导图社区 CISSP学习笔记-8（安全模型、设计和能力的原则）

CISSP学习笔记-8（安全模型、设计和能力的原则）

CISSP第八章安全模型、设计和能力的原则学习笔记，可以帮助学习者系统地整理和理解CISSP的知识体系。

编辑于2024-02-27 16:31:48

CISSP

宇尘

他的近期作品查看更多>>

DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。
GDPR全文和解析
本文翻译了GDPR并且添加了解析，深入剖析GDPR的各个方面，可以更好地理解这一法规的重要性，并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
信息安全技术、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术、数据安全能力成熟度模型Informatio的思维导图，主要内容包括：附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法，附录 B (资料性附录) 能力成熟度等级评估参考方法，DSMM架构，附录 A(资料性附录) 能力成熟度等级描述与 GP，DSMM-数据安全过程维度，DSMM-安全能力维度。

CISSP学习笔记-8（安全模型、设计和能力的原则）

社区模板帮助中心，点此进入>>

宇尘

他的近期作品查看更多>>

相似推荐
大纲

安全教育的重要性
- 7.9k
- 929
- 100
- 18
- 0
issen
个人日常活动安排思维导图
- 8.5k
- 0
- 82
- 0
- 0
少儿栏目外景策划波波老师
西游记主要人物性格分析
- 17.3k
- 1.4k
- 644
- 103
- 0
issen
17种头脑风暴法
- 208.2k
- 4.2k
- 11.9k
- 4.0k
- 1
MindMaster
如何令自己更快乐
- 4.6k
- 27
- 98
- 5
- 0
wxb
头脑风暴法四个原则
- 3.0k
- 197
- 70
- 4
- 0
issen
思维导图
- 21.3k
- 2.4k
- 449
- 80
- 0
Jason
第二职业规划书
- 4.5k
- 3
- 68
- 0
- 0
~九梦离殇~
记一篇有颜又有料的笔记-by babe
- 2.2k
- 9
- 32
- 3
- 0
橘大喵
伯赞学习技巧
- 2.3k
- 17
- 47
- 9
- 0
安浪

CISSP学习笔记-8（安全模型、设计和能力的原则）

知识点

安全设计原则

客体和主体

主体

发出资源访问请求的主动实体

可以是一个用户，可能是一个进程、程序、计算机或机构

客体

主题想要访问的被动实体

通常是一个资源，也可以是一个用户、进程、程序、计算机或机构

信任传递

封闭系统和开放系统

封闭系统

封闭系统通常由专有硬件和/或软件组成。它们的规范通常不公开

开放系统

开放系统采用行业标准设计，通常易于与别的开放系统集成

API

开源

源解决方案是指源代码和其他内部逻辑都对外公开的解决方案

闭源

源解决方案是指源代码和其他内部逻辑都对外保密的解决方案

一般商用，是闭源

都可以是开放或者封闭系统

默认安全配置

永远都不要假设任何产品的默认设定是安全的

安全失效

保持简单

不自我重复 DRY

计算极简主义

最低耗能规则

更坏的就是更好的-新泽西风格

你不需要它 YAGNI

零信任

不信任，始终验证

内部微分网段和最小特权原则

防止横向移动，即使内部有恶意人员，移动能力也会受到极大限制

安全解决方案

内部分段防火墙 ISFW

多因子身份认证 MFA

身份和访问管理 IAM

下一代端点安全

通过设计保护隐私 PbD

原则

•主动而非被动，预防而非修补

•以默认方式保护隐私

•隐私嵌入式设计

•所有功能正和而非零和

•端到端安全全生命周期保护

•可见性和透明性

•尊重用户隐私

全球隐私标准 GPS 各国制定隐私法的指南

信任但要验证

用于确保保密性、完整性和可用性的技术

限定

进程限定

对特定内存位置进行读写

沙箱

最小特权

目的是防止数据泄漏

可以由操作系统，也可以由应用程序或者服务执行

界限

授权级别

限制进程访问内存不能超过范围

比逻辑限制更有效

隔离

组织一个应用访问另一个应用的内存或资源

防止一个进程故障或被破坏时候对其他进程产生影响

访问控制

限制主题对客体的访问

信任与保证

理解安全模型的基本概念

可信计算基 TCB

安全边界

可信路径，就是安全信道，TCB与系统其他部分通信

可信壳

参考监视器和内核

参考监视器

验证请求主体的凭证

安全内核

执行参考监视器的功能

状态机模型

状态：特定时刻的系统快照

信息流模型

基于状态机模型

即关注信息流动方向，又可以处理信息流动的类型

无干扰模型

基于信息流模型

让只木马、后门、rootkit等恶意程序

获取-授予模型

访问控制矩阵

Bell-LaPadula模型

建立在状态机和信息流上

强制性访问控制和基于格子的访问控制概念

保密性

Biba模型

完整性

反向Bell- 模型

Clark-Wilson模型

Brewer and Nash模型

Goguen-Meseguer模型

完整性

Sutherland模型

完整性

防止隐蔽信道

Graham-Denning模型

Harrison-RuZo-UIlman模型 HRU

根据系统安全要求选择控制

通用准则 CC

操作授权 ATO

理解信息系统的安全能力

内存保护

虚拟化

可信平台模块 TPM

硬件安全模块 HSM

接口

容错

RAID

加密/解密

考试要点

能够从访问的角度定义客体和主体。主体是指对资源提出访问请求的用户或进程。客体是指用户或进程想要访问的资源。

能够描述开放和封闭系统。开放系统采用行业标准设计，通常易于与别的开放系统集成。封闭系统通常由专有硬件和/或软件组成。它们的规范通常不公开，并且通常较难与别的系统集成。

了解开源和闭源。开源解决方案是指源代码和其他内部逻辑都对外公开的解决方案。闭源解决方案是指源代码和其他内部逻辑都对外保密的解决方案。

知道什么事默认安全配置。永远都不要假设任何产品的默认设定是安全的。在任何情況下都应要求系统管理员和/或公司安全人员依照本单位安全策略更改产品设定。

了解安全失效概念。故障管理包括编程错误处理(即异常处理)和输入清理；应该把安全失效性能(失效保障与失效安全)集成进系统。

知道什么是“保持简单”原则。“保持简单” 是指应避免环境、机构或产品被设计得过于复杂。系统越复杂，就越难保证安全。

了解零信任。零信任这个安全概念是说，不应对机构内部的任何东西自动予以信任。在每个活动或访问请求都以其他方式接受验证之前，应假设它们来自未知和不可信的位置。这个概念的意思就是 “绝不信任，永远验证”。零信任模型基于 “假设违规”和微分网段。

知道什么是通过设计保护隐私。通过设计保护隐私(PbD)原则是说，在产品设计阶段就把隐私保护机制集成进产品，而不是在产品开发结束后再尝试添加。PbD 框架基于7个基本原则。

了解“信任但要验证”。“信任但要验证” 是指自动信任公司安全边界内的主体和设备的一种传统安全保护方法。这种安全保护方法不仅使组织容易遭受内部人员攻击，而且会使入侵者能在内部系统之间轻松横向移动。

知道什么是限定、界限和隔离。限定制约进程对某些内存位置的读和写。界限是进程在读或写时不能超过的内存限制范围。隔离是通过内存界限把进程限定在限制范围内运行的一种模式。

了解安全控制的工作原理及功能。安全控制通过访问规则限制主体对客体的访问。

了解信任和保证。可信任的系统是指所有保护机制协同工作，为多种类型用户处理敏感效据，同时使计算环境保持稳定和安全的系统。换句话说，信任是安全机制或能力的体现。保证是满足安全需求的可信程度。也就是说，保证表明了安全机制在提供安全保护方面究竟有多可靠

定义可信计算基(TCB)。TCB 是硬件、软件和控制的组合，它们为安全策略的执行构城了一个可信基础。

能够解释安全边界。安全边界是将TCB 与系统其余部分分隔开的假想边界。TCB 组件通过可信路径与非TCB 组件通信。

了解参考监视器和安全内核。参考监视器是TCB 的逻辑部分，用于在授子访问权之前确认主体是否有权使用资源。安全内核是执行参考监视器功能的 TCB 组件集合。

掌握每种访问控制模型的细节。了解访问控制模型和它们的功能。

状态机模型确保访问客体的所有主体实例都是安全的。

信息流模型经设计可阻止未经授权、不安全或受限制的信息流。

无干扰模型防止一个主体的动作影响另一主体的系统状态或动作。

获取-授予模型规定了权限可以怎样从一个主体传递给另一主体或从一个主体传递给一个客体。

访问控制矩阵是一个由主体和客体组成的表格，标明了每个主体可对每个客体执行的操作或功能。

Bell-LaPadula模型的主体具有的权限级别使其只能访问具有相应涉路级别的客体，从而实现对保密性的保护。

Biba 模型防止-安全级别较低的主体对安全级别较高的客体执行写操作。

Clark- Wilson 模型是一种依赖访问控制三元组(即主体/程序/客体)的完整性模型。

Goguen-Meseguer 模型和 Sutherland 模型专注于完整性。

Graham-Denning模型专注于主体和客体的安全创建和删除。

Harrison-RuZo-UIlman（HRU)模型专注于给主体分配客体的访问权限以及这些被分配权限的完整性（或韧性）。

“通用准则” (ISO/IEC 15408)是一种主观性安全功能评估工具，可根据保护轮廓(PP)和安全目标(ST)分配评估保证级别(EAL)。

操作授权(来自 RMF)是一种用于运行 I/IS 的正式投权，它以一组既定的安全和隐私控制为基础，以可接受的风险水平为依据。

了解信息系统的安全能力。常见的安全能力包括内存保护、虚拟化和可信平台模块 (TPM)、加密/解密、接口和容错

重要习题

1你在打造一项新的扩展服务，力求将其连接到核心业务功能的现有计算硬件上。然而，尽管经过了数周的研究和实验，你始终无法让系统通信。首席技术官告诉你，你着力研究的计算硬件是一个封闭系统。那么，什么是封闭系统呢？ A. 基于最终或封闭标准设计的系统 B. 包含行业标准的系统 C. 使用了非公开协议的专有系统 D. 没有在Windows 上运行的任何机器

2.黑客破解了连接 Wi-Fi 的新装婴儿监视器后虚拟入侵家庭，从而对婴儿播放恐怖的声音，使孩子受到惊吓。在这个案例中，攻击者是通过什么手段访问婴儿监视器的？ A.未及时更新的悉意软件扫描程序 B. 支持5 GHz 信道的 WAP C．对孩子父母实施社会工程攻击 D.利用默认配置

3 为了赶在截止日期前完成工作，你需要从本地托管的数据库，若干文档，几个电子表格和来自内部服务器的多个页面提取记录和数据项。然后，当你打开一个文件时，系统突然蓝屏死机。这个事件被正式称为停止错误，是应对软件故障的 ——方法的一个例子。 A. 失效打开 B. 失效安全 C.限制检查 D.面向对象

4 你是一名软件设计师，想限制自己正在开发的一个程序的操作。你考虑过采用界限和隔离手段，但不确定它们是否真能如你希望发挥作用。后来你发现，原来限定手段可以实现你想要的限制目的。以下哪一项是对受限或受制约进程的最佳描述？ A.只能在有限时间内运行的进程 B. 只能在一天中某些时间运行的进程 C.只能访问某些内存位置的进程 D.可以控制对客体的访问的进程

5. 当一个可信的主体因为想把信息写进一个较低级别的客体而违反 Bell-LaPadula 的星属性时，会发生什么有效操作？ A. 扰动 B. 无干扰 C.聚合 D.移除安全分类

D 移除安全分类(declassication)是指经判断确定一个客体不再适合在较高涉密级后将其移入较低涉密级的过程。移除安全分类只能由一个可信主体来负责执行，因为这个操作虽然违反了Bell-LaPadula 模型星属性的字面含义，但是并不违反该属性防止未经授权泄露的宗旨或意图。扰动是指为改变信息保密性攻击的方向并将其挫败而在数据库管理系统中使用虚假或误导性数据的行为。无干扰是指限制较高安全级别主体的行动以使它们不影响系统状态或较低安全级别主体的行动的概念。执行无干扰时，将禁止、不允许、不文持对较低級别文件的写操作。聚合是指收集多条不敏感或低价值信恩井将它们组合或聚合到一起以了解敏戀或高价值信息的行为

6.哪种安全方法、机制或模型揭示了一个主体跨多个客体的能力列表？ A. 职责分离 B.访问控制矩阵 C. Biba D. Clark-Wilson

7. 哪种安全模型具有这样的特性：它在理论上有自己的名称或标签，但是在一个解决方案中执行时，却采用安全内核的名称或标签？ A. Graham-Denning 模型 B. Harrison-Ruzzo-UIlman(HRU)模型 C.可信计算基 D. Brewer and Nash 模型

8.Clark- wison 模型通过一种涉及诸多方面的方法实现数据完整性。 Clark-Wilson模型没者定义正式状态机。而是定义了每个数据项和被允许的数据转换。以下哪一项不属于Clark- Wilson 模型访问控制关系的一方？ A. 客体 B. 接口 C.输入清理 D. 主体

C 三元组

9.你在研究新计算机设计所依据的安全模型的过程中发现了可信计算基(TCB)概念。那么，究竟什么是可信计算基呢？ A.在网络上支持安全传输的主机 B. 操作系统内核、其他操作系统组件和设备驱动程序 C.可以协同工作以执行一项安全策略的硬件、软件和控制的组合 D.主体可以访问的预先确定的客体集或域(即一个列表）

10. 什么是安全边界？（选出所有适用答案。） A. 系统周围物理安全区域的边界 B.把TCB 与系统其余部分隔离开的假想边界 C.配备了防火墙的网络 D.与计算机系统的任何连接

11.可信计算基(TCB)是硬件、软件和控制的集合体，它们协同工作，构成了执行安全策略的可信根基。在授予被请求的访问权之前，由TCB概念的哪个部分验证对每个资源的访问？ A. TCB 分区 B. 可信库 C.参考监视器 D.安全内核

12. 安全模型使设计人员得以把抽象陈述投射到为构建硬件和软件规定了必要算法和数据结构的安全策略中。因此可以说，安全模型为设计人员提供了用于街量自己的设计和执行方案的参照物。那么，安全模型的最佳定义是什么？ A．安全模型指出了机构必须遵循的策略。 B. 安全模型提供了执行安全策略的框架。 C.安全模型是对计算机系统每个部分的技术评估，可用于评价系统与安全标准的一致性。 D. 安全秋型用于在单个主机的内存中托管一个或多个操作系统，我运行与主机探作系统不兼容的应用程序。

13：状态机模型描述了一个无论处于什么状态都始终安全的系统。安全状态及模型系统总是以一种安全状态启动，在所有转换中保持一种安全状态，并且只允许主体以符合安全策略的安全方式访问资源。以下哪个安全模型是基于状态机模型构建的？ A. Bell-LaPadula 和获取-授子 B. Biba fI Clark-Wilson C. Clark-Wilson 和 Bell-LaPadula D. Bell-LaPadula 和 Biba

14. 你的任务是为政府的一个新计算机系统设计核心安全機念。概念的使用细节保密，但需要跨多个级别保护保密性。以下哪个安全模型涉及这个语境下的数据保密性问题？ A. Bell-LaPadula B. Biba C. Clark-Wilson D. Brewer and Nash

15, Belllaradula 至级安全模型派生于美国国防部的多级安全政策。主级安全政策规定，具有任何级别许可权的主体可以访问该许可权级别或低于该级别的资源。Bell-LaPadula 模型的哪个属性阻止较低级别的主体访问较高安全级别的客体？ A.（星)安全属性 B. 不可向上写属性 C.不可向上读属性 D.不可向下读属性

16. Biba 模型是在Bell-LaPadula 模型之后被设计出来的。Bell-LaPadula 模型涉及保密性，而 Biba 模型涉及完整性。Biba 模型也建立在状态机概念上，基于信息流，而且是一种多级模型。Biba 模型的简单属性隐含了什么含义？ A. 可向下写 B. 可向上读 C.不可向上写 D.不可向下读

17. “通用准则”定义了测试和确认系统安全能力的各种级别，级别上标注的数字表示执行了哪种测试和确认。“通用准则” 的哪个部分规定了应被供应商纳入受评估对象的安全性能？ A.保护轮廓 B. 评估保证级别 C.授权官员 D. 安全目标

18. 投权官员(A0)可自主确定哪些安全事件或安全变化会导致操作授权(ATO)支失。投权官员还可决定 4 种授权。以下哪些项是 ATO 的例子？（选出所有适用答案。） A. 通用控制授权 B. 相互授权 C.拒绝授权 D.传输授权 E. 使用授权 F. 经过验证的授权

ACE 包括：操作授权、通用控制授权、使用授权和拒绝授权

19. 操作系统的一次更新使以前的系统发生了重大变化。你在测试过程中发现，系统非常不稳定，允许应用程序之间出现完整性违规，容易受本地拒绝服务攻击的影响，并且允许进程之问泄露信息。你怀疑一个关键安全机制已被这次更新禁用或破坏。造成这些问题的可能原因是什么？ A. 虚拟化的使用 B. 缺乏内存保护 C. 没有遵循 Goguen-Meseguer 模型 D.支持存储和传输加密

20. 作为应用程序设计人员，你需要通过执行各种安全机制来保护你的软件将要访问和处理的数据。执行受约束或受限制接口的目的是什么？ A．限制得到授权和未经授权用户的行动 B. 执行身份认证 C.跟踪用户事件和检查违规情况 D.在主内存和次内存之间交换数据集