最近工作事情比较多，以至于耽误CISSP的学习，终于又开始回到CISSP的学习上来了。CISSP的系统安全模型部分学习的还算不错，下面是回顾的重点：
CPU的一些概念：
多线程：一个应用能能够一次发出几个调用，这些不同的调用使用不同的线程，这是多线程（multithreading）。
多任务：CPU能够一次处理一个或一个以上的进程或者任务。
多进程：CPU有一个以上的CPU，能够并行地使用他们来执行指令。
多程序：CPU交错执行两个或多个程序的方式。
进程和线程：
一个进程（process）是一个正在执行当中的程序，它工作在它自己的地址空间中，只能以一种受操作系统控制的方式和别的进程进行通信。一个线程（tread）代表一段在某个进程中执行的代码，依赖余所需执行的任务，一个进程一次可以运行一个或者多个线程。
安全模型：
1，状态机模型：无论处于什么样的状态，系统始终是安全的，一旦有不安全的事件发生，系统应该会保护自己，而不是是自己变得容易受到攻击。
2，Bell-LaPadula模型：多级安全策略的算术模型，用于定于安全状态机的概念、访问模式以及访问规则。主要用于防止未经授权的方式访问到保密信息。系统中的用户具有不同的访问级（clearance），而且系统处理的数据也有不同的类别（classification）。信息分类决定了应该使用的处理步骤。这些分类合起来构成格（lattice）。BLP是一种状态机模型，模型中用到主体、客体、访问操作（读、写和读/写）以及安全等级。也是一种信息流安全模型。BLP的规则，Simplesecurityrule，一个位于给定安全等级内的主体不能读取位于较高安全等级内的数据。*-propertyrule)为不能往下写。Strongstarpropertyrule，一个主体只能在同一安全登记内读写。
基本安全定理，如果一个系统初始处于一个安全状态，而且所有的状态转换都是安全的，那么不管输入是什么，每个后续状态都是安全的。不足之处：只能处理机密性问题，不能解决访问控制的管理问题，因为没有修改访问权限的机制；这个模型不能防止或者解决隐蔽通道问题；不能解决文件共享问题。
3，Biba模型：状态机模型，使用规则为，不能向上写：一个主体不能把数据写入位于较高完整性级别的客体。不能向下读：一个主体不能从较低的完整性级别读取数据。主要用于商业活动中的信息完整性问题。
4，Clark-Wilson模型：主要用于防止授权用户不会在商业应用内对数据进行未经授权的修改，欺骗和错误来保护信息的完整性。在该模型中，用户不能直接访问和操纵客体，而是必须通过一个代理程序来访问客体。从而保护了客体的完整性。使用职责分割来避免授权用户对数据执行未经授权的修改，再次保护数据的完整性。在这个模型中还需要使用审计功能来跟踪系统外部进入系统的信息。完整性的目标，防止未授权的用户进行修改，防止授权用户进行不正确的修改，维护内部和外部的一致性。Biba只能够确认第一个目标。
5，信息流模型：Bell-LaPadula模型所关注的是能够从高安全级别流到低安全级别的信息。Biba模型关注的是从高完整性级别流到低完整性级别的信息。都使用了信息流模型，信息流模型能够处理任何类型的信息流，而不仅是流的方向。
6，非干涉模型：模型自身不关注数据流，而是关注主体对系统的状态有什么样的了解，以避免较高安全等级内的一个实体所引发的一种活动，被低等级的实体感觉到。
7，Brewer和Nash模型：是一个访问控制模型，这个模型可以根据用户以往的动作而动态地改变。模型的主要功能就是防止用户访问被认为是利益冲突的数据。
8，Graham-Denning：创建允许主体在客体上操作的相关权限；Harrison-Ruzzo-Ullman模型：允许修改访问权以及如何创建和删除主体和客体。
运行安全模式：
1，专门的安全模式：一个系统如果其所有用户都有访问级或者授权，而且对系统内处理的全部数据都有一份须知，那么它就是运行于一种专门的安全模式中。
2，系统范围内的安全模式：一个系统当其所有用户都具有安全访问级或者授权来访问信息，但不一定对系统内处理的全部数据都有一份须知。
3，分段安全模式：一个系统当所有用户都有访问级来访问该系统所处理的全部信息，但可能没有须知以及正式的访问许可时，该系统就正运行于分段安全模式。
4，多级安全模式：一个系统中，当它在所有用户没有访问级或者正式许可访问正在处理的所有信息时，允许同时处理两个或者更多分类级别的信息。
可信和保险：TCB是一个系统（软件，硬件和固件）内全部保护机制的总和。所有这些机制需要以一种和谐的方式协同工作来实现一项安全策略的全部要求。保险和可信在本质上是相似的，一个可信的系统意味着所有的保护机制一同发挥作用来处理所用的许多类型的敏感数据，而且还能保持同等安全的计算机环境。保险也着眼于同样的问题，但更深入，更详尽。