DGSA安全体系结构CC国际通用安全评价准则regedit.exe 启动注册表编辑器安全威胁：1，计算机病毒（寄生性，传染性，潜伏性，隐蔽性，破坏性，可触发性）；2，系统漏洞；是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

3，特洛伊木马；是一种恶意程序，它悄悄地在宿主机器上运行，能在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。

４，隐蔽通道。

系统中不受安全策略控制的，违反安全策略的信息泄露途径。

操作系统的5个管理功能：进程与处理机管理、作业管理、存储管理、设备管理、文件管理操作系统的安全特性：指操作系统在基本功能基础上增加了安全机制与措施，以保障计算机资源使用的保密性、完整性和可用性。

可信计算基（TCB) 的定义：计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

可信计算机系统：一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。

访问机制的3个要素：客体，主体和授权。

方式：自主访问控制：基于行的自主访问控制机制：能力表、前缀表、口令。

基于列的自主访问控制机制：保护位、存取控制表。

强制访问控制；基于角色的访问控制。

自主访问控制的访问许可：等级型、拥有型、自由型什么是标识？指用户向系统表明自己身份的过程；什么是鉴别？指系统核查用户的身份证明的过程，查明用户是否具有存储权和使用权的过程。

安全审计的概念：通过事后追查增强系统安全性的安全技术。

一个安全操作系统的审计系统就是对系统中有关安全的活动进行记录、检查及审核。

主要目的：就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。

要求：1，记录与再现；2，记录入侵行为；3，入侵检测；4，系统本身的安全性。

用户程序与操作系统的唯一接口是系统调用。

审计机制的目标：1，可以对受损的系统提供信息帮助以进行损失评估和系统恢复；2，可以详细记录与系统安全有关的行为，从而对这些行为进行分析，发现系统中的不安全因素。

日志分为三类：系统日志，安全日志和应用程序日志。

信息通道：信息在操作系统中经过的道路。

最小特权：指的是在完成某个操作时所赋予系统中每个主体必不可少的特权。

最小特权原则：限定系统中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。

安全策略的分类：1，账户策略；2，本地策略；3，公钥策略；4，IP安全策略。

自主访问控制机制的优点和缺点。

优点：灵活性高，被大量采用。

缺点：安全性低。

P38什么是安全模型？运用形式化数学符号记录模型来表达对模型精度的要求。

安全模型有：BLP模型，Biba模型，Clark-Wilson完整性模型，中国墙模型，DTE模型和无干扰模型。

安全模型的特点：1，安全模型是抽象的、本质的；2，安全模型是简易的、容易理解的；3，安全模型是精确的、没有歧义的；4，安全模型是清晰的，它只涉及安全性质，只描述安全策略，而不过多地描述具体的功能以及实现步骤。

安全模型一般分为形式化模型和非形式化模型。

前者是使用数学模型来描述安全状况；后者仅用来模拟系统的安全功能。

⊕表示最小上界运算符：确定一个安全级集合中的最大安全级；X 表示最大下界运算符：确定一个安全级集合中的最小安全级。

eg：A-->C and B-->C 推出A⊕B--->C访问控制的3个要素：主体、客体和访问权限。

BLP的三方面的内容：元素、系统状态和状态转换规则保密性模型：BLP模型；完整性模型：Biba模型、Clark-Wilson模型；混合型模型：中国墙模型。

BLP模型的安全公理：（向下读，向上写）1，简单安全性公理；（向下读）主体的最大安全级必须大于或等于客户的安全级。

2，*属性公理；（向上写）用以防止信息从高安全级流向低安全级。

3，自主安全性公理；4，兼容性公理；5，激活性公理。

向下读，向上写机制保证了信息不会从高保密级别流向低保密级别。

Biba模型：（向上读，向下写）安全策略：1，下限标记策略；2，环策略；3，严格完整性策略。

五种安全等级：公开、受限、秘密、机密、高密。

Clark-Wilson模型：控制数据完整性的两个方法：1，职责分离原则；2，良构事务原则；三个组成部分：1，数据；2，完整性验证过程；3，变换过程。

中国墙模型：基本思想：只允许主体访问与其所拥有的信息没有利益冲突的数据集内的信息。

目的：设计一个规则集使得主体不能访问“墙”另一边的客体。

DTE模型：建立了两张表：域定义表（DDT ) 限制域对类型的访问。

域交互表( DIT ) 限制域对其它域的访问。

主体（域）客体（类型）安全体系结构包含四个方面的内容：1，制定安全服务及措施；2，构建安全模块之间的关系；3，明确设计的基本原理；4，形成开发过程的大致框架体系与对应的层次结构。

DGSA安全体系结构四个层次：1，抽象体系；2，通用体系；3，逻辑体系；4，具体体系。

主要内容：1，详细描述；2，抽象层次；3，基本原理；4，框架体系。

典型的安全体系结构：1，权能体系；权能：指主体对客体的访问权力以及能力，也可以看成是主体或客体的保护名。

权能机制的组成部分：标示符：标识客体；域：定义客体以及定义访问权。

2，Flask体系。

三个组成部分：安全策略服务器，微内核，客体管理器。

安全上下文：是一个长度可变的字符串，能够被了解安全策略的任何应用或用户解释。

安全标示符（SID)客体管理器：1，文件服务器；2，网络服务器；3，进程管理器。

Flask体系结构为客户管理器提供了三个基本要素：1，接口；2，访问向量缓存模块；A VC（缓存访问向量）3，接收安全策略变化通知的能力。

第五章形式化技术的定义：为所研究的系统或者模型建立数学模型，并在形式规格语言的支持下，提供形式规则说明。

形式化验证的两种技术：1，模型检验；2，定理证明。

定义：是指一种在已建立的形式化规范基础上，为了评判系统是否满足预期的功能，对系统的相关特性进行分析和验证的技术。

层次分解的3种技术：1，数据结构精化；2，算法精化；3，过程抽象。

形式化设计的基本方法：1，虚拟机法；2，改进/ 增强法；3，仿真法。

形式化设计与验证实例：ASOS项目。

主要验证技术：1，Gypsy验证；2，Z语言。

安全等级由低到高：D、C1、C2、B1、B2、B3、A1D：无保护级；Dos系统C：自定义保护：C1：自主安全保护，自主存取控制；UNIX系统C2：自主访问保护，较完善的自主存取控制、审计。

B：强制式保护：B1:标记安全保护，有标号的安全保护，强制存取控制；B2:结构化保护，良好的结构化设计、形式化安全模型；B3:强制安全区域保护、全面的访问控制、可信恢复。

A：验证式保护。

A1：验证设计安全保护。

TCSEC 可信计算机系统安全评估准则（橘皮书）规定的五个等级：第一级：用户自主保护级；第二级：系统审计保护级；第三极：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

国际通用安全评价准则（CC）E1~E7中国推荐标准GB/T 18336--2001评测技术：1，入侵测试；2，形式化验证；3，非形式化确认。

用户账户：1，本地用户账户；2，域用户账户。

Windows常用的内置账户：Guest：Administrator：组：Windows系统中组的三种基本类型：本地组；全局组：管理员组；用户组；域客人组。

特别组。

身份验证过程：1，用户请求访问；2，服务器发送质询消息；3，客户端发送应答消息；4，服务器将质询和应答发送到域控制器；5，域控制器比较质询和应答以对用户进行身份验证；6，服务器向客户端发送应答。

访问控制列表：自由访问控制列表，系统访问控制列表。

域的定义：是集中管理所有用户的权限以及设定如何登陆到文件服务器上的共享个人电脑。

文件系统的四种类型：1，FAT16;2，FAT32;3，NTFS;4，HPFS.文件系统安全的三个基本组成部分：1，目录权限；2，共享权限；3，审计。

安全设置的措施：1，不要使用Ghost版的Windows XP系统；2，设置系统登陆密码；3，系统盘选用NTFS格式；4，安装或启动内置防火墙；5，关掉Guest账号和删除不必要的用户；6，把系统Administrator账号改名；7，关闭默认共享；8，设置自动下载安装补丁。

可对文件或目录进行访问的三种不同类型的用户：1，文件所有者；2，同组用户；3，其它用户。