重頭戲來啦！這世界存在至少七種以上的安全建模 (Security Models)，為什麼要建模？當建模的成本，比實際做完才發現慘了的成本低的時候，我們會選擇先建模；另一原因就是，Modeling 本身就蘊涵「衡量」的意味，當我們能夠建模，我們就有機會量化它，就有機會「科學化」，依此，我們就能夠「衡量」它。

存取控制模型 (Access Control Model)

以下用 S 代表 Subject (主詞)，用 O 代表 Object (受詞)；S 是要存取資源的用戶，O 是被存取之資源。您的資訊系統用了哪一種模型實作了呢？ (最基本也要徹底實作 Role-Based Access Control 喔)

圖片來源：http://claveriajulius.blogspot.tw/2017/07/security-has-own-model-too.html

1. 狀態機模型 (State Machine Models)：用來保證所有被存取的 O，在各種 S 存取用例中皆安全。
2. 信息流模型 (Information Flow Models)：用來避免未經授權的信息流發生。
3. 互不干擾模型 (Noninterference Models)：用來保證 S1 的動作，不會影響到 S2 之存取狀態。
4. 取予模型 (Take-Grant Models)：用來避免 S1 的權限，被非法轉送給 S2。
5. BLP 保密模型 (Bell–LaPadula Confidentiality Model)：
   每個 S 都有許可證 (Clearance)，許可證劃分為不同層級，而每個 O 也有分類等級 (Classification)，當 S 和 O 位於不同的安全級別時，S 對 O 就存在一定的存取限制，此模型能保證資源不被不安全的主體所訪問。
6. Biba 完整性模型 (Biba Integrity Model)：較低安全層級之 S，不能「寫入 (Writing)」較高安全層級之 O。
7. Clark-Wilson 模型：是透過稽核的方法，來保證資料整全性。

可被信任的運算架構 (Trusted Computing Architecture)

對於安全軟體發展而言，必須綜觀此軟體所涉及的範圍，包含硬體、軟體、周邊控制，是否都落實了資安政策，且分割後能夠十分簡單而易於測試與驗證，這就是 Trusted Computing Base (TCB) 的基本原則。這裡應該要產出一張 TCB Architecture。而畫出來之後，我們就能看出系統的安全邊界 (Security Perimeter) 了。

還記得前幾天我們說「硬碟 BitLocker」是專業 IT 的基本功嗎？這裡再度介紹 Trusted Platform Module (可信平台模組) 給您。可信賴平台模組 (TPM) 是一種小型晶片，能讓電腦使用進階的安全性功能，如：磁碟機加密。 近年來，TPM 已內建在一些較新型的電腦中。

1. 配備可信賴平台模組 (TPM) 的電腦，可以建立「僅能由可信賴平台模組 (TPM) 解密的」加密金鑰。
2. 啟用了可信賴平台模組 (TPM) 與 BitLocker 的電腦，會檢查作業系統是否有存在任何，可能導致發生安全性風險的情況，包括磁碟錯誤、基本輸出入系統 (BIOS) 變更、其他啟動元件變更，或是有跡象顯示硬碟已經從一台電腦中移除並在另一台電腦上啟動。
3. 如果 TPM 偵測到上述任一種安全性風險，BitLocker 會鎖定系統磁碟分割，直到您輸入 BitLocker 修復密碼來解除鎖定為止。

安總最近在研究「複雜系統之需求工程」時發現，近年來有著重於架構設計的趨勢，像是開始強調並推廣使用 TOGAF (The Open Group Architecture Framework) 架構，而 Bob 大叔之 Clean Code 系列， 2017 年也出了一本談架構設計的新書呢 (愛心~~❤️)

《Clean Architecture: A Craftsman's Guide to Software Structure and Design》