操作系统安全模型
一种安全操作系统风险评估模型
( . c o l fEl cr n cEn i e rn n t ma i n Gu ln Un v r i f e t i c n l g , ii 41 0 , i a 1 S h o e to i g n e i g a d Au o to , i i e st o c r cTe h o o y Gu l 5 0 4 Ch n ; o i y El on n
e f c i e y a s s p r t g s se s c rt i k lv l fe tv l s e s heo e a i y t m e u y r s e e s t n i
I ywo d 】sc r yo eaig s s e s r s e u t p r t t r ka s sme tB rar e An lt e rh r c s ( Ke i n y e s u c r AHP )
摘
要: 针对 安全 操作 系统风 险管理难 以进行定量评判 的问题 ,提 出一种适 用于 安全操作 系统风 险等级定量评估的模型。通过 引入风险矩
阵法 ,将信息安全风险评估归纳为 以专家矩阵、B ra法则和层次分析法为评估流程的风险等级评估模型 ,实现安全操作系统风险等级的定量 od 评估 , 增强评估操作系统风险等级 的客观 性。 过实例应用对评估模型进 行验证,结果表明该模型能有效评估 出安全操作系统 的风险等级 。 通 关奠 词 :安全操作系统 ;风险评估 ;B ra法则 ;层次分析法 od
第6章操作系统安全技术
传递性: 传递性: 若a≤b且b≤c,则a≤c 且 , 非对称性: 非对称性 若a≤b且b≤a,则a=b 且 , 代表实体, 代表主体, 代表敏 若引入符号 O 代表实体,S 代表主体,≤代表敏 感实体与主体的关系,我们有: 感实体与主体的关系,我们有 O≤S 当且仅当 密级 密级 并且 隔离组 隔 密级O≤密级 密级S 隔离组O≤隔 离组S 离组 关系≤限制了敏感性及主体能够存取的信息内容 限制了敏感性及主体能够存取的信息内容, 关系 限制了敏感性及主体能够存取的信息内容, 只有当主体的许可证级别至少与该信息的级别一样 高,且主体必须知道信息分类的所有隔离组时才能 够存取. 够存取.
单层模型模型有一定的局限性, 单层模型模型有一定的局限性 , 在现代操作系统 的设计中,使用了多级安全模型, 的设计中 , 使用了多级安全模型 , 信息流模型在其 中得到了深入的应用.如著名的Bell-LaPadula模型 中得到了深入的应用 . 如著名的 模型 模型. 和Biba模型. 模型
2. 多层网格模型
6.2 操作系统的 安全设计
开发一个安全的操作可分为如下四个阶段: 开发一个安全的操作可分为如下四个阶段:建立安 全模型,进行系统设计,可信度检查和系统实现. 全模型,进行系统设计,可信度检查和系统实现. 实现安全操作系统设计的方法有两种:一种是专门 实现安全操作系统设计的方法有两种: 针对安全性面设计的操作系统; 针对安全性面设计的操作系统 ;另一种是将安全特性 加入到期目前的操作系统中. 加入到期目前的操作系统中.
(3)加拿大的评价标准(CTCPEC) )加拿大的评价标准( ) 加拿大的评价标准(CTCPEC)的适用范围:政府部 门.该标准与ITSCE相似,将安全分为两个部分:功能 性需求和保证性需求 (4)美国联邦准则(FC) )美国联邦准则( ) 美国联邦准则(FC)是对TCSEC的升级,在该标准中引 入了"保护轮廓"(PP)的概念,其每个保护轮廓包括: 功能,开发保证和评价. (5)国际通用准则(CC) )国际通用准则( ) 国际通用准则(CC)是国际标准化组织对现行多种安全 标准统一的结果,是目前最全面的安全主价标准.CC的 第一版是在1966年6月发布的,第二版是在1999年6月发 布的,1999年10月发布了CC V2.1版,并成为ISO标准. 该标准的主要思想和框架结构取自ITSEC和FC,并允分 突出"保护轮廓"的相思.CC将评估过程分为:功能和 保证;评估等级分为:EAL1~EAL7
分布式操作系统概念及模型
分布式操作系统概念及模型分布式操作系统(Distributed Operating System,缩写为DOS)是指一种可以运行在多个计算机节点上的操作系统。
与传统的单机操作系统相比,分布式操作系统具有更高的可靠性、可扩展性和性能,并且可以有效地管理多个计算节点上的资源。
1.分布性:分布式操作系统的核心特点是将计算机系统的资源分布到多个节点上。
每个节点都可以管理自己的资源,并且可以通过网络进行通信和协作。
这种分布性使得分布式操作系统能够更好地满足大规模计算和数据处理的需求。
2.透明性:分布式操作系统提供了一种透明的访问机制,使得用户和应用程序可以像使用单机操作系统一样使用分布式系统。
用户无需关心底层实现细节,只需要调用相应的系统接口,分布式操作系统会帮助完成资源的分配和管理。
透明性可以分为多个层面,包括访问透明、位置透明、迁移透明等。
3.可靠性:分布式操作系统可以通过冗余和故障恢复机制来提高系统的可靠性。
当系统中的一些节点发生故障时,其他节点可以自动接管该节点的工作,并在故障恢复后将工作重新分配回来。
这种冗余和故障恢复机制可以提高系统的容错性和可用性,从而确保系统能够持续运行。
4.可扩展性:分布式操作系统可以根据需要动态扩展系统的规模。
当系统的负载增加时,可以向分布式系统中添加更多的计算节点来分担负载。
与此同时,分布式操作系统还能够根据负载情况自动地调整资源的分配和负载均衡策略,以充分利用系统的性能和资源。
1.客户端-服务器模型:在这种模型中,系统包含一个或多个服务器节点和多个客户端节点。
服务器节点负责提供服务,例如文件共享、数据库访问等,而客户端节点则向服务器节点发送请求并接收相应的服务。
客户端-服务器模型可以提供良好的可扩展性和性能。
2.对等网络模型:在对等网络模型中,系统中的每个节点都具有相同的功能和权限。
节点之间可以进行直接的通信和协作,而无需经过中心节点的调度和控制。
对等网络模型在对等计算、分布式存储等方面具有广泛的应用。
《操作系统安全》课程教学大纲
《操作系统安全》课程教学大纲课程名称操作系统安全课程编码131530019 课程类型(学院内)跨专业课程适用范围信息安全学分数 3 先修课程操作系统、数据结构学时数48 其中实验学时其中实践学时考核方式考试制定单位数学与信息科学学院执笔者审核者一、教学大纲说明(一)课程的性质、地位、作用和任务操作系统安全是信息领域重要的核心技术, 在信息安全领域有着非常重要的地位。
《操作系统安全》对培养学生抽象思维能力和信息安全的分析能力有着重要作用;也是信息安全专业高年级学生开设的一门重要课程, 其为全面了解操作系统的安全机制、安全设计、操作系统评测和安全应用提供一些入门方法, 使学生对操作系统安全有一个清晰和完整的认识。
(二)课程教学的目的和要求通过本课程的学习, 学生具有操作系统安全基础知识, 具备对操作系统安全进行分析的基本专业素质和能力。
了解:操作系统安全的有关概念及相关问题, 包括Windows、UNIX等流行操作系统的存在的安全问题, 了解高安全级别操作系统的有关安全机制, 了解操作系统安全评测、安全操作系统的应用和国外在安全操作系统领域的新进展。
理解: 操作系统安全模型、安全体系结构和操作系统安全形式化规范与验证以及安全操作系统设计一般过程。
掌握: 操作系统安全的基本概念、操作系统的安全机制、操作系统设计主要的安全模型和安全体系结构、Unix系统安全策略及安全机制、隐蔽通道分析和处理方法。
(三)课程教学方法与手段教学方法: 本课程采用老师讲授、结合学生自学的方法;教学手段:采用多媒体教学, 教师口授结合电脑演示。
(四)课程与其它课程的联系本课程涉及到信息安全基础、数据结构、计算机网络和操作系统等知识, 因而在开设本课程之前需要为学生开设预备课程: 数据结构、密码学原理、计算机网络和操作系统。
(五)教材与教学参考书教材: 卿斯汉等著, 操作系统安全(第2版), 清华大学出版社, 2011。
教学参考书:1.卿斯汉等著, 操作系统安全, 清华大学出版社, 2004。
第三章 操作系统安全模型
严格完整性策略
是BLP模型的对偶 规则:
1. 完整性*-属性: 主体S可以对客体O进行写操作,当 且仅当S的完整性等级支配客体O的完整性等级 2. 援引规则: 主体S1可以执行另一个主体S2(与S2通 信),当且仅当S1的完整性等级支配S2的完整性等 级 3. 简单完整性条件: 主体S可以对客体O进行读取操 作,当且仅当O的完整性等级支配S的完整性等级
第三章 操作系统安全模型
3.1 安全模型的概念及特点
安全策略:有关管理,保护和发布敏感信息的 法律,规定和实施细则 已授权的,安全的状态集合 未授权的,不安全的状态集合 如图,安全状态集合S={s1,s2,s3},不安全状态集 合US={s4}
S1 S2 S3 S4
3.1 安全模型的概念及特点
安全模型:是对安全策略所表达的安全需 求的简单、抽象和无歧义的描述。 安全模型的特点: 1、简单的、清晰的,只描述安全策略,对具 体实现的细节不作要求 2、抽象的、本质的 3、精确的、没有歧义的 现有的安全模型大多采用状态机模拟系统
BLP模型分析
BLP模型的安全策略包括MAC和DAC。 MAC由简单安全特性和*特性组成,DAC由存 取控制矩阵组成。 BLP中使用了可信主体,表示实际系统中不 受*特性约束的主体 BLP模型存在的问题
1、可信主体不受*特性约束,权限太大,不符合最 小特权原则 2、 BLP模型主要注重保密控制,不能控制向上写, 而向上写不能限制隐蔽通道
中国墙模型的*-属性
*-属性 主体S可以对客体O进行写操作,当 且仅当以下两个条件同时满足 1. 中国墙简单安全条件允许S读取O 2. S不能读取属于不同数据集的需要保护的 客体
简单安全条件
S可以读O,当且仅当S支配O且S对O具有自主型读 访问权限 *-属性: S可以写O,当且仅当O支配S且S对O具有自 主写权限 基本安全定理:设系统的初始安全状态为σ 0,T是状 态转换的集合。如果T中的每个元素都遵守简单安 全条件和*-属性,那么对于每个i≧0,状态σ i都是 安全的 只要该模型的初始状态是安全的,并且所有的转移函 数也是安全的,系统只要从某个安全状态启动,无论 按何种顺序调用系统功能,系统将总保持在安全状态.
操作系统安全模型研究
限制 每 个 处 理 , 其 它 处 理 的 客 体 完 全 隐蔽 使
213存 储 器 的保 护 .. 多 道 程 序 的 最 重 要 问 题 是 如 何 防 止一 个 程 序 影 响 其 他 程 序 的存 储 空 间 。 这 种 保 护 机 制 建 立 在 硬 件 中 , 以 保 护 存 储 器 的 有 可 效 使 用 , 成 本 很 低 。对 存 储 器 得 固 态保 护一 般 有 栅 栏 保 护 、 址 且 基
边 界 保 护 和 段 页式 保 护 等 。
21 .. 行 保 护 4运
2操作 系统 的安全 机制
目前 的 多 数 操 作 系 统 支 持 多 道 程 序 设 计 和 资 源 的 共 享 , 然
而 , 源 的 共 享 和 对 象 的 保 护 又 往 往 是 相 互 矛 盾 的 。在 设 计 操 作 资
作 系统 保 密性 与 完整 性 要 求。 关 键 字 : 全 模 型 ; 问控 制 ; L 安 访 B P模 型 ; W 模 型 ; RA 模 型 C B C
中圈分类号 :P 0 T 39
文献标识码 : A
文章编号 :0 9 3 4 (0 71 — 1 9 — 1 1 0 — 0 4 2 0 )5 1 3 4 0 0
其 应 用 ・ ・ ・ ・・・
本 目任 辑李 瑾 栏 责 编 :桂
操作系统 安全模型研 究
刘 红 梅
( 江 大 学 计 算机 学院 软 件 系 , 北 荆 州 44 0 ) 长 湖 3 13
第三章---操作系统安全模型PPT课件
S4
O4(O4A, O4B, O4C)
2021/3/12
11
基本安全定理(简化版)
设系统的初始安全状态为σ0,T是状态转换 的集合。如果T中的每个元素都遵守简单安 全条件(简化版)和*-属性(简化版), 那么对于每个i≧0,状态σi都是安全的
2021/3/12
12
模型扩展解决分类粗糙
给每个安全密级增加一套类别,每种类别都描述一 种信息
1.主体:可以对其他实体施加动作的主动实体, 简记为S
2.客体:是主体行为的对象,简记为O
3.访问权限:访问权限有限集A={ 读,写,执行, 追加 }
控制策略:主体对客体的操作行为集和约束条件 集
访问矩阵:主体用行表示,客体用列表示,交叉 项表示该主体对该客体所拥有的访问权限
2021/3/12
7
信息流模型
例:如果类别分为A,B,C三类,则一个主体可访问的 类别的集合为: 空集, {A},{B},{C},{A,B},{A,C},{B,C},{A,B,C} 如果S2只需访问A类客体,则安全等级为(机密, {A}),客体O2B归于B类,它属于(机密,{B}), 则即使S2和O2B都是机密级别,S2也不能访问O2B 引入支配关系:安全等级(L,C)支配安全等级(L’,C’), 当且仅当L’ ≤L且C’包含于C
的对应于军事类型安全密级分类的计算机操作系统 模型
BLP模型采用线性排列安全许可的分类形式来保证 信息的保密性
✓ 每个主体都有个安全许可,等级越高,可访问的信息就越 敏感
✓ 每个客体都有个安全密级,密级越高,客体信体(数据、文 件)组成,主体对客体的访问分为只读(R)、读写 (W)、只写(A)、执行(X)及控制(C)几种访 问模式,C指主体授予或撤消另一主体对某一客体访 问权限的能力。
操作系统安全题目和答案
操作系统安全题⽬和答案操作系统安全相关知识点与答案By0906160216王朝晖第⼀章概述1. 什么是信息的完整性信息完整性是指信息在输⼊和传输的过程中,不被⾮法授权修改和破坏,保证数据的⼀致性。
2. 隐蔽通道的⼯作⽅式?隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。
按信息传递的⽅式与⽅式区分,隐藏通道分为隐蔽存储通道和隐蔽定时通道。
1隐蔽存储通过在系统中通过两个进程利⽤不受安全策略控制的存储单位传递信息。
前⼀个进程通过改变存储单位的内容发送信息,后⼀个进程通过观察存储单元的⽐那话来接收信息。
2隐蔽定时通道在系统中通过利⽤⼀个不受安全策略控制的⼴义存储单元传递信息。
前⼀个进程通过了改变⼴义存储单位的内容发送信息,后⼀个进程通过观察⼴义单元的变化接收信息,并⽤如实时钟这样的坐标进⾏测量。
⼴义存储单元只能在短时间内保留前⼀个进程发送的信息,后⼀个进程必须迅速地接受⼴义存储单元的信息,否则信息将消失。
3. 安全策略和安全模型的关系安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合;安全模型对安全策略所表达的安全策略的简单抽象和⽆歧义的描述,是安全策略和安全策略实现机制关联的⼀种思想。
4.安全内核设计原则1.完整性原则:要求主体引⽤客体时必须通过安全内核,及所有信息的访问都必须通过安全内核。
2.隔离性原则:要求安全内核具有防篡改能⼒(即可以保护⾃⼰,也可以防⽌偶然破坏)3.可验证性原理:以下⼏个设计要素实现(最新的软件⼯程技术、内核接⼝简单化、内核⼩型化、代码检查、完全测试、形式话数学描述和验证)5.可信计算基TCBTCB组成部分:1.操作系统的安全内核。
2.具有特权的程序和命令。
3.处理敏感信息的程序,如系统管理命令等。
4.与TCB实施安全策略有关的⽂件。
5.其他有关的固件、硬件和设备。
6.负责系统管理的⼈员。
7.保障固件和硬件正确的程序和诊断软件。
可信计算基软件部分的⼯作:1.内核的良好定义和安全运⾏⽅式2.标识系统中的每个⽤户3.保持⽤户道TCB登陆的可信路径4.实施主体对客体的存取控制5.维持TCB功能的正确性6.监视和记录系统中的有关事件补充:1TCB=nTSF(安全功能模块),每⼀个TSF实现⼀个功能策略,这些TSF共同组成⼏个安全域。
安全操作系统简介任爱华版
标准化机构在信息安全方面的工作-2
在欧洲,由英国、荷兰和法国带头,开始联合研制欧 洲共同的安全评测标准
1991年颁布欧洲的ITSEC(信息技术安全标准)。 1993年,加拿大颁布CTCPEC(加拿大可信计算机产品
评测标准)。
1997年5月,由Visa、MasterCard等联合推出的安全 电子交易(SET)规范为在Internet上进行安全的电 子商务提供了一个开放的标准。 SET主要使用电子认证技术,其认证过程使用RSA和 DES算法,因此,可以为电子商务提供很强的安全保 护。可以说,SET规范是目前电子商务中最重要的协 议,它的推出必将大大促进电子商务的繁荣和发展。
自主访问控制功能(C1级)
Linux的自主访问控制
普通Linux只支持简单形式的自主访问控制,由资源 (文件等)的所有者根据所有者、同组者、其他人 等三类群体指定用户对资源的访问权。而超级用户 root实际可以不受访问权的限制。这对资源的保护 很不利。
强制访问控制功能(B级)
提供强制访问控制支持,采用Bell&LaPadula强制访问 控制模型,为主体(用户、进程等)和客体(文件、目录 、设备、IPC机制等)提供标签支持。
1987年,美国国家计算机安全中心(NCSC)为TCSEC 桔皮书提出可依赖网络解释(TNI),通常被称作红 皮书。
1991年,美国国家计算机安全中心(NCSC)为TCSEC 桔皮书提出可依赖数据库管理系统解释(TDI)。
1996年在上述标准的基础上,美国、加拿大和欧洲联 合研制CC(信息技术安全评测公共标准),颁布了CC 1.0版。
BLP 模型是根据军方的安全政策设计的,它要解决 的本质问题是对具有密级划分的信息的访问进行控 制。
BLP 模型是一个状态机模型,它定义的系统包含一个 初始状态Z0 和由一些三元组(请求,判定,状态) 组成的序列,三元组序列中相邻状态之间满足某种
操作系统安全复习
第一部分引言1、操作系统安全威胁:病毒:病毒是能够自我复制的一组计算机指令或者程序代码。
通过编制或者在计算机程序中插入这段代码,以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。
病毒基本特点:隐蔽性、传染性、潜伏性、破坏性蠕虫类似于病毒,它可以侵入合法的数据处理程序,更改或破坏这些数据。
蠕虫不像病毒一样复制自身逻辑炸弹是加在现有应用程序上的程序。
一般逻辑炸弹都被添加在被感染应用程序的起始处,每当该应用程序运行时就会运行逻辑炸弹。
它通常要检查各种条件,看是否满足运行炸弹的条件。
没有取得控制权就将控制权归还给主应用程序,逻辑炸弹仍然安静地等待。
逻辑炸弹不能复制自身,不能感染其他程序特洛伊木马是一段计算机程序,表面上在执行合法任务,实际上却具有用户不曾料到的非法功能。
一旦这些程序被执行,一个病毒、蠕虫或其他隐藏在特洛伊木马程序中的恶意代码就会被释放出来,攻击个人用户工作站,随后就是攻击网络。
特洛伊木马需要具备以下条件才能成功地入侵计算机系统:●入侵者要写一段程序进行非法操作,程序的行为方式不会引起用户的怀疑;●必须设计出某种策略诱使受骗者接受这段程序;●必须使受骗者运行该程序;●入侵者必须有某种手段回收由特洛伊木马程序提供的信息。
天窗是嵌在操作系统里的一段非法代码,渗透者利用该代码提供的方法侵入操作系统而不受检查。
天窗由专门的命令激活,一般不容易发现。
天窗所嵌入的软件拥有渗透者所没有的特权。
通常天窗设置在操作系统内部,天窗很像是操作系统里可供渗透的一个缺陷。
隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。
按信息传递的方式和方法区分,隐蔽通道分为隐蔽存储通道和隐蔽定时通道。
隐蔽存储通道在系统中通过两个进程利用不受安全策略控制的存储单元传递信息。
隐蔽定时通道在系统中通过两个进程利用一个不受安全策略控制的广义存储单元传递信息。
从操作系统安全的角度如何理解计算机恶意代码、病毒、特洛伊木马之间的关系?答:恶意代码指的所有感染计算机并且造成破坏的程序,病毒是恶意代码的一种,可以复制、感染计算机程序造成破坏。
操作系统的安全控制和安全模型
仅 要检 查是否可以访 问 ,还要检查 允 f e 的读 写权 限, i1 l 因此P1 可以对f e 的手段 ,MAC是辅助的 。用 D i1 l AC来
读写 ) 这样一来 ,Us r eA的 fll i 的 防 止其 他 用户非 法 入侵 自 己的 文件 , e 访问控 制 包括 两种 自主 型访 问控 内容就被泄漏到了 Usr eB的 fl2中。 MA 使用户不能通过有意或 者无意的 i e C
并不一定有很好的安全保障。 据和计算的活动。 比如把文件 、 数据加 密级别文件 中也 是不允许的 ) ;同样 , 密; 甚至是指令加密 , 这就要求处理器 如 果一个进程不 会对小于等 于该进程
了的 程序相对于前两种隔离方式来说 资源不 提 出了一种更强有力的访问控制手段 , 进程越 界互相访 问 。但 是逻辑 上隔离 被非法访 问的一种有效手段 。但是由 这就 是强制访问控 制。
维普资讯
围 1自主塑访问控制示倒
( 而不是某个用户个^ ) 确定一个主体 能否访 ^一 个客体 ,也就 是由系统确 口 ]
定 该客体 的访 问权限 强制 访问控制 方式 中 ,系 统对主体和客 体都分配一
这 个例子 说明 首 先 Us A 和 个 特殊的安全 属性 ,而且这一 属性一 e r
平 台 与 ■ 理
行:因为读了高保密级别的文件再向 实际应 用中,完整 性保护 主要是为了 同时 , 一样的内容 避免应用程 序修改某些重 要的系统程 () 4 密码技术上的■■ 。 进行以外 下写肯定是泄密了 , 部进程不能理解的方式隐蔽本进程的数 分别被 写到了 高保 密级别文 件和 低保 序或 系统 数据库 。
R a (l1i e dfe ) i 基于对主体( 及主体所属的主体组) 的识 Wre e ) i f : t 2
改进的操作系统安全访问控制模型
(.西 安 电子 科 技 大 学 计 算 机 网络 与 信 息 安 全 教 育 部 重 点 实 验 室 . 西 西 安 70 7" 1 陕 10 1 I 2 .西安 电 子科 技 大 学 计 算机 学 院 . 西 西 安 陕 70 7 ) 10 1
摘 要 :提 出 了一 个 基 于 多级 安全 策 略 的 强 制 访 问控 制 模 型 . 的保 密 性 安全 规 则 是 基 于 B P模 型 . 它 L 而 完整 性 安 全 规 则 是 基 于 Bh 模 型 . i 由于 B P模 型和 Bh 模 型 的 信 息 流 走 向完 全 相 反 . 单 将 它们 结 合 L i 简 会 引起 对 莱 些客 体 进 行 合 法 的访 问遭 到 拒 绝 . 因此 对 主体 和 客体 引入 了可信 度 策 略 . 得 主体 在 进 行 合 使
o c mb n t n o n i e taiy a n e r y p o e t i h a e n d v l p d.wh c h u d e s r h t i a i fc f n il n i t i r p ry r t h s b e e eo e o o d t d g t g ih s o l n u e t a
法的资j访 问时不会 因为 安全 级别 较低 而遭 到拒 绝. 而使保 密性和 完整性 两个 安全特性 能够 紧密地 孽 从 结合在 一起. 该模 型既能防止越权泄露信患. 又能控制信 患的非授 权修 改. 而同时保证 了系统 的保 密 从
・
性 和 完 整性
关 ■ 词 : 多级 安 全 策 略 I 制 访 问 控 制 I 全 模 型 I 作 系统 强 安 操
Op r tn y t ms i u u e e a i S s e n f t r . g Ke o d : mu t— l v ls u iy s r t g ; n a o y a c sc n r l s c rt d e ; p r tn y t m y W r s li e e e r ta e y m d t r c e o t o ; e u iy mo l o e a i s s e c t a s g
第5章操作系统的安全机制
5.4 常见服务的安全机制 常见服务的安全机制主要有:加密机制、访
问控制机制、数据完整性机制、数字签名机制、交换 鉴别机制、公证机制、流量填充机制和路由控制机制。 5.4.1 加密机制
加密是提供信息保密的核心方法。按照密钥 的类型不同,加密算法可分为对称密钥算法和非对称 密钥算法两种。按照密码体制的不同,又可以分为序 列密码算法和分组密码算法两种。加密算法除了提供 信息的保密性之外,它和其他技术结合(例如 hash 函 数)还能提供信息的完整性。
要手段,并在出现违反安全的事件时提供证据。 5.2.4 IP 安全策略机制 Internet协议安全性fIPSec)是一种开放标准的框 架结构,通过使用加密的安全服务以确保在lP网络上进 行保 密而安全的 通讯。作为 网络操作系 统的 Windows 2003,在分析它的安全机制时,也应该考虑到IP安全策 略机制.一个IPSee安全策略由IP筛选器和筛选器操作两 部分构成。其中IP筛选器决定哪砦报文应当引起IPSee安 全策略的关注,筛选器操作是指“允许”还是“拒绝” 报文的通过。要新建一个IPSec安全策略,一般需要新建 IP筛选器和筛选器操作二在WindowsServer 2003系统 中.其服务器产品和客户端产品都提供了对IPSee的支 持。从而增强了.安全性、町伸缩性以及可用性,同时 使得配置部署和管理更加方便。 5.2.5 防火墙机制 防火墙是网络安全机制的一个重要的技术,它在内 部网和外部网之间、机器与网络之间建立起了一个安全 屏障:是Internet建网的一个重要组成部分。
系统安全配置,包括 12 条基本配置原则。 1.操作系统的物理安全 2.保护 Guest 账户 3.限制用户数量 4.多个管理员账户 5.管理员账户改名 6.陷阱账户 7.更改共享文件或文件夹默认权限 8.设置安全密码 9.屏幕保护密码 10.使用 NTFS 格式 11.安装防毒软件
操作系统安全
1 操作系统安全概述
2
2 操作系统安全机制 3 安全操作系统设计 2
目录
2
1 操作系统安全概述
2
身份控制概述
操作系统安全概述
操作系统安全要达到的主要目标是: (1)依据系统安全策略对用户的操作进行访问控制, 防止用户对计算机资源的非法访问(窃取、篡改和破 坏)。 (2)标识系统中的用户并进行身份识别。 (3)保证系统自身的可用性及系统数据的完整性。 (4)监督系统运行的安全性。
硬件安全机制 (2) 运行保护
R4 受限用户
身份控制概述
R1 操作系 统
R0 内核
分层设计图
身份控制概述
硬件安全机制
(3)I/O保护 I/O介质输出访问控制最简单的方式是将设备
看作是一个客体,仿佛它们都处于安全边界外。由 于所有的I/O不是向设备写数据就是从设备接收数据, 所以一个进行I/O操作的进程必须受到对设备的读写 两种访问控制。这就意味着设备到介质间的路径可 以不受什么约束,而处理器到设备间的路径则需要 施以一定的读写访问控制。
操作系统的安全问题
操作系统安全的主要威胁: (1)计算机病毒和蠕虫 (2)逻辑炸弹 (3)特洛伊木马 (4)后门 (5)隐蔽通道
身份控制概述
身份控制概述
操作系统的安全方法
操作系统安全的主要目标有如下几点 (1)按系统安全策略对用户的操作进行
存取控制,防止用户对计算机资源的非法存取。 (2)对系统用户进行标识和鉴别 (3)监督系统运行的安全 (4)保证系统自身的安全性和完整性
能,而且还应包括描述验证,即证明描述与需 求分析相符合。
(3)系统实现: 设计并建立系统,其中包含 实现验证,用于论证实现与功能描述之间的一致性
BLP模型及其改进方向
BLP模型及其改进方向作者:张蓉来源:《电脑知识与技术》2013年第35期摘要:BLP模型在整个计算机安全模型的发展过程中起到一个奠基性的作用,被看成是基础安全公理。
BLP模型采用形式化安全许可的分类描述来研究信息的安全性。
论文简单介绍了BLP 模型及其公理系统,总结了该模型目前存在的安全缺陷和问题,并针对这些问题分析了BLP 模型的改进方向。
关键词:BLP;模型;安全中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-8107-021 绪论提到安全模型,最具有代表性的形式化信息安全模型为Bell-LaPaula模型,简称BLP模型,这个模型是被David Bell和Leonard La Padula两人在1973年首次提出,而后在1976年最终修改并完善的一种安全模型。
他们二人致力于研究出这样一种可以用于模拟军事完全策略的这种安全计算机操作系统的安全模型,从系统的安全性角度出发在有效地确保了保密性方面的同时细致地描述了不同秘密级别的主体和客体之间的联系,它是多级安全模型的基础,是公认的基本安全公理,也是最早的、最常使用的一种模型。
2 BLP模型BLP 模型标明了相关主体、客体、安全等级函数、状态、系统等定义,定义了 4 个特性,定义了系统状态机状态间转换规则,并制定了一组约束系统状态间转换规则的安全理论,包括10 个定理、 11 个规则,给出了形式化表示,并进行了证明。
BLP模型元素表如表1。
BLP 模型是一个状态机模型,它形式化地定义了系统、系统状态以及状态间的转换规则,使得对于一个安全的系统,经过的一系列规则转换后,可以证明该系统仍是安全的。
以下三个其代表性的安全公理。
简单安全性公理:当且仅当以下一条成立:1)x=a或x=e; 2)x=w或x=r且fs(s)=fo (o)。
*特性:当且仅当s满足下列三个条件:1)s[∈]S [⇒] O[∈]b(S:a )[⇒](fo(O)>fc (S))2)s[∈]S [⇒] O[∈]b(S:w )[⇒](fo(O)=fc (S))3)s[∈]S [⇒] O[∈]b(S:w )[⇒](fo(O)兼容性:当且仅当对于每个o[∈]O,有o1[∈] h(o)且fo(o1)支配fo(o)BLP模型的信息流向如图1。
信息安全模型研究及安全操作系统设计
计 算 机 系 统 应 用
( )o是在 S 4 C上的最小上界运算符。
常 由用户在一个组织 中担当 的角色来 确定。例 如 , 一
最小上界运算符。有 以下性 质 : 于所有 A, , 对 B C
ES C
个公 司内可 以包含 的角 色可 以有会 计 师 , 门经 理和 部 采购员等。 由于他们 的职能 不 同,所拥 有的访 问权限
的信息流 , 么信息 流模 型 F 是安 全 的。这一 策略 那 M 在下面假设下 , S o , ) (C, 一 形成 了一个有 限格 : ( )(C 一 ) 1 S , 是一个偏序集 ; ( )S 2 C是有 限集 ; ( )S 3 C有一个 下界 L VA ∈S , —A ; , C L
系统 使 用 。
其 中 N, P分为客体和进 程的有 限集 , S C是安全 类的有限集 , 类运算 符 “ ” o 为一个满足 结合律和 交换
2 信息安全模型分析
本 文所设 计的安 全模型 是从安全 策略和访问控 制
的角度 对安全 系统进行设计。访问控 制要从强制访 问
控 制和 自主访问控制两方面去实现。
信息系统安全 保 护等 级划 分准 则> 的第 四级 ) 全功 安
能的实 用操作 系统 。该安全操作系统结合 了国内外 的
相关安 全标 准和 已有的先 进技术 , 有强大存取 控 制 具
机制 , 能更好 的满足 “ 保密性 ” “ 、 完整性 ” “ 、 可用性 ” 和 “ 隐私性 ” 等要求 , 以作 为高度安全 的服务 器的操作 可
全属性决定操 作是否进行。信息流模型与访 问控 制模 型之间的差异很小 , 但这很小 的差别 , 却能完成访 问控 制模型无能为 力的工作一识别隐蔽信道。隐蔽信 道 的
操作系统安全笔记3---安全模型
操作系统安全笔记3---安全模型⼀.安全模型分类
1.⾮形式化安全模型:模拟系统安全功能
2.形式化安全模型:使⽤数学模型精确描述安全性记其在系统中使⽤的情况
⼆.安全模型与安全策略的关系
安全模型是安全策略的清晰表达
三.安全策略类型
机密性策略
完整性策略
混合型/中⽴型策略
四.安全模型分类:
blp模型/bell-lapadula模型(机密性模型)
biba模型(完整性模型)
clark-wilson模型/c-w模型(完整性模型)
中国墙模型/bn模型(混合型/中⽴型模型)
访问控制模型
安全信息流模型
⽆⼲扰安全模型
五.blp模型/bell-lapadula模型(机密性模型)
⽤于军事领域。
基于主体,客体,以及级别概念。
安全策略
强制访问控制
⾃主访问控制
公理
简单安全性
*特性
⾃主安全性
兼容性公理
优点
缺点
六.biba模型(完整性模型)
基于主体,客体,以及级别概念,与blp相似
安全策略
强制安全策略
⾃主安全策略
七.clark-wilson模型/c-w模型(完整性模型)核⼼:
良构事物(well-formal transaction)和任务分离机制
⼋.中国墙模型/bn模型(混合型/中⽴型模型)⽤于商业领域
友情连接:。
银行操作系统安全机制
银行操作系统安全机制操作系统是安装在计算机等设备上,用来控制其他程序运行,管理系统资源并为用户提供操作界面的系统软件的集合,是连接计算机硬件与上层软件和用户之间的桥梁。
操作系统安全是主机安全的基础,主要通过以下机制实现:1)标识与鉴别:用户身份合法性鉴别、操作系统登录等。
2)访问控制:防止对资源的非法使用、限制访问主体对访问客体的访问权限、DAC&MAC&RBAC。
3)最小特权管理:限制、分割用户及进程对系统资源的访问权限;“必不可少的”权限。
以上机制,归根结底要依靠操作系统的安全配置来实现。
一、标识与鉴别标识与鉴别的主要作用是控制外界对于系统的访问。
其中标识指的是系统分配、提供的唯一的用户ID作为标识,鉴别则是系统要验证用户的身份,一般多使用口令来实现。
一旦系统验证了用户身份,就要开始赋予用户唯一标识的用户ID、组ID,还要检查用户申请的安全级、计算特权集、审计屏蔽码;赋予用户进程安全级、特权集标识和审计屏蔽码。
系统负责检查用户的安全级应在其定义时规定的安全级之内,否则系统拒绝用户的本次登录。
二、访问控制1.访问控制的基本概念访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制银行信息安全技术及管理体系其使用数据资源能力的手段。
通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
访问控制包括3个要素(图16-1):1)主体(Subject,S):是指提出访问资源的具体请求的实体。
2)客体(Object,O):是指被访问资源的实体。
3)访问控制策略(Attribution,A)。
图16-1 访问控制2.访问控制模型访问控制的主要功能包括:保证合法用户访问授权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 存取矩阵模型
– 在实际的计算机系统中.当把存取矩阵作为一个二维数组来实现 时,它往往会成为一个稀疏矩阵。于是,实际中对存取矩阵的存 放,很自然地采用按行存放或者按列存放。按行存放。每个主体 在其属性数据结构中部有若干客体及它对它们各自的存取权限, 这种方法叫能力表(Capability List)法。按列存放,则是在每 个客体的属性数据结构中存放着系统中每个主体对该客体的存取 权限,这种方法叫访问控制表(Access Control List,简称 ACL)。典型地,系统中每个文件都有一个相应的ACL表来控制各 个主体对它的存取权限。比如在UNIX
• 状态机模型 – 状态机模型的两个基本特征是状态和状态转移函数,它的数学原 理是这样的: • 安全的初始状态; • 安全的状态转移函数; • 用归纳法可以证明系统是安全的。 – 只要该模型的初始状态是安全的,并且所有的转移函数也是安全 的(即一个安全状态通过状态转移函数只能达到新的安全状态), 那么数学推理的必然结果是:系统只要从某个安全状态启动,无 论按哪种顺序调用系统功能,系统将总是保持在安全状态。
2.安全模型的分类
• 2.1 状态机模型 – 用状态机语言将安全系统描述成抽象的状态机,用状态变量表示 系统的状态,用转换规则描述变量变化的过程。 – 状态机模型用于描述其他系统早就存在,但用于描述通用操作系 统的所有状态变量几乎是不可能的。 – 状态机安全模型通常只能描述安全操作系统中若干与安全相关的 主要状态变量。 – 相当多的安全模型其实质都是状态机模型。它将系统描述成一个 抽象的数学状态机,其中状态变量(state variables)表征机器 状态,转移函数(transition functions)描述状态变量如何变 化。
3.安全模型实例
• 3.1 BLP模型 • 3.2 Biba模型 • 3.3 Clark-Wilson模型 • 3.4 Chinese Wall模型 • 3.5 RBAC模型
• BLP模型 – BLP模型是一个请求驱动的状态机模型。它在某一状态接受请求, 然后输出决定,进入下一个状态。 – BLP模型可以归结为三方面的内容:元素、属性和规则。 – 下面分别作简单介绍。 • 主体(Subject,S):指引起信息流动的访问发起者。用户登 录到系统后,由进程代表用户执行具体访问操作,系统中只有 进程向客体发出访问请求。 • 客体(Object,O):指信息流动中的访问承受者。客体包括 文件、目录、进程、设备、进程间通信结构等。
信息安全技术 操作系统安全概述:
操作系统安全模型
主要内容
1.操作系统安全模型概述 2.安全模型的分类 3.安全模型实例
1.操作系统安全模型概述
•
J.P.Anderson指出,要开发安全系统,首先必须建立系统的安全
模型。
•
安全模型给出安全系统的形式化定义,正确地综合系统的各类因
素。这些因素包括:系统的使用方式、使用环境类型、授权的定义、
• 2.2 存取矩阵模型 – 存取矩阵模型(Access Matrix Model)是状态机模型的一种。它 将系统的安全状态表示成一个大的矩形阵列:每个主体拥有一行, 每个客体拥有一列,交叉项表示主体对客体的访问模式。存取矩 阵定义了系统的安全状态,这些状态又被状态转移规则(即上文 的状态转移函数)引导到下一个状态。这些规则和存取矩阵构成 了这种保护机制的核心。 – 这种模型只限于为系统提供机制,具体的控制策略则包含在存取 矩阵的当前状态中,使得依之实现一个系统时可实现机制和策略 的很好分离。
• BLP模型 • 敏感标记:指主体或客体的安全标记,是系统进行保密性访问 控制的依据,包括等级分类和非等级类别两部分。其中,等级 分类指主体或客体的密级,由一个整数代表;非等级类别指主 体可以访问的客体范围,由一个集合表示。 • 权限:指主体对客体的访问操作,比如读、写、执行等。 • 属性:指模型的安全性质。 • 规则:描述模型状态之间的状态转换规则。
• 文件系统中,将用户分成用户主、用户组和其它用户三类,分别标明 各类用户对文件的存取权限。一般而言,能力表法或ACL法往往将主 体对客体的存取权限交给客体的拥有者去制订,从而使这两种方法, 尤其ACL法,常常是和自主存取控制策略联系在一起。
3.1 BLP模型
• 3.1 BLP模型 – Bell和Lapadula在1973年提出BLP模型,然后于1974年至1976年对 该模型进行了进一步的充实和完善。 – BLP模型是最具有代表性的形式化信息安全模型,它是根据军方的 安全策略设计的,用于控制对具有密级划分的信息的访问。 – 它所关注的是信息的保密性,主要用于军事领域。 – 它是定义多等级安全(MLS)的基础。
• BLP模型 – 简单安全特性(ss-特性):如果(主体,客体,可读)是当前访 问,那么一定有: level(主体)≥level(客体) – 其中,level表示安全级别。这个特性表示的是主体只能读取自己 的敏感标记可以支配其敏感标记的客体,也就是不上读的特性。
• BLP模型 – 星号安全特性(*-特性):在任意状态,如果(主体,客体,方 式)是当前访问,那么一定有: • 若方式是a,则:level(客体)≥current-level(主体) • 若方式是w,则:level(客体)=current-level(主体) • 若方式是r,则:current-level(主体)≥level(客体) – 其中,current-level表示当前安全级别。它表示的是主体只能写 敏感标记支配自己的敏感标记的客体,也就是不下写的特性。
共享的客体(系统资源)、共享的Байду номын сангаас型和受控共享思想等。
•
这些因素应构成安全系统的形式化抽象描述,使得系统可以被证
明是完整的、反映真实环境的、逻辑上能够实现程序的受控执行的。
•
完成安全系统的建模之后,再进行安全核的设计与实现。
• 安全策略用来描述用户对系统安全的要求。一般来说,用户对信息系 统的安全需求基于以下几个方面: – 机密性要求(confidentiality):防止信息泄露给未授权的用户; – 完整性要求(integrity):防止未授权用户对信息的修改; – 可记账性(accountability):防止用户对访问过某信息或执行 过某一操作进行否认; – 可用性(availability):保证授权用户对系统信息的可访问性。