目录

一、安全架构概述

1.1 信息安全面临的威胁

1.1.1 安全威胁分类

1.1.2 常见的安全威胁

1.2 安全架构的定义和范围

二、安全模型

2.1 状态机模型

2.2 Bell-LaPadula模型

2.3 Biba模型

2.4 Clark-Wilson模型

2.5 Chinese Wall 模型

往期推荐

---

 

一、安全架构概述

1.1 信息安全面临的威胁

        在信息系统的整个生命周期中，安全保障应包括技术、管理、人员和工程过程的整体安全，以及相关组织机构的健全等。目前，网络与信息安全风险类别可以分为人为蓄意破坏（被动型攻击，主动型攻击）、灾害性攻击、系统故障、人员无意识行为，如下图所示：

1.1.1 安全威胁分类

        对于信息系统来说，威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系
统以及管理系统等方面。
        物理安全威胁是指对系统所用设备的威胁，如自然灾害、电源故障、操作系统引导失败或数据库信息丢失、设备被盗/被毁造成数据丢失或信息泄露；
        通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰；
        网络安全威胁是指由于互联网的开放性、国际化的特点，人们很容易通过技术手段窃取互联网信息，对网络形成严重的安全威胁；
        操作系统安全威胁是指对系统平台中的软件或硬件芯片中植入威胁，如“木马”和“陷阱门”、BIOS 的万能密码；
        应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁，也受到“木马”和“陷阱门”的威胁；
        管理系统安全威胁是指由于人员管理上疏忽而引发人为的安全漏洞，如人为的通过拷贝、拍照、抄录等手段盗取计算机信息。

1.1.2 常见的安全威胁

        （1）信息泄露。信息被泄露或透露给某个非授权的实体。
        （2）破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。
        （3）拒绝服务。对信息或其他资源的合法访问被无条件地阻止。
        （4）非法使用（非授权访问）。某一资源被某个非授权的人或以非授权的方式使用。
        （5）窃听。用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。如对通信线路中传输的信号进行搭线监听，或利用通信设备在工作过程中产生的电磁泄漏截取有用信息等。
        （6）业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等态势进行研究，从而发现有价值的信息和规律。
        （7）假冒。通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒的方式进行攻击。
        （8）旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”。利用这些“特性”，攻击者就可以绕过防线守卫者侵入系统的内部。
        （9）授权侵犯。被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授
权的目的，也称作“内部攻击”。
        （10）特洛伊木马。软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马。
        （11）陷阱门。在某个系统或某个部件中设置了“机关”，使得当提供特定的输入数据时，允许违反安全策略。
        （12）抵赖。这是一种来自用户的攻击，例如，否认自己曾经发布过的某条消息、伪造一份对方来信等。
        （13）重放。所截获的某次合法的通信数据备份，出于非法的目的而被重新发送。
        （14）计算机病毒。所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。
        （15）人员渎职。一个授权的人为了钱或利益，或由于粗心，将信息泄露给一个非授权的人。
        （16）媒体废弃。信息被从废弃的磁盘或打印过的存储介质中获得。
        （17）物理侵入。侵入者通过绕过物理控制而获得对系统的访问。
        （18）窃取。重要的安全物品遭到窃取，如令牌或身份卡被盗。
        （19）业务欺骗。某一伪系统或系统部件欺骗合法的用户，或使系统自愿地放弃敏感信息。

1.2 安全架构的定义和范围

        安全架构是架构面向安全性方向上的一种细分，通常的产品安全架构、安全技术体系架构和审计架构可组成三道安全防线。

        （1）产品安全架构：构建产品安全质量属性的主要组成部分以及它们之间的关系。产品安全架构的目标是如何在不依赖外部防御系统的情况下，从源头打造自身安全的产品。

        （2）安全技术体系架构：构建安全技术体系的主要组成部分以及它们之间的关系。安全技术体系架构的任务是构建通用的安全技术基础设施，包括安全基础设施、安全工具和技术、安全组件与支持系统等，系统性地增强各产品的安全防御能力。

        （3）审计架构：独立的审计部门或其所能提供的风险发现能力，审计的范围主要包括安全风险在内的所有风险。

二、安全模型

        信息系统的安全目标是控制和管理主体(含用户和进程)对客体(含数据和程序)的访问。

        安全模型是准确地描述安全的重要方面及其与系统行为的关系，安全策略是从安全角度为系统整体和构成它的组件提出基本的目标。安全模型提供了实现目标应该做什么，不应该做什么，具有实践指导意义，它给出了策略的形式。如下图是对安全模型的分类方法：

        注：
        ● HRU: 访问控制矩阵模型 (Harrison Ruzzo Ullman);
        ● MAC: 强制访问控制模型 (Mandatory Access Control);
        ● DAC: 自主访问控制模型 (Discretionary Access Control);
        ● RBAC: 基于角色的访问控制模型 (Role-Based Access Control) 。

2.1 状态机模型

        状态机模型描述了一种无论处于何种状态都是安全的系统。它是用状态语言将安全系统描述成抽象的状态机，用状态变量表述系统的状态，用转换规则描述变量变化的过程。
        状态机模型中一个状态 (state)是处于系统在特定时刻的一个快照。如果该状态所有方面满足安全策略的要求，则称此状态是安全的。

2.2 Bell-LaPadula模型

        Bell-LaPadula模型使用主体、客体、访问操作(读、写、读/写)以及安全级别这些概念，当主体和客体位于不同的安全级别时，主体对客体就存在一定的访问限制。通过该模型可保证信息不被不安全主体访问。对Bell-LaPadula模型基本原理进行描述如下图所示：

        （1）安全级别是“机密”的主体访问安全级别为“绝密”的客体时，主体对客体可写不可读。
        （2）安全级别是“机密”的主体访问安全级别为“机密”的客体时，主体对客体可写可读。
        （3）安全级别是“机密”的主体访问安全级别为“秘密”的客体时，主体对客体可读不可写。 

        Bell-LaPadula模型的安全规则如下：

        (1)简单安全规则(Simple Security Rule): 安全级别低的主体不能读安全级别高的客体
(No Read Up);只能下读
        (2)星属性安全规则(Star Security Property): 安全级别高的主体不能往低级别的客体写
(No Write Down);只能上写
        (3)强星属性安全规则(Strong Star Security Property): 不允许对另一级别进行读写；
        (4)自主安全规则(Discretionary Security Property): 使用访问控制矩阵来定义说明自由存
取控制。其存取控制体现在内容相关和上下文相关

2.3 Biba模型

        Biba模型不关心信息机密性的安全级别，因此它的访问控制不是建立在安全级别上，而是建立在完整性级别上。Bell-LaPadula模型基本原理进行描述如下图所示。

        完整性的三个目标：保护数据不被未授权用户更改；保护数据不被授权用户越权修改(未授权更改)；维持数据内部和外部的一致性。

        （1）当完整性级别为“中完整性”的主体访问完整性为“高完整性”的客体时，主体对客
体可读不可写 (No Write Up),也不能调用主体的任何程序和服务；
        （2）当完整性级别为“中完整性”的主体访问完整性为“中完整性”的客体时，主体对客
体可读读可写；
        （3）当完整性级别为“中完整性”的主体访问完整性为“低完整性”的客体时，主体对客
体可写不可读； (No Read Down)。

        Biba模型能够防止数据从低完整性级别流向高完整性级别，其安全规则如下：

        （1）星完整性规则(*-integrity Axiom)：表示完整性级别低的主体不能对完整性级别高的客
体写数据；只能下写
        （2）简单完整性规则(Simple Integrity Axiom)：表示完整性级别高的主体不能从完整性级
别低的客体读取数据；只能上读
        （3）调用属性规则(Invocation Property)：表示一个完整性级别低的主体不能从级别高的客
体调用程序或服务。

2.4 Clark-Wilson模型

        CWM 是一种将完整性目标、策略和机制融为一体的模型。为了体现用户完整性， CWM 提出了职责隔离 (Separation of Duty)目标；为了保证数据完整性， CWM 提出了应用相关的完整性验证进程；为了建立过程完整性， CWM 定义了对于变换过程的应用相关验证。CWM 模型的基本原理进行了描述如下图所示：

        （1）需要进行完整性保护的客体称之为CDI, 不需要进行完整性保护的客体称之为 UDI;
        （2）完整性验证过程(Integrity Verification Procedure,IVP): 确认限制数据项处于一种有效状态，如果 IVP 检 验CDI符合完整性约束，则系统处于一个有效状态；
        （3）转换过程(Transformation Procedures,TP): 将数据项从一种有效状态改变至另一种有效状态。

        CWM 的主要特征是：

        （1）采用Subject/Program /Object三元素的组成方式。 Subject要访问Object只能通过 Program 进行；
        （2）权限分离原则：将要害功能分为有2个或多个Subject完成，防止已授权用户进行未授权的修改；
        （3）要求具有审计能力(Auditing)。

2.5 Chinese Wall 模型

        Chinese Wall模型(又名Brew and Nash 模型，最初是由 Brewer和Nash 提出)是应用在多边安全系统中的安全模型。也就是说，是指通过行政规定和划分、内部监控、 IT 系统等手段防止各部门之间出现有损客户利益的利益冲突事件。

        Chinese Wall模型的安全策略的基础是客户访问的信息不会与当前他们可支配的信息产生冲
突。在投资银行中，一个银行会同时拥有多个互为竞争者的客户，一个银行家可能为一个客户
工作，但他可以访问所有客户的信息。因此，应当制止该银行家访问其他客户的数据。Chinese Wall模型同时包括DAC和MAC 的属性，是强制访问控制模型 (MAC) 的一种混合策略模型，比如银行家可以选择为谁工作 (DAC),一旦选定，他就只能为该客户工作 (MAC)。 Chinese Wall模型的基本原理如下图所示：        

        Chinese Wall模型的访问客体控制的安全规则如下：

        （1）与主体曾经访问过的信息属于同一公司数据集合的信息，即墙内信息可以访问；
        （2）属于一个完全不同的利益冲突组的可以访问；
        （3）主体能够对一个客体进行写的前提是主体未对任何属于其他公司数据集进行过访问。

        定理1: 一个主体一旦访问过一个客体，则该主体只能访问位于同一公司数据集的客体或
在不同利益组的客体。
        定理2: 在一个利益冲突组中，一个主体最多只能访问一个公司数据集。

往期推荐

【系统架构设计师】二十二、嵌入式系统架构设计理论与实践①-CSDN博客文章浏览阅读318次，点赞11次，收藏12次。嵌入式操作系统 (Embedded Operating System,EOS)是指用于嵌入式系统的操作系统。通常包括与硬件相关的底层驱动软件、系统内核、设备驱动接口、通信协议、图形界面、标准化浏览器等。嵌入式操作系统与通用操作系统相比，具备以下主要特点：可剪裁性，可移植性，强实时性，强紧凑性，高质量代码，强定制性，标准接口，强稳定性，弱交互性，强确定性，操作简捷、方便，较强的硬件适应性，可固化性。https://blog.csdn.net/g984160547/article/details/140791124【系统架构设计师】二十一、面向服务架构设计理论与实践①-CSDN博客文章浏览阅读552次，点赞18次，收藏11次。为适应日益增长的用户访问量和产品的快速更新迭代，导致SOA 架构向更细粒度、更通用化程度发展，就成了所谓的微服务了。 SOA 与微服务的区别在于如下几个方面：(1)微服务相比于SOA 更加精细，微服务更多地以独立的进程的方式存在，互相之间并无影响；(2)微服务提供的接口方式更加通用化，例如HTTP RESTful 方式，各种终端都可以调用，无关语言、平台限制；(3)微服务更倾向于分布式去中心化的部署方式，在互联网业务场景下更适合。https://blog.csdn.net/g984160547/article/details/140764750