D3-04 9–12 分钟 重要程度:高
TCB、参考监视器与安全模型
安全模型是 D3 高频记忆点。重点不是背历史,而是知道每个模型保护什么:保密性、完整性或动态利益冲突。
一、必须记住
- TCB 是执行安全策略的可信硬件、软件和控制组合。
- 参考监视器位于主体和客体之间,验证每次访问。
- Bell-LaPadula 保护保密性:不向上读,不向下写。
- Biba 保护完整性:不向下读,不向上写。
- Clark-Wilson 保护商业完整性,强调受约束数据项、转换程序和职责分离。
- Brewer-Nash 又称 Chinese Wall,依用户先前访问动态处理利益冲突。
二、核心概念
TCB 与安全边界
TCB 是系统中被信任会执行安全策略的部分。安全边界把 TCB 与其他系统部分隔开,TCB 与外部通信需要可信路径。
Bell-LaPadula 与 Biba
Bell-LaPadula 关注保密性,防止信息从高分类流向低分类;Biba 关注完整性,防止低完整性资料污染高完整性资料。
Clark-Wilson 与 Brewer-Nash
Clark-Wilson 通过转换程序限制主体直接修改受约束数据项;Brewer-Nash 根据用户先前访问,避免同一冲突类别内竞争客户资料被同一主体访问。
三、CISSP 判断规则
- 问军事机密和保密性,优先 Bell-LaPadula。
- 问完整性、防止低级资料污染高级资料,优先 Biba。
- 问商业交易完整性、职责分离、受约束数据项,优先 Clark-Wilson。
- 问利益冲突、顾问服务、竞争客户资料,优先 Brewer-Nash。
四、常见陷阱
- Bell-LaPadula 不解决完整性和可用性。
- Biba 不解决保密性和可用性。
- 访问控制矩阵的列是 ACL,行是 capability list。
五、英文关键字
TCB (可信计算基) 定义:执行安全策略的可信硬件、软件和控制组合。 Security perimeter (安全边界) 定义:把 TCB 与系统其他部分隔开的逻辑或物理边界。 Reference monitor (参考监视器) 定义:位于主体和客体之间,验证每次访问请求。 Security kernel (安全内核) 定义:实现参考监视器功能的 TCB 组件集合。 Bell-LaPadula (Bell-LaPadula 模型) 定义:保密性模型:不向上读,不向下写。 Biba (Biba 模型) 定义:完整性模型:不向下读,不向上写。 Clark-Wilson (Clark-Wilson 模型) 定义:商业完整性模型,强调转换程序、受约束数据项和职责分离。 Brewer-Nash (Brewer-Nash / 中国墙模型) 定义:根据先前访问动态处理利益冲突。 Access control matrix (访问控制矩阵) 定义:主体和客体的权限表;列是 ACL,行是能力列表。 Covert channel (隐蔽通道) 定义:绕过正常通信路径传递信息,通常难以检测。
小测验
1. “不向上读、不向下写”描述的是哪个模型?
Bell-LaPadula 保护保密性,简单安全属性是不向上读,*-属性是不向下写。
2. “不向下读、不向上写”主要对应哪个目标?
Biba 模型保护完整性,方向与 Bell-LaPadula 相反。
3. 顾问访问 A 公司资料后,不应再访问同一冲突类别下 B 公司资料,最符合哪个模型?
Brewer-Nash/Chinese Wall 用于动态处理利益冲突。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成