高級(jí)操作系統(tǒng)課件

分布式系統(tǒng)中所有成員和它們的進(jìn)程共個(gè)通用視圖，此視圖記錄了對(duì)于共享內(nèi)存（casualconsistencyPRAM對(duì)于一個(gè)特定 位置，這個(gè)系統(tǒng)必須就此位置的所有寫(xiě)操作順序達(dá)成一致第十三章安全性分類(lèi)（國(guó)防部，橘皮書(shū)D類(lèi) C類(lèi) B類(lèi) A類(lèi)二控制方法 矩陣模三矩陣模 最少可接受性控制 權(quán)能 鎖鑰機(jī)WindwosNT/XP設(shè)計(jì)目標(biāo)是：C2級(jí)，必須在用戶級(jí)實(shí)現(xiàn)自主控制，必須提供審計(jì)對(duì)象的機(jī)制。對(duì)對(duì)象的必須經(jīng)過(guò)一個(gè)區(qū)域的驗(yàn)證，沒(méi)有得到正確的用戶是不能對(duì)象的用戶必須在WindwosNT/XP中擁有一個(gè)帳號(hào)，并規(guī)定該帳號(hào)在系統(tǒng)中的和權(quán)限工作組：通過(guò)工作組，可以方便地給一組相關(guān)的用戶授予和權(quán)限WindwosNT/XP安全模型由本地安全認(rèn)證、安全帳號(hào)管理器和安全參考監(jiān)督器構(gòu)成。安全策略是由本地安全策略庫(kù)實(shí)現(xiàn)的，庫(kù)中主要保存著可信域、用戶和用戶組的和這個(gè)數(shù)據(jù)庫(kù)由本地安全認(rèn)證來(lái)管理，并且只有通過(guò)本地安全認(rèn)證才能它域的范圍。并且只有通過(guò)安全帳號(hào)管理工具才能它。實(shí)現(xiàn)了用戶級(jí)自主控制WindwosNT/XP中的對(duì)象采用了安全性描述符（security安全性描述符SI（Owner）（DACL（SACL當(dāng)某個(gè)進(jìn)程要一個(gè)對(duì)象時(shí)，進(jìn)程的SID與對(duì)象的控制列表比較，決定是否可以訪WindwosNT/XP3類(lèi)日志：系統(tǒng)日志、應(yīng)用程序日志、安全日志。NTFS文件取鑒別（用戶鑒別。按系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的存取。標(biāo)識(shí)系統(tǒng)中的用戶和鑒別儲(chǔ)區(qū)域?qū)嵭谢ハ?。運(yùn)行保護(hù)：運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最高，在最外層具有最小的，一般的系統(tǒng)不少于3 4個(gè)環(huán)。I/OI/O數(shù)據(jù)，所以一個(gè)進(jìn)行I/O操作的進(jìn)程必須受到對(duì)設(shè)備的讀/寫(xiě)兩種控制口令機(jī)制：簡(jiǎn)便易行的鑒別。6生物技術(shù)是一種比較有前途的鑒別用戶的方法在安全操作系統(tǒng)中，可信計(jì)算基（TCB）TCB調(diào)節(jié)當(dāng)用戶連續(xù)執(zhí)行認(rèn)證過(guò)程，超過(guò)系統(tǒng)管理員指定的次數(shù)而認(rèn)證仍然失敗時(shí)，TCB應(yīng)該關(guān)閉當(dāng)連續(xù)或不連續(xù)的登錄失敗次數(shù)超過(guò)管理員指定的次數(shù)時(shí)，該用戶的就不能再用了當(dāng)用戶選擇了一個(gè)其他用戶已使用的口令時(shí)，TCBTCB應(yīng)該以單向口令，加密口令必須有在口令輸入和顯示設(shè)備上，TCBTCB8自主存取控制（DiscretionaryAccessControlDAC文件的擁有者可以按照自己的意愿精確指定系統(tǒng)中的其他用戶對(duì)其文件的權(quán)。強(qiáng)制存取控制（MandatoryAccessControlMAC最小管系統(tǒng)不應(yīng)該給予用戶超過(guò)執(zhí)行任務(wù)所需以外的可以將超級(jí)用戶的劃分為一組細(xì)粒度的，分別授予不同的系統(tǒng)操作員/管理員，從而減少由于用戶口令丟失或誤操作所引起的損失。例如：可以在系統(tǒng)中定義5個(gè)管理職責(zé)，任何一個(gè)用戶都不能獲取足夠的權(quán)力，破壞定義用戶的安全屬性，改變文件的安全等級(jí)操作時(shí)，用戶必須確實(shí)與安全通信。使用通用終端，通過(guò)它發(fā)一信號(hào)給這個(gè)信號(hào)是不可信軟件不能、覆蓋或的（包括特洛伊木馬，重新激X-Window前提：是不會(huì)自己的 隱蔽通一個(gè)進(jìn)程直接或間接地寫(xiě)一個(gè)單元，而另一個(gè)進(jìn)程可以直接或間接地讀這個(gè)單元一般系統(tǒng)中總是充滿了隱蔽通道，采用強(qiáng)制策略的系統(tǒng)中，強(qiáng)制控制沒(méi)有保護(hù)的任何建立隱蔽通道，必須滿足以下4個(gè)要求發(fā)送和接受進(jìn)程必須能夠?qū)ν粏卧哂心芰Πl(fā)送進(jìn)程必須能夠改變（或者稱(chēng)“寫(xiě)）共享單元的內(nèi)容接受進(jìn)程必須能夠探測(cè)（或者稱(chēng)“讀）到共享單元內(nèi)容的改變隱蔽通道的處它的主要目的就是檢測(cè)、用戶對(duì)計(jì)算機(jī)系統(tǒng)的，并顯示合法用戶的誤操作。作為一種事后追查的保證系統(tǒng)的安全。審計(jì)過(guò)程一般是一個(gè)獨(dú)立的過(guò)程，它應(yīng)與系統(tǒng)其它功能開(kāi)。操作系統(tǒng)必須能夠生成、保護(hù)審計(jì)過(guò)程，使其免遭修改、及毀壞，保護(hù)審計(jì)數(shù)據(jù)3種：一些指令應(yīng)當(dāng)屬于可審計(jì)事件計(jì)算機(jī)：完全防止計(jì)算機(jī)是非常的，但是通過(guò)安全操作系統(tǒng)的強(qiáng)制存取控制機(jī)制可以起到使用的方法進(jìn)行自我保護(hù)可以把一般通用令和應(yīng)用程序放在保護(hù)區(qū)內(nèi)，供用戶使用，由于在這一區(qū)內(nèi)，對(duì)一般用戶只讀不可寫(xiě)，從而防止了的傳染。在用戶空間去，由于用戶的安全級(jí)別不同，即使計(jì)算機(jī)發(fā)作，也只能傳染同級(jí)別用戶的程序和數(shù)據(jù)，縮小了傳染的范圍?？尚艖?yīng)用軟件：系統(tǒng)管理員和操作員進(jìn)行安全管理的應(yīng)用程序，運(yùn)行具有操作的、保安全核：用來(lái)操作系統(tǒng)的安全操作ComputingBase,TCB）的一部分,系統(tǒng)必須保護(hù)可信軟件不被修改和破壞?？尚庞?jì)算基（TrustedComputingBaseTCB）具有的程序和命令與TCB負(fù)責(zé)系統(tǒng)管理的人員。系統(tǒng)管理員的誤操作或操作也會(huì)引起系統(tǒng)的安全性問(wèn)題TCB登錄的可信路監(jiān)督器的關(guān)鍵需求是控制從主體到客體的每一次存取，并將重要的安全事件存入審計(jì)安全內(nèi)核是實(shí)現(xiàn)監(jiān)督器概念的一種技術(shù)安全內(nèi)核的設(shè)計(jì)的基本原則主體客體時(shí)必須通過(guò)內(nèi)核，即所有信息的都必須經(jīng)過(guò)內(nèi)核。 需要軟件、硬件相結(jié)合，硬件的基本特性是使內(nèi)核能防止用戶程序內(nèi)核代碼和數(shù)據(jù)。防止用戶程序執(zhí)行內(nèi)核用于控制內(nèi)存管理機(jī)制的指令。 否可行。查主體對(duì)客體的存取。將系統(tǒng)的安全需求描述成一系列主體間操作互不影響的斷言，要求在不同域中，操作的主體能夠防止由于系統(tǒng)的安全性質(zhì)導(dǎo)致的相互間的影響。比如要求高安全級(jí)的操作Biba模型，它通過(guò)完整級(jí)的概念，控制主體“寫(xiě)”操作的客體范圍Clark-WilsonBell-LaPadula(BLP)模1973客體：定義為的主體行為承擔(dān)者，如數(shù)據(jù)、文件等主體對(duì)客體的（模式）分為r只讀 w讀寫(xiě) a只寫(xiě) e執(zhí)行 c控制主體用來(lái)授予或撤銷(xiāo)另一主體對(duì)某一客體的權(quán)限的能力。BLP模型是一個(gè)狀態(tài)機(jī)模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)狀態(tài)間的轉(zhuǎn)換規(guī)BLPBLP可信主體不受特性制約，權(quán)限太大，不符合最小原則。應(yīng)對(duì)可信主體的操作權(quán)（U（R（P個(gè)關(guān)系，稱(chēng)之為的賦予（PA可以給予一個(gè)角色多個(gè)，而一個(gè)也可以賦予多個(gè)角色。同時(shí)，一個(gè)用戶可以扮演RBAC模型能夠以簡(jiǎn)單的方式向最終用戶提供語(yǔ)義更為豐富、得到完整控制的存取功能。在RBAC模型中，每個(gè)角色至少具備一個(gè)，每個(gè)用戶至少扮演一個(gè)角色。RBAC1支持層次關(guān)系，可以容易地實(shí)現(xiàn)多級(jí)安全系統(tǒng)所要求的級(jí)別的線性排列要求要求所使用的安全模型必須是偏序的。RBAC1模型的層次角色的支持包括對(duì)偏序模型的支公開(kāi)<<<RBAC2約束模型，增加了對(duì)RBAC0所有組成元素的核查過(guò)程，只有有效的元素才可被接受。2個(gè)互斥的角色集中，只能分配給它其中一個(gè)集合中的角色。2AB。BLP模型中，應(yīng)當(dāng)遵守“下讀上寫(xiě)”的規(guī)則，即低安全級(jí)進(jìn)程不能讀高安全級(jí)文件，高這類(lèi)模型查主體對(duì)客體的存取，而是試圖控制從一個(gè)客體到另一個(gè)客體的信息傳輸過(guò)2個(gè)客體的安全屬性決定操作是否進(jìn)行。設(shè)計(jì)安全內(nèi)核時(shí)，優(yōu)先考慮的是完整性、性、可驗(yàn)證性等3條基本原則有硬件等價(jià)，操作系統(tǒng)本身并未已被安全內(nèi)核控制。改進(jìn)/測(cè)試，安全性分析，提交部門(mén)進(jìn)行安全可信度認(rèn)證便于用戶的存取當(dāng)系統(tǒng)安全性、兼容性和效率發(fā)生時(shí)，首先保證安全性，然后考慮兼容性，最后考慮3.0（基于Linux資源，自主開(kāi)發(fā)增強(qiáng)其安全性的一個(gè)安全操作系統(tǒng)LinuxC1系統(tǒng)中的每個(gè)文件和都具有不同于其他文件和的唯一標(biāo)識(shí)符，系統(tǒng)中的每個(gè)用戶必須通過(guò)名和口令經(jīng)系統(tǒng)識(shí)別以后，才可登錄系統(tǒng)，沒(méi)有合法用戶的口令，制機(jī)制，用戶對(duì)系統(tǒng)中的文件和擁有相應(yīng)的權(quán)限，系統(tǒng)能夠控制用戶那些程序或信息，以及如何。Linux系統(tǒng)內(nèi)核在一個(gè)物理上的安全域中運(yùn)行，這個(gè)域受到硬件的保護(hù)。安全域保護(hù)它內(nèi)部的和安全機(jī)制，安全機(jī)制本身是無(wú)法繞過(guò)的。3.0/增強(qiáng)法。uid,gid，還檢查用戶的安全級(jí)、計(jì)算特權(quán)集，賦予用戶進(jìn)程安全級(jí)和集標(biāo)識(shí)。自主存取控制3.0Linux3.0中的用強(qiáng)制存取控制3.0實(shí)現(xiàn)的MACIPC客體都賦文件的安全級(jí)，從而確定是否允許進(jìn)程對(duì)文件的。將系統(tǒng)信息劃分為3個(gè)區(qū)：系統(tǒng)管理區(qū)、用戶空間區(qū)、保護(hù)區(qū)安勝3.0將原Linux超級(jí)用戶的劃分為32個(gè)，并定義了4個(gè)管理角色網(wǎng)絡(luò)管理員系統(tǒng)中的4個(gè)用戶就共同管理和整個(gè)系統(tǒng)，每個(gè)用戶都不能獨(dú)自系將客體引入、刪除用戶空間及指定客體的；可信通道請(qǐng)求由一組特別鍵組成，稱(chēng)之為安全注意鍵（SAKSAK，便立即殺死與該終端相關(guān)的進(jìn)程，并為該終端啟動(dòng)一個(gè)真實(shí)的登錄序列每個(gè)連接的設(shè)備有一個(gè)安全級(jí)，用戶程序僅能與其安全級(jí)相當(dāng)或者低于其安全級(jí)的信安勝3.0安全模型是在分析BLP等經(jīng)典計(jì)算機(jī)安全模型的基礎(chǔ)上，結(jié)合系統(tǒng)的安全策略，基于BLP安全模型修改而成，記為MBLP（Modified BLP open（，creat（，read（，write（）由于系統(tǒng)調(diào)用是用戶程序進(jìn)入內(nèi)核，存取系統(tǒng)資源的唯一，對(duì)文件系統(tǒng)的每個(gè)系統(tǒng)調(diào) 3.0建立了一個(gè)明確定義的形式化的安全模型MBLP，并實(shí)現(xiàn)于系統(tǒng)之中最小管理機(jī)3.0的安全性評(píng)測(cè)主要采用了非形式化確認(rèn)和侵入測(cè)試的方式。操作系統(tǒng)安全掃自動(dòng)評(píng)估由于操作系統(tǒng)配置方式不當(dāng)，所導(dǎo)致的安全 1983612合理地為每個(gè)對(duì)象加一個(gè)，可靠地標(biāo)識(shí)該對(duì)象的敏感級(jí)3每個(gè)主體都必須予以標(biāo)識(shí)，標(biāo)識(shí)和信息必須由計(jì)算機(jī)系統(tǒng)安全地456實(shí)現(xiàn)這些基本需求的可信機(jī)制必須連續(xù)保護(hù)，避免篡改和非改變“”小組測(cè)“”小組成員試圖“摧毀”正在測(cè)試中的安全操作系統(tǒng)“”小組成員應(yīng)當(dāng)掌握操 從國(guó)防部1985年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）起，世界各國(guó)根據(jù)自如：的英、法、德、荷等四國(guó)90年代初發(fā)布的安全評(píng)估準(zhǔn)則(ITSEC);（CTCPEC1993年制定的安全標(biāo)準(zhǔn)（FC）;由6國(guó)7方（ 、法國(guó)、德國(guó)、荷蘭、英國(guó)、NIST及NSA）于90年代中期由英國(guó)標(biāo)準(zhǔn)（BSI）制定的管理標(biāo)準(zhǔn)以及最近得到ISO認(rèn)可的SSE-CMM(ISO/IEC21827:2002)《我國(guó)于1999年9月發(fā)布了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859《4743個(gè)部分?jǐn)⑹鰸M足安全策略、審計(jì)和保證的主4部分是文檔，描述文檔的種類(lèi)，以及編寫(xiě)用戶指南、手冊(cè)、測(cè)試文檔和設(shè)計(jì)文檔的主D份驗(yàn)證和控制。MS-CC1對(duì)硬件來(lái)說(shuō)，存在某種程度的保護(hù)，用戶必須通過(guò)用戶名和口令叫系統(tǒng)識(shí)別這一級(jí)沒(méi)有提供系統(tǒng)管理帳戶行為的方法C2DAC審計(jì)用 記錄所有與安全有關(guān)的事件，不如那些由系統(tǒng)管理員執(zhí)行的活動(dòng)BB1引入強(qiáng)制存取控制（MAC）機(jī)制，以及相應(yīng)的主體、客體安全級(jí)標(biāo)記和標(biāo)記管理B2MAC機(jī)制、可信通道機(jī)制、系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)、最小管理、隱蔽通道分析和處理等安全特征。B3級(jí)審計(jì)實(shí)告機(jī)制、更好地分析和解決隱蔽通道問(wèn)題，它使用安裝硬件的辦法增強(qiáng)域的安A類(lèi)（FTDSBB2B2ROM與其相關(guān)聯(lián)的敏感標(biāo)記要由TCB進(jìn)行。對(duì)于每個(gè)通信通道和I/O設(shè)備，TCBTCBI/O設(shè)備時(shí)，與此對(duì)象對(duì)應(yīng)的敏感標(biāo)記也要輸出，并駐留在TCBTCBTCB對(duì)于有TCB以外的主體，可直接或間接存取的所有資源（即主體、對(duì)象、I/O設(shè)TCB要求用戶先進(jìn)行自身識(shí)別之后，才開(kāi)始執(zhí)行需TCBTCB要保護(hù)鑒別數(shù)據(jù)，以便不被任何非用戶存取。TCB還要提供關(guān)于標(biāo)識(shí)和鑒別的審TCB對(duì)于它所保護(hù)的對(duì)象，要能夠建立和對(duì)其進(jìn)行存取的審計(jì)，并保護(hù)該蹤跡不被修改或非存取和破壞，審計(jì)數(shù)據(jù)要受TCB保護(hù)。TCB應(yīng)保護(hù)其自身執(zhí)行的區(qū)域，使其免受外部干預(yù)。TCB應(yīng)能提供不同的地址空間保證進(jìn)程。TCB在系統(tǒng)的生命周期內(nèi)，TCB支持的安全策略形式模型始終有效，TCB的描述性頂層規(guī)范始在TCB的開(kāi)發(fā)和期間配置管理系統(tǒng)要保持與當(dāng)前TCB版本對(duì)應(yīng)的所有文檔與代碼之用戶文檔中單獨(dú)的一節(jié)、一章、一本手冊(cè)，對(duì)TCB針對(duì)系統(tǒng)管理員的手冊(cè)，說(shuō)明應(yīng)用有關(guān)功能和時(shí)的注意事項(xiàng)，說(shuō)明與安全有關(guān)的操作CC1，19936CCTCSEC，TCSEC。CCITSEC（歐）安全認(rèn)證需求（非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求CC1CCPDR2CC3CC評(píng)估準(zhǔn)則不僅考慮了性而且還考慮了完整性和可用性多方面的安全特性;4)CCCEM（CommonMethodology如基于時(shí)間的PDR模型、P2DR模型、全網(wǎng)動(dòng)態(tài)安全體系A(chǔ)PPDRR模型PADIMEE?模型以及我國(guó)的WPDRRC模型其中偏重技術(shù)的P2DR模型和偏重管理的PADIMEE?模型影響最P2DR（Policy（Protection構(gòu)成，在P2DR模型中：安全策略是整個(gè)系統(tǒng)安全的依據(jù)。在整體的安全策略控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（、操作系統(tǒng)認(rèn)證、加密等）的同時(shí)，利用檢測(cè)工具（如評(píng)估、檢測(cè)等系統(tǒng)）了解和評(píng)估系統(tǒng)的安