《信息安全安全架構(gòu)與設(shè)計課件》由會員分享，可在線閱讀，更多相關(guān)《信息安全安全架構(gòu)與設(shè)計課件（80頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,,*,安全架構(gòu)和設(shè)計,Security Architecture and Design,安全架構(gòu)和設(shè)計Security Architecture a,關(guān)鍵知識領(lǐng)域,?,?,A.,理解安全模型的基本概念（如保密性、完整性與多,層次模型）,B.,理解信息系統(tǒng)安全評估模型的組成,?,?,B.1,產(chǎn)品評估模型（如通用準(zhǔn)則）,B.2,工業(yè)與國際安全實施準(zhǔn)則（如,PIC-DSS,、,ISO,）,?,?,C.,理解信息系統(tǒng)的安全

2、功能（如內(nèi)存保護、虛擬技術(shù)、,可信平臺模塊）,D.,理解安全架構(gòu)的漏洞,?,?,D.1,系統(tǒng)（如隱蔽通道、狀態(tài)攻擊、電子發(fā)射）,D.2,技術(shù)與流程的整合（如單點故障、面向服務(wù)的架構(gòu)）,E.1,基于,Web,（如,XML,、,SAML,、,OWASP,）,E.2,基于客戶端（如小程序）,?,E.,理解軟件與系統(tǒng)的漏洞與威脅,?,?,關(guān)鍵知識領(lǐng)域??A. 理解安全模型的基本概念（如保密性、完整,目錄,?,?,?,?,?,?,?,?,?,?,?,?,計算機安全,系統(tǒng)架構(gòu),計算機系統(tǒng)結(jié)構(gòu),操作系統(tǒng)架構(gòu),系統(tǒng)安全體系結(jié)構(gòu),安全模型,操作安全模式,系統(tǒng)評價方法,橘皮書和彩虹系列,信息技術(shù)安全評估標(biāo)準(zhǔn),通用

3、標(biāo)準(zhǔn),認證與認可,目錄????????????計算機安全系統(tǒng)架構(gòu)計算機系統(tǒng)結(jié)構(gòu),計算機安全（,Computer Security,）,?,可用性：防止丟失或訪問，數(shù)據(jù)和資源流失,?,Availability: Prevention of loss of, or loss of access to, data and,resources,?,完整性：防止數(shù)據(jù)和資源的未經(jīng)授權(quán)的修改,?,Integrity: Prevention of unauthorized modification of data and,resources,Confidentiality: Prevention of una

4、uthorized disclosure of data and,resources,?,保密性：防止未授權(quán)披露的數(shù)據(jù)和資源,?,計算機安全（Computer Security ）?可用性：,系統(tǒng)架構(gòu)（,System Architecture,）,?,?,?,架構(gòu)（,Architecture,）：體現(xiàn)在其組成部分，它們彼此,之間以及與環(huán)境的關(guān)系，和指導(dǎo)原則其設(shè)計和演進的,系統(tǒng)的基本組織。,架構(gòu)描述（,Architectural description,，,AD,）：以正式,的方式表述一個架構(gòu)的文檔集合。,利益相關(guān)者（,Stakeholder,）：對于系統(tǒng)有利益關(guān)系或關(guān)注,系統(tǒng)的個人、團隊、組織

5、（或集體）,視圖（,View,）：從相關(guān)的一組關(guān)注點透視出的整個系統(tǒng)的,表述,視角（,Viewpoint,）：關(guān)于建設(shè)和使用視圖的慣例性說明，,也是通過明確視圖建立目的、讀者，確立視圖與分析技巧,后開發(fā)單個視圖的模板。,?,?,系統(tǒng)架構(gòu)（System Architecture ）???架,正式的架構(gòu)術(shù)語和關(guān)系,正式的架構(gòu)術(shù)語和關(guān)系,計算機系統(tǒng)結(jié)構(gòu)（,Computer Architecture,）,?,計算機體系結(jié)構(gòu)包括所有用于它的計算機系統(tǒng)的所必,需的部件的功能，包括操作系統(tǒng)，存儲芯片，邏輯電,路，存儲設(shè)備，輸入和輸出設(shè)備，安全組件，總線和,網(wǎng)絡(luò)接口。,?,?,?,中央處理器（,The Cen

6、tral Processing Unit,）,多重處理（,Multiprocessing,）,操作系統(tǒng)組件（,Operating System Components,）,計算機系統(tǒng)結(jié)構(gòu)（Computer Architecture,中央處理器（,The Central Processing Unit,，,CPU,）,?,計算機的大腦。對,CPU,最常見的描述可能是：它從存,儲器中提取指令并加以執(zhí)行。,控制單元,算術(shù)邏輯單元,寄存器,解碼單元,預(yù)取單元,指令高速緩存器,數(shù)據(jù)高速緩存器,總線單元,（主存儲器）,中央處理器（The Central Processing U,中央處理器（,The Cen

7、tral Processing Unit,，,CPU,）,?,中央處理單元是計算機硬件的核心，主要任務(wù)是執(zhí)行,各種命令，完成各種運算和控制功能，是計算機的心,臟，決定著系統(tǒng)的類型、性能和速度，,CPU,中包含：,?,?,?,(1),算術(shù)邏輯運算單元,ALU (Arithmetic Logic Unit),：主要負,責(zé)數(shù)據(jù)的計算或處理。,(2),控制單元,(Control unit),：控制數(shù)據(jù)流向，例如數(shù)據(jù)或指,令進出,CPU,；并控制,ALU,的動作。,(3),寄存器,/,緩存器,(Registers),：負責(zé)儲存數(shù)據(jù)，以利,CPU,快,速地存取。,?,?,?,?,?,累加器,(Accumu

8、lator),程序記數(shù)器,(Program Counter),內(nèi)存地址寄存器,(Memory Address Register),內(nèi)存數(shù)據(jù)寄存器,(Memory Buffer Register),指令寄存器,(Instruction Register),中央處理器（The Central Processing U,CPU,運行狀態(tài),?,?,運行狀態(tài)：,Run/operating state,?,執(zhí)行指令,執(zhí)行應(yīng)用程序,僅執(zhí)行非特權(quán),(nonprivileged instructions),指令,特權(quán)模式下執(zhí)行,程序可以訪問整個系統(tǒng)，同時執(zhí)行特權(quán),( Privileged,instruction

9、s ),和非特權(quán)指令,解題狀態(tài)：,Application/Problem state,?,?,?,管理程序狀態(tài)：,Supervisor state,?,?,?,等待狀態(tài)：,Wait state,?,等待特定事件完成,CPU運行狀態(tài)??運行狀態(tài)：Run/operating st,多重處理（,Multiprocessing,）,?,?,對稱模式多重處理（,Symmetric mode multiprocessing,）,?,計算機有兩個或者多個,CPU,且每個,CPU,都使用加載均衡方式,計算機有兩個或者多個,CPU,，且有一個,CPU,僅專門處理一個特定程序，,而其他,CPU,執(zhí)行通用的處理程序

10、,非對稱模式多重處理（,Asymmetric mode multiprocessing,）,?,多重處理（Multiprocessing）??對稱模式多重處,關(guān)鍵概念,?,?,?,中央處理單元,CPU,，算術(shù)邏輯單元,ALU,，寄存器，控制單元,通用寄存器（,General registers,）：,CPU,在執(zhí)行指令過程中,使用的臨時存儲位置。,特殊寄存器（,Special registers,）：,保存關(guān)鍵處理參數(shù)的,臨時存儲位置。保存諸如程序計數(shù)器，堆棧指針，程,序狀態(tài)字（,PSW,）。,?,?,?,程序計數(shù)器（,Program counter,）：為,CPU,所要執(zhí)行的指令,保存存儲器

11、地址,棧（,Stack,）：進程用來彼此傳輸指令和數(shù)據(jù)的存儲器分,段,程序狀態(tài)字（,Program status word,）：,向,CPU,表明需要,用什么狀態(tài)（內(nèi)核模式還是用戶模式）運行的條件變,量,關(guān)鍵概念???中央處理單元CPU，算術(shù)邏輯單元ALU，寄存器,關(guān)鍵概念,?,?,?,?,?,用戶模式（問題狀態(tài)）（,User mode (problem state),）：,CPU,在執(zhí)行不太可信的進程指令時所用的保護模式,內(nèi)核模式（監(jiān)管狀態(tài)、特權(quán)模式）（,Kernel mode,(supervisory state, privilege mode),）：,CPU,在執(zhí)行較為,可信的進程指令時

12、所用的工作狀態(tài)，進程在內(nèi)核模式,下比在用戶模式下可以訪問更多的計算機資源,地址總線（,Address bus,）：處理組件和存儲器段之間,的物理連接，用來傳輸處理過程中所擁到的物理存儲,器地址,數(shù)據(jù)總線（,Data bus,）：處理組件和存儲器段之間的,物理連接，用來傳輸處理過程中所用到的數(shù)據(jù)。,對稱模式多重處理，不對稱模式多重處理,關(guān)鍵概念?????用戶模式（問題狀態(tài)）（User mode,操作系統(tǒng)組件（,Operating System,Components,）,?,?,?,?,進程管理（,Process Management,）,線程管理（,Thread Management,）,進程調(diào)

13、度（,Process Scheduling,）,進程活動（,Process Activity,）,操作系統(tǒng)組件（Operating System Compon,進程管理（,Process Management,）,?,進程管理：,操作系統(tǒng)的職能之一，主要是對處理機進行管,理。為了提高,CPU,的利用率而采用多道程序技術(shù)。通過進,程管理來協(xié)調(diào)多道程序之間的關(guān)系，使,CPU,得到充分的利,用。,?,進程：,Process,?,?,?,一個獨立運行的程序，有自己的地址空間,,,是程序運行的動,態(tài)過程,只能有限地與其它進程通信，由,OS,負責(zé)處理進程間的通信,進程是程序運行的一個實例，是運行著的程序,

14、進程管理（Process Management）?進程管理：,關(guān)鍵概念,?,多程序設(shè)計,(MultiProgramming),?,?,?,一個處理器允許多處程序的將交叉運行,,,即兩個或兩個以上,程序在計算機系統(tǒng)中同處于開始個結(jié)束之間的狀態(tài)：多道、,宏觀上并行、微觀上串行,解決主機和外轉(zhuǎn)設(shè)備速度不匹配問題，為提高,CPU,的利用,率。通過進程管理，協(xié)調(diào)多道程序之間的,CPU,分配調(diào)度、,沖突處理及資源回收等關(guān)系。,對象重用問題,, TOC/TOU,單個處理器對兩個或兩個以上的任務(wù)并行執(zhí)行、交叉執(zhí)行,實時多任務(wù),(Realtime),、搶占式多任務(wù),(Preemptive),、協(xié)作,式多任務(wù),(

15、Cooperative),。協(xié)調(diào)式多任務(wù)各個進程控制釋放,CPU,時間，搶占式多任務(wù)主要由操作系統(tǒng)控制時間,?,多任務(wù)（,MultiTasking,）,?,?,關(guān)鍵概念?多程序設(shè)計(MultiProgramming)??,關(guān)鍵概念,?,?,進程表,PCB,：包含,CPU,所需的進程狀態(tài)數(shù)據(jù),中斷（,Interrupts,）：,?,?,?,分配給計算機部件（硬件和軟件）的值，以對計算機資源,進行有效的時間分片。,可屏蔽中斷（,Maskable interrupt,）：分配給非關(guān)鍵操作系,統(tǒng)活動中斷值。,不可屏蔽中斷（,Nonmaskable interrupt,）：分配給關(guān)鍵操作,系統(tǒng)活動中斷值

16、，如復(fù)位鍵,關(guān)鍵概念??進程表PCB：包含CPU所需的進程狀態(tài)數(shù)據(jù)中斷（,線程管理（,Thread Management,）,?,?,線程（,Thread,）：是為了節(jié)省資源而可以在同一個進,程中共享資源的一個執(zhí)行單位。,多線程（,Multithreading,）：通過生成不同指令集（線程）,同時執(zhí)行多個活動的應(yīng)用程序,線程管理（Thread Management）??線程（Th,進程調(diào)度（,Process Scheduling,）,?,?,無論是在批處理系統(tǒng)還是分時系統(tǒng)中，用戶進程數(shù)一,般都多于處理機數(shù)、這將導(dǎo)致它們互相爭奪處理機。,另外，系統(tǒng)進程也同樣需要使用處理機。這就要求進,程調(diào)度程序

17、按一定的策略，動態(tài)地把處理機分配給處,于就緒隊列中的某一個進程，以使之執(zhí)行。,軟件死鎖（,Software deadlock,）：,兩個進程都在等待系,統(tǒng)資源被釋放額導(dǎo)致不能完成他們的活動的情況。,進程調(diào)度（Process Scheduling）??無論是在,進程活動,?,?,早期操作系統(tǒng)中，一個進程掛起，其它所有程序也會掛起,進程隔離：對象封裝，共享資源時分復(fù)用，命名區(qū)分，虛,擬映射,進程活動??早期操作系統(tǒng)中，一個進程掛起，其它所有程序也會掛,關(guān)鍵概念,?,?,?,?,?,?,?,?,?,進程,多程序設(shè)計：操作系統(tǒng)交叉執(zhí)行不止一個進程,多任務(wù)處理：操作系統(tǒng)同時執(zhí)行不止一個任務(wù),協(xié)調(diào)式多任務(wù)

18、,搶占式多任務(wù),進程狀態(tài)：就緒，運行，阻塞,中斷，可屏蔽中斷,線程，多線程,軟件死鎖,關(guān)鍵概念?????????進程多程序設(shè)計：操作系統(tǒng)交叉執(zhí)行不,存儲器管理,?,管理目標(biāo),?,?,?,為編程人員提供一個抽象層,通過有限的可用存儲器提供最高性能,保護操作系統(tǒng)與加載入存儲器的應(yīng)用程序,重新部署,?,?,存儲器管理器五項基本功能,?,?,根據(jù)需要，在,RAM,和硬盤之間交換內(nèi)容,限制進程只與分配給它們的存儲器段交互，,為存儲器段提供訪,保護,?,?,問控制,共享,?,當(dāng)進程需要使用相同的共享存儲器段時，使用復(fù)雜的控制來確保,完整性和機密性,?,邏輯組織,存儲器管理?管理目標(biāo)???為編程人員提供一個

19、抽象層通過有限的,存儲器類型,?,隨機存取存儲器（,Random access memory,，,RAM,）,?,?,可隨時寫入或讀出數(shù)據(jù),用于操作系統(tǒng)和應(yīng)用所執(zhí)行的讀寫活動，即通常所說的內(nèi),存,?,?,?,?,?,寄存器，,Register,Cache,動態(tài)隨機儲存內(nèi)存,(Dynamic RAM, DRAM),靜態(tài)隨機儲存內(nèi)存,(Static RAM,，,SRAM),：面積更大，造價更高，,速度更快,由,CPU,直接存取,?,?,關(guān)閉電源存放在,DRAM,、寄存器、,Cache,的內(nèi)容消失，不可,永久保存資料,抖動：讀取數(shù)據(jù)所花時間超過處理數(shù)據(jù)的時間,存儲器類型?隨機存取存儲器（Random

20、 access me,存儲器類型,?,只讀存儲器（,Read only memory,，,ROM,）,?,只能讀不能寫,?,關(guān)閉電源內(nèi)容不消失，可永久保存數(shù)據(jù)。而使用,SRAM,進,行存儲，需要有電池等設(shè)備。,?,種類：,?,?,?,?,PROM( programmable ROM),：數(shù)據(jù)或程序可依使用者的需求來,燒錄，程序或數(shù)據(jù)一經(jīng)燒錄便無法更改。,EPROM( erasable PROM),：可擦拭可程序規(guī)劃的,ROM,，舊有的,數(shù)據(jù)或程序可利用紫外線的照射來加以消除，使用者可以重復(fù)使,用該顆,EPROM,，來燒錄不同程序的程序或數(shù)據(jù)。,EEPROM( electrically eras

21、e PROM),：電子式可擦拭可程序規(guī)劃的,ROM,。,MASK ROM,：屏蔽式，數(shù)據(jù)由制造廠商在內(nèi)存制造過程時寫入。,存儲器類型?只讀存儲器（Read only memory，R,存儲器類型,?,高速緩存（,Cache Memory,）,?,為了緩和,CPU,與主存儲器之間速度的矛盾，在,CPU,和,主存儲器之間設(shè)置一個緩沖性的高速存儲部件，它的,工作速度接近,CPU,的工作速度，但其存儲容量比主存,儲器小得多。,?,高速緩存分為兩種，一種是內(nèi)建在,CPU,中的,L1,快取，,另一種則是在,CPU,之外，稱為,L2,快取。,?,高速緩存愈大，對計算機執(zhí)行效率的幫助愈大。,?,速度最快、最貴

22、,存儲器映射（,Memory Mapping,）：邏輯地址引導(dǎo)到特定,的物理地址,緩沖區(qū)溢出（,Buffer Overflows,）,?,緩沖區(qū)溢出攻擊利用編寫不夠嚴(yán)謹?shù)某绦?，通過向程序的,?,?,存儲器類型?高速緩存（Cache Memory）?為了緩和C,虛擬存儲器（,Virtual Memory,）,?,?,?,?,?,通過使用二級存儲器,(,部分硬盤空間,),來擴展內(nèi)存,(RAM),的容量，對未被執(zhí)行的程序頁進行處理,虛擬存儲器屬于操作系統(tǒng)中存儲管理的內(nèi)容，因此，,其大部分功能由軟件實現(xiàn)。,虛擬存儲器是一個邏輯模型，并不是一個實際的物理,存儲器。,虛擬存儲器的作用：分隔地址空間；解決主

23、存的容量,問題；程序的重定位,虛擬存儲器不僅解決了存儲容量和存取速度之間的矛,盾，而且也是管理存儲設(shè)備的有效方法。有了虛擬存,儲器，用戶無需考慮所編程序在主存中是否放得下或,放在什么位置等問題。,虛擬存儲器（Virtual Memory）?????通過使用,關(guān)鍵概念,?,?,?,?,?,?,?,進程隔離,動態(tài)鏈接庫,基礎(chǔ)寄存器（起始地址），限制寄存器（終止地址）,RAM ROM,高速緩沖存儲器,絕對地址，邏輯地址,緩沖區(qū)溢出，,ASLR,，,DEP,垃圾收集器，虛擬存儲器,關(guān)鍵概念???????進程隔離動態(tài)鏈接庫基礎(chǔ)寄存器（起始地址,輸入輸出設(shè)備管理,?,輸入是把信息送入計算機系統(tǒng)的過程，輸出

24、是從計算,機系統(tǒng)送出信息的過程，用戶通過輸入,/,輸出設(shè)備與計,算機系統(tǒng)互相通信。,?,?,?,常用輸入設(shè)備：鍵盤、鼠標(biāo)器、掃描儀,常用輸出設(shè)備：顯示器、打印機、繪圖儀,輸出,/,輸入接口,?,數(shù)據(jù)要從計算機內(nèi)部輸出時，它會將內(nèi)部的表示法轉(zhuǎn),成外圍設(shè)備看得懂的表示法以利輸出。反之，若要從,外圍設(shè)備傳數(shù)據(jù)到計算機內(nèi)部，它也會將外界的數(shù)據(jù),格式轉(zhuǎn)成計算機內(nèi)部看得懂的表示法。檢驗數(shù)據(jù)的完,整性,輸入輸出設(shè)備管理?輸入是把信息送入計算機系統(tǒng)的過程，輸出是從,I/O,技術(shù),?,?,可編程,Programmed I/O,?,速度慢,由外部發(fā)出請求，請求,CPU,中斷或結(jié)束正常程序運行,處理中斷導(dǎo)致時間消耗

25、,是一種完全由硬件執(zhí)行,I/O,交換的工作方式。速度快,I/O,取得足夠信任，,IIO,與存儲器直接交互數(shù)據(jù),中斷驅(qū)動,Interrupt-driven I/O,?,?,?,DMA I/O using DMA,?,?,?,映射前,Premapped I/O,?,全映射,Fully mapped I/O,?,不完全信任,I/O,，,IO,設(shè)備只與邏輯地址直接交互,I/O技術(shù)??可編程Programmed I/O?速度慢由外,CPU,架構(gòu),?,保護環(huán),Protection Ring,?,?,?,?,?,一組同心的編號環(huán),環(huán)數(shù)決定可以訪問的層次，越低的環(huán)數(shù),表示越高的特權(quán),程序假定執(zhí)行環(huán)數(shù)的位置,程

26、序不可以直接訪問比自身高的層次，,如需訪問，系統(tǒng)調(diào)用,(system call),一般使用,4,個保護環(huán)：,?,?,?,?,Ring 1,操作系統(tǒng)安全核心,Ring 2,其他操作系統(tǒng)功能,–,設(shè)圖示控制器,Ring 3,系統(tǒng)應(yīng)用程序，數(shù)據(jù)庫功能等,Ring 4,應(yīng)用程序空間,CPU架構(gòu)?保護環(huán)Protection Ring?????一,操作系統(tǒng)架構(gòu)（,Operating System,Architectures,）,單塊操作系統(tǒng)架構(gòu),分層操作系統(tǒng)架構(gòu),操作系統(tǒng)架構(gòu)（Operating System Archit,操作系統(tǒng)架構(gòu),?,?,單片（,Monolithic,）,?,所有操作系統(tǒng)進程在內(nèi)核

27、模式下運行。,所有操作系統(tǒng)進程在內(nèi)核模式下的分層模型上運行。內(nèi)核,過大,核心操作系統(tǒng)進程運行在內(nèi)核模式，其余運行在用戶模式。,內(nèi)核過小,所有操作系統(tǒng)進程在內(nèi)核模式下運行。核心進程運行在微,內(nèi)核，其他運行在客戶端,\,服務(wù)器模式。,分層（,Layered,）,?,?,微內(nèi)核（,Microkernel,）,?,?,混合微內(nèi)核（,Hybrid microkernel,）,?,操作系統(tǒng)架構(gòu)??單片（Monolithic ）?所有操作系統(tǒng),分層操作系統(tǒng),分層操作系統(tǒng),微內(nèi)核操作系統(tǒng),微內(nèi)核操作系統(tǒng),Windows,混合微內(nèi)核架構(gòu),Windows混合微內(nèi)核架構(gòu),主要的操作系統(tǒng)內(nèi)核架構(gòu),主要的操作系統(tǒng)內(nèi)核架

28、構(gòu),虛擬機,虛擬機,虛擬機優(yōu)勢,?,?,?,?,?,?,?,?,多個服務(wù)器整合,遺留應(yīng)用程序運行,運行不可信程序，提供安全的隔離的沙箱,模仿獨立計算機網(wǎng)絡(luò),多個系統(tǒng)，多種硬件適合,強大的調(diào)試和性能監(jiān)控,超強隔離能力,備份、恢復(fù)、遷移更簡單,虛擬機優(yōu)勢????????多個服務(wù)器整合遺留應(yīng)用程序運行運行,系統(tǒng)安全體系結(jié)構(gòu)（,System Security,Architecture,）,?,?,安全策略（,Security Policy,）,安全架構(gòu)要求（,Security Architecture Requirements,）,系統(tǒng)安全體系結(jié)構(gòu)（System Security Archi,安全策略

29、（,Security Policy,）,?,指導(dǎo)性綱領(lǐng)，為系統(tǒng)整體和構(gòu)成它的組件從安全角度提出,根本的目標(biāo)，是戰(zhàn)略工具。安全策略是一個系統(tǒng)的基礎(chǔ)規(guī),范，使系統(tǒng)集成后評估它的基準(zhǔn)。,安全策略（Security Policy）?指導(dǎo)性綱領(lǐng)，為系,安全架構(gòu)要求（,Security Architecture,Requirements,）,?,?,?,?,可信計算基（,Trusted Computing Base,）,安全邊界（,Security Perimeter,）,引用監(jiān)視器（,Reference Monitor,，,RM,）,安全內(nèi)核（,Security Kernel,）,安全架構(gòu)要求（Secu

30、rity Architecture R,可信計算基（,Trusted Computing Base,）,?,?,?,TCB,是計算機系統(tǒng)內(nèi)保護機制的總體,,,包括硬件、固體、,軟件和負責(zé)執(zhí)行安全策略的組合體。,TCB,由一系列的部件構(gòu)成，在產(chǎn)品或系統(tǒng)中執(zhí)行統(tǒng)一,的安全策略。,TCB,的三個要求,?,?,?,TCB,必須保證其自身在一個域中的執(zhí)行，防止被外界干擾,或破壞,TCB,所控制的資源必須是已經(jīng)定義的主體或客體的子集,TCB,必須隔離被保護的資源，以便進行訪問控制和審計,?,TCB,維護每個域的保密性和完整性，監(jiān)視,4,個基本功能,?,?,?,進程激活：,Process activatio

31、n,執(zhí)行域的切換：,Execution domain switching,內(nèi)存保護：,Memory protection,可信計算基（Trusted Computing Base）?,引用監(jiān)視器（,Reference Monitor,，,RM,）,?,?,RM,是一個抽象機的訪問控制概念，基于訪問控制數(shù),據(jù)庫協(xié)調(diào)所有主體對客體的訪問,RM,的任務(wù),?,根據(jù)訪問控制數(shù)據(jù)庫，對主體對客體的訪問請求做出是否,允許的裁決，并將該請求記錄到審計數(shù)據(jù)庫中。注意：基,準(zhǔn)監(jiān)視器有動態(tài)維護訪問控制數(shù)據(jù)庫的能力。,?,RM,的特性：,?,?,?,執(zhí)行主體到對象所有訪問的抽象機,必須執(zhí)行所有訪問，能夠在修改中被保護

32、，能夠恢復(fù)正常，,并且總是被調(diào)用。,處理所有主體到客體訪問的抽象機,引用監(jiān)視器（Reference Monitor，RM）??R,安全內(nèi)核（,Security Kernel,）,?,?,?,安全內(nèi)核是,TCB,中執(zhí)行引用監(jiān)視器概念的硬件、固件,和軟件元素,理論基礎(chǔ)：在一個大的操作系統(tǒng)中，只將相對比較小,的一部分軟件負責(zé)實施系統(tǒng)安全，并將實施安全的這,部分軟件隔離在一個可信的安全核，這個核就稱為安,全核。,需要滿足三個原則,?,?,?,完備性：協(xié)調(diào)所有的訪問控制,隔離性：受保護，不允許被修改,可驗證性：被驗證是正確的,?,?,安全核技術(shù)是早期構(gòu)建安全操作系統(tǒng)最為常用的技術(shù)，,幾乎可以說是唯一能夠

33、實用的技術(shù)。,引用監(jiān)視器,RM,是概念，抽象的機器，協(xié)調(diào)所有主體,安全內(nèi)核（Security Kernel）???安全內(nèi)核是T,關(guān)鍵概念,?,?,?,?,?,?,虛擬化,Hypervisor:,用來管理模擬環(huán)境中的虛擬機的中央程序,安全策略,可信計算基,可信路徑：進程之間用來通信的，不能被繞過的可信軟件,通道,安全邊界,引用監(jiān)視器,安全內(nèi)核,多級安全策略,?,?,?,關(guān)鍵概念??????虛擬化Hypervisor:用來管理模擬,安全模型（,Security Models,）,?,狀態(tài)機模型（,State Machine Models,）,?,?,?,?,?,?,?,?,?,Bell-LaPad

34、ula,模型,Biba,模型,Clark-Wilson,模型,信息流模型（,Information Flow Model,）,非干涉模型（,Noninterference Model,）,格子模型（,Lattice Model,）,Brewer and Nash,模型,Graham-Denning,模型,Harrison-Ruzzo-Ullman,（,HRU,）模型,安全模型（Security Models ）?狀態(tài)機模型（S,安全策略與安全模型,?,安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安全模型提供,了實現(xiàn)這些目標(biāo)應(yīng)該做什么，不應(yīng)該做什么，具有實踐指,導(dǎo)意義，給出了策略的形式,安全策略與安全

35、模型?安全策略勾勒出目標(biāo)，寬泛、模糊而抽象，安,狀態(tài)機模型（,State Machine Models,）,?,?,狀態(tài)機模型描述了一種無論處于何種狀態(tài)都是安全的,系統(tǒng),一個狀態(tài)（,State,）是處于特定時刻系統(tǒng)的一個快照，,如果該狀態(tài)所有方面都滿足安全策略的要求，就稱之,為安全的,?,?,?,?,State transition,：狀態(tài)轉(zhuǎn)換，,許多活動可能會改變系統(tǒng)狀態(tài)，成為狀態(tài)遷移（,State,transition,），遷移總是導(dǎo)致新的狀態(tài)的出現(xiàn),如果所有的行為都在系統(tǒng)中允許并且不危及系統(tǒng)使之處于,不安全狀態(tài)，則系統(tǒng)執(zhí)行一個,——,安全狀態(tài)機模型：,secure,state model

36、,。,一個安全的狀態(tài)機模型系統(tǒng)，總是從一個安全狀態(tài)啟動，,并且在所有遷移當(dāng)中保持安全狀態(tài)，只允許主體以和安全,策略相一致的安全方式來訪問資源,狀態(tài)機模型（State Machine Models）??狀,狀態(tài)機模型（,State Machine Models,）,狀態(tài)機模型（State Machine Models）,Bell-LaPadula,模型,?,?,?,?,1973,年，,David Bell,和,Len LaPadula,提出了第一個正式,的安全模型，該模型基于強制訪問控制系統(tǒng)，以敏感,度來劃分資源的安全級別。將數(shù)據(jù)劃分為多安全級別,與敏感度的系統(tǒng)稱之為多級安全系統(tǒng),為美國國防部多

37、級安全策略形式化而開發(fā),Bell-LaPadula,保密性模型是第一個能夠提供分級別數(shù),據(jù)機密性保障的安全策略模型,(,多級安全,),。,特點：,?,?,?,?,信息流安全模型,只對機密性進行處理,運用狀態(tài)機模型和狀態(tài)轉(zhuǎn)換的概念,基于政府信息分級,——,無密級、敏感但無密級、機密、秘,密、絕密,Bell-LaPadula 模型????1973年，Davi,Bell-LaPadula,模型安全規(guī)則,?,簡單安全規(guī)則,ss (Simple Security Property ),?,安全級別低的主體不能讀安全級別高的客體信息,(No Read,Up),?,?,星規(guī)則,* The * (star)

38、 security Property,?,安全級別高的主體不能往低級別的客體寫,(No write Down),不允許對另一級別進行讀取,使用訪問控制矩陣來定義說明自由存取控制,內(nèi)容相關(guān),Content Dependent,上下文相關(guān),Context Dependent,強星規(guī)則,Strong * property,?,?,自主安全規(guī)則,ds (Discretionary security Property ),?,?,?,Bell-LaPadula 模型安全規(guī)則?簡單安全規(guī)則ss,BLP,模型的缺陷,?,?,?,?,?,?,不能防止隱蔽通道,(covert channels),不針對使用文件

39、共享和服務(wù)器的現(xiàn)代信息系統(tǒng),沒有明確定義何謂安全狀態(tài)轉(zhuǎn)移,(secure state,transition),基于多級安全保護,(multilevel security),而未針對其他策,略類型,不涉及訪問控制管理,不保護完整性和可用性,BLP模型的缺陷??????不能防止隱蔽通道(covert,Biba,模型,?,?,?,?,完整性的三個目標(biāo)：保護數(shù)據(jù)不被未授權(quán)用戶更改；,保護數(shù)據(jù)不被授權(quán)用戶越權(quán)修改,(,未授權(quán)更改,),；維持,數(shù)據(jù)內(nèi)部和外部的一致性,1977,作為,Bell-Lapadula,的完整性補充而提出,,,用于非軍,事行業(yè),Biba,基于一種層次化的完整性級別格子,(hiera

40、rchical,lattice of integrity levels),，是一種信息流安全模型。,特點：,?,基于小于或等于關(guān)系的偏序的格,?,?,?,最小上限,(,上確界,),，,least upper bound (LUB),最大下限,(,下確界,),，,greatest lower bound (GLB),Lattice = (IC,<= , LUB, GUB),?,數(shù)據(jù)和用戶分級,Biba模型????完整性的三個目標(biāo)：保護數(shù)據(jù)不被未授權(quán)用戶,Biba,模型安全規(guī)則,?,?,*,完整性公理：主題不能向位于較高完整性級別的客體寫數(shù),據(jù)，不能向上寫,簡單完整性公理：主題不能從較低完整性級別

41、讀取數(shù)據(jù)，,不能向下讀,調(diào)用屬性：主體不能請求完整性級別更高的主體服務(wù),信息來源，可信數(shù)據(jù),?,?,Biba模型安全規(guī)則??*完整性公理：主題不能向位于較高完整,Clark-Wilson,模型,?,在,1987,年被提出的,?,?,?,經(jīng)常應(yīng)用在銀行應(yīng)用中以保證數(shù)據(jù)完整性,實現(xiàn)基于成形的事務(wù)處理機制,要求完整性標(biāo)記,受限數(shù)據(jù)條目,Constrained Data Item (CDI),完整性檢查程序,Integrity Verification Procedure (IVP),轉(zhuǎn)換程序,Transformation Procedure (TP),自由數(shù)據(jù)條目,Unconstrained Dat

42、a Item,?,定義：,?,?,?,?,?,Clark-Wilson,需要,integrity label,用于確定一個數(shù)據(jù)項的,完整級別，并在,TP,后驗證其完整性是否維持，采用了,實現(xiàn)內(nèi),/,外一致性的機制，,separation of duty,,mandatory integrity policy,Clark-Wilson模型?在1987年被提出的???經(jīng)常,Clark-Wilson,模型,?,?,?,完整性的模型,沒有像,Biba,那樣使用,lattice,結(jié)構(gòu)，而是使用,Subject/Program/Object,這樣的三方關(guān)系（,triple,），,Subject,并不能直接

43、訪問,Object,，只能通過,Program,來,訪問,兩個原則：,?,?,well-formed transactions,：采用了,program,的形式，主體只,能通過,program,訪問客體，每個恰當(dāng)設(shè)計的,program,都有特,定的限制規(guī)則，這就有效限制了主體的能力,separation of duties,：將關(guān)鍵功能分成兩個或多個部分，必,須由不同的主體去完成各個部分，可防止已授權(quán)用戶進行,未授權(quán)的修改,?,要求具有審計能力（,Auditing,）,Clark-Wilson模型???完整性的模型沒有像Biba,信息流模型（,Information Flow Model,）,

44、?,?,?,?,?,基于狀態(tài)機，由對象、狀態(tài)轉(zhuǎn)換以及格,(,流策略,),狀態(tài),組成,,,對象可以是用戶，每個對象都被分配一個安全等,級和值,Bell-LaPadula,和,Biba,模型都是信息流模型，前者要防,止信息從高安全等級流向低安全等級，后者要防止信,息從低安全等級流向高安全等級,信息流模型并不是只處理信息流向，也可以處理流類,型,信息流模型用于防止未授權(quán)的、不安全的或者受到限,制的信息流，信息流可以是同一級別主體與客體之間,的，也可以是不同級別間的,信息流模型允許所有授權(quán)信息流，無論是否在同一級,別,;,信息流模型防止所有未授權(quán)的信息流，無論是否,信息流模型（Information

45、Flow Model）?,隱蔽信道（,Covert Channels,）,?,?,隱蔽通道是一種讓一個實體以未授權(quán)方式接收信息。,條件,?,在產(chǎn)品,開發(fā)過程中不當(dāng)監(jiān)督,?,在軟件中實施不當(dāng)?shù)脑L問控制,?,兩個實體之間未適當(dāng)?shù)乜刂乒蚕?資源,?,隱蔽通道有兩種類型：,?,存儲：,?,?,存儲隱蔽通道，進程能夠通過系統(tǒng)的一些類型的存儲空間通信。,（木馬）,通過創(chuàng)建文件。,一個進程通過調(diào)整其使用系統(tǒng)資源的信息轉(zhuǎn)發(fā)到另一個進程中繼,續(xù)傳送數(shù)據(jù)。,?,計時,?,隱蔽信道（Covert Channels）??隱蔽通道是一種,非干涉模型（,Noninterference Model,）,?,?,?,?,?,

46、基于信息流模型,非干涉模型并不關(guān)心信息流，而是關(guān)心影響系統(tǒng)狀態(tài),或者其他主體活動的某個主體的活動,確保在較高安全級別發(fā)生的任何活動不會影響，或者,干涉在較低安全級別發(fā)生的活動。如果在較高安全級,內(nèi)的一個實體執(zhí)行一項操作，那么它不能改變在較低,安全級內(nèi)實體的狀態(tài),如果一個處于較低安全級的實體感受到了由處于較高,安全級內(nèi)的一個實體所引發(fā)的某種活動，那么該實體,可能能夠推斷出較高級別的信息，引發(fā)信息泄漏,基本原理為，一組用戶,(A),使用命令,(C),，不被用戶組,(B)(,使用命令,D),干擾，可以表達成,A, C:| B, D,，同樣，,使用命令,C,的組,A,的行為不能被使用命令,D,的組,B

47、,看到,非干涉模型（Noninterference Model）??,格子模型（,Lattice Model,）,?,?,?,?,Lattice,模型通過劃分安全邊界對,BLP,模型進行了擴充，,它將用戶和資源進行分類，并允許它們之間交換信息，,這是多邊安全體系的基礎(chǔ)。,多邊安全的焦點是在不同的安全集束（部門，組織等）,間控制信息的流動，而不僅是垂直檢驗其敏感級別。,建立多邊安全的基礎(chǔ)是為分屬不同安全集束的主體劃,分安全等級，同樣在不同安全集束中的客體也必須進,行安全等級劃分，一個主體可同時從屬于多個安全集,束，而一個客體僅能位于一個安全集束。,在執(zhí)行訪問控制功能時，,lattice,模型本質(zhì)

48、上同,BLP,模型,是相同的，而,lattice,模型更注重形成,,安全集束,,。,BLP,模型中的,,上讀下寫,,原則在此仍然適用，但前提條件,必須是各對象位于相同的安全集束中。主體和客體位,格子模型（Lattice Model）????Lattice,Brewer and Nash Model,?,?,?,?,Brew and Nash: Chinese Wall,Chinese Wall,模型是應(yīng)用在多邊安全系統(tǒng)中的安全模,型（也就是多個組織間的訪問控制系統(tǒng)），應(yīng)用在可,能存在利益沖突的組織中。最初是為投資銀行設(shè)計的，,但也可應(yīng)用在其它相似的場合。,Chinese Wall,安全策略的基

49、礎(chǔ)是客戶訪問的信息不會,與目前他們可支配的信息產(chǎn)生沖突。在投資銀行中，,一個銀行會同時擁有多個互為競爭者的客戶，一個銀,行家可能為一個客戶工作，但他可以訪問所有客戶的,信息。因此，應(yīng)當(dāng)制止該銀行家訪問其它客戶的數(shù)據(jù)。,Chinese Wall,安全模型的兩個主要屬性：,?,?,用戶必須選擇一個他可以訪問的區(qū)域,用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū),Brewer and Nash Model????Brew,Graham-Denning,模型,?,?,?,?,?,?,?,?,如何安全地創(chuàng)建一個客體,如何安全地創(chuàng)建一個主體,如何安全地刪除客體,如何安全地刪除主體,如何安全地提供讀訪問

50、權(quán),如何安全地提供準(zhǔn)許接入權(quán),如何安全地提供刪除訪問權(quán)限,如何安全地提供轉(zhuǎn)移訪問權(quán)限,Graham-Denning模型????????如何安全地創(chuàng),Harrison-Ruzzo-Ullman,（,HRU,）模型,?,?,?,主體的訪問權(quán)限以及這些權(quán)限的完整性。,主體只能對客體執(zhí)行一組有限的操作,HRU,被軟件設(shè)計人員用來確保沒有引入意外脆弱性，從而,可以實現(xiàn)訪問控制目標(biāo),Harrison-Ruzzo-Ullman（HRU）模型??,操作安全模式（,Security Modes of,Operation,）,訪問系統(tǒng)上所有信息的適當(dāng)許可,專用安全模式,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),Dedic

51、ated Security,訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,Mode,任何用戶都能夠訪問所有數(shù)據(jù),系統(tǒng)高安全模式,訪問系統(tǒng)上所有信息的適當(dāng)許可,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,根據(jù)他們的,“,知其所需,”,,所有用戶都能訪問一些數(shù)據(jù),訪問系統(tǒng)上所有信息的適當(dāng)許可,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,根據(jù)他們的,“,知其所需,”,和正式批準(zhǔn),,,所有用戶都能訪問一些數(shù)據(jù),System High-,

52、Security Mode,分隔安全模式,Compartmented,Security Mode,訪問系統(tǒng)上所有信息的適當(dāng)許可,多級安全模式,訪問系統(tǒng)上所有信息的正式訪問批準(zhǔn),Multilevel Security,訪問系統(tǒng)上所有信息的簽名,NDA,訪問系統(tǒng)上所有信息的有效,”,知其所需,“,Mode,根據(jù)他們的,“,知其所需,”,、許可和正式批準(zhǔn),,,所有用戶都能訪問一些數(shù)據(jù),操作安全模式（Security Modes of Opera,信任與保證,?,TCSEC,中，較低保證級別評定工作會考察系統(tǒng)的保護機制和,測試結(jié)果，較高保證級別評定工作更多考查系統(tǒng)的設(shè)計、,規(guī)范、開發(fā)過程、支持文檔以及

53、測試結(jié)果,信任與保證?TCSEC中，較低保證級別評定工作會考察系統(tǒng)的保,系統(tǒng)評估方法（,Systems Evaluation,Methods,）,ITSEC,1991,CTCPEC,1993,CC 1.0,1996,CC 2.0,1998,TCSEC,1985,FC,1992,CD,1997,FCD,1998,GB 17859,1999,ISO15408,1999,GB/T 18336,2001,ISO15408,1999,GIB 2646,1996,GB/T 18336,2008,系統(tǒng)評估方法（Systems Evaluation Meth,橘皮書（,Orange Book,）,?,?,?,

54、?,Trusted Computer System Evaluation Criteria,（,TCSEC,），是一個評估,OS,、應(yīng)用的、系統(tǒng)的規(guī)范，,評價不同系統(tǒng)的尺度，檢查系統(tǒng)的功能性、有效性和,保證程度，提供多種級別。,1970,年由美國國防科學(xué)委員會提出。,1985,年公布。,主要為軍用標(biāo)準(zhǔn)，延用至民用。,TCSEC2000,年被,Common Criteria,所替代，是第一個,涉及計算機系統(tǒng)的安全規(guī)范。,橘皮書（Orange Book）????Trusted Co,TCSEC,等級,?,?,D,—,最小保護,(minimal protection),C,—,自主保護,(discr

55、etionary protection),?,?,C1:,選擇安全性保護，,Discretionary Security Protection,C2:,受約束的訪問保護，,Controlled Access Protection,B1:,標(biāo)簽式安全保護，,Labeled Security,B2:,結(jié)構(gòu)化保護，,Structure Protection,B3:,安全域，,Security Domain,A1:,驗證設(shè)計，,Verified Design,?,B,—,強制保護,(mandatory protection),?,?,?,?,A,—,校驗保護,(verified protection)

56、,?,TCSEC等級??D —最小保護(minimal prote,類別,A,B3,名稱,驗證設(shè)計,（,verity design,）,安全域,(security domain),結(jié)構(gòu)防護,（,structured,protection,）,標(biāo)號安全防護,（,label security,protection,）,受控的訪問環(huán)境,選擇性安全防護,（,discretionary,security,protection,）,最小保護,主要特征,安全要求,形式化的最高級描述和驗證，形,設(shè)計必須從數(shù)學(xué)角度上經(jīng)過驗證，,式化的隱密通道分析，非形式,而且必須進行秘密能道和可信任分,化的代碼一致性證明,布的

57、分析。,安全內(nèi)核，高抗?jié)B透能力,設(shè)計系統(tǒng)時必須有一個合理的總,體設(shè)計方案，面向安全的體系結(jié),構(gòu)，遵循最小授權(quán)原則，較好的,滲透能力，訪問控制應(yīng)對所有的,主體和客體提供保護，對系統(tǒng)進,行隱蔽通道分析,除了,C2,級別的安全需求外，增加,安全策略模型，數(shù)據(jù)標(biāo)號（安全,和屬性）,存取控制以用戶為單位廣泛的審,計,有選擇的存取控制，用戶與數(shù)據(jù),分離，數(shù)據(jù)的保護以用戶組為單,位,用戶工作站或終端能過可信任途徑,連接網(wǎng)絡(luò)系統(tǒng),計算機系統(tǒng)中所有對象都加標(biāo)簽，,而且給設(shè)備（如工作站、終端和磁,盤驅(qū)動器）分配安全級別。,B2,B1,C2,在不同級別對敏感信息提供更高級,的保護，讓每個對象都有有一個敏,感標(biāo)簽,加

58、入身份認證級別，系統(tǒng)對發(fā)生的,事件加以審計并寫入日志,硬件有一定的安全保護（如硬件有,帶鎖裝置），用戶在使用計算機系,統(tǒng)前必須先登錄。允許系統(tǒng)管理員,為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán),限。,不要求用戶進行登記（要求用戶提,供用戶名）或使用密碼（要求用戶,提供惟一的字符串來進行訪問）,C1,D,保護措施很小，沒有安全功能,類別AB3名稱驗證設(shè)計（verity design）安全域(,橘皮書和彩虹系列（,The Orange Book and,the Rainbow Series,）,?,橘皮書（,Orange Book,）,?,專門針對操作系統(tǒng),?,主要著眼于安全的一個屬性（機密性）,?,適用于政

59、府分類,?,評級數(shù)量較少,紅皮書（,Red,Book,）,?,單個系統(tǒng)的安全問題,?,解決網(wǎng)絡(luò)和網(wǎng)絡(luò)組件的安全評估問題，主要針對獨立局域,網(wǎng)和廣域網(wǎng)系統(tǒng),?,涉及通信完整性、防止拒絕服務(wù)、泄露保護,?,橘皮書和彩虹系列（The Orange Book and t,信息技術(shù)安全評估標(biāo)準(zhǔn)（,Information,Technology Security,）,?,Information Technology Security Evaluation Criteria,（,ITSEC,）,?,?,?,?,?,歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。,以超越,TCSEC,為目的，將安全概念分為

60、功能與功能評估兩,部分。,首次提出了信息安全的保密性、完整性、可用性的概念,評估對象,TOE(Target of Evaluation ),?,產(chǎn)品和系統(tǒng),安全增強機制,安全策略,安全性目標(biāo),security target,?,?,信息技術(shù)安全評估標(biāo)準(zhǔn)（Information Technol,通用標(biāo)準(zhǔn)（,Common Criteria,）,?,?,?,定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn),則，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，,與,PDR(,防護、檢聽、反應(yīng),),模型和現(xiàn)代動態(tài)安全概念,相符合的，強調(diào)安全的假設(shè)、威脅的、安全策略等安,全需求的針對性，充分突出保護輪廓,強調(diào)把

61、安全需求劃分為安全功能需求和安全保證需求,兩個獨立的部分，根據(jù)安全保證需求定義安全產(chǎn)品的,安全等級,定義了,7,個評估保證級別,(EAL),，每一級均需評估,7,個功,能類,通用標(biāo)準(zhǔn)（Common Criteria ）???定義了作為,通用標(biāo)準(zhǔn)（,Common Criteria,）,?,CC,（,ISO/IEC 15408-X,）分為三個部分：,?,?,?,第一部分：介紹和一般模型,——,一般性概念，,IT,安全評估,的原則，高級編寫規(guī)范，對目標(biāo)受眾的有用價值。對消費,者來說是不錯的背景介紹和參考。,第二部分：安全功能需求,——,功能性需求，組件，評估目,標(biāo),(Target of Evalua

62、tion,，,TOE),；對消費者來說是不錯的指,導(dǎo)和參考，可以用來闡述對安全功能的需求。,第三部分：安全保障,——,對,TOE,的保障需求,(assurance,requirement),，對保護輪廓,(Protection Profile),和安全目標(biāo),(Security Target),的評估標(biāo)準(zhǔn)。指導(dǎo)消費者提出相應(yīng)的保障,等級,通用標(biāo)準(zhǔn)（Common Criteria ）?CC（ISO/,通用標(biāo)準(zhǔn)概念,?,?,?,?,?,?,保護輪廓（,Protection profile,，,PP,）滿足特定用戶需求、,與一類,TOE,實現(xiàn)無關(guān)的一組安全要求。,評估對象（,Target of eva

63、luation,，,TOE,）,作為評估主體的,IT,產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。,安全目標(biāo)（,Security target,）,作為指定的,TOE,評估基礎(chǔ)的,一組安全要求和規(guī)范。,安全功能（,Security functional requirements,）,規(guī)范,IT,產(chǎn),品和系統(tǒng)的安全行為，應(yīng)做的事,安全保證（,Security assurance requirements,）,對功能產(chǎn),生信心的方法,包,-,功能保證級（,Packages,—,EALs,）把功能和保證要求,封裝起來，以便今后使用。這部分描述必須得到滿足，,以實現(xiàn)特定的,EAL,等級。,通用標(biāo)準(zhǔn)概念?

64、?????保護輪廓（Protection pr,評估標(biāo)準(zhǔn)間的比較,CC,標(biāo)準(zhǔn),美國,TCSEC,D:,最小保護,--,C1:,任意安全保護,C2:,控制存取保護,B1:,標(biāo)識安全保護,B2:,結(jié)構(gòu)保護,B3:,安全域,A1:,驗證設(shè)計,歐洲,ITSEC,E0,--,F1+E1,F2+E2,F3+E3,F4+E4,F5+E5,F6+E6,加拿大,CTCPE,C,T0,T1,T2,T3,T4,T5,T6,T7,1:,用戶自主保護級,2:,系統(tǒng)審計保護級,3:,安全標(biāo)記保護級,4:,結(jié)構(gòu)化保護級,5:,訪問驗證保護級,中國,GB17859-1999,--,EAL1-,功能測試,EAL2-,結(jié)構(gòu)測試,

65、EAL3-,方法測試和檢驗,EAL4-,方法設(shè)計，測試和評審,EAL5-,半正式設(shè)計和測試,EAL6-,半正式驗證的設(shè)計和測試,EAL7-,正式驗證的設(shè)計和測試,評估標(biāo)準(zhǔn)間的比較CC標(biāo)準(zhǔn)美國TCSECD:最小保護--C1:,認證與認可（,Certification vs.,Accreditation,）,?,?,認證,, Certification,?,評估技術(shù)和非技術(shù)特征以確定設(shè)計是否符合安全要求,認證權(quán)威,DAA (Designated Approving Authority ),來自于指定的認證權(quán)威的正式聲明，表明系統(tǒng)已被認可在,安全狀態(tài)下運行,認可,, Accreditation,?,

66、?,認證與認可（Certification vs. Accred,一些威脅的評估（,A Few Threats to,Review,）,?,?,維護鉤子（,Maintenance Hooks,）,檢驗時間,/,使用時間攻擊,(Time-of-Check/Time-of-Use,Attacks,，,TOC/TOU),一些威脅的評估（A Few Threats to Revie,維護鉤子（,Maintenance Hooks,）,?,?,軟件內(nèi)開發(fā)人員才知道和能夠調(diào)用的指令,,,使他們能夠,方便的訪問代碼,.,對策,?,?,?,使用主機入侵檢測系統(tǒng)監(jiān)視通過后門進入系統(tǒng)的供給者,使用文件系統(tǒng)加密來保護敏感信息,實現(xiàn)審計,,,以檢測任何類型的后門使用,維護鉤子（Maintenance Hooks）??軟件內(nèi)開發(fā),檢驗時間,/,使用時間攻擊,(Time-of-,Check/Time-of-Use Attacks,，,TOC/TOU),?,?,也稱異步攻擊。攻擊者利用系統(tǒng)進程請求和執(zhí)行任務(wù),的方法發(fā)動攻擊。,對策,?,應(yīng)用“軟件鎖”，在執(zhí)行“檢查”任務(wù)時鎖定要使用的項,檢驗時間/使用時間攻擊(Ti