processing Unit,，,CPU,）,?,計(jì)算機(jī)的大腦。對,CPU,最常見的描述可能是：它從存,儲器中提取指令并加以執(zhí)行。,控制單元,算術(shù)邏輯單元,寄存器,解碼單元,預(yù)取單元,指令高速緩存器,數(shù)據(jù)高速緩存器,總線單元,（主存儲器）,中央處理器（The Central Processing U,中央處理器（,The Cen

7、tral Processing Unit,，,CPU,）,?,中央處理單元是計(jì)算機(jī)硬件的核心，主要任務(wù)是執(zhí)行,各種命令，完成各種運(yùn)算和控制功能，是計(jì)算機(jī)的心,臟，決定著系統(tǒng)的類型、性能和速度，,CPU,中包含：,?,?,?,(1),算術(shù)邏輯運(yùn)算單元,ALU (Arithmetic Logic Unit),：主要負(fù),責(zé)數(shù)據(jù)的計(jì)算或處理。,(2),控制單元,(Control unit),：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指,令進(jìn)出,CPU,；并控制,ALU,的動作。,(3),寄存器,/,緩存器,(Registers),：負(fù)責(zé)儲存數(shù)據(jù)，以利,CPU,快,速地存取。,?,?,?,?,?,累加器,(Accumu

8、lator),程序記數(shù)器,(Program Counter),內(nèi)存地址寄存器,(Memory Address Register),內(nèi)存數(shù)據(jù)寄存器,(Memory Buffer Register),指令寄存器,(Instruction Register),中央處理器（The Central Processing U,CPU,運(yùn)行狀態(tài),?,?,運(yùn)行狀態(tài)：,Run/operating state,?,執(zhí)行指令,執(zhí)行應(yīng)用程序,僅執(zhí)行非特權(quán),(nonprivileged instructions),指令,特權(quán)模式下執(zhí)行,程序可以訪問整個(gè)系統(tǒng)，同時(shí)執(zhí)行特權(quán),( Privileged,instruction

9、s ),和非特權(quán)指令,解題狀態(tài)：,Application/Problem state,?,?,?,管理程序狀態(tài)：,Supervisor state,?,?,?,等待狀態(tài)：,Wait state,?,等待特定事件完成,CPU運(yùn)行狀態(tài)??運(yùn)行狀態(tài)：Run/operating st,多重處理（,Multiprocessing,）,?,?,對稱模式多重處理（,Symmetric mode multiprocessing,）,?,計(jì)算機(jī)有兩個(gè)或者多個(gè),CPU,且每個(gè),CPU,都使用加載均衡方式,計(jì)算機(jī)有兩個(gè)或者多個(gè),CPU,，且有一個(gè),CPU,僅專門處理一個(gè)特定程序，,而其他,CPU,執(zhí)行通用的處理程序

10、,非對稱模式多重處理（,Asymmetric mode multiprocessing,）,?,多重處理（Multiprocessing）??對稱模式多重處,關(guān)鍵概念,?,?,?,中央處理單元,CPU,，算術(shù)邏輯單元,ALU,，寄存器，控制單元,通用寄存器（,General registers,）：,CPU,在執(zhí)行指令過程中,使用的臨時(shí)存儲位置。,特殊寄存器（,Special registers,）：,保存關(guān)鍵處理參數(shù)的,臨時(shí)存儲位置。保存諸如程序計(jì)數(shù)器，堆棧指針，程,序狀態(tài)字（,PSW,）。,?,?,?,程序計(jì)數(shù)器（,Program counter,）：為,CPU,所要執(zhí)行的指令,保存存儲器

11、地址,棧（,Stack,）：進(jìn)程用來彼此傳輸指令和數(shù)據(jù)的存儲器分,段,程序狀態(tài)字（,Program status word,）：,向,CPU,表明需要,用什么狀態(tài)（內(nèi)核模式還是用戶模式）運(yùn)行的條件變,量,關(guān)鍵概念???中央處理單元CPU，算術(shù)邏輯單元ALU，寄存器,關(guān)鍵概念,?,?,?,?,?,用戶模式（問題狀態(tài)）（,User mode (problem state),）：,CPU,在執(zhí)行不太可信的進(jìn)程指令時(shí)所用的保護(hù)模式,內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（,Kernel mode,(supervisory state, privilege mode),）：,CPU,在執(zhí)行較為,可信的進(jìn)程指令時(shí)

12、所用的工作狀態(tài)，進(jìn)程在內(nèi)核模式,下比在用戶模式下可以訪問更多的計(jì)算機(jī)資源,地址總線（,Address bus,）：處理組件和存儲器段之間,的物理連接，用來傳輸處理過程中所擁到的物理存儲,器地址,數(shù)據(jù)總線（,Data bus,）：處理組件和存儲器段之間的,物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。,對稱模式多重處理，不對稱模式多重處理,關(guān)鍵概念?????用戶模式（問題狀態(tài)）（User mode,操作系統(tǒng)組件（,Operating System,Components,）,?,?,?,?,進(jìn)程管理（,Process Management,）,線程管理（,Thread Management,）,進(jìn)程調(diào)

13、度（,Process Scheduling,）,進(jìn)程活動（,Process Activity,）,操作系統(tǒng)組件（Operating System Compon,進(jìn)程管理（,Process Management,）,?,進(jìn)程管理：,操作系統(tǒng)的職能之一，主要是對處理機(jī)進(jìn)行管,理。為了提高,CPU,的利用率而采用多道程序技術(shù)。通過進(jìn),程管理來協(xié)調(diào)多道程序之間的關(guān)系，使,CPU,得到充分的利,用。,?,進(jìn)程：,Process,?,?,?,一個(gè)獨(dú)立運(yùn)行的程序，有自己的地址空間,,,是程序運(yùn)行的動,態(tài)過程,只能有限地與其它進(jìn)程通信，由,OS,負(fù)責(zé)處理進(jìn)程間的通信,進(jìn)程是程序運(yùn)行的一個(gè)實(shí)例，是運(yùn)行著的程序,

14、進(jìn)程管理（Process Management）?進(jìn)程管理：,關(guān)鍵概念,?,多程序設(shè)計(jì),(MultiProgramming),?,?,?,一個(gè)處理器允許多處程序的將交叉運(yùn)行,,,即兩個(gè)或兩個(gè)以上,程序在計(jì)算機(jī)系統(tǒng)中同處于開始個(gè)結(jié)束之間的狀態(tài)：多道、,宏觀上并行、微觀上串行,解決主機(jī)和外轉(zhuǎn)設(shè)備速度不匹配問題，為提高,CPU,的利用,率。通過進(jìn)程管理，協(xié)調(diào)多道程序之間的,CPU,分配調(diào)度、,沖突處理及資源回收等關(guān)系。,對象重用問題,, TOC/TOU,單個(gè)處理器對兩個(gè)或兩個(gè)以上的任務(wù)并行執(zhí)行、交叉執(zhí)行,實(shí)時(shí)多任務(wù),(Realtime),、搶占式多任務(wù),(Preemptive),、協(xié)作,式多任務(wù),(

15、Cooperative),。協(xié)調(diào)式多任務(wù)各個(gè)進(jìn)程控制釋放,CPU,時(shí)間，搶占式多任務(wù)主要由操作系統(tǒng)控制時(shí)間,?,多任務(wù)（,MultiTasking,）,?,?,關(guān)鍵概念?多程序設(shè)計(jì)(MultiProgramming)??,關(guān)鍵概念,?,?,進(jìn)程表,PCB,：包含,CPU,所需的進(jìn)程狀態(tài)數(shù)據(jù),中斷（,Interrupts,）：,?,?,?,分配給計(jì)算機(jī)部件（硬件和軟件）的值，以對計(jì)算機(jī)資源,進(jìn)行有效的時(shí)間分片。,可屏蔽中斷（,Maskable interrupt,）：分配給非關(guān)鍵操作系,統(tǒng)活動中斷值。,不可屏蔽中斷（,Nonmaskable interrupt,）：分配給關(guān)鍵操作,系統(tǒng)活動中斷值

16、，如復(fù)位鍵,關(guān)鍵概念??進(jìn)程表PCB：包含CPU所需的進(jìn)程狀態(tài)數(shù)據(jù)中斷（,線程管理（,Thread Management,）,?,?,線程（,Thread,）：是為了節(jié)省資源而可以在同一個(gè)進(jìn),程中共享資源的一個(gè)執(zhí)行單位。,多線程（,Multithreading,）：通過生成不同指令集（線程）,同時(shí)執(zhí)行多個(gè)活動的應(yīng)用程序,線程管理（Thread Management）??線程（Th,進(jìn)程調(diào)度（,Process Scheduling,）,?,?,無論是在批處理系統(tǒng)還是分時(shí)系統(tǒng)中，用戶進(jìn)程數(shù)一,般都多于處理機(jī)數(shù)、這將導(dǎo)致它們互相爭奪處理機(jī)。,另外，系統(tǒng)進(jìn)程也同樣需要使用處理機(jī)。這就要求進(jìn),程調(diào)度程序

17、按一定的策略，動態(tài)地把處理機(jī)分配給處,于就緒隊(duì)列中的某一個(gè)進(jìn)程，以使之執(zhí)行。,軟件死鎖（,Software deadlock,）：,兩個(gè)進(jìn)程都在等待系,統(tǒng)資源被釋放額導(dǎo)致不能完成他們的活動的情況。,進(jìn)程調(diào)度（Process Scheduling）??無論是在,進(jìn)程活動,?,?,早期操作系統(tǒng)中，一個(gè)進(jìn)程掛起，其它所有程序也會掛起,進(jìn)程隔離：對象封裝，共享資源時(shí)分復(fù)用，命名區(qū)分，虛,擬映射,進(jìn)程活動??早期操作系統(tǒng)中，一個(gè)進(jìn)程掛起，其它所有程序也會掛,關(guān)鍵概念,?,?,?,?,?,?,?,?,?,進(jìn)程,多程序設(shè)計(jì)：操作系統(tǒng)交叉執(zhí)行不止一個(gè)進(jìn)程,多任務(wù)處理：操作系統(tǒng)同時(shí)執(zhí)行不止一個(gè)任務(wù),協(xié)調(diào)式多任務(wù)

18、,搶占式多任務(wù),進(jìn)程狀態(tài)：就緒，運(yùn)行，阻塞,中斷，可屏蔽中斷,線程，多線程,軟件死鎖,關(guān)鍵概念?????????進(jìn)程多程序設(shè)計(jì)：操作系統(tǒng)交叉執(zhí)行不,存儲器管理,?,管理目標(biāo),?,?,?,為編程人員提供一個(gè)抽象層,通過有限的可用存儲器提供最高性能,保護(hù)操作系統(tǒng)與加載入存儲器的應(yīng)用程序,重新部署,?,?,存儲器管理器五項(xiàng)基本功能,?,?,根據(jù)需要，在,RAM,和硬盤之間交換內(nèi)容,限制進(jìn)程只與分配給它們的存儲器段交互，,為存儲器段提供訪,保護(hù),?,?,問控制,共享,?,當(dāng)進(jìn)程需要使用相同的共享存儲器段時(shí)，使用復(fù)雜的控制來確保,完整性和機(jī)密性,?,邏輯組織,存儲器管理?管理目標(biāo)???為編程人員提供一個(gè)

19、抽象層通過有限的,存儲器類型,?,隨機(jī)存取存儲器（,Random access memory,，,RAM,）,?,?,可隨時(shí)寫入或讀出數(shù)據(jù),用于操作系統(tǒng)和應(yīng)用所執(zhí)行的讀寫活動，即通常所說的內(nèi),存,?,?,?,?,?,寄存器，,Register,Cache,動態(tài)隨機(jī)儲存內(nèi)存,(Dynamic RAM, DRAM),靜態(tài)隨機(jī)儲存內(nèi)存,(Static RAM,，,SRAM),：面積更大，造價(jià)更高，,速度更快,由,CPU,直接存取,?,?,關(guān)閉電源存放在,DRAM,、寄存器、,Cache,的內(nèi)容消失，不可,永久保存資料,抖動：讀取數(shù)據(jù)所花時(shí)間超過處理數(shù)據(jù)的時(shí)間,存儲器類型?隨機(jī)存取存儲器（Random

20、 access me,存儲器類型,?,只讀存儲器（,Read only memory,，,ROM,）,?,只能讀不能寫,?,關(guān)閉電源內(nèi)容不消失，可永久保存數(shù)據(jù)。而使用,SRAM,進(jìn),行存儲，需要有電池等設(shè)備。,?,種類：,?,?,?,?,PROM( programmable ROM),：數(shù)據(jù)或程序可依使用者的需求來,燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。,EPROM( erasable PROM),：可擦拭可程序規(guī)劃的,ROM,，舊有的,數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復(fù)使,用該顆,EPROM,，來燒錄不同程序的程序或數(shù)據(jù)。,EEPROM( electrically eras

21、e PROM),：電子式可擦拭可程序規(guī)劃的,ROM,。,MASK ROM,：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時(shí)寫入。,存儲器類型?只讀存儲器（Read only memory，R,存儲器類型,?,高速緩存（,Cache Memory,）,?,為了緩和,CPU,與主存儲器之間速度的矛盾，在,CPU,和,主存儲器之間設(shè)置一個(gè)緩沖性的高速存儲部件，它的,工作速度接近,CPU,的工作速度，但其存儲容量比主存,儲器小得多。,?,高速緩存分為兩種，一種是內(nèi)建在,CPU,中的,L1,快取，,另一種則是在,CPU,之外，稱為,L2,快取。,?,高速緩存愈大，對計(jì)算機(jī)執(zhí)行效率的幫助愈大。,?,速度最快、最貴

22、,存儲器映射（,Memory Mapping,）：邏輯地址引導(dǎo)到特定,的物理地址,緩沖區(qū)溢出（,Buffer Overflows,）,?,緩沖區(qū)溢出攻擊利用編寫不夠嚴(yán)謹(jǐn)?shù)某绦?，通過向程序的,?,?,存儲器類型?高速緩存（Cache Memory）?為了緩和C,虛擬存儲器（,Virtual Memory,）,?,?,?,?,?,通過使用二級存儲器,(,部分硬盤空間,),來擴(kuò)展內(nèi)存,(RAM),的容量，對未被執(zhí)行的程序頁進(jìn)行處理,虛擬存儲器屬于操作系統(tǒng)中存儲管理的內(nèi)容，因此，,其大部分功能由軟件實(shí)現(xiàn)。,虛擬存儲器是一個(gè)邏輯模型，并不是一個(gè)實(shí)際的物理,存儲器。,虛擬存儲器的作用：分隔地址空間；解決主

23、存的容量,問題；程序的重定位,虛擬存儲器不僅解決了存儲容量和存取速度之間的矛,盾，而且也是管理存儲設(shè)備的有效方法。有了虛擬存,儲器，用戶無需考慮所編程序在主存中是否放得下或,放在什么位置等問題。,虛擬存儲器（Virtual Memory）?????通過使用,關(guān)鍵概念,?,?,?,?,?,?,?,進(jìn)程隔離,動態(tài)鏈接庫,基礎(chǔ)寄存器（起始地址），限制寄存器（終止地址）,RAM ROM,高速緩沖存儲器,絕對地址，邏輯地址,緩沖區(qū)溢出，,ASLR,，,DEP,垃圾收集器，虛擬存儲器,關(guān)鍵概念???????進(jìn)程隔離動態(tài)鏈接庫基礎(chǔ)寄存器（起始地址,輸入輸出設(shè)備管理,?,輸入是把信息送入計(jì)算機(jī)系統(tǒng)的過程，輸出

24、是從計(jì)算,機(jī)系統(tǒng)送出信息的過程，用戶通過輸入,/,輸出設(shè)備與計(jì),算機(jī)系統(tǒng)互相通信。,?,?,?,常用輸入設(shè)備：鍵盤、鼠標(biāo)器、掃描儀,常用輸出設(shè)備：顯示器、打印機(jī)、繪圖儀,輸出,/,輸入接口,?,數(shù)據(jù)要從計(jì)算機(jī)內(nèi)部輸出時(shí)，它會將內(nèi)部的表示法轉(zhuǎn),成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從,外圍設(shè)備傳數(shù)據(jù)到計(jì)算機(jī)內(nèi)部，它也會將外界的數(shù)據(jù),格式轉(zhuǎn)成計(jì)算機(jī)內(nèi)部看得懂的表示法。檢驗(yàn)數(shù)據(jù)的完,整性,輸入輸出設(shè)備管理?輸入是把信息送入計(jì)算機(jī)系統(tǒng)的過程，輸出是從,I/O,技術(shù),?,?,可編程,Programmed I/O,?,速度慢,由外部發(fā)出請求，請求,CPU,中斷或結(jié)束正常程序運(yùn)行,處理中斷導(dǎo)致時(shí)間消耗

25、,是一種完全由硬件執(zhí)行,I/O,交換的工作方式。速度快,I/O,取得足夠信任，,IIO,與存儲器直接交互數(shù)據(jù),中斷驅(qū)動,Interrupt-driven I/O,?,?,?,DMA I/O using DMA,?,?,?,映射前,Premapped I/O,?,全映射,Fully mapped I/O,?,不完全信任,I/O,，,IO,設(shè)備只與邏輯地址直接交互,I/O技術(shù)??可編程Programmed I/O?速度慢由外,CPU,架構(gòu),?,保護(hù)環(huán),Protection Ring,?,?,?,?,?,一組同心的編號環(huán),環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù),表示越高的特權(quán),程序假定執(zhí)行環(huán)數(shù)的位置,程

26、序不可以直接訪問比自身高的層次，,如需訪問，系統(tǒng)調(diào)用,(system call),一般使用,4,個(gè)保護(hù)環(huán)：,?,?,?,?,Ring 1,操作系統(tǒng)安全核心,Ring 2,其他操作系統(tǒng)功能,–,設(shè)圖示控制器,Ring 3,系統(tǒng)應(yīng)用程序，數(shù)據(jù)庫功能等,Ring 4,應(yīng)用程序空間,CPU架構(gòu)?保護(hù)環(huán)Protection Ring?????一,操作系統(tǒng)架構(gòu)（,Operating System,Architectures,）,單塊操作系統(tǒng)架構(gòu),分層操作系統(tǒng)架構(gòu),操作系統(tǒng)架構(gòu)（Operating System Archit,操作系統(tǒng)架構(gòu),?,?,單片（,Monolithic,）,?,所有操作系統(tǒng)進(jìn)程在內(nèi)核

27、模式下運(yùn)行。,所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下的分層模型上運(yùn)行。內(nèi)核,過大,核心操作系統(tǒng)進(jìn)程運(yùn)行在內(nèi)核模式，其余運(yùn)行在用戶模式。,內(nèi)核過小,所有操作系統(tǒng)進(jìn)程在內(nèi)核模式下運(yùn)行。核心進(jìn)程運(yùn)行在微,內(nèi)核，其他運(yùn)行在客戶端,\,服務(wù)器模式。,分層（,Layered,）,?,?,微內(nèi)核（,Microkernel,）,?,?,混合微內(nèi)核（,Hybrid microkernel,）,?,操作系統(tǒng)架構(gòu)??單片（Monolithic ）?所有操作系統(tǒng),分層操作系統(tǒng),分層操作系統(tǒng),微內(nèi)核操作系統(tǒng),微內(nèi)核操作系統(tǒng),Windows,混合微內(nèi)核架構(gòu),Windows混合微內(nèi)核架構(gòu),主要的操作系統(tǒng)內(nèi)核架構(gòu),主要的操作系統(tǒng)內(nèi)核架

28、構(gòu),虛擬機(jī),虛擬機(jī),虛擬機(jī)優(yōu)勢,?,?,?,?,?,?,?,?,多個(gè)服務(wù)器整合,遺留應(yīng)用程序運(yùn)行,運(yùn)行不可信程序，提供安全的隔離的沙箱,模仿獨(dú)立計(jì)算機(jī)網(wǎng)絡(luò),多個(gè)系統(tǒng)，多種硬件適合,強(qiáng)大的調(diào)試和性能監(jiān)控,超強(qiáng)隔離能力,備份、恢復(fù)、遷移更簡單,虛擬機(jī)優(yōu)勢????????多個(gè)服務(wù)器整合遺留應(yīng)用程序運(yùn)行運(yùn)行,系統(tǒng)安全體系結(jié)構(gòu)（,System Security,Architecture,）,?,?,安全策略（,Security Policy,）,安全架構(gòu)要求（,Security Architecture Requirements,）,系統(tǒng)安全體系結(jié)構(gòu)（System Security Archi,安全策略

29、（,Security Policy,）,?,指導(dǎo)性綱領(lǐng)，為系統(tǒng)整體和構(gòu)成它的組件從安全角度提出,根本的目標(biāo)，是戰(zhàn)略工具。安全策略是一個(gè)系統(tǒng)的基礎(chǔ)規(guī),范，使系統(tǒng)集成后評估它的基準(zhǔn)。,安全策略（Security Policy）?指導(dǎo)性綱領(lǐng)，為系,安全架構(gòu)要求（,Security Architecture,Requirements,）,?,?,?,?,可信計(jì)算基（,Trusted Computing Base,）,安全邊界（,Security Perimeter,）,引用監(jiān)視器（,Reference Monitor,，,RM,）,安全內(nèi)核（,Security Kernel,）,安全架構(gòu)要求（Secu

30、rity Architecture R,可信計(jì)算基（,Trusted Computing Base,）,?,?,?,TCB,是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制的總體,,,包括硬件、固體、,軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。,TCB,由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一,的安全策略。,TCB,的三個(gè)要求,?,?,?,TCB,必須保證其自身在一個(gè)域中的執(zhí)行，防止被外界干擾,或破壞,TCB,所控制的資源必須是已經(jīng)定義的主體或客體的子集,TCB,必須隔離被保護(hù)的資源，以便進(jìn)行訪問控制和審計(jì),?,TCB,維護(hù)每個(gè)域的保密性和完整性，監(jiān)視,4,個(gè)基本功能,?,?,?,進(jìn)程激活：,Process activatio

31、n,執(zhí)行域的切換：,Execution domain switching,內(nèi)存保護(hù)：,Memory protection,可信計(jì)算基（Trusted Computing Base）?,引用監(jiān)視器（,Reference Monitor,，,RM,）,?,?,RM,是一個(gè)抽象機(jī)的訪問控制概念，基于訪問控制數(shù),據(jù)庫協(xié)調(diào)所有主體對客體的訪問,RM,的任務(wù),?,根據(jù)訪問控制數(shù)據(jù)庫，對主體對客體的訪問請求做出是否,允許的裁決，并將該請求記錄到審計(jì)數(shù)據(jù)庫中。注意：基,準(zhǔn)監(jiān)視器有動態(tài)維護(hù)訪問控制數(shù)據(jù)庫的能力。,?,RM,的特性：,?,?,?,執(zhí)行主體到對象所有訪問的抽象機(jī),必須執(zhí)行所有訪問，能夠在修改中被保護(hù)

32、，能夠恢復(fù)正常，,并且總是被調(diào)用。,處理所有主體到客體訪問的抽象機(jī),引用監(jiān)視器（Reference Monitor，RM）??R,安全內(nèi)核（,Security Kernel,）,?,?,?,安全內(nèi)核是,TCB,中執(zhí)行引用監(jiān)視器概念的硬件、固件,和軟件元素,理論基礎(chǔ)：在一個(gè)大的操作系統(tǒng)中，只將相對比較小,的一部分軟件負(fù)責(zé)實(shí)施系統(tǒng)安全，并將實(shí)施安全的這,部分軟件隔離在一個(gè)可信的安全核，這個(gè)核就稱為安,全核。,需要滿足三個(gè)原則,?,?,?,完備性：協(xié)調(diào)所有的訪問控制,隔離性：受保護(hù)，不允許被修改,可驗(yàn)證性：被驗(yàn)證是正確的,?,?,安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，,幾乎可以說是唯一能夠

33、實(shí)用的技術(shù)。,引用監(jiān)視器,RM,是概念，抽象的機(jī)器，協(xié)調(diào)所有主體,安全內(nèi)核（Security Kernel）???安全內(nèi)核是T,關(guān)鍵概念,?,?,?,?,?,?,虛擬化,Hypervisor:,用來管理模擬環(huán)境中的虛擬機(jī)的中央程序,安全策略,可信計(jì)算基,可信路徑：進(jìn)程之間用來通信的，不能被繞過的可信軟件,通道,安全邊界,引用監(jiān)視器,安全內(nèi)核,多級安全策略,?,?,?,關(guān)鍵概念??????虛擬化Hypervisor:用來管理模擬,安全模型（,Security Models,）,?,狀態(tài)機(jī)模型（,State Machine Models,）,?,?,?,?,?,?,?,?,?,Bell-LaPad

34、ula,模型,Biba,模型,Clark-Wilson,模型,信息流模型（,Information Flow Model,）,非干涉模型（,Noninterference Model,）,格子模型（,Lattice Model,）,Brewer and Nash,模型,Graham-Denning,模型,Harrison-Ruzzo-Ullman,（,HRU,）模型,安全模型（Security Models ）?狀態(tài)機(jī)模型（S,安全策略與安全模型,?,安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安全模型提供,了實(shí)現(xiàn)這些目標(biāo)應(yīng)該做什么，不應(yīng)該做什么，具有實(shí)踐指,導(dǎo)意義，給出了策略的形式,安全策略與安全

35、模型?安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安,狀態(tài)機(jī)模型（,State Machine Models,）,?,?,狀態(tài)機(jī)模型描述了一種無論處于何種狀態(tài)都是安全的,系統(tǒng),一個(gè)狀態(tài)（,State,）是處于特定時(shí)刻系統(tǒng)的一個(gè)快照，,如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之,為安全的,?,?,?,?,State transition,：狀態(tài)轉(zhuǎn)換，,許多活動可能會改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（,State,transition,），遷移總是導(dǎo)致新的狀態(tài)的出現(xiàn),如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于,不安全狀態(tài)，則系統(tǒng)執(zhí)行一個(gè),——,安全狀態(tài)機(jī)模型：,secure,state model

36、,。,一個(gè)安全的狀態(tài)機(jī)模型系統(tǒng)，總是從一個(gè)安全狀態(tài)啟動，,并且在所有遷移當(dāng)中保持安全狀態(tài)，只允許主體以和安全,策略相一致的安全方式來訪問資源,狀態(tài)機(jī)模型（State Machine Models）??狀,狀態(tài)機(jī)模型（,State Machine Models,）,狀態(tài)機(jī)模型（State Machine Models）,Bell-LaPadula,模型,?,?,?,?,1973,年，,David Bell,和,Len LaPadula,提出了第一個(gè)正式,的安全模型，該模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感,度來劃分資源的安全級別。將數(shù)據(jù)劃分為多安全級別,與敏感度的系統(tǒng)稱之為多級安全系統(tǒng),為美國國防部多

37、級安全策略形式化而開發(fā),Bell-LaPadula,保密性模型是第一個(gè)能夠提供分級別數(shù),據(jù)機(jī)密性保障的安全策略模型,(,多級安全,),。,特點(diǎn)：,?,?,?,?,信息流安全模型,只對機(jī)密性進(jìn)行處理,運(yùn)用狀態(tài)機(jī)模型和狀態(tài)轉(zhuǎn)換的概念,基于政府信息分級,——,無密級、敏感但無密級、機(jī)密、秘,密、絕密,Bell-LaPadula 模型????1973年，Davi,Bell-LaPadula,模型安全規(guī)則,?,簡單安全規(guī)則,ss (Simple Security Property ),?,安全級別低的主體不能讀安全級別高的客體信息,(No Read,Up),?,?,星規(guī)則,* The * (star)

38、 security Property,?,安全級別高的主體不能往低級別的客體寫,(No write Down),不允許對另一級別進(jìn)行讀取,使用訪問控制矩陣來定義說明自由存取控制,內(nèi)容相關(guān),Content Dependent,上下文相關(guān),Context Dependent,強(qiáng)星規(guī)則,Strong * property,?,?,自主安全規(guī)則,ds (Discretionary security Property ),?,?,?,Bell-LaPadula 模型安全規(guī)則?簡單安全規(guī)則ss,BLP,模型的缺陷,?,?,?,?,?,?,不能防止隱蔽通道,(covert channels),不針對使用文件

39、共享和服務(wù)器的現(xiàn)代信息系統(tǒng),沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移,(secure state,transition),基于多級安全保護(hù),(multilevel security),而未針對其他策,略類型,不涉及訪問控制管理,不保護(hù)完整性和可用性,BLP模型的缺陷??????不能防止隱蔽通道(covert,Biba,模型,?,?,?,?,完整性的三個(gè)目標(biāo)：保護(hù)數(shù)據(jù)不被未授權(quán)用戶更改；,保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改,(,未授權(quán)更改,),；維持,數(shù)據(jù)內(nèi)部和外部的一致性,1977,作為,Bell-Lapadula,的完整性補(bǔ)充而提出,,,用于非軍,事行業(yè),Biba,基于一種層次化的完整性級別格子,(hiera

40、rchical,lattice of integrity levels),，是一種信息流安全模型。,特點(diǎn)：,?,基于小于或等于關(guān)系的偏序的格,?,?,?,最小上限,(,上確界,),，,least upper bound (LUB),最大下限,(,下確界,),，,greatest lower bound (GLB),Lattice = (IC,<= , LUB, GUB),?,數(shù)據(jù)和用戶分級,Biba模型????完整性的三個(gè)目標(biāo)：保護(hù)數(shù)據(jù)不被未授權(quán)用戶,Biba,模型安全規(guī)則,?,?,*,完整性公理：主題不能向位于較高完整性級別的客體寫數(shù),據(jù)，不能向上寫,簡單完整性公理：主題不能從較低完整性級別

41、讀取數(shù)據(jù)，,不能向下讀,調(diào)用屬性：主體不能請求完整性級別更高的主體服務(wù),信息來源，可信數(shù)據(jù),?,?,Biba模型安全規(guī)則??*完整性公理：主題不能向位于較高完整,Clark-Wilson,模型,?,在,1987,年被提出的,?,?,?,經(jīng)常應(yīng)用在銀行應(yīng)用中以保證數(shù)據(jù)完整性,實(shí)現(xiàn)基于成形的事務(wù)處理機(jī)制,要求完整性標(biāo)記,受限數(shù)據(jù)條目,Constrained Data Item (CDI),完整性檢查程序,Integrity Verification Procedure (IVP),轉(zhuǎn)換程序,Transformation Procedure (TP),自由數(shù)據(jù)條目,Unconstrained Dat

42、a Item,?,定義：,?,?,?,?,?,Clark-Wilson,需要,integrity label,用于確定一個(gè)數(shù)據(jù)項(xiàng)的,完整級別，并在,TP,后驗(yàn)證其完整性是否維持，采用了,實(shí)現(xiàn)內(nèi),/,外一致性的機(jī)制，,separation of duty,,mandatory integrity policy,Clark-Wilson模型?在1987年被提出的???經(jīng)常,Clark-Wilson,模型,?,?,?,完整性的模型,沒有像,Biba,那樣使用,lattice,結(jié)構(gòu)，而是使用,Subject/Program/Object,這樣的三方關(guān)系（,triple,），,Subject,并不能直接

43、訪問,Object,，只能通過,Program,來,訪問,兩個(gè)原則：,?,?,well-formed transactions,：采用了,program,的形式，主體只,能通過,program,訪問客體，每個(gè)恰當(dāng)設(shè)計(jì)的,program,都有特,定的限制規(guī)則，這就有效限制了主體的能力,separation of duties,：將關(guān)鍵功能分成兩個(gè)或多個(gè)部分，必,須由不同的主體去完成各個(gè)部分，可防止已授權(quán)用戶進(jìn)行,未授權(quán)的修改,?,要求具有審計(jì)能力（,Auditing,）,Clark-Wilson模型???完整性的模型沒有像Biba,信息流模型（,Information Flow Model,）,

44、?,?,?,?,?,基于狀態(tài)機(jī)，由對象、狀態(tài)轉(zhuǎn)換以及格,(,流策略,),狀態(tài),組成,,,對象可以是用戶，每個(gè)對象都被分配一個(gè)安全等,級和值,Bell-LaPadula,和,Biba,模型都是信息流模型，前者要防,止信息從高安全等級流向低安全等級，后者要防止信,息從低安全等級流向高安全等級,信息流模型并不是只處理信息流向，也可以處理流類,型,信息流模型用于防止未授權(quán)的、不安全的或者受到限,制的信息流，信息流可以是同一級別主體與客體之間,的，也可以是不同級別間的,信息流模型允許所有授權(quán)信息流，無論是否在同一級,別,;,信息流模型防止所有未授權(quán)的信息流，無論是否,信息流模型（Information

45、Flow Model）?,隱蔽信道（,Covert Channels,）,?,?,隱蔽通道是一種讓一個(gè)實(shí)體以未授權(quán)方式接收信息。,條件,?,在產(chǎn)品,開發(fā)過程中不當(dāng)監(jiān)督,?,在軟件中實(shí)施不當(dāng)?shù)脑L問控制,?,兩個(gè)實(shí)體之間未適當(dāng)?shù)乜刂乒蚕?資源,?,隱蔽通道有兩種類型：,?,存儲：,?,?,存儲隱蔽通道，進(jìn)程能夠通過系統(tǒng)的一些類型的存儲空間通信。,（木馬）,通過創(chuàng)建文件。,一個(gè)進(jìn)程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個(gè)進(jìn)程中繼,續(xù)傳送數(shù)據(jù)。,?,計(jì)時(shí),?,隱蔽信道（Covert Channels）??隱蔽通道是一種,非干涉模型（,Noninterference Model,）,?,?,?,?,?,

46、基于信息流模型,非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài),或者其他主體活動的某個(gè)主體的活動,確保在較高安全級別發(fā)生的任何活動不會影響，或者,干涉在較低安全級別發(fā)生的活動。如果在較高安全級,內(nèi)的一個(gè)實(shí)體執(zhí)行一項(xiàng)操作，那么它不能改變在較低,安全級內(nèi)實(shí)體的狀態(tài),如果一個(gè)處于較低安全級的實(shí)體感受到了由處于較高,安全級內(nèi)的一個(gè)實(shí)體所引發(fā)的某種活動，那么該實(shí)體,可能能夠推斷出較高級別的信息，引發(fā)信息泄漏,基本原理為，一組用戶,(A),使用命令,(C),，不被用戶組,(B)(,使用命令,D),干擾，可以表達(dá)成,A, C:| B, D,，同樣，,使用命令,C,的組,A,的行為不能被使用命令,D,的組,B

47、,看到,非干涉模型（Noninterference Model）??,格子模型（,Lattice Model,）,?,?,?,?,Lattice,模型通過劃分安全邊界對,BLP,模型進(jìn)行了擴(kuò)充，,它將用戶和資源進(jìn)行分類，并允許它們之間交換信息，,這是多邊安全體系的基礎(chǔ)。,多邊安全的焦點(diǎn)是在不同的安全集束（部門，組織等）,間控制信息的流動，而不僅是垂直檢驗(yàn)其敏感級別。,建立多邊安全的基礎(chǔ)是為分屬不同安全集束的主體劃,分安全等級，同樣在不同安全集束中的客體也必須進(jìn),行安全等級劃分，一個(gè)主體可同時(shí)從屬于多個(gè)安全集,束，而一個(gè)客體僅能位于一個(gè)安全集束。,在執(zhí)行訪問控制功能時(shí)，,lattice,模型本質(zhì)

48、上同,BLP,模型,是相同的，而,lattice,模型更注重形成,,安全集束,,。,BLP,模型中的,,上讀下寫,,原則在此仍然適用，但前提條件,必須是各對象位于相同的安全集束中。主體和客體位,格子模型（Lattice Model）????Lattice,Brewer and Nash Model,?,?,?,?,Brew and Nash: Chinese Wall,Chinese Wall,模型是應(yīng)用在多邊安全系統(tǒng)中的安全模,型（也就是多個(gè)組織間的訪問控制系統(tǒng)），應(yīng)用在可,能存在利益沖突的組織中。最初是為投資銀行設(shè)計(jì)的，,但也可應(yīng)用在其它相似的場合。,Chinese Wall,安全策略的基

49、礎(chǔ)是客戶訪問的信息不會,與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，,一個(gè)銀行會同時(shí)擁有多個(gè)互為競爭者的客戶，一個(gè)銀,行家可能為一個(gè)客戶工作，但他可以訪問所有客戶的,信息。因此，應(yīng)當(dāng)制止該銀行家訪問其它客戶的數(shù)據(jù)。,Chinese Wall,安全模型的兩個(gè)主要屬性：,?,?,用戶必須選擇一個(gè)他可以訪問的區(qū)域,用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū),Brewer and Nash Model????Brew,Graham-Denning,模型,?,?,?,?,?,?,?,?,如何安全地創(chuàng)建一個(gè)客體,如何安全地創(chuàng)建一個(gè)主體,如何安全地刪除客體,如何安全地刪除主體,如何安全地提供讀訪問

50、權(quán),如何安全地提供準(zhǔn)許接入權(quán),如何安全地提供刪除訪問權(quán)限,如何安全地提供轉(zhuǎn)移訪問權(quán)限,Graham-Denning模型????????如何安全地創(chuàng),Harrison-Ruzzo-Ullman,（,HRU,）模型,?,?,?,主體的訪問權(quán)限以及這些權(quán)限的完整性。,主體只能對客體執(zhí)行一組有限的操作,HRU,被軟件設(shè)計(jì)人員用來確保沒有引入意外脆弱性，從而,可以實(shí)現(xiàn)訪問控制目標(biāo),Harrison-Ruzzo-Ullman（HRU）模型??,操作安全模式（,Security Modes of,Operation,）,訪問系統(tǒng)上所有信息的適當(dāng)許可,專用安全模式,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),Dedic

51、ated Security,訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,Mode,任何用戶都能夠訪問所有數(shù)據(jù),系統(tǒng)高安全模式,訪問系統(tǒng)上所有信息的適當(dāng)許可,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,根據(jù)他們的,“,知其所需,”,,所有用戶都能訪問一些數(shù)據(jù),訪問系統(tǒng)上所有信息的適當(dāng)許可,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,根據(jù)他們的,“,知其所需,”,和正式批準(zhǔn),,,所有用戶都能訪問一些數(shù)據(jù),System High-,

52、Security Mode,分隔安全模式,Compartmented,Security Mode,訪問系統(tǒng)上所有信息的適當(dāng)許可,多級安全模式,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),Multilevel Security,訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,Mode,根據(jù)他們的,“,知其所需,”,、許可和正式批準(zhǔn),,,所有用戶都能訪問一些數(shù)據(jù),操作安全模式（Security Modes of Opera,信任與保證,?,TCSEC,中，較低保證級別評定工作會考察系統(tǒng)的保護(hù)機(jī)制和,測試結(jié)果，較高保證級別評定工作更多考查系統(tǒng)的設(shè)計(jì)、,規(guī)范、開發(fā)過程、支持文檔以及

53、測試結(jié)果,信任與保證?TCSEC中，較低保證級別評定工作會考察系統(tǒng)的保,系統(tǒng)評估方法（,Systems Evaluation,Methods,）,ITSEC,1991,CTCPEC,1993,CC 1.0,1996,CC 2.0,1998,TCSEC,1985,FC,1992,CD,1997,FCD,1998,GB 17859,1999,ISO15408,1999,GB/T 18336,2001,ISO15408,1999,GIB 2646,1996,GB/T 18336,2008,系統(tǒng)評估方法（Systems Evaluation Meth,橘皮書（,Orange Book,）,?,?,?,

54、?,Trusted Computer System Evaluation Criteria,（,TCSEC,），是一個(gè)評估,OS,、應(yīng)用的、系統(tǒng)的規(guī)范，,評價(jià)不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和,保證程度，提供多種級別。,1970,年由美國國防科學(xué)委員會提出。,1985,年公布。,主要為軍用標(biāo)準(zhǔn)，延用至民用。,TCSEC2000,年被,Common Criteria,所替代，是第一個(gè),涉及計(jì)算機(jī)系統(tǒng)的安全規(guī)范。,橘皮書（Orange Book）????Trusted Co,TCSEC,等級,?,?,D,—,最小保護(hù),(minimal protection),C,—,自主保護(hù),(discr

55、etionary protection),?,?,C1:,選擇安全性保護(hù)，,Discretionary Security Protection,C2:,受約束的訪問保護(hù)，,Controlled Access Protection,B1:,標(biāo)簽式安全保護(hù)，,Labeled Security,B2:,結(jié)構(gòu)化保護(hù)，,Structure Protection,B3:,安全域，,Security Domain,A1:,驗(yàn)證設(shè)計(jì)，,Verified Design,?,B,—,強(qiáng)制保護(hù),(mandatory protection),?,?,?,?,A,—,校驗(yàn)保護(hù),(verified protection)

56、,?,TCSEC等級??D —最小保護(hù)(minimal prote,類別,A,B3,名稱,驗(yàn)證設(shè)計(jì),（,verity design,）,安全域,(security domain),結(jié)構(gòu)防護(hù),（,structured,protection,）,標(biāo)號安全防護(hù),（,label security,protection,）,受控的訪問環(huán)境,選擇性安全防護(hù),（,discretionary,security,protection,）,最小保護(hù),主要特征,安全要求,形式化的最高級描述和驗(yàn)證，形,設(shè)計(jì)必須從數(shù)學(xué)角度上經(jīng)過驗(yàn)證，,式化的隱密通道分析，非形式,而且必須進(jìn)行秘密能道和可信任分,化的代碼一致性證明,布的

57、分析。,安全內(nèi)核，高抗?jié)B透能力,設(shè)計(jì)系統(tǒng)時(shí)必須有一個(gè)合理的總,體設(shè)計(jì)方案，面向安全的體系結(jié),構(gòu)，遵循最小授權(quán)原則，較好的,滲透能力，訪問控制應(yīng)對所有的,主體和客體提供保護(hù)，對系統(tǒng)進(jìn),行隱蔽通道分析,除了,C2,級別的安全需求外，增加,安全策略模型，數(shù)據(jù)標(biāo)號（安全,和屬性）,存取控制以用戶為單位廣泛的審,計(jì),有選擇的存取控制，用戶與數(shù)據(jù),分離，數(shù)據(jù)的保護(hù)以用戶組為單,位,用戶工作站或終端能過可信任途徑,連接網(wǎng)絡(luò)系統(tǒng),計(jì)算機(jī)系統(tǒng)中所有對象都加標(biāo)簽，,而且給設(shè)備（如工作站、終端和磁,盤驅(qū)動器）分配安全級別。,B2,B1,C2,在不同級別對敏感信息提供更高級,的保護(hù)，讓每個(gè)對象都有有一個(gè)敏,感標(biāo)簽,加

58、入身份認(rèn)證級別，系統(tǒng)對發(fā)生的,事件加以審計(jì)并寫入日志,硬件有一定的安全保護(hù)（如硬件有,帶鎖裝置），用戶在使用計(jì)算機(jī)系,統(tǒng)前必須先登錄。允許系統(tǒng)管理員,為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán),限。,不要求用戶進(jìn)行登記（要求用戶提,供用戶名）或使用密碼（要求用戶,提供惟一的字符串來進(jìn)行訪問）,C1,D,保護(hù)措施很小，沒有安全功能,類別AB3名稱驗(yàn)證設(shè)計(jì)（verity design）安全域(,橘皮書和彩虹系列（,The Orange Book and,the Rainbow Series,）,?,橘皮書（,Orange Book,）,?,專門針對操作系統(tǒng),?,主要著眼于安全的一個(gè)屬性（機(jī)密性）,?,適用于政

59、府分類,?,評級數(shù)量較少,紅皮書（,Red,Book,）,?,單個(gè)系統(tǒng)的安全問題,?,解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評估問題，主要針對獨(dú)立局域,網(wǎng)和廣域網(wǎng)系統(tǒng),?,涉及通信完整性、防止拒絕服務(wù)、泄露保護(hù),?,橘皮書和彩虹系列（The Orange Book and t,信息技術(shù)安全評估標(biāo)準(zhǔn)（,Information,Technology Security,）,?,Information Technology Security Evaluation Criteria,（,ITSEC,）,?,?,?,?,?,歐洲多國安全評價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。,以超越,TCSEC,為目的，將安全概念分為

60、功能與功能評估兩,部分。,首次提出了信息安全的保密性、完整性、可用性的概念,評估對象,TOE(Target of Evaluation ),?,產(chǎn)品和系統(tǒng),安全增強(qiáng)機(jī)制,安全策略,安全性目標(biāo),security target,?,?,信息技術(shù)安全評估標(biāo)準(zhǔn)（Information Technol,通用標(biāo)準(zhǔn)（,Common Criteria,）,?,?,?,定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn),則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，,與,PDR(,防護(hù)、檢聽、反應(yīng),),模型和現(xiàn)代動態(tài)安全概念,相符合的，強(qiáng)調(diào)安全的假設(shè)、威脅的、安全策略等安,全需求的針對性，充分突出保護(hù)輪廓,強(qiáng)調(diào)把

61、安全需求劃分為安全功能需求和安全保證需求,兩個(gè)獨(dú)立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的,安全等級,定義了,7,個(gè)評估保證級別,(EAL),，每一級均需評估,7,個(gè)功,能類,通用標(biāo)準(zhǔn)（Common Criteria ）???定義了作為,通用標(biāo)準(zhǔn)（,Common Criteria,）,?,CC,（,ISO/IEC 15408-X,）分為三個(gè)部分：,?,?,?,第一部分：介紹和一般模型,——,一般性概念，,IT,安全評估,的原則，高級編寫規(guī)范，對目標(biāo)受眾的有用價(jià)值。對消費(fèi),者來說是不錯(cuò)的背景介紹和參考。,第二部分：安全功能需求,——,功能性需求，組件，評估目,標(biāo),(Target of Evalua

62、tion,，,TOE),；對消費(fèi)者來說是不錯(cuò)的指,導(dǎo)和參考，可以用來闡述對安全功能的需求。,第三部分：安全保障,——,對,TOE,的保障需求,(assurance,requirement),，對保護(hù)輪廓,(Protection Profile),和安全目標(biāo),(Security Target),的評估標(biāo)準(zhǔn)。指導(dǎo)消費(fèi)者提出相應(yīng)的保障,等級,通用標(biāo)準(zhǔn)（Common Criteria ）?CC（ISO/,通用標(biāo)準(zhǔn)概念,?,?,?,?,?,?,保護(hù)輪廓（,Protection profile,，,PP,）滿足特定用戶需求、,與一類,TOE,實(shí)現(xiàn)無關(guān)的一組安全要求。,評估對象（,Target of eva

63、luation,，,TOE,）,作為評估主體的,IT,產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。,安全目標(biāo)（,Security target,）,作為指定的,TOE,評估基礎(chǔ)的,一組安全要求和規(guī)范。,安全功能（,Security functional requirements,）,規(guī)范,IT,產(chǎn),品和系統(tǒng)的安全行為，應(yīng)做的事,安全保證（,Security assurance requirements,）,對功能產(chǎn),生信心的方法,包,-,功能保證級（,Packages,—,EALs,）把功能和保證要求,封裝起來，以便今后使用。這部分描述必須得到滿足，,以實(shí)現(xiàn)特定的,EAL,等級。,通用標(biāo)準(zhǔn)概念?

64、?????保護(hù)輪廓（Protection pr,評估標(biāo)準(zhǔn)間的比較,CC,標(biāo)準(zhǔn),美國,TCSEC,D:,最小保護(hù),--,C1:,任意安全保護(hù),C2:,控制存取保護(hù),B1:,標(biāo)識安全保護(hù),B2:,結(jié)構(gòu)保護(hù),B3:,安全域,A1:,驗(yàn)證設(shè)計(jì),歐洲,ITSEC,E0,--,F1+E1,F2+E2,F3+E3,F4+E4,F5+E5,F6+E6,加拿大,CTCPE,C,T0,T1,T2,T3,T4,T5,T6,T7,1:,用戶自主保護(hù)級,2:,系統(tǒng)審計(jì)保護(hù)級,3:,安全標(biāo)記保護(hù)級,4:,結(jié)構(gòu)化保護(hù)級,5:,訪問驗(yàn)證保護(hù)級,中國,GB17859-1999,--,EAL1-,功能測試,EAL2-,結(jié)構(gòu)測試,

65、EAL3-,方法測試和檢驗(yàn),EAL4-,方法設(shè)計(jì)，測試和評審,EAL5-,半正式設(shè)計(jì)和測試,EAL6-,半正式驗(yàn)證的設(shè)計(jì)和測試,EAL7-,正式驗(yàn)證的設(shè)計(jì)和測試,評估標(biāo)準(zhǔn)間的比較CC標(biāo)準(zhǔn)美國TCSECD:最小保護(hù)--C1:,認(rèn)證與認(rèn)可（,Certification vs.,Accreditation,）,?,?,認(rèn)證,, Certification,?,評估技術(shù)和非技術(shù)特征以確定設(shè)計(jì)是否符合安全要求,認(rèn)證權(quán)威,DAA (Designated Approving Authority ),來自于指定的認(rèn)證權(quán)威的正式聲明，表明系統(tǒng)已被認(rèn)可在,安全狀態(tài)下運(yùn)行,認(rèn)可,, Accreditation,?,

66、?,認(rèn)證與認(rèn)可（Certification vs. Accred,一些威脅的評估（,A Few Threats to,Review,）,?,?,維護(hù)鉤子（,Maintenance Hooks,）,檢驗(yàn)時(shí)間,/,使用時(shí)間攻擊,(Time-of-Check/Time-of-Use,Attacks,，,TOC/TOU),一些威脅的評估（A Few Threats to Revie,維護(hù)鉤子（,Maintenance Hooks,）,?,?,軟件內(nèi)開發(fā)人員才知道和能夠調(diào)用的指令,,,使他們能夠,方便的訪問代碼,.,對策,?,?,?,使用主機(jī)入侵檢測系統(tǒng)監(jiān)視通過后門進(jìn)入系統(tǒng)的供給者,使用文件系統(tǒng)加密來保護(hù)敏感信息,實(shí)現(xiàn)審計(jì),,,以檢測任何類型的后門使用,維護(hù)鉤子（Maintenance Hooks）??軟件內(nèi)開發(fā),檢驗(yàn)時(shí)間,/,使用時(shí)間攻擊,(Time-of-,Check/Time-of-Use Attacks,，,TOC/TOU),?,?,也稱異步攻擊。攻擊者利用系統(tǒng)進(jìn)程請求和執(zhí)行任務(wù),的方法發(fā)動攻擊。,對策,?,應(yīng)用“軟件鎖”，在執(zhí)行“檢查”任務(wù)時(shí)鎖定要使用的項(xiàng),檢驗(yàn)時(shí)間/使用時(shí)間攻擊(Ti