防止信息从高安全等级流向低安全等级的安全策略称为多级安全策略

提取执行

执行指令

寄存器

算术逻辑单元

控制单元

主存储器

数据总线 （1） 是CPU与内存或其他器件之间的数据传送的通道。 （2）数据总线的宽度决定了CPU和外界的数据传送速度。 （3）每条传输线一次只能传输1位二进制数据。eg: 8根数据线一次可传送一个8位二进制数据(即一个字节)。 （4）数据总线是数据线数量之和。 地址总线 （1）CPU是通过地址总线来指定存储单元的。 （2）地址总线决定了cpu所能访问的最大内存空间的大小。eg: 10根地址线能访问的最大的内存为1024位二进制数据(1B) （3）地址总线是地址线数量之和。 控制总线 （1）CPU通过控制总线对外部器件进行控制。 （2）控制总线的宽度决定了CPU对外部器件的控制能力。 （3）控制总线是控制线数量之和。 例题：若内存容量为4GB，字长为32，则______。 A．地址总线和数据总线的宽度都为32 B．地址总线的宽度为30，数据总线的宽度为32 C．地址总线的宽度为30，数据总线的宽度为8 D．地址总线的宽度为32，数据总线的宽度为8 答案:A 内存容量为4GB，即内存单元的地址宽度为32位。字长为32位即要求数据总线的宽度为32位，因此地址总线和数据总线的宽度都为32。

地址总线

数据总线

控制总线

为了提高性能，一些专门计算机装配有多个CPU

两种模式：

进程的三种状态及转换 1.进程的三种基本状态 进程在运行中不断地改变其运行状态。通常，一个运行进程必须具有以下三种基本状态。 就绪(Ready)状态 当进程已分配到除CPU以外的所有必要的资源，只要获得处理机便可立即执行，这时的进程状态称为就绪状态。 执行（Running）状态 当进程已获得处理机，其程序正在处理机上执行，此时的进程状态称为执行状态。 阻塞(Blocked)状态 正在执行的进程，由于等待某个事件发生而无法执行时，便放弃处理机而处于阻塞状态。引起进程阻塞的事件可有多种，例如，等待I/O完成、申请缓冲区不能满足、等待信件(信号)等。 2.进程三种状态间的转换 进程状态变迁图 一个进程在运行期间，不断地从一种状态转换到另一种状态，它可以多次处于就绪状态和执行状态，也可以多次处于阻塞状态。图3_4描述了进程的三种基本状态及其转换。 (1) 就绪→执行 处于就绪状态的进程，当进程调度程序为之分配了处理机后，该进程便由就绪状态转变成执行状态。 (2) 执行→就绪 处于执行状态的进程在其执行过程中，因分配给它的一个时间片已用完而不得不让出处理机，于是进程从执行状态转变成就绪状态。 (3) 执行→阻塞 正在执行的进程因等待某种事件发生而无法继续执行时，便从执行状态变成阻塞状态。 (4) 阻塞→就绪 处于阻塞状态的进程，若其等待的事件已经发生，于是进程由阻塞状态转变为就绪状态。

就绪

运行

阻塞

重要进程的功能不能被其他进程中断

操作系统负责设定处理各种进程的优先顺序

可屏蔽中断

不可屏蔽中断

通过控制CPU分时的算法

面临威胁：

进程之间必须共享资源，彼此协调，从而确保一个维护其完整性的安全稳定的计算环境

为了保护进程不受彼此影响，操作系统实施了进程隔离

进程隔离方法

进程指的是程序的指令以及操作系统分配给进程的所有资源；

当进程需要传送数据给CPU进行处理时，他会生成一个线程； 线程能够由一个单独的指令集和需要由CPU处理的数据构成。

进程创建的每个线程共享建立该进程的相同资源

一个处理器允许多个程序的将交叉运行， 即两个或两个以上程序在计算系统中同处于开始和结束之间的状态： 多道、宏观上并行，微观上串行。

操作系统能够在内存同时加载几个程序

面临威胁：

单个处理器对两个或两个以上的任务并行执行、交叉执行。

实时多任务、抢占式多任务、协作式多任务

windows2000、linux、IBM OS/390

使用两个或两个以上的处理器进行并行处理：多处理器，2种方式

动态地为一个程序分配多个CPU

多个计算机协同工作解决一个问题 （并行处理）

一个应用可同时进行多个调用，由不同的线程完成

可以管理一个应用的多个请求

为编程人员提供一个抽象层

通过有限的可用内存提供最高性能

保护操作系统与加载内存的应用程序

寄存器>高速缓存>主存储器>交换空间->硬盘存储

重新部署

保护

共享

逻辑组织

物理组织

基本寄存器， （base register）

界限寄存器， （limit register）

线程中包含需要处理的指令和数据的地址，CPU将这一地址与基本寄存器和界限寄存器的地址进行比较 保障线程不会试图访问其他边界以外的存储器段。

为提供保护，应验证每个地址引用

两个或两个进程可以共享对相同存储器段的访问，不过访问权限可能不同

可为不同的指令和数据分配不同的保护级别

进程不能生成一个未经许可的地址或访问一个未经许可的存储器段

内存无法正常释放而引发的系统性能下降

对策：

随机存储器

只读存储器

闪存，Flash

高速缓存存储器

存储器映射

虚拟存储器

可编程I/O

中断驱动I/O

使用DMA的I/O

映射前I/O

全面映射I/O

块设备

字符设备

0环 操作系统内核

1环 操作系统的其余部分

2环 I/O驱动程序和实用工具

3环 应用程序和用户活动

进程激活设计CPU在将要处理某个进程 的指令和数据时必定会发生的活动

如果一个进程需要调用另一个 更高保护环中的进程，这时就要执行域交换

安全边界是一个假象的边界

可信的部件位于其中（那些构成TCB的部件）， 而不可信的部件则处于边界之外。

引用监控器是一个抽象机，他是主体对客体进行所有访问的中介， 确保主体拥有必要的访问权限，而且保护对客体不会有未经授权的访问以及破坏性。

引用监控器是一个访问控制的概念；

根据访问控制数据库，对主体对客体的访问请求作出是否允许的裁决， 并将该请求记录到审计数据库中。 注意：基准监视器有点那个太维护访问控制数据库的能力

特性：

安全内核由落入TCB内的硬件、固件和软件部件所构成， 实现增强了引用监控器的概念

安全内核仲裁主体和客体之间的所有访问的功能，是TCB的核心部分， 而且是构建可信计算系统最常用的方法

理论基础：

安全内核有3条要求：

三个原则：

状态机模型描述了一种无论出于何种状态都是安全的系统

一个状态是出于特定时刻系统的一个快照， 如果该状态所有方面都满足安全策略的要求，就称之为安全的

许多活动可能会改变系统状态，称为状态迁移， 迁移总是导致新的状态出现。

如果所有行为都在系统中允许并且不为己系统使之处于不安全状态， 则系统执行一个——安全状态机模型

一个安全的状态机模型系统，总是从一个安全状态启动， 并且在所有迁移过程中保持安全状态， 只允许主体以和安全策略相一致的安全方式来访问资源

信息流模型中，数据被看作保存在独立的分割区间内

BLP是一种信息流模型，确保信息不会以威胁数据机密性的方式 从一个分隔区间流入另一个分隔区间

Biba模型则根据完整性级别对数据进行分隔

信息流模型并不是只处理信息流向，也可以处理流类型

分类

“知其所需“

它是多级安全策略的第一个算术模型，用于定义安全状态机的概念， 访问的模式以及概述访问的规则

主要目标是防止未授权的方式访问秘密信息

采用BLP模型的系统被称为多级安全系统，基于强制访问控制系统

是一种信息流安全模型，它实施了访问控制的机密性。

简单安全规则

×属性规则

强星规则

如果系统在安全的状态下启动，而且所有允许的状态转换都是安全的， 那么无论出现什么输入，随后的每个状态都是安全的

信息流安全模型

只对机密性进行处理

运用状态机模型和状态转换的概念

基于政府信息分级

不能防止隐蔽通道

不针对使用文件共享和服务器的现代信息系统

没有明确定义何谓安全状态转换

基于多级安全保护而未针对其他策略类型

不涉及访问控制管理

不保护完整性和可用性

运用状态机模型和和状态转换的概念

BiBA基于一种层次化的完整性级别格子，是一种信息流安全模型

解决应用程序内数据完整性问题

主要目标：防止数据从任何完整性级别流入到较高的完整性级别中

简单完整性公理

×完整性公理:

调用属性

基于小于或等于关系的偏序格

数据和用户分级

强制访问控制

实现了完整性的第一条。

保护数据不被未授权用户更改

保护数据不被授权用户月全修改（未授权修改）

维持数据内部和外部的一致性

经常应用在银行应用中以保证数据完整性

实现基于成型的事务处理机制

要求完整性标记

完整性模型

用户

转换过程 （Transformaition Procedure，TP）

约束数据项 （Constrained Data Item，UDI）

非约束数据项， （unconstrained Data Item，UDI）

完整性验证过程（Integrity erification Procedure，IVP）

主体（用户）、程序（TP）和客体（CDI）

不使用TP主体就不能更改CDI

well-formed transactions 格式良好的事务处理：

separation of duties， 职责分离

要求具有审计能力

也成为受限面模型（restricted interface model）

能够实现完整性的三个目标。

应用在多边安全系统的中的安全模型，应用在可能存在利益冲突的组织中， 最初为投资银行设计的。

防止用户访问被认为具有利益冲突的数据

用户必须选择一个它可以访问的区域

用户必须自动拒绝来自其他与用户所选区域的利益冲突区域的访问

基于信息流模型的

该模型同时包括DAC和MAC的属性，银行家可以选择为谁工作（DAC）， 一旦选定他就被只能为该客户工作（MAC）

Lattice模型通过划分安全边界对BLP模型进行了扩充，他将用户和资源进行分类， 并允许他们之间交换信息，这是多边安全体系的基础

多边安全的焦点是不同的安全集束（部门，组织等）间控制信息的流动， 而不仅是垂直检验其敏感级别

一个主体可以属于多个安全集束，而一个客体仅能位于一个安全集束

Lattice模型本质上同BLP模型相同，Lattice模型更关注中形成”安全集束“

非干涉模型并不关心信息流，而是关心影响系统状态又怎样的变化

例如：位于较高安全级别的某个实体执行一项操作， 那么它不能改变位于较低级别的实体的状态

A:验证保护级

B：强制保护级

C:自主保护级

D:最小保护级

安全策略、可问责性、保证和文档化

安全策略

标识

标签

文档化

可问责性

生命周期保证

持续保护

橘皮书专门针对操作系统，而没有重视网络、数据库等其他问题。

橘皮书主要着眼于安全的一个属性，即机密性，而没有考虑完整性和可用性。

橘皮书主要适用于政府分级，而不能用于商业领域的保护分级。

橘皮书中的等级数量相对较少，意味着安全领域的许多不同方面没有得到独立的评估和评级 。

解决单个系统的安全问题，

他主要针对独立局域网和广域网系统。

通信完整性

防止拒绝服务攻击

泄漏保护

产品和系统

安全增强机制

安全策略

安全功能需求

安全保证需求

EAL1：功能测试

EAL2：结构测试

EAL3:系统地测试和检查

EAL4：系统地设计、测试和检查

EAL5：半正式地设计和测试

EAL6：版正式的验证设计和测试

EAL7：正式地验证设计和测试

第一部分：介绍和一般模型

第二部分：安全功能需求

第三部分：安全保障

功能要求

保障要求

class类（如用户数据保护-FDP）

family子类（如访问控制-FDP_ACC）

subdivision组件（如子集访问控制-FDP_ACC.1）

CC将传统的安全要求分成不能再分的构建块

用户/开发者可以组织这些要求

组件可以进一步细化

不涉及行政管理安全措施的安全评估

不专门针对信息技术/安全技术的物理方面（如电磁辐射的评估）

不好扩密码算法强度方面的评估

处于坚定的目的而对安全组件及其一致性进行全面的技术评估。

认证是评定安全机制和评估安全效果的一种技术审查

管理层对系统整体安全和功能的充分性的正式认定

鉴定管理层正式接受认证过程中的调查结果

是指业务驱动力和法律法规要求通过安全体系结构得到满足。

企业进行风险评估

业务促进指核心业务流程应整合到安全操作模型中， 他们必须以标准为基础， 并且遵循一个基于风险承受度的标准。

如果充分利用流程改进（process enhancement）这项功能，组织能够从中获得相当大的利益。 如果一家组织认真对待环境安全问题， 这表示他们会密切关注持续发生的许多业务流程。

安全效率（security effectiveness）一般设计制定标准以满足服务等级协议（SLA）要求、 投资回报（ROI）、满足设定的极限， 并为管理层提供一个仪盘表或平衡计分卡系统。

产品开发中的疏忽。

软件中实施的访问控制不当。

两个实体之间存在共享资源。

计时（Timing）

存储（Storage）

能够容忍的隐蔽通道数量通常取决于系统的安全评级。 通用评级为EAL6的系统比EAL3的系统隐蔽通道更少，因为与EAL3评级相比。

构造和开发系统时候来解决他们

执行审计，检测任何后门使用。

使用文件系统加密技术保护敏感信息。

使用主机入侵检测系统监视通过后门进入系统的攻击者。

要避免竞争条件攻击，最好不要分解能够改变顺序的关键任务，关键任务具有原子性

为防止TOC/TOU攻击，如果操作系统能够应用软件锁，最好在它执行“检查”任务时锁定它将要使用的项目。

执行代码审查，以识别缓冲区溢出漏洞。