CISSP 第四章 安全架构和设计

主要内容

软件缺陷是组织面临的主要威胁，实现软件安全的最关键的环节之一是它的架构。
当今的操作系统没有把安全作为重点来设计架构，只能不断的打补丁。

4.1 计算机安全

可用性，完整性，机密性

4.2 系统架构

架构提供了“全景”目标，用来指导后面的设计和开发阶段。
在设计阶段会引入模型，如Bell-Lapadula，Biba和Clark-Wilson，模型被用来帮助系统设计的构建，最终实现架构目标。

4.3 计算机架构

计算机架构由使计算机正常运转所需的全部部件组成，包括操作系统、存储器芯片、逻辑电路、存储设备、输入输出电路、安全组件、总线和联网组件。

4.3.1 中央处理单元CPU

Central Processing Unit是计算机的大脑，从存储器中提取命令并加以执行。

操作系统必须被设计为在这个CPU架构中允许，能够在奔腾处理器上运行的操作系统无法在SPARC处理器上运行。

CPU中包含一些指向存储器位置的寄存器register，寄存器是一个临时位置，保存了下一个要执行的指令。访问存储器比访问寄存器要慢很多。

实际执行指令工作的是算法逻辑单元（Arithmetic Logic Unit，ALU），ALU对数据执行数学函数计算和逻辑操作，是CPU的大脑。

CPU有几种不同类型的寄存器：

1. 通用寄存器general register用于保存变量和临时结果
2. 特殊寄存器，也称专用寄存器，保存诸如程序计数器，栈指针和程序状态字之类的信息
3. 程序计数器寄存器，包含需要提取的下一个指令的存储器地址

程序状态字Program Status Word，PSW保存各种不同的条件位，其中一个条件位指出CPU应在用户模式（问题状态），还是特权模式（内核模式或监管模式）下工作。

存储器栈
后入先出，Last In First Out，LIFO的方式读取和写入数据的数据结构

4.3.2 多重处理

为了提高性能，一些专用计算机装配有多个CPU

对称模式symmetric mode：计算机有两个或多个CPU且每个CPU使用加载均衡方式
非对称模式asymmetric mode：计算机有两个或多个CPU，且一个CPU仅专门用于一个特定程序，而其他CPU执行通用的处理程序。

4.3.3 操作系统架构

1. 进程管理
   应用程序作为独立的单元运行，这种单元叫进程。
   程序只有加载到存储器并由操作系统激活后才被视为进程。

操作系统提供了多程序（multiprogramming）设计功能，同是可以在存储器中加载几个程序/进程。因此我们可以在系统中同时运行防病毒软件，字处理软件等。

协调式多任务处理cooperative multitasking：要求处理器自愿地释放所使用的资源，如果没有资源释放，可能导致资源被应用程序无限期占用。进程对资源的控制力过于强大。

抢占式多任务处理preemptive multitasking：操作系统可以控制进程使用某一资源的时间，通过应用分时time sharing，系统可以挂起一个正在使用CPU资源的进程，允许其他进程访问CPU。

如果一个进程与CPU交互时出现了一个中断（即其他进程请求访问CPU），那么系统会将进程的信息存储在进程表中，并由下一个进程获得与CPU交互的时间。

中断有两种类型：
可屏蔽中断maskable interrupt：分配给不是十分重要的事件，如果中断发生，程序不必停止运行。
不可屏蔽中断non-maskable interrupt：分配给非常重要的事件，中段不能被应用程序忽略。

看门狗定时器watchdog timer：是一个不能被屏蔽的关键进程

2. 线程管理multithreaded
   当进程需要传送数据给CPU进行处理时，它会生成一个线程。
   线程由一个单独的指令集和需要由CPU处理的数据组成。
   一次可以执行若干不同任务（显示、打印、与其他应用程序交互）的程序称为多线程应用程序 。
   进程创建的每个线程共享建立该进程的相同资源。
   进程应该只接受被批准实体的指令且它接受的这些指令在实施前应该经过验证。

3. 进程调度
   操作系统需要负责调度并同步各种进程及其活动。
   进程的不合理调度可能导致资源耗尽（如DDOS），软件死锁。

4. 进程活动
   为了保证进程不受彼此的影响，操作系统实施了进程隔离（process isolation），一个进程挂起，不会影响到其他应用软件的运行。

进程隔离的方法
对象的封装：封装提供了数据隐藏能力，外部组件无法知道一个进程的工作方式，也不能修改进程的内部代码。封装的进程不会被恶意指令影响。
共享资源的时分复用time multiplexing
命名区分naming distinctions：不同进程拥有自己的名称或标识值，进程通常分配有进程标识值PID，Process Identification，被隔离的进程就有唯一的PID
虚拟映射：virtual addrsss space mapping虚拟地址空间映射，应用程序在存储器分配给它的地址空间（即RAM芯片）中运行

5. 存储器管理
   所有的操作都在存储器中进行，所有存储器管理很重要
   存储器管理器用于分配并释放不同存储器段，实施访问控制以确保进程仅与它们各自的存储器交互，在RAM和硬盘间交换存储内容。

4.3.4 存储器类型

操作系统指令、应用程序、数据、基本输入输出系统（Basic Input/Output System，BIOS）、设备控制器指令和固件都保存在存储器中，但可能是在存储器的不同位置，也可能是在不同类型的存储器上。

1. 随机存取存储器RAM
Random Access Memory，是一种临时的存储设备，操作系统和应用程序使用其来执行读写操作，断电数据会丢失。

• 动态RAM：Dynamic RAM，保存在RAM存储单元中的数据必须不断动态刷新，使位值保存在存储单元中
• 静态RAM：Static RAM，不需要不断刷新来保存位值，所有速度比DRAM快。SRAM需要更多的晶体管，因此价格比DRAM贵。
  SRAM用在高速缓存器中，DRAM用在RAM芯片中。

除处理器外，存储器的类型，存储器大小，存储器寻址，总线带宽都是影响计算机速度的重要因素。

抖动：如果计算机在较小的存储块间转移数据所花的时间比实际处理数据的时间还要长，就称之为抖动，抖动会造成系统速度缓慢。

硬件分割：高信任级别的系统要求对进程使用的存储器进行硬件分割，确保低级别的进程无法访问和修改高级别进程的存储器空间。

寻址空间：64位寻址方案的系统比32位寻址方案的系统一次能输入更多的指令和数据到数据总线。

• 同步DRAM：Synchronous DRAM，将自身的行为与CPU时钟进行协调，使CPU与存储器活动保持同步，提高了数据传输和数据执行的速度。
• 拓展数据输出DRAM：Extended Data Out DRAM，比DRAM速度更快，DRAM一次只能访问一个数据块，而DEO RAM在将数据块交给CPU处理时，就能获得下一个数据块。
• 爆发式EDO RAM：Burst EDO RAM，工作方式与EDO RAM相似，但一次能传送更多数据（爆发）
• 双数据速率SDRAM：Double Data Rate SDRAM，每个时钟周期执行两次操作，因此传输的速率是SDRAM的两倍。

2. 只读存储器ROM
Read Only Memory，数据写入ROM就不能再被修