CISSP 要点-第五章安全体系结构和设计 两个系统可以有完全相同的硬件、软件和应用程序,但却会因为建立在不同的安全策略和安全模型之上而提供不同的保护级别。 CPU 包括一个控制单元,它控制指令和数据执行的时序;还包含一个ALU(算术逻辑单元),它执行算术功能和逻辑操作。 逻辑单元),它执行算术功能和逻辑操作。 绝大多数系统都使用保护环(Protection Ring)进程的特权级别越高,则运行编号越小的保护环中,它就能访问全部或者大部分的系统资源。应用程序运行在编号越大的保护环中,它能访问的资源就越少。 操作系统的进程运行在特权或监控模式中,应用程序运行在用户模式中,也称为“问题”状态。 次级存储(Second Storage)是永久性的,它可以是硬盘、CD-ROM、软驱、磁带备份或者U 盘。 虚存(Virtual Storage)由RAM 和次级存储所构成,系统因此看起来具有很大一块存储器。 当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。 安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。 安全机制越复杂,它能提供的保险程度就越低。 并不是所有的系统组成部分都要处于TCB 范围内;只有那些直接以及需要实施安全策略的部件才是。这些部分要位于安全边界内。 构成TCB 的组成部分有硬件、软件、固件。因为它们都提供了某种类型的安全保护功能。 安全边界(Security Perimeter)是一个假想的边界线,可信的部件位于其中(那些构成TCB 的部件), 而不可信的部件则处于边界之外。 引用监控器(Reference Monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有必要的访问权限。因此,它是主体对客体所有访问的中介。 安全内核(Security Kernel)是实际落实引用监控器规则的机制。 安全内核必须隔离实施引用监控器概念的进程、必须不会被篡改、必须被每次访问企图调用,而且必须小到足以能正确地测试。 安全域(Security Domain)是一个主体能够用到的全部客体。 进程需要进行隔离,这可以通过内存分段寻址、对象封装、共享资源时分复用、命名区分和虚拟映射来做到。 系统提供的安全水平取决于它落实安全策略的程度有多大。 多级安全系统能受理属于不同类别(安全等级)的数据,具有不同访问级(安全等级)的用户都能够使用该系统。 应该赋予进程最小的特权,以便使其具有的系统特权只够履行它们的任务,没有多余。 有些系统在架构上提供不同层次的功能,这称...