CISSP域3知识点 安全工程基础

️ CISSP 域3·安全工程基础丨把安全建进系统里Domain 3 安全架构与工程· OSG第十版第8章核心内容占域313%总权重30%以上概念题场景题双高频这一块是整个 CISSP 的理论地基不搞透后面很多域都会悬空 先记住这4条红线其他都是延伸①安全必须原生内置到系统设计里不是事后打补丁②所有安全设计必须遵循官方的核心设计原则一条都不能违背③安全模型的选择必须匹配系统的核心安全目标不能乱套④安全工程必须覆盖系统全生命周期从需求设计到退役销毁无断点 核心术语速查8个先过一遍再往下① 安全工程Security Engineering专注于将风险管理、安全设计原则、安全模型原生融入系统架构的学科保障系统 CIA 三元组的全生命周期安全② 安全设计原则Security Design Principles全球公认的、系统安全设计必须遵循的底层通用规则是安全工程的核心基础③ 安全模型Security Model用标准化的术语与规则定义系统如何实现安全目标的抽象框架把抽象的安全需求转化为可落地的系统设计规范④ 可信计算基TCBTrusted Computing Base系统中所有负责执行安全策略的硬件软件固件的集合TCB 以外的组件不可信TCB 出问题整个系统安全就崩了⑤ 参考监视器Reference Monitor所有访问请求必须经过的核心仲裁机制控制主体对客体的每一次访问是 TCB 的逻辑核心⑥ 安全内核Security Kernel参考监视器的硬件/软件/固件实现是 TCB 的核心组件必须满足参考监视器的三大特性⑦ 安全边界Security Perimeter分隔 TCB 可信区域与非可信区域的边界所有跨边界访问必须经过严格校验⑧ 通用准则CCCommon Criteria全球通用的系统安全评估国际标准ISO/IEC 15408是当前全球主流的系统安全认证标准 模块112项安全设计原则——贯穿全 CISSP 的基础规则这 12 条原则无优先级需组合应用场景题的核心判断依据就在这里① 最小特权原则Least Privilege定义任何主体人/系统/进程仅拥有完成本职工作必需的最小权限且权限生效时间最短场景酒店保洁员只拿自己负责楼层的门禁卡不拿总控室权限应用进程仅能访问自己必需的文件不能获得管理员权限考试高频全 CISSP 体系最高频考点场景题中出现过度授权、永久权限正确答案永远是收权② 职责分离原则Separation of Duties定义将关键任务拆分给不同主体禁止单人完成全流程操作从机制上防范欺诈与权限滥用场景超市收银员不能同时管库存对账开发人员不能直接操作生产环境必须由运维执行上线注意区分最小特权→ 管权限的大小职责分离→ 管任务的环节拆分③ 纵深防御原则Defense in Depth定义构建多层、异构、重叠的安全防护体系单点失效不导致整体崩溃禁止依赖单一防护场景小区门禁 → 单元门 → 家门防盗锁 → 客厅监控 → 卧室保险柜系统里防火墙 → 内网隔离 → 终端EDR → 应用防护 → 数据加密考试高频仅依赖单一防护措施的选项永远是错误答案④ 默认拒绝原则Fail-Safe Default / Default Deny定义访问控制默认拒绝所有仅放行明确授权系统故障时默认进入安全状态而非开放权限场景酒店房门默认锁上只有刷房卡才开防火墙默认拒绝所有流量只放行明确授权端口考试高频必考系统故障时默认开放权限的选项永远是错的⑤ 完全仲裁原则Complete Mediation定义每一次访问请求都必须经过访问控制机制的完整校验不能缓存校验结果、跳过校验流程场景机场安检每次登机都要重新过不能因为昨天过了就今天省略用户每次访问敏感文件都必须重新校验权限考试高频核心是每一次都要校验缓存权限/跳过校验的选项均为错误答案⑥ 开放设计原则Open Design定义系统安全不能依赖于设计的保密性即安全通过隐匿实现安全机制应公开仅密钥/密码需要保密场景门锁的设计原理是公开的人人都知道锁的结构但只有你有钥匙加密算法公开透明经全球专家验证只有密钥是秘密考试高频必考易错点安全通过隐匿实现是完全错的代码不公开≠更安全⑦ 最小公共机制原则Least Common Mechanism定义减少多用户/多进程共享的安全机制避免共享机制成为单点故障或权限提升的突破口场景写字楼里每家公司有独立门禁不能所有公司共用一个大门否则一家出问题影响全楼不同权限的用户不共享同一进程、同一存储区域考试高频减少共享机制 → 缩小攻击面避免跨权限安全风险⑧ 经济机制原则Economy of Mechanism定义安全设计必须尽可能简单精简避免复杂冗余代码越简单越容易审计越难隐藏漏洞场景门锁结构越简单越不容易出故障越容易检查有没有被撬过于复杂的安全机制反而漏洞更多考试高频过度复杂、冗余的安全设计均为错误选项简单可验证 安全⑨ 心理可接受性原则Psychological Acceptability定义安全机制必须对用户透明易用不能过度阻碍正常业务操作否则用户会绕过安全机制场景小区门禁如果要3分钟才能开住户就会把大门抵住不锁复杂密码规则导致用户把密码贴在显示器上考试高频安全不能阻碍正常业务用户绕过防护比没有防护更危险⑩ 隔离原则Isolation定义将不同安全等级的系统/进程/数据/用户进行物理或逻辑隔离避免未授权的跨边界访问场景医院传染病房和普通病房完全隔离生产环境、测试环境、开发环境必须严格隔离高敏感数据和公开数据隔离存储考试高频隔离 缩小攻击面防止单点突破导致全系统失控⑪ 封装原则Encapsulation定义将对象的属性和操作封装在独立模块中仅开放必要接口隐藏内部实现细节禁止外部直接访问内部数据场景胶囊药把有效成分封装好在指定位置释放应用模块封装只开放必要 API外部无法直接修改内部核心数据考试高频通过封装避免未授权的内部数据修改减少攻击面⑫ 攻击面最小化原则Minimization of Attack Surface定义关闭不必要的功能、端口、服务、接口减少系统暴露给攻击者的可利用入口场景房子不开多余门窗能不开就不开服务器只开放业务必需的端口关闭所有无用端口卸载无用服务考试高频第十版重点强化从设计源头减少脆弱点AI智能体、微服务场景同样适用️ 模块2核心安全模型——这是最容易考混的地方安全模型按核心安全目标分4大类每类目标、规则、适用场景完全不同绝不能混淆一、保密性模型Bell-LaPadulaBLP唯一核心目标保密性防止信息泄露两条必背规则简单安全规则No Read Up不上读→ 主体不能读取安全等级高于自身的客体→ 低权限用户不能读高密级文件*属性规则No Write Down不下写→ 主体不能向安全等级低于自身的客体写数据→ 高权限用户不能把高密级文件写到低密级区域场景军队保密文件体系绝密级军官不能把绝密文件写到机密/公开文件柜不下写机密级军官不能读绝密文件不上读考试高频BLP只保密性不管完整性必考概念题不上读、不下写必须精准记忆和 Biba 完全相反是最高频易错点局限性不解决完整性、不解决恶意代码问题二、完整性模型一Biba唯一核心目标完整性防止未授权篡改两条必背规则与 BLP 完全对称简单完整性规则No Read Down不下读→ 主体不能读取完整性等级低于自身的客体→ 高完整性权限的用户不读低完整性的不可信数据避免被污染*完整性规则No Write Up不上写→ 主体不能向完整性等级高于自身的客体写数据→ 低完整性权限的用户不能修改高完整性的可信数据场景财务总监高完整性不看来源不明的非官方财务数据不下读普通员工不能修改公司正式财报不上写考试高频Biba只保完整性不管保密性必考概念题“不下读、不上写”vs BLP 的不上读、不下写——这是全书最高频易错对比局限性不解决保密性问题BLP vs Biba 速记口诀BLP保密 不上读、不下写Biba完整 不下读、不上写两个方向完全相反三、完整性模型二Clark-Wilson核心目标商业交易完整性防范欺诈、篡改核心设计逻辑良构交易Well-Formed Transactions商业交易必须走固定的授权流程禁止单人完成全交易流程必须职责分离三元组访问控制主体 → 转换程序TP→ 受限数据项CDI→ 主体只能通过授权的转换程序访问受限数据不能直接读写数据数据分类受限数据项CDI受保护的核心商业数据 非受限数据项UDI公开数据强制职责分离 完整性验证 全程审计日志场景银行转账你不能直接修改账户余额只能通过银行授权的转账程序操作转账走发起→风控校验→记账→复核固定流程不能由柜员单人完成全流程考试高频唯一面向商业场景、交易完整性的模型核心是良构交易职责分离Clark-Wilson vs BibaBiba 是数学化完整性Clark-Wilson 是落地性商业完整性核心考点“主体只能通过授权转换程序访问受限数据不能直接读写”四、混合/特殊场景模型Chinese WallBrewer-Nash模型核心目标防范利益冲突动态访问控制适用行业投行、咨询、法律等存在利益冲突的多客户场景核心规则主体一旦访问了某个客户的数据集自动被禁止访问同行业存在竞争关系的其他客户数据集初始状态可以访问任意行业的数据一旦访问了某个同行业竞争客户数据即刻封闭场景投行分析师一旦负责阿里巴巴上市项目就自动禁止访问腾讯、京东的非公开数据考试高频唯一面向利益冲突防范的模型核心是动态访问控制其他官方标准模型简要了解非干扰模型→ 高安全等级主体的操作不会对低安全等级主体产生任何影响核心是防止隐蔽通道泄露信息信息流动模型→ 控制信息在系统中的流动路径禁止信息从高安全等级流向低安全等级是 BLP 模型的底层逻辑延伸Take-Grant 模型→ 定义主体之间的权限传递、委托、收回规则管控权限的流动方式 模块3TCB 与底层安全实现——安全模型的技术地基可信计算基TCB定义系统中所有负责执行安全策略的硬件软件固件的集合包含但不限于操作系统安全内核、硬件安全模块HSM、CPU 可信执行环境、访问控制机制、固件安全组件、审计系统核心要求TCB 必须尽可能精简越精简越容易审计越难出现漏洞TCB 的任何缺陷都会直接破坏整个系统安全安全边界分隔 TCB 可信区域与非可信区域所有跨边界访问必须经参考监视器校验参考监视器Reference Monitor与安全内核参考监视器所有主体对客体的访问请求必须经过的核心访问控制仲裁机制是 TCB 的逻辑核心三大不可突破的核心特性必考三个缺一不可总是被调用→ 每一次访问都必须经过校验没有任何例外不能跳过防篡改→ 参考监视器本身受到严格保护攻击者无法篡改、绕过可验证→ 设计足够简单可被完整审计和验证不存在隐藏漏洞安全内核参考监视器的硬件/软件/固件实现必须 100% 满足上述三大特性可信路径与可信恢复可信路径用户与 TCB 之间的安全通信通道防止中间人攻击、钓鱼攻击→ 典型示例Windows 的 CtrlAltDel 登录界面是用户与安全内核之间的可信路径防止恶意程序伪造登录界面窃取密码可信恢复系统故障/崩溃后必须恢复到安全状态不能在恢复过程中开放权限/泄露敏感信息必须遵循默认拒绝原则场景类比整个系统 银行金库TCB 金库的整体安全体系墙体、防爆门、密码锁、监控、安保制度参考监视器 金库核心门禁校验逻辑每次进入都必须经过校验安全内核 防爆门密码锁是参考监视器的实体实现安全边界 金库的墙体分隔可信区域金库内和非可信区域外部可信路径 到金库核心控制室的专属安全通道不会被外人拦截冒充考试高频参考监视器三大特性缺一不可是必考内容TCB 的定义与组成场景题会要求判断哪些组件属于 TCB可信路径的核心作用是防钓鱼/防中间人攻击确保用户直接与安全内核通信系统故障时必须默认进入安全状态可信恢复不能开放权限 模块4系统安全评估标准——通用准则CC重点聚焦 CCTCSEC/ITSEC 了解基础定义即可通用准则Common CriteriaCC标准ISO/IEC 15408全球通用安全评估标准取代了 TCSEC、ITSEC 等区域性标准三大核心组成部分必考保护轮廓Protection ProfilePP→ 针对一类产品/系统的标准化安全需求定义通用的安全需求模板→ 示例防火墙保护轮廓、操作系统保护轮廓安全目标Security TargetST→ 针对特定产品/系统的安全需求定义厂商对自己产品的安全功能声明必须匹配对应的 PP评估保障等级EALEvaluation Assurance Level→ 对产品/系统安全评估深度的分级EAL1 到 EAL7等级越高评估越严格EAL 等级与适用场景EAL1— 功能测试最低等级基础功能测试→ 适用低风险场景公开非敏感系统EAL2— 结构测试基于厂商设计文档开展测试→ 适用低到中风险普通办公系统EAL3— 系统地测试和检查独立测试机构全面测试→ 适用中风险企业内部业务系统EAL4— 系统地设计、测试和评审⭐最常用的商业产品等级→ 适用中到高风险防火墙、操作系统、银行终端系统EAL5— 半形式化设计和测试高等级安全评估→ 适用高风险政府敏感系统、金融核心系统EAL6— 半形式化验证设计和测试极高等级评估→ 适用极高风险国家涉密系统、关键信息基础设施EAL7— 形式化验证设计和测试⭐最高等级完全数学化验证→ 适用国家安全级系统、最高密级涉密系统老旧标准基础了解TCSEC橘皮书→ 美国国防部早期安全评估标准分 D/C1/C2/B1/B2/B3/A1 七个等级→ 核心聚焦保密性是现代安全评估标准的前身ITSEC→ 欧洲早期安全评估标准首次将保密性和完整性分开评估引入了保障等级概念考试高频CC 的三个核心组成部分PP/ST/EAL必考概念题EAL4 最常用商业产品等级EAL7 最高等级易错点EAL 等级越高 评估深度越深不等于绝对安全也不是所有场景都要用最高等级TCSEC 聚焦保密性是现代安全模型的早期实践 模块5安全工程全生命周期管理安全工程不是一次性工作必须覆盖从需求到退役的全过程每个阶段都要内置安全① 需求阶段基于风险评估定义明确可验证的安全需求安全需求与业务目标、合规要求对齐是后续所有设计的基础② 设计阶段选择匹配安全需求的安全模型和架构遵循安全设计原则完成访问控制、加密方案设计输出可落地的安全设计文档③ 开发阶段遵循安全编码规范开展代码审计、静态安全测试安全控制内置到代码中避免引入安全漏洞④ 测试阶段全面安全测试动态安全测试渗透测试漏洞扫描验证安全需求全部满足修复所有高危漏洞⑤ 部署阶段执行系统安全基线加固关闭不必要的服务/端口配置安全控制措施完成上线前最终安全验收⑥ 运维阶段持续监控安全状态开展漏洞管理、补丁管理、配置管理定期安全评估与渗透测试持续优化控制措施⑦ 退役阶段数据安全销毁、介质合规处置、回收所有访问权限、关闭系统服务确保退役后无敏感数据泄露风险考试高频安全必须内置到每一个阶段不是仅在测试/运维阶段加安全需求必须在需求阶段就明确是所有安全设计的起点系统退役必须完成数据安全销毁禁止直接丢弃存储介质是高频场景题 第十版新增/强化内容① 零信任架构的安全工程基础永不信任、始终验证、最小权限纳入安全工程核心框架替代传统边界防护思维② 云原生安全工程容器/微服务/Serverless 的安全设计原则云环境责任共担模型安全工程覆盖云原生全栈③ AI/ML 系统安全工程训练数据安全、模型完整性、对抗性攻击防护、推理安全AI 系统全生命周期安全设计要求④ 供应链安全工程软件物料清单SBOM、第三方组件安全评估、开源组件漏洞管控安全工程必须覆盖全供应链⑤ 抗量子计算安全工程量子计算威胁下的安全设计要求后量子加密算法应用场景安全工程需考虑量子计算带来的加密体系风险❌ 6大官方高频误区纠正误区①BLP 保完整性Biba 保保密性✅ 纠正完全相反。BLP 保密性Biba 完整性。两条核心规则方向完全对称最高频考试易错点必须精准背住误区②参考监视器的三大特性可以缺少一个核心功能可用就行✅ 纠正三大特性总是被调用/防篡改/可验证必须同时满足缺一不可缺少任何一个都不符合参考监视器官方定义误区③安全可以靠事后打补丁和装安全设备实现不需要提前设计✅ 纠正安全必须原生内置到系统设计中架构层面的安全缺陷事后补丁和安全设备只能缓解无法从根源消除误区④EAL 等级越高系统越安全所有场景都用最高等级✅ 纠正EAL 等级 评估深度不代表绝对安全高等级产品成本极高、配置复杂必须匹配业务场景风险等级并非越高越好误区⑤代码不公开、算法不公开系统更安全✅ 纠正这是典型的安全通过隐匿实现——违背开放设计原则真正安全的设计其机制是公开的经全球专家验证只有密钥需要保密依赖隐匿的设计迟早被破解误区⑥TCB 就是防火墙杀毒软件等安全设备✅ 纠正TCB 系统中所有执行安全策略的硬件/软件/固件集合包括操作系统内核/CPU安全特性/访问控制机制/审计系统/加密模块等防火墙、杀毒只是 TCB 的极小一部分 跨域关联帮你串联知识体系域1 安全与风险管理安全工程是风险缓解的核心落地手段安全需求来自风险评估安全设计与业务战略、合规要求对齐域2 资产安全资产分级分类直接决定安全设计强度与安全模型选择域4 通信与网络安全网络安全架构是安全工程在网络层的落地网络分段/安全通信协议均遵循安全设计原则域5 身份与访问管理访问控制模型是安全模型的核心IAM 体系是参考监视器安全内核的业务落地严格遵循最小特权/职责分离域6 安全评估与测试安全评估/CC认证/渗透测试/代码审计均是验证安全工程有效性的核心手段域7 安全运营漏洞管理/补丁管理/持续监控/事件响应是安全工程运维阶段的持续落地域8 软件开发安全SDLC/DevSecOps是安全工程在软件开发场景的具体实现✅ 考前速记总结安全工程的核心逻辑一句话把安全原生建进系统里遵循12项设计原则选对安全模型用 TCB参考监视器做底层保障覆盖从需求到退役的全生命周期让 CIA 三元组从架构层面就得到保障而不是靠事后补丁堆出来的。4个必背对比最容易考混BLP不上读、不下写保密性Biba不下读、不上写完整性Clark-Wilson商业交易完整性良构交易职责分离Chinese Wall利益冲突防范动态访问控制参考监视器三大特性总是被调用 / 防篡改 / 可验证缺一不可EAL 等级EAL4 最常见商业产品等级 · EAL7 最高等级