操作系统安全(宋虹)课后习题答案

第一章概述

1. 什么是信息的完整性

信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。

2. 隐蔽通道的工作方式？

隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。按信息传递的方式与方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通道。隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息，后一个进程通过观察存储单元的比那话来接收信息。隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息，后一个进程通过观察广义单元的变化接收信息，并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息，后一个进程必须迅速地接受广义存储单元的信息，否则信息将消失。

3. 安全策略和安全模型的关系

安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合；安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种思想。

第二章安全机制

1. 标识与鉴别机制、访问控制机制的关系

标识与鉴别机制的作用主要是控制外界对于系统的访问。其中标识指的是系统分配、提供的唯一的用户ID作为标识，鉴别则是系统要验证用户的身份，一般多使用口令来实现。是有效实施其他安全策略的基础。

访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。目标就是防止对信息系统资源的非授权访问防止非授权使用信息系统资源。同时，访问控制机制也可以利用鉴别信息来实现访问控制。

2. 自主访问控制与强制访问控制之间的异同点

自主访问控制(DAC)：同一用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，用户还可将其拥有的存取权限转授给其他用户。

强制访问控制(MAC)：每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任意一个对象，只有具有合法许可证的用户才可以存取。

区别：DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。

联系：强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。

3. 安全审计机制是事后分析机制，优点？

审计作为一种事后追查的手段来保证系统的安全，它对设计系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位，事故发生前的预测，报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。

4. 最小特权管理？

最小特权管理是系统安全中最基本的原则之一，要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可，26个特权。常见的形式有基于文件的特权机制、基于进程的特权机制。

第三章操作系统安全模型

1. 安全模型在安全操作系统开发中的作用？

安全模型可以分为形式化和形式化两种安全模型。非形式化模型仅模拟系统的安全功能，形式化安全模型则借助数学模型，精确地描述安全性及其在系统中使用的情况。J.P.Anderson曾指出，开发安全系统首先必须建立系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计和实现。一般高等级安全操作系统开发时都要求使用形式化安全模型来模拟安全系统，因为形式化模型可以正确地综合系统的各类因素，如系统的使用方式、使用环境类型、授权的定义、共享的客体资源等，所有这些因素构成安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序可以受控执行的。

2. 简述BLP安全模型

BLP模型从“访问控制”的角度研究如何既保证主体能有效地访问客体，又得系统的安全性不致遭到破坏的性质和规则，是一种在计算机系统内实施多极安全策略和自主安全策略的访问控制模型，通过制定主体对客体的访问规则和操作权限来保证系统的安全性。从本质上来说．BLP模型是一个状态机模型，它形式化定义系统、系统状态以及系统状态间的转换规则；定义安全的概念，并制定了一组安全特性。以此对系统状态和状态转换规则进行限制和约束．使得对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都保持安全特性，那么可以证明该系统是安全的。

3. Biba模型和Clark-Wilson模型的区别？

Biba模型是第一个完整性安全模型，对系统每个主体和客体都分配一个完整级别（密级和范畴），安全策略分为非自主策略和自主策略，主要应用类似BLP模型的规则来保护信息的完整性。Biba模型提出的不是一个唯一的安全策略，而是一个安全策略系列。

CW模型是真正意义上的完整性安全模型，核心在于以良构事务和任务分离机制为基础实现在商务环境中所需的完整性策略。良构事务是指一个用户不能任意操纵数据，只能用一种能够确保数据完整性的受控方式来操作数据。

4. 中国墙模型可以完全模拟BLP模型吗？

不可以。与BLP模型不同的是，中国墙安全策略是根据主体的访问历史来判断数据是否可以被访问，而不是根据数据的属性作为约束条件。中国墙安全策略的本质是将全体数据划分为“利益冲突类”，根据强制性的约束，主体至多访问每个“利益冲突类”中的一个数据集。

第四章安全体系结构

1. 计算机系统安全体系结构？

见PPT

2. 计算机系统安全体系结构设计的基本原则？

见PPT

3. Flask安全体系结构的目的及组成？

目的：可伸缩型的控制访问安全体系结构，支持动态安全策略，提供安全策略的可变通性，确保这些子系统不管决策怎么产生，都有一致的策略决策。应用透明性，深度防御，保护的易操作性，最小性能影响。

组成：由客体管理器和安全服务器组成。客体管理器实施安全策略的判定结果，安全服务器作出安全策略的判定。Flask安全体系结构还提供一个访问向量缓存（AVC）模块，该模块允