安全架構與設計/系統安全架構

安全架構是產品整體架構的一個組成部分，其開發目的是在產品設計過程中提供指導。它概述了所需的保證級別以及這種安全級別可能在開發階段和整個產品中產生的潛在影響。

安全就像效能、能力、成本等一樣，是一個系統需求。因此，可能需要權衡某些安全需求來獲得其他需求。

安全設計原則

• 從一開始就將安全設計進去
• 允許未來的安全增強
• 最小化和隔離安全控制
• 使用最小許可權
• 構建安全相關的功能
• 使安全友好
• 不要依賴保密來實現安全

軟體安全原則

• 保護最薄弱的環節
• 實行縱深防禦
• 安全失敗 - 如果您的軟體必須失敗，請確保它以安全的方式失敗
• 遵循最小許可權原則
• 分隔 - 透過將系統劃分為單元來最大限度地減少破壞的程度
• 保持簡單 - 複雜的設計永遠不容易理解
• 促進隱私 - 儘量不要做任何損害使用者隱私的事情
• 記住隱藏秘密很難
• 不願信任 - 您應該不願擴充套件信任，而不是做出需要保持真實的假設
• 利用您的社群資源 - 公開審查促進信任

保護機制的設計原則

• 最小許可權 - 應該只擁有完成您的任務所需的許可權。
• 機制的經濟性 - 應該足夠小，並且儘可能簡單，以便進行驗證和實施 - 例如，安全核心。複雜的機制應該被正確地理解、建模、配置、實施和使用
• 完全中介 - 必須檢查對每個物件的每次訪問
• 開放設計 - 讓設計開放。透過模糊來實現安全是一個壞主意
• 應該對社群開放審查 - 更好地讓朋友/同事發現錯誤，而不是讓敵人發現
• 特權分離 - 對物件的訪問應取決於多個條件的滿足
• 最小公共機制 - 最小化多個使用者共有的機制，並由所有使用者依賴
• 心理可接受性 - 使用者介面必須易於使用，以便使用者可以常規地、自動地正確應用機制。否則，它們將被繞過
• 安全失敗預設值。應該是缺乏訪問許可權

概述

• 可信計算基 (TCB) 是計算機系統中所有保護機制的組合。
• TCB 涵蓋了系統中硬體、軟體和韌體的所有安全元件。
• 它不解決系統提供的安全級別，而是解決系統提供的信任級別，因為沒有計算機系統可以完全安全
• 如果啟用 TCB，則系統將具有可信路徑、可信外殼和系統完整性檢查功能
  • 可信路徑是使用者或程式與核心之間的通訊通道。TCB 提供保護資源以確保此通道絕不會以任何方式受到損害
  • 可信外殼意味著在該外殼中工作的人無法“衝出”它，其他程序也無法“衝入”它。
• TCB 包含直接執行安全策略的元件（是一組規則和實踐，規定了如何管理、保護和分發敏感資訊和資源）。

TCB 的基本功能

• 程序啟用 - 處理當程序即將由 CPU 處理其指令和資料時必須執行的活動。
• 執行域切換 - 當程序需要呼叫更高保護環中的程序時發生。
• 記憶體保護和
• I/O 操作

評估 TCB

• 評估系統的信任級別包括識別構成 TCB 的架構、安全服務和保證機制。
• 在評估過程中，測試必須顯示如何保護 TCB 免受意外或有意篡改和破壞活動的侵害。
• 為了使系統獲得更高的信任級別評級，它們必須滿足定義明確的 TCB 要求，並且其操作狀態、開發階段、測試程式和文件的詳細資訊將比試圖獲得較低信任級別的系統更詳細地進行審查。

參考監視器和安全核心

• 參考監視器是一種抽象機器，它協調所有主體對物件的訪問，既要確保主體擁有必要的訪問許可權，又要保護物件免受未經授權的訪問和破壞性修改。
• 安全核心由屬於 TCB 的硬體、軟體和韌體元件組成，並實現和執行參考監視器概念。
• 安全核心協調主體和物件之間的所有訪問和功能。安全核心是 TCB 的核心，是構建可信計算系統最常用的方法。安全核心有三個主要要求
  • 它必須為執行參考監視器概念的程序提供隔離，並且這些程序必須防篡改。
  • 它必須在每次訪問嘗試時被呼叫，並且必須不可能繞過它。因此，安全核心必須以完整且萬無一失的方式實施。
  • 它必須足夠小，以便能夠以完整和全面的方式進行測試和驗證。

安全邊界

• 安全邊界是劃分可信與不可信的邊界。
• 為了使系統保持安全和可信狀態，必須開發精確的通訊標準，以確保當 TCB 中的元件需要與 TCB 外部的元件通訊時，通訊不會使系統暴露於意外的安全損害。這種型別的通訊透過介面進行處理和控制。

關係

• 參考監視器是一種概念，其中抽象機器協調主體對物件的訪問。
• 安全核心是 TCB 的硬體、韌體和軟體，它實現了這個概念。
• TCB 是計算機系統中所有保護機制的總和，它們協同工作以執行安全策略。TCB 包含安全核心和所有其他安全保護機制

概述

• 系統可以根據處理資料的敏感程度、使用者的許可級別以及這些使用者被授權執行的操作以不同的模式執行。
• 操作模式描述了系統實際執行時的安全條件。
• 信任與保證
  • 信任是信心或信念的程度，它告訴客戶他可以從系統中獲得多少保護。
  • 在可信系統中，所有保護機制協同工作以處理許多型別用途的敏感資料，並提供每個分類級別的必要保護級別
  • 保證是更高層次的信心，它從更深入和更詳細的角度看待同一個問題，其中系統經過徹底檢查。

專用安全模式 所有使用者必須具有...

• 對系統中所有資訊的適當許可
• 對系統中所有資訊的正式訪問批准
• 對系統中所有資訊的簽署 NDA
• 對系統中所有資訊的有效知情權

所有使用者都可以訪問所有資料。

系統高安全模式 所有使用者必須具有...

• 對系統中所有資訊的適當許可
• 對系統中所有資訊的正式訪問批准
• 對系統中所有資訊的簽署 NDA
• 對於系統中的某些資訊，需要有正當的知情權。

所有使用者都可以訪問某些資料，這取決於他們需要知道的資訊。

分隔安全模式 所有使用者必須具備…

• 系統中最高級別資料分類的適當許可
• 對他們將在系統上訪問的所有資訊的正式訪問批准
• 對他們將在系統上訪問的所有資訊的簽署的保密協議
• 對於系統中的某些資訊，需要有正當的知情權。

所有使用者都可以訪問某些資料，這取決於他們的知情權和正式的訪問批准。

多級安全模式 所有使用者必須具備…

• 對他們將在系統上訪問的所有資訊的適當許可
• 對他們將在系統上訪問的所有資訊的正式訪問批准
• 對他們將在系統上訪問的所有資訊的簽署的保密協議
• 對於系統中的某些資訊，需要有正當的知情權。

所有使用者都可以訪問某些資料，這取決於他們的知情權、許可和正式的訪問批准。