安全系统设计原则

KISS原则，保持简单
不自我重复DRY
零信任
微分网段
通过设计保护隐私
限定
界限
隔离
访问控制
信任与保证
安全模型的基本概念
安全令牌
可信计算基(trusted computing base, TCB)
安全边界
状态机模型
信息流模型
无干扰模型
获取-授予模型
访问控制矩阵
Bell-LaPadula模型
Biba模型
Clark-Wilson 模型
Brewer and Nash 模型
Goguen-Meseguer 模型
Sutherland 模型
Graham-Denning 模型
Harrison-Ruzzo-Ullman 模型
通用准则
操作授权
内存保护
虚拟化
可信平台模块
接口
容错
加密/解密

可信计算基

可信计算基（Trusted Computing Base，TCB）是计算机系统中被认为是安全和可信的核心组件集合。它是一个软硬件的组合，包含了操作系统、安全引导、加密库、安全管理软件、关键驱动程序和硬件芯片等，这些组件共同确保计算机系统的安全性和可信性。

TCB的设计和实现旨在保证以下特性：

1. 完整性： TCB的组件必须是完整的，没有被篡改或修改。这确保了在启动和运行系统时不会出现未经授权的更改。

2. 保密性： TCB的组件必须保密，以防止敏感信息泄漏给未经授权的实体。

3. 可用性： TCB的组件必须可用，并能够在需要时进行恢复，以确保计算机系统的正常运行。

4. 正确性： TCB的组件必须正确执行其所设计的功能，以防止安全漏洞和错误。

可信计算基在计算机安全中起到至关重要的作用，因为它是计算机系统的核心，承载了保护计算机系统的安全和可信性的重要任务。一旦TCB被破坏或受到攻击，整个系统的安全性都会受到威胁。因此，保护和维护TCB的完整性和安全性是计算机系统安全的重要一环。同时，还需要定期对TCB进行审计和监控，以确保其始终处于受信任的状态。

安全模型和安全解决方案

安全模型和安全解决方案是两个与信息安全和网络安全相关的概念。

1. 安全模型（Security Model）： 安全模型是描述和定义信息安全系统或网络安全系统的行为和特性的抽象表示。它是用于分析、设计和评估安全性的理论框架。安全模型可以描述系统中的安全目标、威胁、攻击者的能力和策略、防御措施、安全策略、访问控制规则等。安全模型可以是数学模型、图形模型、逻辑模型或形式化模型等，其目的是为了帮助我们理解和预测系统的安全性，并为实际的安全问题提供解决方案。

安全模型提供了执行安全策略的框架。

2. 安全解决方案（Security Solution）： 安全解决方案是用于解决特定的安全问题或保护系统免受威胁的实际措施和方法。它是基于安全模型和实际需求，设计和实施的一系列安全措施。安全解决方案可以包括硬件、软件、网络设备、加密技术、认证和授权机制、访问控制措施、安全策略和管理流程等。安全解决方案旨在提供综合的保护措施，以防御各种攻击，并确保系统和数据的完整性、机密性和可用性。

举例来说，一个企业可能使用一种称为”零信任”（Zero Trust）的安全模型来构建其网络安全策略。在这个模型中，企业不信任内部或外部网络的任何设备，需要所有设备都进行身份验证，并对其访问进行控制。为了实现这种零信任模型，企业可能会采取一系列安全解决方案，如多因子身份认证、网络分段、加密通信、入侵检测和防火墙等措施。

综合来说，安全模型是理论和抽象的框架，用于描述和分析安全性，而安全解决方案是具体的实践措施，用于解决特定的安全问题和保护系统免受威胁。这两者通常结合使用，以确保系统和数据的安全性。

信任传递漏洞

信任传递漏洞（Trust Transitivity Vulnerability）是一种安全漏洞，涉及系统中的信任传递机制。这种漏洞可能会导致攻击者利用信任关系获取未经授权的访问权限，进而访问敏感信息或执行危险操作。

信任传递是一种常见的安全机制，用于简化访问控制并简化权限管理。它的工作原理是，如果实体A信任实体B，并且实体B信任实体C，那么实体A也会隐式地信任实体C。这种信任传递可以在组织内部或系统之间传递，并且通常用于简化授权过程。

然而，当信任传递不受适当限制时，就可能导致信任传递漏洞。这种漏洞发生的典型情况如下：

1. 传递性过度： 当信任关系传递得太过广泛时，攻击者可以通过多次传递信任关系，从一个实体到达另一个实体，最终获得高权限的访问权限。

2. 错误配置： 错误的配置信任传递机制可能导致未经授权的访问。例如，应该限制传递给特定用户组的信任关系，但却不正确地将信任关系传递给了其他用户组。

3. 权限过度授予： 如果实体被赋予了超出其需要的权限，它可能会将这些权限传递给其他实体，从而导致系统的安全受到威胁。

攻击者可能通过利用信任传递漏洞在系统中获取不当访问权限。为了防止信任传递漏洞，系统设计者和管理员应该审查和限制信任关系的传递范围，确保每个实体仅获得其所需的最小权限，避免权限过度授予。此外，定期审查和监控信任传递机制，以及及时修补可能的漏洞，也是保护系统安全的重要措施。

软件故障的失效安全方法

在软件开发和设计过程中，为了增强软件的失效安全性，可以采取一系列方法来预防、检测和处理软件故障。以下是一些常见的失效安全方法：

1. 输入验证和边界检查： 对软件接收的所有输入数据进行严格的验证和边界检查，确保输入数据符合预期格式和范围。这样可以防止输入错误或恶意输入导致的故障。

2. 异常处理： 在软件中嵌入适当的异常处理机制，当出现意外情况或错误时，能够优雅地处理并提供错误信息，而不是导致软件崩溃。

3. 安全编程实践： 采用安全编程实践，如避免使用已知的不安全函数、不信任输入数据等，减少软件遭受攻击的风险。

4. 防御性编程： 采用防御性编程技术，预测可能出现的错误或异常情况，并在代码中加入相关处理逻辑，防止出现故障。

5. 备份和恢复机制： 配备定期备份和恢复机制，以便在软件出现故障时能够迅速恢复到之前的正常状态。

6. 容错设计： 使用容错技术和机制，使得软件在部分组件或资源发生故障时，仍能继续正常运行或降级为较低级别的功能。

7. 代码审查和测试： 进行代码审查和全面的测试，包括单元测试、集成测试和系统测试，以发现和修复潜在的故障和漏洞。

8. 实时监控： 在生产环境中实时监控软件运行状态和性能指标，及时发现故障和异常情况，并采取措施进行处理。

9. 漏洞管理： 对已知的漏洞和安全问题，进行漏洞管理和及时修补，确保软件始终保持在最新和安全的状态。

10. 灾难恢复计划： 制定灾难恢复计划，明确在发生严重故障或安全事件时应采取的措施和应急流程。

综合采用这些失效安全方法可以提高软件的稳定性和安全性，降低软件故障的风险，并保障软件在面对各种异常情况时能够正常运行和恢复。

状态机模型

状态机模型（State Machine Model）是一种常用的抽象建模方法，用于描述系统、软件或协议在不同状态之间转换的行为。它将系统或软件视为一组状态的集合，每个状态代表系统在特定时刻的特定状态。系统的行为由状态之间的转换规则来定义，这些规则描述了在接收到特定输入或事件时，系统将从一个状态转换到另一个状态。

状态机模型通常由以下几个要素组成：

1. 状态（State）： 状态是系统在特定时刻所处的特定状态。它表示系统内部的一种特定情况或配置。

2. 转移（Transition）： 转移定义了状态之间的转换规则。在接收到特定的输入或事件时，系统可以从一个状态转换到另一个状态。

3. 输入（Input）： 输入是触发状态转换的事件或数据。系统对输入做出响应，从当前状态转移到下一个状态。

4. 输出（Output）： 输出是在状态转换过程中产生的结果或动作。它可以是对外部环境的响应，也可以是对状态转换的确认。

状态机模型可以用图形表示，常用的表示方法是状态图（State Diagram）。状态图是一种有向图，状态表示为节点，转移表示为有向边，它直观地展示了状态之间的转换关系和可能的输入条件。

状态机模型在计算机科学和软件工程中有广泛的应用，包括：

• 嵌入式系统设计： 用于描述嵌入式系统的状态转换，如控制器或传感器的状态变化。

• 通信协议设计： 用于描述通信协议中消息的处理和状态转换过程。

• 编译器和解释器设计： 用于描述编程语言的语法和解析过程。

• 图形用户界面（GUI）设计： 用于描述用户界面的不同状态和用户交互。

状态机模型是一种强大的建模工具，可以帮助开发人员理解系统的行为和规则，从而更好地设计和实现复杂的系统和软件。

ATO

ATO是”Authorization to Operate”（授权运行）的缩写。在信息安全和网络安全领域，ATO是一种重要的授权过程，用于确认一个信息系统或网络系统是否已满足一组预定义的安全标准和要求，并且可以获得授权正式投入运行。

ATO通常是由负责信息系统或网络的组织、政府机构、或审核人员进行授权。在获得ATO之前，系统的设计和实施必须通过安全评估和审核，以确保其满足特定的安全标准和规定。这些安全标准和规定可能包括合规性要求、隐私保护、数据安全、网络安全、访问控制、漏洞管理等方面。

ATO授权过程通常包括以下步骤：

1. 安全评估： 对信息系统或网络系统进行全面的安全评估，包括对系统的架构、设计、实现、配置等方面进行审查和测试。

2. 风险评估： 评估系统中存在的潜在安全风险，并采取必要的措施来减轻或消除这些风险。

3. 合规性审核： 确保信息系统符合适用的法规、标准和政策要求。

4. 授权决策： 根据安全评估和合规性审核的结果，做出是否授予系统正式投入运行的决定。

5. 授权文档： 生成授权文档，明确系统获得授权运行的条件和约束，通常包括有效期限和更新要求。

ATO是确保信息系统和网络系统安全运行的重要手段。通过严格的ATO授权过程，可以确保系统在投入运行前已经满足了一系列安全要求和标准，从而降低了系统面临的安全风险和威胁。

安全模型

为什么要设计安全模型

设计安全模型是为了更好地理解和解决计算机系统、网络系统或其他信息系统中的安全问题。安全模型是一种抽象的建模方法，它可以帮助我们描述和分析系统的安全特性、威胁和安全策略，并为设计和评估安全系统提供指导。

以下是设计安全模型的主要目的和好处：

1. 理解系统的安全性： 安全模型可以帮助我们理解系统中的安全问题和潜在威胁。通过建立安全模型，可以分析系统的安全属性、安全机制和安全策略，帮助我们了解系统的安全强度和脆弱性。

2. 预测安全风险： 安全模型可以用于预测系统中可能出现的安全风险。通过分析模型中的安全属性和规则，可以识别系统中可能存在的漏洞和攻击面，从而有针对性地采取措施进行风险管理。

3. 指导安全设计： 安全模型可以为系统的安全设计提供指导。通过模型的抽象描述，可以更好地设计安全控制、访问控制、认证机制和加密方法等，从而提高系统的安全性。

4. 系统评估和审核： 安全模型为系统的评估和审核提供了一种结构化的方式。通过对模型的分析，可以对系统的安全性进行定量和定性的评估，评估系统是否满足特定的安全标准和规定。

5. 建立共识和沟通： 安全模型可以作为一种工具，帮助安全专业人员和非安全专业人员之间建立共识和沟通。通过模型的图形表示，可以更加直观地展示系统的安全策略和规则，促进安全意识和安全文化的建立。

综上所述，设计安全模型是一种有效的方法，用于分析和解决信息系统的安全问题。它是计算机安全领域中的重要工具，可以帮助我们更好地理解和应对不断变化的安全威胁和挑战。

Bell-LaPadula模型

Bell-LaPadula模型是一个基于访问控制的安全模型，用于保护信息的机密性。它主要关注防止信息泄漏和保护高安全级别的数据免受低安全级别的主体访问。在Bell-LaPadula模型中，存在三个重要的安全属性，被称为星属性（Star Property），这些属性包括：

1. 简单安全性属性（Simple Security Property）： 简单安全性属性规定了一个主体（Subject）在某一安全级别的对象（Object）上执行读取（读取操作）权限的条件。简单安全性属性确保了信息的保密性，防止高安全级别的主体读取低安全级别的对象。该属性的定义如下：

   如果主体S有读取（read）权限访问对象O，那么主体S的安全级别必须不高于对象O的安全级别。即 S 的级别 ≤ O 的级别。

2. 星型安全性属性（Star Property）： 星型安全性属性结合了简单安全性属性和写入（写入操作）权限。它确保了信息的保密性和完整性，防止高安全级别的主体读取或写入低安全级别的对象。该属性的定义如下：

   如果主体S有读取（read）和写入（write）权限访问对象O，那么主体S的安全级别必须等于对象O的安全级别。即 S 的级别 = O 的级别。

3. 反向星型安全性属性（-Property）：* 反向星型安全性属性是星型安全性属性的补充。它规定了主体在某一安全级别的对象上执行写入（写入操作）权限的条件。该属性的定义如下：

   如果主体S有写入（write）权限访问对象O，那么主体S的安全级别必须不低于对象O的安全级别。即 S 的级别 ≥ O 的级别。

Bell-LaPadula模型的这些星属性是基于安全目标，用于限制主体的访问权限，以确保高安全级别的信息不被泄漏或篡改。通过这些属性，模型能够确保信息的机密性和完整性，是计算机安全领域中的一个重要概念。

Biba模型

Biba模型是一个基于完整性的安全模型，由美国计算机科学家 Kenneth J. Biba 在1977年提出。它主要用于保护信息系统中数据和资源的完整性，确保高完整性级别的数据不受低完整性级别的实体的篡改或污染。

在Biba模型中，数据和实体都被分为不同的完整性级别，通常使用一个偏序集（Partial Order Set）来表示完整性级别之间的偏序关系。具体而言，模型定义了两个重要的安全属性：

1. 简单完整性属性（Simple Integrity Property）： 简单完整性属性规定了一个实体在某个完整性级别上执行写入（写入操作）权限的条件。简单完整性属性确保了信息的完整性，防止低完整性级别的实体修改高完整性级别的数据。

   如果实体E有写入（write）权限访问对象O，那么实体E的完整性级别必须不高于对象O的完整性级别。即 E 的级别 ≤ O 的级别。

2. 星型完整性属性（Star Integrity Property）： 星型完整性属性结合了简单完整性属性和读取（读取操作）权限。它确保了信息的完整性和保密性，防止低完整性级别的实体读取或写入高完整性级别的对象。

   如果实体E有读取（read）和写入（write）权限访问对象O，那么实体E的完整性级别必须等于对象O的完整性级别。即 E 的级别 = O 的级别。

Biba模型的设计原则是”不污染”（No Write Down）和”不瞎子”（No Read Up）。不污染原则确保高完整性级别的实体不会将信息污染到低完整性级别的对象中，而不瞎子原则确保低完整性级别的实体不会读取高完整性级别的对象。

总体而言，Biba模型提供了一种有效的方式来保护信息系统中数据和资源的完整性，防止数据篡改和信息污染，是计算机安全领域中重要的安全模型之一。

Clark-Wilson模型

Clark-Wilson模型是计算机安全领域中的一个访问控制模型，旨在确保数据完整性和一致性。该模型由美国计算机科学家David D. Clark和David R. Wilson于1987年提出，并在多级安全政策环境中得到广泛应用。

Clark-Wilson模型的核心思想是通过强制执行数据不变性来确保系统的安全性，特别是在商业和政府组织等需要严格数据完整性的环境中。该模型包括以下关键概念和机制：

1. Well-Formed Transactions（WFTs，合法交易）： 在Clark-Wilson模型中，所有对系统数据的访问都必须通过合法交易进行。合法交易是经过严格定义的、已验证的操作序列，以确保数据的一致性和完整性。

2. Certification（认证）： 认证是Clark-Wilson模型中的一项关键机制，用于确保交易的合法性和完整性。合法交易必须符合特定的规则和要求，称为认证条件。

3. Separation of Duties（职责分离）： 为了增加数据访问的安全性，Clark-Wilson模型鼓励职责分离。这意味着关键任务（如创建、修改和审查交易）应该由不同的用户或角色执行，以减少潜在的内部滥用风险。

4. 不可信程序隔离： Clark-Wilson模型要求不可信的程序不能直接访问系统数据，而必须通过合法交易来访问。

5. 审计： 为了追踪和监视系统中发生的交易，Clark-Wilson模型包括了审计机制，用于记录所有合法交易的详细信息，以便后续审计和检查。

Clark-Wilson模型在商业和政府环境中具有实际应用，特别是在需要保护数据完整性和一致性的领域，如金融、医疗和法律。它提供了一种强制性的方法来管理和控制数据，确保数据不受未经授权的访问和修改的影响。然而，该模型可能会引入一些复杂性，因此在应用时需要仔细考虑系统需求和实际情况。

Brewer and Nash模型

Brewer and Nash模型，也称为Brewer-Nash模型或Biba模型，是计算机安全领域的一个访问控制模型。该模型由美国计算机科学家Ken Brewer和Dorothy E. Denning在1977年提出，旨在强调机密性和完整性的访问控制。

Brewer and Nash模型的关键思想是将系统中的主体（通常是用户或程序）分为两个主要类别：高完整性主体和低完整性主体。以下是该模型的一些关键概念和机制：

1. 高完整性主体（High Integrity Subjects）： 高完整性主体通常是受信任的实体，其任务是确保数据的完整性。他们可以对系统中的对象进行写操作，但对于访问类似于他们的其他主体的对象，有一定的限制。

2. 低完整性主体（Low Integrity Subjects）： 低完整性主体通常是不受信任的实体，其任务是获取信息。他们可以读取高完整性主体创建的对象，但不能修改这些对象，也不能创建具有高完整性的新对象。

3. 安全性属性： 在Brewer and Nash模型中，每个对象都具有一个安全性属性，指定了对象的完整性级别。这些安全性属性用于确定哪些主体可以访问哪些对象以及以何种方式访问。

4. 不可逆原则： 该模型引入了一个不可逆原则，即低完整性主体不能写入高完整性主体的对象。这样可以确保高完整性数据不受低完整性主体的污染。

5. 星形模型： 在Brewer and Nash模型中，访问控制策略通常以星形结构表示，其中高完整性主体位于中心，低完整性主体位于外部。高完整性主体可以向低完整性主体传播信息，但不可逆原则将确保信息的完整性。

Brewer and Nash模型强调了数据完整性和机密性之间的权衡，着重考虑了数据的保护。它在一些安全敏感的领域中有实际应用，但也存在一些限制，例如，模型假设了两个主要类别，而在实际应用中可能有更多的复杂性。因此，在设计和实施访问控制策略时，需要根据具体需求和威胁模型仔细考虑访问控制模型。

Goquen-Meseguer模型

Goguen-Meseguer模型，是计算机安全领域的一个数学形式化模型，用于描述和分析计算机系统中的安全性和安全属性。该模型由Joseph A. Goguen和José Meseguer于1982年提出，旨在提供一种形式化方法来验证和验证计算机系统的安全性。

Goquen-Meseguer模型的主要特点和概念包括：

1. 代数规范： 该模型基于代数规范，使用代数和数学表达式来描述系统的状态和操作。这使得可以使用数学方法来分析系统的行为和属性。

2. 安全性属性： Goquen-Meseguer模型关注系统的安全性属性，例如机密性、完整性、可用性等。通过数学表达式，可以明确定义这些安全属性以及它们如何在系统中被满足或破坏。

3. 操作符和变换规则： 模型使用操作符和变换规则来表示系统中的操作和状态变化。这些操作符和规则可以用来推导系统的状态和安全属性。

4. 形式化验证： Goquen-Meseguer模型的一个关键目标是通过形式化方法验证系统的安全性属性。这可以通过数学证明和推理来实现。

5. 模型检测： 该模型还可以用于模型检测，即通过计算机程序来自动检查系统是否满足安全属性。模型检测工具可以自动搜索系统的状态空间以查找可能的安全性违规。

6. 应用领域： Goquen-Meseguer模型在安全协议、网络安全、密码学协议和分布式系统等领域中得到应用。它提供了一种严格的数学方法来分析和验证这些系统的安全性。

总之，Goquen-Meseguer模型是一种形式化的方法，用于描述和分析计算机系统的安全性。它提供了一种严格的数学框架，用于定义安全属性和验证系统是否满足这些属性。这种形式化方法有助于发现和纠正系统中的安全漏洞，并提高了系统的安全性。

Sutherland模型

Sutherland模型通常是指Ivan E. Sutherland所提出的图形学和计算机图形学领域的经典研究和工作。Ivan E. Sutherland是计算机图形学领域的先驱之一，他在20世纪60年代和70年代的研究中提出了一些重要的图形学概念和算法，对计算机图形学的发展产生了深远影响。以下是Sutherland的一些重要工作：

1. Sketchpad（草图本）： Ivan Sutherland在1963年完成了他的博士论文”Sketchpad: A Man-Machine Graphical Communication System”。Sketchpad被认为是计算机辅助设计（CAD）和计算机图形学的早期里程碑之一。它允许用户在计算机上创建和编辑图形对象，并引入了诸如交互式绘图和对象选择等概念。

2. 线段裁剪算法： Sutherland还开发了线段裁剪算法，用于确定哪些部分的线段在视口内可见。这些算法对于实时图形显示和渲染非常重要。

3. Sutherland-Hodgman多边形裁剪算法： 与Hodgman合作，Sutherland开发了多边形裁剪算法，用于确定哪些部分的多边形在视口内可见。这在计算机图形学中是一个重要的应用，尤其是在2D图形渲染中。

4. 光栅化算法： Sutherland的工作也涉及到图像光栅化，这是将图形对象转换为像素表示的过程。他的研究对实现计算机图形学中的光栅化技术产生了影响。

总之，Ivan E. Sutherland的工作在计算机图形学领域具有重要地位，他的研究和贡献为计算机图形学的发展铺平了道路，开创了许多图形学和计算机图形学的基本概念和算法。他被视为计算机图形学领域的先驱和奠基人之一。

PbD框架

“Privacy by Design”（PbD）框架是一种综合性的方法论，用于在信息系统、应用程序和技术设计中融入隐私保护原则。PbD框架的目标是确保个人隐私得到最大程度的保护，并在整个设计和开发过程中将隐私保护纳入其中，而不是在事后进行修补。以下是通过设计保护隐私框架的主要原则和步骤：

1. 确定隐私保护目标： 在设计开始之前，明确定义隐私保护的目标和要求。这可能包括遵守适用的隐私法规、保护用户的个人数据不被滥用等。

2. 预设隐私： 将隐私保护作为设计过程的早期环节，而不是事后添加。从设计开始之初，考虑隐私保护措施，以减少后续修复隐私漏洞的成本和风险。

3. 最少信息原则： 仅收集和使用必要的个人数据，并避免收集不必要的信息。最小化数据的收集可以减少隐私泄露的风险。

4. 隐私作为默认设置： 在系统设计中，将隐私保护设置为默认。用户不需要额外的操作来保护自己的隐私，系统默认应保护用户的隐私。

5. 透明度和可见性： 向用户清楚地展示数据的收集和使用方式，提供易于理解的隐私政策，让用户了解其个人数据的用途和用途范围。

6. 用户控制： 尊重用户的隐私权，给予用户控制其个人数据的权限。允许用户选择是否参与数据收集和共享。

7. 安全保障： 在数据的传输、存储和处理过程中确保数据的安全性，采取合适的安全措施，防止数据被非法访问或泄露。

8. 端到端加密： 对于敏感数据，使用端到端加密确保数据在传输和存储过程中得到保护。

9. 持续监测和改进： 在系统运行过程中持续监测和评估隐私保护措施的有效性，不断改进和优化隐私保护机制。

通过设计保护隐私（Privacy by Design）框架可以帮助组织在设计信息系统和技术时注重隐私保护，从而确保个人隐私得到妥善保护，并建立用户对系统的信任。这对于合规性、用户体验和企业声誉都具有重要意义。

[6/20] 练习题测试结果

正确率 6/20

什么是封闭系统? 使用了非公开协议的专有系统

[10/20] CISSP官方学习手册（第9版）第8章练习题

正确率 10/20
Page323 / 883

1. C

2. D

3. A 正确答案B
   Windows 机发生严重故障时，蓝屏死机(BSoD)会停止所有处理。这是失效安全法的一个示例。
   蓝屏死机不是失效打开法的示例；失效打开事件要求系统在出现错误的情况下继续运行。失效打开的结果会保护可用性，但通常以牺牲保密性和完整性保护为代价。
   这也不是限制检查的示例，后者是指验证输入是否在预设范围或域内。
   面向对象是一种编程方法，而不是处理软件故障的方法。

4. C

5. A 正确答案D
   移除安全分类(declassication) 是指经判断确定一个客体不再适合在较高涉密级后将其移入较低涉密级的过程。
   移除安全分类只能由一个可信主体来负责执行，因为这个操作虽然违反了 Bell-LaPadula 模型星属性的字面含义，但是并不违反该属性防止未经授权泄露的宗旨或意图。
   扰动是指为改变信息保密性攻击的方向并将其挫败而在数据库管理系统中使用虚假或误导性数据的行为。
   无干扰是指限制较高安全级别主体的行动以使它们不影响系统状态或较低安全级别主体的行动的概念。执行无干扰时，将禁止、不允许、不支待对较低级别文件的写操作。聚合是指收集多条不敏感或低价值信息并将它们组合或聚合到一起以了解敏感或高价值信息的行为。

6. B

7. A 正确答案C
   可信计算基(TCB)有一个组件，它在理论上称为参考监视器，而在执行时又会被称为安全内核。其他选项没有这一特性。 Graham-Denning 模型侧重千主体和客体的安全创建
   和删除。Harrison-Ruzzo-Ullman(HRU)模型侧重千把客体访问权限分配给主体以及这些被分配
   权限的完整性（或韧性）。 Brewer and Nash 模型的创建是为了根据用户以前的活动动态更改访
   问控制。

8. D 正确答案C
   Clark-Wilson 模型的访问控制关系（即访问三元组）的三方是主体、客体和程序（或接口）。输入清理不是 Clark-Wilson 模型的元素。

9. C

10. B 正确答案A,B
    .A 。尽管本章语境下的最正确答案是选项 B“ TCB 与系统其余部分隔离开的假想边界”，但是选项 A“系统周围物理安全区域的边界”是物理安全范畴的正确答案。配备了防火墙的网络并不是一个独有概念或说法，因为防火墙可以作为硬件设备或软件服务存在千任何网络。边界防火墙可被视为一种安全边界保护设备，但这不是本题的选项。与计算机
    系统的任何连接都只是与系统接口通信的路径，它们并不是安全边界。

11. A 正确答案C
    。参考监视器在授予被请求的访问权之前验证对每个资源的访问权限。其他选项不
    正确。选项 D“ 安全内核”是为执行参考监视器功能而协同工作的 TCB 组件集合。换句话说，
    安全内核是参考监视器概念的实施。选项 A“TCB 分区”和选项 B“ 可信库”不是有效的 TCB
    概念组件。

12. C 正确答案B
    选项 是正确定义了安全模型的唯一选项。其他选项都不正确。选项 是安全
    策略的定义。选项 是对系统安全的正式评估。选项 则是虚拟化的定义。

13. D

14. A

15. C

16. C 正确答案B
    Biba 模型的简单属性是不可向下读，但是它隐含反向的允许向上读。其他选项
    不正确。选项 A” 可向下写“是 Biba 模型的（星）属性”不可向上写“隐含的反向许可。选项
    C” 不可向上写“是 Biba 模型的（星）属性。选项 D“不可向下读”是 Biba 模型的简单属性。

17. B 正确答案D
    。安全目标(ST)具体说明了应被供应庶纳入受评估对象的安全性能。我们可以把安
    标视为已经执行的安全措施或供应筒“将提供的东西＇，。其他选项是不正确的。选项
    “保护轮廓” (PP) 为将接受评估的产品（即 TOE)规定了安全要求和保护措施，我们可以把这
    些视为客户的安全期望或客户“想要的东西”。选项 B” 评估保证级别 ”(EAL)是测试和确认
    系统安全能力的不同级别，每个级别后的数字表明已经进行了哪些测试和确认工作。选项
    “授权官员 ”(AO)是有权签发操作授权(ATO) 的实体。

18. C 正确答案A,C,E
    ATO 共分4种，它们分别是操作授权（未被列为本题选项）、通用控制授权、使用授权和拒绝授权。其他选项不正确。

19. B

20. A