信息安全安全架构与设计

安全架构和设计

SecurityArchitectureandDesign关键知识领域A.理解安全模型的基本概念（如保密性、完整性与多层次模型）B.理解信息系统安全评估模型的组成B.1产品评估模型（如通用准则）B.2工业与国际安全实施准则（如PIC-DSS、ISO）C.理解信息系统的安全功能（如内存保护、虚拟技术、可信平台模块）D.理解安全架构的漏洞D.1系统（如隐蔽通道、状态攻击、电子发射）D.2技术与流程的整合（如单点故障、面向服务的架构）E.理解软件与系统的漏洞与威胁E.1基于Web（如XML、SAML、OWASP）E.2基于客户端（如小程序）E.3基于服务器（如数据流量控制）E.4数据库安全（如推断、聚合、数据挖掘、数据仓库）E.5分布式系统（如云计算、网格计算、对等网络）F.理解对抗原理（如深度防御）目录计算机安全系统架构计算机系统结构操作系统架构系统安全体系结构安全模型操作安全模式系统评价方法橘皮书和彩虹系列信息技术安全评估标准通用标准认证与认可开放与封闭系统一些威胁的评估计算机安全（ComputerSecurity）可用性：防止丢失或访问，数据和资源流失Availability:Preventionoflossof,orlossofaccessto,dataandresources完整性：防止数据和资源的未经授权的修改Integrity:Preventionofunauthorizedmodificationofdataandresources保密性：防止未授权披露的数据和资源Confidentiality:Preventionofunauthorizeddisclosureofdataandresources系统架构（SystemArchitecture）架构（Architecture）：体现在其组成部分，它们彼此之间以及与环境的关系，和指导原则其设计和演进的系统的基本组织。架构描述（Architecturaldescription，AD）：以正式的方式表述一个架构的文档集合。利益相关者（Stakeholder）：对于系统有利益关系或关注系统的个人、团队、组织（或集体）视图（View）：从相关的一组关注点透视出的整个系统的表述视角（Viewpoint）：关于建设和使用视图的惯例性说明，也是通过明确视图建立目的、读者，确立视图与分析技巧后开发单个视图的模板。正式的架构术语和关系计算机系统结构（ComputerArchitecture）计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能，包括操作系统，存储芯片，逻辑电路，存储设备，输入和输出设备，安全组件，总线和网络接口。中央处理器（TheCentralProcessingUnit）多重处理（Multiprocessing）操作系统组件（OperatingSystemComponents）中央处理器（TheCentralProcessingUnit，CPU）计算机的大脑。对CPU最常见的描述可能是：它从存储器中提取指令并加以执行。控制单元算术逻辑单元寄存器数据高速缓存器解码单元预取单元指令高速缓存器总线单元（主存储器）中央处理器（TheCentralProcessingUnit，CPU）中央处理单元是计算机硬件的核心，主要任务是执行各种命令，完成各种运算和控制功能，是计算机的心脏，决定着系统的类型、性能和速度，CPU中包含：(1)算术逻辑运算单元ALU(ArithmeticLogicUnit)：主要负责数据的计算或处理。(2)控制单元(Controlunit)：控制数据流向，例如数据或指令进出CPU；并控制ALU的动作。(3)寄存器/缓存器(Registers)：负责储存数据，以利CPU快速地存取。累加器(Accumulator)程序记数器(ProgramCounter)内存地址寄存器(MemoryAddressRegister)内存数据寄存器(MemoryBufferRegister)指令寄存器(InstructionRegister)(4)连结路径(interconnectionpath)：负责连接CPU内部的组件，以利数据或控制讯号在不同组件间流传。CPU运行状态运行状态：Run/operatingstate执行指令解题状态：Application/Problemstate执行应用程序仅执行非特权(nonprivilegedinstructions)指令管理程序状态：Supervisorstate特权模式下执行程序可以访问整个系统，同时执行特权(Privilegedinstructions)和非特权指令等待状态：Waitstate等待特定事件完成多重处处理（（Multiprocessing）对称模模式多多重处处理（（Symmetricmodemultiprocessing）计算机机有两两个或或者多多个CPU且每个个CPU都使用用加载载均衡衡方式式非对称称模式式多重重处理理（Asymmetricmodemultiprocessing）计算机机有两两个或或者多多个CPU，且有有一个个CPU仅专门门处理理一个个特定定程序序，而而其他他CPU执行通通用的的处理理程序序关键概概念中央处处理单单元CPU，算术术逻辑辑单元元ALU，寄存存器，，控制制单元元通用寄寄存器器（Generalregisters）：CPU在执行行指令令过程程中使使用的的临时时存储储位置置。特殊寄寄存器器（Specialregisters）：保存关关键处理参数的临时存存储位位置。。保存诸诸如程序计计数器器，堆堆栈指指针，，程序序状态态字（PSW）。程序计计数器器（Programcounter）：为为CPU所要执执行的的指令令保存存存储储器地地址栈（Stack）：进进程用用来彼彼此传传输指指令和和数据据的存存储器器分段段程序状状态字字（Programstatusword）：向CPU表明需需要用用什么么状态态（内内核模模式还还是用用户模模式））运行行的条条件变变量关键概概念用户模模式（（问题题状态态）（Usermode(problemstate)）：CPU在执行行不太太可信信的进进程指指令时时所用用的保保护模模式内核模模式（（监管管状态态、特特权模模式））（Kernelmode(supervisorystate,privilegemode)）：CPU在执行行较为为可信信的进进程指指令时时所用用的工工作状状态，，进程程在内内核模模式下下比在在用户户模式式下可可以访访问更更多的的计算算机资资源地址总总线（Addressbus）：处处理组组件和和存储储器段段之间间的物物理连连接，，用来来传输输处理理过程程中所所拥到到的物物理存存储器器地址址数据总总线（Databus）：处处理组组件和和存储储器段段之间间的物物理连连接，，用来来传输输处理理过程程中所所用到到的数数据。。对称模模式多多重处处理，，不对对称模模式多多重处处理操作系系统组组件（（OperatingSystemComponents）进程管管理（（ProcessManagement）线程管管理（（ThreadManagement）进程调调度（（ProcessScheduling）进程活活动（（ProcessActivity）进程管管理（（ProcessManagement）进程管管理：：操作系系统的的职能能之一一，主主要是是对处处理机机进行行管理理。为为了提提高CPU的利用用率而而采用用多道道程序序技术术。通通过进进程管管理来来协调调多道道程序序之间间的关关系，，使CPU得到充充分的的利用用。进程：：Process一个独独立运运行的的程序序，有有自己己的地地址空空间,是是程序序运行行的动动态过过程只能有有限地地与其其它进进程通通信，，由OS负负责处处理进进程间间的通通信进程程是是程程序序运运行行的的一一个个实实例例，，是是运运行行着着的的程程序序关键键概概念念多程程序序设设计计(MultiProgramming)一个个处处理理器器允允许许多多处处程程序序的的将将交交叉叉运运行行,即即两两个个或或两两个个以以上上程程序序在在计计算算机机系系统统中中同同处处于于开开始始个个结结束束之之间间的的状状态态：：多多道道、、宏宏观观上上并并行行、、微微观观上上串串行行解决决主主机机和和外外转转设设备备速速度度不不匹匹配配问问题题，，为为提提高高CPU的的利利用用率率。。通通过过进进程程管管理理，，协协调调多多道道程程序序之之间间的的CPU分分配配调调度度、、冲冲突突处处理理及及资资源源回回收收等等关关系系。。对象象重重用用问问题题,TOC/TOU多任任务务（MultiTasking）单个个处处理理器器对对两两个个或或两两个个以以上上的的任任务务并并行行执执行行、、交交叉叉执执行行实时时多多任任务务(Realtime)、、抢抢占占式式多多任任务务(Preemptive)、、协协作作式式多多任任务务(Cooperative)。协协调调式式多多任任务务各各个个进进程程控控制制释释放放CPU时间间，，抢抢占占式式多多任任务务主主要要由由操操作作系系统统控控制制时时间间关键键概概念念进程程表表PCB：包包含含CPU所需需的的进进程程状状态态数数据据中断断（Interrupts）：：分配配给给计计算算机机部部件件（（硬硬件件和和软软件件））的的值值，，以以对计算算机机资资源源进行行有有效效的的时间间分片。。可屏屏蔽蔽中中断断（Maskableinterrupt）：：分配配给给非非关关键键操操作作系系统统活活动动中中断断值值。。不可可屏屏蔽蔽中中断断（Nonmaskableinterrupt）：：分配配给给关关键键操操作作系系统统活活动动中中断断值值，如如复复位位键键线程程管管理理（（ThreadManagement）线程程（Thread）：：是为为了了节节省省资资源源而而可可以以在在同同一一个个进进程程中中共共享享资资源源的的一一个个执执行行单单位位。。多线线程程（（Multithreading）：：通通过过生生成成不不同同指指令令集集（（线线程程））同同时时执执行行多多个个活活动动的的应应用用程程序序进程程调调度度（（ProcessScheduling）无论论是是在在批批处处理理系系统统还还是是分分时时系系统统中中，，用用户户进进程程数数一一般般都都多多于于处处理理机机数数、、这这将将导导致致它它们们互互相相争争夺夺处处理理机机。。另另外外，，系系统统进进程程也也同同样样需需要要使使用用处处理理机机。。这这就就要要求求进进程程调调度度程程序序按按一一定定的的策策略略，，动动态态地地把把处处理理机机分分配配给给处处于于就就绪绪队队列列中中的的某某一一个个进进程程，，以以使使之之执执行行。。软件件死死锁锁（（Softwaredeadlock）：：两个个进程都都在在等等待待系系统统资资源源被被释释放放额导导致致不能能完完成成他他们们的的活活动动的情情况况。进程程活活动动早期期操操作作系系统统中中，，一一个个进进程程挂挂起起，，其其它它所所有有程程序序也也会会挂挂起起进程程隔隔离离：：对对象象封封装装，，共共享享资资源源时时分分复复用用，，命命名名区区分分，，虚虚拟拟映映射射关键键概概念念进程程多程序序设设计计：：操操作作系系统统交交叉叉执执行行不不止止一一个个进进程程多任任务务处处理理：：操操作作系系统统同同时时执执行行不不止止一一个个任任务务协调调式多多任任务务抢占占式多多任任务务进程程状状态态：：就就绪绪，，运运行行，，阻阻塞塞中断断，，可可屏屏蔽蔽中中断断线程程，，多多线线程程软件件死死锁锁存储储器器管管理理管理理目目标标为编编程程人人员员提提供供一一个个抽抽象象层层通过过有有限限的的可可用用存存储储器器提提供供最最高高性性能能保护护操操作作系系统统与与加加载载入入存存储储器器的的应应用用程程序序存储储器器管管理理器器五五项项基基本本功功能能重新新部部署署根据据需需要要，，在在RAM和硬硬盘盘之之间间交交换换内内容容保护护限制制进进程程只只与与分分配配给给它它们们的的存存储储器器段段交交互互，为存存储储器器段段提提供供访访问问控控制制共享享当进进程程需需要要使使用用相相同同的的共共享享存存储储器器段段时时，，使使用用复复杂杂的的控控制制来来确确保保完完整整性性和和机机密密性性逻辑辑组组织织允许许共共享享特特定定的的软软件件模模块块物理理组组织织为应应用用程程序序和和操操作作系系统统进进程程划划分分物物理理存存储储器器空空间间存储储器器类类型型随机机存存取取存存储储器器（（Randomaccessmemory，RAM）可随随时时写写入入或或读读出出数数据据用于操作作系统和和应用所所执行的的读写活活动，即即通常所所说的内内存寄存器，，RegisterCache动态随机机储存内内存(DynamicRAM,DRAM)静态随机机储存内内存(StaticRAM，SRAM)：面积更更大，造造价更高高，速度度更快由CPU直接存存取关闭电源源存放在在DRAM、寄寄存器、、Cache的的内容消消失，不不可永久久保存资资料抖动：读读取数据据所花时时间超过过处理数数据的时时间存储器类类型只读存储储器（Readonlymemory，ROM）只能读不不能写关闭电源源内容不不消失，，可永久久保存数数据。而而使用SRAM进行存存储，需需要有电电池等设设备。种类：PROM(programmableROM)：数数据或程程序可依依使用者者的需求求来烧录录，程序序或数据据一经烧烧录便无无法更改改。EPROM(erasablePROM)：：可擦拭拭可程序序规划的的ROM，旧有有的数据据或程序序可利用用紫外线线的照射射来加以以消除，，使用者者可以重重复使用用该颗EPROM，来来烧录不不同程序序的程序序或数据据。EEPROM(electricallyerasePROM)：电电子式可可擦拭可可程序规规划的ROM。。MASKROM：屏屏蔽式，，数据由由制造厂厂商在内内存制造造过程时时写入。。存储器类类型高速缓存存（CacheMemory）为了缓和和CPU与主存存储器之之间速度度的矛盾盾，在CPU和和主存储储器之间间设置一一个缓冲冲性的高高速存储储部件，，它的工工作速度度接近CPU的的工作速速度，但但其存储储容量比比主存储储器小得得多。高速缓存存分为两两种，一一种是内内建在CPU中中的L1快取，，另一种种则是在在CPU之外，，称为L2快取取。高速缓存存愈大，，对计算算机执行行效率的的帮助愈愈大。速度最快快、最贵贵存储器映映射（MemoryMapping）：逻辑辑地址引引导到特特定的物物理地址址缓冲区溢溢出（BufferOverflows）缓冲区溢溢出攻击击利用编编写不够够严谨的的程序，，通过向向程序的的缓存区区写入超超过预定定长度的的数据，，造成缓缓存的溢溢出，从从而破坏坏程序的的堆栈，，导致程程序执行行流程的的改变。。ALSR：地址空空间随机机布局化化DEP：数据执执行保护护存储器泄泄露（MemoryLeaks）开发正确确释放存存储器的的更完善善的代码码使用垃圾圾收集器器（garbagecollector）虚拟存储储器（VirtualMemory）通过使用用二级存存储器(部分硬硬盘空间间)来扩扩展内存存(RAM)的的容量，，对未被被执行的的程序页页进行处处理虚拟存储储器属于于操作系系统中存存储管理理的内容容，因此此，其大大部分功功能由软软件实现现。虚拟存储储器是一一个逻辑辑模型，，并不是是一个实实际的物物理存储储器。虚拟存储储器的作作用：分分隔地址址空间；；解决主主存的容容量问题题；程序序的重定定位虚拟存储储器不仅仅解决了了存储容容量和存存取速度度之间的的矛盾，，而且也也是管理理存储设设备的有有效方法法。有了了虚拟存存储器，，用户无无需考虑虑所编程程序在主主存中是是否放得得下或放放在什么么位置等等问题。。关键概念念进程隔离离动态链接接库基础寄存器（（起始地地址），，限制寄寄存器（（终止地地址）RAMROM高速缓冲冲存储器器绝对地址址，逻辑辑地址缓冲区溢溢出，ASLR，DEP垃圾收集集器，虚虚拟存储储器输入输出出设备管管理输入是把把信息送送入计算算机系统统的过程程，输出出是从计计算机系系统送出出信息的的过程，，用户通通过输入入/输出出设备与与计算机机系统互互相通信信。常用输入入设备：：键盘、、鼠标器器、扫描描仪常用输出出设备：：显示器器、打印印机、绘绘图仪输出/输输入接口口数据要从从计算机机内部输输出时，，它会将将内部的的表示法法转成外外围设备备看得懂懂的表示示法以利利输出。。反之，，若要从从外围设设备传数数据到计计算机内内部，它它也会将将外界的的数据格格式转成成计算机机内部看看得懂的的表示法法。检验数据据的完整整性I/O技术可编程ProgrammedI/O速度慢中断驱动动Interrupt-drivenI/O由外部发发出请求求，请求求CPU中断或或结束正正常程序序运行处理中断断导致时时间消耗耗DMAI/OusingDMA是一种完完全由硬硬件执行行I/O交换的的工作方方式。速速度快映射前PremappedI/OI/O取得足够够信任，，IIO与存储器器直接交交互数据据全映射FullymappedI/O不完全信信任I/O，IO设备只与与逻辑地地址直接接交互CPU架构保护环ProtectionRing一组同心心的编号号环环数决定定可以访访问的层层次，越越低的环环数表示示越高的的特权程序假定定执行环环数的位位置程序不可可以直接接访问比比自身高高的层次次，如需需访问，，系统调调用(systemcall)一般使用用4个保保护环：：Ring1操操作系系统安全全核心Ring2其其他操操作系统统功能––设设图示控控制器Ring3系系统应应用程序序，数据据库功能能等Ring4应应用程程序空间间操作系统统架构（（OperatingSystemArchitectures）单块操作作系统架架构分层操作作系统架架构操作系统统架构单片（Monolithic）所有操作作系统进进程在内内核模式式下运行行。分层（Layered）所有操作作系统进进程在内内核模式式下的分分层模型型上运行行。内核过大大微内核（Microkernel）核心操作作系统进进程运行行在内核核模式，其余运运行在用户模式式。内核过小小混合微内内核（Hybridmicrokernel）所有操作作系统进进程在内内核模式式下运行行。核心心进程运行在微内核，其他运行在客户端\服务器器模式。。分层操作作系统微内核操操作系统统Windows混合微内内核架构构主要的操操作系统统内核架架构虚拟机虚拟机优优势多个服务务器整合合遗留应用用程序运运行运行不可可信程序序，提供供安全的的隔离的的沙箱模仿独立计算机机网络多个系统，多种种硬件适合合强大的调试试和性能监监控超强隔离能力力备份、恢复复、迁移更更简单系统安全体体系结构（（SystemSecurityArchitecture）安全策略（（SecurityPolicy）安全架构要要求（SecurityArchitectureRequirements）安全策略（（SecurityPolicy）指导性纲领领，为系统统整体和构构成它的组组件从安全全角度提出出根本的目目标，是战战略工具。。安全策略略是一个系系统的基础础规范，使使系统集成成后评估它它的基准。。安全架构要要求（SecurityArchitectureRequirements）可信计算基基（TrustedComputingBase）安全边界（（SecurityPerimeter）引用监视器器（ReferenceMonitor，RM）安全内核（（SecurityKernel）可信计算基基（TrustedComputingBase）TCB是计计算机系统统内保护机机制的总体体,包括括硬件、固固体、软件件和负责执执行安全策策略的组合合体。TCB由一一系列的部部件构成，，在产品或或系统中执执行统一的的安全策略略。TCB的三三个要求TCB必须须保证其自自身在一个个域中的执执行，防止止被外界干干扰或破坏坏TCB所控控制的资源源必须是已已经定义的的主体或客客体的子集集TCB必须须隔离被保保护的资源源，以便进进行访问控控制和审计计TCB维护护每个域的的保密性和和完整性，，监视4个个基本功能能进程激活：：Processactivation执行域的切切换：Executiondomainswitching内存保护：：MemoryprotectionI/O操作作：I/Ooperation引用监视器器（ReferenceMonitor，RM）RM是一个个抽象机的的访问控制制概念，基基于访问控控制数据库库协调所有有主体对客客体的访问问RM的任务务根据访问控控制数据库库，对主体体对客体的的访问请求求做出是否否允许的裁裁决，并将将该请求记记录到审计计数据库中中。注意：：基准监视视器有动态态维护访问问控制数据据库的能力力。RM的特性性：执行主体到到对象所有有访问的抽抽象机必须执行所所有访问，，能够在修修改中被保保护，能够够恢复正常常，并且总总是被调用用。处理所有主主体到客体体访问的抽抽象机安全内核（（SecurityKernel）安全内核是是TCB中中执行引用用监视器概概念的硬件件、固件和和软件元素素理论基础：：在一个大大的操作系系统中，只只将相对比比较小的一一部分软件件负责实施施系统安全全，并将实实施安全的的这部分软软件隔离在在一个可信信的安全核核，这个核核就称为安安全核。需要满足三三个原则完备性：协协调所有的的访问控制制隔离性：受受保护，不不允许被修修改可验证性：：被验证是是正确的安全核技术术是早期构构建安全操操作系统最最为常用的的技术，几几乎可以说说是唯一能能够实用的的技术。引用监视器器RM是概概念，抽象象的机器，，协调所有有主体对对对象间的访访问；安全全内核是硬硬件，是TCB中执执行RM的的部分，TCB中除除安全内核核外还有其其它安全机机制关键概念虚拟化Hypervisor:用来管理模模拟环境中中的虚拟机机的中央程程序安全策略可信计算基可信路径：进程程之间用来来通信的，，不能被绕绕过的可信信软件通道道安全边界引用监视器器安全内核多级安全策略安全模型（（SecurityModels）状态机模型型（StateMachineModels）Bell-LaPadula模型Biba模型Clark-Wilson模模型信息流模型型（InformationFlowModel）非干涉模型型（NoninterferenceModel）格子模型（（LatticeModel）BrewerandNash模型Graham-Denning模型Harrison-Ruzzo-Ullman（HRU）模型安全策略与与安全模型型安全策略勾勾勒出目标标，宽泛、、模糊而抽抽象，安全全模型提供供了实现这这些目标应应该做什么么，不应该该做什么，，具有实践践指导意义义，给出了了策略的形形式状态机模型型（StateMachineModels）状态机模型型描述了一一种无论处处于何种状状态都是安安全的系统统一个状态（（State）是处处于特定时时刻系统的的一个快照照，如果该该状态所有有方面都满满足安全策策略的要求求，就称之之为安全的的Statetransition：：状状态态转转换换，，许多多活活动动可可能能会会改改变变系系统统状状态态，，成成为为状状态态迁迁移移（（Statetransition）），，迁迁移移总总是是导导致致新新的的状状态态的的出出现现如果果所所有有的的行行为为都都在在系系统统中中允允许许并并且且不不危危及及系系统统使使之之处处于于不不安安全全状状态态，，则则系系统统执执行行一一个个————安安全全状状态态机机模模型型：：securestatemodel。。一个个安安全全的的状状态态机机模模型型系系统统，，总总是是从从一一个个安安全全状状态态启启动动，，并并且且在在所所有有迁迁移移当当中中保保持持安安全全状状态态，，只只允允许许主主体体以以和和安安全全策策略略相相一一致致的的安安全全方方式式来来访访问问资资源源安全全的的状状态态机机模模型型是是其其他他安安全全模模型型的的基基础础状态态机机模模型型（（StateMachineModels）Bell-LaPadula模模型型1973年年，，DavidBell和和LenLaPadula提提出出了了第第一一个个正正式式的的安安全全模模型型，，该该模模型型基基于于强强制制访访问问控控制制系系统统，，以以敏敏感感度度来来划划分分资资源源的的安安全全级级别别。。将将数数据据划划分分为为多多安安全全级级别别与与敏敏感感度度的的系系统统称称之之为为多多级级安安全全系系统统为美美国国国国防防部部多多级级安安全全策策略略形形式式化化而而开开发发Bell-LaPadula保保密密性性模模型型是是第第一一个个能能够够提提供供分分级级别别数数据据机机密密性性保保障障的的安安全全策策略略模模型型(多多级级安安全全)。。特点点：：信息息流流安安全全模模型型只对对机机密密性性进进行行处处理理运用用状状态态机机模模型型和和状状态态转转换换的的概概念念基于于政政府府信信息息分分级级————无无密密级级、、敏敏感感但但无无密密级级、、机机密密、、秘秘密密、、绝绝密密“Needtoknow””————谁谁需需要要知知道道？？开始始于于安安全全状状态态，，在在多多个个安安全全状状态态中中转转换换(初初始始状状态态必必须须安安全全，，转转变变结结果果才才在在安安全全状状态态)Bell-LaPadula模模型型安安全全规规则则简单单安安全全规规则则ss(SimpleSecurityProperty)安全全级级别别低低的的主主体体不不能能读读安安全全级级别别高高的的客客体体信信息息(NoReadUp)星规则*The*(star)securityProperty安全级别高的的主体不能往往低级别的客客体写(NowriteDown)强星规则Strong*property不允许对另一一级别进行读读取自主安全规则则ds(DiscretionarysecurityProperty)使用访问控制制矩阵来定义义说明自由存存取控制内容相关ContentDependent上下文相关ContextDependentBLP模型的的缺陷不能防止隐蔽蔽通道(covertchannels)不针对使用文文件共享和服服务器的现代代信息系统没有明确定义义何谓安全状状态转移(securestatetransition)基于多级安全全保护(multilevelsecurity)而未未针对其他策策略类型不涉及访问控控制管理不保护完整性性和可用性Biba模型完整性的三个个目标：保护护数据不被未未授权用户更更改；保护数数据不被授权权用户越权修修改(未授权权更改)；维维持数据内部部和外部的一一致性1977作为为Bell-Lapadula的完完整性补充而而提出,用用于非军事行行业Biba基于于一种层次化化的完整性级级别格子(hierarchicallatticeofintegritylevels)，是一种信信息流安全模模型。特点：基于小于或等等于关系的偏偏序的格最小上限(上上确界)，leastupperbound(LUB)最大下限(下下确界)，greatestlowerbound(GLB)Lattice=(IC,<=,LUB,GUB)数据和用户分分级强制访问控制制Biba模型安全规则则*完整性公理：：主题不能向向位于较高完完整性级别的的客体写数据据，不能向上上写简单完整性公理：：主题不能从从较低完整性性级别读取数数据，不能向向下读调用属性：主体不不能请求完整整性级别更高高的主体服务务信息来源，可可信数据Clark-Wilson模型在1987年年被提出的经常应用在银银行应用中以以保证数据完完整性实现基于成形形的事务处理理机制要求完整性标标记定义：受限数据条目目ConstrainedDataItem(CDI)完整性检查程程序IntegrityVerificationProcedure(IVP)转换程序TransformationProcedure(TP)自由数据条目目UnconstrainedDataItemClark-Wilson需要integritylabel用于于确定一个数数据项的完整整级别，并在在TP后验证证其完整性是是否维持，采采用了实现内内/外一致性性的机制，separationofduty,mandatoryintegritypolicyClark-Wilson模型完整性的模型型没有像Biba那样使用用lattice结构，，而是使用Subject/Program/Object这样的三三方关系（triple），Subject并并不能直接访访问Object，只能能通过Program来来访问两个原则：well-formedtransactions：采采用了program的的形式，主体体只能通过program访问客体体，每个恰当当设计的program都有特定的的限制规则，，这就有效限限制了主体的的能力separationofduties：：将关键功能能分成两个或或多个部分，，必须由不同同的主体去完完成各个部分分，可防止已已授权用户进进行未授权的的修改要求具有审计计能力（Auditing）Clark-Wilsonmodel也被称称作restrictedinterfacemodel该模型考虑到到了完整性的的3个目标，，而Biba模型只考虑虑了第一个：防止未授权权用户更改；；防止授权用用户的不正确确更改（职责责分离），维护内部和和外部的一致致性信息流模型（（InformationFlowModel）基于状态机，，由对象、状状态转换以及及格(流策略略)状态组成成,对象可以以是用户，每每个对象都被被分配一个安安全等级和值值Bell-LaPadula和Biba模型都都是信息流模模型，前者要要防止信息从从高安全等级级流向低安全全等级，后者者要防止信息息从低安全等等级流向高安安全等级信息流模型并并不是只处理理信息流向，，也可以处理理流类型信息流模型用用于防止未授授权的、不安安全的或者受受到限制的信信息流，信息息流可以是同同一级别主体体与客体之间间的，也可以以是不同级别别间的信息流模型允允许所有授权权信息流，无无论是否在同同一级别;信信息流流模型防止所所有未授权的的信息流，无无论是否在同同一级别信息被限制在在策略允许的的方向流动隐蔽信道（CovertChannels）隐蔽通道是一一种让一个实实体以未授权权方式接收信信息。条件在产品开发过程中不当监督在软件中实施施不当的访问问控制两个实体之间未适当地控制制共享资源隐蔽通道有两两种类型：存储：存储隐蔽通道道，进程能够通过系系统的一些类类型的存储空空间通信。（木马）通过创建文件件。计时一个进程通过过调整其使用用系统资源的的信息转发到到另一个进程中继续传传送数据。非干涉模型（（NoninterferenceModel）基于信息流模模型非干涉模型并并不关心信息息流，而是关关心影响系统统状态或者其其他主体活动动的某个主体体的活动确保在较高安安全级别发生生的任何活动动不会影响，，或者干涉在在较低安全级级别发生的活活动。如果在在较高安全级级内的一个实实体执行一项项操作，那么么它不能改变变在较低安全全级内实体的的状态如果一个处于于较低安全级级的实体感受受到了由处于于较高安全级级内的一个实实体所引发的的某种活动，，那么该实体体可能能够推推断出较高级级别的信息，，引发信息泄泄漏基本原理为，，一组用户(A)使用命命令(C)，，不被用户组组(B)(使使用命令D)干扰，可以以表达成A,C:|B,D，，同样，使用用命令C的组组A的行为不不能被使用命命令D的组B看到格子模型（LatticeModel）Lattice模型通通过划分安全全边界对BLP模型进行行了扩充，它它将用户和资资源进行分类类，并允许它它们之间交换换信息，这是是多边安全体体系的基础。。多边安全的焦焦点是在不同同的安全集束束（部门，组组织等）间控控制信息的流流动，而不仅仅是垂直检验验其敏感级别别。建立多边安全全的基础是为为分属不同安安全集束的主主体划分安全全等级，同样样在不同安全全集束中的客客体也必须进进行安全等级级划分，一个个主体可同时时从属于多个个安全集束，，而一个客体体仅能位于一一个安全集束束。在执行访问控控制功能时，，lattice模型本本质上同BLP模型是相相同的，而lattice模型更注注重形成"安安全集束"。。BLP模型型中的"上读读下写"原则则在此仍然适适用，但前提提条件必须是是各对象位于于相同的安全全集束中。主主体和客体位位于不同的安安全集束时不不具有可比性性，因此在它它们中没有信信息可以流通通。BrewerandNashModelBrewandNash:ChineseWallChineseWall模型是应应用在多边安安全系统中的的安全模型（（也就是多个个组织间的访访问控制系统统），应用在在可能存在利利益冲突的组组织中。最初初是为投资银银行设计的，，但也可应用用在其它相似似的场合。ChineseWall安全策略略的基础是客客户访问的信信息不会与目目前他们可支支配的信息产产生冲突。在在投资银行中中，一个银行行会同时拥有有多个互为竞竞争者的客户户，一个银行行家可能为一一个客户工作作，但他可以以访问所有客客户的信息。。因此，应当当制止该银行行家访问其它它客户的数据据。ChineseWall安安全模模型的的两个个主要要属性性：用户必必须选选择一一个他他可以以访问问的区区域用户必必须自自动拒拒绝来来自其其它与与用户户所选选区域域的利利益冲冲突区区域的的访问问这种模模型同同时包包括了了DAC和和MAC的的属性性：银银行家家可以以选择择为谁谁工作作（DAC），，但是是一旦旦选定定，他他就被被只能能为该该客户户工作作（MAC）。。Graham-Denning模型如何安安全地地创建建一个个客体如何安安全地地创建建一个个主体如何安安全地地删除除客体如何安安全地地删除除主体如何安安全地地提供供读访访问权权如何安安全地地提供供准许许接入入权如何安安全地地提供供删除除访问问权限限如何安安全地地提供供转移移访问问权限限Harrison-Ruzzo-Ullman（HRU）模型型主体的的访问问权限限以及及这些些权限限的完完整性性。主体只只能对对客体体执行行一组组有限限的操操作HRU被软件件设计计人员员用来来确保保没有有引入入意外外脆弱弱性，，从而而可以以实现现访问问控制制目标标操作安安全模模式（（SecurityModesofOperation）专用安全模式DedicatedSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“任何用户都能够访问所有数据系统高安全模式SystemHigh-SecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”,所有用户都能访问一些数据分隔安全模式CompartmentedSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”和正式批准,所有用户都能访问一些数据多级安全模式MultilevelSecurityMode访问系统上所有信息的适当许可访问系统上所有信息的正式访问批准访问系统上所有信息的签名NDA访问系统上所有信息的有效”知其所需“根据他们的“知其所需”、许可和正式批准,所有用户都能访问一些数据信任与与保证证TCSEC中，较较低保保证级级别评评定工工作会会考察察系统统的保保护机机制和和测试试结果果，较较高保保证级级别评评定工工作更更多考考查系系统的的设计计、规规范、、开发发过程程、支支持文文档以以及测测试结结果系统评评估方方法（（SystemsEvaluationMethods）ITSEC1991CC1.01996TCSEC1985CTCPEC1993FC1992ISO154081999CC2.01998GB/T183362001CD1997FCD1998GIB26461996GB178591999GB/T183362008ISO154081999橘皮书书（OrangeBook）TrustedComputerSystemEvaluationCriteria（TCSEC），是一一个评评估OS、、应用用的、、系统统的规规范，，评价价不同同系统统的尺尺度，，检查查系统统的功功能性性、有有效性性和保保证程程度，，提供供多种种级别别。1970年年由美美国国国防科科学委委员会会提出出。1985年年公布布。主要为为军用用标准准，延延用至至民用用。TCSEC2000年被被CommonCriteria所所替代代，是是第一一个涉涉及计计算机机系统统的安安全规规范。。TCSEC等级D——最最小保保护(minimalprotection)C——自自主保保护(discretionaryprotection)C1:选选择安安全性保保护，DiscretionarySecurityProtectionC2:受受约束束的访问问保护，，ControlledAccessProtectionB—强强制保保护(mandatoryprotection)B1:标标签式式安全保保护，LabeledSecurityB2:结结构化化保护，，StructureProtectionB3:安安全域域，SecurityDomainA—校校验保保护(verifiedprotection)A1:验验证设设计，VerifiedDesign类别名称主要特征安全要求A验证设计（veritydesign）形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明设计必须从数学角度上经过验证，而且必须进行秘密能道和可信任分布的分析。B3安全域(securitydomain)安全内核，高抗渗透能力用户工作站或终端能过可信任途径连接网络系统B2结构防护（structuredprotection）设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析计算机系统中所有对象都加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。B1标号安全防护（labelsecurityprotection）除了C2级别的安全需求外，增加安全策略模型，数据标号（安全和属性）在不同级别对敏感信息提供更高级的保护，让每个对象都有有一个敏感标签C2受控的访问环境存取控制以用户为单位广泛的审计加入身份认证级别，系统对发生的事件加以审计并写入日志C1选择性安全防护（discretionarysecurityprotection）有选择的存取控制，用户与数据分离，数据的保护以用户组为单位硬件有一定的安全保护（如硬件有带锁装置），用户在使用计算机系统前必须先登录。允许系统管理员为一些程序或数据设立访问许可权限。D最小保护保护措施很小，没有安全功能不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供惟一的字符串来进行访问）橘皮书和和彩虹系系列（TheOrangeBookandtheRainbowSeries）橘皮书（（OrangeBook）专门针对对操作系系统主要着眼眼于安全全的一个个属性（（机密性性）适用于政政府分类类评级数量量较少红皮书（（RedBook）单个系统统的安全全问题解决网络络和网络络组件的的安全评评估问题题，主要要针对独独立局域域网和广广域网系系统涉及通信信完整性性、防止止拒绝服服务、泄泄露保护护信息技术术安全评评估标准准（InformationTechnologySecurity）InformationTechnologySecurityEvaluationCriteria（ITSEC）欧洲多国国安全评评价方法法的综合合产物，，军用，，政府用用和商用用。以超越TCSEC为目目的，将将安全概概念分为为功能与与功能评评估两部部分。首次提出出了信息息安全的的保密性性、完整整性、可可用性的的概念评估对象象TOE(TargetofEvaluation)产品和系系统安全性目目标securitytarget安全增强强机制安全策略略通用标准准（CommonCriteria）定义了作作为评估估信息技技术产品品和系统统安全性性的基础础准则，，全面地地考虑了了与信息息技术安安全性有有关的所所有因素素，与PDR(防护、、检听、、反应)模型和和现代动动态安全全概念相相符合的的，强调调安全的的假设、、威胁的的、安全全策略等等安全需需求的针针对性，，充分突突出保护护轮廓强调把安安全需求求划分为为安全功功能需求求和安全全保证需需求两个个独立的的部分，，根据安安全保证证需求定定义安全全产品的的安全等等级定义了7个评估估保证级级别(EAL)，每一一级均需需评估7个功能能类通用标准准（CommonCriteria）CC（ISO/IEC15408-X）分为三个个部分：：第一部分分：介绍绍和一般般模型———一一般性性概念，，IT安安全评估估的原则则，高级级编写规规范，对对目标受受众的有有用价值值。对消消费者来来说是不不错的背背景介绍绍和参考考。第二部分分：安全全功能需需求———功功能性需需求，组组件，评评估目标标(TargetofEvaluation，TOE)；；对消费费者来说说是不错错的指导导和参考考，可以以用来阐阐述对安安全功能能的需求求。第三部分分：安全全保障———对对TOE的保保障需求求(assurancerequirement)，，对保护护轮廓(ProtectionProfile)和安安全目标标(SecurityTarget)的的评估标标准。指指导消费费者提出出相应的的保障等等级通用标准准概念保护轮廓廓（Protectionprofile，PP）满足特定定用户需需求、与与一类TOE实现无关关的一组组安全要要求。评估对象象（Targetofevaluation，TOE）作为评估估主体的的IT产品及系系统以及及相关的的管理员员和用户户指南文文档。安全目标标（Securitytarget）作为指定定的TOE评估基础础的一组组安全要要求和规规范。安全功能能（Securityfunctionalrequirements）规范IT产品和系系统的安安全行为为，应做做的事安全保证证（Securityassurancerequirements）对功能产产生信心心的方法法包-功能保证证级（Packages—EALs）把功能和保保证要求求封装起来来，以便便今后使使用。这部分分描述必必须得到到满足，，以实现现特定的的EAL等级。。评估标准准间的比比较认证与认认可（Certificationvs.Accreditation）认证,Certification评估技术术和非技技术特征征以确定定设计是是否符合合安全要要求认可,Accreditation认证权威威DAA(DesignatedApprovingAuthority)来自于指指定的认认证权威威的正式式声明，，表明系系统已被被认可在在安全状状态下运运行一些威胁胁的评估估（AFewThreatstoReview）维护钩子（MaintenanceHooks）检验时间间/使用时间间攻击(Time-of-Check/Time-of-UseAttacks，TOC/TOU)维护钩子子（MaintenanceHooks）软件内开开发人员员才知道道和能够够调用的的指令,使他们能能够方便便的访问问代码.对策使用主机机入侵检检测系统统监视通通过后门门进入系系统的供供给者使用文件件系统加加密来保保护敏感感信息实现审计计,以检测任任何类型型的后门门使用