CISSP的成长之路（十四）：系统架构和设计之保护机制

　　图1

　　为了保证安全功能的实现，安全内核必须满足以下三个要求：

　　1、安全内核能管理所有的访问（全局性）

　　2、安全内核能保护自己不受有意或意外修改（隔离性）

　　3、安全内核可以通过验证确定其有效性（可验证性）

　　TCB、RM和Security Kernel这三个概念挺容易混淆，CISSP考试也经常考核与它们相关的内容，复习的时候应当注意一下。

　　安全边界（Security Perimeter）：用来隔离安全内核内外的资源，安全边界外的资源是不可信的。注意将它和近两年常说的“边界安全“相区别。

　　分层（Layering）：分层是指在系统设计时对功能和实现按照一定的原则进行分层，层次越低的权限越高，每一层的操作和使用的数据都尽量不对其它层次产生影响，这里会引入一个技术——数据隐藏（Data Hiding）。此外，部署安全措施的层次越低，则安全措施的效能和控制范围就越好，因此应该把安全措施部署在系统的最底层，下面是一个示例系统的分层：

　　图2

　　TOC/TOU保护：系统设计时需要使用资源锁定防止权限低的进程/用户通过劫持或修改特权用户的操作的途径访问敏感信息。

　　额外保护（Guard Protection）：系统常常需要使用其他的方案来提供额外的保护，比如在数据库系统中，除了在数据库本身对用户的访问权限进行控制之外，通常还会通过提供一个带有查询检查功能的界面来限制用户提交不符合安全策略规定的查询。