CISSP学习笔记-8（安全模型、设计和能力的原则）.pdf

CISSP学习笔记-8（安全模型、设计和能⼒的原则）

知识点

安全设计原则

客体和主体

主体

发出资源访问请求的主动实体

可以是⼀个⽤户，可能是⼀个进、序、计算机或机构

客体

主体想要访问的被动实体

通常是⼀个资源，也可以是⼀个⽤户、进、序、计算机或机构

信任传递

封闭系统和开放系统

封闭系统

封闭系统通常由专有硬件和/或软件组成。它们的规范通常不公开

开放系统

开放系统采⽤⾏业标准设计，通常易于与别的开放系统集成

API

开源

源解决⽅案是指源代码和其他内部逻辑都对外公开的解决⽅案

闭源

源解决⽅案是指源代码和其他内部逻辑都对外保密的解决⽅案

⼀般商⽤，是闭源

默认安全配置

永远都不要假设任何产品的默认设定是安全的

安全失效

保持简单

不⾃我重复DRY

计算极简主义

最低耗能规则

更坏的就是更好的-新泽⻄⻛格

你不需要它YAGNI

零信任

不信任，始终验证

内部微分⽹段和最⼩特权原则

防⽌横向移动，即使内部有恶意⼈员，移动能⼒也会受到极⼤限制

安全解决⽅案

内部分段防⽕墙ISFW

多因⼦身份认证MFA

身份和访问管理IAM

下⼀代端点安全

从传统的“基于边界”的安全模型向“⽆边界”安全转变。“不以边界作为信任条件”

进控制

限制(confinement)，对进执⾏最⼩特权(沙箱)

界限(Bound)

⽤界限划分出每个进可以使⽤的内存，限制其他进访问

隔离

阻⽌⼀个进访问另⼀个进的内存或资源

通过设计保护隐私PbD

原则

•主动⽽⾮被动，预防⽽⾮修补

•以默认⽅式保护隐私

•隐私嵌⼊式设计

•所有功能正和⽽⾮零和

•端到端安全全⽣命周期保护

•可⻅性和透明性

•尊重⽤户隐私

全球隐私标准GPS各国制定隐私法的指南

信任但要验证

⽤于确保保密性、完整性和可⽤性的技术

限定

进限定

对特定内存位置进⾏读写

沙箱

最⼩特权

⽬的是防⽌数据泄漏

可以由操作系统，也可以由应⽤序或者服务执⾏

界限

授权级别

限制进访问内存不能超过范围

⽐逻辑限制更有效

隔离

阻⽌⼀个应⽤访问另⼀个应⽤的内存或资源

防⽌⼀个进故障或被破坏时候对其他进产⽣影响

访问控制

限制主题对客体的访问

信任与保证

安全模型

理解安全模型的基本概念

可信计算基CB

安全边界

可信路径，就是安全信道，CB与系统其他部分通信

安全边界假想的边界，将CB与系统的其他部分分隔开

可信路径系统的其他部分与CB进⾏通信的安全通道

可信路径系统的其他部分与CB进⾏通信的安全通道

参考监视器和内核

参考监视器

验证请求主体的凭证