高级操作系统课件

分布式系统中所有成员和它们的进程共个通用视图，此视图记录了对于共享内存（casualconsistencyPRAM对于一个特定 位置，这个系统必须就此位置的所有写操作顺序达成一致第十三章安全性分类（国防部，橘皮书D类 C类 B类 A类二控制方法 矩阵模三矩阵模 最少可接受性控制 权能 锁钥机WindwosNT/XP设计目标是：C2级，必须在用户级实现自主控制，必须提供审计对象的机制。对对象的必须经过一个区域的验证，没有得到正确的用户是不能对象的用户必须在WindwosNT/XP中拥有一个帐号，并规定该帐号在系统中的和权限工作组：通过工作组，可以方便地给一组相关的用户授予和权限WindwosNT/XP安全模型由本地安全认证、安全帐号管理器和安全参考监督器构成。安全策略是由本地安全策略库实现的，库中主要保存着可信域、用户和用户组的和这个数据库由本地安全认证来管理，并且只有通过本地安全认证才能它域的范围。并且只有通过安全帐号管理工具才能它。实现了用户级自主控制WindwosNT/XP中的对象采用了安全性描述符（security安全性描述符SI（Owner）（DACL（SACL当某个进程要一个对象时，进程的SID与对象的控制列表比较，决定是否可以访WindwosNT/XP3类日志：系统日志、应用程序日志、安全日志。NTFS文件取鉴别（用户鉴别。按系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的存取。标识系统中的用户和鉴别储区域实行互相。运行保护：运行域是进程运行的区域，在最内层具有最高，在最外层具有最小的，一般的系统不少于3 4个环。I/OI/O数据，所以一个进行I/O操作的进程必须受到对设备的读/写两种控制口令机制：简便易行的鉴别。6生物技术是一种比较有前途的鉴别用户的方法在安全操作系统中，可信计算基（TCB）TCB调节当用户连续执行认证过程，超过系统管理员指定的次数而认证仍然失败时，TCB应该关闭当连续或不连续的登录失败次数超过管理员指定的次数时，该用户的就不能再用了当用户选择了一个其他用户已使用的口令时，TCBTCB应该以单向口令，加密口令必须有在口令输入和显示设备上，TCBTCB8自主存取控制（DiscretionaryAccessControlDAC文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的权。强制存取控制（MandatoryAccessControlMAC最小管系统不应该给予用户超过执行任务所需以外的可以将超级用户的划分为一组细粒度的，分别授予不同的系统操作员/管理员，从而减少由于用户口令丢失或误操作所引起的损失。例如：可以在系统中定义5个管理职责，任何一个用户都不能获取足够的权力，破坏定义用户的安全属性，改变文件的安全等级操作时，用户必须确实与安全通信。使用通用终端，通过它发一信号给这个信号是不可信软件不能、覆盖或的（包括特洛伊木马，重新激X-Window前提：是不会自己的 隐蔽通一个进程直接或间接地写一个单元，而另一个进程可以直接或间接地读这个单元一般系统中总是充满了隐蔽通道，采用强制策略的系统中，强制控制没有保护的任何建立隐蔽通道，必须满足以下4个要求发送和接受进程必须能够对同一单元具有能力发送进程必须能够改变（或者称“写）共享单元的内容接受进程必须能够探测（或者称“读）到共享单元内容的改变隐蔽通道的处它的主要目的就是检测、用户对计算机系统的，并显示合法用户的误操作。作为一种事后追查的保证系统的安全。审计过程一般是一个独立的过程，它应与系统其它功能开。操作系统必须能够生成、保护审计过程，使其免遭修改、及毁坏，保护审计数据3种：一些指令应当属于可审计事件计算机：完全防止计算机是非常的，但是通过安全操作系统的强制存取控制机制可以起到使用的方法进行自我保护可以把一般通用令和应用程序放在保护区内，供用户使用，由于在这一区内，对一般用户只读不可写，从而防止了的传染。在用户空间去，由于用户的安全级别不同，即使计算机发作，也只能传染同级别用户的程序和数据，缩小了传染的范围。可信应用软件：系统管理员和操作员进行安全管理的应用程序，运行具有操作的、保安全核：用来操作系统的安全操作ComputingBase,TCB）的一部分,系统必须保护可信软件不被修改和破坏。可信计算基（TrustedComputingBaseTCB）具有的程序和命令与TCB负责系统管理的人员。系统管理员的误操作或操作也会引起系统的安全性问题TCB登录的可信路监督器的关键需求是控制从主体到客体的每一次存取，并将重要的安全事件存入审计安全内核是实现监督器概念的一种技术安全内核的设计的基本原则主体客体时必须通过内核，即所有信息的都必须经过内核。 需要软件、硬件相结合，硬件的基本特性是使内核能防止用户程序内核代码和数据。防止用户程序执行内核用于控制内存管理机制的指令。 否可行。查主体对客体的存取。将系统的安全需求描述成一系列主体间操作互不影响的断言，要求在不同域中，操作的主体能够防止由于系统的安全性质导致的相互间的影响。比如要求高安全级的操作Biba模型，它通过完整级的概念，控制主体“写”操作的客体范围Clark-WilsonBell-LaPadula(BLP)模1973客体：定义为的主体行为承担者，如数据、文件等主体对客体的（模式）分为r只读 w读写 a只写 e执行 c控制主体用来授予或撤销另一主体对某一客体的权限的能力。BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及系统状态间的转换规BLPBLP可信主体不受特性制约，权限太大，不符合最小原则。应对可信主体的操作权（U（R（P个关系，称之为的赋予（PA可以给予一个角色多个，而一个也可以赋予多个角色。同时，一个用户可以扮演RBAC模型能够以简单的方式向最终用户提供语义更为丰富、得到完整控制的存取功能。在RBAC模型中，每个角色至少具备一个，每个用户至少扮演一个角色。RBAC1支持层次关系，可以容易地实现多级安全系统所要求的级别的线性排列要求要求所使用的安全模型必须是偏序的。RBAC1模型的层次角色的支持包括对偏序模型的支公开<<<RBAC2约束模型，增加了对RBAC0所有组成元素的核查过程，只有有效的元素才可被接受。2个互斥的角色集中，只能分配给它其中一个集合中的角色。2AB。BLP模型中，应当遵守“下读上写”的规则，即低安全级进程不能读高安全级文件，高这类模型查主体对客体的存取，而是试图控制从一个客体到另一个客体的信息传输过2个客体的安全属性决定操作是否进行。设计安全内核时，优先考虑的是完整性、性、可验证性等3条基本原则有硬件等价，操作系统本身并未已被安全内核控制。改进/测试，安全性分析，提交部门进行安全可信度认证便于用户的存取当系统安全性、兼容性和效率发生时，首先保证安全性，然后考虑兼容性，最后考虑3.0（基于Linux资源，自主开发增强其安全性的一个安全操作系统LinuxC1系统中的每个文件和都具有不同于其他文件和的唯一标识符，系统中的每个用户必须通过名和口令经系统识别以后，才可登录系统，没有合法用户的口令，制机制，用户对系统中的文件和拥有相应的权限，系统能够控制用户那些程序或信息，以及如何。Linux系统内核在一个物理上的安全域中运行，这个域受到硬件的保护。安全域保护它内部的和安全机制，安全机制本身是无法绕过的。3.0/增强法。uid,gid，还检查用户的安全级、计算特权集，赋予用户进程安全级和集标识。自主存取控制3.0Linux3.0中的用强制存取控制3.0实现的MACIPC客体都赋文件的安全级，从而确定是否允许进程对文件的。将系统信息划分为3个区：系统管理区、用户空间区、保护区安胜3.0将原Linux超级用户的划分为32个，并定义了4个管理角色网络管理员系统中的4个用户就共同管理和整个系统，每个用户都不能独自系将客体引入、删除用户空间及指定客体的；可信通道请求由一组特别键组成，称之为安全注意键（SAKSAK，便立即杀死与该终端相关的进程，并为该终端启动一个真实的登录序列每个连接的设备有一个安全级，用户程序仅能与其安全级相当或者低于其安全级的信安胜3.0安全模型是在分析BLP等经典计算机安全模型的基础上，结合系统的安全策略，基于BLP安全模型修改而成，记为MBLP（Modified BLP open（，creat（，read（，write（）由于系统调用是用户程序进入内核，存取系统资源的唯一，对文件系统的每个系统调 3.0建立了一个明确定义的形式化的安全模型MBLP，并实现于系统之中最小管理机3.0的安全性评测主要采用了非形式化确认和侵入测试的方式。操作系统安全扫自动评估由于操作系统配置方式不当，所导致的安全 1983612合理地为每个对象加一个，可靠地标识该对象的敏感级3每个主体都必须予以标识，标识和信息必须由计算机系统安全地456实现这些基本需求的可信机制必须连续保护，避免篡改和非改变“”小组测“”小组成员试图“摧毁”正在测试中的安全操作系统“”小组成员应当掌握操 从国防部1985年发布著名的可信计算机系统评估准则（TCSEC）起，世界各国根据自如：的英、法、德、荷等四国90年代初发布的安全评估准则(ITSEC);（CTCPEC1993年制定的安全标准（FC）;由6国7方（ 、法国、德国、荷兰、英国、NIST及NSA）于90年代中期由英国标准（BSI）制定的管理标准以及最近得到ISO认可的SSE-CMM(ISO/IEC21827:2002)《我国于1999年9月发布了计算机信息系统安全保护等级划分准则（GB17859《4743个部分叙述满足安全策略、审计和保证的主4部分是文档，描述文档的种类，以及编写用户指南、手册、测试文档和设计文档的主D份验证和控制。MS-CC1对硬件来说，存在某种程度的保护，用户必须通过用户名和口令叫系统识别这一级没有提供系统管理帐户行为的方法C2DAC审计用 记录所有与安全有关的事件，不如那些由系统管理员执行的活动BB1引入强制存取控制（MAC）机制，以及相应的主体、客体安全级标记和标记管理B2MAC机制、可信通道机制、系统结构化设计、最小管理、隐蔽通道分析和处理等安全特征。B3级审计实告机制、更好地分析和解决隐蔽通道问题，它使用安装硬件的办法增强域的安A类（FTDSBB2B2ROM与其相关联的敏感标记要由TCB进行。对于每个通信通道和I/O设备，TCBTCBI/O设备时，与此对象对应的敏感标记也要输出，并驻留在TCBTCBTCB对于有TCB以外的主体，可直接或间接存取的所有资源（即主体、对象、I/O设TCB要求用户先进行自身识别之后，才开始执行需TCBTCB要保护鉴别数据，以便不被任何非用户存取。TCB还要提供关于标识和鉴别的审TCB对于它所保护的对象，要能够建立和对其进行存取的审计，并保护该踪迹不被修改或非存取和破坏，审计数据要受TCB保护。TCB应保护其自身执行的区域，使其免受外部干预。TCB应能提供不同的地址空间保证进程。TCB在系统的生命周期内，TCB支持的安全策略形式模型始终有效，TCB的描述性顶层规范始在TCB的开发和期间配置管理系统要保持与当前TCB版本对应的所有文档与代码之用户文档中单独的一节、一章、一本手册，对TCB针对系统管理员的手册，说明应用有关功能和时的注意事项，说明与安全有关的操作CC1，19936CCTCSEC，TCSEC。CCITSEC（欧）安全认证需求（非技术要求和对开发过程、工程过程的要求CC1CCPDR2CC3CC评估准则不仅考虑了性而且还考虑了完整性和可用性多方面的安全特性;4)CCCEM（CommonMethodology如基于时间的PDR模型、P2DR模型、全网动态安全体系APPDRR模型PADIMEE™模型以及我国的WPDRRC模型其中偏重技术的P2DR模型和偏重管理的PADIMEE™模型影响最P2DR（Policy（Protection构成，在P2DR模型中：安全策略是整个系统安全的依据。在整体的安全策略控制和指导下，在综合运用防护工具（、操作系统认证、加密等）的同时，利用检测工具（如评估、检测等系统）了解和评估系统的安