1、系统安全架构
- 可信任计算基TCB(基于硬件、软件、控制的组合,协同工作以执行安全策略)
- 安全边界访问监测
- 安全内核
2、安全模型
1)状态机模型
描述一个系统无论处于什么状态总是安全的,它基于有限状态机FSM的计算机科学定义。FSM将外部输入与内部机器状态结合,为各种复杂系统建模,包括解析器、解码器和解释器。给定一个输入和一个状态,FSM会转换到另一个状态
2)信息流模型
基于状态机模型。旨在防止所有未经授权、不安全或受限制的信息流,通常在不同的安全级别之间。还可以明确排除所有非定义流动路径来解决隐蔽通道问题
3)组合理论
- 级联:一个系统的输入来自另外一个系统的输出
- 反馈:一个系统向另一个系统提供输入,该系统通过颠倒这些角色进行互动。例如A未B提供输入,然后B向A提供输入
- 连接:一个系统将输入发送到另一个系统,也将输入发送到外部实体
4)非干扰模型
多级安全模型,规定在一个安全级别中执行的命令和活动不应呈现或影响到其他安全级别的主体或客体,即关注高安全级别的主体如何影响系统状态或较低安全级别的主体的动作
5)Bell-LaPadula,BLP模型
- 主题不能读取高安全级别客体内的数据(不上读No read up)
- 主体不能向低安全级别的客体写入(不下写No write down)
- 主体对客体读写,需要满足主体许可级别和客体分类级别相同的条件
第一个基于多级安全策略的数学模型,定义了安全状态和必要的访问模式,确保信息以遵守系统策略方式流动,防止高安全级别流向低安全级别,关注机密性
6)Biba模型
- 主体不能从低完整性级别的客户读取数据(不下读)
- 主体不能修改完整性级别高的客体(不上写)
- 低级别完整性主体不能向高级别完整性客体调用程序或服务
描述确保数据完整性的访问控制规则,防止低安全级别流向高安全级别
7)Brewer-Nash模型
该模型允许可动态变更的访问控制,以防止利益冲突
8)Clark-wilson模型
保护数据完整性,确保执行良构事务
- 主体只能通过已授权程序访问客体
- 执行职责分离
- 执行审计实务
9)Graham-Denning模型
该模型规定如何创建删除主体和客体,还解决如何分配访问权限
10)Harrison-Ruzzo-Ullman模型
该模型规定一个有限的命令集如何用来设置主体的访问权限
11)Take-Grant模型
规定如何将权限从一个主体传递到另一个主体或客体,或主体传递到客体