《操作系统安全》第二章 操作系统安全理论基础概述

第二概述
2.1 操作系统安全机制 2.2 操作系统安全模型 2.3 安全体系结构
2.1 操作系统安全机制
概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护
2.1 操作系统安全机制
2.1 操作系统安全机制
基于角色的访问控制特征
访问权限与角色相关联，不同的角色有不同权 限 角色继承 最小权限原则 职责分离 角色容量
2.1 操作系统安全机制
最小特权管理
所谓最小特权，指的是在完成某种操作时赋予系统中每 个主体（用户或进程）必不可少的特权。 其原则是应限定系统中每个主体所必须的最小特权，确 保可能的事故、错误、网络部件的窜改等原因造成的损 失最小。 最小特权的思想是系统不应给用户超过执行任务所需特 权以外的特权。 有效的限制、分割了用户对数据资料进行访问时的权限， 降低了非法用户或非法操作可能给系统及数据带来的损 失，对于系统安全具有至关重要的作用。
安全操作安全审计事件分类
使用系统的事件 注册事件 利用隐蔽通道的事件
2.1 操作系统安全机制
审计机制的主要作用
能够详细记录与系统安全有关的行为，并对这 些行为进行分析，发现系统中的不安全因素， 保障系统安全。 能够对违反安全规则的行为或企图提供证据， 帮助追查违规行为发生的地点、过程以及对应 的主体。 对于已受攻击的系统，可以提供信息帮助进行 损失评估和系统恢复。
2.2 操作系统安全模型
BLP模型
Bell和Lapadula在1973年提出BLP模型，然后 于1974年至1976年对该模型进行了进一步的 充实和完善。BLP模型是最具有代表性的形式化 信息安全模型，它是根据军方的安全策略设计 的，用于控制对具有密级划分的信息的访问。 它所关注的是信息的保密性，主要用于军事领 域。它是定义多等级安全（MLS）的基础。
2.2 操作系统安全模型
状态机模型
用状态机语言将安全系统描述成抽象的状态机，用状态 变量表示系统的状态，用转换规则描述变量变化的过程。 状态机模型用于描述其他系统早就存在，但用于描述通 用操作系统的所有状态变量几乎是不可能的。状态机安 全模型通常只能描述安全操作系统中若干与安全相关的 主要状态变量。 相当多的安全模型其实质都是状态机模型。它将系统描 述成一个抽象的数学状态机，其中状态变量（state variables）表征机器状态，转移函数（transition functions）描述状态变量如何变化。
UnixWare 7
Linux
windows
基于UID的特权机制
无
差
Trusted Xenix
混合类型
部分特权有
有限度支持
LIDS
混合类型
有，但不是强制要求，但对被 禁止权能起作用
是
有限度支持
注：混合类型是指同时具有基于UID的特权机制和基于文件的特权机制的特点
2.1 操作系统安全机制
可信通路
2.1 操作系统安全机制
审计机制的目标
可以对受损的系统提供信息帮助以进行损失评 估和系统恢复。 可以详细记录与系统安全有关的行为，从而对 这些行为进行分析，发现系统中的不安全因素。
2.1 操作系统安全机制
存储保护、运行保护和I/O保护
存储保护 运行保护 I/O保护
图2.1 环结构示意图
2.1 操作系统安全机制
访问控制的实行
确定要保护的资源 授权 确定访问权限 实施访问权限
概括的说，就是首先识别与确认访问系统的 用户，然后决定该用户对某一系统资源可以 进行何种类型的访问（读、写、删、改、运 行等）
2.1 操作系统安全机制
访问控制机制分类
自主访问控制（DAC） 强制访问控制（MAC） 基于角色的访问控制（RBAC）
概述
什么是操作系统？ 操作系统的基本功能有哪些？
2.1 操作系统安全机制
操作系统安全的主要目标
按系统安全策略对用户的操作进行访问控制， 防止用户对计算机资源的非法访问（包括窃取、 篡改和破坏） 标识系统中的用户，并对身份进行鉴别 监督系统运行的安全性 保证系统自身的安全性和完整性
2.2 操作系统安全模型
安全策略用来描述用户对系统安全的要求。一般来 说，用户对信息系统的安全需求基于以下几个方面：
机密性要求（confidentiality）：防止信息泄露给未授 权的用户； 完整性要求（integrity）：防止未授权用户对信息的修 改； 可记账性（accountability）：防止用户对访问过某信 息或执行过某一操作进行否认； 可用性（availability）：保证授权用户对系统信息的可 访问性。
基于行的自主访问控制机制 基于列的自主访问控制机制
2.1 操作系统安全机制
强制访问控制（DAC）
“强加”给访问主体的，即系统强制主体服从 访问控制政策 强制访问控制一般与自主访问控制结合使用， 并且实施一些附加的、更强的访问控制。 一般强制访问控制采用以下几种方法：
限制访问控制 过程控制 系统限制
2.2 操作系统安全模型
存取矩阵模型
存取矩阵模型（Access Matrix Model）是状态机模型 的一种。它将系统的安全状态表示成一个大的矩形阵列： 每个主体拥有一行，每个客体拥有一列，交叉项表示主 体对客体的访问模式。存取矩阵定义了系统的安全状态， 这些状态又被状态转移规则（即上文的状态转移函数） 引导到下一个状态。这些规则和存取矩阵构成了这种保 护机制的核心。 这种模型只限于为系统提供机制，具体的控制策略则包 含在存取矩阵的当前状态中，使得依之实现一个系统时 可实现机制和策略的很好分离。
2.2 操作系统安全模型
安全模型是设计和实现安全操作系统的基础， 安全模型有两种表述方式，一种表达方式从 安全模型的组成出发，认为安全模型是安全 策略形式化的表述，是安全策略所管理的实 体和构成策略的规则。另一种从系统的安全 需求出发，认为安全模型是被用来描述系统 的保密性、可用性和完整性等需求的任何形 式化的表述。
2.2 操作系统安全模型
状态机模型
状态机模型的两个基本特征是状态和状态转移函数，它 的数学原理是这样的： 安全的初始状态； 安全的状态转移函数； 用归纳法可以证明系统是安全的。 只要该模型的初始状态是安全的，并且所有的转移函数 也是安全的（即一个安全状态通过状态转移函数只能达 到新的安全状态），那么数学推理的必然结果是：系统 只要从某个安全状态启动，无论按哪种顺序调用系统功 能，系统将总是保持在安全状态。
2.1 操作系统安全机制
安全审计机制
审计机制一般通过对日志的分析来完成。 审计就是对日志记录的分析并以清晰的、能理 解的方式表述系统信息。 系统的安全审计就是对系统中有关安全的活动 进行记录、检查及审核。 审计通过事后分析的方法认定违反安全规则的 行为，从而保证系统的安全。
2.1 操作系统安全机制
2.2 操作系统安全模型
存取矩阵模型 在实际的计算机系统中．当把存取矩阵作为一个二维数组来实 现时，它往往会成为一个稀疏矩阵。于是，实际中对存取矩阵 的存放，很自然地采用按行存放或者按列存放。按行存放。每 个主体在其属性数据结构中部有若干客体及它对它们各自的存 取权限，这种方法叫能力表（Capability List）法。按列存放， 则是在每个客体的属性数据结构中存放着系统中每个主体对该 客体的存取权限，这种方法叫访问控制表（Access Control List，简称ACL）。典型地，系统中每个文件都有一个相应的 ACL表来控制各个主体对它的存取权限。比如在UNIX 文件系统中，将用户分成用户主、用户组和其它用户三类，分 别标明各类用户对文件的存取权限。一般而言，能力表法或 ACL法往往将主体对客体的存取权限交给客体的拥有者去制订， 从而使这两种方法，尤其ACL法，常常是和自主存取控制策略 联系在一起。
可信通路是用户能够借以直接可信计算基通信的一种机 制。 保证用户确定是和安全核心通信，防止不可信进程如特 洛伊木马等模拟系统的登陆过程而窃取用户的口令。 提供可信通路的最简单的办法是为每个用户提供两台终 端，一台用于处理日常工作，另一台专门用于实现与安 全内核的硬连接及专职执行安全敏感操作。这种办法虽 然简单，但是十分昂贵。
用户名、登陆ID、身份证号或智能卡 具有唯一性 不能被伪造
鉴别：对用户所宣称的身份标识的有效性进行 检验和测试的过程
2.1 操作系统安全机制
用户申明自己身份的四种方法
证实自己所知道的 密码、身份证号码、最喜欢的歌手、最爱的人的名字等 出示自己所拥有的 智能卡 证明自己是谁 指纹、语音波纹、视网膜样本、照片、面部特征扫描等 表现自己的动作 签名、键入密码的速度与力量、语速等等
2.1 操作系统安全机制
基于角色的访问控制
20世纪90年代由美国国家标准和技术研究院 NIST提供的一种访问控制机制。该机制可以减 少授权管理的复杂性、降低管理开销。 基于角色的访问控制本质上是强制访问控制的 一种，只不过访问控制是基于工作的描述，而 不是主体的身份。系统通过主体的角色或任务 定义主体访问客体的能力，如果主体处于管理 位置，那么它将比处于临时位置上的人具有更 大的资源访问能力。 RBAC的基本思想是授权给用户的访问权限，通 常由用户担当的角色确定。
2.1 操作系统安全机制
自主访问控制（DAC）
有访问许可权限的主体能够直接或间接地向其 他主体转让访问权。 访问控制矩阵的保存
基于行的自主访问控制机制 基于列的自主访问控制机制
2.1 操作系统安全机制
自主访问控制（DAC）
有访问许可权限的主体能够直接或间接地向其 他主体转让访问权。 访问控制矩阵的保存