信息安全-安全架构与设计.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,安全架构和设计,Security Architecture and Design,关键知识领域,A.,理解安全模型的基本概念（如保密性、完整性与多层次模型）,B.,理解信息系统安全评估模型的组成,B.1,产品评估模型（如通用准则）,B.2,工业与国际安全实施准则（如,PIC-DSS,、,ISO,）,C.,理解信息系统的安全功能（如内存保护、虚拟技术、可信平台模块）,D.,理解安全架构的漏洞,D.1,系统（如隐蔽通道、状态攻击、电子发射）,D.2,技术与流程的整合（如单点故障、面向服务的架构）,E.,理解软件与系统的漏洞与威胁,E.1,基于,Web,（如,XML,、,SAML,、,OWASP,）,E.2,基于客户端（如小程序）,E.3,基于服务器（如数据流量控制）,E.4,数据库安全（如推断、聚合、数据挖掘、数据仓库）,E.5,分布式系统（如云计算、网格计算、对等网络）,F.,理解对抗原理（如深度防御）,目录,计算机安全,系统架构,计算机系统结构,操作系统架构,系统安全体系结构,安全模型,操作安全模式,系统评价方法,橘皮书和彩虹系列,信息技术安全评估标准,通用标准,认证与认可,开放与封闭系统,一些,威胁,的评估,计算机安全（,Computer Security,）,可用性：防止丢失或访问，数据和资源流失,Availability:Prevention of loss of,or loss of access to,data and resources,完整性：防止数据和资源的未经授权的修改,Integrity:Prevention of unauthorized modification of data and resources,保密性：防止未授权披露的数据和资源,Confidentiality:Prevention of unauthorized disclosure of data and resources,系统架构（,System Architecture,）,架构,（,Architecture,）：,体现在其组成部分，它们彼此之间以及与环境的关系，和指导原则其设计和演进的系统的基本组织。,架构描述（,Architectural description,，,AD）,：以正式的方式表述一个架构的文档集合,。,利益相关者（,Stakeholder,）：对于系统有利益关系或关注系统的个人、团队、组织（或集体）,视图（,View,）：从相关的一组关注点透视出的整个系统的表述,视角（,Viewpoint,）：关于建设和使用视图的惯例性说明，也是通过明确视图建立目的、读者，确立视图与分析技巧后开发单个视图的模板。,正式的架构术语和关系,计算机系统结构（,Computer Architecture,）,计算机体系结构包括所有用于它的计算机系统的所必需的部件的功能，包括操作系统，存储芯片，逻辑电路，存储设备，输入和输出设备，安全组件，总线和网络接口。,中央处理器（,The Central Processing Unit,）,多重处理（,Multiprocessing,）,操作系统组件（,Operating System Components,）,中央处理器（,The Central Processing Unit,，,CPU,）,计算机的大脑。对,CPU,最常见的描述可能是：它从存储器中提取指令并加以执行。,控制单元,算术逻辑单元,寄存器,数据高速缓存器,解码单元,预取单元,指令高速缓存器,总线单元,（主存储器）,中央处理器（,The Central Processing Unit,，,CPU,）,中央处理单元是计算机硬件的核心，主要任务是执行各种命令，完成各种运算和控制功能，是计算机的心脏，决定着系统的类型、性能和速度，,CPU,中包含：,(1)算术逻辑运算单元ALU(Arithmetic Logic Unit)：主要负责数据的计算或处理。,(2)控制单元(Control unit)：控制数据流向，例如数据或指令进出CPU；并控制ALU的动作。,(3)寄存器/缓存器(Registers)：负责储存数据，以利CPU快速地存取。,累加器(Accumulator),程序记数器(Program Counter),内存地址寄存器(Memory Address Register),内存数据寄存器(Memory Buffer Register),指令寄存器(Instruction Register),(4)连结路径(interconnection path)：负责连接CPU内部的组件，以利数据或控制讯号在不同组件间流传。,CPU,运行状态,运行状态：Run/operating state,执行指令,解题状态：Application/Problem state,执行应用程序,仅执行非特权(nonprivileged instructions)指令,管理程序状态：Supervisor state,特权模式下执行,程序可以访问整个系统，同时执行特权(Privileged instructions)和非特权指令,等待状态：Wait state,等待特定事件完成,多重处理（,Multiprocessing,）,对称模式多重处理（,Symmetric mode multiprocessing,）,计算机有两个或者多个,CPU,且每个,CPU,都使用加载均衡方式,非对称模式多重处理（,Asymmetric mode multiprocessing,）,计算机有两个或者多个,CPU,，且有一个,CPU,仅专门处理一个特定程序，而其他,CPU,执行通用的处理程序,关键概念,中央处理单元,CPU,，算术逻辑单元,ALU,，寄存器，控制单元,通用寄存器（,General registers,）：,CPU,在执行指令过程中使用的临时存储位置。,特殊寄存器（,Special registers,）：,保存关键,处理,参数,的,临时存储位置。,保存诸如,程序计数器，堆栈指针，程序状态字,（,PSW,）,。,程序计数器（,Program counter,）：为,CPU,所要执行的指令保存存储器地址,栈（,Stack,）：进程用来彼此传输指令和数据的存储器分段,程序状态字（,Program status word,）：,向,CPU,表明需要用什么状态（内核模式还是用户模式）运行的条件变量,关键概念,用户模式（问题状态）,（,User mode(problem state),）：,CPU,在执行不太可信的进程指令时所用的保护模式,内核模式（监管状态、特权模式）,（,Kernel mode(supervisory state,privilege mode),）：,CPU,在执行较为可信的进程指令时所用的工作状态，进程在内核模式下比在用户模式下可以访问更多的计算机资源,地址总线,（,Address bus,）：处理组件和存储器段之间的物理连接，用来传输处理过程中所拥到的物理存储器地址,数据总线,（,Data bus,）：处理组件和存储器段之间的物理连接，用来传输处理过程中所用到的数据。,对称模式多重处理，不对称模式多重处理,操作系统组件（,Operating System Components,）,进程管理（,Process Management,）,线程管理（,Thread Management,）,进程调度（,Process Scheduling,）,进程活动（,Process Activity,）,进程管理（,Process Management,）,进程管理：,操作系统的职能之一，主要是对处理机进行管理。为了提高,CPU,的利用率而采用多道程序技术。通过进程管理来协调多道程序之间的关系，使,CPU,得到充分的利用。,进程：Process,一个独立运行的程序，有自己的地址空间,是程序运行的动态过程,只能有限地与其它进程通信，由OS负责处理进程间的通信,进程是程序运行的一个实例，是运行着的程序,关键概念,多程序设计(MultiProgramming),一个处理器允许多处程序的将交叉运行,即两个或两个以上程序在计算机系统中同处于开始个结束之间的状态：多道、宏观上并行、微观上串行,解决主机和外转设备速度不匹配问题，为提高CPU的利用率。通过进程管理，协调多道程序之间的CPU分配调度、冲突处理及资源回收等关系。,对象重用问题,TOC/TOU,多任务,（,MultiTasking,）,单个处理器对两个或两个以上的任务并行执行、交叉执行,实时多任务(Realtime)、抢占式多任务(Preemptive)、协作式多任务(Cooperative),。协调式多任务各个进程控制释放,CPU,时间，抢占式多任务主要由操作系统控制时间,关键概念,进程表,PCB,：包含,CPU,所需的进程状态数据,中断,（,Interrupts,）：,分配给计算机部件（硬件和软件）的值，以,对,计算机资源,进行有效的,时间,分,片。,可屏蔽中断,（,Maskable interrupt,）：,分配给非关键操作系统活动中断值。,不可屏蔽中断,（,Nonmaskable interrupt,）：,分配给关键操作系统活动中断值,，如复位键,线程管理（,Thread Management,）,线程,（,Thread,）：,是为了节省资源而可以在同一个进程中共享资源的一个执行单位。,多线程（,Multithreading,）：通过生成不同指令集（线程）同时执行多个活动的应用程序,进程调度（,Process Scheduling,）,无论是在批处理系统还是分时系统中，用户进程数一般都多于处理机数、这将导致它们互相争夺处理机。另外，系统进程也同样需要使用处理机。这就要求进程调度程序按一定的策略，动态地把处理机分配给处于就绪队列中的某一个进程，以使之执行。,软件死锁（,Software deadlock,）：,两个,进,程都在等待系统资源被释放,额导致,不能完成他们的活动,的情况,。,进程活动,早期操作系统中，一个进程挂起，其它所有程序也会挂起,进程隔离：对象封装，共享资源时分复用，命名区分，虚拟映射,关键概念,进程,多,程序设计：操作系统交叉执行不止一个进程,多任务处理：操作系统同时执行不止一个任务,协调,式多任务,抢占,式多任务,进程状态：就绪，运行，阻塞,中断，可屏蔽中断,线程，多线程,软件死锁,存储器管理,管理目标,为编程人员提供一个抽象层,通过有限的可用存储器提供最高性能,保护操作系统与加载入存储器的应用程序,存储器管理器五项基本功能,重新部署,根据需要，在,RAM,和硬盘之间交换内容,保护,限制进程只与分配给它们的存储器段交互,，,为存储器段提供访问控制,共享,当进程需要使用相同的共享存储器段时，使用复杂的控制来确保完整性和机密性,逻辑组织,允许共享特定的软件模块,物理组织,为应用程序和操作系统进程划分物理存储器空间,存储器类型,随机存取存储器（,Random access memory,，,RAM,）,可随时写入或读出数据,用于操作系统和应用所执行的读写活动，即通常所说的内存,寄存器，Register,Cache,动态随机储存内存(Dynamic RAM,DRAM),静态随机储存内存(Static RAM，SRAM),：面积更大，造价更高，速度更快,由CPU直接存取,关闭电源存放在DRAM、寄存器、Cache的内容消失，不可永久保存资料,抖动：读取数据所花时间超过处理数据的时间,存储器类型,只读存储器（,Read only memory,，,ROM,）,只能读不能写,关闭电源内容不消失，可永久保存数据。而使用SRAM进行存储，需要有电池等设备。,种类：,PROM(programmable ROM)：数据或程序可依使用者的需求来烧录，程序或数据一经烧录便无法更改。,EPROM(erasable PROM)：可擦拭可程序规划的ROM，旧有的数据或程序可利用紫外线的照射来加以消除，使用者可以重复使用该颗EPROM，来烧录不同程序的程序或数据。,EEPROM(electrically erase PROM)：电子式可擦拭可程序规划的ROM。,MASK ROM：屏蔽式，数据由制造厂商在内存制造过程时写入。,存储器类型,高速缓存（,Cache Memory,）,为了缓和CPU与主存储器之间速度的矛盾，在CPU和主存储器之间设置一个缓冲性的高速存储部件，它的工作速度接近CPU的工作速度，但其存储容量比主存储器小得多。,高速缓存分为两种，一种是内建在CPU中的L1快取，另一种则是在CPU之外，称为L2快取。,高速缓存愈大，对计算机执行效率的帮助愈大。,速度最快、最贵,存储器映射（,Memory Mapping,）：逻辑地址引导到特定的物理地址,缓冲区溢出（,Buffer Overflows,）,缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓存区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。,ALSR,：地址空间随机布局化,DEP,：数据执行保护,存储器泄露（,Memory Leaks,）,开发正确释放存储器的更完善的代码,使用垃圾收集器（,garbage collector,）,虚拟存储器（,Virtual Memory,）,通过使用二级存储器(部分硬盘空间)来扩展内存(RAM)的容量，对未被执行的程序页进行处理,虚拟存储器属于操作系统中存储管理的内容，因此，其大部分功能由软件实现。,虚拟存储器是一个逻辑模型，并不是一个实际的物理存储器。,虚拟存储器的作用：分隔地址空间；解决主存的容量问题；程序的重定位,虚拟存储器不仅解决了存储容量和存取速度之间的矛盾，而且也是管理存储设备的有效方法。有了虚拟存储器，用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。,关键概念,进程隔离,动态链接,库,基础,寄存器（起始地址），限制寄存器（终止地址）,RAM ROM,高速缓冲存储器,绝对地址，逻辑地址,缓冲区溢出，,ASLR,，,DEP,垃圾收集器，虚拟存储器,输入输出设备管理,输入是把信息送入计算机系统的过程，输出是从计算机系统送出信息的过程，用户通过输入/输出设备与计算机系统互相通信。,常用输入设备：键盘、鼠标器、扫描仪,常用输出设备：显示器、打印机、绘图仪,输出/输入接口,数据要从计算机内部输出时，它会将内部的表示法转成外围设备看得懂的表示法以利输出。反之，若要从外围设备传数据到计算机内部，它也会将外界的数据格式转成计算机内部看得懂的表示法。,检验数据的完整性,I/O,技术,可编程,Programmed I/O,速度慢,中断驱动,Interrupt-driven I/O,由外部发出请求，请求CPU中断或结束正常程序运行,处理中断导致时间消耗,DMA I/O using DMA,是一种完全由硬件执行I/O交换的工作方式。速度快,映射前,Premapped I/O,I/O,取得足够信任，,IIO,与存储器直接交互数据,全映射,Fully mapped I/O,不完全信任,I/O,，,IO,设备只与逻辑地址直接交互,CPU,架构,保护环,Protection Ring,一组同心的编号环,环数决定可以访问的层次，越低的环数表示越高的特权,程序假定执行环数的位置,程序不可以直接访问比自身高的层次，如需访问，系统调用(system call),一般使用4个保护环：,Ring 1 操作系统安全核心,Ring 2 其他操作系统功能 设图示控制器,Ring 3 系统应用程序，数据库功能等,Ring 4 应用程序空间,操作系统架构（,Operating System Architectures,）,单块操作系统架构,分层操作系统架构,操作系统架构,单片,（,Monolithic,）,所有操作系统进程在内核模式下运行。,分层,（,Layered,）,所有操作系统进程在内核模式下的分层模型上运行。,内核过大,微内核,（,Microkernel,）,核心操作系统进程运行在内核模式,，其余运行在,用户模式。,内核过小,混合微内核,（,Hybrid microkernel,）,所有操作系统进程在内核模式下运行。核心,进,程,运行在,微内核,，,其他,运行在,客户端服务器模式。,分层操作系统,微内核操作系统,Windows,混合微内核架构,主要的操作系统内核架构,虚拟机,虚拟机优势,多个服务器整合,遗留应用程序运行,运行不可信程序，提供安全的隔离的沙箱,模仿,独立计算机网络,多个,系统，多种硬件适合,强大的调试和性能监控,超,强隔离能力,备份、恢复、迁移更简单,系统安全体系结构（,System Security Architecture,）,安全策略（,Security Policy,）,安全架构要求（,Security Architecture Requirements,）,安全策略（,Security Policy,）,指导性纲领，为系统整体和构成它的组件从安全角度提出根本的目标，是战略工具。安全策略是一个系统的基础规范，使系统集成后评估它的基准。,安全架构要求（,Security Architecture Requirements,）,可信计算基（,Trusted Computing Base,）,安全边界（,Security Perimeter,）,引用监视器（,Reference Monitor,，,RM,）,安全内核（,Security Kernel,）,可信计算基（,Trusted Computing Base,）,TCB是计算机系统内保护机制的总体,包括硬件、固体、软件和负责执行安全策略的组合体。,TCB由一系列的部件构成，在产品或系统中执行统一的安全策略。,TCB的三个要求,TCB必须保证其自身在一个域中的执行，防止被外界干扰或破坏,TCB所控制的资源必须是已经定义的主体或客体的子集,TCB必须隔离被保护的资源，以便进行访问控制和审计,TCB维护每个域的保密性和完整性，监视4个基本功能,进程激活：Process activation,执行域的切换：Execution domain switching,内存保护：Memory protection,I/O操作：I/O operation,引用监视器（,Reference Monitor,，,RM,）,RM是一个抽象机的访问控制概念，基于访问控制数据库协调所有主体对客体的访问,RM的任务,根据访问控制数据库，对主体对客体的访问请求做出是否允许的裁决，并将该请求记录到审计数据库中。注意：基准监视器有动态维护访问控制数据库的能力。,RM的特性：,执行主体到对象所有访问的抽象机,必须执行所有访问，能够在修改中被保护，能够恢复正常，并且总是被调用。,处理所有主体到客体访问的抽象机,安全内核（,Security Kernel,）,安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素,理论基础：在一个大的操作系统中，只将相对比较小的一部分软件负责实施系统安全，并将实施安全的这部分软件隔离在一个可信的安全核，这个核就称为安全核。,需要满足三个原则,完备性：协调所有的访问控制,隔离性：受保护，不允许被修改,可验证性：被验证是正确的,安全核技术是早期构建安全操作系统最为常用的技术，几乎可以说是唯一能够实用的技术。,引用监视器RM是概念，抽象的机器，协调所有主体对对象间的访问；安全内核是硬件，是TCB中执行RM的部分，TCB中除安全内核外还有其它安全机制,关键概念,虚拟化,Hypervisor:,用来管理模拟环境中的虚拟机的中央程序,安全策略,可信计算,基,可信,路径：进程之间用来通信的，不能被绕过的可信软件通道,安全边界,引用监视器,安全内核,多级,安全策略,安全模型（,Security Models,）,状态机模型（,State Machine Models,）,Bell-LaPadula 模型,Biba,模型,Clark-Wilson模型,信息流模型（,Information Flow Model,）,非干涉模型（,Noninterference Model,）,格子模型（,Lattice Model,）,Brewer and Nash,模型,Graham-Denning,模型,Harrison-Ruzzo-Ullman,（,HRU,）模型,安全策略与安全模型,安全策略勾勒出目标，宽泛、模糊而抽象，安全模型提供了实现这些目标应该做什么，不应该做什么，具有实践指导意义，给出了策略的形式,状态机模型（,State Machine Models,）,状态机模型描述了一种无论处于何种状态都是安全的系统,一个状态（State）是处于特定时刻系统的一个快照，如果该状态所有方面都满足安全策略的要求，就称之为安全的,State transition：状态转换，,许多活动可能会改变系统状态，成为状态迁移（State transition），迁移总是导致新的状态的出现,如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态，则系统执行一个安全状态机模型：secure state model。,一个安全的状态机模型系统，总是从一个安全状态启动，并且在所有迁移当中保持安全状态，只允许主体以和安全策略相一致的安全方式来访问资源,安全的状态机模型是其他安全模型的基础,状态机模型（,State Machine Models,）,Bell-LaPadula 模型,1973年，David Bell和Len LaPadula提出了第一个正式的安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统,为美国国防部多级安全策略形式化而开发,Bell-LaPadula保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)。,特点：,信息流安全模型,只对机密性进行处理,运用状态机模型和状态转换的概念,基于政府信息分级无密级、敏感但无密级、机密、秘密、绝密,“Need to know”谁需要知道？,开始于安全状态，在多个安全状态中转换(初始状态必须安全，转变结果才在安全状态),Bell-LaPadula 模型安全规则,简单安全规则ss(Simple Security Property),安全级别低的主体不能读安全级别高的客体信息(No Read Up),星规则*The*(star)security Property,安全级别高的主体不能往低级别的客体写(No write Down),强星规则 Strong*property,不允许对另一级别进行读取,自主安全规则ds(Discretionary security Property),使用访问控制矩阵来定义说明自由存取控制,内容相关 Content Dependent,上下文相关Context Dependent,BLP模型的缺陷,不能防止隐蔽通道(covert channels),不针对使用文件共享和服务器的现代信息系统,没有明确定义何谓安全状态转移(secure state transition),基于多级安全保护(multilevel security)而未针对其他策略类型,不涉及访问控制管理,不保护完整性和可用性,Biba,模型,完整性的三个目标：保护数据不被未授权用户更改；保护数据不被授权用户越权修改(未授权更改)；维持数据内部和外部的一致性,1977作为Bell-Lapadula的完整性补充而提出,用于非军事行业,Biba基于一种层次化的完整性级别格子(hierarchical lattice of integrity levels)，是一种信息流安全模型。,特点：,基于小于或等于关系的偏序的格,最小上限(上确界)，least upper bound(LUB),最大下限(下确界)，greatest lower bound(GLB),Lattice=(IC,=,LUB,GUB),数据和用户分级,强制访问控制,Biba,模型安全规则,*,完整性公理：主题不能向位于较高完整性级别的客体写数据，不能向上写,简单,完整性公理：主题不能从较低完整性级别读取数据，不能向下读,调用,属性：主体不能请求完整性级别更高的主体服务,信息来源，可信数据,Clark-Wilson模型,在1987年被提出的,经常应用在银行应用中以保证数据完整性,实现基于成形的事务处理机制,要求完整性标记,定义：,受限数据条目Constrained Data Item(CDI),完整性检查程序Integrity Verification Procedure(IVP),转换程序Transformation Procedure(TP),自由数据条目Unconstrained Data Item,Clark-Wilson需要integrity label用于确定一个数据项的完整级别，并在TP后验证其完整性是否维持，采用了实现内/外一致性的机制，separation of duty,mandatory integrity policy,Clark-Wilson模型,完整性的模型,没有像Biba那样使用lattice结构，而是使用Subject/Program/Object这样的三方关系（triple），Subject并不能直接访问Object，只能通过Program来访问,两个原则：,well-formed transactions：采用了program的形式，主体只能通过program访问客体，每个恰当设计的program都有特定的限制规则，这就有效限制了主体的能力,separation of duties：将关键功能分成两个或多个部分，必须由不同的主体去完成各个部分，可防止已授权用户进行未授权的修改,要求具有审计能力（Auditing）,Clark-Wilson model也被称作restricted interface model,该模型考虑到了完整性的3个目标，而Biba模型只考虑了第一个,：防止未授权用户更改；防止授权用户的不正确更改（职责分离）,，维护内部和外部的一致性,信息流模型（,Information Flow Model,）,基于状态机，由对象、状态转换以及格(流策略)状态组成,对象可以是用户，每个对象都被分配一个安全等级和值,Bell-LaPadula和Biba模型都是信息流模型，前者要防止信息从高安全等级流向低安全等级，后者要防止信息从低安全等级流向高安全等级,信息流模型并不是只处理信息流向，也可以处理流类型,信息流模型用于防止未授权的、不安全的或者受到限制的信息流，信息流可以是同一级别主体与客体之间的，也可以是不同级别间的,信息流模型允许所有授权信息流，无论是否在同一级别;信息流模型防止所有未授权的信息流，无论是否在同一级别,信息被限制在策略允许的方向流动,隐蔽信道（,Covert Channels,）,隐蔽通道是一种让一个实体以未授权方式接收信息。,条件,在产品,开发,过程中,不当,监督,在软件中实施不当的访问控制,两个实体,之间,未适当地控制,共享,资源,隐蔽通道有两种类型：,存储,：,存储隐蔽通道，,进,程能够通过系统的一些类型的存储空间,通信,。,（木马）,通过创建文件。,计时,一个进程通过调整其使用系统资源的信息转发到另一个,进程中继续传送数据,。,非干涉模型（,Noninterference Model,）,基于信息流模型,非干涉模型并不关心信息流，而是关心影响系统状态或者其他主体活动的某个主体的活动,确保在较高安全级别发生的任何活动不会影响，或者干涉在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作，那么它不能改变在较低安全级内实体的状态,如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动，那么该实体可能能够推断出较高级别的信息，引发信息泄漏,基本原理为，一组用户(A)使用命令(C)，不被用户组(B)(使用命令D)干扰，可以表达成A,C:|B,D，同样，使用命令C的组A的行为不能被使用命令D的组B看到,格子模型（,Lattice Model,）,Lattice 模型通过划分安全边界对BLP模型进行了扩充，它将用户和资源进行分类，并允许它们之间交换信息，这是多边安全体系的基础。,多边安全的焦点是在不同的安全集束（部门，组织等）间控制信息的流动，而不仅是垂直检验其敏感级别。,建立多边安全的基础是为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束。,在执行访问控制功能时，lattice模型本质上同BLP模型是相同的，而lattice模型更注重形成安全集束。BLP模型中的上读下写原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性，因此在它们中没有信息可以流通。,Brewer and Nash Model,Brew and Nash:Chinese Wall,Chinese Wall模型是应用在多边安全系统中的安全模型（也就是多个组织间的访问控制系统），应用在可能存在利益冲突的组织中。最初是为投资银行设计的，但也可应用在其它相似的场合。,Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其它客户的数据。,Chinese Wall安全模型的两个主要属性：,用户必须选择一个他可以访问的区域,用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问,这种模型同时包括了DAC和MAC的属性：银行家可以选择为谁工作（DAC），但是一旦选定，他就被只能为该客户工作（MAC）。,Graham-Denning,模型,如何安全地创建一个,客体,如何安全地创建一个主,体,如何安全地删除,客体,如何安全地删除主,体,如何安全地提供读访问权,如何安全地提供准许接入权,如何安全地提供删除访问权限,如何安全地提供转移访问权限,Harrison-Ruzzo-Ullman,（,HRU,）模型,主体的访问权限以及这些权限的完整性。,主体只能对客体执行一组有限的操作,HRU,被软件设计人员用来确保没有引入意外脆弱性，从而可以实现访问控制目标,操作安全模式（,Security Modes of Operation,）,专用安全模式,Dedicated Security Mode,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,任何用户都能够访问所有数据,系统高安全模式,System High-Security Mode,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,根据他们的,“,知其所需,”,所有用户都能访问一些数据,分隔安全模式,Compartmented Security Mode,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,根据他们的,“,知其所需,”,和正式批准,所有用户都能访问一些数据,多级安全模式,Multilevel Security Mode,访问系统上所有信息的适当许可,访问系统上所有信息的正式访问批准,访问系统上所有信息的签名,NDA,访问系统上所有信息的有效,”,知其所需,“,根据他们的,“,知其所需,”,、许可和正式批准,所有用户都能访问一些数据,信任与保证,TCSEC,中，较低保证级别评定工作会考察系统的保护机制和测试结果，较高保证级别评定工作更多考查系统的设计、规范、开发过程、支持文档以及测试结果,系统评估方法（,Systems Evaluation Methods,）,ITSEC,1991,CC 1.0,1996,TCSEC,1985,CTCPEC,1993,FC,1992,ISO15408 1999,CC 2.0,1998,GB/T 18336 2001,CD,1997,FCD,1998,GIB 2646,1996,GB 17859,1999,GB/T 18336 2008,ISO15408 1999,橘皮书（,Orange Book,）,Trusted Computer System Evaluation Criteria,（,TCSEC,）,，是一个评估OS、应用的、系统的规范，评价不同系统的尺度，检查系统的功能性、有效性和保证程度，提供多种级别。,1970年由美国国防科学委员会提出。1985年公布。,主要为军用标准，延用至民用。,TCSEC2000年被Common Criteria所替代，是第一个涉及计算机系统的安全规范。,TCSEC,等级,D 最小保护(minimal protection),C 自主保护(discretionary protection),C1:选择安全性保护，Discretionary Security Protection,C2:受约束的访问保护，Controlled Access Protection,B 强制保护(mandatory protection),B1:标签式安全保护，Labeled Security,B2:结构化保护，Structure Protection,B3:安全域，Security Domain,A 校验保护(verified protection),A1:验证设计，Verified Design,类别,名称,主要特征,安全要求,A,验证设计,（,verity design,）,形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明,设计必须从数学角度上经过验证，而且必须进行秘密能道和可信任分布的分析。,B3,安全域,(security domain),安全内核，高抗渗透能力,用户工作站或终端能过可信任途径连接网络系统,B2,结构防护,（,structured protection,）,设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析,计算机系统中所有对象都加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。,B1,标号安全防护,（,label security protection,）,除了,C2,级别的安全需求外，增加安全策略模型，数据标号（安全和属性）,在不同级别对敏感信息提供更高级的保护，让每个对象都有有一个敏感标签,C2,受控的访问环境,存取控制以用户为单位广泛的审计,加入身份认证级别，系统对发生的事件加以审计并写入日志,C1,选择性安全防护,（,discretionary security protection,）,有选择的存取控制，用户与数据分离，数据的保护以用户组为单位,硬件有一定的安全保护（如硬件有带锁装置），用户在使用计算机系统前必须先登录。允许系统管理员为一些程序或数据设立访问许可权限。,D,最小保护,保护措施很小，没有安全功能,不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供惟一的字符串来进行访问）,橘皮书和彩虹系列（,The Orange Book and the Rainbow Series,）,橘皮书（,Orange Book,）,专门针对操作系统,主要着眼于安全的一个属性（机密性）,适用于政府分类,评级数量较少,红皮书（,Red,Book,）,单个系统的安全问题,解决网络和网络组件的安全评估问题，主要针对独立局域网和广域网系统,涉及通信完整性、防止拒绝服务、泄露保护,信息技术安全评估标准（,Informati