網(wǎng)絡(luò)安全技術(shù)第02章操作系統(tǒng)安全

網(wǎng)站平安技術(shù)第02章操作系統(tǒng)平安本章內(nèi)容WEBSEC-C02-01操作系統(tǒng)平安概述WEBSEC-C02-02Unix/Linux平安機制WEBSEC-C02-03系統(tǒng)平安模型WEBSEC-C02-04平安系統(tǒng)結(jié)構(gòu)WEBSEC-C02-05權(quán)能體系WEBSEC-C02-06Flask平安體系WEBSEC-C02-07LSM平安框架WEBSEC-C02-08平安操作系統(tǒng)設(shè)計WEBSEC-C02-09經(jīng)典SELinux系統(tǒng)平安設(shè)計本章目標(biāo)1、掌握WEB應(yīng)用在系統(tǒng)各層的平安實現(xiàn)2、掌握維護系統(tǒng)平安的根本技術(shù)3、熟悉經(jīng)典SELinux系統(tǒng)設(shè)計第01節(jié)操作系統(tǒng)平安概述知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用1WEBSEC-C02-01操作系統(tǒng)安全概述1.操作系統(tǒng)面臨安全威脅

√√2.可信軟件和不可信軟件

√√3.安全策略和安全模型√√√4.系統(tǒng)訪問控制思想√√√5.可信計算基礎(chǔ)√√1.操作系統(tǒng)面臨平安威脅-1操作系統(tǒng)面臨平安威脅:平安操作系統(tǒng)是指計算機信息系統(tǒng)在自主訪問控制、強制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個方面滿足相應(yīng)的平安技術(shù)要求。平安操作系統(tǒng)主要特征： 1、最小特權(quán)原那么，即每個特權(quán)用戶只擁有能進行他工作的權(quán)力；2、自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制； 3、平安審計； 4、平安域隔離。只要有了這些最底層的平安功能，各種混為“應(yīng)用軟件〞的病毒、木馬程序、網(wǎng)絡(luò)入侵和人為非法操作才能被真正抵抗，因為它們違背了操作系統(tǒng)的平安規(guī)那么，也就失去了運行的根底。1.操作系統(tǒng)面臨平安威脅-2操作系統(tǒng)面臨平安威脅:病毒和蠕蟲：指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼〞。與醫(yī)學(xué)上的“病毒〞不同，計算機病毒不是天然存在的，是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(zhì)〔或程序〕里，當(dāng)?shù)竭_某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大。病毒的根本特點：1、隱蔽性：病毒程序代碼駐存在磁盤等介質(zhì)上，無法以操作系統(tǒng)提供的文件管理方法來檢測和查看。2、傳染性：當(dāng)用戶利用磁盤片、網(wǎng)絡(luò)等載體交換信息時，病毒程序趁機以用戶不能覺察的方式隨之傳播；即使在同一臺計算機上，病毒程序也能在磁盤上的不同區(qū)域間進行傳播，附著在多個文件上。1.操作系統(tǒng)面臨平安威脅-3操作系統(tǒng)面臨平安威脅:病毒的根本特點：3、潛伏性：病毒程序感染正常的計算機之后，一般不會立即發(fā)作，而是潛伏下來，等到激發(fā)條件〔比方日期、時間、特定的字符串〕滿足時才觸發(fā)執(zhí)行惡意代碼局部，從而產(chǎn)生破壞作用。4、破壞性：當(dāng)病毒發(fā)作時，會在屏幕上輸出一系列不正常的信息，同時破壞磁盤上的數(shù)據(jù)文件和程序；如果是引導(dǎo)型病毒，會使計算機無法啟動。1.操作系統(tǒng)面臨平安威脅-4操作系統(tǒng)面臨平安威脅:蠕蟲：蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序〔或是一套程序〕，它能傳播自身功能的拷貝或自身〔蠕蟲病毒〕的某些局部到其他的計算機系統(tǒng)中〔通常是經(jīng)過網(wǎng)絡(luò)連接〕。蠕蟲可以侵入合法數(shù)據(jù)處理程序，更改或破壞這些數(shù)據(jù)。盡管蠕蟲不像病毒那樣復(fù)制自身，蠕蟲攻擊帶來的破壞可能與病毒一樣嚴(yán)重，最具代表性的是Ska蠕蟲是一個Windows電子郵件和新聞組蠕蟲，被偽裝成Happy99.exe的電子郵件附件，運行之后，每個從本機發(fā)送的電子郵件和新聞組布告都會導(dǎo)致再次發(fā)送消息。1.操作系統(tǒng)面臨平安威脅-5操作系統(tǒng)面臨平安威脅:蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為〞宿主〞，例如，windows下可執(zhí)行文件的格式為pe格式(PortableExecutable)，當(dāng)需要感染pe文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權(quán)交給宿主原來的程序指令。可見，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。隨著網(wǎng)絡(luò)和病毒編寫技術(shù)的開展，綜合利用多種途徑的蠕蟲也越來越多，比方有的蠕蟲病毒就是通過電子郵件傳播，同時利用系統(tǒng)漏洞侵入用戶系統(tǒng)。還有的病毒會同時通過郵件、聊天軟件等多種渠道傳播。1.操作系統(tǒng)面臨平安威脅-6操作系統(tǒng)面臨平安威脅:邏輯炸彈：是指在特定邏輯條件滿足時，實施破壞的計算機程序，該程序觸發(fā)后造成計算機數(shù)據(jù)喪失、計算機不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。邏輯炸彈的危害：(1)邏輯炸彈可以直接破壞計算機軟件產(chǎn)品的使用當(dāng)事人的計算機數(shù)據(jù)。而在微機公用的前提下，惡性炸彈的破壞具有較寬的涉及范圍。(2)引發(fā)連帶的社會災(zāi)難。包括直接和簡介的損失，如經(jīng)濟損失、企業(yè)虧損、資料喪失、科學(xué)研究的永久性失敗、當(dāng)事人承受精神打擊、失業(yè)或家庭破裂、連帶的經(jīng)濟犯罪、刑事犯罪、或相關(guān)人的生命平安等等。(3)邏輯炸彈的邏輯條件具有不可控制的意外性。這次無辜用戶遭受襲擊，就是因為好奇而誤用了具有特殊磁道的誘因軟盤，還有的用戶是因為操作順序不當(dāng)引起的1.操作系統(tǒng)面臨平安威脅-7操作系統(tǒng)面臨平安威脅:邏輯炸彈的危害：(4)邏輯條件的判斷很可能失常，以江民炸彈為例，比方，軟盤驅(qū)動器的故障、磁盤的故障都是誘發(fā)邏輯炸彈的潛在因素。這雖然不是高概率事件，但卻具有不可控性。(5)邏輯炸彈本身雖然不具備傳播性，但是誘因的傳播是不可控的。(6)新的病毒可以成為邏輯炸彈的新誘因，比方在軟盤拷貝(如KV300升級)過程中，已經(jīng)駐留而又沒有被發(fā)現(xiàn)的病毒可以給軟盤加工一下，使得正版磁盤成為誘因；(7)由于邏輯炸彈不是病毒體，因此無法正常復(fù)原和去除，必須對有炸彈的程序?qū)嵤┢平猓@個工作是比較困難的。1.操作系統(tǒng)面臨平安威脅-8操作系統(tǒng)面臨平安威脅:特洛伊木馬：完整的特洛伊木馬套裝程序含了兩局部：效勞端〔效勞器局部〕和客戶端〔控制器局部〕。植入對方電腦的是效勞端，而黑客正是利用客戶端進入運行了效勞端的電腦。運行了木馬程序的效勞端以后，會產(chǎn)生一個有著容易迷惑用戶的名稱的進程，暗中翻開端口，向指定地點發(fā)送數(shù)據(jù)〔如網(wǎng)絡(luò)游戲的密碼，實時通信軟件密碼和用戶上網(wǎng)密碼等〕，黑客甚至可以利用這些翻開的端口進入電腦系統(tǒng)。這時你電腦上的各種文件、程序，以及在你電腦上使用的賬號、密碼無平安可言。特洛伊木馬必須具有以下幾項功能才能成功地侵入計算機系統(tǒng)：1、入侵者寫一段程序進行非法操作，程序的行為方式不會引起用戶的疑心；2、必須設(shè)計出某種策略誘使受騙者接收程序；3、必須使受騙者運行該程序；4、入侵者必須由某種手段回收有特洛伊木馬作為它帶來的實際利益；1.操作系統(tǒng)面臨平安威脅-9操作系統(tǒng)面臨平安威脅:特征特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運行時不會浪費太多資源，因此沒有使用殺毒軟件是難以覺察的；運行時很難阻止它的行動，運行后，立刻自動登錄在系統(tǒng)啟動區(qū)，之后每次在Windows加載時自動運行；或立刻自動變更文件名，甚至隱形；或馬上自動復(fù)制到其他文件夾中，運行連用戶本身都無法運行的動作；或瀏覽器自動連往奇怪或特定的網(wǎng)頁。特性

⒈包含在正常程序中，當(dāng)用戶執(zhí)行正常程序時，啟動自身，在用戶難以覺察的情況下，完成一些危害用戶的操作，具有隱蔽性。 ⒉具有自動運行性。木馬為了控制效勞端。它必須在系統(tǒng)啟動時即跟隨啟動，所以它必須潛人在你的啟動配置文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。 3.具備自動恢復(fù)功能。很多的木馬程序中的功能模塊巴不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)可信軟件和不可信軟件：將軟件分為三大可信類別：可信的—軟件保證可以平安運行，并且后來系統(tǒng)的平安也依賴于軟件的無錯操作；良性的–軟件并不能確保平安運行，但由于使用了特權(quán)或?qū)γ舾行畔⒌拇嫒?quán)，因而必須確信它不會有意的違反規(guī)那么；良性軟件的錯誤被視作偶然性的，這類錯誤不會影響系統(tǒng)的平安；惡意的—軟件來源不明，從平安的角度出發(fā)，該軟件必須被當(dāng)做惡意的，認(rèn)為將對系統(tǒng)進行破壞；系統(tǒng)內(nèi)有一條將惡意程序和有錯的良性程序分開的細(xì)微界限：有錯的良性程序不會泄露或者破壞數(shù)據(jù)，但不能保證它偶爾與惡意程序有同樣的不良效果。由于沒有一個客觀的方法度量兩者之間的區(qū)別和差異，經(jīng)常把良性和惡意軟件歸為一類，即不可信軟件。2、可信軟件和不可信軟件-12、可信軟件和不可信軟件-2外部測量內(nèi)部質(zhì)量屬性外部質(zhì)量屬性使用質(zhì)量屬性過程質(zhì)量過程過程測量內(nèi)部測量使用質(zhì)量的測量軟件產(chǎn)品軟件產(chǎn)品的效用使用條件影響影響影響依賴依賴依賴過程質(zhì)量有助于提高產(chǎn)品質(zhì)量產(chǎn)品質(zhì)量有助于提高使用質(zhì)量用戶質(zhì)量要求使用質(zhì)量內(nèi)部質(zhì)量需求內(nèi)部質(zhì)量外部質(zhì)量需求外部質(zhì)量使用和反饋確認(rèn)驗證有助于確定指示指示有助于確定2、可信軟件和不可信軟件-3外部和內(nèi)部質(zhì)量功能性可靠性易用性效率維護性可移植性適合性準(zhǔn)確性互操作性保密安全性功能性的依從性成熟性容錯性易恢復(fù)性可靠性的依從性易理解性易學(xué)性易操作性吸引性易用性的依從性時間特性資源利用性效率的依從性易分析性易改變性穩(wěn)定性易測試性維護性的依從性適應(yīng)性易安裝性共存性易替換性可移植性的依從性***的依從性：軟件產(chǎn)品遵循與***相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的能力2、可信軟件和不可信軟件-4平安策略和平安模型：四層平安體系結(jié)構(gòu)：所謂平安體系結(jié)構(gòu)是把信息平安保障技術(shù)集成起來所構(gòu)成的模型；是以平安防御為著眼點，以信息在系統(tǒng)中平安無縫的流動為目標(biāo)，以系統(tǒng)的平安需求和平安策略為依據(jù)，為實現(xiàn)整個系統(tǒng)的平安提供根底。平安體系結(jié)構(gòu)是一般的、抽象的體系結(jié)構(gòu)而不涉及具體的實際組件或軟硬件；多網(wǎng)層：大型的網(wǎng)絡(luò)或系統(tǒng)由于物理和平安等原因，通常是由小型的網(wǎng)絡(luò)和系統(tǒng)關(guān)聯(lián)起來構(gòu)成的，小型的系統(tǒng)和網(wǎng)絡(luò)通常是一些物理上隔開或邏輯上不同的通信網(wǎng)絡(luò)。單網(wǎng)層：這一層所關(guān)心的是構(gòu)成多網(wǎng)層中的那些單個網(wǎng)絡(luò)，單網(wǎng)層分析單個網(wǎng)絡(luò)內(nèi)存在的平安問題并給出相對應(yīng)的平安防范措施。設(shè)備層：任何一個網(wǎng)絡(luò)必然都是由各種各樣的設(shè)備構(gòu)成，從平安角度把構(gòu)成網(wǎng)絡(luò)的這些設(shè)備抽象成一個層次----設(shè)備層；設(shè)備層處理設(shè)備范圍內(nèi)出現(xiàn)的平安問題：傳輸鏈路、交換機和管理控制設(shè)施等設(shè)備中與平安有關(guān)的問題。數(shù)據(jù)層：數(shù)據(jù)是網(wǎng)絡(luò)中最重要的資源，貫穿于網(wǎng)絡(luò)的各個層次。在對數(shù)據(jù)的存儲、傳輸、轉(zhuǎn)移過程中可能存在的平安問題。將數(shù)據(jù)層抽象出來便于集中考慮數(shù)據(jù)平安問題。3、平安策略和平安模型-1平安策略和平安模型：在根本的平安模型中，通信的雙方在進行信息傳輸前，先建立起一條邏輯通道，并提供平安的機制和效勞，來實現(xiàn)在開放網(wǎng)絡(luò)環(huán)境中信息的平安傳輸。信息的平安傳輸主要包括兩個局部：1、從源節(jié)點發(fā)出的信息，使用如信息加密等加密技術(shù)對其進行平安的轉(zhuǎn)發(fā)，從而實現(xiàn)該信息的保密性，同時也可以在該信息中附加一些特征的信息，作為源節(jié)點的身份驗證。2、源節(jié)點與目的節(jié)點應(yīng)該共享如加密密鑰這樣的保密信息，這些信息除了發(fā)送雙方和可信任的第三方以外，對其他用戶都是保密的。3、平安策略和平安模型-24、系統(tǒng)訪問控制思想-1系統(tǒng)訪問控制思想：引用監(jiān)控器〔ReferenceMonitor〕目標(biāo)是解決用戶程序的運行控制問題，根本職能是以訪問控制信息庫為依據(jù)，對主體〔用戶〕訪問客體〔如系統(tǒng)中的各種資源〕的行為進行平安驗證，以此實現(xiàn)受控的資源共享。平安策略所要求的的訪問判定以抽象訪問控制數(shù)據(jù)庫中的信息為依據(jù)，訪問判定是平安策略的具體表現(xiàn)。訪問控制數(shù)據(jù)庫包含有關(guān)主體訪問客體及其訪問模式的信息，數(shù)據(jù)庫是動態(tài)的，隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的修改而改變。4、系統(tǒng)訪問控制思想-2系統(tǒng)訪問控制思想：引用驗證機制〔RVM—ReferenceValidationMechanism〕需要滿足三個原那么：1、RVM必須具有自我保護能力，即RVM即使受到攻擊也能保持自身的完整性；2、RVM必須總是處于活動狀態(tài)，即確保主體對客體的所有引用都得到RVM的仲裁；3、RVM必須足夠小巧，以利于分析和測試，從而能夠方便地證明或驗證RVM的設(shè)計與實現(xiàn)的正確性；4、系統(tǒng)訪問控制思想-3系統(tǒng)訪問控制思想：平安內(nèi)核的設(shè)計和實現(xiàn)的三個根本原那么：1.完整性原那么 完整性原那么要求主體引用客體時必須通過平安內(nèi)核，即所有信息的訪問都必須經(jīng)過平安內(nèi)核；但是操作系統(tǒng)的實現(xiàn)與完整性原那么的明確要求之間有差距：操作系統(tǒng)認(rèn)為系統(tǒng)的信息存在于明顯的地方，比方文件，內(nèi)存和輸入輸出緩沖區(qū)；2.隔離性原那么隔離性原那么要求平安內(nèi)核具有防篡改的能力，即可以保護自己，防止偶然破壞。3.可驗證性原那么 可驗證性原那么通過如下一些設(shè)計要素來實現(xiàn)： 利用最新的軟件工程技術(shù)，包括結(jié)構(gòu)設(shè)計、模塊化、信息隱藏、分層、抽象說明以及適宜的高級語言； 內(nèi)核接口簡單化； 代碼檢查；5、可信計算根底-1可信計算根底：操作系統(tǒng)的平安依賴于具體實施平安策略的可信的軟件和硬件；這些硬件、軟件和負(fù)責(zé)系統(tǒng)平安管理的人員一起組成了系統(tǒng)的可信計算基〔TrustedComputingBase，TCB〕。具體的組成局部： 1、操作系統(tǒng)的平安內(nèi)核； 2、具有特權(quán)的程序和命令； 3、處理敏感信息的程序，如系統(tǒng)管理命令等； 4、與TCB實施平安策略有關(guān)的文件； 5、其他有關(guān)的固件、硬件和設(shè)備； 6、負(fù)責(zé)系統(tǒng)管理的人員 7、保障固件和硬件正確的程序和診斷軟件；5、可信計算根底-2可信計算根底：可信計算基的軟件局部是平安操作系統(tǒng)的核心內(nèi)容，完成的任務(wù)：內(nèi)核的良好定義和平安運行方式；標(biāo)識系統(tǒng)中的每個用戶；保持用戶到TCB登錄的可信路徑；實施主體對客體的存取控制；維持TCB功能的正確性；監(jiān)視和記錄系統(tǒng)中的有關(guān)事件；在一個通用的平安操作系統(tǒng)中，TCB為用來構(gòu)成一個平安操作系統(tǒng)的所有平安保護裝置的組合體。第02節(jié)路由守護進程與協(xié)議知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用2WEBSEC-C02-02路由守護進程與協(xié)議1.硬件安全機制

√√2.系統(tǒng)運行保護

√√3.Unix系統(tǒng)標(biāo)識和鑒別√√4.Unix系統(tǒng)訪問控制√5.POSIX權(quán)能機制√6.Unix系統(tǒng)密碼√7.Unix系統(tǒng)網(wǎng)絡(luò)安全性√1、硬件平安機制-1硬件平安機制：操作系統(tǒng)的平安性需要考慮的方面： 1、物理上別離：要求進程使用不同的物理實體； 2、時間上別離：具有不同平安要求的進程在不同的時間運行； 3、邏輯上別離：操作系統(tǒng)通過限制程序的訪問，使程序不能訪問其允許之外的實體； 4、密碼上別離：進程以一種其他進程不可知的方式隱藏數(shù)據(jù)及計算；操作系統(tǒng)平安的主要目標(biāo)：依據(jù)系統(tǒng)平安策略對用戶的操作進行訪問控制，防止用戶對計算機資源的非法訪問〔竊取、篡改和破壞〕；標(biāo)識系統(tǒng)中的用戶和身份鑒別；監(jiān)督系統(tǒng)運行的平安性；保證系統(tǒng)自身的平安性和完整性；

1、硬件平安機制-2硬件平安機制：存儲器管理根本概念：虛地址空間：一個進程的運行需要一個“私有的〞存儲空間，進程的程序與數(shù)據(jù)都存于該空間，這個空間不包括該進程通過I/O指令訪問的輔存空間〔磁帶、磁盤〕；這個進程地址空間中，每一個字都有一個固定的虛地址〔并不是目標(biāo)的物理地址，但每一個虛地址可映射成一個物理地址〕，進程通過這個虛地址訪問這個字。段：一個進程的虛地址空間至少要被分為兩局部或兩個段：一個用于用戶程序與數(shù)據(jù)，稱為用戶空間；另一個用于操作系統(tǒng)，稱為系統(tǒng)空間；兩者的隔離是靜態(tài)的，比較簡單。駐留在內(nèi)存中的操作系統(tǒng)可以由所有進程分享，最靈活的分段虛存方式是：允許一個進程擁有很多段，這些段中的任何一個都可以由其他進程共享。

1、硬件平安機制-3硬件平安機制：物理內(nèi)存就是系統(tǒng)硬件提供的內(nèi)存大小，是真正的內(nèi)存，相對于物理內(nèi)存，在Linux下還有一個虛擬內(nèi)存的概念，虛擬內(nèi)存就是為了滿足物理內(nèi)存的缺乏而提出的策略，它是利用磁盤空間虛擬出的一塊邏輯內(nèi)存，用作虛擬內(nèi)存的磁盤空間被稱為交換空間〔SwapSpace〕。作為物理內(nèi)存的擴展，Linux會在物理內(nèi)存缺乏時，使用交換分區(qū)的虛擬內(nèi)存，更詳細(xì)的說，就是內(nèi)核會將暫時不用的內(nèi)存塊信息寫到交換空間，這樣以來，物理內(nèi)存得到了釋放，這塊內(nèi)存就可以用于其它目的，當(dāng)需要用到原始的內(nèi)容時，這些信息會被重新從交換空間讀入物理內(nèi)存。

1、硬件平安機制-4硬件平安機制：通過監(jiān)控內(nèi)存有助于了解內(nèi)存的使用狀態(tài)，比方內(nèi)存占用是否正常，內(nèi)存是否緊缺等等，監(jiān)控內(nèi)存最常使用的命令有free、top。total：物理內(nèi)存的總大小used：已經(jīng)使用的物理內(nèi)存大小free：空閑的物理內(nèi)存大小shared：多個進程共享的內(nèi)存大小buffers/cached：磁盤緩存的大小第二行Mem：代表物理內(nèi)存使用情況第三行(-/+buffers/cached)：代表磁盤緩存使用狀態(tài)第四行：Swap表示交換空間內(nèi)存使用狀態(tài)

#free total

used

free

shared

buffers

cached

Mem:

3894036

3473544

420492

0

72972

1332348

-/+

buffers/cache:

2068224

1825812

Swap:

4095992

906036

31899561、硬件平安機制-5硬件平安機制：計算機系統(tǒng)提供透明的內(nèi)存管理之前，訪問判決是基于物理頁號的識別，每個物理頁號都被標(biāo)以一個稱為密鑰的秘密信息；系統(tǒng)只允許擁有該密鑰的進程訪問該物理頁，同時利用一些訪問控制信息指明該頁是的讀寫屬性；每個進程相應(yīng)地分配一個密鑰，該密鑰由操作系統(tǒng)裝入進程的狀態(tài)字中，每次執(zhí)行進程訪問內(nèi)存的操作時，由硬件對該密鑰進行檢驗，只有當(dāng)進程的密鑰與內(nèi)存物理頁的密鑰相匹配，并且相應(yīng)的訪問控制信息與該物理頁的讀寫模式想匹配時，才允許該進程訪問該頁內(nèi)存，否那么禁止訪問。2、系統(tǒng)運行保護-1系統(tǒng)運行保護運行域時進程運行的區(qū)域，在最內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，在最外層具有最大環(huán)號的環(huán)是最小的特權(quán)環(huán)；環(huán)形結(jié)構(gòu)中，最內(nèi)層是操作系統(tǒng)，控制整個計算機系統(tǒng)的運行，靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)；最外層是控制不同用戶的應(yīng)用環(huán)；等級域機制應(yīng)該保護某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的進程能夠有效的控制和利用該環(huán)以及低于該環(huán)特權(quán)的環(huán)；當(dāng)一個進程在某個環(huán)內(nèi)運行時，進程隔離機制將保護該進程免遭在同一環(huán)內(nèi)同時運行其他進程破壞，系統(tǒng)將隔離在同一環(huán)內(nèi)同時運行的各個進程；對于以給定的內(nèi)存段，僅需三個區(qū)域〔表示三種訪問模式〕，稱為環(huán)界〔Ringbracket〕，R1，R2，R3分別表示該段可以寫、讀和運行的環(huán)界。R1R2R32、系統(tǒng)運行保護-2系統(tǒng)運行保護環(huán)內(nèi)某一進程對內(nèi)存某段具有寫操作的特權(quán)，就不用限制該段的讀與運行操作特權(quán)；如果進程對某段具有讀操作的特權(quán)，那當(dāng)然允許其運行該段的內(nèi)容；所以，實際上總是設(shè)置：如果某段對具有較低特權(quán)的環(huán)是可寫的，那么在較高特權(quán)環(huán)內(nèi)運行該段的內(nèi)容將是危險的，因為該段內(nèi)容中可能含有破壞系統(tǒng)運行或偷竊系統(tǒng)機密信息的非法程序。I/O保護：I/O操作通常是由操作系統(tǒng)完成的特權(quán)操作，所有操作系統(tǒng)都對讀寫文件操作提供一個相應(yīng)的高層系統(tǒng)調(diào)用，由于所有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，所以一個進行I/O操作的進程必須受到對設(shè)備的讀寫兩種訪問控制。R1<=R2<=R33、Unix系統(tǒng)標(biāo)識和鑒別-1Unix系統(tǒng)標(biāo)識和鑒別：系統(tǒng)上的所有都需要進行標(biāo)識和鑒別，需要建立一個登錄進程與用戶交互以得到用于標(biāo)識與鑒別的必要信息；用戶提供一個唯一的用戶標(biāo)識給TCB；接著TCB對用戶進行相應(yīng)的驗證；TCB必須能證實該用戶確實對應(yīng)于所提供的標(biāo)識符，需要處理：1、在進行任何需要TCB仲裁的操作之前，TCB都應(yīng)該要求用戶標(biāo)識他們自己，通過向每個用戶提供唯一的標(biāo)識，TCB維護每個用戶的記賬信息；2、TCB必須維護認(rèn)證數(shù)據(jù)，包括證實用戶身份的信息以及決定用戶策略屬性的信息〔比方groups〕，這些數(shù)據(jù)用來認(rèn)證用戶身份，并確保那些代表用戶行為，位于TCB之外的主體的屬性對系統(tǒng)策略的滿足；3、TCB保護認(rèn)證數(shù)據(jù)，防止被非法用戶使用，即使在用戶標(biāo)識無效的情況下，TCB仍執(zhí)行全部的認(rèn)證過程，當(dāng)用戶連續(xù)執(zhí)行認(rèn)證過程，超過系統(tǒng)管理員指定的次數(shù)而認(rèn)證仍然失敗，TCB應(yīng)關(guān)閉此登錄會話。

3、Unix系統(tǒng)標(biāo)識和鑒別-2Unix系統(tǒng)標(biāo)識和鑒別：TCB必須能證實該用戶確實對應(yīng)于所提供的標(biāo)識符，需要處理：4、TCB能維護、保護、顯示所有活動用戶和所有賬戶的狀態(tài)信息。5、一旦口令被用作一種保護機制，要滿足：當(dāng)用戶選擇了一個其他用戶已使用的口令時，TCB保持沉默；TCB應(yīng)以單向加密方式存儲口令，訪問加密口令必須具有特權(quán)；在口令輸入或顯示設(shè)備上，TCB應(yīng)自動隱藏口令明文；普通操作過程中，TCB在默認(rèn)情況下禁止使用空口令；TCB提供一種保護機制允許用戶更換自己的口令，這種機制重新認(rèn)證用戶身份；對每一個用戶或每一組用戶，TCB必須加強口令失效管理；

4、Unix系統(tǒng)訪問控制-1Unix系統(tǒng)訪問控制：在計算機系統(tǒng)中，平安機制的主要內(nèi)容是訪問控制，包含的任務(wù)是： 1、授權(quán)：確定可給予主體訪問客體的權(quán)利； 2、確定訪問權(quán)限〔讀、寫、執(zhí)行、刪除、追加等訪問方式的組合〕； 3、實施訪問權(quán)限；訪問控制是指控制系統(tǒng)中主體〔例如進程〕對客體〔例如文件目錄等〕的訪問〔例如讀、寫和執(zhí)行等〕。自主訪問控制中主體對客體的訪問權(quán)限是由客體的屬主決定的，也就是說系統(tǒng)允許主體〔客體的擁有者〕可以按照自己的意愿去制定誰以何種訪問模式去訪問該客體。訪問控制由最根本的三要素組成：

主體〔Subject〕：可以對其他實體施加動作的主動實體，如用戶、進程、I/O設(shè)備等。

客體〔Object〕：接受其他實體訪問的被動實體，如文件、共享內(nèi)存、管道等。

控制策略〔Control

Strategy〕：主體對客體的操作行為集和約束條件集，如訪問矩陣、訪問控制表等。

4、Unix系統(tǒng)訪問控制-2Unix系統(tǒng)訪問控制：平安操作系統(tǒng)的核心局部是平安內(nèi)核，平安內(nèi)核的根底是引用監(jiān)控器，它是負(fù)責(zé)實施系統(tǒng)平安策略的硬件與軟件的結(jié)合體。訪問控制依賴引用監(jiān)控器進行主體對客體訪問的控制，以決定主體是否有權(quán)對客體進行何種操作。引用監(jiān)控器查詢授權(quán)數(shù)據(jù)庫〔Authorization

Database〕，根據(jù)系統(tǒng)平安策略進行訪問控制的判斷，同時將相應(yīng)活動記錄在審計數(shù)據(jù)庫〔Audit

Database〕中。

4、Unix系統(tǒng)訪問控制-3Unix系統(tǒng)訪問控制：自主訪問控制的特點：基于對主體的識別來限制對客體的訪問，這種控制是自主的。與其他訪問控制策略最大的區(qū)別在于，自主訪問控制中局部具有對其他主體授予某種訪問權(quán)限權(quán)利的主體可以自主地〔可以是間接地〕將訪問權(quán)限或訪問權(quán)限的子集授予其他主體。實現(xiàn)完備的自主訪問控制機制，系統(tǒng)要將訪問控制矩陣相應(yīng)的信息；訪問控制矩陣的每一行表示一個主體，每一列表示一個受保護的客體，矩陣中的元素表示主體可對客體進行的訪問模式；基于行的自主訪問控制機制在每個主體上都附加一個該主體可訪問的客體的明細(xì)表，根據(jù)表中信息的不同可以分為：能力表、前綴表和口令1、能力表〔capabilitieslist〕：能力決定用戶是否對客體進行訪問已經(jīng)進行訪問的模式〔讀，寫，執(zhí)行〕，擁有相應(yīng)能力的主體可以按照給定的模式訪問客體，在系統(tǒng)的最高層上，即與用戶和文件相聯(lián)系的位置，對于每個用戶，系統(tǒng)都有一個能力表，要采用硬件、軟件或加密技術(shù)對系統(tǒng)的能力表進行保護，防止非法修改。

4、Unix系統(tǒng)訪問控制-4Unix系統(tǒng)訪問控制：前綴表〔profiles〕：對每個主體賦予的前綴表，包括受保護客體名和主體對它的訪問權(quán)限，當(dāng)主體要訪問某客體時，自主訪問控制機制將檢查主體的前綴是否具有它所請求的訪問權(quán)?？诹睢瞤assword〕：在基于口令機制的自主訪問控制機制中，每個客體都相應(yīng)的有一個口令。主體在對客體進行訪問前，必須向操作系統(tǒng)提供該客體的口令；系統(tǒng)一般允許對每個客體分配一個口令或者對每個客體的每種訪問模式分配一個口令，一個客體至少需要兩個口令，一個用于控制讀，一個用于寫。

4、Unix系統(tǒng)訪問控制-5Unix系統(tǒng)訪問控制：強制訪問控制〔MandatoryAccessControl——MAC〕，用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標(biāo)明可以由他訪問的信息的一種訪問約束機制。通俗的來說，在強制訪問控制下，用戶〔或其他主體〕與文件〔或其他客體〕都被標(biāo)記了固定的平安屬性〔如平安級、訪問權(quán)限等〕，在每次訪問發(fā)生時，系統(tǒng)檢測平安屬性以便確定一個用戶是否有權(quán)訪問該文件。其中多級平安〔MultiLevelSecure,MLS〕就是一種強制訪問控制策略。強制訪問策略將每個用戶及文件賦于一個訪問級別，如，最高秘密級〔TopSecret〕，秘密級〔Secret〕，機密級〔Confidential〕及無級別級〔Unclassified〕。其級別為T>S>C>U，系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。訪問模式包括：下讀〔readdown〕：用戶級別大于文件級別的讀操作；上寫〔Writeup〕：用戶級別小于文件級別的寫操作；下寫〔Writedown〕：用戶級別等于文件級別的寫操作；上讀〔readup〕：用戶級別小于文件級別的讀操作；

4、Unix系統(tǒng)訪問控制-6Unix系統(tǒng)訪問控制：強制訪問控制對專用的或簡單的系統(tǒng)是有效的，但對通用、大型系統(tǒng)并不那么有效。強制訪問控制采用的方法：〔1〕限制訪問控制。

一個持洛伊木馬可以攻破任何形式的自主訪問控制，由于自主控制方式允許用戶程序來修改他擁有文件的存取控制表，因而為非法者帶來可乘之機。MAC可以不提供這一方便，在這類系統(tǒng)中，用戶要修改存取控制表的唯一途徑是請求一個特權(quán)系統(tǒng)調(diào)用。該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是靠另一個程序提供的信息來修改存取控制信息?！?〕過程控制

在通常的計算機系統(tǒng)中，只要系統(tǒng)允許用戶自己編程，就沒方法杜絕特洛伊木馬。但可以對其過程采取某些措施，這種方法稱為過程控制。例如，警告用戶不要運行系統(tǒng)目錄以外的任何程序。提醒用戶注意，如果偶然調(diào)用一個其它目錄的文件時，不要做任何動作，等等。需要說明的一點是，這些限制取決于用戶本身執(zhí)行與否。〔3〕系統(tǒng)限制

要對系統(tǒng)的功能實施一些限制。比方，限制共享文件，但共享文件是計算機系統(tǒng)的優(yōu)點，所以是不可能加以完全限制的。再者，就是限制用戶編程。不過這種做法只適用于某些專用系統(tǒng)。在大型的，通用系統(tǒng)中，編程能力是不可能去除的。

4、Unix系統(tǒng)訪問控制-7Unix系統(tǒng)訪問控制：依據(jù)Bell-Lapadula平安模型所制定的原那么是利用不上讀/不下寫來保證數(shù)據(jù)的保密性〔見圖1〕。即不允許低信任級別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，禁止信息從高級別流向低級別。強制訪問控制通過這種梯度平安標(biāo)簽實現(xiàn)信息的單向流通。

4、Unix系統(tǒng)訪問控制-8Unix系統(tǒng)訪問控制：依據(jù)Biba平安模型所制定的原那么是利用不下讀/不上寫來保證數(shù)據(jù)的完整性〔見圖2〕。在實際應(yīng)用中，完整性保護主要是為了防止應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫。

5、POSIX權(quán)能機制-1POSIX權(quán)能機制：權(quán)能〔capabilities〕是一種用于實現(xiàn)恰當(dāng)特權(quán)的能力令牌；POSIX權(quán)能機制與傳統(tǒng)的權(quán)能機制類似，為系統(tǒng)提供了更為便利的權(quán)能管理和控制：提供了為系統(tǒng)進程指派一個權(quán)能去調(diào)用或執(zhí)行受限系統(tǒng)效勞的便攜方法；同了一種使進程只能調(diào)用執(zhí)行其特定任務(wù)必需權(quán)能的限制方法，支持最小特權(quán)平安策略的實現(xiàn)；確切說，POSIX權(quán)能機制提供了一種比超級用戶模式更細(xì)粒度的授權(quán)控制，將特權(quán)劃分為一個權(quán)能集合明確定義了進程獲取和改變權(quán)能的語義：可繼承權(quán)能集：進程的可繼承權(quán)能集，決定一個進程執(zhí)行程序時刻被保存的權(quán)能；程序文件的可繼承權(quán)能集，決定執(zhí)行該程序產(chǎn)生的進程可遺傳給其后續(xù)進程、其父進程也擁有的權(quán)能。許可權(quán)能集：進程的許可權(quán)能集，決定當(dāng)前進程允許生效的最大權(quán)能集合；程序文件的許可權(quán)能集，是確保程序執(zhí)行產(chǎn)生的進程能夠正確地完成其功能所需的權(quán)能，與調(diào)用它的進程是否具有相關(guān)權(quán)能無關(guān)。有效權(quán)能集：進程的有效權(quán)能集，決定當(dāng)前進程中生效的權(quán)能集合；程序文件的有效權(quán)能集，決定程序執(zhí)行產(chǎn)生的進程映像將擁有的有效進程權(quán)能集。5、POSIX權(quán)能機制-2POSIX權(quán)能機制：特權(quán)細(xì)分：根據(jù)POSIX標(biāo)準(zhǔn)要求，可以將超級用戶特權(quán)細(xì)分為權(quán)能集合，必須滿足權(quán)能選擇的標(biāo)注：一個權(quán)能應(yīng)該允許系統(tǒng)使一個進程不受一個特定平安需求的約束；所定義權(quán)能的實際效果之間應(yīng)該有最小交集；在支持以上兩條的的根底上，權(quán)能定義得越少越好；1.CAP_OWNER該權(quán)能可以超越限制文件主ID必須等于用戶ID的場合，比方改變該有效用戶標(biāo)識符所屬的文件屬性；擁有該權(quán)能可以改變文件的屬主或?qū)俳M；可以超越IPC的屬主關(guān)系檢查；兩進程間通信時，真實的UID或有效UID必須相等，但擁有該權(quán)能可以超越此規(guī)那么；2.CAP_AUDIT擁有該權(quán)能可以操作平安審計機制；編寫各種審計記錄；3.CAP_COMPAT擁有該權(quán)能可以超越限制隱蔽通道所做的特別約束；5、POSIX權(quán)能機制-3POSIX權(quán)能機制：4.CAP_DACREAD：擁有該權(quán)能可以超越自主訪問控制〔DAC〕讀檢查。5.CAP_DACWRITE：擁有該權(quán)能可以超越自主訪問控制〔DAC〕寫檢查。6.CAP_DEV:當(dāng)設(shè)備處于私有狀態(tài)時設(shè)置或獲取設(shè)備平安屬性以改變設(shè)備級別并訪問設(shè)備。7.CAP_FILESYS：對文件系統(tǒng)進行特權(quán)操作，包括創(chuàng)立與目錄的連接、設(shè)置有效根目錄、制作特別文件。進程的特權(quán)：當(dāng)fork一個子進程時，父子進程的特權(quán)是一樣的；但是當(dāng)通過exec執(zhí)行某個可執(zhí)行文件時，進程的特權(quán)決定于調(diào)用進程的特權(quán)和可執(zhí)行文件的特權(quán)集。每個進程具有下馬兩個特權(quán)集：最大特權(quán)集：包含固定的和可繼承的所有特權(quán)；工作特權(quán)集：進程當(dāng)前使用的特權(quán)集；6、Unix系統(tǒng)密碼-1Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：1.

進入grub啟動界面，按e，

6、Unix系統(tǒng)密碼-2Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：2.光標(biāo)指到kernel一行，按e，

6、Unix系統(tǒng)密碼-3Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：3.將其中的rhgb

quiet

替換成single，，

Grubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/rhgbquietGrubedit>kernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/single6、Unix系統(tǒng)密碼-4Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：

6、Unix系統(tǒng)密碼-5Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：5.光標(biāo)還是在kernel行按b，進入單用戶模式，執(zhí)行passwd，

6、Unix系統(tǒng)密碼-6Unix系統(tǒng)密碼：Linux〔redhat〕重置root密碼：6.重置完密碼后執(zhí)行init

6,即可新密碼登錄系統(tǒng)，

7、Unix系統(tǒng)網(wǎng)絡(luò)平安性-1Unix系統(tǒng)網(wǎng)絡(luò)平安性：用戶/文件權(quán)限的劃分：

用戶權(quán)限在Windows操作系統(tǒng)里也不陌生，但是Linux操作系統(tǒng)的用戶權(quán)限和文件權(quán)限要比Windows操作系統(tǒng)里嚴(yán)格有效。比較明顯的一個案例就是，即便是你在Windows操作系統(tǒng)里設(shè)置了多用戶，但是不同的用戶之間通過一定的方式，還是能夠互訪文件的，這就失去了權(quán)限的意義。LINUX文件權(quán)限針對的對象分三類〔互斥的關(guān)系〕：

1.user〔文件的擁有者〕

2.group〔文件擁有者所在的組，但不包括user〕

3.other〔其它用戶，即user和group以外的〕LINUX用一個3位二進制數(shù)對應(yīng)著文件的3種權(quán)限〔1表示有該權(quán)限，0表示無〕：

第1位讀r1004

第2位寫w0102

第3位執(zhí)行x00117、Unix系統(tǒng)網(wǎng)絡(luò)平安性-2Unix系統(tǒng)網(wǎng)絡(luò)平安性：iptables是與Linux內(nèi)核集成的IP信息包過濾系統(tǒng)，如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、效勞器或連接LAN和因特網(wǎng)的代理效勞器，那么該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過濾和防火墻配置。netfilter/iptablesIP信息包過濾系統(tǒng)是一種功能強大的工具，可用于添加、編輯和除去規(guī)那么，這些規(guī)那么是在做信息包過濾決定時，防火墻所遵循和組成的規(guī)那么。這些規(guī)那么存儲在專用的信息包過濾表中，而這些表集成在Linux內(nèi)核中。在信息包過濾表中，規(guī)那么被分組放在我們所謂的鏈〔chain〕中。雖然netfilter/iptablesIP信息包過濾系統(tǒng)被稱為單個實體，但它實際上由兩個組件netfilter和iptables組成。netfilter組件也稱為內(nèi)核空間〔kernelspace〕，是內(nèi)核的一局部，由一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)那么集。iptables組件是一種工具，也稱為用戶空間〔userspace〕，它使插入、修改和除去信息包過濾表中的規(guī)那么變得容易。7、Unix系統(tǒng)網(wǎng)絡(luò)平安性-3Unix系統(tǒng)網(wǎng)絡(luò)平安性：netfilter/iptables的最大優(yōu)點是它可以配置有狀態(tài)的防火墻，這是ipfwadm和ipchains等以前的工具都無法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過濾時，防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài)，名稱分別為ESTABLISHED、INVALID、NEW和RELATED。狀態(tài)ESTABLISHED指出該信息包屬于已建立的連接，該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID狀態(tài)指出該信息包與任何的流或連接都不相關(guān)聯(lián)，它可能包含錯誤的數(shù)據(jù)或頭。狀態(tài)NEW意味著該信息包已經(jīng)或?qū)有碌倪B接，或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后，RELATED表示該信息包正在啟動新連接，以及它與已建立的連接相關(guān)聯(lián)。netfilter/iptables的另一個重要優(yōu)點是，它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規(guī)那么來滿足您的特定需求，從而只允許您想要的網(wǎng)絡(luò)流量進入系統(tǒng)。第03節(jié)系統(tǒng)平安模型知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用3WEBSEC-C02-03系統(tǒng)安全模型1.安全模型的特性及作用

√√2.形式化安全模型設(shè)計

√√3.狀態(tài)機模型原理

√√4.完整性安全模型

√√5.多策略安全模型

√√1、平安模型的特性及作用-1平安模型的特性及作用：信息系統(tǒng)的平安需求：機密性〔confidentiality〕；完整性〔integrity〕；可追究性〔accountability〕；可用性〔availability〕；基于系統(tǒng)平安策略的定義和內(nèi)涵可分為兩大類：訪問控制策略〔AccessControlPolicy〕：反映了系統(tǒng)的機密性和完整性要求；確立了相應(yīng)的訪問控制規(guī)那么以控制系統(tǒng)資源的訪問；訪問支持策略〔AccessSupportingPolicy〕：反映系統(tǒng)的可追究性和可用性要求，以支持訪問控制策略的面貌的出現(xiàn)。1、平安模型的特性及作用-2平安模型的特性及作用：參照OSI和TCP/IP協(xié)議的層次結(jié)構(gòu)，可將UNIX的平安體系結(jié)構(gòu)描述分成五個層次：

策略層：主要負(fù)責(zé)進行平安策略的需求分析、平安方針的制定以及平安策略的制定：

用戶層：主要是負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的人員，這對于UNIX多用戶環(huán)境下的應(yīng)用進程也算在其中。

主機層：包括計算機互聯(lián)設(shè)備，如路由器、單一的UNIX主機等。

包過濾層：對應(yīng)用OSI的三層，通過用戶層的進程和包過濾規(guī)那么對IP包進行過濾。一般的包過濾算法是采用查一張規(guī)那么表來實現(xiàn)，它根據(jù)條件／動作這樣的規(guī)那么序列來判斷是前向路由還是棄包。

物理連接層：包括進行網(wǎng)絡(luò)物理連接的設(shè)備，對應(yīng)于OSI的第1、2層；網(wǎng)絡(luò)中的各種加密設(shè)備等。對于網(wǎng)絡(luò)信息的機密性和完整性，可以在網(wǎng)絡(luò)上通過加密措施來實現(xiàn)對于UNIX這樣的分布式操作系統(tǒng)，要保證UNIX系統(tǒng)的平安性，必須從系統(tǒng)角度來考慮，以解決UNIX系統(tǒng)的多級平安互通問題。對此，可采用多級平安的Socket來編程，實現(xiàn)多級平安的UNIX文件，進行網(wǎng)絡(luò)的平安互通。1、平安模型的特性及作用-3平安模型的特性及作用：平安模型的目的在于明確設(shè)計開發(fā)平安系統(tǒng)的方針：平安模型是精確的，無歧義的；平安模型是簡易和抽象的，容易被用戶理解；平安模型是一般性的，只設(shè)計到平安性質(zhì)，不過度地牽扯系統(tǒng)的功能或其實現(xiàn)；平安模型是平安策略的明顯表達；平安模型分為兩種：形式化的平安模型那么是使用數(shù)學(xué)模型，精確地描述平安性及其在系統(tǒng)中使用的情況；非形式化的平安模型僅僅模擬系統(tǒng)的平安功能；2、形式化平安模型設(shè)計-1平安策略模型應(yīng)由如下兩個子模型組成：對平安的定義和一套操作的規(guī)那么。為了說明形式化方法在平安系統(tǒng)的建立過程中所起的角色，有必要來對建立一個平安自動信息系統(tǒng)開發(fā)的各個階段進行詳細(xì)的描述，如圖。2、形式化平安模型設(shè)計-2形式化平安模型設(shè)計高層策略目標(biāo)：用來指定設(shè)計和使用計算機系統(tǒng)來實現(xiàn)什么目標(biāo)；外部接口需求：是將高層策略目標(biāo)應(yīng)用于計算機系統(tǒng)的外部接口。內(nèi)部需求：用來約束系統(tǒng)實體或部件相互之間的關(guān)系。對平安的形式化定義，通常包含內(nèi)部需求和外部接口兩個方面。操作規(guī)那么：用來解釋內(nèi)部需求是如何通過指定的訪問檢查和相關(guān)的行為措施來保證內(nèi)部需求的正確實施。高層設(shè)計：用來指定系統(tǒng)部件或被控的實體的行為以及TCB接口的復(fù)雜功能描述。代碼編寫，涉及到硬件接口的代碼，必須詳細(xì)了解硬件接口標(biāo)準(zhǔn)。2、形式化平安模型設(shè)計-3形式化平安模型設(shè)計LaPadula對模型設(shè)計的層次劃分，并分析出步驟與模型層次關(guān)系：第一步，確定對外接口的要求〔identityrequirementsontheexternalinterface〕，主要明確系統(tǒng)主要的平安需求，把他們與其他問題隔離開第二步，確定內(nèi)部要求〔identityinternalrequirements〕，支持已確定的外部需求，系統(tǒng)必須對系統(tǒng)的控制對象進行限制，這些限制往往就形成了模型的平安性定義，這一步實質(zhì)上把平安需求與系統(tǒng)的抽象進行結(jié)合，提出合理的模型變量，構(gòu)造一個內(nèi)部模型；第三步，為策略的執(zhí)行設(shè)計操作規(guī)那么〔designrulesofoperationforpolicyenforcement〕，系統(tǒng)實體為獲得平安限制必須遵循一定的操作規(guī)那么，就是把平安策略規(guī)那么化，確保系統(tǒng)在有效完成系統(tǒng)任務(wù)的同時，系統(tǒng)的狀態(tài)始終處于平安狀態(tài)中。2、形式化平安模型設(shè)計-4形式化平安模型設(shè)計第四步，確定什么事已經(jīng)知道的〔determinewhatisalreadyknown〕，對于高平安等級操作系統(tǒng)的平安模型的設(shè)計必須是形式化，而且是可形式驗證的，因此必須選擇適當(dāng)?shù)男问綐?biāo)準(zhǔn)語言，開發(fā)相應(yīng)的形式驗證工具。第五步，論證一致性和正確性〔demonstrateconsistencyandcorrectness〕，這一步可以說是模型的評論〔review〕階段，具體到操作系統(tǒng)的平安模型的設(shè)計，主要內(nèi)容包括：平安需求的表達是否準(zhǔn)確、合理、平安操作規(guī)那么是否與平安需求協(xié)調(diào)一致，平安需求是否在模型中得到準(zhǔn)確反映，模型的形式化與模型之間的對應(yīng)性論證。第六步，論證關(guān)聯(lián)性〔demonstraterelevance〕，是模型的實施階段，對應(yīng)LaPadula層次劃分的功能設(shè)計層次；論述關(guān)聯(lián)性應(yīng)分層次進行，首先是實現(xiàn)的模式，其次是實現(xiàn)的架構(gòu)，再次是模型在架構(gòu)里的解釋；最后是實現(xiàn)的對應(yīng)性論證。3、狀態(tài)機模型原理-1狀態(tài)機模型原理：狀態(tài)機模型：用模仿操作系統(tǒng)和硬件執(zhí)行過程的方法描述了計算機系統(tǒng)，講一個系統(tǒng)描述為一個抽象的數(shù)學(xué)狀態(tài)機器。在這個模型中，狀態(tài)變量表示機器的狀態(tài)，轉(zhuǎn)換函數(shù)或操作規(guī)那么用以描述狀態(tài)變量的變化過程，是對系統(tǒng)應(yīng)用通過請求系統(tǒng)調(diào)用從而影響操作系統(tǒng)狀態(tài)的抽象。開發(fā)一個狀態(tài)機模型要求采用的特定步驟：1、定義平安相關(guān)的狀態(tài)變量；狀態(tài)變量表示了系統(tǒng)的主體和客體、它們的平安屬性以及主體與客體時間的存取權(quán)限。2、定義平安相關(guān)的條件；這個定義是一個不變式，表達了在狀態(tài)轉(zhuǎn)換期間狀態(tài)變量的數(shù)值所必須始終保持的關(guān)系。3、定義狀態(tài)轉(zhuǎn)換函數(shù)；這些函數(shù)描述了狀態(tài)變量可能發(fā)生的變化，這些所謂操作規(guī)那么的意圖是限制系統(tǒng)可能產(chǎn)生的類型，而非列舉所有可能的變化。4、檢驗函數(shù)是否維持了平安狀態(tài)，為了確定模型與平安狀態(tài)的定義是否一致，必須檢驗每項函數(shù)，要求如果系統(tǒng)在運行之前處于平安狀態(tài)，那么系統(tǒng)在運行之后，仍將保持在平安狀態(tài)。3、狀態(tài)機模型原理-2狀態(tài)機模型原理：開發(fā)一個狀態(tài)機模型要求采用的特定步驟：5、定義初始狀態(tài)，選擇每個狀態(tài)變量的值，這些值模擬系統(tǒng)在最初的平安狀態(tài)中是如何啟動。6、依據(jù)平安狀態(tài)的定義，證明初始狀態(tài)平安。4、完整性平安模型-1完整性平安模型：平安角度考慮，要保證信息資產(chǎn)的平安，主要關(guān)注信息的保密性，可用性和完整性，這個三個屬性被成為信息平安的三元組。其中：保密性〔Confidentiality〕是確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w；可用性〔Availability〕是確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不被異常拒絕，允許其可靠而及時地訪問信息。完整性是〔Integrity〕是確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。Bell-Lapadula模型：Bell-lapadula模型的系統(tǒng)會對系統(tǒng)的用戶〔主體〕和數(shù)據(jù)〔客體〕做相應(yīng)的平安標(biāo)記，因此這種系統(tǒng)又被稱為多級平安系統(tǒng)，級別和模型用于限制主體對客體的訪問操作，該模型用于加強訪問控制的信息保密性。使用主體，客體，訪問操作〔讀，寫，讀/寫〕以及平安級別這些概念，當(dāng)主體和客體位于不同的平安級別時，主體對客體就存在一定的訪問限制。實現(xiàn)該模型后，它能保證信息不被非授權(quán)主體所訪問。4、完整性平安模型-2完整性平安模型：1.平安級別為“機密〞的主體訪問平安級別為“絕密〞的客體時，主體對客體可寫不可讀〔noreadup〕；2.當(dāng)平安級別為“機密〞的主體訪問平安級別為“機密〞的客體時，主體對客體可寫可讀；3.當(dāng)平安級別為“機密〞的主體訪問平安級別為“秘密〞的客體時，主體對客體可讀不可寫(nowritedown)。4、完整性平安模型-3完整性平安模型：

Biba模型：

Biba模型是在Bell-lapadula模型之后開發(fā)的，它跟Bell-lapadula模型很相似，被用于解決應(yīng)用程序數(shù)據(jù)的完整性問題。Bell-lapadula使用平安級別〔絕密，機密，秘密等〕，這些平安級別用于保證敏感信息只被授權(quán)的個體所訪問，而Biba模型不關(guān)心信息保密性的平安級別，因此它的訪問控制不是建立在平安級別上，而是建立在完整性級別上。BIBA模型基于兩種規(guī)那么來保障數(shù)據(jù)的完整性的保密性。下讀(NRU)

屬性,

主體不能讀取平安級別低于它的數(shù)據(jù)；上寫(NWD)

屬性,

主體不能寫入平安級別高于它的數(shù)據(jù)

；從這兩個屬性來看，我們發(fā)現(xiàn)Biba與BLP模型的兩個屬性是相反的，BLP模型提供保密性，而BIBA模型對于數(shù)據(jù)的完整性提供保障。BIBA模型并沒有被用來設(shè)計平安操作系統(tǒng)，但大多數(shù)完整性保障機制都基于Biba模型的兩個根本屬性構(gòu)建。4、完整性平安模型-4完整性平安模型：

Biba模型：

1．當(dāng)完整性級別為“中完整性〞的主體訪問完整性級別為“高完整性〞的客體時，主體對客體可讀不可寫〔nowriteup〕,也不能調(diào)用主體的任何程序和效勞；2．當(dāng)完整性級別為“中完整性〞的主體訪問完整性級別為“中完整性〞的客體時，主體對客體可寫可讀；3．當(dāng)完整性級別為“中完整性〞的主體訪問完整性級別為“低完整性〞的客體時，主體對客體可寫不可讀(noreaddown)；4、完整性平安模型-5完整性平安模型：

模型存取方式：

Modify，向客體中寫信息，類似其他模型的“寫〞存取方式；Invoke，Invoke操作僅能用于主體，假設(shè)兩個主體之間有Invoke權(quán)限，那么允許這兩個主體相互通信；Observe，從客體中讀取信息，類似其他模型中“讀〞存取方式；Execute，執(zhí)行一個客體〔程序〕；非自主平安策略：基于主體和客體各自的平安級別，確定主體對客體可執(zhí)行的存取方式，基于的規(guī)那么：一個主體能夠持有對給定客體的modify存取方式，僅當(dāng)此主體的完整級別支配該客體的完整級別；一個主體能夠持有對另一個主體的invoke存取方式，僅當(dāng)?shù)谝粋€主體的完整級別支配第二個主體的完整級別；一個主體能夠持有對任何客體的observe存取方式，當(dāng)主體執(zhí)行了可客體的observe操作之后，主體的完整級別被置為執(zhí)行存取之前主體和客體的完整級別的最小上界；多策略平安模型：過程開發(fā)模型又叫混合模型〔hybridmodel〕，或元模型〔meta-model〕,把幾種不同模型組合成一種混合模型，它允許一個工程能沿著最有效的路徑開展，這就是過程開發(fā)模型〔或混合模型〕。實際上，一些軟件開發(fā)單位都是使用幾種不同的開發(fā)方法組成他們自己的混合模型。簡單平安性訪問規(guī)那么時允許一個用戶訪問與曾經(jīng)訪問過的公司沒有利益沖突的公司信息，簡單平安性直接反映了中國墻平安策略的訪問控制的機制，即初始時，一個主體可以自由訪問任意的公司信息，不存在訪問的強制性限制。使用矩陣來記錄主體對客體的訪問定律： 一旦一個主體訪問過一個客體，那其他可以被該主體訪問的客體必須滿足：與主體訪問過的客體在同一個公司數(shù)據(jù)集內(nèi)，或在不同的利益沖突類中；一個主體最多只能訪問每個利益沖突類的一個公司數(shù)據(jù)集；非清潔的信息只局限在本公司數(shù)據(jù)集內(nèi)部，不能隨意流動，而流動之后的信息可以在系統(tǒng)中自由的流動；5、多策略平安模型-1多策略平安模型：RBAC根本概念：基于角色的存取控制模型〔RBAC〕提供了一種強制存取控制機制，在一個采用RBAC作為授權(quán)存取控制的系統(tǒng)中，根據(jù)公司或組織的業(yè)務(wù)特征或管理需求，要求在系統(tǒng)內(nèi)設(shè)置假設(shè)干個稱為“角色〞的客體，用以支持RBAC授權(quán)存取控制機制的實現(xiàn)；在采用RBAC機制作為授權(quán)存取控制機制的系統(tǒng)中，由系統(tǒng)管理員負(fù)責(zé)管理系統(tǒng)的角色集合和存取權(quán)限集合，并將這些權(quán)限〔不同類別和級別〕通過相應(yīng)的角色分別賦予承擔(dān)不同工作職責(zé)的終端用戶，還可以隨時根據(jù)業(yè)務(wù)的要求或變化對角色的存取權(quán)限集和用戶所擁有的角色集進行調(diào)整，也包括對可傳遞性的限制；在RBAC系統(tǒng)中，要求明確區(qū)分權(quán)限〔authority〕和職責(zé)〔responsibility〕，用戶組和角色最主要的區(qū)別是，用戶組作為用戶的一個集合對待，并不涉及它的授權(quán)許可，而角色那么既是一個用戶的集合，又是一個授權(quán)許可的集合。5、多策略平安模型-2多策略平安模型：

利益沖突是一個等價類，即一個公司的信息項只屬于一個公司數(shù)據(jù)集，一個公司數(shù)據(jù)集只屬于一個利益沖突類。5、多策略平安模型-3多策略平安模型：

用戶-角色分配〔UA〕和權(quán)限-角色分配〔PA〕都是多對多的關(guān)系，一個用戶可以有多個角色，一個角色可以賦予多個用戶，同樣一個角色可以有多個權(quán)限，一個權(quán)限可以分別賦予多個角色。5、多策略平安模型-4第04節(jié)平安系統(tǒng)結(jié)構(gòu)

知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用4WEBSEC-C02-04安全系統(tǒng)結(jié)構(gòu)1.安全體系結(jié)構(gòu)概念

√√2.安全體系結(jié)構(gòu)設(shè)計原則

√√3.安全體系結(jié)構(gòu)類型

√√1、平安體系結(jié)構(gòu)概念-1平安體系結(jié)構(gòu)概念：一個計算機系統(tǒng)〔平安操作系統(tǒng)〕的平安體系結(jié)構(gòu)，主要包含：1、詳細(xì)描述系統(tǒng)中平安相關(guān)的所有方面；包括系統(tǒng)可能提供的所有平安效勞及保護系統(tǒng)自身平安的所有平安措施，描述方式可以用自然語言，可以用形式語言；2、在一定的抽象層次上描述各個平安相關(guān)模塊之間的關(guān)系；可以用邏輯框圖來表達，用于在抽象層次上按滿足平安需求的方式來描述系統(tǒng)關(guān)鍵元素之間的關(guān)系；3、提出指導(dǎo)設(shè)計的根本原理；根據(jù)系統(tǒng)設(shè)計的要求以及工程設(shè)計的理論和方法，明確系統(tǒng)設(shè)計的各方面的根本原那么；4、根底開發(fā)過程的根本框架及對應(yīng)于該框架體系的層次結(jié)構(gòu)，描述確保系統(tǒng)忠實于平安需求的整個開發(fā)過程的所有方面。

1、平安體系結(jié)構(gòu)概念-2平安體系結(jié)構(gòu)概念：系統(tǒng)開發(fā)的概念化階段：是平安概念的最高抽象層次的處理，比方系統(tǒng)平安策略、要求的保障程度〔保障級別〕、系統(tǒng)平安要求對開發(fā)過程的影響及總體的指導(dǎo)原那么。系統(tǒng)開發(fā)的功能化階段：當(dāng)系統(tǒng)體系已經(jīng)確定時，平安體系必須進一步細(xì)化來反映系統(tǒng)的結(jié)構(gòu)。平安體系結(jié)構(gòu)在整個開發(fā)過程中必須扮演指導(dǎo)者的角色，應(yīng)該確立它的中心地址，要求所有開發(fā)者在開發(fā)前對平安體系結(jié)構(gòu)必須達成共識，并在開發(fā)過程中自覺服從于平安體系結(jié)構(gòu)，到達在指導(dǎo)下協(xié)同工作的目的。

2、平安體系結(jié)構(gòu)設(shè)計原那么-1平安體系結(jié)構(gòu)設(shè)計原那么：1、從系統(tǒng)設(shè)計之初就考慮平安性；2、應(yīng)盡量考慮未來可能面臨的平安需求； 系統(tǒng)要實施平安增強包括兩方面問題：第一，改進系統(tǒng)原有的平安性； 第二，給系統(tǒng)增加新的平安屬性；3、隔離平安控制，并使其極小化； 為了實現(xiàn)平安系統(tǒng)隔離和極小化，設(shè)計時本卷須知： 第一：并不是所有的從軟件工程的角度看有效的設(shè)計原那么都很好的適用于操作平安局部的設(shè)計； 第二：盡管機制的經(jīng)濟性目標(biāo)很難到達，但是系統(tǒng)中的平安相關(guān)機制還是應(yīng)盡量簡潔，易于確認(rèn)，且相對獨立，這樣有利于實現(xiàn)附加的控制來保護它們免收系統(tǒng)其他局部出錯時帶來的危害； 第三：數(shù)據(jù)隔離必須適度，不能走極端；高度的隔離帶來高平安，也會導(dǎo)致效率的大幅度下降；

2、平安體系結(jié)構(gòu)設(shè)計原那么-2平安體系結(jié)構(gòu)設(shè)計原那么：4、實施特權(quán)極小化： 最小特權(quán)原理的內(nèi)涵是簡潔的，對于平安操作系統(tǒng)的構(gòu)筑，主要包括： 1.與硬件機制相關(guān)的最小特權(quán)，即硬件特權(quán)；當(dāng)處理器不是以特權(quán)模式或特權(quán)域的方式進行操作時，必須限制特殊指令的使用，而且限制對某些存儲區(qū)的訪問，就是最小特權(quán)原理在硬件機制上的反映； 2.與軟件相關(guān)的最小特權(quán)，即軟件特權(quán)。是由操作系統(tǒng)指派給某些程序的特權(quán)，這些特權(quán)允許程序超越在用戶程序上實施的常規(guī)訪問控制，或調(diào)用所選擇的系統(tǒng)函數(shù)； 3.最小特權(quán)保護用戶的行為以及系統(tǒng)管理者的行為；5、結(jié)構(gòu)化平安相關(guān)功能： 系統(tǒng)體系應(yīng)該可以比較容易地確定系統(tǒng)平安相關(guān)的方面，以便可以很快地對系統(tǒng)的大局部進行檢驗，一個好的平安體系必須是：平安控制是隔離的、極小化的、對平安相關(guān)的功能有一個清晰的且易于標(biāo)準(zhǔn)的接口。

2、平安體系結(jié)構(gòu)設(shè)計原那么-3平安體系結(jié)構(gòu)設(shè)計原那么：6、使平安相關(guān)的界面友好： 1.平安不應(yīng)當(dāng)對服從平安規(guī)那么的用戶造成功能影響； 2.給予用戶方面應(yīng)該是容易的； 3.限制用戶訪問時容易的； 4.建立合理的默認(rèn)規(guī)那么；7、不要讓平安依賴于一些隱藏的東西 系統(tǒng)平安體系的重要目標(biāo)是讓平安防止依賴于系統(tǒng)平安機制的任何局部的保密，就是用戶不能突破系統(tǒng)，是因為用戶沒有用戶手冊或軟件的資源列表。

3、平安體系結(jié)構(gòu)類型-1平安體系結(jié)構(gòu)類型：抽象體系〔abstractarchitecture〕 抽象體系從描述需求開始，定義執(zhí)行這些需求的功能函數(shù)，之后定義指導(dǎo)如何選用這些功能函數(shù)及如何把這些功能有機組織成為一個整體的原理及相關(guān)的根本概念；在這個層次的平安體系就是描述平安需求，定義平安功能及它們提供的平安效勞，確定系統(tǒng)實現(xiàn)平安的指導(dǎo)原那么及根本概念。通用體系〔genericarchitecture〕 通用體系的開發(fā)是基于抽象體系的決策來進行的，定義了系統(tǒng)分量的通用類型〔generaltype〕及使用相關(guān)行業(yè)標(biāo)準(zhǔn)的情況，明確規(guī)定系統(tǒng)應(yīng)用中必要的指導(dǎo)原那么。邏輯體系〔logicalarchitecture〕 邏輯體系就是滿足某個假設(shè)的需求集合的一個設(shè)計，顯示了把一個通用體系應(yīng)用于具體環(huán)境時的根本情況，邏輯體系與特殊體系不同之處在于：特殊體系是使用系統(tǒng)的實際體系，而邏輯體系是假想的體系，是為理解或其他目的而提出的。

3、平安體系結(jié)構(gòu)類型-2平安體系結(jié)構(gòu)類型：特殊體系〔specificarchitecture〕 特殊平安體系要表達系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開銷，說明如何把所有被選擇的信息平安分量和機制結(jié)合起來以滿足正在考慮的特殊系統(tǒng)的平安需求，信息平安分量和機制主要包括根本原那么及支持平安管理的分量。

第05節(jié)權(quán)能體系

知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用5WEBSEC-C02-05權(quán)能體系1.權(quán)能體系概述

√√2.權(quán)能的控制及實現(xiàn)方法

√√3.權(quán)能體系的局限性

√√4.監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)5.檢查路由表1、權(quán)能體系概述-1權(quán)能體系概述：權(quán)能體系—作為實現(xiàn)訪問控制的一種通用的、可塑性良好的方法。權(quán)能為訪問客體和保護客體提供了一個統(tǒng)一的、不可旁過的方法，權(quán)能的應(yīng)用對統(tǒng)籌設(shè)計及簡化證明過程有重要的影響；權(quán)能與層次設(shè)計方法是非常協(xié)調(diào)的，從權(quán)能機制很自然課導(dǎo)致使用擴展型對象來提供抽象和保護的層次；盡管對權(quán)能提供的保護及權(quán)能的創(chuàng)立是集中式的，但是由權(quán)能實現(xiàn)的保護是可適當(dāng)分配的，權(quán)能具有傳遞能力，這樣就實現(xiàn)了機制與策略的別離。權(quán)能體系具有的性質(zhì)： 1、權(quán)能是客體在系統(tǒng)范圍使用的名字，就是說它在整個系統(tǒng)中都是有效的，而且在整個系統(tǒng)范圍內(nèi)是唯一的，一個主體只有在具有客體所具有的權(quán)能的前提下才能訪問該客體； 2、權(quán)能必須包含一局部用以決定該權(quán)能允許的對以它命名的客體的訪問權(quán)，這局部權(quán)能決定了對該客體進行訪問必需的權(quán)利； 3、權(quán)能只能由系統(tǒng)特殊的底層局部來創(chuàng)立，而且除了約減訪問權(quán)之外，權(quán)能不允許修改，擁有某個權(quán)能的主體有權(quán)把它作為參數(shù)來移動、拷貝或傳遞。

1、權(quán)能體系概述-2權(quán)能體系概述：權(quán)能體系的組成：用于標(biāo)識客體的標(biāo)識符；定義客體類型的域；定義訪問權(quán)的域；當(dāng)一個客體被創(chuàng)立時，該客體的權(quán)能也隨之創(chuàng)立，客體的初始權(quán)能包含所有對該客體的訪問權(quán)，客體的創(chuàng)立主體可以拷貝該客體的權(quán)能給其他主體，一個權(quán)能拷貝的接受主體可以使用它來訪問相應(yīng)的客體，或者產(chǎn)生新的拷貝傳給其他主體。當(dāng)一個權(quán)能被傳遞給另一個主體時，權(quán)能的訪問權(quán)可以被限制，權(quán)能的每次拷貝都有可能產(chǎn)生對客體的不同的訪問權(quán)。傳遞給另一個主體的權(quán)能的訪問權(quán)不能大于對該權(quán)能拷貝所獲取的訪問權(quán)。

2、權(quán)能的控制及實現(xiàn)方法-1權(quán)能的控制及實現(xiàn)方法：獲取對權(quán)能的控制的方法：第一種是一直讓權(quán)能存儲在特殊的位置上；比方權(quán)能段和權(quán)能存放器；第二種是每個存儲字后加上一個額外的標(biāo)簽比特，必須是用戶不能訪問的，這個標(biāo)簽比特確定了這個字是否包含一個權(quán)能，接著硬件按權(quán)能確定的方式來修改字；第二種方法避開了對權(quán)能如何存儲、移動及拷貝的各種嚴(yán)格限制，因為標(biāo)識符可以是指向客體的指針，可以包含客體的地址和地址上界。

3、監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)-1netstat命令：功能說明：顯示網(wǎng)絡(luò)狀態(tài)。

語

法：netstat

[-acCeFghilMnNoprstuvVwx]

[-A<網(wǎng)絡(luò)類型>][--ip]

補充說明：利用netstat指令可讓你得知整個Linux系統(tǒng)的網(wǎng)絡(luò)情況。

參

數(shù)：

-a或–all

顯示所有連線中的Socket；-A<網(wǎng)絡(luò)類型>或–<網(wǎng)絡(luò)類型>

列出該網(wǎng)絡(luò)類型連線中的相關(guān)地址；

-c或–continuous

持續(xù)列出網(wǎng)絡(luò)狀態(tài)；-C

或–cache

顯示路由器配置的快取信息；

-e或–extend

顯示網(wǎng)絡(luò)其他相關(guān)信息；-F或

–fib

顯示FIB；

-g或–groups

顯示多重播送功能群組組員名單；

-l或–listening

顯示監(jiān)控中的效勞器的Socket；

3、監(jiān)視網(wǎng)絡(luò)連接的狀態(tài)-2netstat命令：

$netstat-a #顯示當(dāng)前系統(tǒng)的信息并列出所有端口信息$netstat–nu #顯示當(dāng)期UDP網(wǎng)絡(luò)的連接情況$netstat-apu #顯示UDP端口號的使用情況$netstat–i #顯示網(wǎng)卡列表$netstat–g #顯示組播組的關(guān)系

4、檢查路由表-1route命令：功能：設(shè)置和查看路由表；命令格式：#route[add|del][-net|-host]target[netmaskNm][gwGw][[dev]If][參數(shù)][主機]舉例：命令參數(shù)：add:添加一條路由規(guī)那么；del:刪除一條路由規(guī)那么；-net:目的地址是一個網(wǎng)絡(luò)；-host:目的地址是一個主機；target:目的網(wǎng)絡(luò)或主機；

$routebaidu #route簡單、常用的方法來獲 #取數(shù)據(jù)包從出發(fā)點到目的地的路由路徑

4、檢查路由表-1route命令輸出項說明：

輸出項說明Destination目標(biāo)網(wǎng)段或者主機Gateway網(wǎng)關(guān)地址，“*”表示目標(biāo)是本主機所屬的網(wǎng)絡(luò)，不需要路由Genmask網(wǎng)絡(luò)掩碼Metric路由舉例，到達指定網(wǎng)絡(luò)所需的中轉(zhuǎn)數(shù)Ref路由項引發(fā)次數(shù)Use此路由被路由軟件查找的次數(shù)FlagU–路由是活動的H–目標(biāo)是一個主機G–路由指向網(wǎng)關(guān)R–恢復(fù)動態(tài)路由產(chǎn)生的表項Iface該路由表項對應(yīng)的輸出接口第06節(jié)Flask平安體系

知識點預(yù)覽#節(jié)知識點難點重點應(yīng)用6WEBSEC-C02-06Flask安全體系1.Flask安全體系概述

√√2.Flask體系策略分析

√√3.Flask體系設(shè)計與實現(xiàn)

√√4.常規(guī)支持機制√5.其他flask對象管理器√1、Flask平安體系概述-1Flask平安體系概述：Flask體系結(jié)構(gòu)是策略可變通性的實現(xiàn)成為了可能，通過對Flask體系的微內(nèi)核操作系統(tǒng)的原型實驗說明，成功克服了策略可變通性帶來的障礙；平安機構(gòu)中機制和策略的清晰區(qū)分，使得系統(tǒng)可以使用比以前更少的策略來支持更多的平安策略集合；Flask包括一個平安策略效勞器來制定訪問控制決策，一個微內(nèi)核和系統(tǒng)其他客體管理器框架來執(zhí)行訪問控制決策；由直接集成到系統(tǒng)的效勞來提供組件的執(zhí)行機制，支持精細(xì)訪問控制和運行對以前授予訪問權(quán)限的撤回的動態(tài)策略，有原始的性能結(jié)論和對編碼變化的數(shù)量和擴散統(tǒng)計顯示，系統(tǒng)平安策略的可變通性的影響被降低到最小；在最高層抽象中，F(xiàn)lask可變通性平安模式與訪問控制通用框架〔GFAC〕是一致的，GFAC模式假定系統(tǒng)所有的控制操作是由同樣的策略考慮的原子操作來執(zhí)行的，在實際系統(tǒng)中難以到達。

1、Flask平安體系概述-2Flask平安體系概述：Flask原型是一個基于微內(nèi)核的操作系統(tǒng)來實現(xiàn)，支持硬件強行對進程地址空的別離；lask平安體系結(jié)構(gòu)提供從平安效勞器檢索訪問、標(biāo)記和多例化判定的接口。訪問判定指主體對客體操作的一個權(quán)限是否得到批準(zhǔn)。標(biāo)記指分配給一個客體的平安屬性標(biāo)簽。多例化判定指一個特定的請求應(yīng)該從多例化資源中選取哪一個。Flask平安體系結(jié)構(gòu)還提供一個訪問向量緩存〔AVC〕模塊，該模塊允許從客體管理器緩存中直接取出緩存的判定結(jié)果，以提高執(zhí)行速度。Flask框架的平安效勞器的平安策略由四個子策略組成：多級平安〔MLS〕策略、類型加強〔TE〕策略、基于標(biāo)識的訪問控制〔IBAC〕策略和基于角色的訪問控制〔RBAC〕策略。平安效勞器提供的訪問判定必須滿足每個子策略的要求。

1、Flask平安體系概述-3Flask平安體系概述：平安效勞器定義了一個由類型加強〔TE〕策略、基于角色的訪問控制〔RBAC〕策略和多級平安〔MLS〕策略組合成的策略決策系統(tǒng)。其中，TE和RBAC策略是平安策略的必要局部，MLS策略是可選的，當(dāng)內(nèi)核配置選項CONFIG_FLASK_MLS翻開時，系統(tǒng)提供MLS策略支持。Flask體系結(jié)構(gòu)為平安標(biāo)記定義了兩個獨立于策略的數(shù)據(jù)類型：平安上下文〔context〕和平安標(biāo)識符〔SID〕。平安上下文是由可變長字符串表示的平安標(biāo)記，存在于文件的擴展屬性中。SID是被平安效勞器映射到對應(yīng)平安上下文的整數(shù)。Flask客體管理器負(fù)責(zé)將平安標(biāo)簽綁定到客體上、綁定SID到內(nèi)核對象上。一個平安上下文〔或稱為標(biāo)簽〕由用戶ID、角色、類型和可選的MLS分級屬性或分類屬性組成。角色僅與進程相關(guān)，因而文件平安上下文有一個通用的object_r的角色。