操作系统的安全与保护

第七章操作系统的平安与保护

7.1平安性概述7.2平安策略7.3平安模型7.4平安机制7.5平安操作系统的设计和开发7.6实例研究：平安操作系统SELinux7.7实例研究：Windows2000/XP平安机制精选ppt7.1平安性概述计算机平安性根本内容是对计算机系统的硬件、软件、数据加以保护，不因偶然或恶意原因而造成破坏、更改和泄露，使计算机系统得以连续正常地运行。物理方面和逻辑方面操作系统平安性、网络平安性、数据库平安性精选ppt操作系统平安性主要内容平安策略。描述一组用于授权使用其计算机及信息资源的规那么。平安模型。精确描述系统的平安策略，它是对系统的平安需求，以及如何设计和实现平安控制的一个清晰全面的理解和描述。平安机制。实现平安策略描述的平安问题，它关注如何实现系统的平安性，包括：认证机制(Authentication)、授权机制(Authorization)、加密机制(Encryption)、审计机制(Audit)、最小特权机制(LeastPrivilege)等。精选ppt平安威胁来自这些方面1硬件2软件3数据4网络和通信线路精选ppt7.2平安策略

7.2.1平安需求和平安策略操作系统平安需求指设计一个平安操作系统时期望得到的平安保障，一般要求系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取。精选ppt操作系统的平安需求机密性(confidentiality)需求为秘密数据提供保护方法及保护等级的一种特性。完整性(integrity)需求系统中的数据和原始数据未发生变化，未遭到偶然或恶意修改或破坏时所具有的一种性质。可记帐性(accountability)需求又称审计，指要求能证实用户身份，可对有关平安的活动进行完整记录、检查和审核，以防止用户对访问过某信息或执行过某操作的否认可用性(availability)需求防止非法独占资源，每当合法用户需要时保证其访问到所需信息，为其提供所需效劳。精选ppt平安策略和平安系统平安策略指用于授权使用其计算机及信息资源的规那么、即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细那么。一个系统可以有一个或多个平安策略，其目的是使平安需求得到保障。一个计算机系统是平安系统，是指该系统到达了设计时所制定的平安策略的要求，一个平安的计算机系统从设计开始，就要考虑平安问题。平安策略是构建可信系统的坚实根底，而平安策略的制定取决于用户的平安需求。精选ppt平安策略分成两类

(1)军事平安策略主要目的是提供机密性，同时还涉及完整性、可记帐性和可用性。用于涉及国家、军事和社会平安部门等机密性要求很高的单位，一旦泄密将会带来灾难性危害。(2)商业平安策略主要目的是提供完整性，但不是惟一的，也涉及机密性、可记帐性和可用性。它要满足商业公司的数据不被随意篡改。例如，一个银行的计算机系统受到完整性侵害，客户账目金额被改动，引起金融上的严重后果。精选ppt一个根本概念--TCB操作系统的平安依赖于具体实施平安策略的可信软件和硬件，计算机系统内平安保护装置的总体，包括硬件、固件、可信软件和负责执行平安策略的管理员的组合体称为可信计算基TCB(TrustedComputingBase)，它建立了一个根本的保护环境并提供一个可信计算机系统所要求的附加用户效劳。精选pptTCB的组成操作系统的平安内核、具有特权的程序和命令、处理敏感信息的程序、实施平安策略的有关文件、相关的固件、硬件和设备、固件和硬件的诊断程序、平安管理员等。TCB的软件局部是平安操作系统的核心，它能完成以下任务：内核的平安运行、标识系统中的每个用户、保持用户到TCB登录的可信路径、实施主体对客体的访问控制、维护TCB功能的正确性和监视及记录系统中发生的有关事件。精选ppt7.2.2访问支持策略

这类平安策略是为了把系统中的用户与访问控制策略中的“主体〞挂起钩来，用户欲进入系统必须要经过“身份认证〞，确保试图访问资源的主体实际上就是他声称的主体，于是他才能成为系统中的合法用户，才能访问被授权的相应资源。精选ppt(1)标识与鉴别1)用户标识(identification)：用来标明用户身份，确保用户的惟一性和可识别性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他平安策略，如用户数据保护和平安审计的根底。通过为用户提供标识，TCB能使用户对自己的行为负责。2)用户鉴别(authentication)：用特定信息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有效实施其他平安策略的根底。精选ppt三类信息用作身份标识和鉴别用户知道的信息用户拥有的东西用户的生物特征利用其中的任何一类都可进行身份认证，但假设能利用多类信息，或同时利用三类中的不同信息，会增强认证机制的有效性和强壮性。精选ppt(2)可记帐性

要求任何影响系统平安性的行为都被跟踪和记录在案，平安系统拥有把用户标识与它被跟踪和记录的行为联系起来的能力。审计信息必须有选择性的保存和保护，所有与平安相关的事件记录在审计日志文件中，所有审计数据必须防止受到未授权的访问、修改和破坏，以作为日后对事件调查的依据。审计系统能记录以下事件：和标识与鉴别机制相关的事件、将客体导入用户地址空间的操作、删除客体、系统管理员执行的操作及其他与平安相关的事件。精选ppt(2)确切保证和连续保护

确切保证指系统事先制定的平安策略能得到正确执行并且平安系统能正确可靠地实施平安策略的意图，为此，把住平安系统从设计、开发、安装和维护的各个环节，基于硬件、固件、软件来保证系统内信息的平安，防止可能造成的保护机制失效或被旁路的未授权的改变。连续保护策略要求平安系统必须连续不断地保护系统免遭篡改和非授权改变，如果用来实现平安策略的根底硬件、固件、软件自身容易受到篡改和破坏，那么没有任何一种计算机系统是平安的，也就不可能实现连续保护。精选ppt(3)客体重用

指重新分配给某些主体的介质，如页框、磁带、盘块、软盘、可擦光盘等，为到达平安地再分配的目的，在TCB平安控制范围内的存储介质作为系统资源被动态再分配给新主体时，必须确保其中不能包含任何客体残留信息，以防止造成泄密。所以，可信计算基TCB应确保：1)非授权用户不能查找在使用后返还系统的资源中的内容；2)非授权用户不能查找现已分配给他的资源中以前的内容；3)系统应确保数据未被未授权用户修改正；4)系统自身和系统中的数据应保持准确和一致地反映用户意图的状态。精选ppt(5)隐蔽信道分析是指可以被进程用来以违反系统平安策略的方式进行非法传输信息的通信通道，有两类隐蔽信道：存储隐蔽信道和时间隐蔽信道。精选ppt(6)可信路径和可信恢复

可信路径是一种实现用户与可信计算基TCB之间进行直接交互作用的机制，当连接用户时(如登录、更改主体平安级)，可信计算基TCB应提供它与用户之间的可信的通信路径，该路径上的通信只能由用户和TCB激活，不能由其他软件(恶意软件)模仿，且在逻辑上与其他路径上的通信隔离，并能正确加以区分。精选ppt7.2.3访问控制策略

1.

访问控制属性与访问控制策略相关的因素有三类：主体、客体和主客体属性。(1)主体是主动的实体，是系统内行为的发起者，通常它是用户和代表用户的进程，系统中所有事件请求几乎都是由主体激发的。系统的合法用户可分成：

·普通用户(进程)，·信息属主(进程)，·系统管理员(进程)，精选ppt(2)客体是一个被动的实体，是系统内所有主体行为的直接承担者，它常被分成：1)一般客体，系统内以具体形式存在的信息实体，如文件、目录、数据和程序等。2)设备客体，指系统内的硬件设备，如磁盘、磁带、显示器、打印机、网络节点等。3)特殊客体，有时一些进程是另外一些进程行为的承担者，那么，这类进程也是客体的一局部。精选ppt(3)主客体属性(敏感标记)是TCB维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记，这些平安标记是实施自主或强制访问的根底。精选ppt1)主体属性它是用户特征，是系统用来决定访问控制的常用因素，一个用户的任何一种属性都可作为访问控制决策点，一般系统访问控制策略中常用的用户属性有：a)用户ID/用户组ID：b)用户访问许可级别：

C)用户需知属性：

d)角色：

e)权能列表：

精选ppt2)客体属性与系统内客体相关联的属性也作为访问控制策略的一局部，客体平安属性有：a)敏感性标记：信息按“平安等级〞进行分类，如“公开信息〞、“机密信息〞、“秘密信息〞、“绝密信息〞；还可将系统内的信息按非等级分类，进行模拟人力资源系统的划分，称“范畴〞，如参谋部、作战部、后勤部等，系统内信息的敏感性标记由等级与非等级两局部组成：敏感性级别和范畴。精选pptb)访问控制列表与客体相关联的有一个“访问控制列表〞，用来指定系统中哪些用户和用户组可以以何种模式访问该客体的一种列表。精选ppt其他3)外部状态：

4)数据内容和上下文环境：

精选ppt(4)用户与主体绑定用户进程是固定为某特定用户效劳的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。系统进程是动态地为所有用户提供效劳的，它的权限随着服实对象的变化而改变，这需要将用户的权限与为其效劳的进程的权限动态地相关联。这也就是说，一个进程在不同时刻对一个客体有不同的访问权限，取决于它当时所执行的任务。当进程在执行正常的用户态应用程序时(用户进程)，它所拥有的权限与其代表的用户有关；当进程进行系统调用时，它开始执行内核函数(系统进程)，此时运行在核心态，拥有操作系统权限。精选ppt

2自主访问控制策略

本策略根据系统中信息属主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限，这一点上对信息属主是“自主的〞。这样一来，它能提供精细的访问控制策略，能将访问控制粒度细化到单个用户(进程)。按照系统访问控制策略实现的访问控制机制，能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问权限，没有访问权限的用户，只允许由授权用户指定其对客体的访问权。精选ppt4强制访问控制策略

在强制访问控制机制下，系统内的每个用户或主体被赋予一个许可标记或访问标记，以表示他对敏感性客体的访问许可级别；同样，系统内的每个客体被赋予一个敏感性标记(sensitivitylabel)，以反映该客体的平安级别。平安系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问请求权限。精选ppt7.3平安模型

7.3.1平安模型概述平安模型是对平安策略所表达的平安需求的精确、无歧义抽象描述，在平安策略与平安机制的关联之间提供一种框架。平安模型本身描述了平安策略需用哪种机制满足，模型的实现描述了如何将特定机制应用于系统中，从而，实现某种平安策略所需的平安与保护。平安模型分为：形式化和非形式化两种，非形式化平安模型仅模拟系统的平安功能，其开发过程为：从平安需求出发，推出功能标准，再实现平安系统，其间主要采用了论证与测试技术；而形式化平安模型使用数学模型来精确地描述平安性及其在系统中使用的情况，其开发途径为：建立抽象模型，推出形式化标准，通过证明方法来实现平安系统。精选ppt平安模型分类

平安模型分为：形式化和非形式化两种，非形式化平安模型仅模拟系统的平安功能，其开发过程为：从平安需求出发，推出功能标准，再实现平安系统，其间主要采用了论证与测试技术；而形式化平安模型使用数学模型来精确地描述平安性及其在系统中使用的情况，其开发途径为：建立抽象模型，推出形式化标准，通过证明方法来实现平安系统。精选ppt形式化开发途径开发平安系统首先必须建立平安模型，通过形式化平安模型来模拟平安系统，从而，可以正确地综合系统的各类因素，如使用方式、应用环境类型、授权的定义、共享的客体(系统资源)、共享的类型等，所有这些因素构成平安系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、逻辑上能实现程序受控制的执行的。精选ppt状态机模型在当前技术条件下，平安模型都采用状态机模型，该模型将系统描述成一个抽象的数学状态机器，状态变量表示机器的状态；转移函数或操作规那么描述状态变量的变化过程，它是对系统应用通过请求系统调用来影响操作系统状态的这种方式的抽象。精选ppt7.3.2几种平安模型简介

对状态机模型进行改进，一类是把系统状态中与平安相关的因素概括在一个访问矩阵中；另一类引入“格〞概念，它是一个有限偏序集，有最小上界和最大下界操作符的数学结构，利用格的性质来约束平安系统中的变量，以实现多级平安策略，平安模型分成：基于访问控制矩阵的平安模型和基于格的平安模型。精选ppt(1)Lampson访问控制矩阵模型客体被认为是存储器，访问控制检查不基于存储的内容值而是基于系统的状态，系统状态中与平安相关的因素概括在访问矩阵中，由三元组(S,O,M)决定，访问权限集包含读、写、追加、修改和执行等。系统中状态的改变取决于访问矩阵M的改变，一个独立的状态机构成一个系统，因而，访问矩阵也称为系统的“保护状态〞。系统中所有主体对客体的访问均由“引用监视器〞控制，它的任务是确保只有那些在访问矩阵中获得授权的操作才被允许执行。精选ppt(2)Graham-Denning模型此模型的保护性能更具有一般性，对主体集合S、客体集合O、权力集合R和访问控制矩阵A进行操作。主体有一行，每个主体及所有客体都有一列，一个主体对于另一个主体或对于一个客体的权力用矩阵元素的内容来表示。对于每个客体，标明为“拥有者〞的主体有特殊权力；对于每个主体，标明为“控制者〞的另一主体有特殊权力。本模型中，设计了8个根本保护权，构造一个保护系统的访问控制机制模型所必需的性质，这些权力被表示成主体能够发出的命令，作用于其他主体或客体。精选ppt(3)Harrison-Ruzzo-Ullman模型

主体客体S1S2S3O1O2O3拥有/读/S1控制挂起/拥有拥有扩展恢复S2控制扩展拥有S3控制读/写写读…图7-1HRU模型的访问控制矩阵精选ppt(4)Bell-LaPadula模型是最早和最常用的适用于军事平安策略的操作系统多级平安模型，其目标是详细说明计算机的多级平安操作规那么。BLP模型中，将主体定义为能发起行为的实体，如进程；将客体定义为被动的主体行为的承担者，如文件、目录、数据；将主体对客体的访问分为：只读、读写、只写、执行、控制等访问模式，控制是指主体用来授予或撤销另一主体对某客体的访问权限的能力。精选pptBLP模型的平安策略包括：自主平安策略和强制平安策略，前者使用一个访问矩阵表示，其中，第i行第j列的元素Mij表示主体Si对客体Oj的所有允许的访问模式，主体只能按在访问矩阵中被授予对客体的访问权限对客体进行访问；后者包括简单平安特性和*特性，系统对所有主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体和客体的访问类属性控制主体对客体的访问。精选pptBLP模型两条根本规那么1)简单平安特性规那么一个主体对客体进行读访问的必要条件是主体的平安级支配客体的平安级、即主体的平安级别不小于客体的保密级别，主体的范畴集包含客体的全部范畴，或者说主体只能向下读，不能向上读。2)*特性规那么一个主体对客体进行写访问的必要条件是客体的平安级支配主体的平安级、即客体的保密级别不小于主体的保密级别，客体的范畴集包含主体的全部范畴，或者说主体只能向上写，不能向下写。

精选ppt多级平安规那么

R违反规则1公开进程机密进程机密文件公开文件WWRRRWW违反规则2精选ppt(5)D.Denning信息流模型有些信息泄露问题(如隐蔽信道)不是因为访问控制机制不完善，而是由于缺乏对信息流的必要保护引起的。在系统中，一个主体S能否获得资源R所包含的信息?这种情况下，主体S不必具有对R的实际访问权限，信息可能经由其他主体到达S，或者信息只是简单地被复制到S可以访问的资源中。

精选ppt控制原理信息流模型是存取控制模型的一种变形，它不检查主体对客体的存取，而是试图控制从一个客体到另一个客体的信息传输过程，根据两个客体的平安属性来决定是否允许当前操作的执行。隐蔽信道的核心是低平安级主体对高平安级主体所产生的信息的间接存取，信息流分析能保证操作系统在对敏感信息存取时，不会把数据泄露给调用者。精选ppt7.4平安机制

优秀的硬件保护设施是实现高效、平安、可靠的操作系统的根底，计算机硬件平安的目标是保证其自身的可靠性，并为操作系统提供根本的平安设施，常用的有：内存保护、运行保护和I/O保护等。1内存保护1)下界和上界存放器法2)基址和限长存放器法精选ppt3)内存块锁与进程钥匙配对法

PSW的其余部分钥匙内存锁0110块1101块0101块0110块

0110进程精选ppt(2)支持虚拟内存的系统

进程的存储空间的隔离可以很容易地通过虚拟存储器的方法来实现，分段、分页或段页式，提供了管理和保护主存的有效方法，这类系统通过段表、页表和段页表间接地访问虚拟内存的一个段或一个页。由于表对于进程是私有的，因此，通过在有关表项中设置保护信息，每个进程可以对该进程能(私有或共享)访问的任何段或页面具有不同的访问权限，在每次地址转换时执行必需的权限检查。精选ppt(3)沙盒技术在大多数操作系统中，一个进程调用的函数会自动继承调用进程的所有访问特权，特别是可以访问进程的整个虚拟内存。假设函数是不可信的，如Internet上下载的程序(很可能带有特洛伊木马)，这种不受限制的访问是不允许的，会给系统造成严重威胁。为了限制不可信程序造成潜在损害的范围，系统可限制特权为调用进程所具有的授权的一小局部特权，通常称这种缩小访问后的环境为“沙盒〞。精选ppt2运行保护平安操作系统很重要的一点是进行分层设计，而运行域正是一种基于保护环的层次等级式结构。运行域是进程运行的区域，最内层具有最小环号的环拥有最高特权，最外层具有最大环号的环拥有最小特权，一般的系统不少于3至4个环。精选ppt处理器模式扩展了操作系统的访问权限

用户空间系统空间用户进程系统进程运行在内户态运行在核心态不可执行特权指令可执行特权指令精选pptVAX/VMS操作系统的四种模式构成保护环处理器模式决定了：指令执行特权、即处理器当前可执行的指令系统子集；随当前模式而增减的存储访问特权、即当前指令可以存取的虚拟内存的位置。·内核(kernel)态。执行VMS操作系统的内核，包括内存管理、中断处理、I/O操作等。·执行(executive)态。执行操作系统的各种系统调用，如文件操作等。·监管(supervisor)态。执行操作系统其余系统调用，如应答用户请求。·用户(user)态。执行用户程序，如编译、编辑、链接、排错等实用程序和各种应用程序。精选ppt3I/O保护

CPU与计算机系统相连接的各种外围设备通信时，必须读写设备控制器提供的各种存放器，对这类存放器的访问可采用两种途径：内存映射接口和I/O指令(集)。精选ppt7.4.2认证机制

1用户身份的标识与鉴别认证机制主要包括标识与鉴别，标识就是操作系统识别用户的身份，并把它转换为系统内部识别码—用户标识符，它是惟一的且不能被伪造，以防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称鉴别，该过程主要用于识别用户的真实身份，该操作需要用户具有能够证明其身份的特殊信息，且这些信息是秘密的和独一无二的，任何其他用户都不会拥有。

精选ppt多级平安操作系统认证过程不但要完成一般的用户管理和登录，如检查登录的用户名和口令、赋予用户的惟一标识用户ID和组ID，还要核对用户申请的平安级、计算特权集、审计屏蔽码。检查用户平安级就是检验其本次申请的平安级是否在系统平安文件档案中定义的该用户平安级范围之内。精选ppt2UNIX/Linux系统标识和鉴别系统的/etc/passwd文件含有全部系统掌握的关于每个用户的登录信息，加密后的口令存于/etc/shadow文件中，口令文件包含：用户登录名、加密过的口令、口令时限、用户号uid、用户组号gid、用户注释、用户主目录和用户使用的shell程序。精选ppt3Kerberos网络身份认证

2b2a3b3a1b1a客户机A认证服务器(AS)应用服务器B图7-5Kerberos体系结构票证颁发服务器(TGS)密钥分发中心(KDC)口令KAT+tg_ticketAUTTGS+tg_ticketKAB+sg_ticketAUTB+sg_ticketKAB+结果精选ppt精选ppt精选ppt精选ppt精选ppt精选ppt精选ppt7.4.3授权机制

1权授机制的功能经典的计算机系统两种机制的关键点，当一个用户试图访问计算机系统时，认证机制首先标识与鉴别用户身份用户进入系统后，再由授权机制检查其是否拥有使用本机资源的权限及有多大的访问权限。授权机制的功能是授权和存取控制，其任务是：·授权，确定给予哪些主体存取哪些客体的权力。·确定存取权限，通常有：读、写、执行、删除、追加等存取方式。·实施存取权限。精选ppt认证和授权

用户1认证机制授权机制主体1主体1可访问的资源计算机系统主体2用户2主体1、主体2可访问的资源精选ppt平安系统模型

安全策略访问监控器访问权限授权机制主体客体OS精选ppt2自主存取控制机制

是用来决定一个用户是否有权访问一些特定客体的一类访问约束机制，这种机制下，资源属主可以按照自已的意愿精确指定系统中的其他用户对其资源的访问权、故称自主存取控制。

精选ppt(3)基于行的自主存取控制机制

在每个主体上都附加一个该主体可访问的客体明细表，根据表中信息的不同又可分成3种：精选ppt权能表

进程ID1的CL：文件X(rw-);程序Y(r--);进程IDn的CL：内存段Z(rw-);程序Y(r-x);……精选ppt2)前缀表对每个主体赋予前缀(Profiles)表，它包含受保护的客体名和主体对它的访问权限，每当主体访问某客体时，自主存取控制机制将检查主体的前缀是否具有它所请求的访问权。精选ppt3)口令表(PasswordsList)

在基于口令表的自主存取控制机制中，每个客体都有一个口令，主体在对客体访问前，必须向平安系统提供该客体的口令，如果正确便允许访问。精选ppt(1)基于列的自主存取控制机制

存取控制表ACL(AccessControlList)是十分有效的自主访问控制机制，被许多系统采用。此机制如下实现，在每个客体上都附加一个可访问它的主体的明细表，表示存取控制矩阵，表中的每一项都包括主体的身份和主体对该客体的访问权限。精选pptACL和优化ACL

PID1,r-xPID2,rw-PID3,--xPID4,rwx……客体Y(a)存取控制表文件XPID1GROUP5rwx*GROUP5--xPID3*---**r--(b)优化的存取控制表

精选ppt(3)自主存取控制机制实现举例

1)“拥有者/同组同户/其他用户〞模式2)“存取控制表ACL〞和“拥有者/同组同户/其他用户〞结合模式在平安操作系统UNIXSVR4.1中，采用“存取控制表ACL〞和“拥有者/同组同户/其他用户〞结合的实现方法，ACL只对于“拥有者/同组同户/其他用户〞无法分组的用户才使用。精选ppt3强制存取控制机制强制存取控制用于将系统中的信息分密级和范畴进行管理，保证每个用户只能够访问那些被标明能够由他访问的信息的一种访问约束机制。系统中每个主体(进程)，每个客体(文件、消息队列、信号量集、共享存储区等)都被赋予相应的平安属性，这些平安属性不能改变，它由平安系统(包括平安管理员)自动地按严格的规那么设置，而不是像存取控制表那样由用户或用户程序直接或间接修改。精选ppt实现多级平安访问控制机制必须对系统的主体和客体分别赋予与其身份相对称的平安属性的外在表示--平安标签，它有两局部组成：{平安类别：范畴}精选ppt(1)平安类别—有等级的分类

平安级别：也称密级，系统用来保护信息(客体)的平安程度。敏感性标签：客体的平安级别的外在表示，系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限。许可级别：进程〔主体〕的平安级别，用来判定此进程对信息的访问程度。许可标签：进程的平安级别的外在表示，系统利用进程的平安级别来判定此进程是否拥有对要访问的信息的相应权限。精选ppt(2)范畴—无等级概念范畴是该平安级别信息所涉及的部门。精选ppt公司内可以建立信息平安类别ConfidentialRestricted(技术信息)、Restricted(内部信息)Unrestricted(公开信息)；军事部门的信息平安类别TopSecret(绝密)、Secret(秘密)、Confidential(机密)和Unclassified(公开)。精选ppt公司内的范畴Accounting(财务部)、Marketing(市场部)、Advertising(广告部)、Engineering(工程部)和Reserch&Development(研发部)。在公司内，财务部经理与市场部经理虽然级别相同〔都是经理〕，但由于两人分属不同部门〔财务部负责财务，市场部负责市场〕，从而，分属两个不同的范畴〔Accounting、Marketing〕，故市场部经理是不能够访问财务部经理的信息的。精选ppt4特殊授权机制—最小特权原理为了使系统能正常运行，系统中的某些进程，如平安管理员、网络管理员和系统操作员，需要具有一些可违反平安策略的操作能力，定义一个特权就是定义一个可违反系统平安策略的操作能力。必须实行最小特权(LeastPrivilegePrinciple)原理。精选ppt最小特权原理指：系统中的每个主体只能拥有与其操作相符的必须的最小特权集，特别是不应给超级用户超过执行任务所需特权以外的特权。POSIX中指出要想在系统获得平安性方面到达合理的保障程度，必须严格地实施最小特权原理。精选ppt超级用户的特权划分使每个特权用户仅具有完成其任务所需的特权，就能以此减少由于特权口令丧失、恶意软件、误操作引起的损失。例如，可在某系统中规定5个特权管理职责，任何一个都不能获取足够的权力被坏系统平安策略，5个特权职责为：系统平安管理员、审计员、常规操作员、平安操作员和网络管理员。精选ppt7.4.4加密机制加密(encrytion)是用某种方式伪装信息以隐藏它的内容的过程。加密的关键是要能高效地建立从根本上不可能被未授权用户解密的加密算法，以提高信息系统及数据的平安性和保密性，防止信息被窃取与泄密。数据加密技术可分两类：一类是数据传输加密技术，目的是对网络传输中的数据流加密，又分成链加密和端加密。另一类是数据存储加密技术，目的是防止系统中存储的数据的泄密，又分成文件级(对单个文件)加密和驱动器级(对逻辑驱动器上的所有文件)加密。精选ppt数据加密模型

明文密文原始明文加密算法解密算法加密密钥解密密钥精选ppt密码系统功能

·秘密性。解决信息泄漏问题，防止非法的信息接受者窃取信息。·鉴别性。解块发送者的真实性问题，信息接受者能确认信息来源、即此信息确实是由发送方传送而非别人伪造。·完整性。解决信息被修改或损坏问题，信息接受者能验证信息没有被修改，也不可能被假消息所替代。·防抵赖。发送者在事后不可能虚假地否认其发送的信息。

精选ppt基于密钥的算法分两类

(1)对称算法又称传统密码算法，就是加密密钥能够从解密密钥中推算出来，反之也成立，加密/解密密钥是相同的，算法的平安性依赖于密钥，泄漏密钥就意味着任何人都能对信息加密和解密。对称算法分为两种：一种是一次只对明文中的字位(有时对字节)运算的算法称序列算法或序列密码；另一种对明文中的一组字位运算，这些位组称分组，相应算法称分组算法或分组密码。现代计算机密码的典型分组长度为64位，这个长度大到足以防止分析破译，但又小到足以方便使用。精选ppt(2)公开密钥算法

又称非对称密码算法，是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来。之所以称公开密钥算法，是因为加密密钥可以公开、即其他人能用加密密钥来加密信息，但只有用相应的解密密钥才能解密信息，因此，加密密钥叫做“公开密钥〞，解密密钥叫做“私人密钥〞。精选ppt2根本的加解密算法

根本的加解密方法只有两种：代替密码和换位密码。密码算法在早期是基于字符，现在那么基于字位进行代替和换位。(1)代替密码1)简单代替密码：2)多名码代替密码：3)多字母代替密码：4)多表代替密码：精选ppt(2)换位密码

明文：FirsttruedigitalcomputerwasdesignedbytheEnglishCharlesBabbage.

FirsttruedigitalcomputerwasdesignedbytheEnglishCharlesBabbage.密文：FaegbilslbrciiasogsgtmnsetpeC.rudhutbaeeyrdrtliwhegaesisEBtdna纵行换位密码示例精选ppt3计算机密码算法(1)数据加密标准DES(DataEncryptionStandard)是最通用的计算机加密算法，它是美国和国际标准，用于政府和商业应用，这是一种对称算法，加密和解密密钥是相同的，70年代中期由美国IBM公司开发出来的，DES这套加密方法至今仍被公认是平安的。精选ppt(2)RSA(Rivest，Shamir，Adleman)

是最流行的公开密钥算法，已成为事实上的国际标准，能被用作加密和数字签名。DES属于传统加密算法，要求加解密的密钥是相同的(对称的)，加密者必须用非常平安的方法把密钥送给解密者。如果通过计算机网络来传送密钥，那么密钥又有泄密的可能。解决这一问题的最彻底的方法是不分配密钥，这种方法就是公开密钥法。要求密钥是对称的，并不是一个必要条件，可以设计出一个算法，加密用一个密钥，而解密用有联系的另一个密钥。精选ppt根本技术·网中每个节点都产生一对密钥，用来对它接收的消息加密和解密。·每个系统都把加密密钥放在公共的文件中，这是公开密钥，另一个设为私有的，称私有密钥。·假设A要向B发送消息，它就用B的公开密钥加密消息。·当B收到消息时，就用私钥解密。由于只有B知道其私钥，于是没有其他接收者可以解出消息。公开密钥法的主要缺点是算法复杂，开销大、效率低。精选ppt(3)数字签名算法DSA(DigitalSignatureAlgorithm)

是另一种公开密钥算法，但仅用作数字签名。精选ppt4数字签名(1)简单的数字签名1)发送者A可使用私有解密密钥对明文进行加密，形成的密文传送给接收者B。2)B可利用A的公开加密密钥对所得密文进行解密，便得到明文。因为，除了A之外，谁也不具有解密密钥，因此，也只有A才能送出用他的解密密钥加密过的密文。3)如果A要抵赖，只需出示他的解密密钥加密过的密文，使其无法抵赖。精选ppt(2)保密数字签名

上述方法解决数字签名，但不能到达保密的目的，因为任何人都能接收密文，并可用A的公开加密密钥对所得密文进行解密。为了使A所传送的密文只让B接收，可按下面步骤进行：1)发送者A可使用私有解密密钥对明文进行加密，得到密文1，2)A再用B的公开加密密钥对密文1进行加密，得到密文2再传送给B，3)B收到后，先用自己的私有密钥对密文2进行解密，得到了密文1，4)B再利用A的公开加密密钥对所得密文1进行解密，于是得到了明文。

精选ppt5网络加密防止网络资源被窃取、泄漏、篡改和被破坏的最好方法是网络加密，那么，要决定加密什么，在网络中何处加密?通常有两种网络加密技术：链-链加密和端-端加密。·链-链加密·端-端加密·链-链加密和端-端加密的组合精选ppt7.4.5审记机制

审计(auditing)就是对系统中有关平安的活动进行完整记录、检查及审核。作为一种事后追踪手段来保证系统的平安性，是对系统平安性实施的一种技术措施，也是对付计算机犯罪者们的利器。其目的是检测和阻止非法用户侵入系统，显示合法用户的误操作，进行事故发生前的预测和报警，提供事故发生后分析处理的依据，如违反系统平安规那么的事件发生的地点、时间、类型、过程、结果和涉及的主体、客体及其平安级别。精选ppt审计内容和设施1审计事件2审计记录和审计日志精选ppt3审计机制的实现

实现审计机制，首先要解决系统中所有平安相关的事件都能被审计到，操作系统的用户接口主要是系统调用，也就是说，当用户请求系统效劳时，必定使用系统调用。因此，把系统调用的总入口的位置称作审计点，在这儿增加审计控制，就可成功地审计系统调用，也就全面地审计了系统中所有使用内核效劳的事件。精选ppt7.4.6防火墙

1防火墙的功能(1)访问控制(2)网络平安事件审计和报警(3)其他功能精选ppt防火墙

Internet防火墙组织内网内部主机内部主机内部主机内部主机精选ppt2防火墙技术

目前常用的防火墙技术主要有：(1)包过滤型技术(2)代理效劳技术(3)自适应代理技术精选ppt7.5平安操作系统的设计和开发

7.5.1平安操作系统结构和设计原那么1开放系统设计：2机制的经济性：3最小特权:4严密的访问控制机制：5基于“许可〞的模式：6特权别离：7防止信息流潜在通道：8便于使用：精选ppt平安操作系统一般结构

可信应用软件应用软件安全内核硬件精选ppt7.5.2平安操作系统的开发

应用程序

通用OS

硬件应用程序

通用OS

安全内核

硬件应用程序

安全内核

硬件应用程序通用OS仿真器

安全内核硬件(a)原通用系统(b)虚拟机系统(c)改进/增强系统(d)仿真型系统基于通用OS开发安全操作系统精选ppt1平安操作系统一般开发方法

(1)虚拟机系统：(2)改进/增强法：(3)仿真法：精选ppt平安操作系统的开发过程

安全需求分析抽象和归纳出安全策略建立安全模型安全机制的设计和实现安全操作系统可信度认证安全功能测试安全模型与系统的对应性说明阶段一阶段二阶段三精选ppt2平安操作系统的研究和开展

BLP机密性平安模型首次成功地应用于MulticsLampson的主体、客体与访问矩阵，隐蔽通道等概念；Anderson的参照监视器、引用验证机制、授权机制、平安内核和平安建模KSOS、SecureUNIX；计算机平安评价标准?可信计算机系统评价标准(TCSEC)?(又称橘皮书)；LINUSⅣ，SecureXenix，SecureXenixSystemⅴ/MLS，ASOS(ArmySecureOperatingSystem)、Flask、OSF/1、UNIXSVR4.1ES、DTOS、SE-Linux、STOP、VMM精选ppt3平安功能和平安保证平安操作系统的开发，应从平安功能(SecurityFunction)和平安保证(SecurityAssurance)两方面实施，平安功能主要说明一个操作系统所实现的平安策略和平安机制符合评价准那么中哪一级的功能要求，平安保证(保障)是通过一定的方法保证操作系统所提供的平安功能确实到达了指定的功能要求，能够确保系统的平安性。精选ppt平安功能包括10个平安元素标识与鉴别、自主访问控制、标记、强制访问控制、客体重用、审计、数据完整性、可信路径、隐蔽信道分析和可信恢复。在通用操作系统中，TCB可以包含多个平安功能TSF(TrustedSecurityFunction)模块，每一个TSF实现一个平安功能策略TSP(TrustedSecurityPolicy)，这些TSP共同构成了平安域，以防止不可信主体的干扰和篡改。精选ppt平安保证有3个方面(1)TCB自身平安保护，包括TSF模块、资源利用、TCB访问等。(2)TCB设计和实现，包括配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等。(3)TCB平安管理。精选ppt7.5.3平安操作系统设计技术

1隔离技术将系统中的一个用户(进程)与其他用户(进程)隔离开来是平安性的根本要求，有四种方法实现：物理别离，时间别离，密码别离,逻辑别离。精选ppt隔离机制的设计方法(1)

多虚拟存储空间(2)

多虚拟机系统精选ppt虚机器操作系统

物理计算机系统CP控制程序I/O设备文件存储器处理器虚机器操作系统虚拟计算机系统虚机器操作系统虚拟计算机系统虚机器操作系统虚拟计算机系统精选ppt2平安内核核(kernel)、又称内核(nucleus)或核心(Core)，在传统或标准的操作系统中，它实现内层的低级功能，如进程通信、同步机制、中断处理及根本的内存管理。平安内核(Securitykernel)是通过控制对系统资源的访问来实现根本平安规程的操作系统内核中相对独立的一局部程序，它在硬件和操作系统功能模块之间提供平安接口，但凡与平安有关的功能和机制都必须被隔离在平安内核之中。精选ppt平安内核设计和实现根本原那么(1)完整性。(2)隔离性。

(3)可验证性。

精选ppt3分层设计

最不可信代码最可信代码用户认证模块用户接口子模块用户ID查找子模块认证数据修改子模块认证数据比较子模块图7-