網(wǎng)絡(luò)安全技術(shù)第02章操作系統(tǒng)安全

網(wǎng)站平安技術(shù)第02章操作系統(tǒng)平安本章內(nèi)容WEBSEC-C02-01操作系統(tǒng)平安概述WEBSEC-C02-02Unix/Linux平安機(jī)制WEBSEC-C02-03系統(tǒng)平安模型WEBSEC-C02-04平安系統(tǒng)結(jié)構(gòu)WEBSEC-C02-05權(quán)能體系WEBSEC-C02-06Flask平安體系WEBSEC-C02-07LSM平安框架WEBSEC-C02-08平安操作系統(tǒng)設(shè)計(jì)WEBSEC-C02-09經(jīng)典SELinux系統(tǒng)平安設(shè)計(jì)本章目標(biāo)1、掌握WEB應(yīng)用在系統(tǒng)各層的平安實(shí)現(xiàn)2、掌握維護(hù)系統(tǒng)平安的根本技術(shù)3、熟悉經(jīng)典SELinux系統(tǒng)設(shè)計(jì)第01節(jié)操作系統(tǒng)平安概述知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用1WEBSEC-C02-01操作系統(tǒng)安全概述1.操作系統(tǒng)面臨安全威脅

√√2.可信軟件和不可信軟件

√√3.安全策略和安全模型√√√4.系統(tǒng)訪問(wèn)控制思想√√√5.可信計(jì)算基礎(chǔ)√√1.操作系統(tǒng)面臨平安威脅-1操作系統(tǒng)面臨平安威脅:平安操作系統(tǒng)是指計(jì)算機(jī)信息系統(tǒng)在自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、標(biāo)記、身份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個(gè)方面滿足相應(yīng)的平安技術(shù)要求。平安操作系統(tǒng)主要特征： 1、最小特權(quán)原那么，即每個(gè)特權(quán)用戶只擁有能進(jìn)行他工作的權(quán)力；2、自主訪問(wèn)控制；強(qiáng)制訪問(wèn)控制，包括保密性訪問(wèn)控制和完整性訪問(wèn)控制； 3、平安審計(jì)； 4、平安域隔離。只要有了這些最底層的平安功能，各種混為“應(yīng)用軟件〞的病毒、木馬程序、網(wǎng)絡(luò)入侵和人為非法操作才能被真正抵抗，因?yàn)樗鼈冞`背了操作系統(tǒng)的平安規(guī)那么，也就失去了運(yùn)行的根底。1.操作系統(tǒng)面臨平安威脅-2操作系統(tǒng)面臨平安威脅:病毒和蠕蟲(chóng)：指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼〞。與醫(yī)學(xué)上的“病毒〞不同，計(jì)算機(jī)病毒不是天然存在的，是某些人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過(guò)某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)〔或程序〕里，當(dāng)?shù)竭_(dá)某種條件時(shí)即被激活，通過(guò)修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞，所謂的病毒就是人為造成的，對(duì)其他用戶的危害性很大。病毒的根本特點(diǎn)：1、隱蔽性：病毒程序代碼駐存在磁盤等介質(zhì)上，無(wú)法以操作系統(tǒng)提供的文件管理方法來(lái)檢測(cè)和查看。2、傳染性：當(dāng)用戶利用磁盤片、網(wǎng)絡(luò)等載體交換信息時(shí)，病毒程序趁機(jī)以用戶不能覺(jué)察的方式隨之傳播；即使在同一臺(tái)計(jì)算機(jī)上，病毒程序也能在磁盤上的不同區(qū)域間進(jìn)行傳播，附著在多個(gè)文件上。1.操作系統(tǒng)面臨平安威脅-3操作系統(tǒng)面臨平安威脅:病毒的根本特點(diǎn)：3、潛伏性：病毒程序感染正常的計(jì)算機(jī)之后，一般不會(huì)立即發(fā)作，而是潛伏下來(lái)，等到激發(fā)條件〔比方日期、時(shí)間、特定的字符串〕滿足時(shí)才觸發(fā)執(zhí)行惡意代碼局部，從而產(chǎn)生破壞作用。4、破壞性：當(dāng)病毒發(fā)作時(shí)，會(huì)在屏幕上輸出一系列不正常的信息，同時(shí)破壞磁盤上的數(shù)據(jù)文件和程序；如果是引導(dǎo)型病毒，會(huì)使計(jì)算機(jī)無(wú)法啟動(dòng)。1.操作系統(tǒng)面臨平安威脅-4操作系統(tǒng)面臨平安威脅:蠕蟲(chóng)：蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。最初的蠕蟲(chóng)病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲(chóng)子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲(chóng)病毒是自包含的程序〔或是一套程序〕，它能傳播自身功能的拷貝或自身〔蠕蟲(chóng)病毒〕的某些局部到其他的計(jì)算機(jī)系統(tǒng)中〔通常是經(jīng)過(guò)網(wǎng)絡(luò)連接〕。蠕蟲(chóng)可以侵入合法數(shù)據(jù)處理程序，更改或破壞這些數(shù)據(jù)。盡管蠕蟲(chóng)不像病毒那樣復(fù)制自身，蠕蟲(chóng)攻擊帶來(lái)的破壞可能與病毒一樣嚴(yán)重，最具代表性的是Ska蠕蟲(chóng)是一個(gè)Windows電子郵件和新聞組蠕蟲(chóng)，被偽裝成Happy99.exe的電子郵件附件，運(yùn)行之后，每個(gè)從本機(jī)發(fā)送的電子郵件和新聞組布告都會(huì)導(dǎo)致再次發(fā)送消息。1.操作系統(tǒng)面臨平安威脅-5操作系統(tǒng)面臨平安威脅:蠕蟲(chóng)也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為〞宿主〞，例如，windows下可執(zhí)行文件的格式為pe格式(PortableExecutable)，當(dāng)需要感染pe文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令。可見(jiàn)，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。隨著網(wǎng)絡(luò)和病毒編寫技術(shù)的開(kāi)展，綜合利用多種途徑的蠕蟲(chóng)也越來(lái)越多，比方有的蠕蟲(chóng)病毒就是通過(guò)電子郵件傳播，同時(shí)利用系統(tǒng)漏洞侵入用戶系統(tǒng)。還有的病毒會(huì)同時(shí)通過(guò)郵件、聊天軟件等多種渠道傳播。1.操作系統(tǒng)面臨平安威脅-6操作系統(tǒng)面臨平安威脅:邏輯炸彈：是指在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù)據(jù)喪失、計(jì)算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€(gè)系統(tǒng)癱瘓，并出現(xiàn)物理?yè)p壞的虛假現(xiàn)象。邏輯炸彈的危害：(1)邏輯炸彈可以直接破壞計(jì)算機(jī)軟件產(chǎn)品的使用當(dāng)事人的計(jì)算機(jī)數(shù)據(jù)。而在微機(jī)公用的前提下，惡性炸彈的破壞具有較寬的涉及范圍。(2)引發(fā)連帶的社會(huì)災(zāi)難。包括直接和簡(jiǎn)介的損失，如經(jīng)濟(jì)損失、企業(yè)虧損、資料喪失、科學(xué)研究的永久性失敗、當(dāng)事人承受精神打擊、失業(yè)或家庭破裂、連帶的經(jīng)濟(jì)犯罪、刑事犯罪、或相關(guān)人的生命平安等等。(3)邏輯炸彈的邏輯條件具有不可控制的意外性。這次無(wú)辜用戶遭受襲擊，就是因?yàn)楹闷娑`用了具有特殊磁道的誘因軟盤，還有的用戶是因?yàn)椴僮黜樞虿划?dāng)引起的1.操作系統(tǒng)面臨平安威脅-7操作系統(tǒng)面臨平安威脅:邏輯炸彈的危害：(4)邏輯條件的判斷很可能失常，以江民炸彈為例，比方，軟盤驅(qū)動(dòng)器的故障、磁盤的故障都是誘發(fā)邏輯炸彈的潛在因素。這雖然不是高概率事件，但卻具有不可控性。(5)邏輯炸彈本身雖然不具備傳播性，但是誘因的傳播是不可控的。(6)新的病毒可以成為邏輯炸彈的新誘因，比方在軟盤拷貝(如KV300升級(jí))過(guò)程中，已經(jīng)駐留而又沒(méi)有被發(fā)現(xiàn)的病毒可以給軟盤加工一下，使得正版磁盤成為誘因；(7)由于邏輯炸彈不是病毒體，因此無(wú)法正常復(fù)原和去除，必須對(duì)有炸彈的程序?qū)嵤┢平?，這個(gè)工作是比較困難的。1.操作系統(tǒng)面臨平安威脅-8操作系統(tǒng)面臨平安威脅:特洛伊木馬：完整的特洛伊木馬套裝程序含了兩局部：效勞端〔效勞器局部〕和客戶端〔控制器局部〕。植入對(duì)方電腦的是效勞端，而黑客正是利用客戶端進(jìn)入運(yùn)行了效勞端的電腦。運(yùn)行了木馬程序的效勞端以后，會(huì)產(chǎn)生一個(gè)有著容易迷惑用戶的名稱的進(jìn)程，暗中翻開(kāi)端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)〔如網(wǎng)絡(luò)游戲的密碼，實(shí)時(shí)通信軟件密碼和用戶上網(wǎng)密碼等〕，黑客甚至可以利用這些翻開(kāi)的端口進(jìn)入電腦系統(tǒng)。這時(shí)你電腦上的各種文件、程序，以及在你電腦上使用的賬號(hào)、密碼無(wú)平安可言。特洛伊木馬必須具有以下幾項(xiàng)功能才能成功地侵入計(jì)算機(jī)系統(tǒng)：1、入侵者寫一段程序進(jìn)行非法操作，程序的行為方式不會(huì)引起用戶的疑心；2、必須設(shè)計(jì)出某種策略誘使受騙者接收程序；3、必須使受騙者運(yùn)行該程序；4、入侵者必須由某種手段回收有特洛伊木馬作為它帶來(lái)的實(shí)際利益；1.操作系統(tǒng)面臨平安威脅-9操作系統(tǒng)面臨平安威脅:特征特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源，因此沒(méi)有使用殺毒軟件是難以覺(jué)察的；運(yùn)行時(shí)很難阻止它的行動(dòng)，運(yùn)行后，立刻自動(dòng)登錄在系統(tǒng)啟動(dòng)區(qū)，之后每次在Windows加載時(shí)自動(dòng)運(yùn)行；或立刻自動(dòng)變更文件名，甚至隱形；或馬上自動(dòng)復(fù)制到其他文件夾中，運(yùn)行連用戶本身都無(wú)法運(yùn)行的動(dòng)作；或?yàn)g覽器自動(dòng)連往奇怪或特定的網(wǎng)頁(yè)。特性

⒈包含在正常程序中，當(dāng)用戶執(zhí)行正常程序時(shí)，啟動(dòng)自身，在用戶難以覺(jué)察的情況下，完成一些危害用戶的操作，具有隱蔽性。 ⒉具有自動(dòng)運(yùn)行性。木馬為了控制效勞端。它必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以它必須潛人在你的啟動(dòng)配置文件中，如win.ini、system.ini、winstart.bat以及啟動(dòng)組等文件之中。 3.具備自動(dòng)恢復(fù)功能。很多的木馬程序中的功能模塊巴不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)可信軟件和不可信軟件：將軟件分為三大可信類別：可信的—軟件保證可以平安運(yùn)行，并且后來(lái)系統(tǒng)的平安也依賴于軟件的無(wú)錯(cuò)操作；良性的–軟件并不能確保平安運(yùn)行，但由于使用了特權(quán)或?qū)γ舾行畔⒌拇嫒?quán)，因而必須確信它不會(huì)有意的違反規(guī)那么；良性軟件的錯(cuò)誤被視作偶然性的，這類錯(cuò)誤不會(huì)影響系統(tǒng)的平安；惡意的—軟件來(lái)源不明，從平安的角度出發(fā)，該軟件必須被當(dāng)做惡意的，認(rèn)為將對(duì)系統(tǒng)進(jìn)行破壞；系統(tǒng)內(nèi)有一條將惡意程序和有錯(cuò)的良性程序分開(kāi)的細(xì)微界限：有錯(cuò)的良性程序不會(huì)泄露或者破壞數(shù)據(jù)，但不能保證它偶爾與惡意程序有同樣的不良效果。由于沒(méi)有一個(gè)客觀的方法度量?jī)烧咧g的區(qū)別和差異，經(jīng)常把良性和惡意軟件歸為一類，即不可信軟件。2、可信軟件和不可信軟件-12、可信軟件和不可信軟件-2外部測(cè)量?jī)?nèi)部質(zhì)量屬性外部質(zhì)量屬性使用質(zhì)量屬性過(guò)程質(zhì)量過(guò)程過(guò)程測(cè)量?jī)?nèi)部測(cè)量使用質(zhì)量的測(cè)量軟件產(chǎn)品軟件產(chǎn)品的效用使用條件影響影響影響依賴依賴依賴過(guò)程質(zhì)量有助于提高產(chǎn)品質(zhì)量產(chǎn)品質(zhì)量有助于提高使用質(zhì)量用戶質(zhì)量要求使用質(zhì)量?jī)?nèi)部質(zhì)量需求內(nèi)部質(zhì)量外部質(zhì)量需求外部質(zhì)量使用和反饋確認(rèn)驗(yàn)證有助于確定指示指示有助于確定2、可信軟件和不可信軟件-3外部和內(nèi)部質(zhì)量功能性可靠性易用性效率維護(hù)性可移植性適合性準(zhǔn)確性互操作性保密安全性功能性的依從性成熟性容錯(cuò)性易恢復(fù)性可靠性的依從性易理解性易學(xué)性易操作性吸引性易用性的依從性時(shí)間特性資源利用性效率的依從性易分析性易改變性穩(wěn)定性易測(cè)試性維護(hù)性的依從性適應(yīng)性易安裝性共存性易替換性可移植性的依從性***的依從性：軟件產(chǎn)品遵循與***相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的能力2、可信軟件和不可信軟件-4平安策略和平安模型：四層平安體系結(jié)構(gòu)：所謂平安體系結(jié)構(gòu)是把信息平安保障技術(shù)集成起來(lái)所構(gòu)成的模型；是以平安防御為著眼點(diǎn)，以信息在系統(tǒng)中平安無(wú)縫的流動(dòng)為目標(biāo)，以系統(tǒng)的平安需求和平安策略為依據(jù)，為實(shí)現(xiàn)整個(gè)系統(tǒng)的平安提供根底。平安體系結(jié)構(gòu)是一般的、抽象的體系結(jié)構(gòu)而不涉及具體的實(shí)際組件或軟硬件；多網(wǎng)層：大型的網(wǎng)絡(luò)或系統(tǒng)由于物理和平安等原因，通常是由小型的網(wǎng)絡(luò)和系統(tǒng)關(guān)聯(lián)起來(lái)構(gòu)成的，小型的系統(tǒng)和網(wǎng)絡(luò)通常是一些物理上隔開(kāi)或邏輯上不同的通信網(wǎng)絡(luò)。單網(wǎng)層：這一層所關(guān)心的是構(gòu)成多網(wǎng)層中的那些單個(gè)網(wǎng)絡(luò)，單網(wǎng)層分析單個(gè)網(wǎng)絡(luò)內(nèi)存在的平安問(wèn)題并給出相對(duì)應(yīng)的平安防范措施。設(shè)備層：任何一個(gè)網(wǎng)絡(luò)必然都是由各種各樣的設(shè)備構(gòu)成，從平安角度把構(gòu)成網(wǎng)絡(luò)的這些設(shè)備抽象成一個(gè)層次----設(shè)備層；設(shè)備層處理設(shè)備范圍內(nèi)出現(xiàn)的平安問(wèn)題：傳輸鏈路、交換機(jī)和管理控制設(shè)施等設(shè)備中與平安有關(guān)的問(wèn)題。數(shù)據(jù)層：數(shù)據(jù)是網(wǎng)絡(luò)中最重要的資源，貫穿于網(wǎng)絡(luò)的各個(gè)層次。在對(duì)數(shù)據(jù)的存儲(chǔ)、傳輸、轉(zhuǎn)移過(guò)程中可能存在的平安問(wèn)題。將數(shù)據(jù)層抽象出來(lái)便于集中考慮數(shù)據(jù)平安問(wèn)題。3、平安策略和平安模型-1平安策略和平安模型：在根本的平安模型中，通信的雙方在進(jìn)行信息傳輸前，先建立起一條邏輯通道，并提供平安的機(jī)制和效勞，來(lái)實(shí)現(xiàn)在開(kāi)放網(wǎng)絡(luò)環(huán)境中信息的平安傳輸。信息的平安傳輸主要包括兩個(gè)局部：1、從源節(jié)點(diǎn)發(fā)出的信息，使用如信息加密等加密技術(shù)對(duì)其進(jìn)行平安的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)該信息的保密性，同時(shí)也可以在該信息中附加一些特征的信息，作為源節(jié)點(diǎn)的身份驗(yàn)證。2、源節(jié)點(diǎn)與目的節(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息，這些信息除了發(fā)送雙方和可信任的第三方以外，對(duì)其他用戶都是保密的。3、平安策略和平安模型-24、系統(tǒng)訪問(wèn)控制思想-1系統(tǒng)訪問(wèn)控制思想：引用監(jiān)控器〔ReferenceMonitor〕目標(biāo)是解決用戶程序的運(yùn)行控制問(wèn)題，根本職能是以訪問(wèn)控制信息庫(kù)為依據(jù)，對(duì)主體〔用戶〕訪問(wèn)客體〔如系統(tǒng)中的各種資源〕的行為進(jìn)行平安驗(yàn)證，以此實(shí)現(xiàn)受控的資源共享。平安策略所要求的的訪問(wèn)判定以抽象訪問(wèn)控制數(shù)據(jù)庫(kù)中的信息為依據(jù)，訪問(wèn)判定是平安策略的具體表現(xiàn)。訪問(wèn)控制數(shù)據(jù)庫(kù)包含有關(guān)主體訪問(wèn)客體及其訪問(wèn)模式的信息，數(shù)據(jù)庫(kù)是動(dòng)態(tài)的，隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的修改而改變。4、系統(tǒng)訪問(wèn)控制思想-2系統(tǒng)訪問(wèn)控制思想：引用驗(yàn)證機(jī)制〔RVM—ReferenceValidationMechanism〕需要滿足三個(gè)原那么：1、RVM必須具有自我保護(hù)能力，即RVM即使受到攻擊也能保持自身的完整性；2、RVM必須總是處于活動(dòng)狀態(tài)，即確保主體對(duì)客體的所有引用都得到RVM的仲裁；3、RVM必須足夠小巧，以利于分析和測(cè)試，從而能夠方便地證明或驗(yàn)證RVM的設(shè)計(jì)與實(shí)現(xiàn)的正確性；4、系統(tǒng)訪問(wèn)控制思想-3系統(tǒng)訪問(wèn)控制思想：平安內(nèi)核的設(shè)計(jì)和實(shí)現(xiàn)的三個(gè)根本原那么：1.完整性原那么 完整性原那么要求主體引用客體時(shí)必須通過(guò)平安內(nèi)核，即所有信息的訪問(wèn)都必須經(jīng)過(guò)平安內(nèi)核；但是操作系統(tǒng)的實(shí)現(xiàn)與完整性原那么的明確要求之間有差距：操作系統(tǒng)認(rèn)為系統(tǒng)的信息存在于明顯的地方，比方文件，內(nèi)存和輸入輸出緩沖區(qū)；2.隔離性原那么隔離性原那么要求平安內(nèi)核具有防篡改的能力，即可以保護(hù)自己，防止偶然破壞。3.可驗(yàn)證性原那么 可驗(yàn)證性原那么通過(guò)如下一些設(shè)計(jì)要素來(lái)實(shí)現(xiàn)： 利用最新的軟件工程技術(shù)，包括結(jié)構(gòu)設(shè)計(jì)、模塊化、信息隱藏、分層、抽象說(shuō)明以及適宜的高級(jí)語(yǔ)言； 內(nèi)核接口簡(jiǎn)單化； 代碼檢查；5、可信計(jì)算根底-1可信計(jì)算根底：操作系統(tǒng)的平安依賴于具體實(shí)施平安策略的可信的軟件和硬件；這些硬件、軟件和負(fù)責(zé)系統(tǒng)平安管理的人員一起組成了系統(tǒng)的可信計(jì)算基〔TrustedComputingBase，TCB〕。具體的組成局部： 1、操作系統(tǒng)的平安內(nèi)核； 2、具有特權(quán)的程序和命令； 3、處理敏感信息的程序，如系統(tǒng)管理命令等； 4、與TCB實(shí)施平安策略有關(guān)的文件； 5、其他有關(guān)的固件、硬件和設(shè)備； 6、負(fù)責(zé)系統(tǒng)管理的人員 7、保障固件和硬件正確的程序和診斷軟件；5、可信計(jì)算根底-2可信計(jì)算根底：可信計(jì)算基的軟件局部是平安操作系統(tǒng)的核心內(nèi)容，完成的任務(wù)：內(nèi)核的良好定義和平安運(yùn)行方式；標(biāo)識(shí)系統(tǒng)中的每個(gè)用戶；保持用戶到TCB登錄的可信路徑；實(shí)施主體對(duì)客體的存取控制；維持TCB功能的正確性；監(jiān)視和記錄系統(tǒng)中的有關(guān)事件；在一個(gè)通用的平安操作系統(tǒng)中，TCB為用來(lái)構(gòu)成一個(gè)平安操作系統(tǒng)的所有平安保護(hù)裝置的組合體。第02節(jié)路由守護(hù)進(jìn)程與協(xié)議知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用2WEBSEC-C02-02路由守護(hù)進(jìn)程與協(xié)議1.硬件安全機(jī)制

√√2.系統(tǒng)運(yùn)行保護(hù)

√√3.Unix系統(tǒng)標(biāo)識(shí)和鑒別√√4.Unix系統(tǒng)訪問(wèn)控制√5.POSIX權(quán)能機(jī)制√6.Unix系統(tǒng)密碼√7.Unix系統(tǒng)網(wǎng)絡(luò)安全性√1、硬件平安機(jī)制-1硬件平安機(jī)制：操作系統(tǒng)的平安性需要考慮的方面： 1、物理上別離：要求進(jìn)程使用不同的物理實(shí)體； 2、時(shí)間上別離：具有不同平安要求的進(jìn)程在不同的時(shí)間運(yùn)行； 3、邏輯上別離：操作系統(tǒng)通過(guò)限制程序的訪問(wèn)，使程序不能訪問(wèn)其允許之外的實(shí)體； 4、密碼上別離：進(jìn)程以一種其他進(jìn)程不可知的方式隱藏?cái)?shù)據(jù)及計(jì)算；操作系統(tǒng)平安的主要目標(biāo)：依據(jù)系統(tǒng)平安策略對(duì)用戶的操作進(jìn)行訪問(wèn)控制，防止用戶對(duì)計(jì)算機(jī)資源的非法訪問(wèn)〔竊取、篡改和破壞〕；標(biāo)識(shí)系統(tǒng)中的用戶和身份鑒別；監(jiān)督系統(tǒng)運(yùn)行的平安性；保證系統(tǒng)自身的平安性和完整性；

1、硬件平安機(jī)制-2硬件平安機(jī)制：存儲(chǔ)器管理根本概念：虛地址空間：一個(gè)進(jìn)程的運(yùn)行需要一個(gè)“私有的〞存儲(chǔ)空間，進(jìn)程的程序與數(shù)據(jù)都存于該空間，這個(gè)空間不包括該進(jìn)程通過(guò)I/O指令訪問(wèn)的輔存空間〔磁帶、磁盤〕；這個(gè)進(jìn)程地址空間中，每一個(gè)字都有一個(gè)固定的虛地址〔并不是目標(biāo)的物理地址，但每一個(gè)虛地址可映射成一個(gè)物理地址〕，進(jìn)程通過(guò)這個(gè)虛地址訪問(wèn)這個(gè)字。段：一個(gè)進(jìn)程的虛地址空間至少要被分為兩局部或兩個(gè)段：一個(gè)用于用戶程序與數(shù)據(jù)，稱為用戶空間；另一個(gè)用于操作系統(tǒng)，稱為系統(tǒng)空間；兩者的隔離是靜態(tài)的，比較簡(jiǎn)單。駐留在內(nèi)存中的操作系統(tǒng)可以由所有進(jìn)程分享，最靈活的分段虛存方式是：允許一個(gè)進(jìn)程擁有很多段，這些段中的任何一個(gè)都可以由其他進(jìn)程共享。

1、硬件平安機(jī)制-3硬件平安機(jī)制：物理內(nèi)存就是系統(tǒng)硬件提供的內(nèi)存大小，是真正的內(nèi)存，相對(duì)于物理內(nèi)存，在Linux下還有一個(gè)虛擬內(nèi)存的概念，虛擬內(nèi)存就是為了滿足物理內(nèi)存的缺乏而提出的策略，它是利用磁盤空間虛擬出的一塊邏輯內(nèi)存，用作虛擬內(nèi)存的磁盤空間被稱為交換空間〔SwapSpace〕。作為物理內(nèi)存的擴(kuò)展，Linux會(huì)在物理內(nèi)存缺乏時(shí)，使用交換分區(qū)的虛擬內(nèi)存，更詳細(xì)的說(shuō)，就是內(nèi)核會(huì)將暫時(shí)不用的內(nèi)存塊信息寫到交換空間，這樣以來(lái)，物理內(nèi)存得到了釋放，這塊內(nèi)存就可以用于其它目的，當(dāng)需要用到原始的內(nèi)容時(shí)，這些信息會(huì)被重新從交換空間讀入物理內(nèi)存。

1、硬件平安機(jī)制-4硬件平安機(jī)制：通過(guò)監(jiān)控內(nèi)存有助于了解內(nèi)存的使用狀態(tài)，比方內(nèi)存占用是否正常，內(nèi)存是否緊缺等等，監(jiān)控內(nèi)存最常使用的命令有free、top。total：物理內(nèi)存的總大小used：已經(jīng)使用的物理內(nèi)存大小free：空閑的物理內(nèi)存大小shared：多個(gè)進(jìn)程共享的內(nèi)存大小buffers/cached：磁盤緩存的大小第二行Mem：代表物理內(nèi)存使用情況第三行(-/+buffers/cached)：代表磁盤緩存使用狀態(tài)第四行：Swap表示交換空間內(nèi)存使用狀態(tài)

#free total

used

free

shared

buffers

cached

Mem:

3894036

3473544

420492

0

72972

1332348

-/+

buffers/cache:

2068224

1825812

Swap:

4095992

906036

31899561、硬件平安機(jī)制-5硬件平安機(jī)制：計(jì)算機(jī)系統(tǒng)提供透明的內(nèi)存管理之前，訪問(wèn)判決是基于物理頁(yè)號(hào)的識(shí)別，每個(gè)物理頁(yè)號(hào)都被標(biāo)以一個(gè)稱為密鑰的秘密信息；系統(tǒng)只允許擁有該密鑰的進(jìn)程訪問(wèn)該物理頁(yè)，同時(shí)利用一些訪問(wèn)控制信息指明該頁(yè)是的讀寫屬性；每個(gè)進(jìn)程相應(yīng)地分配一個(gè)密鑰，該密鑰由操作系統(tǒng)裝入進(jìn)程的狀態(tài)字中，每次執(zhí)行進(jìn)程訪問(wèn)內(nèi)存的操作時(shí)，由硬件對(duì)該密鑰進(jìn)行檢驗(yàn)，只有當(dāng)進(jìn)程的密鑰與內(nèi)存物理頁(yè)的密鑰相匹配，并且相應(yīng)的訪問(wèn)控制信息與該物理頁(yè)的讀寫模式想匹配時(shí)，才允許該進(jìn)程訪問(wèn)該頁(yè)內(nèi)存，否那么禁止訪問(wèn)。2、系統(tǒng)運(yùn)行保護(hù)-1系統(tǒng)運(yùn)行保護(hù)運(yùn)行域時(shí)進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號(hào)的環(huán)具有最高特權(quán)，在最外層具有最大環(huán)號(hào)的環(huán)是最小的特權(quán)環(huán)；環(huán)形結(jié)構(gòu)中，最內(nèi)層是操作系統(tǒng)，控制整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行，靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)；最外層是控制不同用戶的應(yīng)用環(huán)；等級(jí)域機(jī)制應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的進(jìn)程能夠有效的控制和利用該環(huán)以及低于該環(huán)特權(quán)的環(huán)；當(dāng)一個(gè)進(jìn)程在某個(gè)環(huán)內(nèi)運(yùn)行時(shí)，進(jìn)程隔離機(jī)制將保護(hù)該進(jìn)程免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行其他進(jìn)程破壞，系統(tǒng)將隔離在同一環(huán)內(nèi)同時(shí)運(yùn)行的各個(gè)進(jìn)程；對(duì)于以給定的內(nèi)存段，僅需三個(gè)區(qū)域〔表示三種訪問(wèn)模式〕，稱為環(huán)界〔Ringbracket〕，R1，R2，R3分別表示該段可以寫、讀和運(yùn)行的環(huán)界。R1R2R32、系統(tǒng)運(yùn)行保護(hù)-2系統(tǒng)運(yùn)行保護(hù)環(huán)內(nèi)某一進(jìn)程對(duì)內(nèi)存某段具有寫操作的特權(quán)，就不用限制該段的讀與運(yùn)行操作特權(quán)；如果進(jìn)程對(duì)某段具有讀操作的特權(quán)，那當(dāng)然允許其運(yùn)行該段的內(nèi)容；所以，實(shí)際上總是設(shè)置：如果某段對(duì)具有較低特權(quán)的環(huán)是可寫的，那么在較高特權(quán)環(huán)內(nèi)運(yùn)行該段的內(nèi)容將是危險(xiǎn)的，因?yàn)樵摱蝺?nèi)容中可能含有破壞系統(tǒng)運(yùn)行或偷竊系統(tǒng)機(jī)密信息的非法程序。I/O保護(hù)：I/O操作通常是由操作系統(tǒng)完成的特權(quán)操作，所有操作系統(tǒng)都對(duì)讀寫文件操作提供一個(gè)相應(yīng)的高層系統(tǒng)調(diào)用，由于所有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，所以一個(gè)進(jìn)行I/O操作的進(jìn)程必須受到對(duì)設(shè)備的讀寫兩種訪問(wèn)控制。R1<=R2<=R33、Unix系統(tǒng)標(biāo)識(shí)和鑒別-1Unix系統(tǒng)標(biāo)識(shí)和鑒別：系統(tǒng)上的所有都需要進(jìn)行標(biāo)識(shí)和鑒別，需要建立一個(gè)登錄進(jìn)程與用戶交互以得到用于標(biāo)識(shí)與鑒別的必要信息；用戶提供一個(gè)唯一的用戶標(biāo)識(shí)給TCB；接著TCB對(duì)用戶進(jìn)行相應(yīng)的驗(yàn)證；TCB必須能證實(shí)該用戶確實(shí)對(duì)應(yīng)于所提供的標(biāo)識(shí)符，需要處理：1、在進(jìn)行任何需要TCB仲裁的操作之前，TCB都應(yīng)該要求用戶標(biāo)識(shí)他們自己，通過(guò)向每個(gè)用戶提供唯一的標(biāo)識(shí)，TCB維護(hù)每個(gè)用戶的記賬信息；2、TCB必須維護(hù)認(rèn)證數(shù)據(jù)，包括證實(shí)用戶身份的信息以及決定用戶策略屬性的信息〔比方groups〕，這些數(shù)據(jù)用來(lái)認(rèn)證用戶身份，并確保那些代表用戶行為，位于TCB之外的主體的屬性對(duì)系統(tǒng)策略的滿足；3、TCB保護(hù)認(rèn)證數(shù)據(jù)，防止被非法用戶使用，即使在用戶標(biāo)識(shí)無(wú)效的情況下，TCB仍執(zhí)行全部的認(rèn)證過(guò)程，當(dāng)用戶連續(xù)執(zhí)行認(rèn)證過(guò)程，超過(guò)系統(tǒng)管理員指定的次數(shù)而認(rèn)證仍然失敗，TCB應(yīng)關(guān)閉此登錄會(huì)話。

3、Unix系統(tǒng)標(biāo)識(shí)和鑒別-2Unix系統(tǒng)標(biāo)識(shí)和鑒別：TCB必須能證實(shí)該用戶確實(shí)對(duì)應(yīng)于所提供的標(biāo)識(shí)符，需要處理：4、TCB能維護(hù)、保護(hù)、顯示所有活動(dòng)用戶和所有賬戶的狀態(tài)信息。5、一旦口令被用作一種保護(hù)機(jī)制，要滿足：當(dāng)用戶選擇了一個(gè)其他用戶已使用的口令時(shí)，TCB保持沉默；TCB應(yīng)以單向加密方式存儲(chǔ)口令，訪問(wèn)加密口令必須具有特權(quán)；在口令輸入或顯示設(shè)備上，TCB應(yīng)自動(dòng)隱藏口令明文；普通操作過(guò)程中，TCB在默認(rèn)情況下禁止使用空口令；TCB提供一種保護(hù)機(jī)制允許用戶更換自己的口令，這種機(jī)制重新認(rèn)證用戶身份；對(duì)每一個(gè)用戶或每一組用戶，TCB必須加強(qiáng)口令失效管理；

4、Unix系統(tǒng)訪問(wèn)控制-1Unix系統(tǒng)訪問(wèn)控制：在計(jì)算機(jī)系統(tǒng)中，平安機(jī)制的主要內(nèi)容是訪問(wèn)控制，包含的任務(wù)是： 1、授權(quán)：確定可給予主體訪問(wèn)客體的權(quán)利； 2、確定訪問(wèn)權(quán)限〔讀、寫、執(zhí)行、刪除、追加等訪問(wèn)方式的組合〕； 3、實(shí)施訪問(wèn)權(quán)限；訪問(wèn)控制是指控制系統(tǒng)中主體〔例如進(jìn)程〕對(duì)客體〔例如文件目錄等〕的訪問(wèn)〔例如讀、寫和執(zhí)行等〕。自主訪問(wèn)控制中主體對(duì)客體的訪問(wèn)權(quán)限是由客體的屬主決定的，也就是說(shuō)系統(tǒng)允許主體〔客體的擁有者〕可以按照自己的意愿去制定誰(shuí)以何種訪問(wèn)模式去訪問(wèn)該客體。訪問(wèn)控制由最根本的三要素組成：

主體〔Subject〕：可以對(duì)其他實(shí)體施加動(dòng)作的主動(dòng)實(shí)體，如用戶、進(jìn)程、I/O設(shè)備等。

客體〔Object〕：接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體，如文件、共享內(nèi)存、管道等。

控制策略〔Control

Strategy〕：主體對(duì)客體的操作行為集和約束條件集，如訪問(wèn)矩陣、訪問(wèn)控制表等。

4、Unix系統(tǒng)訪問(wèn)控制-2Unix系統(tǒng)訪問(wèn)控制：平安操作系統(tǒng)的核心局部是平安內(nèi)核，平安內(nèi)核的根底是引用監(jiān)控器，它是負(fù)責(zé)實(shí)施系統(tǒng)平安策略的硬件與軟件的結(jié)合體。訪問(wèn)控制依賴引用監(jiān)控器進(jìn)行主體對(duì)客體訪問(wèn)的控制，以決定主體是否有權(quán)對(duì)客體進(jìn)行何種操作。引用監(jiān)控器查詢授權(quán)數(shù)據(jù)庫(kù)〔Authorization

Database〕，根據(jù)系統(tǒng)平安策略進(jìn)行訪問(wèn)控制的判斷，同時(shí)將相應(yīng)活動(dòng)記錄在審計(jì)數(shù)據(jù)庫(kù)〔Audit

Database〕中。

4、Unix系統(tǒng)訪問(wèn)控制-3Unix系統(tǒng)訪問(wèn)控制：自主訪問(wèn)控制的特點(diǎn)：基于對(duì)主體的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，這種控制是自主的。與其他訪問(wèn)控制策略最大的區(qū)別在于，自主訪問(wèn)控制中局部具有對(duì)其他主體授予某種訪問(wèn)權(quán)限權(quán)利的主體可以自主地〔可以是間接地〕將訪問(wèn)權(quán)限或訪問(wèn)權(quán)限的子集授予其他主體。實(shí)現(xiàn)完備的自主訪問(wèn)控制機(jī)制，系統(tǒng)要將訪問(wèn)控制矩陣相應(yīng)的信息；訪問(wèn)控制矩陣的每一行表示一個(gè)主體，每一列表示一個(gè)受保護(hù)的客體，矩陣中的元素表示主體可對(duì)客體進(jìn)行的訪問(wèn)模式；基于行的自主訪問(wèn)控制機(jī)制在每個(gè)主體上都附加一個(gè)該主體可訪問(wèn)的客體的明細(xì)表，根據(jù)表中信息的不同可以分為：能力表、前綴表和口令1、能力表〔capabilitieslist〕：能力決定用戶是否對(duì)客體進(jìn)行訪問(wèn)已經(jīng)進(jìn)行訪問(wèn)的模式〔讀，寫，執(zhí)行〕，擁有相應(yīng)能力的主體可以按照給定的模式訪問(wèn)客體，在系統(tǒng)的最高層上，即與用戶和文件相聯(lián)系的位置，對(duì)于每個(gè)用戶，系統(tǒng)都有一個(gè)能力表，要采用硬件、軟件或加密技術(shù)對(duì)系統(tǒng)的能力表進(jìn)行保護(hù)，防止非法修改。

4、Unix系統(tǒng)訪問(wèn)控制-4Unix系統(tǒng)訪問(wèn)控制：前綴表〔profiles〕：對(duì)每個(gè)主體賦予的前綴表，包括受保護(hù)客體名和主體對(duì)它的訪問(wèn)權(quán)限，當(dāng)主體要訪問(wèn)某客體時(shí)，自主訪問(wèn)控制機(jī)制將檢查主體的前綴是否具有它所請(qǐng)求的訪問(wèn)權(quán)?？诹睢瞤assword〕：在基于口令機(jī)制的自主訪問(wèn)控制機(jī)制中，每個(gè)客體都相應(yīng)的有一個(gè)口令。主體在對(duì)客體進(jìn)行訪問(wèn)前，必須向操作系統(tǒng)提供該客體的口令；系統(tǒng)一般允許對(duì)每個(gè)客體分配一個(gè)口令或者對(duì)每個(gè)客體的每種訪問(wèn)模式分配一個(gè)口令，一個(gè)客體至少需要兩個(gè)口令，一個(gè)用于控制讀，一個(gè)用于寫。

4、Unix系統(tǒng)訪問(wèn)控制-5Unix系統(tǒng)訪問(wèn)控制：強(qiáng)制訪問(wèn)控制〔MandatoryAccessControl——MAC〕，用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，以保證每個(gè)用戶只能訪問(wèn)到那些被標(biāo)明可以由他訪問(wèn)的信息的一種訪問(wèn)約束機(jī)制。通俗的來(lái)說(shuō)，在強(qiáng)制訪問(wèn)控制下，用戶〔或其他主體〕與文件〔或其他客體〕都被標(biāo)記了固定的平安屬性〔如平安級(jí)、訪問(wèn)權(quán)限等〕，在每次訪問(wèn)發(fā)生時(shí)，系統(tǒng)檢測(cè)平安屬性以便確定一個(gè)用戶是否有權(quán)訪問(wèn)該文件。其中多級(jí)平安〔MultiLevelSecure,MLS〕就是一種強(qiáng)制訪問(wèn)控制策略。強(qiáng)制訪問(wèn)策略將每個(gè)用戶及文件賦于一個(gè)訪問(wèn)級(jí)別，如，最高秘密級(jí)〔TopSecret〕，秘密級(jí)〔Secret〕，機(jī)密級(jí)〔Confidential〕及無(wú)級(jí)別級(jí)〔Unclassified〕。其級(jí)別為T>S>C>U，系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來(lái)決定訪問(wèn)模式。訪問(wèn)模式包括：下讀〔readdown〕：用戶級(jí)別大于文件級(jí)別的讀操作；上寫〔Writeup〕：用戶級(jí)別小于文件級(jí)別的寫操作；下寫〔Writedown〕：用戶級(jí)別等于文件級(jí)別的寫操作；上讀〔readup〕：用戶級(jí)別小于文件級(jí)別的讀操作；

4、Unix系統(tǒng)訪問(wèn)控制-6Unix系統(tǒng)訪問(wèn)控制：強(qiáng)制訪問(wèn)控制對(duì)專用的或簡(jiǎn)單的系統(tǒng)是有效的，但對(duì)通用、大型系統(tǒng)并不那么有效。強(qiáng)制訪問(wèn)控制采用的方法：〔1〕限制訪問(wèn)控制。

一個(gè)持洛伊木馬可以攻破任何形式的自主訪問(wèn)控制，由于自主控制方式允許用戶程序來(lái)修改他擁有文件的存取控制表，因而為非法者帶來(lái)可乘之機(jī)。MAC可以不提供這一方便，在這類系統(tǒng)中，用戶要修改存取控制表的唯一途徑是請(qǐng)求一個(gè)特權(quán)系統(tǒng)調(diào)用。該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是靠另一個(gè)程序提供的信息來(lái)修改存取控制信息?！?〕過(guò)程控制

在通常的計(jì)算機(jī)系統(tǒng)中，只要系統(tǒng)允許用戶自己編程，就沒(méi)方法杜絕特洛伊木馬。但可以對(duì)其過(guò)程采取某些措施，這種方法稱為過(guò)程控制。例如，警告用戶不要運(yùn)行系統(tǒng)目錄以外的任何程序。提醒用戶注意，如果偶然調(diào)用一個(gè)其它目錄的文件時(shí)，不要做任何動(dòng)作，等等。需要說(shuō)明的一點(diǎn)是，這些限制取決于用戶本身執(zhí)行與否。〔3〕系統(tǒng)限制

要對(duì)系統(tǒng)的功能實(shí)施一些限制。比方，限制共享文件，但共享文件是計(jì)算機(jī)系統(tǒng)的優(yōu)點(diǎn)，所以是不可能加以完全限制的。再者，就是限制用戶編程。不過(guò)這種做法只適用于某些專用系統(tǒng)。在大型的，通用系統(tǒng)中，編程能力是不可能去除的。

4、Unix系統(tǒng)訪問(wèn)控制-7Unix系統(tǒng)訪問(wèn)控制：依據(jù)Bell-Lapadula平安模型所制定的原那么是利用不上讀/不下寫來(lái)保證數(shù)據(jù)的保密性〔見(jiàn)圖1〕。即不允許低信任級(jí)別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，禁止信息從高級(jí)別流向低級(jí)別。強(qiáng)制訪問(wèn)控制通過(guò)這種梯度平安標(biāo)簽實(shí)現(xiàn)信息的單向流通。

4、Unix系統(tǒng)訪問(wèn)控制-8Unix系統(tǒng)訪問(wèn)控制：依據(jù)Biba平安模型所制定的原那么是利用不下讀/不上寫來(lái)保證數(shù)據(jù)的完整性〔見(jiàn)圖2〕。在實(shí)際應(yīng)用中，完整性保護(hù)主要是為了防止應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫(kù)。

5、POSIX權(quán)能機(jī)制-1POSIX權(quán)能機(jī)制：權(quán)能〔capabilities〕是一種用于實(shí)現(xiàn)恰當(dāng)特權(quán)的能力令牌；POSIX權(quán)能機(jī)制與傳統(tǒng)的權(quán)能機(jī)制類似，為系統(tǒng)提供了更為便利的權(quán)能管理和控制：提供了為系統(tǒng)進(jìn)程指派一個(gè)權(quán)能去調(diào)用或執(zhí)行受限系統(tǒng)效勞的便攜方法；同了一種使進(jìn)程只能調(diào)用執(zhí)行其特定任務(wù)必需權(quán)能的限制方法，支持最小特權(quán)平安策略的實(shí)現(xiàn)；確切說(shuō)，POSIX權(quán)能機(jī)制提供了一種比超級(jí)用戶模式更細(xì)粒度的授權(quán)控制，將特權(quán)劃分為一個(gè)權(quán)能集合明確定義了進(jìn)程獲取和改變權(quán)能的語(yǔ)義：可繼承權(quán)能集：進(jìn)程的可繼承權(quán)能集，決定一個(gè)進(jìn)程執(zhí)行程序時(shí)刻被保存的權(quán)能；程序文件的可繼承權(quán)能集，決定執(zhí)行該程序產(chǎn)生的進(jìn)程可遺傳給其后續(xù)進(jìn)程、其父進(jìn)程也擁有的權(quán)能。許可權(quán)能集：進(jìn)程的許可權(quán)能集，決定當(dāng)前進(jìn)程允許生效的最大權(quán)能集合；程序文件的許可權(quán)能集，是確保程序執(zhí)行產(chǎn)生的進(jìn)程能夠正確地完成其功能所需的權(quán)能，與調(diào)用它的進(jìn)程是否具有相關(guān)權(quán)能無(wú)關(guān)。有效權(quán)能集：進(jìn)程的有效權(quán)能集，決定當(dāng)前進(jìn)程中生效的權(quán)能集合；程序文件的有效權(quán)能集，決定程序執(zhí)行產(chǎn)生的進(jìn)程映像將擁有的有效進(jìn)程權(quán)能集。5、POSIX權(quán)能機(jī)制-2POSIX權(quán)能機(jī)制：特權(quán)細(xì)分：根據(jù)POSIX標(biāo)準(zhǔn)要求，可以將超級(jí)用戶特權(quán)細(xì)分為權(quán)能集合，必須滿足權(quán)能選擇的標(biāo)注：一個(gè)權(quán)能應(yīng)該允許系統(tǒng)使一個(gè)進(jìn)程不受一個(gè)特定平安需求的約束；所定義權(quán)能的實(shí)際效果之間應(yīng)該有最小交集；在支持以上兩條的的根底上，權(quán)能定義得越少越好；1.CAP_OWNER該權(quán)能可以超越限制文件主ID必須等于用戶ID的場(chǎng)合，比方改變?cè)撚行в脩魳?biāo)識(shí)符所屬的文件屬性；擁有該權(quán)能可以改變文件的屬主或?qū)俳M；可以超越IPC的屬主關(guān)系檢查；兩進(jìn)程間通信時(shí)，真實(shí)的UID或有效UID必須相等，但擁有該權(quán)能可以超越此規(guī)那么；2.CAP_AUDIT擁有該權(quán)能可以操作平安審計(jì)機(jī)制；編寫各種審計(jì)記錄；3.CAP_COMPAT擁有該權(quán)能可以超越限制隱蔽通道所做的特別約束；5、POSIX權(quán)能機(jī)制-3POSIX權(quán)能機(jī)制：4.CAP_DACREAD：擁有該權(quán)能可以超越自主訪問(wèn)控制〔DAC〕讀檢查。5.CAP_DACWRITE：擁有該權(quán)能可以超越自主訪問(wèn)控制〔DAC〕寫檢查。6.CAP_DEV:當(dāng)設(shè)備處于私有狀態(tài)時(shí)設(shè)置或獲取設(shè)備平安屬性以改變?cè)O(shè)備級(jí)別并訪問(wèn)設(shè)備。7.CAP_FILESYS：對(duì)文件系統(tǒng)進(jìn)行特權(quán)操作，包括創(chuàng)立與目錄的連接、設(shè)置有效根目錄、制作特別文件。進(jìn)程的特權(quán)：當(dāng)fork一個(gè)子進(jìn)程時(shí)，父子進(jìn)程的特權(quán)是一樣的；但是當(dāng)通過(guò)exec執(zhí)行某個(gè)可執(zhí)行文件時(shí)，進(jìn)程的特權(quán)決定于調(diào)用進(jìn)程的特權(quán)和可執(zhí)行文件的特權(quán)集。每個(gè)進(jìn)程具有下馬兩個(gè)特權(quán)集：最大特權(quán)集：包含固定的和可繼承的所有特權(quán)；工作特權(quán)集：進(jìn)程當(dāng)前使用的特權(quán)集；6、Unix系統(tǒng)密碼-1Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：1.

進(jìn)入grub啟動(dòng)界面，按e，

6、Unix系統(tǒng)密碼-2Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：2.光標(biāo)指到kernel一行，按e，

6、Unix系統(tǒng)密碼-3Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：3.將其中的rhgb

quiet

替換成single，，

Grubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/rhgbquietGrubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/single6、Unix系統(tǒng)密碼-4Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：

6、Unix系統(tǒng)密碼-5Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：5.光標(biāo)還是在kernel行按b，進(jìn)入單用戶模式，執(zhí)行passwd，

6、Unix系統(tǒng)密碼-6Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：6.重置完密碼后執(zhí)行init

6,即可新密碼登錄系統(tǒng)，

7、Unix系統(tǒng)網(wǎng)絡(luò)平安性-1Unix系統(tǒng)網(wǎng)絡(luò)平安性：用戶/文件權(quán)限的劃分：

用戶權(quán)限在Windows操作系統(tǒng)里也不陌生，但是Linux操作系統(tǒng)的用戶權(quán)限和文件權(quán)限要比Windows操作系統(tǒng)里嚴(yán)格有效。比較明顯的一個(gè)案例就是，即便是你在Windows操作系統(tǒng)里設(shè)置了多用戶，但是不同的用戶之間通過(guò)一定的方式，還是能夠互訪文件的，這就失去了權(quán)限的意義。LINUX文件權(quán)限針對(duì)的對(duì)象分三類〔互斥的關(guān)系〕：

1.user〔文件的擁有者〕

2.group〔文件擁有者所在的組，但不包括user〕

3.other〔其它用戶，即user和group以外的〕LINUX用一個(gè)3位二進(jìn)制數(shù)對(duì)應(yīng)著文件的3種權(quán)限〔1表示有該權(quán)限，0表示無(wú)〕：

第1位讀r1004

第2位寫w0102

第3位執(zhí)行x00117、Unix系統(tǒng)網(wǎng)絡(luò)平安性-2Unix系統(tǒng)網(wǎng)絡(luò)平安性：iptables是與Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng)，如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、效勞器或連接LAN和因特網(wǎng)的代理效勞器，那么該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過(guò)濾和防火墻配置。netfilter/iptablesIP信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)那么，這些規(guī)那么是在做信息包過(guò)濾決定時(shí)，防火墻所遵循和組成的規(guī)那么。這些規(guī)那么存儲(chǔ)在專用的信息包過(guò)濾表中，而這些表集成在Linux內(nèi)核中。在信息包過(guò)濾表中，規(guī)那么被分組放在我們所謂的鏈〔chain〕中。雖然netfilter/iptablesIP信息包過(guò)濾系統(tǒng)被稱為單個(gè)實(shí)體，但它實(shí)際上由兩個(gè)組件netfilter和iptables組成。netfilter組件也稱為內(nèi)核空間〔kernelspace〕，是內(nèi)核的一局部，由一些信息包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)那么集。iptables組件是一種工具，也稱為用戶空間〔userspace〕，它使插入、修改和除去信息包過(guò)濾表中的規(guī)那么變得容易。7、Unix系統(tǒng)網(wǎng)絡(luò)平安性-3Unix系統(tǒng)網(wǎng)絡(luò)平安性：netfilter/iptables的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻，這是ipfwadm和ipchains等以前的工具都無(wú)法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過(guò)濾時(shí)，防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài)，名稱分別為ESTABLISHED、INVALID、NEW和RELATED。狀態(tài)ESTABLISHED指出該信息包屬于已建立的連接，該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID狀態(tài)指出該信息包與任何的流或連接都不相關(guān)聯(lián)，它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài)NEW意味著該信息包已經(jīng)或?qū)?dòng)新的連接，或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后，RELATED表示該信息包正在啟動(dòng)新連接，以及它與已建立的連接相關(guān)聯(lián)。netfilter/iptables的另一個(gè)重要優(yōu)點(diǎn)是，它使用戶可以完全控制防火墻配置和信息包過(guò)濾。您可以定制自己的規(guī)那么來(lái)滿足您的特定需求，從而只允許您想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。第03節(jié)系統(tǒng)平安模型知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用3WEBSEC-C02-03系統(tǒng)安全模型1.安全模型的特性及作用

√√2.形式化安全模型設(shè)計(jì)

√√3.狀態(tài)機(jī)模型原理

√√4.完整性安全模型

√√5.多策略安全模型

√√1、平安模型的特性及作用-1平安模型的特性及作用：信息系統(tǒng)的平安需求：機(jī)密性〔confidentiality〕；完整性〔integrity〕；可追究性〔accountability〕；可用性〔availability〕；基于系統(tǒng)平安策略的定義和內(nèi)涵可分為兩大類：訪問(wèn)控制策略〔AccessControlPolicy〕：反映了系統(tǒng)的機(jī)密性和完整性要求；確立了相應(yīng)的訪問(wèn)控制規(guī)那么以控制系統(tǒng)資源的訪問(wèn)；訪問(wèn)支持策略〔AccessSupportingPolicy〕：反映系統(tǒng)的可追究性和可用性要求，以支持訪問(wèn)控制策略的面貌的出現(xiàn)。1、平安模型的特性及作用-2平安模型的特性及作用：參照OSI和TCP/IP協(xié)議的層次結(jié)構(gòu)，可將UNIX的平安體系結(jié)構(gòu)描述分成五個(gè)層次：

策略層：主要負(fù)責(zé)進(jìn)行平安策略的需求分析、平安方針的制定以及平安策略的制定：

用戶層：主要是負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的人員，這對(duì)于UNIX多用戶環(huán)境下的應(yīng)用進(jìn)程也算在其中。

主機(jī)層：包括計(jì)算機(jī)互聯(lián)設(shè)備，如路由器、單一的UNIX主機(jī)等。

包過(guò)濾層：對(duì)應(yīng)用OSI的三層，通過(guò)用戶層的進(jìn)程和包過(guò)濾規(guī)那么對(duì)IP包進(jìn)行過(guò)濾。一般的包過(guò)濾算法是采用查一張規(guī)那么表來(lái)實(shí)現(xiàn)，它根據(jù)條件／動(dòng)作這樣的規(guī)那么序列來(lái)判斷是前向路由還是棄包。

物理連接層：包括進(jìn)行網(wǎng)絡(luò)物理連接的設(shè)備，對(duì)應(yīng)于OSI的第1、2層；網(wǎng)絡(luò)中的各種加密設(shè)備等。對(duì)于網(wǎng)絡(luò)信息的機(jī)密性和完整性，可以在網(wǎng)絡(luò)上通過(guò)加密措施來(lái)實(shí)現(xiàn)對(duì)于UNIX這樣的分布式操作系統(tǒng)，要保證UNIX系統(tǒng)的平安性，必須從系統(tǒng)角度來(lái)考慮，以解決UNIX系統(tǒng)的多級(jí)平安互通問(wèn)題。對(duì)此，可采用多級(jí)平安的Socket來(lái)編程，實(shí)現(xiàn)多級(jí)平安的UNIX文件，進(jìn)行網(wǎng)絡(luò)的平安互通。1、平安模型的特性及作用-3平安模型的特性及作用：平安模型的目的在于明確設(shè)計(jì)開(kāi)發(fā)平安系統(tǒng)的方針：平安模型是精確的，無(wú)歧義的；平安模型是簡(jiǎn)易和抽象的，容易被用戶理解；平安模型是一般性的，只設(shè)計(jì)到平安性質(zhì)，不過(guò)度地牽扯系統(tǒng)的功能或其實(shí)現(xiàn)；平安模型是平安策略的明顯表達(dá)；平安模型分為兩種：形式化的平安模型那么是使用數(shù)學(xué)模型，精確地描述平安性及其在系統(tǒng)中使用的情況；非形式化的平安模型僅僅模擬系統(tǒng)的平安功能；2、形式化平安模型設(shè)計(jì)-1平安策略模型應(yīng)由如下兩個(gè)子模型組成：對(duì)平安的定義和一套操作的規(guī)那么。為了說(shuō)明形式化方法在平安系統(tǒng)的建立過(guò)程中所起的角色，有必要來(lái)對(duì)建立一個(gè)平安自動(dòng)信息系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行詳細(xì)的描述，如圖。2、形式化平安模型設(shè)計(jì)-2形式化平安模型設(shè)計(jì)高層策略目標(biāo)：用來(lái)指定設(shè)計(jì)和使用計(jì)算機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)什么目標(biāo)；外部接口需求：是將高層策略目標(biāo)應(yīng)用于計(jì)算機(jī)系統(tǒng)的外部接口。內(nèi)部需求：用來(lái)約束系統(tǒng)實(shí)體或部件相互之間的關(guān)系。對(duì)平安的形式化定義，通常包含內(nèi)部需求和外部接口兩個(gè)方面。操作規(guī)那么：用來(lái)解釋內(nèi)部需求是如何通過(guò)指定的訪問(wèn)檢查和相關(guān)的行為措施來(lái)保證內(nèi)部需求的正確實(shí)施。高層設(shè)計(jì)：用來(lái)指定系統(tǒng)部件或被控的實(shí)體的行為以及TCB接口的復(fù)雜功能描述。代碼編寫，涉及到硬件接口的代碼，必須詳細(xì)了解硬件接口標(biāo)準(zhǔn)。2、形式化平安模型設(shè)計(jì)-3形式化平安模型設(shè)計(jì)LaPadula對(duì)模型設(shè)計(jì)的層次劃分，并分析出步驟與模型層次關(guān)系：第一步，確定對(duì)外接口的要求〔identityrequirementsontheexternalinterface〕，主要明確系統(tǒng)主要的平安需求，把他們與其他問(wèn)題隔離開(kāi)第二步，確定內(nèi)部要求〔identityinternalrequirements〕，支持已確定的外部需求，系統(tǒng)必須對(duì)系統(tǒng)的控制對(duì)象進(jìn)行限制，這些限制往往就形成了模型的平安性定義，這一步實(shí)質(zhì)上把平安需求與系統(tǒng)的抽象進(jìn)行結(jié)合，提出合理的模型變量，構(gòu)造一個(gè)內(nèi)部模型；第三步，為策略的執(zhí)行設(shè)計(jì)操作規(guī)那么〔designrulesofoperationforpolicyenforcement〕，系統(tǒng)實(shí)體為獲得平安限制必須遵循一定的操作規(guī)那么，就是把平安策略規(guī)那么化，確保系統(tǒng)在有效完成系統(tǒng)任務(wù)的同時(shí)，系統(tǒng)的狀態(tài)始終處于平安狀態(tài)中。2、形式化平安模型設(shè)計(jì)-4形式化平安模型設(shè)計(jì)第四步，確定什么事已經(jīng)知道的〔determinewhatisalreadyknown〕，對(duì)于高平安等級(jí)操作系統(tǒng)的平安模型的設(shè)計(jì)必須是形式化，而且是可形式驗(yàn)證的，因此必須選擇適當(dāng)?shù)男问綐?biāo)準(zhǔn)語(yǔ)言，開(kāi)發(fā)相應(yīng)的形式驗(yàn)證工具。第五步，論證一致性和正確性〔demonstrateconsistencyandcorrectness〕，這一步可以說(shuō)是模型的評(píng)論〔review〕階段，具體到操作系統(tǒng)的平安模型的設(shè)計(jì)，主要內(nèi)容包括：平安需求的表達(dá)是否準(zhǔn)確、合理、平安操作規(guī)那么是否與平安需求協(xié)調(diào)一致，平安需求是否在模型中得到準(zhǔn)確反映，模型的形式化與模型之間的對(duì)應(yīng)性論證。第六步，論證關(guān)聯(lián)性〔demonstraterelevance〕，是模型的實(shí)施階段，對(duì)應(yīng)LaPadula層次劃分的功能設(shè)計(jì)層次；論述關(guān)聯(lián)性應(yīng)分層次進(jìn)行，首先是實(shí)現(xiàn)的模式，其次是實(shí)現(xiàn)的架構(gòu)，再次是模型在架構(gòu)里的解釋；最后是實(shí)現(xiàn)的對(duì)應(yīng)性論證。3、狀態(tài)機(jī)模型原理-1狀態(tài)機(jī)模型原理：狀態(tài)機(jī)模型：用模仿操作系統(tǒng)和硬件執(zhí)行過(guò)程的方法描述了計(jì)算機(jī)系統(tǒng)，講一個(gè)系統(tǒng)描述為一個(gè)抽象的數(shù)學(xué)狀態(tài)機(jī)器。在這個(gè)模型中，狀態(tài)變量表示機(jī)器的狀態(tài)，轉(zhuǎn)換函數(shù)或操作規(guī)那么用以描述狀態(tài)變量的變化過(guò)程，是對(duì)系統(tǒng)應(yīng)用通過(guò)請(qǐng)求系統(tǒng)調(diào)用從而影響操作系統(tǒng)狀態(tài)的抽象。開(kāi)發(fā)一個(gè)狀態(tài)機(jī)模型要求采用的特定步驟：1、定義平安相關(guān)的狀態(tài)變量；狀態(tài)變量表示了系統(tǒng)的主體和客體、它們的平安屬性以及主體與客體時(shí)間的存取權(quán)限。2、定義平安相關(guān)的條件；這個(gè)定義是一個(gè)不變式，表達(dá)了在狀態(tài)轉(zhuǎn)換期間狀態(tài)變量的數(shù)值所必須始終保持的關(guān)系。3、定義狀態(tài)轉(zhuǎn)換函數(shù)；這些函數(shù)描述了狀態(tài)變量可能發(fā)生的變化，這些所謂操作規(guī)那么的意圖是限制系統(tǒng)可能產(chǎn)生的類型，而非列舉所有可能的變化。4、檢驗(yàn)函數(shù)是否維持了平安狀態(tài)，為了確定模型與平安狀態(tài)的定義是否一致，必須檢驗(yàn)每項(xiàng)函數(shù)，要求如果系統(tǒng)在運(yùn)行之前處于平安狀態(tài)，那么系統(tǒng)在運(yùn)行之后，仍將保持在平安狀態(tài)。3、狀態(tài)機(jī)模型原理-2狀態(tài)機(jī)模型原理：開(kāi)發(fā)一個(gè)狀態(tài)機(jī)模型要求采用的特定步驟：5、定義初始狀態(tài)，選擇每個(gè)狀態(tài)變量的值，這些值模擬系統(tǒng)在最初的平安狀態(tài)中是如何啟動(dòng)。6、依據(jù)平安狀態(tài)的定義，證明初始狀態(tài)平安。4、完整性平安模型-1完整性平安模型：平安角度考慮，要保證信息資產(chǎn)的平安，主要關(guān)注信息的保密性，可用性和完整性，這個(gè)三個(gè)屬性被成為信息平安的三元組。其中：保密性〔Confidentiality〕是確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w；可用性〔Availability〕是確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息。完整性是〔Integrity〕是確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。Bell-Lapadula模型：Bell-lapadula模型的系統(tǒng)會(huì)對(duì)系統(tǒng)的用戶〔主體〕和數(shù)據(jù)〔客體〕做相應(yīng)的平安標(biāo)記，因此這種系統(tǒng)又被稱為多級(jí)平安系統(tǒng)，級(jí)別和模型用于限制主體對(duì)客體的訪問(wèn)操作，該模型用于加強(qiáng)訪問(wèn)控制的信息保密性。使用主體，客體，訪問(wèn)操作〔讀，寫，讀/寫〕以及平安級(jí)別這些概念，當(dāng)主體和客體位于不同的平安級(jí)別時(shí)，主體對(duì)客體就存在一定的訪問(wèn)限制。實(shí)現(xiàn)該模型后，它能保證信息不被非授權(quán)主體所訪問(wèn)。4、完整性平安模型-2完整性平安模型：1.平安級(jí)別為“機(jī)密〞的主體訪問(wèn)平安級(jí)別為“絕密〞的客體時(shí)，主體對(duì)客體可寫不可讀〔noreadup〕；2.當(dāng)平安級(jí)別為“機(jī)密〞的主體訪問(wèn)平安級(jí)別為“機(jī)密〞的客體時(shí)，主體對(duì)客體可寫可讀；3.當(dāng)平安級(jí)別為“機(jī)密〞的主體訪問(wèn)平安級(jí)別為“秘密〞的客體時(shí)，主體對(duì)客體可讀不可寫(nowritedown)。4、完整性平安模型-3完整性平安模型：

Biba模型：

Biba模型是在Bell-lapadula模型之后開(kāi)發(fā)的，它跟Bell-lapadula模型很相似，被用于解決應(yīng)用程序數(shù)據(jù)的完整性問(wèn)題。Bell-lapadula使用平安級(jí)別〔絕密，機(jī)密，秘密等〕，這些平安級(jí)別用于保證敏感信息只被授權(quán)的個(gè)體所訪問(wèn)，而B(niǎo)iba模型不關(guān)心信息保密性的平安級(jí)別，因此它的訪問(wèn)控制不是建立在平安級(jí)別上，而是建立在完整性級(jí)別上。BIBA模型基于兩種規(guī)那么來(lái)保障數(shù)據(jù)的完整性的保密性。下讀(NRU)

屬性,

主體不能讀取平安級(jí)別低于它的數(shù)據(jù)；上寫(NWD)

屬性,

主體不能寫入平安級(jí)別高于它的數(shù)據(jù)

；從這兩個(gè)屬性來(lái)看，我們發(fā)現(xiàn)Biba與BLP模型的兩個(gè)屬性是相反的，BLP模型提供保密性，而B(niǎo)IBA模型對(duì)于數(shù)據(jù)的完整性提供保障。BIBA模型并沒(méi)有被用來(lái)設(shè)計(jì)平安操作系統(tǒng)，但大多數(shù)完整性保障機(jī)制都基于Biba模型的兩個(gè)根本屬性構(gòu)建。4、完整性平安模型-4完整性平安模型：

Biba模型：

1．當(dāng)完整性級(jí)別為“中完整性〞的主體訪問(wèn)完整性級(jí)別為“高完整性〞的客體時(shí)，主體對(duì)客體可讀不可寫〔nowriteup〕,也不能調(diào)用主體的任何程序和效勞；2．當(dāng)完整性級(jí)別為“中完整性〞的主體訪問(wèn)完整性級(jí)別為“中完整性〞的客體時(shí)，主體對(duì)客體可寫可讀；3．當(dāng)完整性級(jí)別為“中完整性〞的主體訪問(wèn)完整性級(jí)別為“低完整性〞的客體時(shí)，主體對(duì)客體可寫不可讀(noreaddown)；4、完整性平安模型-5完整性平安模型：

模型存取方式：

Modify，向客體中寫信息，類似其他模型的“寫〞存取方式；Invoke，Invoke操作僅能用于主體，假設(shè)兩個(gè)主體之間有Invoke權(quán)限，那么允許這兩個(gè)主體相互通信；Observe，從客體中讀取信息，類似其他模型中“讀〞存取方式；Execute，執(zhí)行一個(gè)客體〔程序〕；非自主平安策略：基于主體和客體各自的平安級(jí)別，確定主體對(duì)客體可執(zhí)行的存取方式，基于的規(guī)那么：一個(gè)主體能夠持有對(duì)給定客體的modify存取方式，僅當(dāng)此主體的完整級(jí)別支配該客體的完整級(jí)別；一個(gè)主體能夠持有對(duì)另一個(gè)主體的invoke存取方式，僅當(dāng)?shù)谝粋€(gè)主體的完整級(jí)別支配第二個(gè)主體的完整級(jí)別；一個(gè)主體能夠持有對(duì)任何客體的observe存取方式，當(dāng)主體執(zhí)行了可客體的observe操作之后，主體的完整級(jí)別被置為執(zhí)行存取之前主體和客體的完整級(jí)別的最小上界；多策略平安模型：過(guò)程開(kāi)發(fā)模型又叫混合模型〔hybridmodel〕，或元模型〔meta-model〕,把幾種不同模型組合成一種混合模型，它允許一個(gè)工程能沿著最有效的路徑開(kāi)展，這就是過(guò)程開(kāi)發(fā)模型〔或混合模型〕。實(shí)際上，一些軟件開(kāi)發(fā)單位都是使用幾種不同的開(kāi)發(fā)方法組成他們自己的混合模型。簡(jiǎn)單平安性訪問(wèn)規(guī)那么時(shí)允許一個(gè)用戶訪問(wèn)與曾經(jīng)訪問(wèn)過(guò)的公司沒(méi)有利益沖突的公司信息，簡(jiǎn)單平安性直接反映了中國(guó)墻平安策略的訪問(wèn)控制的機(jī)制，即初始時(shí)，一個(gè)主體可以自由訪問(wèn)任意的公司信息，不存在訪問(wèn)的強(qiáng)制性限制。使用矩陣來(lái)記錄主體對(duì)客體的訪問(wèn)定律： 一旦一個(gè)主體訪問(wèn)過(guò)一個(gè)客體，那其他可以被該主體訪問(wèn)的客體必須滿足：與主體訪問(wèn)過(guò)的客體在同一個(gè)公司數(shù)據(jù)集內(nèi)，或在不同的利益沖突類中；一個(gè)主體最多只能訪問(wèn)每個(gè)利益沖突類的一個(gè)公司數(shù)據(jù)集；非清潔的信息只局限在本公司數(shù)據(jù)集內(nèi)部，不能隨意流動(dòng)，而流動(dòng)之后的信息可以在系統(tǒng)中自由的流動(dòng)；5、多策略平安模型-1多策略平安模型：RBAC根本概念：基于角色的存取控制模型〔RBAC〕提供了一種強(qiáng)制存取控制機(jī)制，在一個(gè)采用RBAC作為授權(quán)存取控制的系統(tǒng)中，根據(jù)公司或組織的業(yè)務(wù)特征或管理需求，要求在系統(tǒng)內(nèi)設(shè)置假設(shè)干個(gè)稱為“角色〞的客體，用以支持RBAC授權(quán)存取控制機(jī)制的實(shí)現(xiàn)；在采用RBAC機(jī)制作為授權(quán)存取控制機(jī)制的系統(tǒng)中，由系統(tǒng)管理員負(fù)責(zé)管理系統(tǒng)的角色集合和存取權(quán)限集合，并將這些權(quán)限〔不同類別和級(jí)別〕通過(guò)相應(yīng)的角色分別賦予承擔(dān)不同工作職責(zé)的終端用戶，還可以隨時(shí)根據(jù)業(yè)務(wù)的要求或變化對(duì)角色的存取權(quán)限集和用戶所擁有的角色集進(jìn)行調(diào)整，也包括對(duì)可傳遞性的限制；在RBAC系統(tǒng)中，要求明確區(qū)分權(quán)限〔authority〕和職責(zé)〔responsibility〕，用戶組和角色最主要的區(qū)別是，用戶組作為用戶的一個(gè)集合對(duì)待，并不涉及它的授權(quán)許可，而角色那么既是一個(gè)用戶的集合，又是一個(gè)授權(quán)許可的集合。5、多策略平安模型-2多策略平安模型：

利益沖突是一個(gè)等價(jià)類，即一個(gè)公司的信息項(xiàng)只屬于一個(gè)公司數(shù)據(jù)集，一個(gè)公司數(shù)據(jù)集只屬于一個(gè)利益沖突類。5、多策略平安模型-3多策略平安模型：

用戶-角色分配〔UA〕和權(quán)限-角色分配〔PA〕都是多對(duì)多的關(guān)系，一個(gè)用戶可以有多個(gè)角色，一個(gè)角色可以賦予多個(gè)用戶，同樣一個(gè)角色可以有多個(gè)權(quán)限，一個(gè)權(quán)限可以分別賦予多個(gè)角色。5、多策略平安模型-4第04節(jié)平安系統(tǒng)結(jié)構(gòu)

知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用4WEBSEC-C02-04安全系統(tǒng)結(jié)構(gòu)1.安全體系結(jié)構(gòu)概念

√√2.安全體系結(jié)構(gòu)設(shè)計(jì)原則

√√3.安全體系結(jié)構(gòu)類型

√√1、平安體系結(jié)構(gòu)概念-1平安體系結(jié)構(gòu)概念：一個(gè)計(jì)算機(jī)系統(tǒng)〔平安操作系統(tǒng)〕的平安體系結(jié)構(gòu)，主要包含：1、詳細(xì)描述系統(tǒng)中平安相關(guān)的所有方面；包括系統(tǒng)可能提供的所有平安效勞及保護(hù)系統(tǒng)自身平安的所有平安措施，描述方式可以用自然語(yǔ)言，可以用形式語(yǔ)言；2、在一定的抽象層次上描述各個(gè)平安相關(guān)模塊之間的關(guān)系；可以用邏輯框圖來(lái)表達(dá)，用于在抽象層次上按滿足平安需求的方式來(lái)描述系統(tǒng)關(guān)鍵元素之間的關(guān)系；3、提出指導(dǎo)設(shè)計(jì)的根本原理；根據(jù)系統(tǒng)設(shè)計(jì)的要求以及工程設(shè)計(jì)的理論和方法，明確系統(tǒng)設(shè)計(jì)的各方面的根本原那么；4、根底開(kāi)發(fā)過(guò)程的根本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu)，描述確保系統(tǒng)忠實(shí)于平安需求的整個(gè)開(kāi)發(fā)過(guò)程的所有方面。

1、平安體系結(jié)構(gòu)概念-2平安體系結(jié)構(gòu)概念：系統(tǒng)開(kāi)發(fā)的概念化階段：是平安概念的最高抽象層次的處理，比方系統(tǒng)平安策略、要求的保障程度〔保障級(jí)別〕、系統(tǒng)平安要求對(duì)開(kāi)發(fā)過(guò)程的影響及總體的指導(dǎo)原那么。系統(tǒng)開(kāi)發(fā)的功能化階段：當(dāng)系統(tǒng)體系已經(jīng)確定時(shí)，平安體系必須進(jìn)一步細(xì)化來(lái)反映系統(tǒng)的結(jié)構(gòu)。平安體系結(jié)構(gòu)在整個(gè)開(kāi)發(fā)過(guò)程中必須扮演指導(dǎo)者的角色，應(yīng)該確立它的中心地址，要求所有開(kāi)發(fā)者在開(kāi)發(fā)前對(duì)平安體系結(jié)構(gòu)必須達(dá)成共識(shí)，并在開(kāi)發(fā)過(guò)程中自覺(jué)服從于平安體系結(jié)構(gòu)，到達(dá)在指導(dǎo)下協(xié)同工作的目的。

2、平安體系結(jié)構(gòu)設(shè)計(jì)原那么-1平安體系結(jié)構(gòu)設(shè)計(jì)原那么：1、從系統(tǒng)設(shè)計(jì)之初就考慮平安性；2、應(yīng)盡量考慮未來(lái)可能面臨的平安需求； 系統(tǒng)要實(shí)施平安增強(qiáng)包括兩方面問(wèn)題：第一，改進(jìn)系統(tǒng)原有的平安性； 第二，給系統(tǒng)增加新的平安屬性；3、隔離平安控制，并使其極小化； 為了實(shí)現(xiàn)平安系統(tǒng)隔離和極小化，設(shè)計(jì)時(shí)本卷須知： 第一：并不是所有的從軟件工程的角度看有效的設(shè)計(jì)原那么都很好的適用于操作平安局部的設(shè)計(jì)； 第二：盡管機(jī)制的經(jīng)濟(jì)性目標(biāo)很難到達(dá)，但是系統(tǒng)中的平安相關(guān)機(jī)制還是應(yīng)盡量簡(jiǎn)潔，易于確認(rèn)，且相對(duì)獨(dú)立，這樣有利于實(shí)現(xiàn)附加的控制來(lái)保護(hù)它們免收系統(tǒng)其他局部出錯(cuò)時(shí)帶來(lái)的危害； 第三：數(shù)據(jù)隔離必須適度，不能走極端；高度的隔離帶來(lái)高平安，也會(huì)導(dǎo)致效率的大幅度下降；

2、平安體系結(jié)構(gòu)設(shè)計(jì)原那么-2平安體系結(jié)構(gòu)設(shè)計(jì)原那么：4、實(shí)施特權(quán)極小化： 最小特權(quán)原理的內(nèi)涵是簡(jiǎn)潔的，對(duì)于平安操作系統(tǒng)的構(gòu)筑，主要包括： 1.與硬件機(jī)制相關(guān)的最小特權(quán)，即硬件特權(quán)；當(dāng)處理器不是以特權(quán)模式或特權(quán)域的方式進(jìn)行操作時(shí)，必須限制特殊指令的使用，而且限制對(duì)某些存儲(chǔ)區(qū)的訪問(wèn)，就是最小特權(quán)原理在硬件機(jī)制上的反映； 2.與軟件相關(guān)的最小特權(quán)，即軟件特權(quán)。是由操作系統(tǒng)指派給某些程序的特權(quán)，這些特權(quán)允許程序超越在用戶程序上實(shí)施的常規(guī)訪問(wèn)控制，或調(diào)用所選擇的系統(tǒng)函數(shù)； 3.最小特權(quán)保護(hù)用戶的行為以及系統(tǒng)管理者的行為；5、結(jié)構(gòu)化平安相關(guān)功能： 系統(tǒng)體系應(yīng)該可以比較容易地確定系統(tǒng)平安相關(guān)的方面，以便可以很快地對(duì)系統(tǒng)的大局部進(jìn)行檢驗(yàn)，一個(gè)好的平安體系必須是：平安控制是隔離的、極小化的、對(duì)平安相關(guān)的功能有一個(gè)清晰的且易于標(biāo)準(zhǔn)的接口。

2、平安體系結(jié)構(gòu)設(shè)計(jì)原那么-3平安體系結(jié)構(gòu)設(shè)計(jì)原那么：6、使平安相關(guān)的界面友好： 1.平安不應(yīng)當(dāng)對(duì)服從平安規(guī)那么的用戶造成功能影響； 2.給予用戶方面應(yīng)該是容易的； 3.限制用戶訪問(wèn)時(shí)容易的； 4.建立合理的默認(rèn)規(guī)那么；7、不要讓平安依賴于一些隱藏的東西 系統(tǒng)平安體系的重要目標(biāo)是讓平安防止依賴于系統(tǒng)平安機(jī)制的任何局部的保密，就是用戶不能突破系統(tǒng)，是因?yàn)橛脩魶](méi)有用戶手冊(cè)或軟件的資源列表。

3、平安體系結(jié)構(gòu)類型-1平安體系結(jié)構(gòu)類型：抽象體系〔abstractarchitecture〕 抽象體系從描述需求開(kāi)始，定義執(zhí)行這些需求的功能函數(shù)，之后定義指導(dǎo)如何選用這些功能函數(shù)及如何把這些功能有機(jī)組織成為一個(gè)整體的原理及相關(guān)的根本概念；在這個(gè)層次的平安體系就是描述平安需求，定義平安功能及它們提供的平安效勞，確定系統(tǒng)實(shí)現(xiàn)平安的指導(dǎo)原那么及根本概念。通用體系〔genericarchitecture〕 通用體系的開(kāi)發(fā)是基于抽象體系的決策來(lái)進(jìn)行的，定義了系統(tǒng)分量的通用類型〔generaltype〕及使用相關(guān)行業(yè)標(biāo)準(zhǔn)的情況，明確規(guī)定系統(tǒng)應(yīng)用中必要的指導(dǎo)原那么。邏輯體系〔logicalarchitecture〕 邏輯體系就是滿足某個(gè)假設(shè)的需求集合的一個(gè)設(shè)計(jì)，顯示了把一個(gè)通用體系應(yīng)用于具體環(huán)境時(shí)的根本情況，邏輯體系與特殊體系不同之處在于：特殊體系是使用系統(tǒng)的實(shí)際體系，而邏輯體系是假想的體系，是為理解或其他目的而提出的。

3、平安體系結(jié)構(gòu)類型-2平安體系結(jié)構(gòu)類型：特殊體系〔specificarchitecture〕 特殊平安體系要表達(dá)系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開(kāi)銷，說(shuō)明如何把所有被選擇的信息平安分量和機(jī)制結(jié)合起來(lái)以滿足正在考慮的特殊系統(tǒng)的平安需求，信息平安分量和機(jī)制主要包括根本原那么及支持平安管理的分量。

第05節(jié)權(quán)能體系

知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用5WEBSEC-C02-05權(quán)能體系1.權(quán)能體系概述

√√2.權(quán)能的控制及實(shí)現(xiàn)方法

√√3.權(quán)能體系的局限性

√√4.監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)5.檢查路由表1、權(quán)能體系概述-1權(quán)能體系概述：權(quán)能體系—作為實(shí)現(xiàn)訪問(wèn)控制的一種通用的、可塑性良好的方法。權(quán)能為訪問(wèn)客體和保護(hù)客體提供了一個(gè)統(tǒng)一的、不可旁過(guò)的方法，權(quán)能的應(yīng)用對(duì)統(tǒng)籌設(shè)計(jì)及簡(jiǎn)化證明過(guò)程有重要的影響；權(quán)能與層次設(shè)計(jì)方法是非常協(xié)調(diào)的，從權(quán)能機(jī)制很自然課導(dǎo)致使用擴(kuò)展型對(duì)象來(lái)提供抽象和保護(hù)的層次；盡管對(duì)權(quán)能提供的保護(hù)及權(quán)能的創(chuàng)立是集中式的，但是由權(quán)能實(shí)現(xiàn)的保護(hù)是可適當(dāng)分配的，權(quán)能具有傳遞能力，這樣就實(shí)現(xiàn)了機(jī)制與策略的別離。權(quán)能體系具有的性質(zhì)： 1、權(quán)能是客體在系統(tǒng)范圍使用的名字，就是說(shuō)它在整個(gè)系統(tǒng)中都是有效的，而且在整個(gè)系統(tǒng)范圍內(nèi)是唯一的，一個(gè)主體只有在具有客體所具有的權(quán)能的前提下才能訪問(wèn)該客體； 2、權(quán)能必須包含一局部用以決定該權(quán)能允許的對(duì)以它命名的客體的訪問(wèn)權(quán)，這局部權(quán)能決定了對(duì)該客體進(jìn)行訪問(wèn)必需的權(quán)利； 3、權(quán)能只能由系統(tǒng)特殊的底層局部來(lái)創(chuàng)立，而且除了約減訪問(wèn)權(quán)之外，權(quán)能不允許修改，擁有某個(gè)權(quán)能的主體有權(quán)把它作為參數(shù)來(lái)移動(dòng)、拷貝或傳遞。

1、權(quán)能體系概述-2權(quán)能體系概述：權(quán)能體系的組成：用于標(biāo)識(shí)客體的標(biāo)識(shí)符；定義客體類型的域；定義訪問(wèn)權(quán)的域；當(dāng)一個(gè)客體被創(chuàng)立時(shí)，該客體的權(quán)能也隨之創(chuàng)立，客體的初始權(quán)能包含所有對(duì)該客體的訪問(wèn)權(quán)，客體的創(chuàng)立主體可以拷貝該客體的權(quán)能給其他主體，一個(gè)權(quán)能拷貝的接受主體可以使用它來(lái)訪問(wèn)相應(yīng)的客體，或者產(chǎn)生新的拷貝傳給其他主體。當(dāng)一個(gè)權(quán)能被傳遞給另一個(gè)主體時(shí)，權(quán)能的訪問(wèn)權(quán)可以被限制，權(quán)能的每次拷貝都有可能產(chǎn)生對(duì)客體的不同的訪問(wèn)權(quán)。傳遞給另一個(gè)主體的權(quán)能的訪問(wèn)權(quán)不能大于對(duì)該權(quán)能拷貝所獲取的訪問(wèn)權(quán)。

2、權(quán)能的控制及實(shí)現(xiàn)方法-1權(quán)能的控制及實(shí)現(xiàn)方法：獲取對(duì)權(quán)能的控制的方法：第一種是一直讓權(quán)能存儲(chǔ)在特殊的位置上；比方權(quán)能段和權(quán)能存放器；第二種是每個(gè)存儲(chǔ)字后加上一個(gè)額外的標(biāo)簽比特，必須是用戶不能訪問(wèn)的，這個(gè)標(biāo)簽比特確定了這個(gè)字是否包含一個(gè)權(quán)能，接著硬件按權(quán)能確定的方式來(lái)修改字；第二種方法避開(kāi)了對(duì)權(quán)能如何存儲(chǔ)、移動(dòng)及拷貝的各種嚴(yán)格限制，因?yàn)闃?biāo)識(shí)符可以是指向客體的指針，可以包含客體的地址和地址上界。

3、監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)-1netstat命令：功能說(shuō)明：顯示網(wǎng)絡(luò)狀態(tài)。

語(yǔ)

法：netstat

[-acCeFghilMnNoprstuvVwx]

[-A<網(wǎng)絡(luò)類型>][--ip]

補(bǔ)充說(shuō)明：利用netstat指令可讓你得知整個(gè)Linux系統(tǒng)的網(wǎng)絡(luò)情況。

參

數(shù)：

-a或–all

顯示所有連線中的Socket；-A<網(wǎng)絡(luò)類型>或–<網(wǎng)絡(luò)類型>

列出該網(wǎng)絡(luò)類型連線中的相關(guān)地址；

-c或–continuous

持續(xù)列出網(wǎng)絡(luò)狀態(tài)；-C

或–cache

顯示路由器配置的快取信息；

-e或–extend

顯示網(wǎng)絡(luò)其他相關(guān)信息；-F或

–fib

顯示FIB；

-g或–groups

顯示多重播送功能群組組員名單；

-l或–listening

顯示監(jiān)控中的效勞器的Socket；

3、監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)-2netstat命令：

$netstat-a #顯示當(dāng)前系統(tǒng)的信息并列出所有端口信息$netstat–nu #顯示當(dāng)期UDP網(wǎng)絡(luò)的連接情況$netstat-apu #顯示UDP端口號(hào)的使用情況$netstat–i #顯示網(wǎng)卡列表$netstat–g #顯示組播組的關(guān)系

4、檢查路由表-1route命令：功能：設(shè)置和查看路由表；命令格式：#route[add|del][-net|-host]target[netmaskNm][gwGw][[dev]If][參數(shù)][主機(jī)]舉例：命令參數(shù)：add:添加一條路由規(guī)那么；del:刪除一條路由規(guī)那么；-net:目的地址是一個(gè)網(wǎng)絡(luò)；-host:目的地址是一個(gè)主機(jī)；target:目的網(wǎng)絡(luò)或主機(jī)；

$routebaidu #route簡(jiǎn)單、常用的方法來(lái)獲 #取數(shù)據(jù)包從出發(fā)點(diǎn)到目的地的路由路徑

4、檢查路由表-1route命令輸出項(xiàng)說(shuō)明：

輸出項(xiàng)說(shuō)明Destination目標(biāo)網(wǎng)段或者主機(jī)Gateway網(wǎng)關(guān)地址，“*”表示目標(biāo)是本主機(jī)所屬的網(wǎng)絡(luò)，不需要路由Genmask網(wǎng)絡(luò)掩碼Metric路由舉例，到達(dá)指定網(wǎng)絡(luò)所需的中轉(zhuǎn)數(shù)Ref路由項(xiàng)引發(fā)次數(shù)Use此路由被路由軟件查找的次數(shù)FlagU–路由是活動(dòng)的H–目標(biāo)是一個(gè)主機(jī)G–路由指向網(wǎng)關(guān)R–恢復(fù)動(dòng)態(tài)路由產(chǎn)生的表項(xiàng)Iface該路由表項(xiàng)對(duì)應(yīng)的輸出接口第06節(jié)Flask平安體系

知識(shí)點(diǎn)預(yù)覽#節(jié)知識(shí)點(diǎn)難點(diǎn)重點(diǎn)應(yīng)用6WEBSEC-C02-06Flask安全體系1.Flask安全體系概述

√√2.Flask體系策略分析

√√3.Flask體系設(shè)計(jì)與實(shí)現(xiàn)

√√4.常規(guī)支持機(jī)制√5.其他flask對(duì)象管理器√1、Flask平安體系概述-1Flask平安體系概述：Flask體系結(jié)構(gòu)是策略可變通性的實(shí)現(xiàn)成為了可能，通過(guò)對(duì)Flask體系的微內(nèi)核操作系統(tǒng)的原型實(shí)驗(yàn)說(shuō)明，成功克服了策略可變通性帶來(lái)的障礙；平安機(jī)構(gòu)中機(jī)制和策略的清晰區(qū)分，使得系統(tǒng)可以使用比以前更少的策略來(lái)支持更多的平安策略集合；Flask包括一個(gè)平安策略效勞器來(lái)制定訪問(wèn)控制決策，一個(gè)微內(nèi)核和系統(tǒng)其他客體管理器框架來(lái)執(zhí)行訪問(wèn)控制決策；由直接集成到系統(tǒng)的效勞來(lái)提供組件的執(zhí)行機(jī)制，支持精細(xì)訪問(wèn)控制和運(yùn)行對(duì)以前授予訪問(wèn)權(quán)限的撤回的動(dòng)態(tài)策略，有原始的性能結(jié)論和對(duì)編碼變化的數(shù)量和擴(kuò)散統(tǒng)計(jì)顯示，系統(tǒng)平安策略的可變通性的影響被降低到最??；在最高層抽象中，F(xiàn)lask可變通性平安模式與訪問(wèn)控制通用框架〔GFAC〕是一致的，GFAC模式假定系統(tǒng)所有的控制操作是由同樣的策略考慮的原子操作來(lái)執(zhí)行的，在實(shí)際系統(tǒng)中難以到達(dá)。

1、Flask平安體系概述-2Flask平安體系概述：Flask原型是一個(gè)基于微內(nèi)核的操作系統(tǒng)來(lái)實(shí)現(xiàn)，支持硬件強(qiáng)行對(duì)進(jìn)程地址空的別離；lask平安體系結(jié)構(gòu)提供從平安效勞器檢索訪問(wèn)、標(biāo)記和多例化判定的接口。訪問(wèn)判定指主體對(duì)客體操作的一個(gè)權(quán)限是否得到批準(zhǔn)。標(biāo)記指分配給一個(gè)客體的平安屬性標(biāo)簽。多例化判定指一個(gè)特定的請(qǐng)求應(yīng)該從多例化資源中選取哪一個(gè)。Flask平安體系結(jié)構(gòu)還提供一個(gè)訪問(wèn)向量緩存〔AVC〕模塊，該模塊允許從客體管理器緩存中直接取出緩存的判定結(jié)果，以提高執(zhí)行速度。Flask框架的平安效勞器的平安策略由四個(gè)子策略組成：多級(jí)平安〔MLS〕策略、類型加強(qiáng)〔TE〕策略、基于標(biāo)識(shí)的訪問(wèn)控制〔IBAC〕策略和基于角色的訪問(wèn)控制〔RBAC〕策略。平安效勞器提供的訪問(wèn)判定必須滿足每個(gè)子策略的要求。

1、Flask平安體系概述-3Flask平安體系概述：平安效勞器定義了一個(gè)由類型加強(qiáng)〔TE〕策略、基于角色的訪問(wèn)控制〔RBAC〕策略和多級(jí)平安〔MLS〕策略組合成的策略決策系統(tǒng)。其中，TE和RBAC策略是平安策略的必要局部，MLS策略是可選的，當(dāng)內(nèi)核配置選項(xiàng)CONFIG_FLASK_MLS翻開(kāi)時(shí)，系統(tǒng)提供MLS策略支持。Flask體系結(jié)構(gòu)為平安標(biāo)記定義了兩個(gè)獨(dú)立于策略的數(shù)據(jù)類型：平安上下文〔context〕和平安標(biāo)識(shí)符〔SID〕。平安上下文是由可變長(zhǎng)字符串表示的平安標(biāo)記，存在于文件的擴(kuò)展屬性中。SID是被平安效勞器映射到對(duì)應(yīng)平安上下文的整數(shù)。Flask客體管理器負(fù)責(zé)將平安標(biāo)簽綁定到客體上、綁定SID到內(nèi)核對(duì)象上。一個(gè)平安上下文〔或稱為標(biāo)簽〕由用戶ID、角色、類型和可選的MLS分級(jí)屬性或分類屬性組成。角色僅與進(jìn)程相關(guān)，因而文件平安上下文有一個(gè)通用的object_r的角色。