ch7-7.1-7.4.1OS安全与保护.pptVIP

第七章 操作系统的安全与保护 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统设计和开发 7.1 安全性概述 什么是计算机系统的安全性? 影响计算机系统安全性的因素 ? 安全性和可靠性 操作系统安全性的主要内容 1)安全策略： 2)安全模型： 3)安全机制： 操作系统面临的安全威胁 硬件:破坏、偷窃 软件：病毒 数据：对数据未授权的访问 网络和通信线路：信息截取、伪造 7.2 安全策略 7.2.1 安全需求和安全策略 7.2.2 访问支持策略 7.2.3 访问控制策略 7.2.1 安全需求和安全策略 1 安全需求和策略 安全需求： 1)机密性 ：提供保护方法和保护等级 2)完整性 ：数据未遭偶然或恶意修改 3)可记帐性 ：对安全活动可记录、审查、检查 4)可用性：防止非法独占资源 安全策略 什么是安全策略： 用于授权使用其计算机及信息资源的规则，即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则，一个系统可有一个或多个安全策略，其目的是使安全需求得到保障。 安全策略分成两类： 1)军事安全策略（重点机密性） 2)商业安全策略 （重点完整性）。具体实施：访问支持策略、访问控制策略 2. 可信计算基 可信计算基（Trusted Computing Base）TCB： 计算机系统内安全保护装置的总体。包含：硬件、固件、可信软件、负责执行安全策略的管理员。 TCB含安全功能模块TSF，每个TSF实现一个安全功能策略。 TSF两种方法：1）设置前端过滤器，防止入侵者非法进入；2）设置访问监督，防止越权访问。 2 可信计算基 7.2.2 访问支持策略 访问支持策略：支持和保障控制策略的实施 常见访问支持策略： 1 标识与鉴别 1)用户标识 2)用户鉴别：利用用户所知道的信息、用户所拥有的物品、用户的生物特征。 2 可记帐性：保留、保护审计日志文件 3 确切保证和连续保护：安全策略能得到连续正确执行 4 客体重用：彻底清除残留数据 5 隐蔽信道分析：发现信息非法传输的通道 6 可信路径和可信恢复：确保关键系统功能不被假冒，确保两个对象之间相互认证渠道。 7.2.3 访问控制策略 1 访问控制属性(1) 与访问控制策略相关的因素有： 主体、客体和主客体属性 1)主体： 普通用户 信息属主 系统管理员 访问控制属性(2) 2)客体：主体行为的直接承担者 (1)一般客体：文件、数据等等 (2)设备客体：硬件 (3)特殊客体：如进程 访问控制属性(3) 3)主客体属性： 主体属性： (1)用户ID/用户组ID (2)用户访问许可级别 (3)用户需知属性 (4)角色：代表某类权力 (5)权能列表 ：主体访问权限 访问控制属性(4) 客体属性 : (1)敏感性标记：安全级别，如公开、绝密 (2)访问控制列表 ：哪些用户可以访问此客体 外部状态 ：如地点、时间 数据内容和上下文环境：如基于数值访问控制 4)用户与主体绑定 应用进程是固定为某特定用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。 系统进程是动态地为所有用户提供服务的，当应用进程进行系统调用时，它开始执行内核函数，这时系统进程代表该用户在执行，运行在核心态，拥有操作系统权限。 2 自主访问控制策略 自主访问控制策略：信息属主决定谁如何访问信息 自主访问控制工具：访问控制矩阵及其变形 自主访问控制策略的缺点：安全性差 3 强制访问控制策略 在强制访问控制机制下，系统内的每个主体被赋予许可标记或访问标记，以表示他对敏感性客体的访问许可级别； 系统内的每个客体被赋予敏感性标记，以反映该客体的安全级别。 安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问权限。 7.3 安全模型 7.3.1 安全模型概述 7.3.2 几种安全模型简介 7.3.1 安全模型概述 什么是安全模型 ?对安全策略所表达的安全需求的一种精确、无歧义的抽象描述，为安全机制的实现提供框架。 安全模型分 类?非形式化模型：模拟系统的安全功能；形式化模型：用数学模型表示，难实现。 当前技术条件下，安全模型采用状态机模型。对机器状态及操作规则加以描述和限制，确保系统安全。 状态机模型开发步骤 定义与安全有关的状态变量。 定义安全