CISSP回顾：安全模型

系统评测方法：
美国国防部DoD制定的可信计算机系统评测标准（TCSEC），橘皮书。

A，验证保护；B，强制保护；C，自主保护；D，最小保护。

主要涉及的评测主题：安全策略；标识；标签；文档；可稽核性；生命周期保障，持续保护。

C1：自主安全保护；C2：受控访问保护，需要对用户进行标识；B1：标签安全；B2，结构化保护，清楚的制定安全策略，并建立文档。B3：安全域，每一种安全机制都提供了更细的粒度，而对于安全策略的支持来说不必要的变成代码都被排除在外。A，验证设计，保险程度上高于B3级别。

评测过程：由NCSC执行TPEP。然后会加入到EPL当中去。

引用监控器和安全核心：引用监控器是一个抽象机，它是主体对客体所有的访问中介，不但确保主体拥有必要的访问权限，而且保护对客体不会有未经授权的访问以及破坏性的修改行为。安全核心由落入TCB内的机制所构成，它实现并增强了引用监控器的概念，安全核心由仲裁主体和客体之间所有访问和功能的硬件、固件、和软件部件所构成。

安全核心的主要要求：它必须将实行引用监控器概念的进程隔离开来，必须让这些进程不会被篡改；针对每次访问企图，都必须调用引用监控器，而且必须保证不会回避调用。因而必须以一种完整而且十分简单牢固的方式实现引用监控器；引用监控必须验证。着意味着所有由引用监控器作出的决定都应写入审计日志，以便验证其正确性；它必须足够小，能够完整而且全面地对其进行测试和验证。
ITSEC是欧洲评测计算机安全系统的单一标准，将功能和保险度分开评测，F1到F10用于确定系统功能性的级别；E0到E6确定系统的保险程度。

通用规则：保护样板（protectionprofile）；评测保险等级（evaluationassurancelevel）EAL。
EAL1：功能测试：EAL2结构测试；EAL3系统地测试和检查；EAL4系统的设计，测试和复查；EAL5半正式的设计和测试；EAL6半正式验证设计和测试；EAL7正式地验证设计和测试。

保护样板报包括安全需要的集合、他们的含义和推理，以及对应的EAL等级。样板描述了对环境的假设、目标、以及功能和保险等级的期望。每一种有关的威胁都被列举出来，还举出特定的目标该如何控制它。他还证实每一种保护机制其力度的保险等级的要求。

保护样板的内容：描述性的成分：样板的名字，对要予以解决的安全问题的描述；解释：采用样板的理由，要详细的描述要解决的保护问题，阐明环境、假定的用途，以及威胁，还有对遵循这个样板的产品和系统所能支持的安全策略方面的指导；功能要求：建立一个保护边界，这意味这在这个范围内会遇到的威胁或入侵。产品或者系统必须提供在这一部分所建立的边界。开发保险要求：从设计到实现的开发阶段都订立了产品或者系统必须满足的特定的要求。评测保险要求：制定评测的类型和强度。

认证：是出于认可的目的而对安全部件及其一致性进行的技术评测。一个认证过程可以使用保障评测、风险分析、核实、测试和审计技术来评估某个特定的系统的适宜性。

认可：是管理层正式认定系统整体的安全性是充分的。

针对安全模型和体系结构存在的威胁：

隐蔽通道：就是某个实体以一种未经授权的方式接收信息的一条途径，他是一条没有受到安全机制控制的信息流，或者安全机制已经被成功攻破。隐蔽通道的类型：计时通道，一个进程通过调整自己对系统资源的使用来向另一个进程传递信息。对系统资源的调整可以是访问硬盘、使用过多的CPU时钟，或者将磁头定位在硬盘的某个磁道上。隐蔽存储通道就是当一个进程向存储器写入数据时，另外一个进程以直接或间接的方式读取它。

例子：Loki攻击。这种攻击使用ICMP协议进行通信。Loki允许将数据放在ICMP头信息后面，这样的攻击可以通过一个隐蔽的通道与远程系统进行数据交换。应对：使用入侵检测系统，虽然针对操作系统的检测很困难，使用审计功能来尝试和检测隐蔽通道的使用模式。
后门：位于软件中只为开发人员知晓和调用的指令。将其置于软件之中是为了便于维护以及能够步需要重装软件就可以增加功能。

应对：入侵检测，设置文件系统权限来尝试保护配置文件和敏感性信息不被修改，可以增加严格的访问控制首先防止对系统的访问；可以使用文件系统加密方法来保护敏感信息。使用审计手段检测后门的使用。
异步攻击：利用系统完成一项任务所使用步骤的不同时序。TOC/TOU攻击。对策：入侵检测，文件权限和加密；使用审计。

缓冲区溢出：当程序没有检查要输入程序并由CPU处理的数据的长度时，就发生了缓冲区溢出。多出来的数据能够启动经过精心设计、在系统中执行破坏行为的另一个程序或者另一组代码。

对策：编程员要有良好的编码的习惯和正确的编程。使用工具进行监视动态链接库的使用，或者使用能够包围内核的包裹（wrapper）监视调用。