第三章操作系统安全模型.ppt

第三章 操作系统安全模型;3.1 安全模型的概念及特点;3.1 安全模型的概念及特点;状态机模型;3.2 安全模型的开发和验证;3.3 安全模型的分类;访问控制模型;信息流模型;3.4 主要安全模型;系统状态定义;安全等级分类系统;基本安全定理（简化版）;模型扩展解决分类粗糙;例:;简单安全条件;安全等级转换机制;模型中的概念;模型的几个重要公理;安全状态转换规则;BLP模型分析;Biba模型;下限标记策略;对于主体的下限标记策略;对于客体的下限标记策略 主体S能够对具有任何完整性等级的客体O进行写操作,当S执行完对O的写操作之后,客体O的完整性等级被置为执行写操作之前S和O的完整性等级的最大下界 下限标记完整审计策略 主体S能够对具有任何完整性等级的客体O进行写操作,如果S的完整性等级低于O的完整性等级或两者不可比,该违反安全的操作将被记录在审计记录中;环策略;严???完整性策略;Clark-Wilson模型;中国墙模型;中国墙模型的非形式化描述;模型的基本思想: 只允许主体访问与其所拥有的信息没有利益冲突的数据集内的信息 中国墙的含义: 最初,一个主体可以自由选择访问任何客体,一旦主体访问了某个企业数据集内的客体,它将不能再访问这个利益冲突中其他企业数据集内的客体 中国墙简单安全条件 主体S可以读取客体O,当且仅当满足以下任一条件 1. 存在一个S曾经访问过的客体O’,并且O’和O处于同一企业数据集中 2.对于所有S访问过的O’,都有O’和O不在一个利益冲突类中;三个推论;中国墙模型的*-属性