信息安全-安全架构与设计-课件.pptx

1、安全架构和设计Security Architecture and Design 1关键知识领域A.A.理解安全模型的基本概念（如保密性、完整性与多层次模型）B.B.理解信息系统安全评估模型的组成B.1 产品评估模型（如通用准则）B.2 工业与国际安全实施准则（如PIC-DSS、ISO）C.C.理解信息系统的安全功能（如内存保护、虚拟技术、可信平台模块）D.D.理解安全架构的漏洞D.1 系统（如隐蔽通道、状态攻击、电子发射）D.2 技术与流程的整合（如单点故障、面向服务的架构）E.E.理解软件与系统的漏洞与威胁E.1 基于Web（如XML、SAML、OWASP）E.2 基于客户端（如小程序）E.

2、3 基于服务器（如数据流量控制）E.4 数据库安全（如推断、聚合、数据挖掘、数据仓库）E.5 分布式系统（如云计算、网格计算、对等网络）F.F.理解对抗原理（如深度防御）2目录计算机安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可开放与封闭系统一些威胁的评估3计算机安全（Computer Security）可用性：防止丢失或访问，数据和资源流失Availability:Prevention of loss of,or loss of access to,data and resources完整性：防止数

3、据和资源的未经授权的修改Integrity:Prevention of unauthorized modification of data and resources保密性：防止未授权披露的数据和资源Confidentiality:Prevention of unauthorized disclosure of data and resources4系统架构（System Architecture）架构（Architecture）：体现在其组成部分，它们彼此之间以及与环境的关系，和指导原则其设计和演进的系统的基本组织。架构描述（Architectural description，AD）：以正式

4、的方式表述一个架构的文档集合。利益相关者（Stakeholder）：对于系统有利益关系或关注系统的个人、团队、组织（或集体）视图（View）：从相关的一组关注点透视出的整个系统的表述视角（Viewpoint）：关于建设和使用视图的惯例性说明，也是通过明确视图建立目的、读者，确立视图与分析技巧后开发单个视图的模板。5正式的架构术语和关系6计算机系统结构（Computer Architecture）计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能，包括操作系统，存储芯片，逻辑电路，存储设备，输入和输出设备，安全组件，总线和网络接口。中央处理器（The Central Processin

5、g Unit）多重处理（Multiprocessing）操作系统组件（Operating System Components）7中央处理器（The Central Processing Unit，CPU）计算机的大脑。对CPU最常见的描述可能是：它从存储器中提取指令并加以执行。控制单元算术逻辑单元寄存器数据高速缓存器解码单元预取单元指令高速缓存器总线单元（主存储器）8中央处理器（The Central Processing Unit，CPU）中央处理单元是计算机硬件的核心，主要任务是执行各种命令，完成各种运算和控制功能，是计算机的心脏，决定着系统的类型、性能和速度，CPU中包含：(1)算术逻辑

6、运算单元ALU(Arithmetic Logic Unit)：主要负责数据的计算或处理。(2)控制单元(Control unit)：控制数据流向，例如数据或指令进出CPU；并控制ALU的动作。(3)寄存器/缓存器(Registers)：负责储存数据，以利CPU快速地存取。累加器(Accumulator)程序记数器(Program Counter)内存地址寄存器(Memory Address Register)内存数据寄存器(Memory Buffer Register)指令寄存器(Instruction Register)(4)连结路径(interconnection path)：负责连接CP

7、U内部的组件，以利数据或控制讯号在不同组件间流传。9CPU运行状态运行状态：Run/operating state执行指令解题状态：Application/Problem state执行应用程序仅执行非特权(nonprivileged instructions)指令管理程序状态：Supervisor state 特权模式下执行程序可以访问整个系统，同时执行特权(Privileged instructions)和非特权指令等待状态：Wait state 等待特定事件完成10多重处理（Multiprocessing）对称模式多重处理（Symmetric mode multiprocessing）计

8、算机有两个或者多个CPU且每个CPU都使用加载均衡方式非对称模式多重处理（Asymmetric mode multiprocessing）计算机有两个或者多个CPU，且有一个CPU仅专门处理一个特定程序，而其他CPU执行通用的处理程序11关键概念中央处理单元CPU，算术逻辑单元ALU，寄存器，控制单元通用寄存器（General registers）：CPU在执行指令过程中使用的临时存储位置。特殊寄存器（Special registers）：保存关键处理参数的临时存储位置。保存诸如程序计数器，堆栈指针，程序状态字（PSW）。程序计数器（Program counter）：为CPU所要执行的指令保存

9、存储器地址栈（Stack）：进程用来彼此传输指令和数据的存储器分段程序状态字（Program status word）：向CPU表明需要用什么状态（内核模式还是用户模式）运行的条件变量12关键概念用户模式（问题状态）（User mode(problem state)）：CPU在执行不太可信的进程指令时所用的保护模式内核模式（监管状态、特权模式）（Kernel mode(supervisory state,privilege mode)）：CPU在执行较为可信的进程指令时所用的工作状态，进程在内核模式下比在用户模式下可以访问更多的计算机资源地址总线（Address bus）：处理组件和存储器段之

10、间的物理连接，用来传输处理过程中所拥到的物理存储器地址数据总线（Data bus）：处理组件和存储器段之间的物理连接，用来传输处理过程中所用到的数据。对称模式多重处理，不对称模式多重处理13操作系统组件（Operating System Components）进程管理（Process Management）线程管理（Thread Management）进程调度（Process Scheduling）进程活动（Process Activity）14进程管理（Process Management）进程管理：操作系统的职能之一，主要是对处理机进行管理。为了提高CPU的利用率而采用多道程序技术。通过进

11、程管理来协调多道程序之间的关系，使CPU得到充分的利用。进程：Process一个独立运行的程序，有自己的地址空间,是程序运行的动态过程只能有限地与其它进程通信，由OS负责处理进程间的通信进程是程序运行的一个实例，是运行着的程序15关键概念多程序设计(MultiProgramming)一个处理器允许多处程序的将交叉运行,即两个或两个以上程序在计算机系统中同处于开始个结束之间的状态：多道、宏观上并行、微观上串行 解决主机和外转设备速度不匹配问题，为提高CPU的利用率。通过进程管理，协调多道程序之间的CPU分配调度、冲突处理及资源回收等关系。对象重用问题,TOC/TOU多任务（MultiTaskin

12、g）单个处理器对两个或两个以上的任务并行执行、交叉执行实时多任务(Realtime)、抢占式多任务(Preemptive)、协作式多任务(Cooperative)。协调式多任务各个进程控制释放CPU时间，抢占式多任务主要由操作系统控制时间16关键概念进程表PCB：包含CPU所需的进程状态数据中断（Interrupts）：分配给计算机部件（硬件和软件）的值，以对计算机资源进行有效的时间分片。可屏蔽中断（Maskable interrupt）：分配给非关键操作系统活动中断值。不可屏蔽中断（Nonmaskable interrupt）：分配给关键操作系统活动中断值，如复位键17线程管理（Thread

13、 Management）线程（Thread）：是为了节省资源而可以在同一个进程中共享资源的一个执行单位。多线程（Multithreading）：通过生成不同指令集（线程）同时执行多个活动的应用程序18进程调度（Process Scheduling）无论是在批处理系统还是分时系统中，用户进程数一般都多于处理机数、这将导致它们互相争夺处理机。另外，系统进程也同样需要使用处理机。这就要求进程调度程序按一定的策略，动态地把处理机分配给处于就绪队列中的某一个进程，以使之执行。软件死锁（Software deadlock）：两个进程都在等待系统资源被释放额导致不能完成他们的活动的情况。19进程活动早期操作

14、系统中，一个进程挂起，其它所有程序也会挂起进程隔离：对象封装，共享资源时分复用，命名区分，虚拟映射20关键概念进程多程序设计：操作系统交叉执行不止一个进程多任务处理：操作系统同时执行不止一个任务协调式多任务抢占式多任务进程状态：就绪，运行，阻塞中断，可屏蔽中断线程，多线程软件死锁21存储器管理管理目标为编程人员提供一个抽象层通过有限的可用存储器提供最高性能保护操作系统与加载入存储器的应用程序存储器管理器五项基本功能重新部署根据需要，在RAM和硬盘之间交换内容保护限制进程只与分配给它们的存储器段交互，为存储器段提供访问控制共享当进程需要使用相同的共享存储器段时，使用复杂的控制来确保完整性和机密性

15、逻辑组织允许共享特定的软件模块物理组织为应用程序和操作系统进程划分物理存储器空间22存储器类型随机存取存储器（Random access memory，RAM）可随时写入或读出数据用于操作系统和应用所执行的读写活动，即通常所说的内存寄存器，RegisterCache动态随机储存内存(Dynamic RAM,DRAM)静态随机储存内存(Static RAM，SRAM)：面积更大，造价更高，速度更快由CPU直接存取关闭电源存放在DRAM、寄存器、Cache的内容消失，不可永久保存资料抖动：读取数据所花时间超过处理数据的时间23存储器类型只读存储器（Read only memory，ROM）只能读不

16、能写关闭电源内容不消失，可永久保存数据。而使用SRAM进行存储，需要有电池等设备。种类：PROM(programmable ROM)：数据或程序可依使用者的需求来烧录，程序或数据一经烧录便无法更改。EPROM(erasable PROM)：可擦拭可程序规划的ROM，旧有的数据或程序可利用紫外线的照射来加以消除，使用者可以重复使用该颗EPROM，来烧录不同程序的程序或数据。EEPROM(electrically erase PROM)：电子式可擦拭可程序规划的ROM。MASK ROM：屏蔽式，数据由制造厂商在内存制造过程时写入。24存储器类型高速缓存（Cache Memory）为了缓和CPU与主

17、存储器之间速度的矛盾，在CPU和主存储器之间设置一个缓冲性的高速存储部件，它的工作速度接近CPU的工作速度，但其存储容量比主存储器小得多。高速缓存分为两种，一种是内建在CPU中的L1快取，另一种则是在CPU之外，称为L2快取。高速缓存愈大，对计算机执行效率的帮助愈大。速度最快、最贵存储器映射（Memory Mapping）：逻辑地址引导到特定的物理地址缓冲区溢出（Buffer Overflows）缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓存区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。ALSR：地址空间随机布局化DEP：数据执行保护存储器泄露（

18、Memory Leaks）开发正确释放存储器的更完善的代码使用垃圾收集器（garbage collector）25虚拟存储器（Virtual Memory）通过使用二级存储器(部分硬盘空间)来扩展内存(RAM)的容量，对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容，因此，其大部分功能由软件实现。虚拟存储器是一个逻辑模型，并不是一个实际的物理存储器。虚拟存储器的作用：分隔地址空间；解决主存的容量问题；程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的矛盾，而且也是管理存储设备的有效方法。有了虚拟存储器，用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。26关键概

19、念进程隔离动态链接库基础寄存器（起始地址），限制寄存器（终止地址）RAM ROM 高速缓冲存储器绝对地址，逻辑地址缓冲区溢出，ASLR，DEP垃圾收集器，虚拟存储器27输入输出设备管理输入是把信息送入计算机系统的过程，输出是从计算机系统送出信息的过程，用户通过输入/输出设备与计算机系统互相通信。常用输入设备：键盘、鼠标器、扫描仪常用输出设备：显示器、打印机、绘图仪输出/输入接口数据要从计算机内部输出时，它会将内部的表示法转成外围设备看得懂的表示法以利输出。反之，若要从外围设备传数据到计算机内部，它也会将外界的数据格式转成计算机内部看得懂的表示法。检验数据的完整性28I/O技术可编程Progra

20、mmed I/O速度慢中断驱动Interrupt-driven I/O由外部发出请求，请求CPU中断或结束正常程序运行处理中断导致时间消耗DMA I/O using DMA是一种完全由硬件执行I/O交换的工作方式。速度快映射前Premapped I/OI/O取得足够信任，IIO与存储器直接交互数据全映射Fully mapped I/O不完全信任I/O，IO设备只与逻辑地址直接交互29CPU架构保护环Protection Ring一组同心的编号环 环数决定可以访问的层次，越低的环数表示越高的特权程序假定执行环数的位置 程序不可以直接访问比自身高的层次，如需访问，系统调用(system call)

21、一般使用4个保护环：Ring 1 操作系统安全核心Ring 2 其他操作系统功能 设图示控制器Ring 3 系统应用程序，数据库功能等Ring 4 应用程序空间30操作系统架构（Operating System Architectures）单块操作系统架构分层操作系统架构31操作系统架构单片（Monolithic）所有操作系统进程在内核模式下运行。分层（Layered）所有操作系统进程在内核模式下的分层模型上运行。内核过大微内核（Microkernel）核心操作系统进程运行在内核模式，其余运行在用户模式。内核过小混合微内核（Hybrid microkernel）所有操作系统进程在内核模式下运行

22、。核心进程运行在微内核，其他运行在客户端服务器模式。32分层操作系统33微内核操作系统34Windows混合微内核架构35主要的操作系统内核架构36虚拟机37虚拟机优势多个服务器整合遗留应用程序运行运行不可信程序，提供安全的隔离的沙箱模仿独立计算机网络多个系统，多种硬件适合强大的调试和性能监控超强隔离能力备份、恢复、迁移更简单38系统安全体系结构（System Security Architecture）安全策略（Security Policy）安全架构要求（Security Architecture Requirements）39安全策略（Security Policy）指导性纲领，为系统整

23、体和构成它的组件从安全角度提出根本的目标，是战略工具。安全策略是一个系统的基础规范，使系统集成后评估它的基准。40安全架构要求（Security Architecture Requirements）可信计算基（Trusted Computing Base）安全边界（Security Perimeter）引用监视器（Reference Monitor，RM）安全内核（Security Kernel）41可信计算基（Trusted Computing Base）TCB是计算机系统内保护机制的总体,包括硬件、固体、软件和负责执行安全策略的组合体。TCB由一系列的部件构成，在产品或系统中执行统一的安全

24、策略。TCB的三个要求TCB必须保证其自身在一个域中的执行，防止被外界干扰或破坏TCB所控制的资源必须是已经定义的主体或客体的子集TCB必须隔离被保护的资源，以便进行访问控制和审计TCB维护每个域的保密性和完整性，监视4个基本功能进程激活：Process activation执行域的切换：Execution domain switching内存保护：Memory protectionI/O操作：I/O operation42引用监视器（Reference Monitor，RM）RM是一个抽象机的访问控制概念，基于访问控制数据库协调所有主体对客体的访问RM的任务根据访问控制数据库，对主体对客体的

25、访问请求做出是否允许的裁决，并将该请求记录到审计数据库中。注意：基准监视器有动态维护访问控制数据库的能力。RM的特性：执行主体到对象所有访问的抽象机必须执行所有访问，能够在修改中被保护，能够恢复正常，并且总是被调用。处理所有主体到客体访问的抽象机43安全内核（Security Kernel）安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素理论基础：在一个大的操作系统中，只将相对比较小的一部分软件负责实施系统安全，并将实施安全的这部分软件隔离在一个可信的安全核，这个核就称为安全核。需要满足三个原则完备性：协调所有的访问控制隔离性：受保护，不允许被修改可验证性：被验证是正确的安全核技术是

26、早期构建安全操作系统最为常用的技术，几乎可以说是唯一能够实用的技术。引用监视器RM是概念，抽象的机器，协调所有主体对对象间的访问；安全内核是硬件，是TCB中执行RM的部分，TCB中除安全内核外还有其它安全机制44关键概念虚拟化Hypervisor:用来管理模拟环境中的虚拟机的中央程序安全策略可信计算基可信路径：进程之间用来通信的，不能被绕过的可信软件通道安全边界引用监视器安全内核多级安全策略45安全模型（Security Models）状态机模型（State Machine Models）Bell-LaPadula 模型Biba模型Clark-Wilson模型信息流模型（Information

27、 Flow Model）非干涉模型（Noninterference Model）格子模型（Lattice Model）Brewer and Nash模型Graham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型46安全策略与安全模型安全策略勾勒出目标，宽泛、模糊而抽象，安全模型提供了实现这些目标应该做什么，不应该做什么，具有实践指导意义，给出了策略的形式47状态机模型（State Machine Models）状态机模型描述了一种无论处于何种状态都是安全的系统一个状态（State）是处于特定时刻系统的一个快照，如果该状态所有方面都满足安全策略的要求，就称之为安全的

28、State transition：状态转换，许多活动可能会改变系统状态，成为状态迁移（State transition），迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态，则系统执行一个安全状态机模型：secure state model。一个安全的状态机模型系统，总是从一个安全状态启动，并且在所有迁移当中保持安全状态，只允许主体以和安全策略相一致的安全方式来访问资源安全的状态机模型是其他安全模型的基础48状态机模型（State Machine Models）49Bell-LaPadula 模型1973年，David Bell和Len LaPadula提出

29、了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统为美国国防部多级安全策略形式化而开发Bell-LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)。特点：信息流安全模型只对机密性进行处理运用状态机模型和状态转换的概念基于政府信息分级无密级、敏感但无密级、机密、秘密、绝密“Need to know”谁需要知道？开始于安全状态，在多个安全状态中转换(初始状态必须安全，转变结果才在安全状态)50Bell-LaPadula 模型安全规则简单安全规则ss(Simple Securi

30、ty Property)安全级别低的主体不能读安全级别高的客体信息(No Read Up)星规则*The*(star)security Property安全级别高的主体不能往低级别的客体写(No write Down)强星规则 Strong*property不允许对另一级别进行读取自主安全规则ds(Discretionary security Property)使用访问控制矩阵来定义说明自由存取控制内容相关 Content Dependent 上下文相关Context Dependent51BLP模型的缺陷不能防止隐蔽通道(covert channels)不针对使用文件共享和服务器的现代信息系

31、统没有明确定义何谓安全状态转移(secure state transition)基于多级安全保护(multilevel security)而未针对其他策略类型 不涉及访问控制管理不保护完整性和可用性52Biba模型完整性的三个目标：保护数据不被未授权用户更改；保护数据不被授权用户越权修改(未授权更改)；维持数据内部和外部的一致性1977作为Bell-Lapadula的完整性补充而提出,用于非军事行业Biba基于一种层次化的完整性级别格子(hierarchical lattice of integrity levels)，是一种信息流安全模型。特点：基于小于或等于关系的偏序的格最小上限(上确界)

32、，least upper bound(LUB)最大下限(下确界)，greatest lower bound(GLB)Lattice=(IC,=,LUB,GUB)数据和用户分级强制访问控制53Biba模型安全规则*完整性公理：主题不能向位于较高完整性级别的客体写数据，不能向上写简单完整性公理：主题不能从较低完整性级别读取数据，不能向下读调用属性：主体不能请求完整性级别更高的主体服务信息来源，可信数据54Clark-Wilson模型在1987年被提出的经常应用在银行应用中以保证数据完整性实现基于成形的事务处理机制要求完整性标记定义：受限数据条目Constrained Data Item(CDI)完

33、整性检查程序Integrity Verification Procedure(IVP)转换程序Transformation Procedure(TP)自由数据条目Unconstrained Data ItemClark-Wilson需要integrity label用于确定一个数据项的完整级别，并在TP后验证其完整性是否维持，采用了实现内/外一致性的机制，separation of duty,mandatory integrity policy55Clark-Wilson模型完整性的模型没有像Biba那样使用lattice结构，而是使用Subject/Program/Object这样的三方关系

34、（triple），Subject并不能直接访问Object，只能通过Program来访问两个原则：well-formed transactions：采用了program的形式，主体只能通过program访问客体，每个恰当设计的program都有特定的限制规则，这就有效限制了主体的能力separation of duties：将关键功能分成两个或多个部分，必须由不同的主体去完成各个部分，可防止已授权用户进行未授权的修改要求具有审计能力（Auditing）Clark-Wilson model也被称作restricted interface model该模型考虑到了完整性的3个目标，而Biba模型只

35、考虑了第一个：防止未授权用户更改；防止授权用户的不正确更改（职责分离），维护内部和外部的一致性56信息流模型（Information Flow Model）基于状态机，由对象、状态转换以及格(流策略)状态组成,对象可以是用户，每个对象都被分配一个安全等级和值Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息从高安全等级流向低安全等级，后者要防止信息从低安全等级流向高安全等级信息流模型并不是只处理信息流向，也可以处理流类型信息流模型用于防止未授权的、不安全的或者受到限制的信息流，信息流可以是同一级别主体与客体之间的，也可以是不同级别间的信息流模型允许所有授权信息流，无论是否在

36、同一级别;信息流模型防止所有未授权的信息流，无论是否在同一级别信息被限制在策略允许的方向流动57隐蔽信道（Covert Channels）隐蔽通道是一种让一个实体以未授权方式接收信息。条件在产品开发过程中不当监督在软件中实施不当的访问控制两个实体之间未适当地控制共享资源隐蔽通道有两种类型：存储：存储隐蔽通道，进程能够通过系统的一些类型的存储空间通信。（木马）通过创建文件。计时一个进程通过调整其使用系统资源的信息转发到另一个进程中继续传送数据。58非干涉模型（Noninterference Model）基于信息流模型非干涉模型并不关心信息流，而是关心影响系统状态或者其他主体活动的某个主体的活动确

37、保在较高安全级别发生的任何活动不会影响，或者干涉在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作，那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动，那么该实体可能能够推断出较高级别的信息，引发信息泄漏基本原理为，一组用户(A)使用命令(C)，不被用户组(B)(使用命令D)干扰，可以表达成A,C:|B,D，同样，使用命令C的组A的行为不能被使用命令D的组B看到59格子模型（Lattice Model）Lattice 模型通过划分安全边界对BLP模型进行了扩充，它将用户和资源进行分类，并允许它们之间交换信息，这

38、是多边安全体系的基础。多边安全的焦点是在不同的安全集束（部门，组织等）间控制信息的流动，而不仅是垂直检验其敏感级别。建立多边安全的基础是为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束。在执行访问控制功能时，lattice模型本质上同BLP模型是相同的，而lattice模型更注重形成安全集束。BLP模型中的上读下写原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性，因此在它们中没有信息可以流通。60Brewer and Nash Mode

39、lBrew and Nash:Chinese WallChinese Wall模型是应用在多边安全系统中的安全模型（也就是多个组织间的访问控制系统），应用在可能存在利益冲突的组织中。最初是为投资银行设计的，但也可应用在其它相似的场合。Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其它客户的数据。Chinese Wall安全模型的两个主要属性：用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利

40、益冲突区域的访问这种模型同时包括了DAC和MAC的属性：银行家可以选择为谁工作（DAC），但是一旦选定，他就被只能为该客户工作（MAC）。61Graham-Denning模型如何安全地创建一个客体如何安全地创建一个主体如何安全地删除客体如何安全地删除主体如何安全地提供读访问权如何安全地提供准许接入权如何安全地提供删除访问权限如何安全地提供转移访问权限62Harrison-Ruzzo-Ullman（HRU）模型主体的访问权限以及这些权限的完整性。主体只能对客体执行一组有限的操作HRU被软件设计人员用来确保没有引入意外脆弱性，从而可以实现访问控制目标63操作安全模式（Security Modes

41、of Operation）专用安全模式专用安全模式Dedicated Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“任何用户都能够访问所有数据系统高安全模式系统高安全模式System High-Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”,所有用户都能访问一些数据分隔安全模式分隔安全模式Compartmented Security Mode访问系统上所有信息的适

42、当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”和正式批准,所有用户都能访问一些数据多级安全模式多级安全模式Multilevel Security Mode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”、许可和正式批准,所有用户都能访问一些数据64信任与保证TCSEC中，较低保证级别评定工作会考察系统的保护机制和测试结果，较高保证级别评定工作更多考查系统的设计、规范、开发过程、支持文档以及测试结果65系统评估方法（S

43、ystems Evaluation Methods）ITSEC 1991CC 1.01996TCSEC 1985CTCPEC 1993FC 1992ISO15408 1999CC 2.01998GB/T 18336 2001CD1997FCD1998GIB 2646 1996GB 17859 1999GB/T 18336 2008ISO15408 199966橘皮书（Orange Book）Trusted Computer System Evaluation Criteria（TCSEC），是一个评估OS、应用的、系统的规范，评价不同系统的尺度，检查系统的功能性、有效性和保证程度，提供多种级别

44、。1970年由美国国防科学委员会提出。1985年公布。主要为军用标准，延用至民用。TCSEC2000年被Common Criteria所替代，是第一个涉及计算机系统的安全规范。67TCSEC等级D 最小保护(minimal protection)C 自主保护(discretionary protection)C1:选择安全性保护，Discretionary Security ProtectionC2:受约束的访问保护，Controlled Access Protection B 强制保护(mandatory protection)B1:标签式安全保护，Labeled SecurityB2:结构

45、化保护，Structure ProtectionB3:安全域，Security DomainA 校验保护(verified protection)A1:验证设计，Verified Design68类别类别名称名称主要特征主要特征安全要求安全要求A验证设计（verity design）形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明设计必须从数学角度上经过验证，而且必须进行秘密能道和可信任分布的分析。B3安全域(security domain)安全内核，高抗渗透能力用户工作站或终端能过可信任途径连接网络系统B2结构防护（structured protection）设计系统

46、时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析计算机系统中所有对象都加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。B1标号安全防护（label security protection）除了C2级别的安全需求外，增加安全策略模型，数据标号（安全和属性）在不同级别对敏感信息提供更高级的保护，让每个对象都有有一个敏感标签C2受控的访问环境存取控制以用户为单位广泛的审计加入身份认证级别，系统对发生的事件加以审计并写入日志C1选择性安全防护（discretionary security p

47、rotection）有选择的存取控制，用户与数据分离，数据的保护以用户组为单位硬件有一定的安全保护（如硬件有带锁装置），用户在使用计算机系统前必须先登录。允许系统管理员为一些程序或数据设立访问许可权限。D最小保护保护措施很小，没有安全功能不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供惟一的字符串来进行访问）69橘皮书和彩虹系列（The Orange Book and the Rainbow Series）橘皮书（Orange Book）专门针对操作系统主要着眼于安全的一个属性（机密性）适用于政府分类评级数量较少红皮书（Red Book）单个系统的安全问题解决网络和网络组件的安

48、全评估问题，主要针对独立局域网和广域网系统涉及通信完整性、防止拒绝服务、泄露保护70信息技术安全评估标准（Information Technology Security）Information Technology Security Evaluation Criteria（ITSEC）欧洲多国安全评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。首次提出了信息安全的保密性、完整性、可用性的概念评估对象TOE(Target of Evaluation)产品和系统安全性目标security target安全增强机制安全策略71通用标准（Common

49、 Criteria）定义了作为评估信息技术产品和系统安全性的基础准则，全面地考虑了与信息技术安全性有关的所有因素，与PDR(防护、检听、反应)模型和现代动态安全概念相符合的，强调安全的假设、威胁的、安全策略等安全需求的针对性，充分突出保护轮廓强调把安全需求划分为安全功能需求和安全保证需求两个独立的部分，根据安全保证需求定义安全产品的安全等级定义了7个评估保证级别(EAL)，每一级均需评估7个功能类72通用标准（Common Criteria）CC（ISO/IEC 15408-X）分为三个部分：第一部分：介绍和一般模型 一般性概念，IT安全评估的原则，高级编写规范，对目标受众的有用价值。对消费者

50、来说是不错的背景介绍和参考。第二部分：安全功能需求 功能性需求，组件，评估目标(Target of Evaluation，TOE)；对消费者来说是不错的指导和参考，可以用来阐述对安全功能的需求。第三部分：安全保障 对TOE的保障需求(assurance requirement)，对保护轮廓(Protection Profile)和安全目标(Security Target)的评估标准。指导消费者提出相应的保障等级73通用标准概念保护轮廓（Protection profile，PP）满足特定用户需求、与一类TOE实现无关的一组安全要求。评估对象（Target of evaluation，TOE）作