可信操作系统设计PPT课件
合集下载
操作系统ppt课件完整版
分时操作系统
分时操作系统采用时间片轮转的方式处理 多个用户的请求,保证了每个用户都能得 到及时的响应。
网络操作系统
网络操作系统具有强大的网络管理功能, 支持多种网络协议和网络服务,使得计算 机网络更加高效、可靠、安全。
实时操作系统
实时操作系统能够在规定的时间内对外部 输入的信息做出处理,并控制所有实时设 备和实时任务协调一致地工作。
动态分区
根据作业的大小动态地建 立分区,使分区大小正好 适应作业的需要。
分区的分配与回收
采用一定的算法将空闲分 区分配给请求者,当作业 完成后将作业占用的分区 回收。
页式存储管理
01 02
基本思想
将程序的逻辑地址空间划分为固定大小的页,而物理内存划分为同样大 小的页框。程序加载时,可将任意一页放入内存中任意一个页框,实现 离散分配。
中断处理的概念
中断处理是指当设备发出中断请求时,CPU暂 停当前任务并转去处理中断请求的过程。
ABCD
设备驱动程序的功能
包括设备的初始化、设备的打开和关闭、设备的 读写以及设备的状态查询等。
中断处理的流程
包括中断请求的响应、中断服务程序的执行以及 中断返回等步骤。
06
操作系统安全与保护
操作系统安全概述
THANKS
感谢观看
访问控制与安全策略
访问控制机制
操作系统通过用户认证、文件权限、访问控制列表(ACL)等机制 实现访问控制,防止未经授权的访问。
安全策略实施
操作系统应实施强制访问控制(MAC)、自主访问控制(DAC) 等安全策略,确保只有经过授权的用户才能访问敏感资源。
审计与监控
操作系统应具备审计和监控功能,记录用户的操作行为,以便事后分 析和追责。
2016---操作系统PPT课件
第一章 操作系统概论
1.1 操作系统概观 1.2 操作系统形成和发展 1.3 操作系统基本服务和用户接口 1.4 操作系统结构和运行模型 1.5 流行操作系统简介
1.1操作系统概观
1.1.1 操作系统与计算机系统 1.1.2 操作系统资源管理技术 1.1.3 操作系统的定义与作用 1.1.4 操作系统的功能与特性
1.1.2 操作系统的资源管理技术
1.资源管理
资源复用
资源管理技术 资源虚拟
资源抽象
1)资源复用
(1)空分复用共享 ---该资源可进 一步分割成更多和更小的单位供 进程(程序运行时)使用 。
(2)时分复用共享---把资源在 (被使用的、被占用等)时间上 进一步分割成更小(可控可管) 的单位,进程可在该单位内独占 使用该整个物理资源。
4) 组合使用抽象和虚化技术
• 对于一类资源,操作系统往往同时实施 抽象和虚化技术。
• 例1,为打印机既配置“打印函数”(设备 驱动程序),又实施虚拟设备,通过打印 函数抽象隐蔽打印机动作细节,实施 SPOOLing虚化“扩充”物理打印机数量。
• 例2,窗口软件是对物理终端的虚化和抽 象,能为用户提供虚拟终端和方便的I/O 服务。
• 操作系统与硬件组成一台功能显著 增强,使用更加方便,安全可靠性 更好的扩展机器或虚拟机 。
操作系统作为计算机系统的资源管 理者(1)
操作系统中,能分配给用户使用的 硬件和软件设施总称为资源,包括 两类:硬件资源和信息资源。
• 硬件资源又分:处理器、存储器、 I/O设备等;
• 信息资源又分:程序和数据等。
1.1.4操作系统功能与特性
操作系统的功能
➢处理机管理 ➢存储管理 ➢设备管理 ➢文件管理 ➢网络与通信管理 ➢用户接口
操作系统PPT课件
分析在多用户与多任务环境下可能存在的安全风险,并介绍相应的安全
措施和策略。
07
安全性与可靠性保障
操作系统安全策略
访问控制
通过用户身份验证、权限 管理等手段,限制用户对 系统资源的访问,防止未 经授权的访问和操作。
加密技术
采用加密算法对敏感数据 进行加密存储和传输,确 保数据在传输和存储过程 中的安全性。
页面置换算法
虚拟内存的实现
当内存空间不足时,需要选择某个页面进 行置换,常见的置换算法有最优算法、先 进先出算法、最近最久未使用算法等。
需要硬件和软件的支持,如地址变换机构、 缺页中断机构、页面调度程序等。
页面置换算法
最优算法
选择未来最长时间不会被访问的页面 进行置换,需要预知未来的页面访问 情况,实际中难以实现。
命令行界面常用命令
列举并解释常见的命令行界面命令,如文件操作命令、网络命令、 系统管理命令等。
图形用户界面设计
01
图形用户界面(GUI )概述
介绍图形用户界面的基本概念、 特点和优势。
02
图形用户界面设计 原则
讲解设计图形用户界面时需要遵 循的原则,如直观易用、美观大 方、符合用户习惯等。
03
图形用户界面常用 控件
文件概念
文件是操作系统中进行数据存储和管理的基本单位,通常是一段具有特定格式 和意义的二进制数据。
文件组织结构
常见的文件组织结构包括顺序结构、索引结构、链接结构和哈希结构。不同的 组织结构适用于不同的应用场景,如顺序结构适用于连续访问大量数据,而索 引结构则适用于随机访问。
文件访问权限控制
访问权限
设置通道控制器,负责管理和控制多 个I/O设备,进一步减轻CPU的负担 。
计算机操作系统ppt课件
计算机操作系统PPT课件
目录
• 计算机操作系统概述 • 进程管理与调度 • 内存管理策略 • 文件系统原理及应用 • 设备驱动程序开发实践 • 网络通信原理及实现方法 • 操作系统安全机制设计
01
计算机操作系统概述
定义与作用
定义
计算机操作系统是一种系统软件, 它是计算机上的一个关键组成部分。
作用
合理配置操作系统参数、调整网络 协议栈参数和优化应用程序设计等
方式提高网络通信性能。
07
操作系统安全机制设计
操作系统安全威胁分析
恶意软件攻击
包括病毒、蠕虫、特洛伊木马等,可能破坏系统完整性、 窃取信息或占用系统资源。
非法访问与越权操作
未经授权的用户尝试访问敏感数据或执行关键操作,可能 导致数据泄露或系统损坏。
结构
操作系统通常由内核、外壳、文件系 统、设备驱动程序等组成。
功能
操作系统的主要功能包括进程管理、内 存管理、设备管理、文件管理和用户接 口等。这些功能共同协作,确保计算机 系统的正常运行和高效使用。
02
进程管理与调度
进程概念及属性
进程定义
进程是计算机中的程序关于某数 据集合上的一次运行活动,是系 统进行资源分配和调度的基本单
虚拟内存技术原理及应用
虚拟内存技术原理
利用磁盘空间作为内存的扩展部分,将部分暂时不用的程序和数据存放到磁盘 上,以便腾出内存空间给急需的程序和数据。当需要再次使用这些程序和数据 时,再从磁盘上读入内存。
虚拟内存技术应用
实现进程的隔离和保护,提高内存利用率,支持多道程序设计和分时系统,使 得大型程序能够在小内存中运行。
操作系统的主要功能是管理计算机 硬件和软件资源,为用户提供一个 方便、高效的使用环境。
目录
• 计算机操作系统概述 • 进程管理与调度 • 内存管理策略 • 文件系统原理及应用 • 设备驱动程序开发实践 • 网络通信原理及实现方法 • 操作系统安全机制设计
01
计算机操作系统概述
定义与作用
定义
计算机操作系统是一种系统软件, 它是计算机上的一个关键组成部分。
作用
合理配置操作系统参数、调整网络 协议栈参数和优化应用程序设计等
方式提高网络通信性能。
07
操作系统安全机制设计
操作系统安全威胁分析
恶意软件攻击
包括病毒、蠕虫、特洛伊木马等,可能破坏系统完整性、 窃取信息或占用系统资源。
非法访问与越权操作
未经授权的用户尝试访问敏感数据或执行关键操作,可能 导致数据泄露或系统损坏。
结构
操作系统通常由内核、外壳、文件系 统、设备驱动程序等组成。
功能
操作系统的主要功能包括进程管理、内 存管理、设备管理、文件管理和用户接 口等。这些功能共同协作,确保计算机 系统的正常运行和高效使用。
02
进程管理与调度
进程概念及属性
进程定义
进程是计算机中的程序关于某数 据集合上的一次运行活动,是系 统进行资源分配和调度的基本单
虚拟内存技术原理及应用
虚拟内存技术原理
利用磁盘空间作为内存的扩展部分,将部分暂时不用的程序和数据存放到磁盘 上,以便腾出内存空间给急需的程序和数据。当需要再次使用这些程序和数据 时,再从磁盘上读入内存。
虚拟内存技术应用
实现进程的隔离和保护,提高内存利用率,支持多道程序设计和分时系统,使 得大型程序能够在小内存中运行。
操作系统的主要功能是管理计算机 硬件和软件资源,为用户提供一个 方便、高效的使用环境。
操作系统课件.ppt
学习重点
?
控制面板
上面我们了解了一些电脑里面的操作已经程序,现在我们看 看在电脑中的一部分快捷键: ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作 ALT+SHIFT+BACKSPACE 重做上一步被撤销的操作
Windows键+M 最小化所有被打开的窗口。
Windows键+CTRL+M 重新将恢复上一项操作前窗口的大小 和位置
学习重点
?
现有的操作系统位数区别
如果现在市场上的CPU全部是64位的平台开发的, 那么现在的所有软件都使用不了,因为目前大部分 的软件都是基于32位开发的,目前我们说的64位的 windows7系统也只是在32位系统的基础上添加了一 些64位的寻址功能,其实对于我们来说64位的CPU ,操作系统意义不大,毕竟我们使用的内存大 部分 还是2G,使用的也是常用软件,对于运算速度的要 求也不大。64位主要应用于大型机械或大型服务站 。所以32位和64位相比,64位的速度更快,但是 32 位更适合我们,如果你装了64位的操作系统,你会 发现,很多软件使用不了
学习重点
?
系统驱动
驱动系统,应该叫驱动程序,全称为 “设备驱动程序”是一种可以使计算 机和设备通信的特殊程序,可以 说相 当于硬件的接口,操作系统只有通过 这个接口,才能控制硬件设备的工作 ,假如某设备的驱动程序未能正确安 装,便不能正常工作。 因此,驱动程 序被誉为“ 硬件的灵魂”、“硬件的 主宰”、和“硬件和系统之间的桥梁 ”等。
学习重点
?
基本操作:办公软件
Microsoft Office是微软公司开发 的一套基于 Windows 操作系统 的办公软件套装。常用组件有 Word、Excel、Powerpoint等。 最新版本为Office 365(Office 16) 。
操作系统完整ppt课件
程序I/O方式
CPU等待I/O操作完成
适用于简单、少量的I/O操作
2024/1/26
26
I/O控制方式
CPU响应中断并处理I/O操 作结果
I/O操作完成后中断CPU
中断驱动I/O方式
01
2024/1/26
03 02
27
I/O控制方式
2024/1/26
01
提高了CPU的利用率
02
DMA(直接内存访问)I/O方式
PCB的内容
PCB通常包含进程标识符、处理机状态、进程调度信息和进程控 制信息等内容。
PCB的组织方式
PCB可以采用线性方式、链接方式或索引方式进行组织。
9
进程调度算法
2024/1/26
先来先服务(FCFS)调度算法
按照进程到达的先后顺序进行调度,先到达的进程先得到服务。
短作业优先(SJF)调度算法
根据进程的服务时间进行调度,服务时间短的进程优先得到服务。
优先级调度算法
为每个进程分配一个优先级,优先级高的进程优先得到服务。
时间片轮转(RR)调度算法
将CPU时间划分为固定大小的时间片,每个进程轮流执行一个时间片 。
10
进程同步与通信
进程同步的概念
多个进程在执行过程中需要协调其推进速度,以保证正确 的执行顺序和结果。
2024/1/26
进程的状态
进程在执行过程中会经历 多种状态,如就绪态、运 行态、阻塞态等。
进程控制块PCB
每个进程都有一个唯一的 进程控制块,用于存储进 程的标识符、状态、优先 级等关键信息。
8
进程控制块PCB
2024/1/26
PCB的作用
PCB是进程存在的唯一标识,操作系统通过PCB来感知进程的存 在,并对其进行控制和管理。
CPU等待I/O操作完成
适用于简单、少量的I/O操作
2024/1/26
26
I/O控制方式
CPU响应中断并处理I/O操 作结果
I/O操作完成后中断CPU
中断驱动I/O方式
01
2024/1/26
03 02
27
I/O控制方式
2024/1/26
01
提高了CPU的利用率
02
DMA(直接内存访问)I/O方式
PCB的内容
PCB通常包含进程标识符、处理机状态、进程调度信息和进程控 制信息等内容。
PCB的组织方式
PCB可以采用线性方式、链接方式或索引方式进行组织。
9
进程调度算法
2024/1/26
先来先服务(FCFS)调度算法
按照进程到达的先后顺序进行调度,先到达的进程先得到服务。
短作业优先(SJF)调度算法
根据进程的服务时间进行调度,服务时间短的进程优先得到服务。
优先级调度算法
为每个进程分配一个优先级,优先级高的进程优先得到服务。
时间片轮转(RR)调度算法
将CPU时间划分为固定大小的时间片,每个进程轮流执行一个时间片 。
10
进程同步与通信
进程同步的概念
多个进程在执行过程中需要协调其推进速度,以保证正确 的执行顺序和结果。
2024/1/26
进程的状态
进程在执行过程中会经历 多种状态,如就绪态、运 行态、阻塞态等。
进程控制块PCB
每个进程都有一个唯一的 进程控制块,用于存储进 程的标识符、状态、优先 级等关键信息。
8
进程控制块PCB
2024/1/26
PCB的作用
PCB是进程存在的唯一标识,操作系统通过PCB来感知进程的存 在,并对其进行控制和管理。
操作系统-完整版PPT课件
B、双击“标题栏”
C、单击“任务栏”上相应的“任务按钮”
D、选择“控制”按钮弹出菜单中的“”最 大化
选项
2、在Windows中,可以“关闭”窗
口的操作是A(BCD
)
A、双击“控制”按钮
B、按ALT+F4
C、选择文件“下拉菜单的”关闭“ 选项
D、选择“控制”按钮弹出菜单中“ 关闭”选项
3、属于多用户多任务的操作系统的是 ( BCD )
操作中,要先按住键盘上的( A )键 ,再依次单击各选择对象。
A.CTRL B.ALT
C.SHIFT D.TAB
6、在Windows98中,有些菜单的选项
中的右端有一个向右的箭头,则表示 该菜单项代表( A )
A.将弹出下一级子菜单 B.当前不能选取执行 C.已被选中 D.将弹出一个对话框
7、应用程序窗口最大化以后,标
A.该命令正在使用
B.当前不能选取执行
C.执行该命令时出错
D.该命令已正确执行
3、按组合键( B )可以打开“开始 ”菜单。
A. Ctrl+O C. Ctrl+空格键
B. Ctrl+Ese D. Ctrl+Tab
4、运行windows98桌面上已经有某应用 程序的图标,可以( B )
A.左键单击该图标 B.左键双击该图标 C.右键单击该图标 D.右键双击该图标 5、在选定多个非连续文件或文件夹的
题栏右边分别是( B )三个 按钮 A.最小化、最大化和大小 B.最小化、还原和关闭 C.最小化、关闭和移动 D.最小化、最大化和恢复
8、下列叙述中,正确的是( D )
A、“开始”菜单只能用鼠标单击“开始” 按钮才能打开
可信操作系统的设计课件
信任:我们对一个系统的信任基于两个方面: 特征(操作系统包含了实施安全策略所必需 的全部功能)和保障(操作系统的实现方式使 我们确信它能够正确有效实施安全策略)。
# 一些安全系统最初就是针对安全需求而设 计的,另一些安全系统则是将安全特性加 入到现有的操作系统中。两种方法建立可 信操作系统都是可行的。
5.3.1 多级安全 (续)
Bell-La Padula机密模型
Bell-La Padula机密模型的目标是识别出对维 持保密性至为重要的允许通信。该模型已经 用来定义那些并发处理不同敏感等级数据的 系统安全需求。该模型是军事安全策略的形 式化结果。我们对安全信息流感兴趣,是因 为它描述了处于不同敏感等级的主体和对象 之间可接受的连接。安全等级分析的一个目 的是为了构建一个系统,此系统能够对处于 两个不同敏感等级上的数据执行并行计算。
5.3.2 安全系统在证明理论模型上的局限(续) 获取-授予系统 获取 - 授予系统 (take-grant system) 只有 4 个原 语操作:创建、撤消、获取和授予。S表示 主体集合,O表示对象集合。对象要么是主 动的(主体)要么是被动的(非主体对象),R 表示权限集合。用图中的节点表示主体或 对象,特定主体对特定对象的权限用一条 从主体到对象的有向边表示。
表5.3 HRU模型中的访问控制矩阵
象
主体 s1
s2
s3
s1 控制 有、挂起、恢复
s2
控制
s3控制o1 有Fra bibliotek 、写
o2 有 展
写
o3 、 播
有
原语操作op包括:创建主体s、创建对象o、撤消主 体s、撤消对象o、往A[s, o]输入权限r、从A[s, o]撤 消权限r。一个保护系统(protection system)就是由主 体、对象、权限和命令组成的集合。Harrison等人 说明,这些足以用于对几种常见保护系统进行建模。
# 一些安全系统最初就是针对安全需求而设 计的,另一些安全系统则是将安全特性加 入到现有的操作系统中。两种方法建立可 信操作系统都是可行的。
5.3.1 多级安全 (续)
Bell-La Padula机密模型
Bell-La Padula机密模型的目标是识别出对维 持保密性至为重要的允许通信。该模型已经 用来定义那些并发处理不同敏感等级数据的 系统安全需求。该模型是军事安全策略的形 式化结果。我们对安全信息流感兴趣,是因 为它描述了处于不同敏感等级的主体和对象 之间可接受的连接。安全等级分析的一个目 的是为了构建一个系统,此系统能够对处于 两个不同敏感等级上的数据执行并行计算。
5.3.2 安全系统在证明理论模型上的局限(续) 获取-授予系统 获取 - 授予系统 (take-grant system) 只有 4 个原 语操作:创建、撤消、获取和授予。S表示 主体集合,O表示对象集合。对象要么是主 动的(主体)要么是被动的(非主体对象),R 表示权限集合。用图中的节点表示主体或 对象,特定主体对特定对象的权限用一条 从主体到对象的有向边表示。
表5.3 HRU模型中的访问控制矩阵
象
主体 s1
s2
s3
s1 控制 有、挂起、恢复
s2
控制
s3控制o1 有Fra bibliotek 、写
o2 有 展
写
o3 、 播
有
原语操作op包括:创建主体s、创建对象o、撤消主 体s、撤消对象o、往A[s, o]输入权限r、从A[s, o]撤 消权限r。一个保护系统(protection system)就是由主 体、对象、权限和命令组成的集合。Harrison等人 说明,这些足以用于对几种常见保护系统进行建模。
课件:第节可信操作系统设计PPT课件
因为这些操作系统的结构上就不符合安全要求, 改造起来是很困难的,或者说,把一个不安全 的操作系统通过增补修改手段实际上是得不到 安全操作系统的。
13
6.7.3 操作系统中的安全功能 与技术
对客体的访问控制 用户的认证 共享的控制 保证公平服务 内部过程的通信与同步 分离技术(Separation)
2
6.7.1 可信操作系统的开发过程
① 模型阶段 在确定操作系统的应用环 境、安全目标与安全等级后,首先应该 构造满足安全需要的安全模型。
② 设计阶段 确定安全模型之后,要确 定实现该模型的方法与手段。
③ 可信验证阶段 用形式化或非形式化 的方法验证设计是否满足安全模型的安 全要求。
3
最小特权原则:只限于需要才给予这部 分特权,但应限定其它系统特权。
分工独立性原则:控制,负责设计,执 行和操作不应该是同一人。
7
设置陷阱原则:在访问控制中设置一种易入的 “孔穴”,以引诱某些人进行非法访问,然后 将其抓获。
环境控制原则:对于环境控制这一类问题,应 予重视,而不能忽视。
课件17
6.7 可信操作系统设计
1
6.7 可信操作系统设计
计算机系统安全性能的好坏在很大程度上取决 于操作系统提供的安全机制功能的强弱。任何 获取计算机系统中敏感信息的企图都是把操作 系统作为首先攻击的目标,因为必须要首先突 破操作系统的安全防护层。因此,开发可信赖 的安全操作系统是计算机系统信息安全的基础 性工作。
外围控制原则:重视“篱笆”和“围墙”的控 制作用。
规范化原则:控制设计要规范化,成为“可论 证的安全系统”。
错误拒绝原则:当控制出错时,必须能完全地 关闭系统,以防受攻击 。
13
6.7.3 操作系统中的安全功能 与技术
对客体的访问控制 用户的认证 共享的控制 保证公平服务 内部过程的通信与同步 分离技术(Separation)
2
6.7.1 可信操作系统的开发过程
① 模型阶段 在确定操作系统的应用环 境、安全目标与安全等级后,首先应该 构造满足安全需要的安全模型。
② 设计阶段 确定安全模型之后,要确 定实现该模型的方法与手段。
③ 可信验证阶段 用形式化或非形式化 的方法验证设计是否满足安全模型的安 全要求。
3
最小特权原则:只限于需要才给予这部 分特权,但应限定其它系统特权。
分工独立性原则:控制,负责设计,执 行和操作不应该是同一人。
7
设置陷阱原则:在访问控制中设置一种易入的 “孔穴”,以引诱某些人进行非法访问,然后 将其抓获。
环境控制原则:对于环境控制这一类问题,应 予重视,而不能忽视。
课件17
6.7 可信操作系统设计
1
6.7 可信操作系统设计
计算机系统安全性能的好坏在很大程度上取决 于操作系统提供的安全机制功能的强弱。任何 获取计算机系统中敏感信息的企图都是把操作 系统作为首先攻击的目标,因为必须要首先突 破操作系统的安全防护层。因此,开发可信赖 的安全操作系统是计算机系统信息安全的基础 性工作。
外围控制原则:重视“篱笆”和“围墙”的控 制作用。
规范化原则:控制设计要规范化,成为“可论 证的安全系统”。
错误拒绝原则:当控制出错时,必须能完全地 关闭系统,以防受攻击 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/11/21
4
可信操作系统与安全操作系统
Secure
1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal
Trusted
1、graded 2、property of receiver 3、judged 4、relative (judged in context of
设计可信操作系统
Designing Trusted Operating Systems
2020/11/21
1
设计可信操作系统
一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证
2020/11/21
2
可信操作系统与安全操作系统
操作系统:在计算机系统中,操作系统是设 计在硬件上的第一层软件,是对计算机系统 的第一次扩充,是其他程序运行的基础。他 主要提供以下功能:
隔离块 (Compartment)
隔离块 (Compartment)
绝密 机密 秘密 受限
公开
2020/11/21
图5-2 隔离块和敏感级别
隔离块 (Compartment)
11
Military Security Policy
上面引入了compartments这个述语, 它是指相关于一个或多个项目的一些相 关信息集合,往往用某个名词来表示一 个compartment。
3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2020/11/21
9
Military Security Policy
公开
受限 秘密 机密 绝密
最不敏感 最敏感
图 5-1 机 密 层 次 图
2020/11/21
10
Military Security Policy
护、对系统中所有对象地访问控制和用户鉴定
与识别等服务,那我们就说此系统是可信地。
但是对于一个开发者来说,要从操作系统地设
计和操作系统所能提供安全服务的组件功能来
看一个操作系统的可信度。设计一个可信的操
作系统,必须考虑以下四个环节:安全策略、
安全模型、设计和可信度。
2020/11/21
6
Security Policies ...
一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information.
二、一些比较常见的策略
2020/11/21
use) 5、a characteristic
可信操作系统不一定是安全的,但是它要求的是满足用
户的安全需求,同时也满足用户的性能需求,不是一味追求
安全而损害了操作系统的性能,从而在安全与性能中间达到
一种平衡。
2020/11/21
5
用户和设计者看操作系统
从用户的角度来考虑,如果一个操作系统
能够连续高效地保证提供内存保护、文件保
2020/11/218Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
我们注意以下几点:
1、信息的敏感级别 2、need-to-know规则:
允许使用者最小限度地访问敏感信息。
这时,我们说o支配s(或是s受o支配)。 看下 面的例子:
<秘密,{SNOWSHOE}> ≤ <绝密,{SNOWSHOE,SWEDEN}> 这时我们可以说后面的class主导前面的class
2020/11/21
15
Military Security Policy
一个主体能够访问一个客体必须满足 下面的条件:
例如: <绝密,{CRYPTO}>,…
现在来看最后一个概念:dominance
用符号 ≤ 表示。
s表示主体,o表示客体。看下面的关 系:
2020/11/21
14
Military Security Policy
s≤o if and only if ranks≤ranko and
Compartments compartmentso
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的 表 示 : {CRYPTO}、 {SNOWSHOE,SWEDEN}
2020/11/21
13
Military Security Policy
再引入class或classification这个概念, 它是指敏感级别和compartments构成的 一个二元组: <rank;compartments>。
·主体的授权访问机密文件级别不低于被访问客体,且 ·主体要知道他所需要的信息对应的所有分类隔离块
处理器管理 存储器管理 文件管理 设备管理 用户与计算机的接口
2020/11/21
3
可信操作系统与安全操作系统
操作系统同时也是安全的主要提供者。 由于其强大功能,所以也成为被攻击的对 象,一旦突破操作系统的防线,就可以肆 意修改计算机的任何内容了。
今天,计算机操作系统的安全显得日 益重要,如何设计安全可信的操作系统, 就是我们下面要讨论的问题。
它的引进是为了说明need-to-know规 则的。一个compartment可以处于一个敏 感级别,也可以跨越多个敏感级别。
2020/11/21
12
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
7
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsiblity Chinese Wall: conflict of interest policy Originator Controlled Role based access control …