CISSP的成长之路（十四）：系统架构和设计之保护机制（1）

CISSP的成长之路（十四）：系统架构和设计之保护机制（1）

安全模型只是个概念，要把它应用到实践中，就需要使用到本文要介绍的保护机制，它是比安全模型更具体，更接近实际应用的概念，当前的许多操作系统、安全软件产品的基础，都是建立在它之上的（再次提醒，CISSP考试不涉及具体的产品和技术细节）。

保护机制实现的目标是将系统内的所有实体（数据、用户、程序等）进行隔离，并通过一定的规则答应实体间进行访问。因此从所执行的动作，保护机制可以分成主动（Active）和被动（Passive）两类：主动保护机制是根据所定义的规则，主动阻止对指定实体的访问，访问控制、内存保护等技术都属于主动保护机制；而被动保护机制本身不会阻止对指定实体的访问，但会通过阻止对指定实体的使用来实现保护功能，我们使用加密技术来防止信息的泄漏、用Checksum来检测对信息的未授权修改，都属于被动保护机制。

保护机制通常部署到操作系统、硬件或固件上，CISSP CBK中将它按照所部署的位置分成三类：平台（Platform）、大型机（Mainframe）、网络（Network），下面J0ker给逐一给大家介绍在这三个分类上使用的保护机制：

平台保护和大型机保护机制：平台保护是主要用在通用操作系统上的保护机制，主要以软件实现为主；大型机保护则是主要应用于大型机上的保护机制，一般使用专用的安全硬件实现。但随着近年来软硬件技术的发展，这两个分类所使用的保护技术都在互相融合，由于硬件产品集成度提高和价格的大大下降，许多PC和工作站上已经集成了原来只在大型机上使用的安全硬件，而大型机为了降低制造成本，也将越来越多的保护功能通过软件来实现，所以在CISSPOfficialGuide中不再将平台保护和大型机保护分开来列，而是将它们所用的保护技术列在一起。

使用在这两个分类的保护技术
可信计算基础（Trusted Computing Base，TCB）：TCB是一个计算机系统中所有提供保护功能的组件的总称，包括硬件、软件、固件、进程和一些进程间的通信等，它通过这些组件完成对安全策略的实现。TCP功能的实现是根据其内置的保护机制或用户所输入的参数，来保证安全策略的实施或满足相应的安全标准（如TCSEC等）。不过要注重的是，TCB是一个定义而不是一个特定的产品，现在的大部分操作系统都没有完全使用TCB的全部组件，只使用了TCB用来执行功能的一部分，这个部分就是接下去要介绍到的引用监视器（Reference Monitor）。

TCB的设计需求如下：
1、TCB应该在一个不受外部干扰影响的自有域内执行
2、TCB所控制的资源应根据使用关系分为使用者（Subject）和目标（Object）两个子集
3、TCB应该把资源进行隔离以执行访问控制和审计功能

TCB提供的基本功能有：
1、进程激活：在一个多重处理的环境内治理进程激活/挂起时提供寄存器、文件访问列表、进程状态信息和指针等敏感信息的治理功能
2、执行域切换：确保在一个域内执行的进程不会影响到其他域内的其他进程
3、内存保护：确保每个域所使用的内存的安全
4、输入输出操作：监视程序对设备直接或间接的输入输出操作