网络安全理论与技术第07讲.PDFVIP

第5章 安全体系结构 可信系统体系结构及其要素  网络安全的分层体系结构 OSI安全体系结构的安全服务与安全机制  ISO/IEC网络安全体系结构 一套完整的网络安全系统 OSI参考模型 的安全防护 应用层 表示层 会话层 系统层的安全防护 传输层 主要包括操作系统、 应用服务器、 网络层 数据库系统 数据链路层 的安全防护 物理层 5.1系统安全体系结构 5.1.1可信系统体系结构概述 完整性、可用性、保密性可以在企业的不 同地方实施 何处应设置保护？ 5.1系统安全体系结构  安全机制应设置在何处？ 安全机制复杂性和 安全保障的关系 例如：Windows7 禁止非微软签名的驱动 运行在普通用户级别 5.1.2 可信计算基 计算机系统中全部保护机制的组合定义为 可信计算基（TCB: trusted computing base）。 TCB包括硬件、软件和固件。 并非系统的所有部件都必须是可信的，评 估一个系统的可信级别是由构成TCB的结 构、安全服务及保障机制确定的。 可信系统的设计和评估 5.1.3 定义主体和客体的子集 需要识别TCB的各部件及定义它们可接受 的能力 低可信级别的系统：主体和客体的集合很大， 且关系松散、自由； 更高可信级别的系统：例如，只允许指定的 两个主体访问所有文件，一个主体能修改所 有文件，子集很小。每个主体都有严格的权 限规定。 5.1.4 安全边界 安全边界区分可信和不可信  当TCB内的部件与TCB外的部件通信时，必 须通过接口来处理和控制 接口有严格的通信标准  可信部件和非可信部件间通信的接口控制 举例  严格限制主体的输入 某可信程序窗口的文本 框只接受非负整数，范围 1-1023，从设计角度避免 溢出攻击 5.1.5 基准监控器和安全内核  基准监控器是一个抽象的机器，用来协调所 有的访问主体和客体，以确保主体有必需的 访问权，以及保护客体不被非授权访问、修 改和破坏。 可看作是某种访问控制概念 5.1.5 基准监控器和安全内核  安全内核由TCB内的一些机制构成，以实施 和执行基准监控器概念。  安全内核是TCB的核心，是最常用的构造可 信计算系统的方案。 基准监控器 日志 验证 5.1.6 安全域 域定义为主体能访问的客体的集合。 域必须是能识别的、分开的，而且必须严 格实施 特权模式：具有更大的工作域，即更多资源 可访问； 用户模式：应用程序不能直接访问内存，资 源的应用有更多限制。 可信级和安全域 的关系 5.1.7 资源隔离  主体、客体和保护机制需要清楚地相互隔离， 而隔离方法和实施是系统的体系结构及其安全 模型的需求。