机密性：confidenttiality  完整性：integrity 可用性：availability

安全策略The security policy为达到一组安全目标而设计的的规则的集合。

安全模型model:用更加形式化的或数字化的术语对安全策略的重新描述；拟有系统实施的安全策略的形式化表示

安全机制Mechanism是实现安全功能的逻辑或算法；

安全机制设计原则：经济性原则economy of mechanism；

默认拒绝原Fail-safe Defaults；

完全仲裁原则Complete Mediation;安全机制实施的授权检查必须覆盖到系统的任何一个访问操作，避免出现逃出检查的访问操作，强调系统全局观，除了常规的 还有初始化恢复关停和维护 有能力标识访问操作请求的所有源头，

开放设计原则Open Design;

特权分离原则Separation of Privilege

最小特权原则Least Privilege

最小公共机制原则Least Common Mechanism

心理可接受原则Psychological Acceptability

自主访问控制DAC Discretionary Access Control：不能使权力传递，经济性好、足够灵活 安全性较差

强制访问控制MAC Mandatory Access Control 分级、敏感标签

贝-拉模型 BLP 属于MAC模型 保证机密性

  简单安全特性（ss-特性）如果（Sub,obj,r）是当前访问，那么有f(Sub)>=f(Obj);  f表示安全级别，>=表示支配关系

  星号安全特性(*-特性) 在任意状态下，如果(Sub,Obj,Acc)是当前访问，那么一定有;(1)如果是R，f(Sub)>=f(Obj)  注：是以主体当前安全级别进行访问控制判断的。

(2)如果ACC是a,则f(Obj)>=f(Sub)  (3)如果Acc是W（可读写），f(Obj)=f(Sub)

自主安全特性（ds-特性）如果（Sub-I,Obj-I,Acc）是当前访问，那么Acc一定在访问控制矩阵中M的元素Mij中。

基本安全定理：如果系统状态的每一次变化都满足ss-特性、*-特性和ds-特性的要求，那么系统的整个状态变化过程中，系统的安全性 一定不会被破坏。

毕巴(Biba)模型 属于MAC　完整性

当且仅当i(O)<=i(S)时，主体S可以写客体O

当且仅当i(s2）<=i(s1),主体S1可以执行s2  低水标  毕巴环 毕巴严格完整性

克拉克-威尔逊(C-W)模型出发点是确保数据的完整性与事务的完整性。

类型(TE,Type Enforcement)实施模型MAC模型 所有主体划分成若干组称为域Domain，所有客体划分成若干组称为类型Type

解决了什么问题：通过应用域的划分，能够为应用系统建立相对独立的运行空间，使得一个应用系统不会影响到其他应用系统的工作。

优点：灵活性好且功能强大，实现了系统隔离 降低授权的复杂度 隔离系统降低损害

TE模型的不足：访问控制权限的配置比较复杂，二维表结构无法反映系统的内在关系，控制策略的定义需要从零开始。

DDT(Definition)域定义表:描述域和类型之间访问授权关系的二维表

DIT(Interaction)域间作用表：描述主体对主体的访问权限的二维表

TE与DTE的区别：DTE模型使用高级语言描述访问控制策略，采用隐含方式表示文件属性。

莫科尔树Merkle Tree模型 完整性莫科尔树模型是以对数据项的分割为基础实现数据项的完整性验证的模型，基本出发点是力求以较小的内存空间开销实现较快的数据完整性验证，即不需要遍历所有节点。

F(i,j,D)=h(f(i,(i+j-1)/2,D)||f(i+j+1)/2,j,D)

TPM(Trusted Platform Module)可信平台模块：由TCG定义，，通常以单芯片形式实现的硬件组件，具有独立与宿主系统的状态，通过专用接口与宿主系统交互，提供的核心功能是储存和报告完整性度量结果。

信任基Root of Trust: 指系统关键的基本元素的集合，拥有描述平台信任相关特性的最小功能集，它是默认的信任基础。

信任链Chain of Trust指的是信任根从初始完整性度量起建立的一系列信任组成的序列

可信构造块TBB（Trust Building Block）:计算机用于构造信任根的组件的集合，属于信任根的一部分

平台可信性验证的理念是由信任根对平台进行度量并提供度量结果，外部实体根据该结果验证平台是否处于可信状态

远程过程调用RPC(Remote Procedure Call)

在口令管理中，给口令拌入随机数的过程称为口令撒盐Salting 增加口令的随机性，主要是提高口令破解难度

质询响应Challenge-Response 口令 生物特征 位置

只要更换进程所运行的程序，不用创建新的进程就能改变进程本质是进程执行新的任务

ALC访问控制表Access Control List 为细粒度的访问控制提供支持，为任意个数的用户分配相互独立的访问权限

特权分离原则：尽可能地对系统中的特权任务进行细分，让多个不同的用户去承担不同的细分任务，不要把系统特权集中到个别用户身上。

最小特权原则：尽可能搞清楚完成某项特权任务所需要的最小特权，尽可能只给用户分配最少特权，让他足以完成所承担任务即可。

允许把文件系统中任何一个目录定义为加密文件系统挂载点，加密机制自动地通过加密挂载点写入到文件系统中的文件进行加密，自动地通过对加密挂载点从文件系统中读出的文件进行解密。

挂载命令：mount　－t ecryptfs目录名 卸载命令：umount　目录名

加密文件系统的基本原理：用户任意指定文件系统中的一个子目录，让系统自动实现该子目录范围内所有文件的加密存储和解密使用，是一种灵活的文件系统加密方法，能够提供对应用透明的文件加密支持。

堆叠式文件系统StackedFilesystem在现有文件系统上叠加一层新的机制，从而为文件系统添加新的功能，如加解密

Auditing审计：对系统中的安全相关行为进行监测，这种系统安全性行为的检测叫审计

Audit Trail审计记录：审计的关键是简历和分析系统的行为记录信息，这样的行为记录叫审计记录也叫日志Log

SETE模型与DTE模型的区别：

类型的细分：DTE模型把客体划分为类型，针对类型确定访问权限，SETE模型在类型概念的基础上，增加客体类别（Class）概念，针对类型和类别确定访问权限。

权限的细化：SETE模型为客体定义了几十个类别，为每个类别定义了相应的访问权限，因此，模型中定义了大量的精细的访问权限。

在一般情况下，SETE模型把“域”和“类别”统一称为“类型”，在需要明确区分的地方，它把“域”称为“域类型”或“主体类型”。

LSM是Linux安全模块Linux Security Moudule

RDBMS关系数据库管理系统Relational Database Management System

Covert Channel 隐藏信道

SAAA软件及服务：提供给客户的能力是运行在云基础设施上的应用软件。客户不必管理或控制底层的云基础设施如网络，服务器等用户相关的应用软件配置信息的设置可能是例外但很有限

PAAS平台即服务：提供给客户的能力是在云基础设施上部署客户创建的应用软件，客户可利用服务提供者支持的程序设计或工具创建应用软件。客户不必管理或控制底层的云基础设施，只需要控制所部署的应用软件或可能涉及的应用软件支持的环境的配置

IAAS基础设施即服务：提供给客户的能力是构建处理、存储、网络和其他基础计算资源，用于部署和运行任意软件。客户不理管理或控制底层的云基础设施，只需控制OS、存储和部署的应用软件，也有可能需要对某些网络组件进行有效地控制如防火墙主机等

数据库推理的方法包括：借助求和结果进行推理；借助记录个数进行推理；借助平均值进行推理；借助中位数进行推理；借助智能填充进行推理；借助线性特性进行推理。

数据库推理的方法：从本质上主要分为两大类：对查询进行控制，对数据库中的数据项进行控制。具体有：滤除法，结果合并隐藏法，随机抽样式隐藏法，偏差导入式隐藏法，基于查询分析的推理控制