操作系統(tǒng)教程(第三版)

1、第七章 操作系統(tǒng)的安全與保護(hù),7.1 安全性概述7.2 安全策略7.3 安全模型7.4 安全機(jī)制7.5 安全操作系統(tǒng)的設(shè)計(jì)和開發(fā) 7.6 實(shí)例研究：安全操作系統(tǒng)SELinux 7.7 實(shí)例研究：Windows 2000/XP安全機(jī)制,7.1 安全性概述,計(jì)算機(jī)安全性基本內(nèi)容是對(duì)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)加以保護(hù)，不因偶然或惡意原因而造成破壞、更改和泄露，使計(jì)算機(jī)系統(tǒng)得以連續(xù)正常地運(yùn)行。物理方面和邏輯方面 操作

2、系統(tǒng)安全性 、 網(wǎng)絡(luò)安全性 、 數(shù)據(jù)庫(kù)安全性,操作系統(tǒng)安全性主要內(nèi)容,安全策略。描述一組用于授權(quán)使用其計(jì)算機(jī)及信息資源的規(guī)則。安全模型。精確描述系統(tǒng)的安全策略，它是對(duì)系統(tǒng)的安全需求，以及如何設(shè)計(jì)和實(shí)現(xiàn)安全控制的一個(gè)清晰全面的理解和描述。安全機(jī)制。實(shí)現(xiàn)安全策略描述的安全問(wèn)題，它關(guān)注如何實(shí)現(xiàn)系統(tǒng)的安全性，包括：認(rèn)證機(jī)制(Authentication)、授權(quán)機(jī)制(Authorization)、加密機(jī)制(Encryptio

3、n)、審計(jì)機(jī)制(Audit)、最小特權(quán)機(jī)制(Least Privilege)等。,安全威脅來(lái)自這些方面,1硬件 2軟件 3數(shù)據(jù) 4網(wǎng)絡(luò)和通信線路,7.2 安全策略,7.2.1 安全需求和安全策略操作系統(tǒng)安全需求指設(shè)計(jì)一個(gè)安全操作系統(tǒng)時(shí)期望得到的安全保障，一般要求系統(tǒng)無(wú)錯(cuò)誤配置、無(wú)漏洞、無(wú)后門、無(wú)特洛伊木馬等，能防止非法用戶對(duì)計(jì)算機(jī)資源的非法存取。,操作系統(tǒng)的安全需求,機(jī)密性(confidentiality)需求 為秘密數(shù)據(jù)提供

4、保護(hù)方法及保護(hù)等級(jí)的一種特性。完整性(integrity)需求 系統(tǒng)中的數(shù)據(jù)和原始數(shù)據(jù)未發(fā)生變化，未遭到偶然或惡意修改或破壞時(shí)所具有的一種性質(zhì)?？捎泿ば?accountability)需求 又稱審計(jì)，指要求能證實(shí)用戶身份，可對(duì)有關(guān)安全的活動(dòng)進(jìn)行完整記錄、檢查和審核，以防止用戶對(duì)訪問(wèn)過(guò)某信息或執(zhí)行過(guò)某操作的否認(rèn) 可用性(availability)需求 防止非法獨(dú)占資源，每當(dāng)合法用戶需要時(shí)保證其訪問(wèn)到所需信息，為其提供所需服務(wù)。,安全

5、策略和安全系統(tǒng),安全策略指用于授權(quán)使用其計(jì)算機(jī)及信息資源的規(guī)則、即有關(guān)管理、保護(hù)、分配和發(fā)布系統(tǒng)資源及敏感信息的規(guī)定和實(shí)施細(xì)則。一個(gè)系統(tǒng)可以有一個(gè)或多個(gè)安全策略，其目的是使安全需求得到保障。 一個(gè)計(jì)算機(jī)系統(tǒng)是安全系統(tǒng)，是指該系統(tǒng)達(dá)到了設(shè)計(jì)時(shí)所制定的安全策略的要求，一個(gè)安全的計(jì)算機(jī)系統(tǒng)從設(shè)計(jì)開始，就要考慮安全問(wèn)題。安全策略是構(gòu)建可信系統(tǒng)的堅(jiān)實(shí)基礎(chǔ)，而安全策略的制定取決于用戶的安全需求。,安全策略分成兩類,(1)軍事安全策略 主要目的是

6、提供機(jī)密性，同時(shí)還涉及完整性、可記帳性和可用性。用于涉及國(guó)家、軍事和社會(huì)安全部門等機(jī)密性要求很高的單位，一旦泄密將會(huì)帶來(lái)災(zāi)難性危害。(2)商業(yè)安全策略 主要目的是提供完整性，但不是惟一的，也涉及機(jī)密性、可記帳性和可用性。它要滿足商業(yè)公司的數(shù)據(jù)不被隨意篡改。例如，一個(gè)銀行的計(jì)算機(jī)系統(tǒng)受到完整性侵害，客戶賬目金額被改動(dòng)，引起金融上的嚴(yán)重后果。,一個(gè)基本概念--TCB,操作系統(tǒng)的安全依賴于具體實(shí)施安全策略的可信軟件和硬件，計(jì)算機(jī)系統(tǒng)內(nèi)安全

7、保護(hù)裝置的總體，包括硬件、固件、可信軟件和負(fù)責(zé)執(zhí)行安全策略的管理員的組合體稱為可信計(jì)算基TCB(Trusted Computing Base)，它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。,TCB的組成,操作系統(tǒng)的安全內(nèi)核、具有特權(quán)的程序和命令、處理敏感信息的程序、實(shí)施安全策略的有關(guān)文件、相關(guān)的固件、硬件和設(shè)備、固件和硬件的診斷程序、安全管理員等。TCB的軟件部分是安全操作系統(tǒng)的核心，它能完成以下任務(wù)：內(nèi)核

8、的安全運(yùn)行、標(biāo)識(shí)系統(tǒng)中的每個(gè)用戶、保持用戶到TCB登錄的可信路徑、實(shí)施主體對(duì)客體的訪問(wèn)控制、維護(hù)TCB功能的正確性和監(jiān)視及記錄系統(tǒng)中發(fā)生的有關(guān)事件。,7.2.2 訪問(wèn)支持策略,這類安全策略是為了把系統(tǒng)中的用戶與訪問(wèn)控制策略中的“主體”掛起鉤來(lái)，用戶欲進(jìn)入系統(tǒng)必須要經(jīng)過(guò)“身份認(rèn)證”，確保試圖訪問(wèn)資源的主體實(shí)際上就是他聲稱的主體，于是他才能成為系統(tǒng)中的合法用戶，才能訪問(wèn)被授權(quán)的相應(yīng)資源。,(1)標(biāo)識(shí)與鑒別,1)用戶標(biāo)識(shí)(identifica

9、tion)：用來(lái)標(biāo)明用戶身份，確保用戶的惟一性和可辨認(rèn)性的標(biāo)志，一般選用用戶名稱和用戶標(biāo)識(shí)符(UID)來(lái)標(biāo)明一個(gè)系統(tǒng)用戶，名稱和標(biāo)識(shí)符均為公開的明碼信息。用戶標(biāo)識(shí)是有效實(shí)施其他安全策略，如用戶數(shù)據(jù)保護(hù)和安全審計(jì)的基礎(chǔ)。通過(guò)為用戶提供標(biāo)識(shí)，TCB能使用戶對(duì)自己的行為負(fù)責(zé)。2)用戶鑒別(authentication)：用特定信息對(duì)用戶身份、設(shè)備和其他實(shí)體的真實(shí)性進(jìn)行確認(rèn)，用于鑒別的信息是非公開的和難以仿造的，如口令(也稱密鑰)。用戶鑒別是

10、有效實(shí)施其他安全策略的基礎(chǔ)。,三類信息用作身份標(biāo)識(shí)和鑒別,用戶知道的信息用戶擁有的東西用戶的生物特征利用其中的任何一類都可進(jìn)行身份認(rèn)證，但若能利用多類信息，或同時(shí)利用三類中的不同信息，會(huì)增強(qiáng)認(rèn)證機(jī)制的有效性和強(qiáng)壯性。,(2)可記帳性,要求任何影響系統(tǒng)安全性的行為都被跟蹤和記錄在案，安全系統(tǒng)擁有把用戶標(biāo)識(shí)與它被跟蹤和記錄的行為聯(lián)系起來(lái)的能力。審計(jì)信息必須有選擇性的保留和保護(hù)，所有與安全相關(guān)的事件記錄在審計(jì)日志文件中，所有審計(jì)數(shù)據(jù)必

11、須防止受到未授權(quán)的訪問(wèn)、修改和破壞，以作為日后對(duì)事件調(diào)查的依據(jù)。審計(jì)系統(tǒng)能記錄以下事件：和標(biāo)識(shí)與鑒別機(jī)制相關(guān)的事件、將客體導(dǎo)入用戶地址空間的操作、刪除客體、系統(tǒng)管理員執(zhí)行的操作及其他與安全相關(guān)的事件。,(2)確切保證和連續(xù)保護(hù),確切保證指系統(tǒng)事先制定的安全策略能得到正確執(zhí)行并且安全系統(tǒng)能正確可靠地實(shí)施安全策略的意圖，為此，把住安全系統(tǒng)從設(shè)計(jì)、開發(fā)、安裝和維護(hù)的各個(gè)環(huán)節(jié)，基于硬件、固件、軟件來(lái)保證系統(tǒng)內(nèi)信息的安全，防止可能造成的保護(hù)機(jī)制

12、失效或被旁路的未授權(quán)的改變。連續(xù)保護(hù)策略要求安全系統(tǒng)必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)改變，如果用來(lái)實(shí)現(xiàn)安全策略的基礎(chǔ)硬件、固件、軟件自身容易受到篡改和破壞，那么沒(méi)有任何一種計(jì)算機(jī)系統(tǒng)是安全的，也就不可能實(shí)現(xiàn)連續(xù)保護(hù)。,(3)客體重用,指重新分配給某些主體的介質(zhì)，如頁(yè)框、磁帶、盤塊、軟盤、可擦光盤等，為達(dá)到安全地再分配的目的，在TCB安全控制范圍內(nèi)的存儲(chǔ)介質(zhì)作為系統(tǒng)資源被動(dòng)態(tài)再分配給新主體時(shí)，必須確保其中不能包含任何客體殘留信息，

13、以防止造成泄密。所以，可信計(jì)算基TCB應(yīng)確保：1)非授權(quán)用戶不能查找在使用后返還系統(tǒng)的資源中的內(nèi)容；2) 非授權(quán)用戶不能查找現(xiàn)已分配給他的資源中以前的內(nèi)容；3)系統(tǒng)應(yīng)確保數(shù)據(jù)未被未授權(quán)用戶修改過(guò)；4)系統(tǒng)自身和系統(tǒng)中的數(shù)據(jù)應(yīng)保持準(zhǔn)確和一致地反映用戶意圖的狀態(tài)。,(5)隱蔽信道分析,是指可以被進(jìn)程用來(lái)以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道，有兩類隱蔽信道：存儲(chǔ)隱蔽信道和時(shí)間隱蔽信道。,(6)可信路徑和可信恢復(fù),可信路徑是一種

14、實(shí)現(xiàn)用戶與可信計(jì)算基TCB之間進(jìn)行直接交互作用的機(jī)制，當(dāng)連接用戶時(shí)(如登錄、更改主體安全級(jí))，可信計(jì)算基TCB應(yīng)提供它與用戶之間的可信的通信路徑，該路徑上的通信只能由用戶和TCB激活，不能由其他軟件(惡意軟件)模仿，且在邏輯上與其他路徑上的通信隔離，并能正確加以區(qū)分。,7.2.3 訪問(wèn)控制策略,1.   訪問(wèn)控制屬性與訪問(wèn)控制策略相關(guān)的因素有三類：主體、客體和主客體屬性。(1)主體 是主動(dòng)的實(shí)體，是系統(tǒng)內(nèi)行為的發(fā)

15、起者，通常它是用戶和代表用戶的進(jìn)程，系統(tǒng)中所有事件請(qǐng)求幾乎都是由主體激發(fā)的。系統(tǒng)的合法用戶可分成： ·普通用戶(進(jìn)程)， ·信息屬主(進(jìn)程)， ·系統(tǒng)管理員(進(jìn)程)，,(2)客體,是一個(gè)被動(dòng)的實(shí)體，是系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者，它常被分成：1)一般客體，系統(tǒng)內(nèi)以具體形式存在的信息實(shí)體，如文件、目錄、數(shù)據(jù)和程序等。2)設(shè)備客體，指系統(tǒng)內(nèi)的硬件設(shè)備，如磁盤、磁帶、顯示器、打印機(jī)、網(wǎng)絡(luò)節(jié)點(diǎn)等。3

16、)特殊客體，有時(shí)一些進(jìn)程是另外一些進(jìn)程行為的承擔(dān)者，那么，這類進(jìn)程也是客體的一部分。,(3)主客體屬性 (敏感標(biāo)記),是TCB維護(hù)與可被外部主體直接或間接訪問(wèn)到的計(jì)算機(jī)信息系統(tǒng)資源相關(guān)的敏感標(biāo)記，這些安全標(biāo)記是實(shí)施自主或強(qiáng)制訪問(wèn)的基礎(chǔ)。,1)主體屬性,它是用戶特征，是系統(tǒng)用來(lái)決定訪問(wèn)控制的常用因素，一個(gè)用戶的任何一種屬性都可作為訪問(wèn)控制決策點(diǎn)，一般系統(tǒng)訪問(wèn)控制策略中常用的用戶屬性有：a)用戶ID/用戶組ID：b)用戶訪問(wèn)許可級(jí)別：

17、C)用戶需知屬性： d)角色： e)權(quán)能列表：,2) 客體屬性,與系統(tǒng)內(nèi)客體相關(guān)聯(lián)的屬性也作為訪問(wèn)控制策略的一部分，客體安全屬性有：a)敏感性標(biāo)記：信息按“安全等級(jí)”進(jìn)行分類，如“公開信息”、“機(jī)密信息”、“秘密信息”、“絕密信息”；還可將系統(tǒng)內(nèi)的信息按非等級(jí)分類，進(jìn)行模擬人力資源系統(tǒng)的劃分，稱“范疇”，如參謀部、作戰(zhàn)部、后勤部等，系統(tǒng)內(nèi)信息的敏感性標(biāo)記由等級(jí)與非等級(jí)兩部分組成：敏感性級(jí)別和范疇。,b)訪問(wèn)控制列表,與客體相

18、關(guān)聯(lián)的有一個(gè)“訪問(wèn)控制列表”，用來(lái)指定系統(tǒng)中哪些用戶和用戶組可以以何種模式訪問(wèn)該客體的一種列表。,其他,3)外部狀態(tài)： 4)數(shù)據(jù)內(nèi)容和上下文環(huán)境：,(4)用戶與主體綁定,用戶進(jìn)程是固定為某特定用戶服務(wù)的，它在運(yùn)行中代表該用戶對(duì)客體資源進(jìn)行訪問(wèn)，其權(quán)限應(yīng)與所代表的用戶相同，這一點(diǎn)可通過(guò)用戶與主體綁定實(shí)現(xiàn)。系統(tǒng)進(jìn)程是動(dòng)態(tài)地為所有用戶提供服務(wù)的，它的權(quán)限隨著服實(shí)對(duì)象的變化而改變，這需要將用戶的權(quán)限與為其服務(wù)的進(jìn)程的權(quán)限動(dòng)態(tài)地相關(guān)聯(lián)。這也就

19、是說(shuō)，一個(gè)進(jìn)程在不同時(shí)刻對(duì)一個(gè)客體有不同的訪問(wèn)權(quán)限，取決于它當(dāng)時(shí)所執(zhí)行的任務(wù)。當(dāng)進(jìn)程在執(zhí)行正常的用戶態(tài)應(yīng)用程序時(shí)(用戶進(jìn)程)，它所擁有的權(quán)限與其代表的用戶有關(guān)；當(dāng)進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，它開始執(zhí)行內(nèi)核函數(shù)(系統(tǒng)進(jìn)程)，此時(shí)運(yùn)行在核心態(tài)，擁有操作系統(tǒng)權(quán)限。,2 自主訪問(wèn)控制策略,本策略根據(jù)系統(tǒng)中信息屬主指定方式或默認(rèn)方式、即按照用戶的意愿來(lái)確定用戶對(duì)每一個(gè)客體的訪問(wèn)權(quán)限，這一點(diǎn)上對(duì)信息屬主是“自主的”。這樣一來(lái)，它能提供精細(xì)的訪問(wèn)控制策略，能

20、將訪問(wèn)控制粒度細(xì)化到單個(gè)用戶(進(jìn)程)。按照系統(tǒng)訪問(wèn)控制策略實(shí)現(xiàn)的訪問(wèn)控制機(jī)制，能夠?yàn)槊總€(gè)命名客體指定命名用戶和用戶組，并規(guī)定他們對(duì)客體的訪問(wèn)權(quán)限，沒(méi)有訪問(wèn)權(quán)限的用戶，只允許由授權(quán)用戶指定其對(duì)客體的訪問(wèn)權(quán)。,4 強(qiáng)制訪問(wèn)控制策略,在強(qiáng)制訪問(wèn)控制機(jī)制下，系統(tǒng)內(nèi)的每個(gè)用戶或主體被賦予一個(gè)許可標(biāo)記或訪問(wèn)標(biāo)記，以表示他對(duì)敏感性客體的訪問(wèn)許可級(jí)別；同樣，系統(tǒng)內(nèi)的每個(gè)客體被賦予一個(gè)敏感性標(biāo)記(sensitivity label)，以反映該客體的安全級(jí)

21、別。安全系統(tǒng)通過(guò)比較主、客體的相應(yīng)標(biāo)記來(lái)決定是否授予一個(gè)主體對(duì)客體的訪問(wèn)請(qǐng)求權(quán)限。,7.3 安全模型,7.3.1 安全模型概述 安全模型是對(duì)安全策略所表達(dá)的安全需求的精確、無(wú)歧義抽象描述，在安全策略與安全機(jī)制的關(guān)聯(lián)之間提供一種框架。安全模型本身描述了安全策略需用哪種機(jī)制滿足，模型的實(shí)現(xiàn)描述了如何將特定機(jī)制應(yīng)用于系統(tǒng)中，從而，實(shí)現(xiàn)某種安全策略所需的安全與保護(hù)。 安全模型分為：形式化和非形式化兩種，非形式化安全模型僅模擬系統(tǒng)的安全

22、功能，其開發(fā)過(guò)程為：從安全需求出發(fā)，推出功能規(guī)范，再實(shí)現(xiàn)安全系統(tǒng)，其間主要采用了論證與測(cè)試技術(shù)；而形式化安全模型使用數(shù)學(xué)模型來(lái)精確地描述安全性及其在系統(tǒng)中使用的情況，其開發(fā)途徑為：建立抽象模型，推出形式化規(guī)范，通過(guò)證明方法來(lái)實(shí)現(xiàn)安全系統(tǒng)。,安全模型分類,安全模型分為：形式化和非形式化兩種，非形式化安全模型僅模擬系統(tǒng)的安全功能，其開發(fā)過(guò)程為：從安全需求出發(fā)，推出功能規(guī)范，再實(shí)現(xiàn)安全系統(tǒng)，其間主要采用了論證與測(cè)試技術(shù)；而形式化安全模型使用數(shù)

23、學(xué)模型來(lái)精確地描述安全性及其在系統(tǒng)中使用的情況，其開發(fā)途徑為：建立抽象模型，推出形式化規(guī)范，通過(guò)證明方法來(lái)實(shí)現(xiàn)安全系統(tǒng)。,形式化開發(fā)途徑,開發(fā)安全系統(tǒng)首先必須建立安全模型，通過(guò)形式化安全模型來(lái)模擬安全系統(tǒng)，從而，可以正確地綜合系統(tǒng)的各類因素，如使用方式、應(yīng)用環(huán)境類型、授權(quán)的定義、共享的客體(系統(tǒng)資源)、共享的類型等，所有這些因素構(gòu)成安全系統(tǒng)的形式化抽象描述，使得系統(tǒng)可以被證明是完整的、反映真實(shí)環(huán)境的、邏輯上能實(shí)現(xiàn)程序受控制的執(zhí)行的。,狀

24、態(tài)機(jī)模型,在當(dāng)前技術(shù)條件下，安全模型都采用狀態(tài)機(jī)模型，該模型將系統(tǒng)描述成一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī)器，狀態(tài)變量表示機(jī)器的狀態(tài)；轉(zhuǎn)移函數(shù)或操作規(guī)則描述狀態(tài)變量的變化過(guò)程，它是對(duì)系統(tǒng)應(yīng)用通過(guò)請(qǐng)求系統(tǒng)調(diào)用來(lái)影響操作系統(tǒng)狀態(tài)的這種方式的抽象。,7.3.2 幾種安全模型簡(jiǎn)介,對(duì)狀態(tài)機(jī)模型進(jìn)行改進(jìn)，一類是把系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在一個(gè)訪問(wèn)矩陣中；另一類引入“格”概念，它是一個(gè)有限偏序集，有最小上界和最大下界操作符的數(shù)學(xué)結(jié)構(gòu)，利用格的性質(zhì)來(lái)約束

25、安全系統(tǒng)中的變量，以實(shí)現(xiàn)多級(jí)安全策略，安全模型分成：基于訪問(wèn)控制矩陣的安全模型和基于格的安全模型。,(1)Lampson訪問(wèn)控制矩陣模型,客體被認(rèn)為是存儲(chǔ)器，訪問(wèn)控制檢查不基于存儲(chǔ)的內(nèi)容值而是基于系統(tǒng)的狀態(tài)，系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在訪問(wèn)矩陣中，由三元組(S,O,M)決定，訪問(wèn)權(quán)限集包含讀、寫、追加、修改和執(zhí)行等。系統(tǒng)中狀態(tài)的改變?nèi)Q于訪問(wèn)矩陣M的改變，一個(gè)獨(dú)立的狀態(tài)機(jī)構(gòu)成一個(gè)系統(tǒng)，因而，訪問(wèn)矩陣也稱為系統(tǒng)的“保護(hù)狀態(tài)”。系統(tǒng)

26、中所有主體對(duì)客體的訪問(wèn)均由“引用監(jiān)視器”控制，它的任務(wù)是確保只有那些在訪問(wèn)矩陣中獲得授權(quán)的操作才被允許執(zhí)行。,(2)Graham-Denning模型,此模型的保護(hù)性能更具有一般性，對(duì)主體集合S、客體集合O、權(quán)力集合R和訪問(wèn)控制矩陣A進(jìn)行操作。主體有一行，每個(gè)主體及所有客體都有一列，一個(gè)主體對(duì)于另一個(gè)主體或?qū)τ谝粋€(gè)客體的權(quán)力用矩陣元素的內(nèi)容來(lái)表示。對(duì)于每個(gè)客體，標(biāo)明為“擁有者”的主體有特殊權(quán)力；對(duì)于每個(gè)主體，標(biāo)明為“控制者”的另一主體有

27、特殊權(quán)力。本模型中，設(shè)計(jì)了8個(gè)基本保護(hù)權(quán)，構(gòu)造一個(gè)保護(hù)系統(tǒng)的訪問(wèn)控制機(jī)制模型所必需的性質(zhì)，這些權(quán)力被表示成主體能夠發(fā)出的命令，作用于其他主體或客體。,(3)Harrison-Ruzzo-Ullman模型,,(4)Bell-LaPadula模型,是最早和最常用的適用于軍事安全策略的操作系統(tǒng)多級(jí)安全模型，其目標(biāo)是詳細(xì)說(shuō)明計(jì)算機(jī)的多級(jí)安全操作規(guī)則。BLP模型中，將主體定義為能發(fā)起行為的實(shí)體，如進(jìn)程；將客體定義為被動(dòng)的主體行為的承擔(dān)者，如文件、

28、目錄、數(shù)據(jù)；將主體對(duì)客體的訪問(wèn)分為：只讀、讀寫、只寫、執(zhí)行、控制等訪問(wèn)模式，控制是指主體用來(lái)授予或撤銷另一主體對(duì)某客體的訪問(wèn)權(quán)限的能力。,BLP模型的安全策略,包括：自主安全策略和強(qiáng)制安全策略，前者使用一個(gè)訪問(wèn)矩陣表示，其中，第i行第j列的元素Mij 表示主體Si對(duì)客體Oj的所有允許的訪問(wèn)模式，主體只能按在訪問(wèn)矩陣中被授予對(duì)客體的訪問(wèn)權(quán)限對(duì)客體進(jìn)行訪問(wèn)；后者包括簡(jiǎn)單安全特性和*特性，系統(tǒng)對(duì)所有主體和客體都分配一個(gè)訪問(wèn)類屬性，包括主體和

29、客體的密級(jí)和范疇，系統(tǒng)通過(guò)比較主體和客體的訪問(wèn)類屬性控制主體對(duì)客體的訪問(wèn)。,BLP模型兩條基本規(guī)則,1)簡(jiǎn)單安全特性規(guī)則 一個(gè)主體對(duì)客體進(jìn)行讀訪問(wèn)的必要條件是主體的安全級(jí)支配客體的安全級(jí)、即主體的安全級(jí)別不小于客體的保密級(jí)別，主體的范疇集包含客體的全部范疇，或者說(shuō)主體只能向下讀，不能向上讀。2)*特性規(guī)則 一個(gè)主體對(duì)客體進(jìn)行寫訪問(wèn)的必要條件是客體的安全級(jí)支配主體的安全級(jí)、即客體的保密級(jí)別不小于主體的保密級(jí)別，客體的范疇集包含主體的全部

30、范疇，或者說(shuō)主體只能向上寫，不能向下寫。,多級(jí)安全規(guī)則,,(5)D.Denning信息流模型,有些信息泄露問(wèn)題(如隱蔽信道)不是因?yàn)樵L問(wèn)控制機(jī)制不完善，而是由于缺乏對(duì)信息流的必要保護(hù)引起的。在系統(tǒng)中，一個(gè)主體S能否獲得資源R所包含的信息?這種情況下，主體S不必具有對(duì)R的實(shí)際訪問(wèn)權(quán)限，信息可能經(jīng)由其他主體到達(dá)S，或者信息只是簡(jiǎn)單地被復(fù)制到S可以訪問(wèn)的資源中。,控制原理,信息流模型是存取控制模型的一種變形，它不檢查主體對(duì)客體的存取，而是試圖

31、控制從一個(gè)客體到另一個(gè)客體的信息傳輸過(guò)程，根據(jù)兩個(gè)客體的安全屬性來(lái)決定是否允許當(dāng)前操作的執(zhí)行。隱蔽信道的核心是低安全級(jí)主體對(duì)高安全級(jí)主體所產(chǎn)生的信息的間接存取，信息流分析能保證操作系統(tǒng)在對(duì)敏感信息存取時(shí)，不會(huì)把數(shù)據(jù)泄露給調(diào)用者。,7.4 安全機(jī)制,優(yōu)秀的硬件保護(hù)設(shè)施是實(shí)現(xiàn)高效、安全、可靠的操作系統(tǒng)的基礎(chǔ)，計(jì)算機(jī)硬件安全的目標(biāo)是保證其自身的可靠性，并為操作系統(tǒng)提供基本的安全設(shè)施，常用的有：內(nèi)存保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)等。 1內(nèi)存保

32、護(hù) 1)下界和上界寄存器法 2)基址和限長(zhǎng)寄存器法,3)內(nèi)存塊鎖與進(jìn)程鑰匙配對(duì)法,,(2)支持虛擬內(nèi)存的系統(tǒng),進(jìn)程的存儲(chǔ)空間的隔離可以很容易地通過(guò)虛擬存儲(chǔ)器的方法來(lái)實(shí)現(xiàn)，分段、分頁(yè)或段頁(yè)式，提供了管理和保護(hù)主存的有效方法，這類系統(tǒng)通過(guò)段表、頁(yè)表和段頁(yè)表間接地訪問(wèn)虛擬內(nèi)存的一個(gè)段或一個(gè)頁(yè)。由于表對(duì)于進(jìn)程是私有的，因此，通過(guò)在有關(guān)表項(xiàng)中設(shè)置保護(hù)信息，每個(gè)進(jìn)程可以對(duì)該進(jìn)程能(私有或共享)訪問(wèn)的任何段或頁(yè)面具有不同的訪問(wèn)權(quán)限，在每

33、次地址轉(zhuǎn)換時(shí)執(zhí)行必需的權(quán)限檢查。,(3)沙盒技術(shù),在大多數(shù)操作系統(tǒng)中，一個(gè)進(jìn)程調(diào)用的函數(shù)會(huì)自動(dòng)繼承調(diào)用進(jìn)程的所有訪問(wèn)特權(quán)，特別是可以訪問(wèn)進(jìn)程的整個(gè)虛擬內(nèi)存。若函數(shù)是不可信的，如Internet上下載的程序(很可能帶有特洛伊木馬)，這種不受限制的訪問(wèn)是不允許的，會(huì)給系統(tǒng)造成嚴(yán)重威脅。為了限制不可信程序造成潛在損害的范圍，系統(tǒng)可限制特權(quán)為調(diào)用進(jìn)程所具有的授權(quán)的一小部分特權(quán)，通常稱這種縮小訪問(wèn)后的環(huán)境為“沙盒”。,2運(yùn)行保護(hù),安全操作系統(tǒng)很重

34、要的一點(diǎn)是進(jìn)行分層設(shè)計(jì)，而運(yùn)行域正是一種基于保護(hù)環(huán)的層次等級(jí)式結(jié)構(gòu)。運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，最內(nèi)層具有最小環(huán)號(hào)的環(huán)擁有最高特權(quán)，最外層具有最大環(huán)號(hào)的環(huán)擁有最小特權(quán)，一般的系統(tǒng)不少于3至4個(gè)環(huán)。,處理器模式擴(kuò)展了操作系統(tǒng)的訪問(wèn)權(quán)限,,VAX/VMS操作系統(tǒng)的四種模式構(gòu)成保護(hù)環(huán),處理器模式?jīng)Q定了：指令執(zhí)行特權(quán)、即處理器當(dāng)前可執(zhí)行的指令系統(tǒng)子集；隨當(dāng)前模式而增減的存儲(chǔ)訪問(wèn)特權(quán)、即當(dāng)前指令可以存取的虛擬內(nèi)存的位置。·內(nèi)核(kern

35、el)態(tài)。執(zhí)行VMS操作系統(tǒng)的內(nèi)核，包括內(nèi)存管理、中斷處理、I/O操作等。 ·執(zhí)行(executive)態(tài)。執(zhí)行操作系統(tǒng)的各種系統(tǒng)調(diào)用，如文件操作等。·監(jiān)管(supervisor)態(tài)。執(zhí)行操作系統(tǒng)其余系統(tǒng)調(diào)用，如應(yīng)答用戶請(qǐng)求。·用戶(user)態(tài)。執(zhí)行用戶程序，如編譯、編輯、鏈接、排錯(cuò)等實(shí)用程序和各種應(yīng)用程序。,3 I/O保護(hù),CPU與計(jì)算機(jī)系統(tǒng)相連接的各種外圍設(shè)備通信時(shí)，必須讀寫設(shè)備控制器

36、提供的各種寄存器，對(duì)這類寄存器的訪問(wèn)可采用兩種途徑：內(nèi)存映射接口和I/O指令(集)。,7.4.2 認(rèn)證機(jī)制,1用戶身份的標(biāo)識(shí)與鑒別 認(rèn)證機(jī)制主要包括標(biāo)識(shí)與鑒別，標(biāo)識(shí)就是操作系統(tǒng)識(shí)別用戶的身份，并把它轉(zhuǎn)換為系統(tǒng)內(nèi)部識(shí)別碼—用戶標(biāo)識(shí)符，它是惟一的且不能被偽造，以防止一個(gè)用戶冒充另一個(gè)用戶。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過(guò)程稱鑒別，該過(guò)程主要用于識(shí)別用戶的真實(shí)身份，該操作需要用戶具有能夠證明其身份的特殊信息，且這些信息是秘密的和獨(dú)一無(wú)二的，任

37、何其他用戶都不會(huì)擁有。,多級(jí)安全操作系統(tǒng)認(rèn)證過(guò)程,不但要完成一般的用戶管理和登錄，如檢查登錄的用戶名和口令、賦予用戶的惟一標(biāo)識(shí)用戶ID和組ID，還要核對(duì)用戶申請(qǐng)的安全級(jí)、計(jì)算特權(quán)集、審計(jì)屏蔽碼。檢查用戶安全級(jí)就是檢驗(yàn)其本次申請(qǐng)的安全級(jí)是否在系統(tǒng)安全文件檔案中定義的該用戶安全級(jí)范圍之內(nèi)。,2 UNIX/Linux系統(tǒng)標(biāo)識(shí)和鑒別,系統(tǒng)的/etc/passwd文件含有全部系統(tǒng)掌握的關(guān)于每個(gè)用戶的登錄信息，加密后的口令存于/etc/shadow

38、文件中，口令文件包含：用戶登錄名、加密過(guò)的口令、口令時(shí)限、用戶號(hào)uid、用戶組號(hào)gid、用戶注釋、用戶主目錄和用戶使用的shell程序。,3 Kerberos網(wǎng)絡(luò)身份認(rèn)證,,,,,,,,,,,,,,7.4.3 授權(quán)機(jī)制,1權(quán)授機(jī)制的功能經(jīng)典的計(jì)算機(jī)系統(tǒng)兩種機(jī)制的關(guān)鍵點(diǎn)，當(dāng)一個(gè)用戶試圖訪問(wèn)計(jì)算機(jī)系統(tǒng)時(shí)，認(rèn)證機(jī)制首先標(biāo)識(shí)與鑒別用戶身份用戶進(jìn)入系統(tǒng)后，再由授權(quán)機(jī)制檢查其是否擁有使用本機(jī)資源的權(quán)限及有多大的訪問(wèn)權(quán)限。授權(quán)機(jī)制的功能是授權(quán)和存

39、取控制，其任務(wù)是：·授權(quán)，確定給予哪些主體存取哪些客體的權(quán)力。·確定存取權(quán)限，通常有：讀、寫、執(zhí)行、刪除、追加等存取方式。·實(shí)施存取權(quán)限。,認(rèn)證和授權(quán),,安全系統(tǒng)模型,,2 自主存取控制機(jī)制,是用來(lái)決定一個(gè)用戶是否有權(quán)訪問(wèn)一些特定客體的一類訪問(wèn)約束機(jī)制，這種機(jī)制下，資源屬主可以按照自已的意愿精確指定系統(tǒng)中的其他用戶對(duì)其資源的訪問(wèn)權(quán)、故稱自主存取控制。,(3)基于行的自主存取控制機(jī)制,在每個(gè)主體上都附加

40、一個(gè)該主體可訪問(wèn)的客體明細(xì)表，根據(jù)表中信息的不同又可分成3種：,權(quán)能表,,2)前綴表,對(duì)每個(gè)主體賦予前綴(Profiles)表，它包含受保護(hù)的客體名和主體對(duì)它的訪問(wèn)權(quán)限，每當(dāng)主體訪問(wèn)某客體時(shí)，自主存取控制機(jī)制將檢查主體的前綴是否具有它所請(qǐng)求的訪問(wèn)權(quán)。,3)口令表(Passwords List),在基于口令表的自主存取控制機(jī)制中，每個(gè)客體都有一個(gè)口令，主體在對(duì)客體訪問(wèn)前，必須向安全系統(tǒng)提供該客體的口令，如果正確便允許訪問(wèn)。,(1)基于列的

41、自主存取控制機(jī)制,存取控制表ACL(Access Control List)是十分有效的自主訪問(wèn)控制機(jī)制，被許多系統(tǒng)采用。此機(jī)制如下實(shí)現(xiàn)，在每個(gè)客體上都附加一個(gè)可訪問(wèn)它的主體的明細(xì)表，表示存取控制矩陣，表中的每一項(xiàng)都包括主體的身份和主體對(duì)該客體的訪問(wèn)權(quán)限。,ACL和優(yōu)化ACL,,(3)自主存取控制機(jī)制實(shí)現(xiàn)舉例,1)“擁有者/同組同戶/其他用戶”模式2)“存取控制表ACL”和“擁有者/同組同戶/其他用戶”結(jié)合模式在安全操作系統(tǒng)UNIX

42、 SVR4.1中，采用“存取控制表ACL”和“擁有者/同組同戶/其他用戶”結(jié)合的實(shí)現(xiàn)方法，ACL只對(duì)于“擁有者/同組同戶/其他用戶”無(wú)法分組的用戶才使用。,3 強(qiáng)制存取控制機(jī)制,強(qiáng)制存取控制用于將系統(tǒng)中的信息分密級(jí)和范疇進(jìn)行管理，保證每個(gè)用戶只能夠訪問(wèn)那些被標(biāo)明能夠由他訪問(wèn)的信息的一種訪問(wèn)約束機(jī)制。系統(tǒng)中每個(gè)主體(進(jìn)程)，每個(gè)客體(文件、消息隊(duì)列、信號(hào)量集、共享存儲(chǔ)區(qū)等)都被賦予相應(yīng)的安全屬性，這些安全屬性不能改變，它由安全系統(tǒng)(包括

43、安全管理員)自動(dòng)地按嚴(yán)格的規(guī)則設(shè)置，而不是像存取控制表那樣由用戶或用戶程序直接或間接修改。,實(shí)現(xiàn)多級(jí)安全訪問(wèn)控制機(jī)制,必須對(duì)系統(tǒng)的主體和客體分別賦予與其身份相對(duì)稱的安全屬性的外在表示--安全標(biāo)簽，它有兩部分組成： {安全類別：范疇},(1) 安全類別—有等級(jí)的分類,安全級(jí)別：也稱密級(jí)，系統(tǒng)用來(lái)保護(hù)信息(客體)的安全程度。 敏感性標(biāo)簽：客體的安全級(jí)別的外在表示，系統(tǒng)利用此敏感性標(biāo)簽來(lái)判定一進(jìn)程是否擁有對(duì)此客體的訪

44、問(wèn)權(quán)限。許可級(jí)別：進(jìn)程（主體）的安全級(jí)別，用來(lái)判定此進(jìn)程對(duì)信息的訪問(wèn)程度。許可標(biāo)簽：進(jìn)程的安全級(jí)別的外在表示，系統(tǒng)利用進(jìn)程的安全級(jí)別來(lái)判定此進(jìn)程是否擁有對(duì)要訪問(wèn)的信息的相應(yīng)權(quán)限。,(2) 范疇—無(wú)等級(jí)概念,范疇是該安全級(jí)別信息所涉及的部門。,公司內(nèi)可以建立信息安全類別,Confidential Restricted(技術(shù)信息)、 Restricted(內(nèi)部信息)Unrestricted(公開信息)；軍事部門的信息安全類別To

45、p Secret(絕密)、Secret(秘密)、Confidential(機(jī)密)和Unclassified(公開)。,公司內(nèi)的范疇,Accounting(財(cái)務(wù)部)、Marketing(市場(chǎng)部)、Advertising(廣告部)、Engineering(工程部)和Reserch&Development(研發(fā)部)。在公司內(nèi)，財(cái)務(wù)部經(jīng)理與市場(chǎng)部經(jīng)理雖然級(jí)別相同（都是經(jīng)理），但由于兩人分屬不同部門（財(cái)務(wù)部負(fù)責(zé)財(cái)務(wù)，市場(chǎng)部負(fù)責(zé)市場(chǎng)），從

46、而，分屬兩個(gè)不同的范疇（Accounting、Marketing），故市場(chǎng)部經(jīng)理是不能夠訪問(wèn)財(cái)務(wù)部經(jīng)理的信息的。,4特殊授權(quán)機(jī)制—最小特權(quán)原理,為了使系統(tǒng)能正常運(yùn)行，系統(tǒng)中的某些進(jìn)程，如安全管理員、網(wǎng)絡(luò)管理員和系統(tǒng)操作員，需要具有一些可違反安全策略的操作能力，定義一個(gè)特權(quán)就是定義一個(gè)可違反系統(tǒng)安全策略的操作能力。必須實(shí)行最小特權(quán)(Least Privilege Principle)原理。,最小特權(quán)原理,指：系統(tǒng)中的每個(gè)主體只能擁有與其

47、操作相符的必須的最小特權(quán)集，特別是不應(yīng)給超級(jí)用戶超過(guò)執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。POSIX中指出要想在系統(tǒng)獲得安全性方面達(dá)到合理的保障程度，必須嚴(yán)格地實(shí)施最小特權(quán)原理。,超級(jí)用戶的特權(quán)劃分,使每個(gè)特權(quán)用戶僅具有完成其任務(wù)所需的特權(quán)，就能以此減少由于特權(quán)口令丟失、惡意軟件、誤操作引起的損失。例如，可在某系統(tǒng)中規(guī)定5個(gè)特權(quán)管理職責(zé)，任何一個(gè)都不能獲取足夠的權(quán)力被壞系統(tǒng)安全策略，5個(gè)特權(quán)職責(zé)為：系統(tǒng)安全管理員、審計(jì)員、常規(guī)操作員、安全操作員和

48、網(wǎng)絡(luò)管理員。,7.4.4 加密機(jī)制,加密(encrytion)是用某種方式偽裝信息以隱藏它的內(nèi)容的過(guò)程。加密的關(guān)鍵是要能高效地建立從根本上不可能被未授權(quán)用戶解密的加密算法，以提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止信息被竊取與泄密。數(shù)據(jù)加密技術(shù)可分兩類：一類是數(shù)據(jù)傳輸加密技術(shù)，目的是對(duì)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)流加密，又分成鏈加密和端加密。另一類是數(shù)據(jù)存儲(chǔ)加密技術(shù)，目的是防止系統(tǒng)中存儲(chǔ)的數(shù)據(jù)的泄密，又分成文件級(jí)(對(duì)單個(gè)文件)加密和驅(qū)動(dòng)器級(jí)(對(duì)邏輯

49、驅(qū)動(dòng)器上的所有文件)加密。,數(shù)據(jù)加密模型,,密碼系統(tǒng)功能,·秘密性。解決信息泄漏問(wèn)題，防止非法的信息接受者竊取信息。·鑒別性。解塊發(fā)送者的真實(shí)性問(wèn)題，信息接受者能確認(rèn)信息來(lái)源、即此信息確實(shí)是由發(fā)送方傳送而非別人偽造。·完整性。解決信息被修改或損壞問(wèn)題，信息接受者能驗(yàn)證信息沒(méi)有被修改，也不可能被假消息所替代。·防抵賴。發(fā)送者在事后不可能虛假地否認(rèn)其發(fā)送的信息。,基于密鑰的算法分兩類,(

50、1) 對(duì)稱算法又稱傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來(lái)，反之也成立，加密/解密密鑰是相同的，算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對(duì)信息加密和解密。對(duì)稱算法分為兩種：一種是一次只對(duì)明文中的字位(有時(shí)對(duì)字節(jié))運(yùn)算的算法稱序列算法或序列密碼；另一種對(duì)明文中的一組字位運(yùn)算，這些位組稱分組，相應(yīng)算法稱分組算法或分組密碼?，F(xiàn)代計(jì)算機(jī)密碼的典型分組長(zhǎng)度為64位，這個(gè)長(zhǎng)度大到足以防止分析破譯，但又小到足以方便使用。,(

51、2)公開密鑰算法,又稱非對(duì)稱密碼算法，是這樣設(shè)計(jì)的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái)。之所以稱公開密鑰算法，是因?yàn)榧用苊荑€可以公開、即其他人能用加密密鑰來(lái)加密信息，但只有用相應(yīng)的解密密鑰才能解密信息，因此，加密密鑰叫做“公開密鑰”，解密密鑰叫做“私人密鑰”。,2基本的加解密算法,基本的加解密方法只有兩種：代替密碼和換位密碼。密碼算法在早期是基于字符，現(xiàn)在則基于字位進(jìn)行代替和換位。 (1) 代替

52、密碼1)簡(jiǎn)單代替密碼： 2) 多名碼代替密碼：3) 多字母代替密碼：4) 多表代替密碼：,(2) 換位密碼,,3計(jì)算機(jī)密碼算法,(1) 數(shù)據(jù)加密標(biāo)準(zhǔn) DES(Data Encryption Standard)是最通用的計(jì)算機(jī)加密算法，它是美國(guó)和國(guó)際標(biāo)準(zhǔn)，用于政府和商業(yè)應(yīng)用，這是一種對(duì)稱算法，加密和解密密鑰是相同的，70年代中期由美國(guó)IBM公司開發(fā)出來(lái)的，DES這套加密方法至今仍被公認(rèn)是安全的。,(2) RSA(Rivest ，

53、Shamir ，Adleman ),是最流行的公開密鑰算法，已成為事實(shí)上的國(guó)際標(biāo)準(zhǔn)，能被用作加密和數(shù)字簽名。DES屬于傳統(tǒng)加密算法，要求加解密的密鑰是相同的(對(duì)稱的)，加密者必須用非常安全的方法把密鑰送給解密者。如果通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)傳送密鑰，則密鑰又有泄密的可能。解決這一問(wèn)題的最徹底的辦法是不分配密鑰，這種方法就是公開密鑰法。要求密鑰是對(duì)稱的，并不是一個(gè)必要條件，可以設(shè)計(jì)出一個(gè)算法，加密用一個(gè)密鑰，而解密用有聯(lián)系的另一個(gè)密鑰。,基本技術(shù)

54、,·網(wǎng)中每個(gè)節(jié)點(diǎn)都產(chǎn)生一對(duì)密鑰，用來(lái)對(duì)它接收的消息加密和解密。·每個(gè)系統(tǒng)都把加密密鑰放在公共的文件中，這是公開密鑰，另一個(gè)設(shè)為私有的，稱私有密鑰。·若A要向B發(fā)送消息，它就用B的公開密鑰加密消息。·當(dāng)B收到消息時(shí)，就用私鑰解密。由于只有B知道其私鑰，于是沒(méi)有其他接收者可以解出消息。公開密鑰法的主要缺點(diǎn)是算法復(fù)雜，開銷大、效率低。,(3)數(shù)字簽名算法DSA(Digital Signat

55、ure Algorithm),是另一種公開密鑰算法，但僅用作數(shù)字簽名。,4數(shù)字簽名,(1)簡(jiǎn)單的數(shù)字簽名 1)發(fā)送者A可使用私有解密密鑰對(duì)明文進(jìn)行加密，形成的密文傳送給接收者B。2)B可利用A的公開加密密鑰對(duì)所得密文進(jìn)行解密，便得到明文。因?yàn)?，除了A之外，誰(shuí)也不具有解密密鑰，因此，也只有A才能送出用他的解密密鑰加密過(guò)的密文。3)如果A要抵賴，只需出示他的解密密鑰加密過(guò)的密文，使其無(wú)法抵賴。,(2)保密數(shù)字簽名,上述方法解決數(shù)字

56、簽名，但不能達(dá)到保密的目的，因?yàn)槿魏稳硕寄芙邮彰芪?，并可用A的公開加密密鑰對(duì)所得密文進(jìn)行解密。為了使A所傳送的密文只讓B接收，可按下面步驟進(jìn)行：1)發(fā)送者A可使用私有解密密鑰對(duì)明文進(jìn)行加密，得到密文1，2)A再用B的公開加密密鑰對(duì)密文1進(jìn)行加密，得到密文2再傳送給B，3)B收到后，先用自己的私有密鑰對(duì)密文2進(jìn)行解密，得到了密文1，4)B再利用A的公開加密密鑰對(duì)所得密文1進(jìn)行解密，于是得到了明文。,5 網(wǎng)絡(luò)加密,防止網(wǎng)絡(luò)資源被竊

57、取、泄漏、篡改和被破壞的最好方法是網(wǎng)絡(luò)加密，那么，要決定加密什么，在網(wǎng)絡(luò)中何處加密?通常有兩種網(wǎng)絡(luò)加密技術(shù)：鏈-鏈加密和端-端加密。·鏈-鏈加密 ·端-端加密 ·鏈-鏈加密和端-端加密的組合,7.4.5 審記機(jī)制,審計(jì)(auditing)就是對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行完整記錄、檢查及審核。作為一種事后追蹤手段來(lái)保證系統(tǒng)的安全性，是對(duì)系統(tǒng)安全性實(shí)施的一種技術(shù)措施，也是對(duì)付計(jì)算機(jī)犯罪者們的利器。其目的是

58、檢測(cè)和阻止非法用戶侵入系統(tǒng)，顯示合法用戶的誤操作，進(jìn)行事故發(fā)生前的預(yù)測(cè)和報(bào)警，提供事故發(fā)生后分析處理的依據(jù)，如違反系統(tǒng)安全規(guī)則的事件發(fā)生的地點(diǎn)、時(shí)間、類型、過(guò)程、結(jié)果和涉及的主體、客體及其安全級(jí)別。,審計(jì)內(nèi)容和設(shè)施,1審計(jì)事件 2審計(jì)記錄和審計(jì)日志,3審計(jì)機(jī)制的實(shí)現(xiàn),實(shí)現(xiàn)審計(jì)機(jī)制，首先要解決系統(tǒng)中所有安全相關(guān)的事件都能被審計(jì)到，操作系統(tǒng)的用戶接口主要是系統(tǒng)調(diào)用，也就是說(shuō)，當(dāng)用戶請(qǐng)求系統(tǒng)服務(wù)時(shí)，必定使用系統(tǒng)調(diào)用。因此，把系統(tǒng)調(diào)用的總?cè)肟?/p>

59、的位置稱作審計(jì)點(diǎn)，在這兒增加審計(jì)控制，就可成功地審計(jì)系統(tǒng)調(diào)用，也就全面地審計(jì)了系統(tǒng)中所有使用內(nèi)核服務(wù)的事件。,7.4.6防火墻,1防火墻的功能(1)訪問(wèn)控制 (2)網(wǎng)絡(luò)安全事件審計(jì)和報(bào)警 (3)其他功能,防火墻,,2防火墻技術(shù),目前常用的防火墻技術(shù)主要有：(1)包過(guò)濾型技術(shù)(2)代理服務(wù)技術(shù)(3)自適應(yīng)代理技術(shù),7.5安全操作系統(tǒng)的設(shè)計(jì)和開發(fā),7.5.1 安全操作系統(tǒng)結(jié)構(gòu)和設(shè)計(jì)原則 1開放系統(tǒng)設(shè)計(jì)： 2 機(jī)制的經(jīng)濟(jì)性：

60、 3 最小特權(quán): 4嚴(yán)密的訪問(wèn)控制機(jī)制： 5基于“許可”的模式： 6 特權(quán)分離： 7 避免信息流潛在通道： 8 便于使用：,安全操作系統(tǒng)一般結(jié)構(gòu),,7.5.2 安全操作系統(tǒng)的開發(fā),,1安全操作系統(tǒng)一般開發(fā)方法,(1)虛擬機(jī)系統(tǒng)： (2)改進(jìn)/增強(qiáng)法： (3)仿真法：,安全操作系統(tǒng)的開發(fā)過(guò)程,,2安全操作系統(tǒng)的研究和發(fā)展,BLP機(jī)密性安全模型首次成功地應(yīng)用于Multics Lampson的主體、客體與訪問(wèn)矩陣，隱蔽通道

61、等概念；Anderson的參照監(jiān)視器、引用驗(yàn)證機(jī)制、授權(quán)機(jī)制、安全內(nèi)核和安全建模 KSOS、Secure UNIX；計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)《可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)》(又稱橘皮書)； LINUS Ⅳ， Secure Xenix ，Secure Xenix System ⅴ/MLS ，ASOS(Army Secure Operating System)、Flask、OSF/1、UNIX SVR4.1ES、DTOS、SE-

62、Linux、STOP、VMM,3安全功能和安全保證,安全操作系統(tǒng)的開發(fā)，應(yīng)從安全功能(Security Function)和安全保證(Security Assurance)兩方面實(shí)施，安全功能主要說(shuō)明一個(gè)操作系統(tǒng)所實(shí)現(xiàn)的安全策略和安全機(jī)制符合評(píng)價(jià)準(zhǔn)則中哪一級(jí)的功能要求，安全保證(保障)是通過(guò)一定的方法保證操作系統(tǒng)所提供的安全功能確實(shí)達(dá)到了指定的功能要求，能夠確保系統(tǒng)的安全性。,安全功能包括10個(gè)安全元素,標(biāo)識(shí)與鑒別、自主訪問(wèn)控制、標(biāo)

63、記、強(qiáng)制訪問(wèn)控制、客體重用、審計(jì)、數(shù)據(jù)完整性、可信路徑、隱蔽信道分析和可信恢復(fù)。在通用操作系統(tǒng)中，TCB可以包含多個(gè)安全功能TSF(Trusted Security Function) 模塊，每一個(gè)TSF實(shí)現(xiàn)一個(gè)安全功能策略TSP(Trusted Security Policy)，這些TSP共同構(gòu)成了安全域，以防止不可信主體的干擾和篡改。,安全保證有3個(gè)方面,(1)TCB自身安全保護(hù)，包括TSF模塊、資源利用、TCB訪問(wèn)等。(2)TC

64、B設(shè)計(jì)和實(shí)現(xiàn)，包括配置管理、分發(fā)和操作、開發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試、脆弱性評(píng)定等。(3)TCB安全管理。,7.5.3 安全操作系統(tǒng)設(shè)計(jì)技術(shù),1隔離技術(shù)將系統(tǒng)中的一個(gè)用戶(進(jìn)程)與其他用戶(進(jìn)程)隔離開來(lái)是安全性的基本要求，有四種辦法實(shí)現(xiàn)：物理分離，時(shí)間分離，密碼分離,邏輯分離。,隔離機(jī)制的設(shè)計(jì)方法,(1)    多虛擬存儲(chǔ)空間(2)    多虛擬機(jī)系統(tǒng),

65、虛機(jī)器操作系統(tǒng),,,2安全內(nèi)核,核(kernel)、又稱內(nèi)核(nucleus)或核心(Core)，在傳統(tǒng)或標(biāo)準(zhǔn)的操作系統(tǒng)中，它實(shí)現(xiàn)內(nèi)層的低級(jí)功能，如進(jìn)程通信、同步機(jī)制、中斷處理及基本的內(nèi)存管理。 安全內(nèi)核(Security kernel)是通過(guò)控制對(duì)系統(tǒng)資源的訪問(wèn)來(lái)實(shí)現(xiàn)基本安全規(guī)程的操作系統(tǒng)內(nèi)核中相對(duì)獨(dú)立的一部分程序，它在硬件和操作系統(tǒng)功能模塊之間提供安全接口，凡是與安全有關(guān)的功能和機(jī)制都必須被隔離在安全內(nèi)核之中。,安全內(nèi)核設(shè)計(jì)和實(shí)

66、現(xiàn)基本原則,(1)完整性。(2)隔離性。 (3)可驗(yàn)證性。,3 分層設(shè)計(jì),,4環(huán)結(jié)構(gòu),MULTICS操作系統(tǒng)用環(huán)結(jié)構(gòu)（ring structure）實(shí)現(xiàn)安全保護(hù)，這是分層設(shè)計(jì)的進(jìn)一步發(fā)展，指定各個(gè)進(jìn)程所具有的訪問(wèn)權(quán)，共設(shè)計(jì)了8個(gè)環(huán)，4個(gè)用于操作系統(tǒng)，4個(gè)用于應(yīng)用程序。,環(huán)界標(biāo),,對(duì)程序調(diào)用的環(huán)界標(biāo)解釋,,對(duì)數(shù)據(jù)訪問(wèn)的環(huán)界標(biāo)的解釋,,,,7.5.4 安全操作系統(tǒng)安全機(jī)制的實(shí)現(xiàn),,主體P1的CL,,2  強(qiáng)制訪問(wèn)控制

67、的實(shí)現(xiàn),(1)安全標(biāo)簽的實(shí)現(xiàn) 基于多級(jí)安全策略，系統(tǒng)的訪問(wèn)控制機(jī)制的實(shí)現(xiàn)要基于以下內(nèi)容： 1）對(duì)每個(gè)客體賦予一敏感性標(biāo)簽，此標(biāo)簽標(biāo)明系統(tǒng)用來(lái)保護(hù)此信息的安全程度（級(jí)別）。 2）對(duì)每個(gè)用戶進(jìn)程（主體）賦予一許可標(biāo)簽，此標(biāo)簽用來(lái)指定此進(jìn)程的可信程度（基于用戶），系統(tǒng)通過(guò)基于進(jìn)程（主體）的許可標(biāo)簽和信息（客體）的敏感性標(biāo)簽來(lái)判定一進(jìn)程是否擁有對(duì)該信息相應(yīng)的訪問(wèn)權(quán)限。 3）保證所有的輸入、輸出的信息系統(tǒng)都能夠正確

68、地標(biāo)記反映其安全級(jí)別的敏感性標(biāo)簽。,基于多級(jí)安全策略的安全標(biāo)簽實(shí)現(xiàn)要點(diǎn),·類別部分：由于類別部分反映出來(lái)的是一種等級(jí)關(guān)系，故又稱之為安全等級(jí)（hierarchies）或密級(jí)，在安全類別中密級(jí)按線性順序排列，例如，公開<秘密<機(jī)密<絕密，在實(shí)現(xiàn)時(shí)以數(shù)字從小到大依次遞增表示其安全等級(jí)。·范疇部分：范疇部分是無(wú)等級(jí)概念的元素組成的，表示一清晰的信息領(lǐng)域。其無(wú)等級(jí)是指不存在一范疇“大于”另一范疇，不能說(shuō)“

69、engineering”大于或小于“R&D”，兩個(gè)范疇之間互相獨(dú)立且無(wú)序，但兩個(gè)范疇集之間的關(guān)系有包含、被包含或無(wú)關(guān)；在實(shí)現(xiàn)中范疇用數(shù)字代表，范疇集是數(shù)字的集合表示。,兩個(gè)安全標(biāo)簽之間存在四種關(guān)系,·A支配B：當(dāng)且僅當(dāng)A的安全等級(jí)大于等于B的安全等級(jí)， A的范疇包含B的范疇、即B的范疇是A的范疇的一個(gè)子集。 ·B支配A：當(dāng)且僅當(dāng)B的安全等級(jí)大于等于A的安全等級(jí)，B的范疇包含 A的范疇、即A的范疇是B的