系统架构和设计之保护机制
报名入口来源:中国教育在线 2022-06-01
给大家介绍了CISSP CBK中要求掌握,同时也是目前世界上使用最广的几个安全模型的概念和原理。安全模型只是个概念,要把它应用到实践中,就需要使用到本文要介绍的保护机制,它是比安全模型更具体,更接近实际应用的概念,当前的许多操作系统、安全软件产品的基础,都是建立在它之上的(再次提醒,CISSP考试不涉及具体的产品和技术细节)。
保护机制实现的目标是将系统内的所有实体(数据、用户、程序等)进行隔离,并通过一定的规则允许实体间进行访问。因此从所执行的动作,保护机制可以分成主动(Active)和被动(Passive)两类:主动保护机制是根据所定义的规则,主动阻止对指定实体的访问,访问控制、内存保护等技术都属于主动保护机制;而被动保护机制本身不会阻止对指定实体的访问,但会通过阻止对指定实体的使用来实现保护功能,我们使用加密技术来防止信息的泄漏、用Checksum来检测对信息的未授权修改,都属于被动保护机制。
保护机制通常部署到操作系统、硬件或固件上,CISSP CBK中将它按照所部署的位置分成三类:平台(Platform)、大型机(Mainframe)、网络(Network),下面J0ker给逐一给大家介绍在这三个分类上使用的保护机制: 平台保护和大型机保护机制:平台保护是主要用在通用操作系统上的保护机制,主要以软件实现为主;大型机保护则是主要应用于大型机上的保护机制,一般使用专用的安全硬件实现
但随着近年来软硬件技术的发展,这两个分类所使用的保护技术都在互相融合,由于硬件产品集成度提高和价格的大大下降,许多PC和工作站上已经集成了原来只在大型机上使用的安全硬件,而大型机为了降低制造成本,也将越来越多的保护功能通过软件来实现,所以在CISSPOfficialGuide中不再将平台保护和大型机保护分开来列,而是将它们所用的保护技术列在一起。 使用在这两个分类的保护技术 可信计算基础(Trusted Computing Base,TCB)。