chap6:可信操作系统设计-B 西安电子科技大学计算机安全基础课件
合集下载
《操作系统安全技术》课件
系统调用安 全技术
限制应用程序对操 作系统的访问权限, 防止恶意代码利用 系统调用进行攻击。
隔离技术
将不同的应用程序 或用户隔离开,防 止恶意行为对其他 部分造成影响。
安全性评估
1 操作系统安全评估
2 安全审计
对操作系统的安全性进行综合评估,包括 漏洞扫描、安全配置审核等。
对操作系统的安全措施进行审计,发现潜 在的安全风险和漏洞。
3 操作系统结构
操作系统的结构会影响其性能和安全性,可以采用单内核、微内核或外核等结构。
操作系统安全
1 操作系统安全定义
2 操作系统安全漏洞
操作系统安全是指保护操作系统免受未经 授权访问、攻击和恶意软件的影响。
操作系统可能存在各种漏洞,如缓冲区溢 出、提权漏洞等,需要及时修补。
3 操作系统安全攻击
参考文献
感谢您参与《操作系统安全技术》课程的学习。以下是我们在编写PPT课件 时参考的文献。
《操作系统安全技术》 PPT课件
欢迎来到《操作系统安全技术》的PPT课件展示。本课程将介绍操作系统的 安全性,包括安全漏洞、防御技术以及应用实践等内容。
操作系统概述
1 操作系统定义
操作系统是控制和管理计算机硬件和软件资源的程序集合。
2 操作系统分类
操作系统可以根据功能和架构进行分类,如分时操作系统和实时操作系统。
操作系统安全实践
操作系统安全管理
建立操作系统安全管理体系, 包括应急响应、安全培训等。
安全策略
制定操作系统的安全策略, 如密码策略、访问控制策略 等。
安全技术应用
应用各种安全技术,如防火 墙、入侵检测系统等来加强 系统安全。
操作系统安全案例
操作系统安全漏洞案例
《操作系统安全讲》课件
详细描述
审计策略是操作系统安全防护的重要组成部分,它通过记录和监控系统活动,及时发现异常行为和潜在的安全威胁,为后续的安全分析和处理提供依据。
总结词:及时发现、评估和修复系统漏洞,降低安全风险。
总结词:通过合理配置系统参数,提高系统安全性。
通过隔离不同安全级别的网络和系统,降低安全风险。
总结词
操作系统安全机制
CATALOGUE
02
总结词
访问控制是操作系统安全机制的核心,用于限制对系统资源的访问,防止非法用户入侵和合法用户误操作。
详细描述
访问控制机制通过身份验证、授权管理、访问控制列表等方式,对用户访问系统资源的行为进行控制,确保只有经过授权的用户才能访问相应的资源。
加密机制用于保护数据在传输和存储过程中的机密性和完整性,防止被窃取或篡改。
操作系统安全防护策略
CATALOGUE
05
总结词
通过审计记录和监控系统活动,识别和预防潜在的安全威胁。
总结词
审计策略需要覆盖系统中的所有重要操作,包括用户登录、文件访问、进程管理、网络通信等,以确保全面监控和记录。
详细描述
为了确保审计的完整性和可靠性,需要制定详细的审计规则和策略,明确需要记录的内容、频率和存储方式。同时,要确保审计记录的保密性和完整性,防止被篡改或泄露。
加密机制包括对称加密、非对称加密和混合加密等,通过加密算法将明文数据转换为密文数据,只有拥有解密密钥的用户才能还原出原始数据。
详细描述
总结词
安全审计机制用于记录和监控系统中的安全事件,及时发现和处理安全问题。
总结词
安全审计机制通过日志记录、事件通知等方式,实时监控系统中的安全事件,如用户登录、文件访问、网络传输等,以便及时发现异常行为和安全漏洞。
审计策略是操作系统安全防护的重要组成部分,它通过记录和监控系统活动,及时发现异常行为和潜在的安全威胁,为后续的安全分析和处理提供依据。
总结词:及时发现、评估和修复系统漏洞,降低安全风险。
总结词:通过合理配置系统参数,提高系统安全性。
通过隔离不同安全级别的网络和系统,降低安全风险。
总结词
操作系统安全机制
CATALOGUE
02
总结词
访问控制是操作系统安全机制的核心,用于限制对系统资源的访问,防止非法用户入侵和合法用户误操作。
详细描述
访问控制机制通过身份验证、授权管理、访问控制列表等方式,对用户访问系统资源的行为进行控制,确保只有经过授权的用户才能访问相应的资源。
加密机制用于保护数据在传输和存储过程中的机密性和完整性,防止被窃取或篡改。
操作系统安全防护策略
CATALOGUE
05
总结词
通过审计记录和监控系统活动,识别和预防潜在的安全威胁。
总结词
审计策略需要覆盖系统中的所有重要操作,包括用户登录、文件访问、进程管理、网络通信等,以确保全面监控和记录。
详细描述
为了确保审计的完整性和可靠性,需要制定详细的审计规则和策略,明确需要记录的内容、频率和存储方式。同时,要确保审计记录的保密性和完整性,防止被篡改或泄露。
加密机制包括对称加密、非对称加密和混合加密等,通过加密算法将明文数据转换为密文数据,只有拥有解密密钥的用户才能还原出原始数据。
详细描述
总结词
安全审计机制用于记录和监控系统中的安全事件,及时发现和处理安全问题。
总结词
安全审计机制通过日志记录、事件通知等方式,实时监控系统中的安全事件,如用户登录、文件访问、网络传输等,以便及时发现异常行为和安全漏洞。
《操作系统安全技术》课件
保安全策略得到有效执行。
策略评估与调整
03
定期对安全策略进行评估,根据实际情况进行调整,以保持其
有效性和适应性。
安全漏洞防范
漏洞扫描与评估
定期对操作系统进行漏洞扫描和评估,发现潜在 的安全风险和漏洞。
及时修复漏洞
一旦发现漏洞,及时采取措施进行修复,避免被 攻击者利用。
安全补丁管理
建立安全补丁管理制度,及时更新操作系统和相 关软件的安全补丁。
操作系统安全涉及多个层面,包括物理层安全、运行层安全、数据层安全和应用 层安全等。
操作系统安全重要性
操作系统作为计算机系统的核 心软件,其安全性直接关系到 整个计算机系统的安全。
操作系统安全是网络安全的基 础,也是整个信息系统安全的 前提条件。
随着信息化技术的快速发展, 操作系统安全问题越来越突出 ,已经成为信息安全领域的重 要研究方向。
03
操作系统安全技术
加密技术
加密技术概述 加密技术是保障数据安全的重要 手段,通过将明文数据转换为密 文数据,以保护数据的机密性和 完整性。
加密管理 加密管理包括密钥管理、加密设 备的配置和管理等,是保证加密 技术有效实施的重要环节。
加密算法 常见的加密算法包括对称加密算 法(如AES、DES)和非对称加 密算法(如RSA),每种算法都 有其特点和适用场景。
操作系统安全发展历程
操作系统安全的发展历程可以追溯到计 算机诞生的初期,但真正意义上的操作 系统安全研究始于20世纪80年代。
随着计算机技术的不断发展,操作系统安全 面临的威胁和攻击手段也日益复杂和多样化 ,需要不断更新和完善安全防护技术。
目前,操作系统安全已经形成了较 为完善的理论体系和技术体系,包 括访问控制、入侵检测、漏洞扫描 、病毒防范等方面的技术。
可信操作系统设计资料
2019/2/21
12
Military Security Policy
Compartment= CRYPTO Compartment= SNOWSHOE Compartment= SWEDEN
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的表示:{CRYPTO}、{SNOWSHOE,SWEDEN}
2019/2/21 4
可信操作系统与安全操作系统
Secure
Trusted
1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal
1、graded 2、property of receiver 3、judged 4、relative (judged in context of use) 5、a characteristic
8
2019/2/21ຫໍສະໝຸດ Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
我们注意以下几点: 1、信息的敏感级别 2、need-to-know规则: 允许使用者最小限度地访问敏感信息。 3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2019/2/21 15
Military Security Policy
一个主体能够访问一个客体必须满足 下面的条件:
设计可信操作系统
Designing Trusted Operating Systems
chap6:可信操作系统设计-B 西安电子科技大学计算机安全基础课件
设计可信操作系统
Designing Trusted Operating Systems
2020/10/1
西安电子科技大学计算机学院
1
设计可信操作系统
一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证
2020/10/1
2
可信操作系统与安全操作系统
3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2020/10/1
10
Military Security Policy
公开
受限 秘密 机密 绝密
最不敏感 最敏感
图 5-1 机 密 层 次 图
2020/10/1
11
Military Security Policy
它的引进是为了说明need-to-know规则的。 一个compartment可以处于一个敏感级别,
也可以跨越多个敏感级别。
2020/10/1
13
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
二、一些比较常见的策略
2020/10/1
8
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsibility Chinese Wall: conflict of interest policy Originator Controlled Role Based Access Control …
Designing Trusted Operating Systems
2020/10/1
西安电子科技大学计算机学院
1
设计可信操作系统
一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证
2020/10/1
2
可信操作系统与安全操作系统
3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2020/10/1
10
Military Security Policy
公开
受限 秘密 机密 绝密
最不敏感 最敏感
图 5-1 机 密 层 次 图
2020/10/1
11
Military Security Policy
它的引进是为了说明need-to-know规则的。 一个compartment可以处于一个敏感级别,
也可以跨越多个敏感级别。
2020/10/1
13
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
二、一些比较常见的策略
2020/10/1
8
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsibility Chinese Wall: conflict of interest policy Originator Controlled Role Based Access Control …
《操作系统安全讲》课件
安全管理的准则和方法
安全管理的实践案例
介绍安全管理的准则和方法,包 括制定安全方案、安全漏洞评估、 建立安全管理制度等。
介绍一些成功的安全管理案例, 包括网络攻防演练、安全培训等, 帮助学习者深入了解安全管理的 方法和技巧。
总结和展望
收获和反思
• 掌握了操作系统安全的 基本知识,对个人和机 构的安全防护提高了认
包括认证、加密、防火墙、
提供网络攻击手段和防御
工具,如Snort、Nessus等,
入侵防御等。
方法的详细介绍,如黑客
帮助学习者了解其原理和
攻击、僵尸网络、恶意软
用法。
件等。
操作系统文件安全
1
文件系统的结构和类型
介绍文件系统的组成和结构,包括 FAT、NTFS、ext等,帮助学习者了解不同文件 系统的特点。
包括操作系统漏洞、病毒、 木马、网络攻击等,这些问 题对个人和机构的安全都带 来了巨大威胁。
学习本课程的准备和要 求
学习本课程需要具备一定的 计算机基础知识,建议学习 者在Windows或者Linux平台 上进行。
操作系统安全基础
1
操作系统的组成和结构
主要介绍操作系统由哪些部分组成,每个部分的作用及其之间的关系。
• 建议学习者阅读相关书 籍和网站,扩展自己的 知识库,并定期参加安 全技术培训。
2
文件权限和访问控制
介绍文件系统的权限和访问控制,包括文件属性、NTFS权限、ACL等,帮助学习 者了解如何保护文件。
3
文件加密和解密技术
介绍文件加密和解密技术,包括对称加密、非对称加密等,帮助学习者了解如何 防止文件泄露。
操作系统安全管理
安全管理的重要性
介绍在信息化时代下,安全管理 的重要性和紧迫性,以及安全管 理存在的问题和挑战。
chap1:计算机安全引论-B 西安电子科技大学计算机安全基础课件
2020/10/1
8
信息安全的发展
▪ 三个主要阶段
➢ 保密传输--密码技术 ➢ 信息和信息系统的安全--密码学、防火墙和入侵检测
等 ➢ 信息保障/信息可生存性
▪ 计算机安全是信息安全的基础。
2020/10/1
9
计算机系统安全内容
▪ 技术安全:指计算机系统本身实现中,采用具有一定的安 全性质的硬件、软件来实现对于数据及其所含数据或信息 的安全保护,能够在整个系统中,在一定程度甚至完全可 以保证系统在无意或恶意的软件或硬件攻击下仍能使得系 统内的数据或信息不增加、丢失、泄露。
• 计算机系统、物理环境和社会人文环境,皆为人控制; • 各种计算机危害,除了难以预知和抗拒的天灾,亦为人所
致; • 人是最为活跃、能动的核心因素。唯有依靠人,采取技术
的、管理的和法律的得力措施,才能把计算机危害抑制到 最低限度。
▪ 因此,计算机安全治理的核心问题是人的技术和职业 道德教育。
2020/10/1
2020/10/1
13
“可信计算机系统标准评估准则”安全等级
D1级:计算机安全的最低一级。 C1级:自主安全保护级。 C2级:受控存取保护级。 B1级:标记安全保护级。 B2级:结构化保护级。 B3级:安全域级。 A1级:验证设计级。
2020/10/1
14
计算机安全对抗中人的因素
▪ 安全对抗的核心对象是计算机信息系统;安全对抗的 核心因素是人。
计算机安全
Computer Security
西安电子科技大学 计算机学院
2020/10/1
1
课程安排
▪ 本课计划学时数30。
▪ 本课程介绍计算机安全领域的若干基本的、但 比较重要的问题。
计算机安全与使用-计算机基础课件
不随意下载与安装软件
避免从非官方或不受信任的网 站下载软件,以免下载到恶意 软件或病毒。
在下载和安装软件之前,先进 行安全检查和信誉度评估,确 保软件来源可靠。
定期更新操作系统和软件,以 确保安全漏洞得到及时修复。
定期备份重要数据
定期备份重要数据,如文档、图 片、视频等,以防数据丢失或损
坏。
选择可靠的备份方式,如外部硬 盘、云存储等,并确保备份数据
身份盗窃
攻击者通过窃取个人信息 进行身份盗窃,对个人和 企业造成严重损失。
02
计算机硬件与软件基础
计算机硬件组成
中央处理器(CPU) 负责执行计算机程序中的指令,控制 计算机的各个部件协调工作。
存储器(Memory)
用于存储数据和程序,包括随机存取 存储器(RAM)和只读存储器 (ROM)。
输入/输出设备(I/O)
信息安全的定义
信息安全是指保护信息系统免受未经 授权的访问、使用、泄露、破坏、修 改,或销毁。它涵盖了硬件、软件和 数据的完整性、可用性和机密性。
信息安全的重要性
随着信息技术的快速发展,信息安全已 成为国家安全、经济发展和社会稳定的 重要保障。保护信息安全对于个人隐私 、企业机密和国家安全至关重要。
具备防钓鱼、防欺诈功能,保护用 户在上网过程中不被盗取个人信息。
设置强密码与定期更换密码
密码长度
至少8位,包含字母、数字和特 殊字符的组合。
避免使用个人信息
如生日、姓名等容易被猜测到的 内容。
定期更换密码
建议每3个月更换一次,提高账 户安全性。
定期更新操作系统与软件
及时修补系统漏洞
确保操作系统安全稳定运行。
网络安全的定义与重要性
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对于开发者,要从操作系统地设计和操作系统所能 提供安全服务的组件功能来看一个操作系统的可信 度。设计一个可信的操作系统,必须考虑以下四个 环节:安全策略、安全模型、设计和可信度。
2020/6/17
7
Security Policies ...
一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information.
对安全系统中信息流合法路径的形式化描述。在处 理多密级数据的系统设计中发挥了重要作用。是一个 形式化的军事安全策略,是美国国防部安全评估的主 要标准。
这个模型的目标:
在一个保密性十分重要的系统中能够识别出合法通 信。它被用来定义当一个系统需要处理不同密级数据 时的安全需求。
2020/6/17
23
Bell-La Padula Confidentiality Model
同步
服务
并行
控 制 \死 锁
管理
通讯
计算
数 据
程序 库
cpu
内存
i/o 设备
2020/6/17
图 5.10 操 作 系 统 功 能
32
Trusted Operating System Design
User Interface Access Control
操作系统
资源分配
服务 Access control
例子:
<秘密,{SNOWSHOE}> ≤ <绝密,{SNOWSHOE,SWEDEN}>
这时可以说后面的class支配前面的class
2020/6/17
16
Military Security Policy
一个主体能够访问一个客体必须满足条件:
·主体的授权访问机密文件级别不低于被访问客体,且 ·主体要知道他所需要的信息对应的所有分类隔离块
普通操作系统的安全特性
➢ 用户鉴别 ➢ 内存保护 ➢ 文件及I/O设备访问控制 ➢ 对一般客体的资源分配与访问控制 ➢ 实现共享化 ➢ 公平服务 ➢ 内部进程通信和同步 ➢ 操作系统数据保护
2020/6/17
31
Trusted Operating System Design
User Interface 操作系统 资源分配
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的 表 示 : {CRYPTO}、 {SNOWSHOE,SWEDEN}
2020/6/17
14
Military Security Policy
再引入class或classification这个概念,它是 指敏感级别和compartments构成的一个二元 组: <rank;compartments>。 例如: <绝密,{CRYPTO}>,…
二、一些比较常见的策略
2020/6/17
8
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsibility Chinese Wall: conflict of interest policy Originator Controlled Role Based Access Control …
原理:
系统中有一个主体集合S和一个客体集合O,。在S中的每 个 主 体 s 和 O 中 的 每 个 客 体 o 都 有 各 自 的 安 全 级 别 C(s) 和 C(o)。安全级别之间存在≤关系。
有如下两个原则:
简单安全原则: 一个主体s可以读访问客体o,当且仅当C(o) ≤C(s),即主体只能读取密级等于或低于它的客体。
2020/6/17
4
可信操作系统与安全操作系统
Secure
Trusted
1、either - or
1、graded
2、property of presenter 2、property of receiver
3、asserted 4、absolute 5、a goal
3、judged 4、relative (judged in context of use)
2020/6/17
18
Chinese Wall Security Policy
Chinese Wall Security Policy:商业安全策略,主 要用在访问有利益冲突的竞争公司间信息的情况, 防止泄漏商业机密。
一些概念:
➢ 对 象 : 一些基本元素,比如文件,只涉及一个公司的信息。 ➢ 公司组 : 描述一个特定公司的所有对象的集合。 ➢ 冲突类: 所有竞争公司的对象构成的集合。
3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2020/6/17
10
Military Security Policy
公开
受限 秘密 1 机 密 层 次 图
2020/6/17
11
Military Security Policy
它的引进是为了说明need-to-know规则的。 一个compartment可以处于一个敏感级别,
也可以跨越多个敏感级别。
2020/6/17
13
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
概念:dominance 用符号 ≤ 表示。s表示主体,o表示客体。 关系如下:
2020/6/17
15
Military Security Policy
s≤o if and only if ranks≤ranko and
Compartments compartmentso
这时,说o支配s(或是s受o支配)。
29
Trusted Operating System Design
可信操作系统的要素
好的设计原理有助于安全的实现,下面的基本要素 对于设计健壮、可信的操作系统必不可少:
➢ 最小特权
➢ 精简机制
➢ 开放设计
➢ 完全检测
➢ 基于许可
➢ 特权分离
➢ 最小共享化
➢ 易用性
2020/6/17
30
Trusted Operating System Design
Chinese Wall Security Policy 的访问控制原 理:
某个主体只允许访问每个冲突类中的一 个公司组,在一个冲突类中,这个主体一旦 访问了一个公司信息,那么他就不能再访问 同一冲突类的其他公司的信息了。
2020/6/17
21
Models Of Security
Model: A formal (or semi-formal) representation of the policy that the OS will enforce.
同步 并行 控 制 \死 锁 管理 通讯 计算
Access control
数 据
程序 库
2020/6/17
17
Military Security Policy
小结:
➢ Military Security Policy主要是基于敏感信息 分级和need-to-know原则。
➢ 在这样的综合模型中,授权中心严格地控制 着访问权,所以它可以在不同的系统设置中 正常运作。授权访问和分类也是不允许个人 修改的,它们都是由安全中心统一管理的。
2020/6/17
19
Chinese Wall Security Policy
它们之间得关系看下面的图:
公司组
冲突类
德芙
交行
南方航
建行
空
金帝
工行
2020/6/17 图 5 . 5 C h i n e s e W a l l 安 全 策 略
20
Chinese Wall Security Policy
2020/6/17
9
Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
需注意以下几点:
1、信息的敏感级别 2、need-to-know规则:
允许使用者最小限度地访问敏感信息。
设计可信操作系统
Designing Trusted Operating Systems
2020/6/17
西安电子科技大学计算机学院
1
可信操作系统与安全操作系统
操作系统也是安全的主要提供者。 由于功能强大,成为被攻击的对象,一旦突
破操作系统的防线,就可以肆意修改计算机 的任何内容了。 当前,计算机操作系统的安全显得日益重要。 如何设计安全可信的操作系统,是需要的讨 论和研究的问题。
2020/6/17
27
Trusted Operating System Design
好的软件工程原理告诉我们,在设计系统时,安全的 考虑易早不易迟。主要考虑设计高安全等级的操作系统, 着重讨论操作系统内核的设计,安全是否可以有效提供, 取决于操作系统内核是如何设计的。然后讨论分层(或 环)结构设计。
隔离块 (Compartment)
隔离块 (Compartment)
2020/6/17
7
Security Policies ...
一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information.
对安全系统中信息流合法路径的形式化描述。在处 理多密级数据的系统设计中发挥了重要作用。是一个 形式化的军事安全策略,是美国国防部安全评估的主 要标准。
这个模型的目标:
在一个保密性十分重要的系统中能够识别出合法通 信。它被用来定义当一个系统需要处理不同密级数据 时的安全需求。
2020/6/17
23
Bell-La Padula Confidentiality Model
同步
服务
并行
控 制 \死 锁
管理
通讯
计算
数 据
程序 库
cpu
内存
i/o 设备
2020/6/17
图 5.10 操 作 系 统 功 能
32
Trusted Operating System Design
User Interface Access Control
操作系统
资源分配
服务 Access control
例子:
<秘密,{SNOWSHOE}> ≤ <绝密,{SNOWSHOE,SWEDEN}>
这时可以说后面的class支配前面的class
2020/6/17
16
Military Security Policy
一个主体能够访问一个客体必须满足条件:
·主体的授权访问机密文件级别不低于被访问客体,且 ·主体要知道他所需要的信息对应的所有分类隔离块
普通操作系统的安全特性
➢ 用户鉴别 ➢ 内存保护 ➢ 文件及I/O设备访问控制 ➢ 对一般客体的资源分配与访问控制 ➢ 实现共享化 ➢ 公平服务 ➢ 内部进程通信和同步 ➢ 操作系统数据保护
2020/6/17
31
Trusted Operating System Design
User Interface 操作系统 资源分配
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的 表 示 : {CRYPTO}、 {SNOWSHOE,SWEDEN}
2020/6/17
14
Military Security Policy
再引入class或classification这个概念,它是 指敏感级别和compartments构成的一个二元 组: <rank;compartments>。 例如: <绝密,{CRYPTO}>,…
二、一些比较常见的策略
2020/6/17
8
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsibility Chinese Wall: conflict of interest policy Originator Controlled Role Based Access Control …
原理:
系统中有一个主体集合S和一个客体集合O,。在S中的每 个 主 体 s 和 O 中 的 每 个 客 体 o 都 有 各 自 的 安 全 级 别 C(s) 和 C(o)。安全级别之间存在≤关系。
有如下两个原则:
简单安全原则: 一个主体s可以读访问客体o,当且仅当C(o) ≤C(s),即主体只能读取密级等于或低于它的客体。
2020/6/17
4
可信操作系统与安全操作系统
Secure
Trusted
1、either - or
1、graded
2、property of presenter 2、property of receiver
3、asserted 4、absolute 5、a goal
3、judged 4、relative (judged in context of use)
2020/6/17
18
Chinese Wall Security Policy
Chinese Wall Security Policy:商业安全策略,主 要用在访问有利益冲突的竞争公司间信息的情况, 防止泄漏商业机密。
一些概念:
➢ 对 象 : 一些基本元素,比如文件,只涉及一个公司的信息。 ➢ 公司组 : 描述一个特定公司的所有对象的集合。 ➢ 冲突类: 所有竞争公司的对象构成的集合。
3、敏感性是分层的 4、need-to-know 不分层 5、Dominance relationship
2020/6/17
10
Military Security Policy
公开
受限 秘密 1 机 密 层 次 图
2020/6/17
11
Military Security Policy
它的引进是为了说明need-to-know规则的。 一个compartment可以处于一个敏感级别,
也可以跨越多个敏感级别。
2020/6/17
13
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
概念:dominance 用符号 ≤ 表示。s表示主体,o表示客体。 关系如下:
2020/6/17
15
Military Security Policy
s≤o if and only if ranks≤ranko and
Compartments compartmentso
这时,说o支配s(或是s受o支配)。
29
Trusted Operating System Design
可信操作系统的要素
好的设计原理有助于安全的实现,下面的基本要素 对于设计健壮、可信的操作系统必不可少:
➢ 最小特权
➢ 精简机制
➢ 开放设计
➢ 完全检测
➢ 基于许可
➢ 特权分离
➢ 最小共享化
➢ 易用性
2020/6/17
30
Trusted Operating System Design
Chinese Wall Security Policy 的访问控制原 理:
某个主体只允许访问每个冲突类中的一 个公司组,在一个冲突类中,这个主体一旦 访问了一个公司信息,那么他就不能再访问 同一冲突类的其他公司的信息了。
2020/6/17
21
Models Of Security
Model: A formal (or semi-formal) representation of the policy that the OS will enforce.
同步 并行 控 制 \死 锁 管理 通讯 计算
Access control
数 据
程序 库
2020/6/17
17
Military Security Policy
小结:
➢ Military Security Policy主要是基于敏感信息 分级和need-to-know原则。
➢ 在这样的综合模型中,授权中心严格地控制 着访问权,所以它可以在不同的系统设置中 正常运作。授权访问和分类也是不允许个人 修改的,它们都是由安全中心统一管理的。
2020/6/17
19
Chinese Wall Security Policy
它们之间得关系看下面的图:
公司组
冲突类
德芙
交行
南方航
建行
空
金帝
工行
2020/6/17 图 5 . 5 C h i n e s e W a l l 安 全 策 略
20
Chinese Wall Security Policy
2020/6/17
9
Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
需注意以下几点:
1、信息的敏感级别 2、need-to-know规则:
允许使用者最小限度地访问敏感信息。
设计可信操作系统
Designing Trusted Operating Systems
2020/6/17
西安电子科技大学计算机学院
1
可信操作系统与安全操作系统
操作系统也是安全的主要提供者。 由于功能强大,成为被攻击的对象,一旦突
破操作系统的防线,就可以肆意修改计算机 的任何内容了。 当前,计算机操作系统的安全显得日益重要。 如何设计安全可信的操作系统,是需要的讨 论和研究的问题。
2020/6/17
27
Trusted Operating System Design
好的软件工程原理告诉我们,在设计系统时,安全的 考虑易早不易迟。主要考虑设计高安全等级的操作系统, 着重讨论操作系统内核的设计,安全是否可以有效提供, 取决于操作系统内核是如何设计的。然后讨论分层(或 环)结构设计。
隔离块 (Compartment)
隔离块 (Compartment)