CISSP AIO读书笔记02gaoyan.docx

CISSP AIO读书笔记02gaoyan.docx

《CISSP AIO读书笔记02gaoyan.docx》由会员分享，可在线阅读，更多相关《CISSP AIO读书笔记02gaoyan.docx（36页珍藏版）》请在冰豆网上搜索。

CISSPAIO读书笔记02gaoyan

CISSPAIO（第五版）读书笔记

第1、2章多为了解知识点，读者了解即可，出考题几率很小。

第三章信息安全与风险管理

1、安全管理包括风险管理、信息安全策略、措施、标准、指导原则、基准、信息分类、安全组织和安全教育。

2、安全管理的功能包括确定目标、范围、策略、优先级和战略。

管理层的职责是为其负责的资源和整个公司提供保护。

这些资源的形式包括人力、资本、硬件与信息。

3、制订安全计划应该使用自顶向下的方式。

启动、支持和指导来自最高管理层，该计划向下到达中级管理层，然后再到普通职员。

无论采用何种形式，安全管理者都需要清晰的报告结构、对职责的理解以及测试和监控功能，以便保证不会由于缺少交流而导致计划流产。

4、为了实现管理层的安全指标，应当利用：

行政管理性控制、技术性控制、物理性控制。

5、行政管理性控制包括：

开发和发布策略、标准、措施和指导原则；风险管理；人员的筛查；指导安全意识培训；实现变更控制措施。

6、技术性控制（也称为逻辑性控制）包括：

实现和维护访问控制机制；密码和资源管理；身份标识和身份验证方法；安全设备；基础设施的配置。

7、物理性控制包括：

控制个人对设施和不同部门的访问；锁定系统；去除不必要的软驱和光驱；保护设施的周边；检测入侵；环境控制。

8、安全规划可以分为3个不同的领域：

战略规划、战术规划和操作规划。

战略规划可能包含以下目标：

◆确保风险被正确理解并得到合理解决；◆保证遵守法律法规；◆使整个组织机构的安全责任一体化；◆建立一个成熟的模型，从而实现持续的完善；◆将安全作为一项业务成就，以吸引更多的客户。

操作规划示例：

◆执行安全风险评估；◆不允许执行降低生产能力的安全变更；◆维护和实现控制；◆长期扫描脆弱性并提供补丁程序；◆跟踪策略遵守情况。

9、COBIT分为4个领域：

计划与组织、获取与实现、交付与支持、监控与评估。

COBIT的组件包括：

执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。

10、COSO是一个企业治理模型，COBIT是一个IT治理模型。

COSO更多面向战略层面，COBIT则更为关注操作层面。

从IT角度来看，可以将COBIT视为满足许多COSO目标的一种方式。

11、COBIT定义IT目标，ITIL则在过程级别上就如何实现这些目标提供需要采取的步骤。

虽然ITIL是一个安全组件，但是它更加关注IT部门与其服务的内部部门之间的内部服务级协议。

12、失效模式和影响分析（FMEA）是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。

我们既可以认为FMEA能够洞察未来并确定潜在的失效领域，也可以认为它能够发现脆弱性，并且在脆弱性转变为真正的障碍之前采取纠正措施。

13、使用FMEA保证风险管理的原因是：

随着企业更细化地理解风险，风险管理的详细程度、使用的变量和复杂程度也持续增加。

随着人们的风险意识不断增强，这种确定潜在缺陷的系统方式正发挥着越来越大的作用。

事实证明，在确定更加复杂的环境和系统中可能发生的失效方面，故障树分析方法更为有用。

14、安全策略是高级管理层制定的一个全面声明，它规定安全在组织机构内所扮演的角色。

安全策略可以是组织化策略，也可以是针对特定问题的策略或针对系统的策略。

15、在组织化安全策略中，管理层规定了应该如何建立安全计划，制定安全计划的目标，分配责任，说明安全的战略和战术价值，并且概述了应该如何执行安全计划。

这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。

组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向，还说明了高级管理层愿意接受多大的风险。

16、安全策略重要性的全面总结：

◆确定公司认为价值重大的资产；◆为安全团队及其活动提供权力；◆在出现与安全有关的冲突时提供审核参考；◆规定公司的安全目的与目标；◆明确个人责任；◆有助于防止未加以说明的事件；◆定义安全团队的规模及其职能；◆明确事故响应责任；◆确定公司如何处理应当关注的法律、法规和标准。

17、安全策略可以分为：

规章性策略、建议性策略和指示性策略。

规章性策略用在保险机构、卫生保健机构、公共设施和其他政府控制的行业中；建议性策略用在医疗信息处理、金融事务或者机密信息处理中。

指示性策略不是一种强制性策略，而是用来指导个人与公司相关的特定问题。

18、“适当勤奋”=“去检测”，它是使用最佳实践、公认标准和其他工具来识别风险所采取的步骤。

“适当关注”=“去纠正”，它指的是纠正确定威胁，或者将其减轻到可接受的风险级别。

19、商业公司的信息敏感级别从高到低：

机密、隐私、敏感、公开。

20、军事机构的信息敏感级别从高到低：

绝密、秘密、机密、敏感但非机密、非机密。

21、分类规则必须适用于任何格式的数据，这些格式包括数字、纸张、视频、传真、音频等。

22、数据正确分类计划的必要步骤：

◆定义分类级别；◆指定确定如何分类数据的准则；◆由数据所有者指明其负责的数据的分类；◆任命负责维护数据及其安全级别的数据看管员；◆制订每种分类级别所需的安全控制或保护机制；◆记录上述分类问题的例外情况；◆说明可用于将信息保管转交给其他数据所有者的办法；◆建立一个定期审查信息分类和所有权的措施。

向数据看管员通报任何变更；◆指明信息解密措施；◆将这些问题综合为安全意识计划，让所有员工都了解如何处理不同分类级别的数据。

23、SOX法案规定，如果公司不能适当维护内部的企业治理架构，并且公司向SEC上报的财务报表存在错误，那么董事会成员可能要承担个人责任。

24、“安全港”这个框架规定，任何组织机构如果需要与欧洲的组织机构交换数据，那么就必须对数据加以保护。

25、与其他国家交换数据的跨国公司还必须了解和遵守经济合作与发展组织（OECD）的指导原则和越境信息流规则。

26、CSO与CISO的对比：

大体而言，与CISO角色相比，CSO角色的职责更为广泛深入。

CISO通常更加关注技术问题，并且具有IT背景。

CSO则通常需要更深入地理解业务风险，包括物理安全。

CSO更多时候是一名商人，通常只有大型组织机构才会设立这个职位。

如果某个公司同时设立了这两个角色，那么CISO应当直接向CSO报告。

27、信息系统安全指导委员会负责就企业内部的战术和战略安全问题作出总体决策，并且不可以与业务部门有任何联系。

成员应当由来自组织机构各部门的人员组成。

该委员会应当由CEO领导，同时CFO、CIO、各部门经理和首席内部审计员都应参与其中。

该该委员会的一些职责：

◆定义组织结构的可接受风险级别；◆确定安全目标和战略；◆根据业务需求决定安全活动的优先级别；◆审查风险评估和审计报告；◆监控安全风险的业务影响；◆审查重大的安全违规和事故；◆批准安全策略和计划的任何重要变更。

28、审计委员会应由董事会任命，以帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性，使公司的投资者、客户和债权人继续保持对组织机构的信心。

该委员会至少负责：

◆公司财务报表以及向股东和其他人提供的财务信息的完整性；◆公司的内部控制系统；◆独立审计员的雇佣和表现；◆内部审计功能的表现；◆遵守与道德有关的法律要求和公司策略。

29、审计委员会的目标是在董事会、公司管理层、内部审计员和外部审计员之间提供独立而开放的通信渠道。

30、数据所有者并非是一个技术角色，而是一个业务角色。

每个部门都应当设立一名数据所有者，由他保护该部门最重要的信息。

31、数据分析员负责保证以最佳方式存储数据，从而为需要访问和应用数据的公司与个人提供最大的便利。

数据分析员与数据所有者共同合作，帮助保证建立的数据结构符合并支持公司的业务目标。

32、审计员最关注的是偏见和客观性问题，由第三方进行审计往往可以避免这种问题。

某些情况下，法律条令和法规甚至阻止第三方审计员连续多年为同一个组织机构工作，以防止他们的关系变得过于密切，从而破坏评估和审计的客观性。

33、现在的招聘实践一般包括情景提问、个性测试和个人观察，而不是仅仅考察一个人的工作经历。

34、进行背景调查的最终目的是同时做到以下几点：

◆减少风险；◆减少招聘成本；◆降低员工的流动率。

35、知识分割与双重控制是责任与控制分离的两种变化形式。

36、安全意识培训应专门为特定团体特别设计，内容广泛，并在整个组织机构内全面施行。

一个安全意识培训计划通常至少有3种受众：

管理层、职员、技术人员。

安全意识培训必须以各种形式重复最重要的信息，其内容应当保持最新，具有娱乐性、积极性和幽默性，并且易于理解。

最重要的是，它必须得到高级管理层的大力支持。

37、安全管理过程是一个不断循环的过程，它从评估风险和确定需求开始，然后对所涉及的系统和实际应用进行监控与评估，接下来是加强意识，这包括让企业中的所有相关人员都了解需要处理的问题。

最后一步是实现用于解决之前定义的风险和需求的策略与控制。

38、安全管理者需要清晰的报告结构、对职责的理解以及测试和监控功能，以便保证不会由于缺少交流或理解而导致计划流产。

39、信息所有者（也称为数据所有者）是企业最终负责数据保护的人，负责分配信息的机密等级，并且规定应当如何保护信息。

40、COSO架构包括下列组件：

控制环境；风险评估；控制活动；信息和通信；监控。

41、安全治理是一个集成安全组件（产品、人员、培训、流程、策略等）组成的连贯系统，其目标是为了确保组织机构能够持续运营并有望发展壮大。

42、定性分析技术包括：

判断、最佳实践、直觉和经验。

收集数据的定性分析技术示例有：

Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。

43、定性方法的缺点：

◆评估方法及结果相对主观；◆无法为成本/效益分析建立货币价值；◆使用主观衡量很难跟踪风险管理目标；◆没有相应的标准。

44、定量方法的缺点：

◆计算更加复杂；◆没有可供利用的自动化工具，这个过程完全需要手动完成；◆需要做大量基础性的工作，以收集与环境相关的详细信息；◆没有相应的标准。

45、在一般情况下，分层模式意味着在网络的不同层面上实现不同的安全解决方案。

这些层面涉及的范围从程序代码、所使用的协议、操作系统、应用程序配置直至用户活动以及控制管理上述所有方面的安全程序。

46、结构化的分析方法要求管理员必须清楚地了解以下几点：

◆企业内部数据交换的流程；◆不同阶段对数据的访问、更改和监控；◆在不同层中的安全解决方案是如何协同工作的。

47、分层模式的意义：

了解威胁的发展趋势，以便对系统采取相应的补充措施。

48、信息所有者（数据所有者）是企业最终负责数据保护的人，负责分配信息的机密等级，并且规定应当如何保护信息。

49、提供机密性的途径：

◆在存储和传输数据时进行加密；◆使用网络流量填充、严格的访问控制和数据分类；◆对职员进行适当的相关培训。

50、抗击完整性威胁：

◆严格的访问控制；◆入侵检测；◆散列运算。

51、组织化安全模型是一个框架，这个框架由许多实体、保护机制、逻辑性组件、行政管理性组件、物理性组件、措施、业务过程以及配置组成，这些组件相互协作，从而为系统环境提供一定的安全级别。

52、CISO负责深入理解企业的业务流程和目标，然后利用这些信息就威胁企业的风险、必须服从和遵守的政府法规和要求与高级管理层进行沟通，负责对安全事故的响应进行评估，并且制定安全法规遵从计划和确定安全衡量标准。

53、COSO架构由下列组件构成：

◆控制环境；◆风险评估；◆控制活动；◆信息和通信；◆监控。

54、安全治理指的是确保实施的安全满足组织机构特殊需求所需的全部工具、人员和业务流程。

它需要组织化结构、角色和职责、业绩评估、确定的任务和监督机制。

55、安全治理是一个集成安全组件（产品、人员、培训、流程、策略等）组成的连贯系统，其目标是为了确保组织机构能够持续运营并有望发展壮大。

56、在大型组织机构内，信息风险管理成员应当使用50%--70%的时间来处理风险管理工作。

管理层必须投入资金对此成员进行必要的培训，为其提供风险分析工具，以确保风险管理工作的顺利进行。

57、风险分析用于确保安全防护措施是划算的，并能适当和适时地对威胁作出反应。

风险分析有下列4个主要目标：

◆标识资产和它们对于组织机构的价值；◆识别脆弱性和威胁；◆量化潜在威胁的可能性及其对业务的影响；◆在威胁的影响和对策的成本之间达到预算的平衡。

58、单一期望损失（SLE）=资产价值*暴露因子

年度损失期望=SLE*年发生比率

59、定性分析技术报告判断、最佳实践、直觉和经验。

收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。

60、定性方法的缺点：

◆评估方法及结果相对主观；◆无法为成本/效益分析建立货币价值；◆使用主观衡量很难跟踪风险管理目标；◆没有相应的标准。

每个供应商解释其评估过程和结果的方式各不相同。

61、定量方法的缺点：

◆计算更加复杂；◆没有可供利用的自动化工具；◆需要做大量基础性工作，以收集与环境相关的详细信息；◆没有相应的标准。

每个供应商解释其评估过程和结果的方式各不相同。

62、在制订数据分类级别时，组织机构应注意下列问题：

◆分类级别过多可能并不实用，而且会造成混淆；◆分类级别过少则会令人质疑分类过程的价值与作用；◆不同分类级别之间的准则定义不应出现重叠；◆应当为数据和软件都制订分类级别。

第四章访问控制

1、访问控制的实现手段在本质上都处于技术性、物理性或行政管理性层面。

2、竟态条件是指进程按错误的顺序针对某个共享资源执行其任务。

3、创建或发布安全身份应当包括3个关键方面：

唯一性、非描述性和签发。

4、向用户发布身份标识值时，应确保以下几点：

◆每个值应当是唯一的，便于用户问责；◆应当遵循一个标准的命名方案；◆身份标识值不得描述用户的职位或任务；◆身份标识值不得在用户之间共享。

5、身份管理技术的主要目标是简化身份、身份验证、授权的管理以及对整个企业中多个系统内的主体的审计。

6、目录内的客体由目录服务管理。

目录服务允许管理员配置和管理如何在网络中进行身份标识、身份验证、授权和访问控制。

目录内的客体通过名称空间标记和标识。

7、虚拟目录的作用与元目录相似，并且可以代替原目录。

两者的差异在于，元目录的目录中含有身份数据，而虚拟目录中则没有数据，它只是指向驻留实际数据的位置。

8、最常用的密码管理方法：

◆密码同步；◆自助式密码重设；◆辅助式密码重设；

9、使用辅助式密码重设产品的目的在于：

降低支持呼叫的成本，确保以统一、连贯和安全的方式处理所有呼叫。

10、用户指配指的是为响应业务过程而创建、维护和删除存在于一个或多个系统、目录或应用程序中的用户对象与属性。

11、构建目录是为了保存用户和资源信息。

元数据目录从网络内的不同位置提取身份信息，从而允许身份管理过程从该目录获得完成任务所需的数据。

12、数字身份由属性、权利和特征构成。

13、标记语言是构造文本及其查看方式的一种方法。

14、生物测定学一般分为两种不同的类型。

第一种是生理性生物测定，它指的是某个人所特有的身体特征。

第二种是行为性生物测定，它基于个人的某种行为特点来确认其身份。

15、生物测定学系统必须经过仔细的校准。

所有生物测定学系统都可以调整，如果调低2类错误率，那么会导致1类错误的增加。

16、生物测定学面临的障碍包括：

◆用户可接受程度；◆特征登记时间；◆工作效率。

17、密码文件应当采用访问控制机制和加密方式进行保护。

18、一次性密码生成的令牌一般具有两种类型：

同步和异步。

令牌设备是最常见的一次性密码实现机制。

19、使用异步令牌生成方式的令牌设备通过挑战/响应机制对用户进行身份验证。

20、数字签名是一种使用私有密钥加密散列值（消息摘要）的技术。

21、因为更长，密码短语比密码更安全。

22、存储卡与智能卡的主要差异在于处理信息的能力。

存储卡可以保存信息，但是不能处理信息，智能卡不仅可以保存信息，而且还具有实际处理信息的必要硬件和软件。

23、非接触式智能卡具有两种类型：

混合式与组合式。

混合式智能卡拥有连个芯片。

组合式智能卡拥有一个微处理器芯片。

24、智能卡还能够编程，从而加密存储信息，并检测针对该卡的任何篡改行为。

当检测到篡改时，在智能卡上存储的信息会被自动擦除。

25、针对智能卡的查分功率分析、电磁分析都是旁路攻击的示例，这些攻击不必利用任何形式的缺陷或弱点，常用于数据收集。

26、微区探查使用针头和超声振动去除智能卡电路上的外部保护材料，随后就可以通过直接连接智能卡的ROM芯片来访问和操纵其中的数据。

27、使用角色是一种为执行特定任务的用户类型分配权限的有效方式。

使用组是另一种分配访问控制权限的有效方式。

28、访问控制机制应当默认为拒绝访问。

更好的方式是从零开始，并且基于“知其所需”添加特权。

29、SOX法规规定，经理必须每年对其雇员的权限进行核查。

30、Kerberos是一个身份验证协议，在客户端/服务器模型中工作，并且基于对称密钥密码术，已成为Windows2000/2003/2008操作系统的默认身份验证方法。

31、Kerberos是分布式环境中单点登录的一个示例，也是异构网络的一个实际标准。

32、企业访问控制需要4个元素：

可扩展性、透明性、可靠性以及安全性。

33、Kerberos通过使用票证来让主体通过客体的身份验证，而SESAME则使用特权属性证书。

特权属性证书具有数字签名。

34、域不仅适用于网络设备和区段，而且还可以应用于用户和进程。

35、目录服务的示例有：

轻量级目录访问协议（LDAP）、NovellNetWare目录服务（NDS）和Microsoft活动目录（AD）。

36、访问控制模型是规定主体如何访问客体的一种架构，它使用访问控制技术和安全机制来实现模型的规则和目标。

访问控制模型主要有下列3种：

自主访问控制、强制访问控制以及非自主访问控制（角色型访问控制）。

37、组织结构的业务和安全目标以及公司的文化和业务运作管理模式，有助于规定应当使用哪一种访问控制模型。

38、自主访问控制的最常见实现方式是访问控制列表（ACL），ACL由所有者规定和设置，由操作系统实施。

自主访问控制使得用户访问信息的能力更加动态化，这与强制访问控制的静态特性形成对比。

39、在强制访问控制（MAC）模型中，用户和数据所有者没有决定谁能访问文件的权力。

操作系统作出最终的决策，并且能够重写用户的设置。

这种模型更为结构化、更为严格，并且基于安全标签系统。

主体如何访问客体的规则由安全官制定，由管理员配置，由操作系统实施，由安全技术支持。

40、在MAC实现中，系统通过比较主体和安全标签的许可与“知其所需”级别来作出访问决策。

在DAC实现中，系统需要比较主体的身份和资源的ACL。

41、角色型访问控制模型（RBAC）使用集中管理的控制方式来决定主体和客体如何交互，允许根据用户的工作角色来管理权限，从而简化了访问控制管理，是雇员流动性高的公司最适合使用的访问控制系统。

42、限制性接口主要有3种：

◆菜单和外壳；◆数据库视图；◆物理限制接口。

43、数据库视图是用于限制用户访问数据库中数据的一种安全机制。

44、AAA代表身份验证、授权和审计。

45、远程身份验证拨号用户服务（RADIUS）是一种网络协议，它提供客户端/服务器身份验证和授权，并且审计远程用户。

46、终端访问控制器访问控制系统（TACACS）将它的身份验证和授权过程组合在一起，XTACACS将身份验证、授权和审计过程分隔开，TACACS+则是采用扩展双因素用户身份验证的XTACACS。

TACACS使用固定的密码进行身份验证，而TACACS+允许用户使用动态（一次性）密码。

47、看门狗可以解决软件死锁、无限循环和进程优化问题。

这种功能可以用在AAA协议中，以决定是否需要重新传送数据包以及出现问题的连接是否应当关闭和重新打开。

48、移动IP技术允许一名用户在从一个网络转移到另外一个网络时仍然使用相同的IP地址。

49、组织机构选择使用分散式模型主要是因为经理能够很好地判断哪一类用户应该能够访问不同的资源，并且不存在规定必须通过集中式访问控制管理进行严格控制的业务需求。

50、在组织机构内部构建安全基础的第一步就是安全策略问题。

管理层的责任就是构造一个安全策略，并委派人员开发支持性措施、标准和指导原则，指明应当使用怎样的人员控制，并且指定执行什么样的测试才能确保满足公司的安全目标。

51、行政管理控制包括：

◆人员控制；◆监管结构；◆安全意识培训；◆测试。

52、物理性控制包括：

◆网络分段；◆周边安全；◆计算机控制；◆工作区分隔；◆布线；◆控制区。

53、技术性控制包括：

◆系统访问；◆网络体系结构；◆网络访问；◆加密和协议；◆审计。

54、访问控制的不同功能包括：

◆威慑◆预防◆纠正◆恢复◆检测◆补偿◆指令。

55、进行审计时，应该记住以下几点：

◆安全存储审计跟踪；◆使用适当的审计工具控制日志的大小；◆为了保护数据，日志必须不被未授权修改；◆培训合适的人员以合理方式检查数据；◆确保只有管理员才能删除日志；◆日志应当包含所有高权限账户的活动。

56、TEMPEST存在两个替代技术：

使用白噪声或使用控制区概念。

白噪声就是具有均匀频谱的随机电子信号。

57、规则型入侵检测常常需要用到一个专家系统。

专家系统由知识库、推理引擎和规则型编程组成。

58、第五代编程语言（人工智能语言）能够处理“灰色”问题，即从提供的数据中推断出合理的解决方案。

59、网络嗅探器具有识别不同协议值的协议分析能力，需要使用采用混杂模式的网络适配器和捕获数据的驱动程序。

60、获取密码最有效的方式是混合型攻击，就是组合使用字典攻击和蛮力攻击。

第五章安全体系结构和设计

1、安全策略概括地说明了实体相互如何访问、不同实体能够执行的不同操作、系统或软件产品要求的保护级别以及当这些需求没有满足时应该采取什么动作。

策略勾勒出软件和硬件必须遵循以达到的期望。

安全模型概括地描述正确支持某种安全策略以及实现特定安全策略所必须满足的要求。

2、计算机体系结构由使一个计算机系统正常运转所需的全部部件构成，包括操作系统、存储器芯片、逻辑电路、存储设备、输入输出设备、安全组件、总线和联网组件。

3、通用寄存器用于保存变量和临时结果。

特殊寄存器保存诸如程序计数器、栈指针和程序状态字之类的信息。

程序计数器寄存器中包含需要提取的下一个指令的存储器地址。

4、CPU使用地址总线说明需要处理的指令的位置，存储器或I/O设备则通过数据总线发送位于该存储器位置的数据。

5、操作系统与CPU协作，通过使用中断来提供时间分片，以保证有足够的时间访问CPU。

6、采用下列方法可以实施进程隔离：

◆对象的封装；◆共享资源的时分复用；◆命名区分；◆虚拟映射。

7、存储器管理的目标包括：

◆为编程人员提供一个抽象层；◆通过有限的可用存储器提供最高性能；◆保护操作系统与加载入存储器的应用程序。

8、存储器管理器的5项基本功能：

◆重新部署◆保护◆共享◆逻辑组织◆物理组织。

9、随机存取存储器（RAM）具有易失性。

动态RAM更加便宜，速度更慢；静态RAM较为昂贵，速度更快。

静态RAM用在高速缓存器中，而动态RAM则常用在RAM芯片中。

10、处理器、存储器类型和大小以及总线速度都是影响计算机性能的关键因素。

11、防止存储器泄露的对策主要有两种：

◆开发正确释放存储器的更完善的代码；◆使用垃圾收集器。

12、分层是在信任级别较高进程和信任级别较低进程间提供缓冲区的一种方式。

13、无论安全机制置入操作系统体系结构的位置如何，只要安全机制的复杂性增加，那么通常它所提供的保证就越低。

14、可信计算基（TCB）内的进程驻留在0环中，它们的指令在特权状态下执行，并且不可信的进程不会与它们直接交互。

15、TCB的4