Domain3-2 安全模型
安全设计原则
基础概念
主体:主动访问
客体:被访问
封闭与开放 同制造商专有标准、不同制造商相同标准
开源与闭源
职责分离(Separation of Duties, SoD)防止一个人“既能做事又能自己批准”
纵深防御(Defense in Depth)不同层面叠加多道防线;递进防护:边界防火墙 + 主机防火墙
特权蠕变(Privilege Creep):特权增加至远超所需权限
违反最小特权原则(Least Privilege)
确保CIA
| 概念 | 中文 | 核心作用 | 通俗理解 | 安全目标 |
|---|---|---|---|---|
| 1Bounds | 界限 | 限定内存/逻辑范围 | “每个进程有自己的地盘” | 防止越界访问 |
| 2Confinement | 限定 | 限制进程访问特定资源 | “只能看指定文件/资源” | 控制访问范围 |
| 3Isolation | 隔离 | 进程之间完全不能互相干扰 | “你是你,我是我” | 防止横向攻击 |
4访问控制 Access Controls
5信任与保证 Trust and Assurance
| 技术(并列) | Full Name | 核心定位 | 备注 |
|---|---|---|---|
| Data Masking | 数据遮盖 | 掩盖信息 | Card: **** **** **** 3456 |
| Encryption | 加密 | 用密钥将数据变为密文 | 最通用保护方式,必须解密才能用 |
| De-identification | 去标识化 | 去除直接身份信息但保留数据结构 | “字段组合起来” 猜是谁 |
| Anonymization | 匿名化 | 完全去除身份关联 | 不可逆,无法识别个人 |
| Pseudonymization | 假名化 | 用假ID(hash/编码/加密) 替换真实身份 | 能对应到人,侧重身份替换 |
| Tokenization | 令牌化(hash) | 用随机token替代敏感数据 | 侧重回溯追踪 |
注意:哈希是密码学方式,不是加密方式,其与加密并列
133****0776属于假名化而非遮盖
安全默认Secure by Default
限制性安全 默认是最安全的
故障安全
| 状态 | 含义 | 安全含义 |
|---|---|---|
| Fail-Open | 放行 | 保证可用性:防火墙流量通过 |
| Fail-Closed | 拒绝 | 保障机密性:防火墙不再转发流量 |
| 类型 | 失败结果 | 目标 |
|---|---|---|
| Fail-Soft | 降级但继续运行 | 可用性 |
| Fail-Safe | 安全状态,停机/锁定避免伤害 | 人优先 |
| Fail-Secure | 防护状态,保护数据 | 设备优先 |
保持简单
KISS Keep It Simple, Stupid:环境、产品尽量简单
DRY Don’t Repeat Yourself:避免冗余代码
Computing Minimalism:精简设计,减少资源消耗
Rule of Least Power:用能力刚好够、别太强的语言
Worse is Better:功能少则越安全
YAGNI You Aren’t Gonna Need It:不编写除非用得到
信任但验证 与 0信任
一次验证就信任
始终验证
注意:IP等容易伪造,
(7原则)设计隐私Privacy by Design
| 原则 | 中文含义 | 核心解释 |
|---|---|---|
| Proactive not Reactive | 主动而非被动;预防而非补救 | 事前防护,而非事后修复 |
| Privacy as Default | 默认保护隐私 | 不需要用户设置,默认就是隐私安全 |
| Privacy Embedded | 隐私嵌入式设计 | 系统架构时考虑到隐私 |
| Full Functionality | 完整功能(非零和) | 隐私和功能同时实现 |
| End-to-End Security | 端到端生命周期保护 | 数据全生命周期保护 端到端安全 |
| Visibility & Transparency | 可见性和透明性 | 用户/审计者知道“数据如何被使用” |
| Respect for User Privacy | 尊重用户隐私 | 用户利益为核心 |
SDLC:Software Development Life Cycle
安全访问服务边界 Secure Access Service Edge(SASE)
SASE 是一个将网络安全功能与广域网(WAN)功能相结合的框架,采用云原生架构,以身份为核心,通过零信任网络访问(ZTNA)实现,利用边缘计算提高用户访问速度,并持续监控用户行为和网络状况,涵盖了 SD-WAN、FWaaS、CASB、WAF、DLP、IDS/IPS 等解决方案。
SASE将网络连接(WAN)与安全检测同步完成,部署在服务商节点,不靠本地硬件支持。
不靠内网网线区分信任,而是围绕使用者身份管控权限,依靠零信任 ZTNA 技术完成身份校验与访问控制。
就近本地边缘节点完成:SD-WAN 加速、防火墙查杀、权限校验,并持续监控用户行为和网络状况
| 缩写 | 全称 | 核心作用(通俗理解) |
|---|---|---|
| SD-WAN | Software-Defined WAN | 智能选路的“云网络管道”,让流量走最快路径 |
| FWaaS | Firewall as a Service | 云防火墙:控制谁能访问谁 |
| CASB | Cloud Access Security Broker | 管云应用(如Google Drive、Office365),防数据乱传 |
| WAF | Web Application Firewall | Web防火墙:保护网站/API免受攻击(SQL注入等) |
| DLP | Data Loss Prevention | 防数据泄露:防止敏感数据被拷走/外发 |
| IDS/IPS | Intrusion Detection/Prevention System | 入侵检测/阻断:发现并拦截攻击行为 |
安全模型
Token:访问前携带权限
TCB(实现载体)
Security Perimeter:TCB具有[假想的]安全边界(Security Perimeter),可信路径(Trusted Path)保证用户安全与TCB通信
Reference Monitor:负责执行监视并校验“主体对资源进行访问引用”的安全机制
Reference引用 即 发起访问请求
Security Kernel:实现Reference Monitor功能的最小组件集合
1.访问控制模型
DAC(Discretionary Access Control)
资源所有者自己定权限
访问控制矩阵
HR_Salary.xlsx CodeRepo Server_ConfigAlice(HR)R/W--Bob(Dev)-R/W RCarol(Admin)R R/W R/W行(Capability List) 该Subject能访问什么
列(访问列表ACL) 该Object 允许哪些主体访问,以及访问权限是什么
MAC(Mandatory Access Control)
系统强制控制,用户不能改
Security Label(安全标签)
Clearance(用户等级)
RBAC(Role-Based Access Control)
基于角色,而非用户
2.信息流模型
关注信息流向,解决隐蔽通道问题
状态机模型:它在任意时刻只处于一个状态,输入事件后,按照规则由当前状态跳转到下一个状态
信息流模型 = 状态机 + 安全规则约束(不允许非法信息流动)
非法信息:机密信息泄露、不可信信息录入、侧信道泄露
非干扰模型:
非干扰不是“无影响”,而是“不可观测的影响”
高权限行为可以存在,但 其对系统的影响 不能 被低权限用户观测
组合理论:小的安全,组合不一定安全
HR系统 → 财务系统 → 审批系统 → 日志系统
Cascading A输出是B的输入
风控系统 + 用户行为系统
Feedback A是输出是B的输入,B的输出是A的输入
应用程序产生日志 影响 本地存储系统和监控系统
Hookup A输出是B和C的输入
Biba 和Bell-LaPadula模型
左读右写
Biba完整性 禁止/形状
——————————————— 高(Top Secret) ——————————————— ↑✔可读上 ↑❌不能上写 主体 ↓❌不能下读 ↓✔可下写 ——————————————— 低(Public) ———————————————Bell-LaPadula保密性 禁止\形状
——————————————— 高(Top Secret) ——————————————— ↑❌不能上读 ↑✔可上写 主体 ↓✔可下读 ↓❌不能下 ——————————————— 低(Public) ———————————————Clark-Wilson模型
主体无法直接访问对象
Constrained Data Item(受保护的)/Unconstrained(不受保护的)
TP(Transformation Procedure) 类似API,只能通过it改程序
IVP(Integrity Verification Procedure) 检查数据是否仍然可信
Brewer and Nash模型
Ethical Wall、Cone of Silence
动态访问控制 + 防利益冲突”的安全模型,防止同一个人访问“存在竞争关系的数据”
根据系统安全要求挑选控制
CC 能不能信任
ATO 能不能上线
通用准则Common Criteria
ISO/IEC 15408:2022 就是修订的CC,评价一个产品“声称的安全能力是否真的实现”
CC的目标:
买家放心、卖家产品市场接受
统一安全测试和评估标准后,降低评估成本、提升效率
评估目标Target of Evaluation(TOE)
关键要素:Protection Profiles(客户需求)和Security Targets(厂商声明)
评估保证级别(Evaluation Assurance Levels)
TOE是被评估的对象,SFR(Function )描述功能,SAR(Assurance)(合称EAL)描述这些功能被信任的程度。
| EAL等级 | 特点 | 应用 |
|---|---|---|
| EAL1 | 基本测试 | 非关键系统 |
| EAL2 | 结构测试 | 一般商用 |
| EAL3 | 方法测试 | 企业系统 |
| EAL4 | 严格设计+审查 | ⭐最常见 |
| EAL5 | 半形式化 | 高安全金融/政府 |
| EAL6 | 更强形式化 | 军事级 |
| EAL7 | 完全形式化 | 极端高安全 |
授权运营ATO Authorization to Operate
授权官AO(Authorization Official)在知晓并评估风险后,决定是否接受风险,并批准系统投入运行(ATO)。
Designated Approving Authority/Authorizing Authority
Security Control Assessor
Risk Owner
| 决策 | 人话 | 结果 |
|---|---|---|
| 操作授权(ATO) | 可以上线 | 系统运行 |
| 通用控制授权 | 认可无需重复评估的 | 部分控制复用 |
| 使用授权 | 信任别人已批准 | 允许使用 |
| 拒绝授权 | 风险太高 | 禁止运行 |
企业实施了安全控制,对控制措施进行了内部验证(Certification),
然后对控制措施有了信心和保证(Assurance),
委托第三方进行测试验证(Verification),
最后企业管理层通过鉴定(Accreditation)验收结果。
系统安全能力
内存保护 防止越界访问、缓冲区攻击
虚拟化 隔离环境
TPM Trusted Platform Module 硬件级安全芯片
(TCB是软硬件集合)
接口 API
容错 出错也不会崩
加解密
管理信息系统生命周期
2