12安全操作系统简介任爱华版

Bell&LaPadula模型-5
+ 自主安全特性（ds-特性）：
如果（主体-i，客体-j，方式-x）是当前访问， 那么，方式-x 一定在访问控制矩阵M 的元素Mij 中。
❖ds-特性处理自主访问控制，自主访问控制的权限由客体 的属主自主确定
❖ss-特性和*-特性处理的是强制访问控制。强制访问控制 的权限由特定的安全管理员确定，由系统强制实施。
可设置为：国防部、外交部、财政部等级
当一个用户的标签为<秘密，{国防部}>时，他可以查看 “国防部”的不超过“秘密”级的信息。任何用户（ 包括特权用户），只要标签不符合要求，不管他原来 的权利有多大（比如系统管理员），都不能对指定信 息进行访问。这为信息的保护提供了强有力的措施， 普通Linux无法做到这一点。
+ 基本安全定理：如果系统状态的每一次变化都能满足 ss-特性、*-特性和ds-特性的要求，那么，在系统的整 个状态变化过程中，系统的安全性是不会被破坏的。
BLP 模型支持的是信息的保密性。
标签
标签有等级分类和非等级类别：
等级分类与整数相当，可以比较大小；
可设置为：非密、秘密、机密、绝密等，
非等级类别与集合相当，不能比较大小，但存在包含 与非包含关系。
+ 只可读r、 + 只可写a、 + 可读写w + 不可读写（可执行）e。
主体的安全级别包括
+ 最大安全级别，通常简称为安全级别。 + 当前安全级别
Bell&LaPadula模型-4
以下特性和定理构成了BLP 模型的核心内容。
+ 简单安全特性（ss-特性）：
–如果当前访问是b=（主体，客体，可读），那么一定有：
自主访问控制功能（C1级）
Linux的自主访问控制
普通Linux只支持简单形式的自主访问控制，由资源 （文件等）的所有者根据所有者、同组者、其他人 等三类群体指定用户对资源的访问权。而超级用户 root实际可以不受访问权的限制。这对资源的保护 很不利。
Bell&LaPadula模型-3
抽象出的访问方式有四种，分别是
安全特性需求 保障需求
D：最小保护 C1：自主安全保护 C2：受控访问保护 B1：标记安全保护 B2：结构化保护 B3：安全域 A1：经过验证的保护
图1-15 TCSEC 的构成与等级结构
高度极权化的Linux （C1级）
普通Linux采用极权化的方式，设立一个root超级用户
，root用户具有至高无上的权力，可以不受系统访问 控制规则的任何制约，可对系统及其中的信息执行任 何操作，这种做法不符合安全系统的“最小特权”原 则。攻击者只要破获root用户的口令，进入系统，便 得到了对系统的完全控制，其后果是不言而喻的。
1987年，美国国家计算机安全中心（NCSC）为TCSEC 桔皮书提出可依赖网络解释（TNI），通常被称作红 皮书。
1991年，美国国家计算机安全中心（NCSC）为TCSEC 桔皮书提出可依赖数据库管理系统解释（TDI）。
2019年在上述标准的基础上，美国、加拿大和欧洲联 合研制CC（信息技术安全评测公共标准），颁布了CC 1.0版。
12安全操作系统简介任爱华版
可信计算机系统安全评价标准
第一个计算机安全评价标准 TCSEC(Trusted Computer System Evaluation Criteria)，即： “可 信计算机系统安全评价标准”，又称橙皮书。
人们以TCSEC 为蓝本研制安全操作系统。
TCSEC 为安全系统指定的是一个统一的系统安全 策略，这个统一的安全策略由诸如强制访问控制 和自主访问控制的子策略构成，这些子策略紧密 地结合在一起形成一个单一的系统安全策略。
系统特权分化（C2级）
根据“最小特权”原则对系统管理员的特权进行分化 ，根据系统管理任务设立角色，依据角色划分特权。 典型的系统管理角色有：
+ 系统管理员 + 安全管理员 + 审计管理员等
系统管理员负责系统的安装、管理和日常维护，如安 装软件、增添用户账号、数据备份等。安全管理员负 责安全属性的设定与管理。审计管理员负责配置系统 的审计行为和管理系统的审计信息。一个管理角色不 拥有另一个管理角色的特权。攻击者破获某个管理角 色的口令时不会得全方面的工作-2
在欧洲，由英国、荷兰和法国带头，开始联合研制欧 洲共同的安全评测标准
1991年颁布欧洲的ITSEC（信息技术安全标准）。 1993年，加拿大颁布CTCPEC（加拿大可信计算机产品
评测标准）。
2019年5月，由Visa、MasterCard等联合推出的安全 电子交易（SET）规范为在Internet上进行安全的电 子商务提供了一个开放的标准。 SET主要使用电子认证技术，其认证过程使用RSA和 DES算法，因此，可以为电子商务提供很强的安全保 护。可以说，SET规范是目前电子商务中最重要的协 议，它的推出必将大大促进电子商务的繁荣和发展。
小结-1
安全操作系统是安全计算机系统的根基 评价安全操作系统的标准TCSEC 安全模型BLP 参考文献： “安全操作系统研究的发展” 石文昌，中国科学院软件研究所
《计算机科学》Vol.29 No.6和Vol.29 No.7
标准化机构在信息安全方面的工作-1
1985年，DoD5200．28－STD，即可信计算机系统评测 标准（TCSEC）（美国国防部桔皮书，以下简称DOD85 评测标准）
level(主体) ≥ level(客体) 其中，level 表示安全级别。
+ 星号安全特性（*-特性）：
–在任意状态，如果（主体，客体，方式）是当前访问，那 么一定有：
(1)若方式是a，则：level(客体) ≥ current-level(主体) (2)若方式是w，则：level(客体) = current-level(主体) (3)若方式是r，则：current-level(主体) ≥ level(客体) 其中，current-level 表示当前安全级别。