All In One - 第3章 安全工程

系统架构

可信计算基和安全机制

信息安全软件模型

保证评估准则和评级

认证和认可过程

分布式系统安全

隐写术

公钥基础设施

设备的位置、构造与管理

物理安全风险、威胁和相应对策

电力问题和相应对策

火灾的防范、检测与灭火

 

1.系统架构

术语：

• 架构是一个工具，用于通过不同的视角理解一个复杂实体的结构和行为，对系统、系统的内部组件、组件之间的关系、与外部环境间的关系、指导其设计和发展的原则等方面的基本组织结构
• 架构描述是形式化的描述和系统的表述，表述架构的文档集合
• 利益相关者 与系统有利益关系或关注系统的个人、团队、组织
• 视角  关于建设和使用视图的惯例性说明，确立视图产生与分析技巧后开发单个视图的模版
• 视图 视图是相关的一组关注点透视出的整个系统的表述

2.计算机架构

• 计算机架构=操作系统+存储器芯片+逻辑电路+存储设备+输入输出设备+安全组件+总线+联网组件
• 中央处理器CPU

• 寄存器 register
• 算术逻辑单元 ALU
• 控制单元
• 特殊寄存器 程序计数器、栈指针、程序状态字

 

• 多重处理 对称模式和非对称模式
• 存储器类型 

• 随机存取存储器RAM
• 只读存储器ROM
• 高速缓存存储器
• 存储器映射
• 缓冲区溢出
• 堆栈
• 存储器泄漏 导致DOS

 

3.操作系统

• 进程管理

• 多任务处理
• 进程的生命周期
• 线程管理 多线程
• 进程调度
• 进程活动 进程各隔离

• 存储器管理

、

• 大小端
• 虚拟存储器

• 输入/输出设备管理 中断、I/O
• CPU架构集成

• x86-操作系统与CPU通信的语言
• CPU操作模式 特权模式/普通用户模式

• 操作系统架构

• MS-DOS
• 分层操作系统架构

• 微内核架构

• 混合微内核架构

 

• 微服务架构

• 虚拟机

虚拟机-操作系统的实例

• 物理虚拟机
• 云虚拟机

4.系统安全架构

• 安全策略 高级的指导性纲领
• 安全架构要求

• 可信计算基（Trusted Computing Base，TCB）：系统内提供某类安全并实施系统安全策略的所有硬件、软件和固件的组合
• 安全边界（Security Primeter）： 假想的边界，划分可信和不可信的边界
• 引用监控器（Reference Monitor）：抽象概念，主体对客体进行所有访问的中介
• 安全内核(Security Kernel):

进程隔离

完整性

可验证

5.安全模型

• Bell-LaPadula模型

• 多级安全策略模型
• 解决机密性
• 3种规则

简单安全规则：不上读

*属性规则：不下写

强星属性规则：主体只能在同一安全级别上执行读写功能

• Biba模型

• 解决完整性问题
• 3种规则：

*完整性公理：不上写

简单完整性公理：不下读

调用属性：主题不能请求完整性级别更高的主体的服务

• Clark-Wilson模型

• 完整性模型
• 保护信息的完整性
• 实施职责分离
• 需进行审计
• 授权程序访问客体

• 无干扰模型 在一个安全级别内执行的命令和活动不能被位于其他安全级别内的主体或客体看到，也不能影响到他们
• Brewer and Nash 模型 防止利益冲突并提供动态改变访问控制的模型
• Graham-Denning模型 如何创建和删除主体和客体，如何分配具体的访问权限
• Harrison-RUzzo-UIIman模型 一套有限操作用来编辑一个主体的访问权限
• 信息流模型 限制在自己的流中，信息不能以违背安全策略的方式流入或流出实体
• Take-Grant模型 授权在主体间转移权利的模型

6.系统评估方法

• 通用准则CC

• ISO/IEC 15408
• 评估保证级别EAL

EAL1 功能测试

EAL2 结构测试

EAL3 系统地测试和检查

EAL4 系统地设计、测试和复查

EAL5 半正式地设计和测试

EAL6 半正式地验证设计和测试

EAL7 正式地验证设计和测试

• 保护样板 所需的安全方案

• 评估目标 提供所需安全的安全解决方案的产品

• 安全目标 供应商的书面说明

• 安全