· 全国
收起
引用监视器(Reference Monitor):RM的功能是根据访问控制数据库的定义,对抽象系统中所有使用者对目标的访问进行控制。
安全内核(Security Kernel):安全内核由TCB的硬件、软件和固件部分加上引用监视器所构成,我们可以这样来区分安全内核和引用监视器:引用监视器和安全内核的功能是相同的,但引用监视器是执行访问控制功能的抽象模型,而安全内核则是使用在各种系统中的具体实现。
|
为了保证安全功能的实现,安全内核必须满足以下三个要求:
1、安全内核能治理所有的访问(全局性)
2、安全内核能保护自己不受有意或意外修改(隔离性)
3、安全内核可以通过验证确定其有效性(可验证性)
TCB、RM和Security Kernel这三个概念挺轻易混淆,CISSP考试也经常考核与它们相关的内容,复习的时候应当注重一下。
安全边界(Security Perimeter):用来隔离安全内核内外的资源,安全边界外的资源是不可信的。注重将它和近两年常说的“边界安全“相区别。
分层(Layering):分层是指在系统设计时对功能和实现按照一定的原则进行分层,层次越低的权限越高,每一层的操作和使用的数据都尽量不对其它层次产生影响,这里会引入一个技术——数据隐藏(Data Hiding)。此外,部署安全措施的层次越低,则安全措施的效能和控制范围就越好,因此应该把安全措施部署在系统的最底层。
|
TOC/TOU保护:系统设计时需要使用资源锁定防止权限低的进程/用户通过劫持或修改特权用户的操作的途径访问敏感信息。
额外保护(Guard Protection):系统经常需要使用其他的方案来提供额外的保护,比如在数据库系统中,除了在数据库本身对用户的访问权限进行控制之外,通常还会通过提供一个带有查询检查功能的界面来限制用户提交不符合安全策略规定的查询。
进程隔离(Process Isolation):系统对同时执行的进程进行隔离,防止进程之间的互相影响,这个功能在现代操作系统中是一个基本功能。
最低权限原则(Least Privilege):系统中所有的权限给予满足操作所需的最低权限即可,这个在其他许多领域也能看到,比如许多企业内网用户只有User权限,不能够在自己的机器上安装或修改软件,要新增软件必须由治理员干涉。
加固(Hardening):加固是通过一定的操作和配置使系统的安全程度得到提高,它不属于系统设计阶段,而属于系统的部署和维护阶段。
以上是在系统设计时常使用的安全措施,此外,根据安全措施在系统中部署的层次不同,还可以将其分为通用操作系统级保护、应用程序级保护、存储设备保护、网络级保护。其中:
操作系统级别保护需要满足的需求有:
用户识别和认证(User Identification and Authentication)
强制访问控制(Mandatory Access Control)
自主访问控制(Discretionary Access Control)
完全控制(Complete mediation)
目标重用保护(Object reuse protection)
审计 (Audit)
审计日志的保护 (Protection of Audit logs)
日志筛选 (Audit logs reduction)
可信路径 (Trusted Path)
入侵检测 (Intrusion Detection)
应用程序级别上所提供的保护措施主要是针对用户的输入和程序的输出进行保护、过滤,还使用上面说过的Guard Protection技术来提供额外的安全功能。
存储设备保护关注的是保护存储在各种设备上的敏感信息的保密性和完整性,最近几年安全业界比较关注的企业移动设备安全和企业级加密就属于这个领域。
网络级保护关注的是信息传输过程中的保密性和完整性,这个领域的内容在CISSP另外一个CBK——电信和网络安全还会具体介绍。
