安全架构与设计/系统安全架构

安全架构是产品整体架构的一个组成部分，其开发目的是在产品设计过程中提供指导。它概述了所需的保证级别以及这种安全级别可能在开发阶段和整个产品中产生的潜在影响。

安全就像性能、能力、成本等一样，是一个系统需求。因此，可能需要权衡某些安全需求来获得其他需求。

安全设计原则

• 从一开始就将安全设计进去
• 允许未来的安全增强
• 最小化和隔离安全控制
• 使用最小权限
• 构建安全相关的功能
• 使安全友好
• 不要依赖保密来实现安全

软件安全原则

• 保护最薄弱的环节
• 实行纵深防御
• 安全失败 - 如果您的软件必须失败，请确保它以安全的方式失败
• 遵循最小权限原则
• 分隔 - 通过将系统划分为单元来最大限度地减少破坏的程度
• 保持简单 - 复杂的设计永远不容易理解
• 促进隐私 - 尽量不要做任何损害用户隐私的事情
• 记住隐藏秘密很难
• 不愿信任 - 您应该不愿扩展信任，而不是做出需要保持真实的假设
• 利用您的社区资源 - 公开审查促进信任

保护机制的设计原则

• 最小权限 - 应该只拥有完成您的任务所需的权限。
• 机制的经济性 - 应该足够小，并且尽可能简单，以便进行验证和实施 - 例如，安全内核。复杂的机制应该被正确地理解、建模、配置、实施和使用
• 完全中介 - 必须检查对每个对象的每次访问
• 开放设计 - 让设计开放。通过模糊来实现安全是一个坏主意
• 应该对社区开放审查 - 更好地让朋友/同事发现错误，而不是让敌人发现
• 特权分离 - 对对象的访问应取决于多个条件的满足
• 最小公共机制 - 最小化多个用户共有的机制，并由所有用户依赖
• 心理可接受性 - 用户界面必须易于使用，以便用户可以常规地、自动地正确应用机制。否则，它们将被绕过
• 安全失败默认值。应该是缺乏访问权限

概述

• 可信计算基 (TCB) 是计算机系统中所有保护机制的组合。
• TCB 涵盖了系统中硬件、软件和固件的所有安全组件。
• 它不解决系统提供的安全级别，而是解决系统提供的信任级别，因为没有计算机系统可以完全安全
• 如果启用 TCB，则系统将具有可信路径、可信外壳和系统完整性检查功能
  • 可信路径是用户或程序与内核之间的通信通道。TCB 提供保护资源以确保此通道绝不会以任何方式受到损害
  • 可信外壳意味着在该外壳中工作的人无法“冲出”它，其他进程也无法“冲入”它。
• TCB 包含直接执行安全策略的组件（是一组规则和实践，规定了如何管理、保护和分发敏感信息和资源）。

TCB 的基本功能

• 进程激活 - 处理当进程即将由 CPU 处理其指令和数据时必须执行的活动。
• 执行域切换 - 当进程需要调用更高保护环中的进程时发生。
• 内存保护和
• I/O 操作

评估 TCB

• 评估系统的信任级别包括识别构成 TCB 的架构、安全服务和保证机制。
• 在评估过程中，测试必须显示如何保护 TCB 免受意外或有意篡改和破坏活动的侵害。
• 为了使系统获得更高的信任级别评级，它们必须满足定义明确的 TCB 要求，并且其操作状态、开发阶段、测试程序和文档的详细信息将比试图获得较低信任级别的系统更详细地进行审查。

参考监视器和安全内核

• 参考监视器是一种抽象机器，它协调所有主体对对象的访问，既要确保主体拥有必要的访问权限，又要保护对象免受未经授权的访问和破坏性修改。
• 安全内核由属于 TCB 的硬件、软件和固件组件组成，并实现和执行参考监视器概念。
• 安全内核协调主体和对象之间的所有访问和功能。安全内核是 TCB 的核心，是构建可信计算系统最常用的方法。安全内核有三个主要要求
  • 它必须为执行参考监视器概念的进程提供隔离，并且这些进程必须防篡改。
  • 它必须在每次访问尝试时被调用，并且必须不可能绕过它。因此，安全内核必须以完整且万无一失的方式实施。
  • 它必须足够小，以便能够以完整和全面的方式进行测试和验证。

安全边界

• 安全边界是划分可信与不可信的边界。
• 为了使系统保持安全和可信状态，必须开发精确的通信标准，以确保当 TCB 中的组件需要与 TCB 外部的组件通信时，通信不会使系统暴露于意外的安全损害。这种类型的通信通过接口进行处理和控制。

关系

• 参考监视器是一种概念，其中抽象机器协调主体对对象的访问。
• 安全内核是 TCB 的硬件、固件和软件，它实现了这个概念。
• TCB 是计算机系统中所有保护机制的总和，它们协同工作以执行安全策略。TCB 包含安全内核和所有其他安全保护机制

概述

• 系统可以根据处理数据的敏感程度、用户的许可级别以及这些用户被授权执行的操作以不同的模式运行。
• 操作模式描述了系统实际运行时的安全条件。
• 信任与保证
  • 信任是信心或信念的程度，它告诉客户他可以从系统中获得多少保护。
  • 在可信系统中，所有保护机制协同工作以处理许多类型用途的敏感数据，并提供每个分类级别的必要保护级别
  • 保证是更高层次的信心，它从更深入和更详细的角度看待同一个问题，其中系统经过彻底检查。

专用安全模式 所有用户必须具有...

• 对系统中所有信息的适当许可
• 对系统中所有信息的正式访问批准
• 对系统中所有信息的签署 NDA
• 对系统中所有信息的有效知情权

所有用户都可以访问所有数据。

系统高安全模式 所有用户必须具有...

• 对系统中所有信息的适当许可
• 对系统中所有信息的正式访问批准
• 对系统中所有信息的签署 NDA
• 对于系统中的某些信息，需要有正当的知情权。

所有用户都可以访问某些数据，这取决于他们需要知道的信息。

分隔安全模式 所有用户必须具备…

• 系统中最高级别数据分类的适当许可
• 对他们将在系统上访问的所有信息的正式访问批准
• 对他们将在系统上访问的所有信息的签署的保密协议
• 对于系统中的某些信息，需要有正当的知情权。

所有用户都可以访问某些数据，这取决于他们的知情权和正式的访问批准。

多级安全模式 所有用户必须具备…

• 对他们将在系统上访问的所有信息的适当许可
• 对他们将在系统上访问的所有信息的正式访问批准
• 对他们将在系统上访问的所有信息的签署的保密协议
• 对于系统中的某些信息，需要有正当的知情权。

所有用户都可以访问某些数据，这取决于他们的知情权、许可和正式的访问批准。