实施强制访问控制.PPT

* * 第6章 操作系统安全 本章学习重点掌握内容： 操作系统的访问控制模型 Windows系统的安全机制 Windows系统常用安全命令 * * 第6章 操作系统安全 6.1 操作系统的访问控制模型 6.2 Windows操作系统安全 6.3 常用的Windows安全命令 6.4 安全操作系统 * * 6.1 操作系统的访问控制模型 6.1.1 自主访问控制 自主访问控制也叫选择性访问控制，是指根据主体身份对客体访问进行限制的一种方法。它是目前访问控制措施中一种普遍采用的访问控制机制，这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体，即用户（包括用户程序和用户进程）可选择同其他用户一起共享某个文件。 所谓自主，就是指拥有一定访问权限的主体（用户）能够自己决定是否将访问权限直接或间接地传给其他主体。其基本思想是允许某个主体指定其他主体对该主体的信息资源是否可以访问以及可执行的访问类型。 * * 6.1.1 自主访问控制 自主访问控制的具体措施通常有以下四种方法： （1）目录表（Directory List） （2）访问控制列表（Access Control List ACL） （3）访问控制矩阵（Access Control Matrix） （4）能力表（Capability List） 自主访问控制的特点是根据主体的身份和授权来决定访问模式。 自主访问控制的缺点之一就是信息在移动过程中其访问权限关系会被改变。 * * 6.1.2 强制访问控制 强制访问控制（Mandatory Access Control, MAC）是指系统强制主体服从访问控制策略。 强制访问控制通常用于多层次安全级别的军事系统当中。它预先将主体和客体分级，即定义用户的可信任级别及信息敏感程度（安全级别，比如可以分为绝密级、机密级、秘密级、无密级等），然后根据主体和客体的级别标记来决定访问模式，用户的访问必须遵守安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主体和客体的敏感标记进行比较从而确定访问是否合法。 * * 6.1.2 强制访问控制 强制访问控制的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制，它使用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某种资源。 强制访问控制的主要缺点在于实现的工作量太大，不够灵活，管理麻烦。 强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制策略。 * * 6.1.2 强制访问控制 下面介绍几种强制访问控制的安全模型 Bell-LaPadula必威体育官网网址性模型 Bell-LaPadula模型（简称BLP模型）是David Bell和Len LaPadula于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型，它是最早、最常用的一种计算机多级安全模型之一。该模型基于强制访问控制系统，以敏感度来划分资源的安全级别，将数据划分为多安全级别与敏感度系统的多级安全系统。数据和用户被划分为公开、受限、秘密、机密和高密五个安全等级。 * * 6.1.2 强制访问控制 Biba模型 BLP模型通过防止非授权信息的扩散来保证系统的安全，但它不能防止非授权修改系统信息。于是Biba等人在1977年提出了第一个完整性安全模型—Biba模型，它主要应用类似BLP模型的规则来保护信息的完整性，防止对信息的非授权修改，Biba模型也使用强制访问控制系统。 Biba模型基于下读和上写两种规则来保障数据的完整性的必威体育官网网址性。下读即主体不能读取安全级别低于它的数据。上写即主体不能写入安全级别高于它的数据。 * * 6.1.2 强制访问控制 Clark Wilson完整性模型 在商务环境中，1987年David Clark和David Wilson所提出的完整性模型具有里程碑的意义，它是完整意义上的完整性目标、策略和机制的起源。 Clark-Wilson模型的核心在于以良构事务(well-formal transaction)为基础来实现在商务环境中所需的完整性策略。良构事务的概念是指一个用户不能任意操作数据，只能用一种能够确保数据完整性的受控方式来操作数据。 在Clark-Wilson模型中控制数据完整性的主要方法有两个：一是良构事务；二是雇员之间的职责隔离。 * * 6.1.2 强制访问控制 Lattice安全模型 Lattice模型通过划分安全边界对BLP模型进行了扩