安全模型和体系结构
一、快速提示
·系统可以有完全相同的硬件、软件和应用,但却会因为系统建立在不同的安全策略 和安全模型之上而提供不同的保护级别。
·CPU包括一个控制单元,它控制指令和数据执行的时序;一个ALU(算术逻辑单 元),它执行算术功能和逻辑操作。
·绝大多数系统部使用保护环(protection ring)。进程的特权级别越高,则运行在编号越小的保护环中,它就能访问全部或者大部分的系统资源。应用运行在编号越大的保护环中.它能访问的资源就越少。
·操作系统的进程运行在特权或监控模式中,应用运行在用户模式中,也称为“问题”状态。
·次级存储(cond storage)是永久性的,它可以是硬盘、CD—ROM、软驱、磁带备份或者Zip驱动器。
·虚存(virtual storage)由RAM和次级存储所构成,系统因此显得具有很大一块存储器。
·当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。
·安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。
·安全机制越复杂,它能提供的保险程度就越低。
开卷有益的名言 ·并不是所有的系统组成部分都要处于TCB范围内:只有那些直接以及需要实施安全策略的部件才是。
·构成TCB的组成部分有硬件、软件、回件,因为它们都提供了某种类型的安全保护功能。
·安全边界(curity perimeter)是一个假想的边界线,可信的部件位子其中(那些构成TCB的部件),而不可信的部件则处于边界之外。
·引用监控器(reference monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有
必要的访问权限。因此,它是主体对客体所有访问的中介。
·安全核心(curity kernel)是实际落实引用监控器规则的机制。
·安全核心必须隔离实施引用监控概念的进程、必须不会被篡改、必须对每次访问企图调用引用监控,而且必须小到足以能正确地测试。
·安全领域(curity domain)是一个主体能够用到的全部客体。
·需要对进程进行隔离,这可以通过内存分段寻址做到。
·安全策略(curity policy)是一组规定如何管理、保护和发布敏感数据的规则。它给出了系统必须达到的安全目标。
·系统提供的安全水平取决于它落实安全策略的程度有多大。
·多级安全系统能受理属于不同类别(安全水平)的数据,具有不同访问级(安全水平)的用户能够使用该系统。
·应该赋予进程最小的特权,以便使其具有的系统特权只够履行它们的任务,没有多余。
·有些系统提供在系统不同层次上的功能,这称为分层。这就将进程进行了分离,给单个进程提供了更多的保护。
·数据隐藏是指,当处于不同层次上的进程彼此互不知晓,因此也就没有办法互相通信。这就给数据提供了更多的保护。
·给一类客体分配权限,称之为抽象化(abstraction)。
·安全模型(curity model)将安全策略的抽象目标映射到计算机系统的术语和概念上。它给出安全策略的结构,并且为系统提供一个框架。
·Bell-LdPadula模型只解决机密性的要求,Biba和Clark—Wilson则解决数据完整性的要求。
·状态机模型处理一个系统能够进入的不同状态。如果一个系统开始是在一个安全状态下,在该系统中发生的全部活动都是安全的,那么系统就决不会进入一个不安全的状态。
·格(Lattice)给授权访问提供了上界和下界。
·
信息流安全模型不允许数据以一种不安全的方式流向客体。
·Bell-LaPadula模型有一条简单安全规则,意思是说,主体不能从更高级别读取数据(不能向上读)。*-特性规则的意思是说,主体不能向更低级别写数据(不能向下写)。强星特性规则是指一个主体只能在同一安全等级内读和写,不能高也不能低。
·Biba模型不允许主体向位于更高级别的客体写数据(不能向上写),它也不允许主体从更低级别读取数据(不能向下读)。这样做是为了保护数据的完整性。
qq怎么解封·Bell-LaPadula模型主要用在军事系统中,Biba和Clark—Wilson模型则用于商业部门。
·Clark-Wilson模型要求主体通过经批准的程序、职责分割以及审计来访问客体。
·如果系统在一个专门的安全模式中运行,那么系统只能处理一级数据分级,所有的用户都必须具有这一访问级,才能使用系统。
·分段的(compartmented)和多级的(multilevel)安全模式让系统能够处理划入不同分类级别上的数据。
·
月光的唯美的诗句可信(trust)意味着系统正确地使用其全部保护机制来为许多类型的用户处理敏感数据。保险(assurance)是你在这种信任关系中具有的信心水平,以及保护机制在所有环境中都能持续正确运行。
·在不同评测标准下,较低的评定级别评审的是系统性能及其测试结果,而较高的评定级别不但考察这一信息,而且还有系统设计、开发过程以及建档工作。
·橘皮书(orange Book)也称为可信计算机系统评测标准(TCSEC),制定该标准是为了评测主要供军用的系统。
·在橘皮书中,D组表示系统提供了最小的安全性,它用于被评测,但不能满足更高类别标准的系统。
·在橘皮书中,C组涉及自主保护(须知),B组涉及强制保护(安全标签)。
·在橘皮书中,A组意味着系统的设计和保护水平是能够验证核实的,它提供了最高水平的安全性和可信度。
·在橘皮书中,C2级要求客体重用保护和审计。
·在橘皮书中,B1级是要求有安全标签的第一个级别。
· 在橘皮书中,B2级要求所有的主体和设备具有安全标签,必须有可信通路(trusted path)和隐蔽通道(covert channel)分析,而且要提供单独的系统管理功能。
世界公认四大帝国·在橘皮书中,B3级要求发送安全通知,要定义安全管理员的角色,系统必须能在不威胁到系统安全的情况下恢复。
·在橘皮书中,C1描述基于个人和(或)组的访问控制。它需要区分用户和信息并依赖实体的标识和认证。
·橘皮书主要涉及到操作系统,所以还编写了一系列书籍,涵盖了安全领域内的其他方面;这些书籍称为彩虹系列(Rainbow Series)。
夏天的英文·红皮书(Red Book),即可信网络解释(Trusted Network Interpretation, TNI),为网络和网络部件提供了指导。
·信息技术安全评测标准(ITSEC)显示出欧洲国家在试图开发和使用一套而不是几套评测标准。
·ITSEC分别评测系统的保险程度和功能性,而TCSEC将两者合到了一个级别中。
·通用准则(common Criteria)的制定提供了一个得到公认的评测标准,而且现如今还在使用。它将TCSEC、ITSEG、CTCPEC和联邦标准(Federal Criteria)的各部分结合了起来。
·通用准则使用了保护样板(protection profile)和从EALI到EAL7的级别。
·认证(certification)是对系统及其及全部件的技术评测。认可(accreditation)是管理层正式批准和接受系统所提供的安全保障。
·开放系统提供了与其他系统和产品更好的互操作性,但是提供的安全级别却更低。封闭系统运行在专有的环境中,它降低了系统的互操作性和功能,但是却提供了更高的安全性。
·隐蔽通道(covert channel)是一条通信路径,它传输数据的方式违反了安全策略。隐蔽通道有两种类型:计时隐蔽通道和存储隐蔽通道。
·隐蔽计时通道(covert timing channel)使得进程能够通过调整它对系统资源的使用来向其他进程传递信息。
·
隐蔽存储通道(covert timing channel)使得进程能够把数据写入存储介质,从而让其他进程能够读取到它。
·后门(backdoor),也称为维护分支(maintenance hook),是用来让程序员迅速进入应用,维护或者增加功能。后门应该在应用投入使用之前删除,否则它会造成严重的安全风险。
·执行领域(execution domain)是CPU执行指令的地方。操作系统的指令是以特权模式执行的,而应用的指令是以用户模式执行的。
·进程隔离(process isolation)确保了多个进程能够并发运行,进程不会彼此互相干扰.或者影响彼此的存储段。
·只有需要全部系统特权的进程才会位于系统的内核中。
惊恐万分·一个状态机处理一个安全级别。多状态机能够处理两个或者更多的安全级别,而不会有威胁系统安全的风险。
德文韦德·强制类型定义表明要强制实行抽象数据类型。
·
TOC/TOU代表“time一of一check和time一of一u”。这是一类异步攻击。
·Biba模型是以完整性级别具有层次结构的格(lattice)为基础的。
溺水安全手抄报·Biba模型解决了完整性的第一个目标,即防止未经授权的用户进行修改。
·Clark一Wilson模型解决了完整性的所有三个目标:防止未经授权的用户进行修改、防止授权的用户进行不恰当的修改,以及通过审计维护内外的一致性。
·在Clark一Wilson模型中,用户只能通过程序访问和操控客体。它使用访问三元组,即主体-程序-客体。 ‘
·ITSEC是为欧洲国家制定的。它不是一个国际性的评测标准。
二、习题
请记住,这些问题的格式及提问的方式都是有原因的。问题和答案似乎显得奇特或者说模棱两可,但这就是你将会看到的真实的考试。
1. What flaw creates buffer overflows?
A. Application executing in privileged mode
B. Inadequate memory gmentation
C. Inadequate protection ring u
D. Insufficient parameter checking
2. The operating system performs all except which of the following tasks?
A. Memory allocation
C. Resource allocation
B. Input and output tasks
