CISSP學習：第8章安全模型、設計和能力的原則

2021年2月18日

安全系統中訪問控制涉及：主體和客體
主體：發出訪問資源請求的用戶或進程
客體：用戶或進程想要訪問的資源

封閉系統：專有標準，不公開，更安全
開放系統：更容易與其餘開放系統集成

確保CIA的技術：（Confinement、Bound、Isolation）
1.限制：約束程序的行爲，只能對某些內容位置資源讀寫
2.界限：由對其能夠訪問的內存地址和資源所設置的限制組成
3.隔離：執行訪問界限時，進程處於隔離狀態運行

控制：
1.強制訪問控制（Mandatory Access Control，MAC）
2.自主訪問控制（Discretionary Access Control，DAC）

安全模型：將抽象陳述映射到安全策略，爲設計提供標準
1.可信計算基（TCB，Trusted Computing Base）：參考監視器負責受權訪問請求之間驗證資源；安全內核是實現參考監視器功能的組件集合；安全邊界是隔離內外系統的邊界。
2.狀態機模型：始終引導進入安全狀態，在全部轉換中保持安全狀態，並容許主體僅以符合安全策略的安全方式訪問資源。
3.信息流模型：防止未經受權、不安全或受限制的信息流
4.非干擾模型：防止一個主體的動做影響另外一個主體的系統狀態或動做。
5.Take-Grant模型：規定權限如何從一個主體傳遞到另外一個主體，或從主體傳遞到客體。經過增刪規則生成相應的權限規則。
6.訪問控制矩陣：主體和客體組成的表，規定了每一個主體能夠對每一個客體執行的動做或功能。
7.Bell-laPadula模型：主體具備一個許可級別，僅能訪問具備相應分類級別的客體，實現了保密性。（不許上讀，不許下寫）
8.Biba模型：可以防止安全級別較低的主體對安全級別較高的客體執行寫入操做（不許下讀，不許上寫），重點是完整性。
9.Clark-Wilson模型是一個依賴於審計的完整性模型，可以確保未經受權的主體沒法訪問客體且已受權用戶能夠正常訪問客體。每一個數據項且僅容許經過某一個小組程序進行修改：主體---程序---客體。
10.Brewer and Nash模型：基於用戶之前的活動而改變訪問控制。
11.Goguen-Meseguer模型：完整性，非干涉。
12.Sutherland模型（完整性），側重於防止干擾。
13.Graham-Denning模型：專一於主體、客體的安全建立、刪除。

安全評估的2個步驟：
1.對系統進行測試和技術評估
2.對安全標準和實際系統可以力性能進行比較，決定是否接受。
3.通用作法：一般會聘請可信第三方來執行評估

組織管理者的責任：決定是否接受系統和什麼時候接受。

三個評估模型或分類標準模型：TCSEC、ITSEC、CC
TCSEC：橘皮書，四類別
A：已驗證
B：強制保護
C：自主保護
D：最小保護

紅皮書：連網環境下的橘皮書，重點增長了網絡部分。

綠皮書：提供密碼建立和管理的指南

ITSEC：歐洲的評估模型

CC（經過準則）：1998年，加、法、德、英、美五國共同經過。後來成爲國際標準：ISO15408，信息技術安全評估標準

兩個要素：
1.保護範疇：爲要評估的產品（TOE）指定安全要求和保護
2.安全目標：指定了供應商在TOE內構建的安全聲明
三個部分：
1.簡介和通用模型：通常概念和基礎模型，評估目標、內容
2.安全功能要求：所有安全功能
3.安全保障：所有安全保證檢查和保護範疇

PCI DSS
ISO

認證（Certification）：對計算機系統各個部分的技術評估，以評估其與安全標準的一致性。
1.選擇評估標準
2.認證分析（硬件、軟件、配置）
3.評估整個系統後，對結果進行評估，肯定安全級別
認證結果僅對特定環境和配置中的系統有效。若是環境和配置有任何變更，須要從新評估。

鑑定（Accreditation）：是指定審批機構（DAA）正式聲明：IT系統被批准在特定安全模式下使用規定的一套保障措施在可接受的風險水平下運行。

認證和鑑定系統： CNSSP： 1.定義，2.驗證，3.肯定，4.鑑定後。

信息系統安全功能：
1.內存保護：防止活動的進程與不是專門指派或分配給它的內存區域進行交互。
2.虛擬化
3.可信平臺模塊TPM，硬件安全模塊HSM，ATM、POS一般使用專有的HSM
4.接口，受約束接口，目標是：限制或約束已受權和未受權用戶的操做。
5.容錯，冗餘組件。

課後習題20題，錯了7個。