网络安全技术第02章操作系统安全

网站平安技术第02章操作系统平安本章内容WEBSEC-C02-01操作系统平安概述WEBSEC-C02-02Unix/Linux平安机制WEBSEC-C02-03系统平安模型WEBSEC-C02-04平安系统结构WEBSEC-C02-05权能体系WEBSEC-C02-06Flask平安体系WEBSEC-C02-07LSM平安框架WEBSEC-C02-08平安操作系统设计WEBSEC-C02-09经典SELinux系统平安设计本章目标1、掌握WEB应用在系统各层的平安实现2、掌握维护系统平安的根本技术3、熟悉经典SELinux系统设计第01节操作系统平安概述知识点预览#节知识点难点重点应用1WEBSEC-C02-01操作系统安全概述1.操作系统面临安全威胁

√√2.可信软件和不可信软件

√√3.安全策略和安全模型√√√4.系统访问控制思想√√√5.可信计算基础√√1.操作系统面临平安威胁-1操作系统面临平安威胁:平安操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的平安技术要求。平安操作系统主要特征： 1、最小特权原那么，即每个特权用户只拥有能进行他工作的权力；2、自主访问控制；强制访问控制，包括保密性访问控制和完整性访问控制； 3、平安审计； 4、平安域隔离。只要有了这些最底层的平安功能，各种混为“应用软件〞的病毒、木马程序、网络入侵和人为非法操作才能被真正抵抗，因为它们违背了操作系统的平安规那么，也就失去了运行的根底。1.操作系统面临平安威胁-2操作系统面临平安威胁:病毒和蠕虫：指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码〞。与医学上的“病毒〞不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质〔或程序〕里，当到达某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。病毒的根本特点：1、隐蔽性：病毒程序代码驻存在磁盘等介质上，无法以操作系统提供的文件管理方法来检测和查看。2、传染性：当用户利用磁盘片、网络等载体交换信息时，病毒程序趁机以用户不能觉察的方式随之传播；即使在同一台计算机上，病毒程序也能在磁盘上的不同区域间进行传播，附着在多个文件上。1.操作系统面临平安威胁-3操作系统面临平安威胁:病毒的根本特点：3、潜伏性：病毒程序感染正常的计算机之后，一般不会立即发作，而是潜伏下来，等到激发条件〔比方日期、时间、特定的字符串〕满足时才触发执行恶意代码局部，从而产生破坏作用。4、破坏性：当病毒发作时，会在屏幕上输出一系列不正常的信息，同时破坏磁盘上的数据文件和程序；如果是引导型病毒，会使计算机无法启动。1.操作系统面临平安威胁-4操作系统面临平安威胁:蠕虫：蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序〔或是一套程序〕，它能传播自身功能的拷贝或自身〔蠕虫病毒〕的某些局部到其他的计算机系统中〔通常是经过网络连接〕。蠕虫可以侵入合法数据处理程序，更改或破坏这些数据。尽管蠕虫不像病毒那样复制自身，蠕虫攻击带来的破坏可能与病毒一样严重，最具代表性的是Ska蠕虫是一个Windows电子邮件和新闻组蠕虫，被伪装成Happy99.exe的电子邮件附件，运行之后，每个从本机发送的电子邮件和新闻组布告都会导致再次发送消息。1.操作系统面临平安威胁-5操作系统面临平安威胁:蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为〞宿主〞，例如，windows下可执行文件的格式为pe格式(PortableExecutable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。随着网络和病毒编写技术的开展，综合利用多种途径的蠕虫也越来越多，比方有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。1.操作系统面临平安威胁-6操作系统面临平安威胁:逻辑炸弹：是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丧失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。逻辑炸弹的危害：(1)逻辑炸弹可以直接破坏计算机软件产品的使用当事人的计算机数据。而在微机公用的前提下，恶性炸弹的破坏具有较宽的涉及范围。(2)引发连带的社会灾难。包括直接和简介的损失，如经济损失、企业亏损、资料丧失、科学研究的永久性失败、当事人承受精神打击、失业或家庭破裂、连带的经济犯罪、刑事犯罪、或相关人的生命平安等等。(3)逻辑炸弹的逻辑条件具有不可控制的意外性。这次无辜用户遭受袭击，就是因为好奇而误用了具有特殊磁道的诱因软盘，还有的用户是因为操作顺序不当引起的1.操作系统面临平安威胁-7操作系统面临平安威胁:逻辑炸弹的危害：(4)逻辑条件的判断很可能失常，以江民炸弹为例，比方，软盘驱动器的故障、磁盘的故障都是诱发逻辑炸弹的潜在因素。这虽然不是高概率事件，但却具有不可控性。(5)逻辑炸弹本身虽然不具备传播性，但是诱因的传播是不可控的。(6)新的病毒可以成为逻辑炸弹的新诱因，比方在软盘拷贝(如KV300升级)过程中，已经驻留而又没有被发现的病毒可以给软盘加工一下，使得正版磁盘成为诱因；(7)由于逻辑炸弹不是病毒体，因此无法正常复原和去除，必须对有炸弹的程序实施破解，这个工作是比较困难的。1.操作系统面临平安威胁-8操作系统面临平安威胁:特洛伊木马：完整的特洛伊木马套装程序含了两局部：效劳端〔效劳器局部〕和客户端〔控制器局部〕。植入对方电脑的是效劳端，而黑客正是利用客户端进入运行了效劳端的电脑。运行了木马程序的效劳端以后，会产生一个有着容易迷惑用户的名称的进程，暗中翻开端口，向指定地点发送数据〔如网络游戏的密码，实时通信软件密码和用户上网密码等〕，黑客甚至可以利用这些翻开的端口进入电脑系统。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无平安可言。特洛伊木马必须具有以下几项功能才能成功地侵入计算机系统：1、入侵者写一段程序进行非法操作，程序的行为方式不会引起用户的疑心；2、必须设计出某种策略诱使受骗者接收程序；3、必须使受骗者运行该程序；4、入侵者必须由某种手段回收有特洛伊木马作为它带来的实际利益；1.操作系统面临平安威胁-9操作系统面临平安威胁:特征特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以觉察的；运行时很难阻止它的行动，运行后，立刻自动登录在系统启动区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。特性

⒈包含在正常程序中，当用户执行正常程序时，启动自身，在用户难以觉察的情况下，完成一些危害用户的操作，具有隐蔽性。 ⒉具有自动运行性。木马为了控制效劳端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3.具备自动恢复功能。很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复可信软件和不可信软件：将软件分为三大可信类别：可信的—软件保证可以平安运行，并且后来系统的平安也依赖于软件的无错操作；良性的–软件并不能确保平安运行，但由于使用了特权或对敏感信息的存取权，因而必须确信它不会有意的违反规那么；良性软件的错误被视作偶然性的，这类错误不会影响系统的平安；恶意的—软件来源不明，从平安的角度出发，该软件必须被当做恶意的，认为将对系统进行破坏；系统内有一条将恶意程序和有错的良性程序分开的细微界限：有错的良性程序不会泄露或者破坏数据，但不能保证它偶尔与恶意程序有同样的不良效果。由于没有一个客观的方法度量两者之间的区别和差异，经常把良性和恶意软件归为一类，即不可信软件。2、可信软件和不可信软件-12、可信软件和不可信软件-2外部测量内部质量属性外部质量属性使用质量属性过程质量过程过程测量内部测量使用质量的测量软件产品软件产品的效用使用条件影响影响影响依赖依赖依赖过程质量有助于提高产品质量产品质量有助于提高使用质量用户质量要求使用质量内部质量需求内部质量外部质量需求外部质量使用和反馈确认验证有助于确定指示指示有助于确定2、可信软件和不可信软件-3外部和内部质量功能性可靠性易用性效率维护性可移植性适合性准确性互操作性保密安全性功能性的依从性成熟性容错性易恢复性可靠性的依从性易理解性易学性易操作性吸引性易用性的依从性时间特性资源利用性效率的依从性易分析性易改变性稳定性易测试性维护性的依从性适应性易安装性共存性易替换性可移植性的依从性***的依从性：软件产品遵循与***相关的标准、约定或法规以及类似规定的能力2、可信软件和不可信软件-4平安策略和平安模型：四层平安体系结构：所谓平安体系结构是把信息平安保障技术集成起来所构成的模型；是以平安防御为着眼点，以信息在系统中平安无缝的流动为目标，以系统的平安需求和平安策略为依据，为实现整个系统的平安提供根底。平安体系结构是一般的、抽象的体系结构而不涉及具体的实际组件或软硬件；多网层：大型的网络或系统由于物理和平安等原因，通常是由小型的网络和系统关联起来构成的，小型的系统和网络通常是一些物理上隔开或逻辑上不同的通信网络。单网层：这一层所关心的是构成多网层中的那些单个网络，单网层分析单个网络内存在的平安问题并给出相对应的平安防范措施。设备层：任何一个网络必然都是由各种各样的设备构成，从平安角度把构成网络的这些设备抽象成一个层次----设备层；设备层处理设备范围内出现的平安问题：传输链路、交换机和管理控制设施等设备中与平安有关的问题。数据层：数据是网络中最重要的资源，贯穿于网络的各个层次。在对数据的存储、传输、转移过程中可能存在的平安问题。将数据层抽象出来便于集中考虑数据平安问题。3、平安策略和平安模型-1平安策略和平安模型：在根本的平安模型中，通信的双方在进行信息传输前，先建立起一条逻辑通道，并提供平安的机制和效劳，来实现在开放网络环境中信息的平安传输。信息的平安传输主要包括两个局部：1、从源节点发出的信息，使用如信息加密等加密技术对其进行平安的转发，从而实现该信息的保密性，同时也可以在该信息中附加一些特征的信息，作为源节点的身份验证。2、源节点与目的节点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三方以外，对其他用户都是保密的。3、平安策略和平安模型-24、系统访问控制思想-1系统访问控制思想：引用监控器〔ReferenceMonitor〕目标是解决用户程序的运行控制问题，根本职能是以访问控制信息库为依据，对主体〔用户〕访问客体〔如系统中的各种资源〕的行为进行平安验证，以此实现受控的资源共享。平安策略所要求的的访问判定以抽象访问控制数据库中的信息为依据，访问判定是平安策略的具体表现。访问控制数据库包含有关主体访问客体及其访问模式的信息，数据库是动态的，随着主体和客体的产生或删除及其权限的修改而改变。4、系统访问控制思想-2系统访问控制思想：引用验证机制〔RVM—ReferenceValidationMechanism〕需要满足三个原那么：1、RVM必须具有自我保护能力，即RVM即使受到攻击也能保持自身的完整性；2、RVM必须总是处于活动状态，即确保主体对客体的所有引用都得到RVM的仲裁；3、RVM必须足够小巧，以利于分析和测试，从而能够方便地证明或验证RVM的设计与实现的正确性；4、系统访问控制思想-3系统访问控制思想：平安内核的设计和实现的三个根本原那么：1.完整性原那么 完整性原那么要求主体引用客体时必须通过平安内核，即所有信息的访问都必须经过平安内核；但是操作系统的实现与完整性原那么的明确要求之间有差距：操作系统认为系统的信息存在于明显的地方，比方文件，内存和输入输出缓冲区；2.隔离性原那么隔离性原那么要求平安内核具有防篡改的能力，即可以保护自己，防止偶然破坏。3.可验证性原那么 可验证性原那么通过如下一些设计要素来实现： 利用最新的软件工程技术，包括结构设计、模块化、信息隐藏、分层、抽象说明以及适宜的高级语言； 内核接口简单化； 代码检查；5、可信计算根底-1可信计算根底：操作系统的平安依赖于具体实施平安策略的可信的软件和硬件；这些硬件、软件和负责系统平安管理的人员一起组成了系统的可信计算基〔TrustedComputingBase，TCB〕。具体的组成局部： 1、操作系统的平安内核； 2、具有特权的程序和命令； 3、处理敏感信息的程序，如系统管理命令等； 4、与TCB实施平安策略有关的文件； 5、其他有关的固件、硬件和设备； 6、负责系统管理的人员 7、保障固件和硬件正确的程序和诊断软件；5、可信计算根底-2可信计算根底：可信计算基的软件局部是平安操作系统的核心内容，完成的任务：内核的良好定义和平安运行方式；标识系统中的每个用户；保持用户到TCB登录的可信路径；实施主体对客体的存取控制；维持TCB功能的正确性；监视和记录系统中的有关事件；在一个通用的平安操作系统中，TCB为用来构成一个平安操作系统的所有平安保护装置的组合体。第02节路由守护进程与协议知识点预览#节知识点难点重点应用2WEBSEC-C02-02路由守护进程与协议1.硬件安全机制

√√2.系统运行保护

√√3.Unix系统标识和鉴别√√4.Unix系统访问控制√5.POSIX权能机制√6.Unix系统密码√7.Unix系统网络安全性√1、硬件平安机制-1硬件平安机制：操作系统的平安性需要考虑的方面： 1、物理上别离：要求进程使用不同的物理实体； 2、时间上别离：具有不同平安要求的进程在不同的时间运行； 3、逻辑上别离：操作系统通过限制程序的访问，使程序不能访问其允许之外的实体； 4、密码上别离：进程以一种其他进程不可知的方式隐藏数据及计算；操作系统平安的主要目标：依据系统平安策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问〔窃取、篡改和破坏〕；标识系统中的用户和身份鉴别；监督系统运行的平安性；保证系统自身的平安性和完整性；

1、硬件平安机制-2硬件平安机制：存储器管理根本概念：虚地址空间：一个进程的运行需要一个“私有的〞存储空间，进程的程序与数据都存于该空间，这个空间不包括该进程通过I/O指令访问的辅存空间〔磁带、磁盘〕；这个进程地址空间中，每一个字都有一个固定的虚地址〔并不是目标的物理地址，但每一个虚地址可映射成一个物理地址〕，进程通过这个虚地址访问这个字。段：一个进程的虚地址空间至少要被分为两局部或两个段：一个用于用户程序与数据，称为用户空间；另一个用于操作系统，称为系统空间；两者的隔离是静态的，比较简单。驻留在内存中的操作系统可以由所有进程分享，最灵活的分段虚存方式是：允许一个进程拥有很多段，这些段中的任何一个都可以由其他进程共享。

1、硬件平安机制-3硬件平安机制：物理内存就是系统硬件提供的内存大小，是真正的内存，相对于物理内存，在Linux下还有一个虚拟内存的概念，虚拟内存就是为了满足物理内存的缺乏而提出的策略，它是利用磁盘空间虚拟出的一块逻辑内存，用作虚拟内存的磁盘空间被称为交换空间〔SwapSpace〕。作为物理内存的扩展，Linux会在物理内存缺乏时，使用交换分区的虚拟内存，更详细的说，就是内核会将暂时不用的内存块信息写到交换空间，这样以来，物理内存得到了释放，这块内存就可以用于其它目的，当需要用到原始的内容时，这些信息会被重新从交换空间读入物理内存。

1、硬件平安机制-4硬件平安机制：通过监控内存有助于了解内存的使用状态，比方内存占用是否正常，内存是否紧缺等等，监控内存最常使用的命令有free、top。total：物理内存的总大小used：已经使用的物理内存大小free：空闲的物理内存大小shared：多个进程共享的内存大小buffers/cached：磁盘缓存的大小第二行Mem：代表物理内存使用情况第三行(-/+buffers/cached)：代表磁盘缓存使用状态第四行：Swap表示交换空间内存使用状态

#free total

used

free

shared

buffers

cached

Mem:

3894036

3473544

420492

0

72972

1332348

-/+

buffers/cache:

2068224

1825812

Swap:

4095992

906036

31899561、硬件平安机制-5硬件平安机制：计算机系统提供透明的内存管理之前，访问判决是基于物理页号的识别，每个物理页号都被标以一个称为密钥的秘密信息；系统只允许拥有该密钥的进程访问该物理页，同时利用一些访问控制信息指明该页是的读写属性；每个进程相应地分配一个密钥，该密钥由操作系统装入进程的状态字中，每次执行进程访问内存的操作时，由硬件对该密钥进行检验，只有当进程的密钥与内存物理页的密钥相匹配，并且相应的访问控制信息与该物理页的读写模式想匹配时，才允许该进程访问该页内存，否那么禁止访问。2、系统运行保护-1系统运行保护运行域时进程运行的区域，在最内层具有最小环号的环具有最高特权，在最外层具有最大环号的环是最小的特权环；环形结构中，最内层是操作系统，控制整个计算机系统的运行，靠近操作系统环之外的是受限使用的系统应用环；最外层是控制不同用户的应用环；等级域机制应该保护某一环不被其外层环侵入，并且允许在某一环内的进程能够有效的控制和利用该环以及低于该环特权的环；当一个进程在某个环内运行时，进程隔离机制将保护该进程免遭在同一环内同时运行其他进程破坏，系统将隔离在同一环内同时运行的各个进程；对于以给定的内存段，仅需三个区域〔表示三种访问模式〕，称为环界〔Ringbracket〕，R1，R2，R3分别表示该段可以写、读和运行的环界。R1R2R32、系统运行保护-2系统运行保护环内某一进程对内存某段具有写操作的特权，就不用限制该段的读与运行操作特权；如果进程对某段具有读操作的特权，那当然允许其运行该段的内容；所以，实际上总是设置：如果某段对具有较低特权的环是可写的，那么在较高特权环内运行该段的内容将是危险的，因为该段内容中可能含有破坏系统运行或偷窃系统机密信息的非法程序。I/O保护：I/O操作通常是由操作系统完成的特权操作，所有操作系统都对读写文件操作提供一个相应的高层系统调用，由于所有的I/O不是向设备写数据就是从设备接收数据，所以一个进行I/O操作的进程必须受到对设备的读写两种访问控制。R1<=R2<=R33、Unix系统标识和鉴别-1Unix系统标识和鉴别：系统上的所有都需要进行标识和鉴别，需要建立一个登录进程与用户交互以得到用于标识与鉴别的必要信息；用户提供一个唯一的用户标识给TCB；接着TCB对用户进行相应的验证；TCB必须能证实该用户确实对应于所提供的标识符，需要处理：1、在进行任何需要TCB仲裁的操作之前，TCB都应该要求用户标识他们自己，通过向每个用户提供唯一的标识，TCB维护每个用户的记账信息；2、TCB必须维护认证数据，包括证实用户身份的信息以及决定用户策略属性的信息〔比方groups〕，这些数据用来认证用户身份，并确保那些代表用户行为，位于TCB之外的主体的属性对系统策略的满足；3、TCB保护认证数据，防止被非法用户使用，即使在用户标识无效的情况下，TCB仍执行全部的认证过程，当用户连续执行认证过程，超过系统管理员指定的次数而认证仍然失败，TCB应关闭此登录会话。

3、Unix系统标识和鉴别-2Unix系统标识和鉴别：TCB必须能证实该用户确实对应于所提供的标识符，需要处理：4、TCB能维护、保护、显示所有活动用户和所有账户的状态信息。5、一旦口令被用作一种保护机制，要满足：当用户选择了一个其他用户已使用的口令时，TCB保持沉默；TCB应以单向加密方式存储口令，访问加密口令必须具有特权；在口令输入或显示设备上，TCB应自动隐藏口令明文；普通操作过程中，TCB在默认情况下禁止使用空口令；TCB提供一种保护机制允许用户更换自己的口令，这种机制重新认证用户身份；对每一个用户或每一组用户，TCB必须加强口令失效管理；

4、Unix系统访问控制-1Unix系统访问控制：在计算机系统中，平安机制的主要内容是访问控制，包含的任务是： 1、授权：确定可给予主体访问客体的权利； 2、确定访问权限〔读、写、执行、删除、追加等访问方式的组合〕； 3、实施访问权限；访问控制是指控制系统中主体〔例如进程〕对客体〔例如文件目录等〕的访问〔例如读、写和执行等〕。自主访问控制中主体对客体的访问权限是由客体的属主决定的，也就是说系统允许主体〔客体的拥有者〕可以按照自己的意愿去制定谁以何种访问模式去访问该客体。访问控制由最根本的三要素组成：

主体〔Subject〕：可以对其他实体施加动作的主动实体，如用户、进程、I/O设备等。

客体〔Object〕：接受其他实体访问的被动实体，如文件、共享内存、管道等。

控制策略〔Control

Strategy〕：主体对客体的操作行为集和约束条件集，如访问矩阵、访问控制表等。

4、Unix系统访问控制-2Unix系统访问控制：平安操作系统的核心局部是平安内核，平安内核的根底是引用监控器，它是负责实施系统平安策略的硬件与软件的结合体。访问控制依赖引用监控器进行主体对客体访问的控制，以决定主体是否有权对客体进行何种操作。引用监控器查询授权数据库〔Authorization

Database〕，根据系统平安策略进行访问控制的判断，同时将相应活动记录在审计数据库〔Audit

Database〕中。

4、Unix系统访问控制-3Unix系统访问控制：自主访问控制的特点：基于对主体的识别来限制对客体的访问，这种控制是自主的。与其他访问控制策略最大的区别在于，自主访问控制中局部具有对其他主体授予某种访问权限权利的主体可以自主地〔可以是间接地〕将访问权限或访问权限的子集授予其他主体。实现完备的自主访问控制机制，系统要将访问控制矩阵相应的信息；访问控制矩阵的每一行表示一个主体，每一列表示一个受保护的客体，矩阵中的元素表示主体可对客体进行的访问模式；基于行的自主访问控制机制在每个主体上都附加一个该主体可访问的客体的明细表，根据表中信息的不同可以分为：能力表、前缀表和口令1、能力表〔capabilitieslist〕：能力决定用户是否对客体进行访问已经进行访问的模式〔读，写，执行〕，拥有相应能力的主体可以按照给定的模式访问客体，在系统的最高层上，即与用户和文件相联系的位置，对于每个用户，系统都有一个能力表，要采用硬件、软件或加密技术对系统的能力表进行保护，防止非法修改。

4、Unix系统访问控制-4Unix系统访问控制：前缀表〔profiles〕：对每个主体赋予的前缀表，包括受保护客体名和主体对它的访问权限，当主体要访问某客体时，自主访问控制机制将检查主体的前缀是否具有它所请求的访问权。口令〔password〕：在基于口令机制的自主访问控制机制中，每个客体都相应的有一个口令。主体在对客体进行访问前，必须向操作系统提供该客体的口令；系统一般允许对每个客体分配一个口令或者对每个客体的每种访问模式分配一个口令，一个客体至少需要两个口令，一个用于控制读，一个用于写。

4、Unix系统访问控制-5Unix系统访问控制：强制访问控制〔MandatoryAccessControl——MAC〕，用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说，在强制访问控制下，用户〔或其他主体〕与文件〔或其他客体〕都被标记了固定的平安属性〔如平安级、访问权限等〕，在每次访问发生时，系统检测平安属性以便确定一个用户是否有权访问该文件。其中多级平安〔MultiLevelSecure,MLS〕就是一种强制访问控制策略。强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级〔TopSecret〕，秘密级〔Secret〕，机密级〔Confidential〕及无级别级〔Unclassified〕。其级别为T>S>C>U，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：下读〔readdown〕：用户级别大于文件级别的读操作；上写〔Writeup〕：用户级别小于文件级别的写操作；下写〔Writedown〕：用户级别等于文件级别的写操作；上读〔readup〕：用户级别小于文件级别的读操作；

4、Unix系统访问控制-6Unix系统访问控制：强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。强制访问控制采用的方法：〔1〕限制访问控制。

一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。MAC可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。〔2〕过程控制

在通常的计算机系统中，只要系统允许用户自己编程，就没方法杜绝特洛伊木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本身执行与否。〔3〕系统限制

要对系统的功能实施一些限制。比方，限制共享文件，但共享文件是计算机系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除的。

4、Unix系统访问控制-7Unix系统访问控制：依据Bell-Lapadula平安模型所制定的原那么是利用不上读/不下写来保证数据的保密性〔见图1〕。即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度平安标签实现信息的单向流通。

4、Unix系统访问控制-8Unix系统访问控制：依据Biba平安模型所制定的原那么是利用不下读/不上写来保证数据的完整性〔见图2〕。在实际应用中，完整性保护主要是为了防止应用程序修改某些重要的系统程序或系统数据库。

5、POSIX权能机制-1POSIX权能机制：权能〔capabilities〕是一种用于实现恰当特权的能力令牌；POSIX权能机制与传统的权能机制类似，为系统提供了更为便利的权能管理和控制：提供了为系统进程指派一个权能去调用或执行受限系统效劳的便携方法；同了一种使进程只能调用执行其特定任务必需权能的限制方法，支持最小特权平安策略的实现；确切说，POSIX权能机制提供了一种比超级用户模式更细粒度的授权控制，将特权划分为一个权能集合明确定义了进程获取和改变权能的语义：可继承权能集：进程的可继承权能集，决定一个进程执行程序时刻被保存的权能；程序文件的可继承权能集，决定执行该程序产生的进程可遗传给其后续进程、其父进程也拥有的权能。许可权能集：进程的许可权能集，决定当前进程允许生效的最大权能集合；程序文件的许可权能集，是确保程序执行产生的进程能够正确地完成其功能所需的权能，与调用它的进程是否具有相关权能无关。有效权能集：进程的有效权能集，决定当前进程中生效的权能集合；程序文件的有效权能集，决定程序执行产生的进程映像将拥有的有效进程权能集。5、POSIX权能机制-2POSIX权能机制：特权细分：根据POSIX标准要求，可以将超级用户特权细分为权能集合，必须满足权能选择的标注：一个权能应该允许系统使一个进程不受一个特定平安需求的约束；所定义权能的实际效果之间应该有最小交集；在支持以上两条的的根底上，权能定义得越少越好；1.CAP_OWNER该权能可以超越限制文件主ID必须等于用户ID的场合，比方改变该有效用户标识符所属的文件属性；拥有该权能可以改变文件的属主或属组；可以超越IPC的属主关系检查；两进程间通信时，真实的UID或有效UID必须相等，但拥有该权能可以超越此规那么；2.CAP_AUDIT拥有该权能可以操作平安审计机制；编写各种审计记录；3.CAP_COMPAT拥有该权能可以超越限制隐蔽通道所做的特别约束；5、POSIX权能机制-3POSIX权能机制：4.CAP_DACREAD：拥有该权能可以超越自主访问控制〔DAC〕读检查。5.CAP_DACWRITE：拥有该权能可以超越自主访问控制〔DAC〕写检查。6.CAP_DEV:当设备处于私有状态时设置或获取设备平安属性以改变设备级别并访问设备。7.CAP_FILESYS：对文件系统进行特权操作，包括创立与目录的连接、设置有效根目录、制作特别文件。进程的特权：当fork一个子进程时，父子进程的特权是一样的；但是当通过exec执行某个可执行文件时，进程的特权决定于调用进程的特权和可执行文件的特权集。每个进程具有下马两个特权集：最大特权集：包含固定的和可继承的所有特权；工作特权集：进程当前使用的特权集；6、Unix系统密码-1Unix系统密码：Linux〔redhat〕重置root密码：1.

进入grub启动界面，按e，

6、Unix系统密码-2Unix系统密码：Linux〔redhat〕重置root密码：2.光标指到kernel一行，按e，

6、Unix系统密码-3Unix系统密码：Linux〔redhat〕重置root密码：3.将其中的rhgb

quiet

替换成single，，

Grubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/rhgbquietGrubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/single6、Unix系统密码-4Unix系统密码：Linux〔redhat〕重置root密码：

6、Unix系统密码-5Unix系统密码：Linux〔redhat〕重置root密码：5.光标还是在kernel行按b，进入单用户模式，执行passwd，

6、Unix系统密码-6Unix系统密码：Linux〔redhat〕重置root密码：6.重置完密码后执行init

6,即可新密码登录系统，

7、Unix系统网络平安性-1Unix系统网络平安性：用户/文件权限的划分：

用户权限在Windows操作系统里也不陌生，但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是，即便是你在Windows操作系统里设置了多用户，但是不同的用户之间通过一定的方式，还是能够互访文件的，这就失去了权限的意义。LINUX文件权限针对的对象分三类〔互斥的关系〕：

1.user〔文件的拥有者〕

2.group〔文件拥有者所在的组，但不包括user〕

3.other〔其它用户，即user和group以外的〕LINUX用一个3位二进制数对应着文件的3种权限〔1表示有该权限，0表示无〕：

第1位读r1004

第2位写w0102

第3位执行x00117、Unix系统网络平安性-2Unix系统网络平安性：iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、效劳器或连接LAN和因特网的代理效劳器，那么该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptablesIP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规那么，这些规那么是在做信息包过滤决定时，防火墙所遵循和组成的规那么。这些规那么存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规那么被分组放在我们所谓的链〔chain〕中。虽然netfilter/iptablesIP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。netfilter组件也称为内核空间〔kernelspace〕，是内核的一局部，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规那么集。iptables组件是一种工具，也称为用户空间〔userspace〕，它使插入、修改和除去信息包过滤表中的规那么变得容易。7、Unix系统网络平安性-3Unix系统网络平安性：netfilter/iptables的最大优点是它可以配置有状态的防火墙，这是ipfwadm和ipchains等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为ESTABLISHED、INVALID、NEW和RELATED。状态ESTABLISHED指出该信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。INVALID状态指出该信息包与任何的流或连接都不相关联，它可能包含错误的数据或头。状态NEW意味着该信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联。最后，RELATED表示该信息包正在启动新连接，以及它与已建立的连接相关联。netfilter/iptables的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规那么来满足您的特定需求，从而只允许您想要的网络流量进入系统。第03节系统平安模型知识点预览#节知识点难点重点应用3WEBSEC-C02-03系统安全模型1.安全模型的特性及作用

√√2.形式化安全模型设计

√√3.状态机模型原理

√√4.完整性安全模型

√√5.多策略安全模型

√√1、平安模型的特性及作用-1平安模型的特性及作用：信息系统的平安需求：机密性〔confidentiality〕；完整性〔integrity〕；可追究性〔accountability〕；可用性〔availability〕；基于系统平安策略的定义和内涵可分为两大类：访问控制策略〔AccessControlPolicy〕：反映了系统的机密性和完整性要求；确立了相应的访问控制规那么以控制系统资源的访问；访问支持策略〔AccessSupportingPolicy〕：反映系统的可追究性和可用性要求，以支持访问控制策略的面貌的出现。1、平安模型的特性及作用-2平安模型的特性及作用：参照OSI和TCP/IP协议的层次结构，可将UNIX的平安体系结构描述分成五个层次：

策略层：主要负责进行平安策略的需求分析、平安方针的制定以及平安策略的制定：

用户层：主要是负责网络设备的人员，这对于UNIX多用户环境下的应用进程也算在其中。

主机层：包括计算机互联设备，如路由器、单一的UNIX主机等。

包过滤层：对应用OSI的三层，通过用户层的进程和包过滤规那么对IP包进行过滤。一般的包过滤算法是采用查一张规那么表来实现，它根据条件／动作这样的规那么序列来判断是前向路由还是弃包。

物理连接层：包括进行网络物理连接的设备，对应于OSI的第1、2层；网络中的各种加密设备等。对于网络信息的机密性和完整性，可以在网络上通过加密措施来实现对于UNIX这样的分布式操作系统，要保证UNIX系统的平安性，必须从系统角度来考虑，以解决UNIX系统的多级平安互通问题。对此，可采用多级平安的Socket来编程，实现多级平安的UNIX文件，进行网络的平安互通。1、平安模型的特性及作用-3平安模型的特性及作用：平安模型的目的在于明确设计开发平安系统的方针：平安模型是精确的，无歧义的；平安模型是简易和抽象的，容易被用户理解；平安模型是一般性的，只设计到平安性质，不过度地牵扯系统的功能或其实现；平安模型是平安策略的明显表达；平安模型分为两种：形式化的平安模型那么是使用数学模型，精确地描述平安性及其在系统中使用的情况；非形式化的平安模型仅仅模拟系统的平安功能；2、形式化平安模型设计-1平安策略模型应由如下两个子模型组成：对平安的定义和一套操作的规那么。为了说明形式化方法在平安系统的建立过程中所起的角色，有必要来对建立一个平安自动信息系统开发的各个阶段进行详细的描述，如图。2、形式化平安模型设计-2形式化平安模型设计高层策略目标：用来指定设计和使用计算机系统来实现什么目标；外部接口需求：是将高层策略目标应用于计算机系统的外部接口。内部需求：用来约束系统实体或部件相互之间的关系。对平安的形式化定义，通常包含内部需求和外部接口两个方面。操作规那么：用来解释内部需求是如何通过指定的访问检查和相关的行为措施来保证内部需求的正确实施。高层设计：用来指定系统部件或被控的实体的行为以及TCB接口的复杂功能描述。代码编写，涉及到硬件接口的代码，必须详细了解硬件接口标准。2、形式化平安模型设计-3形式化平安模型设计LaPadula对模型设计的层次划分，并分析出步骤与模型层次关系：第一步，确定对外接口的要求〔identityrequirementsontheexternalinterface〕，主要明确系统主要的平安需求，把他们与其他问题隔离开第二步，确定内部要求〔identityinternalrequirements〕，支持已确定的外部需求，系统必须对系统的控制对象进行限制，这些限制往往就形成了模型的平安性定义，这一步实质上把平安需求与系统的抽象进行结合，提出合理的模型变量，构造一个内部模型；第三步，为策略的执行设计操作规那么〔designrulesofoperationforpolicyenforcement〕，系统实体为获得平安限制必须遵循一定的操作规那么，就是把平安策略规那么化，确保系统在有效完成系统任务的同时，系统的状态始终处于平安状态中。2、形式化平安模型设计-4形式化平安模型设计第四步，确定什么事已经知道的〔determinewhatisalreadyknown〕，对于高平安等级操作系统的平安模型的设计必须是形式化，而且是可形式验证的，因此必须选择适当的形式标准语言，开发相应的形式验证工具。第五步，论证一致性和正确性〔demonstrateconsistencyandcorrectness〕，这一步可以说是模型的评论〔review〕阶段，具体到操作系统的平安模型的设计，主要内容包括：平安需求的表达是否准确、合理、平安操作规那么是否与平安需求协调一致，平安需求是否在模型中得到准确反映，模型的形式化与模型之间的对应性论证。第六步，论证关联性〔demonstraterelevance〕，是模型的实施阶段，对应LaPadula层次划分的功能设计层次；论述关联性应分层次进行，首先是实现的模式，其次是实现的架构，再次是模型在架构里的解释；最后是实现的对应性论证。3、状态机模型原理-1状态机模型原理：状态机模型：用模仿操作系统和硬件执行过程的方法描述了计算机系统，讲一个系统描述为一个抽象的数学状态机器。在这个模型中，状态变量表示机器的状态，转换函数或操作规那么用以描述状态变量的变化过程，是对系统应用通过请求系统调用从而影响操作系统状态的抽象。开发一个状态机模型要求采用的特定步骤：1、定义平安相关的状态变量；状态变量表示了系统的主体和客体、它们的平安属性以及主体与客体时间的存取权限。2、定义平安相关的条件；这个定义是一个不变式，表达了在状态转换期间状态变量的数值所必须始终保持的关系。3、定义状态转换函数；这些函数描述了状态变量可能发生的变化，这些所谓操作规那么的意图是限制系统可能产生的类型，而非列举所有可能的变化。4、检验函数是否维持了平安状态，为了确定模型与平安状态的定义是否一致，必须检验每项函数，要求如果系统在运行之前处于平安状态，那么系统在运行之后，仍将保持在平安状态。3、状态机模型原理-2状态机模型原理：开发一个状态机模型要求采用的特定步骤：5、定义初始状态，选择每个状态变量的值，这些值模拟系统在最初的平安状态中是如何启动。6、依据平安状态的定义，证明初始状态平安。4、完整性平安模型-1完整性平安模型：平安角度考虑，要保证信息资产的平安，主要关注信息的保密性，可用性和完整性，这个三个属性被成为信息平安的三元组。其中：保密性〔Confidentiality〕是确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体；可用性〔Availability〕是确保授权用户或实体对信息及资源的正常使用不被异常拒绝，允许其可靠而及时地访问信息。完整性是〔Integrity〕是确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。Bell-Lapadula模型：Bell-lapadula模型的系统会对系统的用户〔主体〕和数据〔客体〕做相应的平安标记，因此这种系统又被称为多级平安系统，级别和模型用于限制主体对客体的访问操作，该模型用于加强访问控制的信息保密性。使用主体，客体，访问操作〔读，写，读/写〕以及平安级别这些概念，当主体和客体位于不同的平安级别时，主体对客体就存在一定的访问限制。实现该模型后，它能保证信息不被非授权主体所访问。4、完整性平安模型-2完整性平安模型：1.平安级别为“机密〞的主体访问平安级别为“绝密〞的客体时，主体对客体可写不可读〔noreadup〕；2.当平安级别为“机密〞的主体访问平安级别为“机密〞的客体时，主体对客体可写可读；3.当平安级别为“机密〞的主体访问平安级别为“秘密〞的客体时，主体对客体可读不可写(nowritedown)。4、完整性平安模型-3完整性平安模型：

Biba模型：

Biba模型是在Bell-lapadula模型之后开发的，它跟Bell-lapadula模型很相似，被用于解决应用程序数据的完整性问题。Bell-lapadula使用平安级别〔绝密，机密，秘密等〕，这些平安级别用于保证敏感信息只被授权的个体所访问，而Biba模型不关心信息保密性的平安级别，因此它的访问控制不是建立在平安级别上，而是建立在完整性级别上。BIBA模型基于两种规那么来保障数据的完整性的保密性。下读(NRU)

属性,

主体不能读取平安级别低于它的数据；上写(NWD)

属性,

主体不能写入平安级别高于它的数据

；从这两个属性来看，我们发现Biba与BLP模型的两个属性是相反的，BLP模型提供保密性，而BIBA模型对于数据的完整性提供保障。BIBA模型并没有被用来设计平安操作系统，但大多数完整性保障机制都基于Biba模型的两个根本属性构建。4、完整性平安模型-4完整性平安模型：

Biba模型：

1．当完整性级别为“中完整性〞的主体访问完整性级别为“高完整性〞的客体时，主体对客体可读不可写〔nowriteup〕,也不能调用主体的任何程序和效劳；2．当完整性级别为“中完整性〞的主体访问完整性级别为“中完整性〞的客体时，主体对客体可写可读；3．当完整性级别为“中完整性〞的主体访问完整性级别为“低完整性〞的客体时，主体对客体可写不可读(noreaddown)；4、完整性平安模型-5完整性平安模型：

模型存取方式：

Modify，向客体中写信息，类似其他模型的“写〞存取方式；Invoke，Invoke操作仅能用于主体，假设两个主体之间有Invoke权限，那么允许这两个主体相互通信；Observe，从客体中读取信息，类似其他模型中“读〞存取方式；Execute，执行一个客体〔程序〕；非自主平安策略：基于主体和客体各自的平安级别，确定主体对客体可执行的存取方式，基于的规那么：一个主体能够持有对给定客体的modify存取方式，仅当此主体的完整级别支配该客体的完整级别；一个主体能够持有对另一个主体的invoke存取方式，仅当第一个主体的完整级别支配第二个主体的完整级别；一个主体能够持有对任何客体的observe存取方式，当主体执行了可客体的observe操作之后，主体的完整级别被置为执行存取之前主体和客体的完整级别的最小上界；多策略平安模型：过程开发模型又叫混合模型〔hybridmodel〕，或元模型〔meta-model〕,把几种不同模型组合成一种混合模型，它允许一个工程能沿着最有效的路径开展，这就是过程开发模型〔或混合模型〕。实际上，一些软件开发单位都是使用几种不同的开发方法组成他们自己的混合模型。简单平安性访问规那么时允许一个用户访问与曾经访问过的公司没有利益冲突的公司信息，简单平安性直接反映了中国墙平安策略的访问控制的机制，即初始时，一个主体可以自由访问任意的公司信息，不存在访问的强制性限制。使用矩阵来记录主体对客体的访问定律： 一旦一个主体访问过一个客体，那其他可以被该主体访问的客体必须满足：与主体访问过的客体在同一个公司数据集内，或在不同的利益冲突类中；一个主体最多只能访问每个利益冲突类的一个公司数据集；非清洁的信息只局限在本公司数据集内部，不能随意流动，而流动之后的信息可以在系统中自由的流动；5、多策略平安模型-1多策略平安模型：RBAC根本概念：基于角色的存取控制模型〔RBAC〕提供了一种强制存取控制机制，在一个采用RBAC作为授权存取控制的系统中，根据公司或组织的业务特征或管理需求，要求在系统内设置假设干个称为“角色〞的客体，用以支持RBAC授权存取控制机制的实现；在采用RBAC机制作为授权存取控制机制的系统中，由系统管理员负责管理系统的角色集合和存取权限集合，并将这些权限〔不同类别和级别〕通过相应的角色分别赋予承担不同工作职责的终端用户，还可以随时根据业务的要求或变化对角色的存取权限集和用户所拥有的角色集进行调整，也包括对可传递性的限制；在RBAC系统中，要求明确区分权限〔authority〕和职责〔responsibility〕，用户组和角色最主要的区别是，用户组作为用户的一个集合对待，并不涉及它的授权许可，而角色那么既是一个用户的集合，又是一个授权许可的集合。5、多策略平安模型-2多策略平安模型：

利益冲突是一个等价类，即一个公司的信息项只属于一个公司数据集，一个公司数据集只属于一个利益冲突类。5、多策略平安模型-3多策略平安模型：

用户-角色分配〔UA〕和权限-角色分配〔PA〕都是多对多的关系，一个用户可以有多个角色，一个角色可以赋予多个用户，同样一个角色可以有多个权限，一个权限可以分别赋予多个角色。5、多策略平安模型-4第04节平安系统结构

知识点预览#节知识点难点重点应用4WEBSEC-C02-04安全系统结构1.安全体系结构概念

√√2.安全体系结构设计原则

√√3.安全体系结构类型

√√1、平安体系结构概念-1平安体系结构概念：一个计算机系统〔平安操作系统〕的平安体系结构，主要包含：1、详细描述系统中平安相关的所有方面；包括系统可能提供的所有平安效劳及保护系统自身平安的所有平安措施，描述方式可以用自然语言，可以用形式语言；2、在一定的抽象层次上描述各个平安相关模块之间的关系；可以用逻辑框图来表达，用于在抽象层次上按满足平安需求的方式来描述系统关键元素之间的关系；3、提出指导设计的根本原理；根据系统设计的要求以及工程设计的理论和方法，明确系统设计的各方面的根本原那么；4、根底开发过程的根本框架及对应于该框架体系的层次结构，描述确保系统忠实于平安需求的整个开发过程的所有方面。

1、平安体系结构概念-2平安体系结构概念：系统开发的概念化阶段：是平安概念的最高抽象层次的处理，比方系统平安策略、要求的保障程度〔保障级别〕、系统平安要求对开发过程的影响及总体的指导原那么。系统开发的功能化阶段：当系统体系已经确定时，平安体系必须进一步细化来反映系统的结构。平安体系结构在整个开发过程中必须扮演指导者的角色，应该确立它的中心地址，要求所有开发者在开发前对平安体系结构必须达成共识，并在开发过程中自觉服从于平安体系结构，到达在指导下协同工作的目的。

2、平安体系结构设计原那么-1平安体系结构设计原那么：1、从系统设计之初就考虑平安性；2、应尽量考虑未来可能面临的平安需求； 系统要实施平安增强包括两方面问题：第一，改进系统原有的平安性； 第二，给系统增加新的平安属性；3、隔离平安控制，并使其极小化； 为了实现平安系统隔离和极小化，设计时本卷须知： 第一：并不是所有的从软件工程的角度看有效的设计原那么都很好的适用于操作平安局部的设计； 第二：尽管机制的经济性目标很难到达，但是系统中的平安相关机制还是应尽量简洁，易于确认，且相对独立，这样有利于实现附加的控制来保护它们免收系统其他局部出错时带来的危害； 第三：数据隔离必须适度，不能走极端；高度的隔离带来高平安，也会导致效率的大幅度下降；

2、平安体系结构设计原那么-2平安体系结构设计原那么：4、实施特权极小化： 最小特权原理的内涵是简洁的，对于平安操作系统的构筑，主要包括： 1.与硬件机制相关的最小特权，即硬件特权；当处理器不是以特权模式或特权域的方式进行操作时，必须限制特殊指令的使用，而且限制对某些存储区的访问，就是最小特权原理在硬件机制上的反映； 2.与软件相关的最小特权，即软件特权。是由操作系统指派给某些程序的特权，这些特权允许程序超越在用户程序上实施的常规访问控制，或调用所选择的系统函数； 3.最小特权保护用户的行为以及系统管理者的行为；5、结构化平安相关功能： 系统体系应该可以比较容易地确定系统平安相关的方面，以便可以很快地对系统的大局部进行检验，一个好的平安体系必须是：平安控制是隔离的、极小化的、对平安相关的功能有一个清晰的且易于标准的接口。

2、平安体系结构设计原那么-3平安体系结构设计原那么：6、使平安相关的界面友好： 1.平安不应当对服从平安规那么的用户造成功能影响； 2.给予用户方面应该是容易的； 3.限制用户访问时容易的； 4.建立合理的默认规那么；7、不要让平安依赖于一些隐藏的东西 系统平安体系的重要目标是让平安防止依赖于系统平安机制的任何局部的保密，就是用户不能突破系统，是因为用户没有用户手册或软件的资源列表。

3、平安体系结构类型-1平安体系结构类型：抽象体系〔abstractarchitecture〕 抽象体系从描述需求开始，定义执行这些需求的功能函数，之后定义指导如何选用这些功能函数及如何把这些功能有机组织成为一个整体的原理及相关的根本概念；在这个层次的平安体系就是描述平安需求，定义平安功能及它们提供的平安效劳，确定系统实现平安的指导原那么及根本概念。通用体系〔genericarchitecture〕 通用体系的开发是基于抽象体系的决策来进行的，定义了系统分量的通用类型〔generaltype〕及使用相关行业标准的情况，明确规定系统应用中必要的指导原那么。逻辑体系〔logicalarchitecture〕 逻辑体系就是满足某个假设的需求集合的一个设计，显示了把一个通用体系应用于具体环境时的根本情况，逻辑体系与特殊体系不同之处在于：特殊体系是使用系统的实际体系，而逻辑体系是假想的体系，是为理解或其他目的而提出的。

3、平安体系结构类型-2平安体系结构类型：特殊体系〔specificarchitecture〕 特殊平安体系要表达系统分量、接口、标准、性能和开销，说明如何把所有被选择的信息平安分量和机制结合起来以满足正在考虑的特殊系统的平安需求，信息平安分量和机制主要包括根本原那么及支持平安管理的分量。

第05节权能体系

知识点预览#节知识点难点重点应用5WEBSEC-C02-05权能体系1.权能体系概述

√√2.权能的控制及实现方法

√√3.权能体系的局限性

√√4.监视网络连接的状态5.检查路由表1、权能体系概述-1权能体系概述：权能体系—作为实现访问控制的一种通用的、可塑性良好的方法。权能为访问客体和保护客体提供了一个统一的、不可旁过的方法，权能的应用对统筹设计及简化证明过程有重要的影响；权能与层次设计方法是非常协调的，从权能机制很自然课导致使用扩展型对象来提供抽象和保护的层次；尽管对权能提供的保护及权能的创立是集中式的，但是由权能实现的保护是可适当分配的，权能具有传递能力，这样就实现了机制与策略的别离。权能体系具有的性质： 1、权能是客体在系统范围使用的名字，就是说它在整个系统中都是有效的，而且在整个系统范围内是唯一的，一个主体只有在具有客体所具有的权能的前提下才能访问该客体； 2、权能必须包含一局部用以决定该权能允许的对以它命名的客体的访问权，这局部权能决定了对该客体进行访问必需的权利； 3、权能只能由系统特殊的底层局部来创立，而且除了约减访问权之外，权能不允许修改，拥有某个权能的主体有权把它作为参数来移动、拷贝或传递。

1、权能体系概述-2权能体系概述：权能体系的组成：用于标识客体的标识符；定义客体类型的域；定义访问权的域；当一个客体被创立时，该客体的权能也随之创立，客体的初始权能包含所有对该客体的访问权，客体的创立主体可以拷贝该客体的权能给其他主体，一个权能拷贝的接受主体可以使用它来访问相应的客体，或者产生新的拷贝传给其他主体。当一个权能被传递给另一个主体时，权能的访问权可以被限制，权能的每次拷贝都有可能产生对客体的不同的访问权。传递给另一个主体的权能的访问权不能大于对该权能拷贝所获取的访问权。

2、权能的控制及实现方法-1权能的控制及实现方法：获取对权能的控制的方法：第一种是一直让权能存储在特殊的位置上；比方权能段和权能存放器；第二种是每个存储字后加上一个额外的标签比特，必须是用户不能访问的，这个标签比特确定了这个字是否包含一个权能，接着硬件按权能确定的方式来修改字；第二种方法避开了对权能如何存储、移动及拷贝的各种严格限制，因为标识符可以是指向客体的指针，可以包含客体的地址和地址上界。

3、监视网络连接的状态-1netstat命令：功能说明：显示网络状态。

语

法：netstat

[-acCeFghilMnNoprstuvVwx]

[-A<网络类型>][--ip]

补充说明：利用netstat指令可让你得知整个Linux系统的网络情况。

参

数：

-a或–all

显示所有连线中的Socket；-A<网络类型>或–<网络类型>

列出该网络类型连线中的相关地址；

-c或–continuous

持续列出网络状态；-C

或–cache

显示路由器配置的快取信息；

-e或–extend

显示网络其他相关信息；-F或

–fib

显示FIB；

-g或–groups

显示多重播送功能群组组员名单；

-l或–listening

显示监控中的效劳器的Socket；

3、监视网络连接的状态-2netstat命令：

$netstat-a #显示当前系统的信息并列出所有端口信息$netstat–nu #显示当期UDP网络的连接情况$netstat-apu #显示UDP端口号的使用情况$netstat–i #显示网卡列表$netstat–g #显示组播组的关系

4、检查路由表-1route命令：功能：设置和查看路由表；命令格式：#route[add|del][-net|-host]target[netmaskNm][gwGw][[dev]If][参数][主机]举例：命令参数：add:添加一条路由规那么；del:删除一条路由规那么；-net:目的地址是一个网络；-host:目的地址是一个主机；target:目的网络或主机；

$routebaidu #route简单、常用的方法来获 #取数据包从出发点到目的地的路由路径

4、检查路由表-1route命令输出项说明：

输出项说明Destination目标网段或者主机Gateway网关地址，“*”表示目标是本主机所属的网络，不需要路由Genmask网络掩码Metric路由举例，到达指定网络所需的中转数Ref路由项引发次数Use此路由被路由软件查找的次数FlagU–路由是活动的H–目标是一个主机G–路由指向网关R–恢复动态路由产生的表项Iface该路由表项对应的输出接口第06节Flask平安体系

知识点预览#节知识点难点重点应用6WEBSEC-C02-06Flask安全体系1.Flask安全体系概述

√√2.Flask体系策略分析

√√3.Flask体系设计与实现

√√4.常规支持机制√5.其他flask对象管理器√1、Flask平安体系概述-1Flask平安体系概述：Flask体系结构是策略可变通性的实现成为了可能，通过对Flask体系的微内核操作系统的原型实验说明，成功克服了策略可变通性带来的障碍；平安机构中机制和策略的清晰区分，使得系统可以使用比以前更少的策略来支持更多的平安策略集合；Flask包括一个平安策略效劳器来制定访问控制决策，一个微内核和系统其他客体管理器框架来执行访问控制决策；由直接集成到系统的效劳来提供组件的执行机制，支持精细访问控制和运行对以前授予访问权限的撤回的动态策略，有原始的性能结论和对编码变化的数量和扩散统计显示，系统平安策略的可变通性的影响被降低到最小；在最高层抽象中，Flask可变通性平安模式与访问控制通用框架〔GFAC〕是一致的，GFAC模式假定系统所有的控制操作是由同样的策略考虑的原子操作来执行的，在实际系统中难以到达。

1、Flask平安体系概述-2Flask平安体系概述：Flask原型是一个基于微内核的操作系统来实现，支持硬件强行对进程地址空的别离；lask平安体系结构提供从平安效劳器检索访问、标记和多例化判定的接口。访问判定指主体对客体操作的一个权限是否得到批准。标记指分配给一个客体的平安属性标签。多例化判定指一个特定的请求应该从多例化资源中选取哪一个。Flask平安体系结构还提供一个访问向量缓存〔AVC〕模块，该模块允许从客体管理器缓存中直接取出缓存的判定结果，以提高执行速度。Flask框架的平安效劳器的平安策略由四个子策略组成：多级平安〔MLS〕策略、类型加强〔TE〕策略、基于标识的访问控制〔IBAC〕策略和基于角色的访问控制〔RBAC〕策略。平安效劳器提供的访问判定必须满足每个子策略的要求。

1、Flask平安体系概述-3Flask平安体系概述：平安效劳器定义了一个由类型加强〔TE〕策略、基于角色的访问控制〔RBAC〕策略和多级平安〔MLS〕策略组合成的策略决策系统。其中，TE和RBAC策略是平安策略的必要局部，MLS策略是可选的，当内核配置选项CONFIG_FLASK_MLS翻开时，系统提供MLS策略支持。Flask体系结构为平安标记定义了两个独立于策略的数据类型：平安上下文〔context〕和平安标识符〔SID〕。平安上下文是由可变长字符串表示的平安标记，存在于文件的扩展属性中。SID是被平安效劳器映射到对应平安上下文的整数。Flask客体管理器负责将平安标签绑定到客体上、绑定SID到内核对象上。一个平安上下文〔或称为标签〕由用户ID、角色、类型和可选的MLS分级属性或分类属性组成。角色仅与进程相关，因而文件平安上下文有一个通用的object_r的角色。