D3-04 9–12 分钟 重要程度:高

TCB、参考监视器与安全模型

安全模型是 D3 高频记忆点。重点不是背历史,而是知道每个模型保护什么:保密性、完整性或动态利益冲突。

一、必须记住

  • TCB 是执行安全策略的可信硬件、软件和控制组合。
  • 参考监视器位于主体和客体之间,验证每次访问。
  • Bell-LaPadula 保护保密性:不向上读,不向下写。
  • Biba 保护完整性:不向下读,不向上写。
  • Clark-Wilson 保护商业完整性,强调受约束数据项、转换程序和职责分离。
  • Brewer-Nash 又称 Chinese Wall,依用户先前访问动态处理利益冲突。

二、核心概念

TCB 与安全边界

TCB 是系统中被信任会执行安全策略的部分。安全边界把 TCB 与其他系统部分隔开,TCB 与外部通信需要可信路径。

Bell-LaPadula 与 Biba

Bell-LaPadula 关注保密性,防止信息从高分类流向低分类;Biba 关注完整性,防止低完整性资料污染高完整性资料。

Clark-Wilson 与 Brewer-Nash

Clark-Wilson 通过转换程序限制主体直接修改受约束数据项;Brewer-Nash 根据用户先前访问,避免同一冲突类别内竞争客户资料被同一主体访问。

三、CISSP 判断规则

  • 问军事机密和保密性,优先 Bell-LaPadula。
  • 问完整性、防止低级资料污染高级资料,优先 Biba。
  • 问商业交易完整性、职责分离、受约束数据项,优先 Clark-Wilson。
  • 问利益冲突、顾问服务、竞争客户资料,优先 Brewer-Nash。

四、常见陷阱

  • Bell-LaPadula 不解决完整性和可用性。
  • Biba 不解决保密性和可用性。
  • 访问控制矩阵的列是 ACL,行是 capability list。

五、英文关键字

TCB (可信计算基) Security perimeter (安全边界) Reference monitor (参考监视器) Security kernel (安全内核) Bell-LaPadula (Bell-LaPadula 模型) Biba (Biba 模型) Clark-Wilson (Clark-Wilson 模型) Brewer-Nash (Brewer-Nash / 中国墙模型) Access control matrix (访问控制矩阵) Covert channel (隐蔽通道)

小测验

1. “不向上读、不向下写”描述的是哪个模型?

Bell-LaPadula 保护保密性,简单安全属性是不向上读,*-属性是不向下写。

2. “不向下读、不向上写”主要对应哪个目标?

Biba 模型保护完整性,方向与 Bell-LaPadula 相反。

3. 顾问访问 A 公司资料后,不应再访问同一冲突类别下 B 公司资料,最符合哪个模型?

Brewer-Nash/Chinese Wall 用于动态处理利益冲突。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成