(22课学案.docVIP

安全架构和设计安全架构和设计（1） 安全架构和设计CBK的内容大概可以分为四个部分：概念部分、保护机制、安全模型和系统测评，J0ker打算用5到6个文章的篇幅，逐一介绍这些内容并总结CISSP考试的重点。本文先从第一部分： 概念部分开始。 在进行一个信息系统的设计时，我们需要对目标系统的众多需求进行平衡，这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。这里强调一下，安全应该在系统设计中的开始阶段就作为一个关键因素进行考虑，使用了超过业务需求的安全性能，就会导致用户体验的恶化，但降低的安全性能也会系统的部署和运行维护成本将会大大增加。系统设计的过程就是平衡多种需求的过程，设计者通常需要根据组成构架的每个元素的重要性，来确定如何Trade-off。在设计阶段考虑安全性，并不会对架构的设计增加太多的劳动量，它可以平滑的嵌入到架构设计的各个阶段，这样就可以保证安全性可以随着架构逐渐的设计完成而完成。 安全架构从概念上说，便是从安全角度审视整个系统架构，它主要提供系统架构所需要的安全服务、机制、技术和功能，并提供如何进行安全设施部署的建议。CISSP CBK中在安全架构概念部分的安排里面，还要求CISSP对最基本的架构有了解，它所指出的就是Layered Approach，也就是分层结构。请看下图： 图1 在这个架构中，用户只与应用程序进行交流，而操作系统向上负责与应用程序，向下负责与硬件、网络层进行联络。 为了更好的理解安全架构，CISSP还需要进一步的了解分层结构包含的底层架构，列表如下： Platform Architecture 平台架构 Network Environment 网络环境 Enterprise Architecture 企业架构 Security Model 安全模型 Protection Mechanisms 保护机制 在深入讨论这些组成安全架构的元素之前，朋友们还要了解一点，安全架构的设计应该和组织的安全策略相吻合，否则就不能实现组织的安全目标。关于安全策略的详细内容大家可参与CISSP Official Guide、All in One或本系列文章的之前内容。 平台架构主要指冯诺依曼的经典计算机模型，CISSP需要了解操作系统软件和工具的概念和功能、组成计算机的CPU、内存、存储设备的类型和输入输出设备的概念和功能、针对内存攻击的类型等。从CISSP考试的模拟题和J0ker自己参加过的考试来看，关于平台架构的题目一般只会简单的考察概念。 网络环境方面主要是对常见的网络威胁进行分类，在Telecommunication and Network Security CBK中有更深入的介绍。 企业架构主要是指组织本身对人员和职能的划分，在Official Guide中定义了六个角色和与其相对应的职能，朋友们在复习时也需要记住。 安全模型指的是一些常见的保证信息安全的保密性完整性可用性(CIA)三角的控制模型，这是本CBK的考察重点，J0ker在后面的文章还将详细讲述。 另外，在这一节中，有以下的一些概念在复习时也需要理解一下： ◆CPU的状态 ◆内存管理中的分页技术、虚拟内存技术以及相应的内存保护、攻击技术 ◆TOU/TOC Time of use/Time of check ◆多种类型的操作系统类型的概念及其安全性 ◆共享环境(Shared environment)下的攻击概念 ◆系统五种安全模式的概念 Dedicated Security mode System high-security mode Multi-level security mode Controlled mode Compartmentalized security mode 这一个CBK里的概念比较多也比较抽象，但因为这一章里面的内容对后面的CBK起了技术方面的总领作用，CISSP考试也以考概念为主，建议朋友们在复习这个CBK时尽量静下心来看。 13安全架构和设计之安全模型 安全模型所依赖的理论基础——状态机模型和信息流模型 状态机（State Machine）模型是信息安全里用来描述无论何时状态都是安全的系统模型，而处于特定时刻系统的快照便是一种状态(State)，如果这种状态满足安全策略的要求，我们就可以认为它是安全的。许多活动会导致系统状态的改变，称之为状态转换（States transaction），如果这些活动都是系统所允许而且不会威胁到系统安全的，则系统执行的便是安全的状态机模型（Secure State Machine）。一个安全状态机模型总是从安全的状态启动，并且在所有状态的转换中保证安全，并只允许行为的实施者以符合安全策略要求的形式去访问资源。 信息流（Infor