安全模型和体系结构

安全模型和体系结构

一、快速提示

·系统可以有完全相同的硬件、软件和应用，但却会因为系统建立在不同的安全策略和安全模型之上而提供不同的保护级别。

·CPU包括一个控制单元，它控制指令和数据执行的时序；一个ALU（算术逻辑单元)，它执行算术功能和逻辑操作。

·绝大多数系统部使用保护环(protection ring）。进程的特权级别越高，则运行在编号越小的保护环中，它就能访问全部或者大部分的系统资源。应用运行在编号越大的保护环中．它能访问的资源就越少。

·操作系统的进程运行在特权或监控模式中，应用运行在用户模式中，也称为“问题”状态。

·次级存储(second storage)是永久性的，它可以是硬盘、CD—ROM、软驱、磁带备份或者Zip驱动器。

·虚存（virtual storage)由RAM和次级存储所构成，系统因此显得具有很大一块存储器。

·当两个进程试图同时访问相同的资源，或者一个进程占据着某项资源而且不释放的时候，就发生了死锁情况。

·安全机制着眼于不同的问题，运行于不同的层次，复杂性也不尽相同。

·安全机制越复杂，它能提供的保险程度就越低。

·并不是所有的系统组成部分都要处于TCB范围内：只有那些直接以及需要实施安全策略的部件才是。

·构成TCB的组成部分有硬件、软件、回件，因为它们都提供了某种类型的安全保护功能。

·安全边界(security perimeter)是一个假想的边界线，可信的部件位子其中(那些构成TCB 的部件)，而不可信的部件则处于边界之外。

·引用监控器(reference monitor)是一个抽象机，它能确保所有的主体在访问客体之前拥有必要的访问权限。因此，它是主体对客体所有访问的中介。

·安全核心(security kernel)是实际落实引用监控器规则的机制。

·安全核心必须隔离实施引用监控概念的进程、必须不会被篡改、必须对每次访问企图调用引用监控，而且必须小到足以能正确地测试。

·安全领域（security domain)是一个主体能够用到的全部客体。

·需要对进程进行隔离，这可以通过内存分段寻址做到。

·安全策略(security policy)是一组规定如何管理、保护和发布敏感数据的规则。它给出了系统必须达到的安全目标。

·系统提供的安全水平取决于它落实安全策略的程度有多大。

·多级安全系统能受理属于不同类别(安全水平）的数据，具有不同访问级（安全水平)的用户能够使用该系统。

·应该赋予进程最小的特权，以便使其具有的系统特权只够履行它们的任务，没有多余。

·有些系统提供在系统不同层次上的功能，这称为分层。这就将进程进行了分离，给单个进程提供了更多的保护。

·数据隐藏是指，当处于不同层次上的进程彼此互不知晓，因此也就没有办法互相通信。这就给数据提供了更多的保护。

·给一类客体分配权限，称之为抽象化(abstraction)。

·安全模型(security model)将安全策略的抽象目标映射到计算机系统的术语和概念上。它给出安全策略的结构，并且为系统提供一个框架。

·Bell-LdPadula模型只解决机密性的要求，Biba和Clark—Wilson则解决数据完整性的要求。

·状态机模型处理一个系统能够进入的不同状态。如果一个系统开始是在一个安全状态下，在该系统中发生的全部活动都是安全的，那么系统就决不会进入一个不安全的状态。

·格(Lattice)给授权访问提供了上界和下界。

·信息流安全模型不允许数据以一种不安全的方式流向客体。

·Bell-LaPadula模型有一条简单安全规则，意思是说，主体不能从更高级别读取数据(不能向上读)。*-特性规则的意思是说，主体不能向更低级别写数据(不能向下写)。强星特性规则是指一个主体只能在同一安全等级内读和写，不能高也不能低。

·Biba模型不允许主体向位于更高级别的客体写数据(不能向上写)，它也不允许主体从更低级别读取数据(不能向下读)。这样做是为了保护数据的完整性。

·Bell-LaPadula模型主要用在军事系统中，Biba和Clark—Wilson模型则用于商业部门。

·Clark-Wilson模型要求主体通过经批准的程序、职责分割以及审计来访问客体。

·如果系统在一个专门的安全模式中运行，那么系统只能处理一级数据分级，所有的用户都必须具有这一访问级，才能使用系统。

·分段的(compartmented)和多级的(multilevel)安全模式让系统能够处理划入不同分类级别上的数据。

·可信（trust)意味着系统正确地使用其全部保护机制来为许多类型的用户处理敏感数据。保险(assurance)是你在这种信任关系中具有的信心水平，以及保护机制在所有环境中都能持续正确运行。

·在不同评测标准下，较低的评定级别评审的是系统性能及其测试结果，而较高的评定级别不但考察这一信息，而且还有系统设计、开发过程以及建档工作。

·橘皮书(orange Book)也称为可信计算机系统评测标准(TCSEC)，制定该标准是为了评测主要供军用的系统。

·在橘皮书中，D组表示系统提供了最小的安全性，它用于被评测，但不能满足更高类别标准的系统。

·在橘皮书中，C组涉及自主保护(须知)，B组涉及强制保护(安全标签）。

·在橘皮书中，A组意味着系统的设计和保护水平是能够验证核实的，它提供了最高水平的安全性和可信度。

·在橘皮书中，C2级要求客体重用保护和审计。

·在橘皮书中，B1级是要求有安全标签的第一个级别。

·在橘皮书中，B2级要求所有的主体和设备具有安全标签，必须有可信通路(trusted path)和隐蔽通道(covert channel)分析，而且要提供单独的系统管理功能。

·在橘皮书中，B3级要求发送安全通知，要定义安全管理员的角色，系统必须能在不威胁到系统安全的情况下恢复。

·在橘皮书中，C1描述基于个人和（或)组的访问控制。它需要区分用户和信息并依赖实体的标识和认证。

·橘皮书主要涉及到操作系统，所以还编写了一系列书籍，涵盖了安全领域内的其他方面；这些书籍称为彩虹系列(Rainbow Series)。

·红皮书(Red Book），即可信网络解释(Trusted Network Interpretation, TNI),为网络和网络部件提供了指导。

·信息技术安全评测标准(ITSEC)显示出欧洲国家在试图开发和使用一套而不是几套评