可信操作系统设计PPT课件
合集下载
操作系统ppt课件完整版
分时操作系统
分时操作系统采用时间片轮转的方式处理 多个用户的请求,保证了每个用户都能得 到及时的响应。
网络操作系统
网络操作系统具有强大的网络管理功能, 支持多种网络协议和网络服务,使得计算 机网络更加高效、可靠、安全。
实时操作系统
实时操作系统能够在规定的时间内对外部 输入的信息做出处理,并控制所有实时设 备和实时任务协调一致地工作。
动态分区
根据作业的大小动态地建 立分区,使分区大小正好 适应作业的需要。
分区的分配与回收
采用一定的算法将空闲分 区分配给请求者,当作业 完成后将作业占用的分区 回收。
页式存储管理
01 02
基本思想
将程序的逻辑地址空间划分为固定大小的页,而物理内存划分为同样大 小的页框。程序加载时,可将任意一页放入内存中任意一个页框,实现 离散分配。
中断处理的概念
中断处理是指当设备发出中断请求时,CPU暂 停当前任务并转去处理中断请求的过程。
ABCD
设备驱动程序的功能
包括设备的初始化、设备的打开和关闭、设备的 读写以及设备的状态查询等。
中断处理的流程
包括中断请求的响应、中断服务程序的执行以及 中断返回等步骤。
06
操作系统安全与保护
操作系统安全概述
THANKS
感谢观看
访问控制与安全策略
访问控制机制
操作系统通过用户认证、文件权限、访问控制列表(ACL)等机制 实现访问控制,防止未经授权的访问。
安全策略实施
操作系统应实施强制访问控制(MAC)、自主访问控制(DAC) 等安全策略,确保只有经过授权的用户才能访问敏感资源。
审计与监控
操作系统应具备审计和监控功能,记录用户的操作行为,以便事后分 析和追责。
计算机导论 操作系统PPT课件
⑵ 共享性
共享性就是资源共享,即计算机系统中的硬、软件资源供所有 授权程序或用户共同使用。实际上,由于系统中的资源有限,当 多道程序并发执行时,必然要共享系统中的硬、软件资源。所以, 程序并发执行必然依赖于资源共享机制的支持。
⑶ 虚拟性
所谓虚拟,是采用某种方法把一个物理实体映射为一个或者多 个逻辑实体。前者是客观存在的,后者只是在感觉或效果上存在。 例如在多道程序系统中,虽然只有一个CPU,每次只能执行一道 程序;但是采用多道程序技术后,在一段时间内,宏观上看,有 多个程序在运行,似乎是多个CPU在运行各自的程序。也就是说, 一个物理上的CPU虚拟为多个逻辑上的CPU,即虚拟处理机。类 似的还有虚拟存储器、虚拟外围设备等。
7.1 操作系统概述
7.1.1 操作系统的概念 7.1.2 操作系统的类型
7.1.1 操作系统的概念
1. 什么是操作系统
操作系统的英文表示是“operating system,简称OS”,如图 7.1所示,是位于计算机硬件上的第一层软件,是计算机硬件与应用 程序之间的接口,也是用户与计算机硬件之间的接口.从系统的角度来 看,操作系统又是计算机系统的资源管理器。计算机系统的硬、软件 资源都是在操作系统的管理、控制和调度下运行和使用的。所以,只 有配置了操作系统,计算机系统的资源利用率和工作效率才能提高。
调入调出也称对换或者交换,它把将要运行的作业从外存(交 换区)调入内存,而把换下的作业从内存移出,存入外存(的交换 区)。分时系统所划分的时间片通常是几十毫秒,按时间片轮流为 各个终端用户服务,而用户觉察不到中间的间歇,似乎自己在单独 使用计算机。另外,由于主机的运行速度很高,虽然每一轮分给每 个终端只有几十毫秒的时间,但系统也能保证对用户请求的及时响 应和人机交互。总之,分时系统的特点可概括如下:
操作系统概述PPT课件
包括一互斥的方式访问 临界资源和对合作进程之间 进行的协调。
3、进程通信
我们把进程间所进行的信 息交换成为进程通信。
4、进程调度
进程调度是指按照一定的 调度算法,例如:先来先服 务的算法,从进程的就绪队 列中选出一个进程,把处理 机分配给它,为该进程设置 运行现场,并运行之。
*存储器管理
存储器管理的主要任务 有: 1、为多道程序的并发执行提
操作系统提供的界面的 友好性和易用性成为操作系 统中的重要部分,用户在相 当的程度上以这两个标准来 判断一个系统的优劣。
*处理机管理
处理机管理主要包括进程 控制、进程同步、进程通信 和进程调度。
1、进程控制
进程控制的基本功能是创 建和撤消进程以及控制进程 的状态转换。
2、进程同步
进程同步是指系统对并 发执行的进程进行协调
计算机软件组织
计算机软件包括系统软件和应用软件
系统软件:操作系统,语言处理系统, 和常用的例行服务程序。
应用软件:指那些为了某一类的应用需 要而设计的程序,或用户为 解决某的特定的问题而编制 的程序或程序系统,如航空 定票系统。
计算机系统层次关系
应用软件 银行系统 航空定票系统
系统 编译器 编辑器
编程、穿孔、预约
装入与启动汇编程序
汇编程序运行完产生目标程序带
卸下汇编、源程序、目标程序带 安装连接带
成功否 下机修改源程序
产生、卸下连接、目标、可执行汇编目标程序带
卸下汇编、源程序、目标程序带
成功否
安装启动该用户程序
安装用户可执行目标程序和数据带
运行完毕、产生结果数据 卸下程序、数据、结果带
成功否
第一章 操作系统概述
内容提要:
3、进程通信
我们把进程间所进行的信 息交换成为进程通信。
4、进程调度
进程调度是指按照一定的 调度算法,例如:先来先服 务的算法,从进程的就绪队 列中选出一个进程,把处理 机分配给它,为该进程设置 运行现场,并运行之。
*存储器管理
存储器管理的主要任务 有: 1、为多道程序的并发执行提
操作系统提供的界面的 友好性和易用性成为操作系 统中的重要部分,用户在相 当的程度上以这两个标准来 判断一个系统的优劣。
*处理机管理
处理机管理主要包括进程 控制、进程同步、进程通信 和进程调度。
1、进程控制
进程控制的基本功能是创 建和撤消进程以及控制进程 的状态转换。
2、进程同步
进程同步是指系统对并 发执行的进程进行协调
计算机软件组织
计算机软件包括系统软件和应用软件
系统软件:操作系统,语言处理系统, 和常用的例行服务程序。
应用软件:指那些为了某一类的应用需 要而设计的程序,或用户为 解决某的特定的问题而编制 的程序或程序系统,如航空 定票系统。
计算机系统层次关系
应用软件 银行系统 航空定票系统
系统 编译器 编辑器
编程、穿孔、预约
装入与启动汇编程序
汇编程序运行完产生目标程序带
卸下汇编、源程序、目标程序带 安装连接带
成功否 下机修改源程序
产生、卸下连接、目标、可执行汇编目标程序带
卸下汇编、源程序、目标程序带
成功否
安装启动该用户程序
安装用户可执行目标程序和数据带
运行完毕、产生结果数据 卸下程序、数据、结果带
成功否
第一章 操作系统概述
内容提要:
计算机操作系统ppt课件
计算机操作系统PPT课件
目录
• 计算机操作系统概述 • 进程管理与调度 • 内存管理策略 • 文件系统原理及应用 • 设备驱动程序开发实践 • 网络通信原理及实现方法 • 操作系统安全机制设计
01
计算机操作系统概述
定义与作用
定义
计算机操作系统是一种系统软件, 它是计算机上的一个关键组成部分。
作用
合理配置操作系统参数、调整网络 协议栈参数和优化应用程序设计等
方式提高网络通信性能。
07
操作系统安全机制设计
操作系统安全威胁分析
恶意软件攻击
包括病毒、蠕虫、特洛伊木马等,可能破坏系统完整性、 窃取信息或占用系统资源。
非法访问与越权操作
未经授权的用户尝试访问敏感数据或执行关键操作,可能 导致数据泄露或系统损坏。
结构
操作系统通常由内核、外壳、文件系 统、设备驱动程序等组成。
功能
操作系统的主要功能包括进程管理、内 存管理、设备管理、文件管理和用户接 口等。这些功能共同协作,确保计算机 系统的正常运行和高效使用。
02
进程管理与调度
进程概念及属性
进程定义
进程是计算机中的程序关于某数 据集合上的一次运行活动,是系 统进行资源分配和调度的基本单
虚拟内存技术原理及应用
虚拟内存技术原理
利用磁盘空间作为内存的扩展部分,将部分暂时不用的程序和数据存放到磁盘 上,以便腾出内存空间给急需的程序和数据。当需要再次使用这些程序和数据 时,再从磁盘上读入内存。
虚拟内存技术应用
实现进程的隔离和保护,提高内存利用率,支持多道程序设计和分时系统,使 得大型程序能够在小内存中运行。
操作系统的主要功能是管理计算机 硬件和软件资源,为用户提供一个 方便、高效的使用环境。
目录
• 计算机操作系统概述 • 进程管理与调度 • 内存管理策略 • 文件系统原理及应用 • 设备驱动程序开发实践 • 网络通信原理及实现方法 • 操作系统安全机制设计
01
计算机操作系统概述
定义与作用
定义
计算机操作系统是一种系统软件, 它是计算机上的一个关键组成部分。
作用
合理配置操作系统参数、调整网络 协议栈参数和优化应用程序设计等
方式提高网络通信性能。
07
操作系统安全机制设计
操作系统安全威胁分析
恶意软件攻击
包括病毒、蠕虫、特洛伊木马等,可能破坏系统完整性、 窃取信息或占用系统资源。
非法访问与越权操作
未经授权的用户尝试访问敏感数据或执行关键操作,可能 导致数据泄露或系统损坏。
结构
操作系统通常由内核、外壳、文件系 统、设备驱动程序等组成。
功能
操作系统的主要功能包括进程管理、内 存管理、设备管理、文件管理和用户接 口等。这些功能共同协作,确保计算机 系统的正常运行和高效使用。
02
进程管理与调度
进程概念及属性
进程定义
进程是计算机中的程序关于某数 据集合上的一次运行活动,是系 统进行资源分配和调度的基本单
虚拟内存技术原理及应用
虚拟内存技术原理
利用磁盘空间作为内存的扩展部分,将部分暂时不用的程序和数据存放到磁盘 上,以便腾出内存空间给急需的程序和数据。当需要再次使用这些程序和数据 时,再从磁盘上读入内存。
虚拟内存技术应用
实现进程的隔离和保护,提高内存利用率,支持多道程序设计和分时系统,使 得大型程序能够在小内存中运行。
操作系统的主要功能是管理计算机 硬件和软件资源,为用户提供一个 方便、高效的使用环境。
操作系统课件.ppt
学习重点
?
控制面板
上面我们了解了一些电脑里面的操作已经程序,现在我们看 看在电脑中的一部分快捷键: ALT+BACKSPACE 或 CTRL+Z 撤销上一步的操作 ALT+SHIFT+BACKSPACE 重做上一步被撤销的操作
Windows键+M 最小化所有被打开的窗口。
Windows键+CTRL+M 重新将恢复上一项操作前窗口的大小 和位置
学习重点
?
现有的操作系统位数区别
如果现在市场上的CPU全部是64位的平台开发的, 那么现在的所有软件都使用不了,因为目前大部分 的软件都是基于32位开发的,目前我们说的64位的 windows7系统也只是在32位系统的基础上添加了一 些64位的寻址功能,其实对于我们来说64位的CPU ,操作系统意义不大,毕竟我们使用的内存大 部分 还是2G,使用的也是常用软件,对于运算速度的要 求也不大。64位主要应用于大型机械或大型服务站 。所以32位和64位相比,64位的速度更快,但是 32 位更适合我们,如果你装了64位的操作系统,你会 发现,很多软件使用不了
学习重点
?
系统驱动
驱动系统,应该叫驱动程序,全称为 “设备驱动程序”是一种可以使计算 机和设备通信的特殊程序,可以 说相 当于硬件的接口,操作系统只有通过 这个接口,才能控制硬件设备的工作 ,假如某设备的驱动程序未能正确安 装,便不能正常工作。 因此,驱动程 序被誉为“ 硬件的灵魂”、“硬件的 主宰”、和“硬件和系统之间的桥梁 ”等。
学习重点
?
基本操作:办公软件
Microsoft Office是微软公司开发 的一套基于 Windows 操作系统 的办公软件套装。常用组件有 Word、Excel、Powerpoint等。 最新版本为Office 365(Office 16) 。
操作系统完整ppt课件
程序I/O方式
CPU等待I/O操作完成
适用于简单、少量的I/O操作
2024/1/26
26
I/O控制方式
CPU响应中断并处理I/O操 作结果
I/O操作完成后中断CPU
中断驱动I/O方式
01
2024/1/26
03 02
27
I/O控制方式
2024/1/26
01
提高了CPU的利用率
02
DMA(直接内存访问)I/O方式
PCB的内容
PCB通常包含进程标识符、处理机状态、进程调度信息和进程控 制信息等内容。
PCB的组织方式
PCB可以采用线性方式、链接方式或索引方式进行组织。
9
进程调度算法
2024/1/26
先来先服务(FCFS)调度算法
按照进程到达的先后顺序进行调度,先到达的进程先得到服务。
短作业优先(SJF)调度算法
根据进程的服务时间进行调度,服务时间短的进程优先得到服务。
优先级调度算法
为每个进程分配一个优先级,优先级高的进程优先得到服务。
时间片轮转(RR)调度算法
将CPU时间划分为固定大小的时间片,每个进程轮流执行一个时间片 。
10
进程同步与通信
进程同步的概念
多个进程在执行过程中需要协调其推进速度,以保证正确 的执行顺序和结果。
2024/1/26
进程的状态
进程在执行过程中会经历 多种状态,如就绪态、运 行态、阻塞态等。
进程控制块PCB
每个进程都有一个唯一的 进程控制块,用于存储进 程的标识符、状态、优先 级等关键信息。
8
进程控制块PCB
2024/1/26
PCB的作用
PCB是进程存在的唯一标识,操作系统通过PCB来感知进程的存 在,并对其进行控制和管理。
CPU等待I/O操作完成
适用于简单、少量的I/O操作
2024/1/26
26
I/O控制方式
CPU响应中断并处理I/O操 作结果
I/O操作完成后中断CPU
中断驱动I/O方式
01
2024/1/26
03 02
27
I/O控制方式
2024/1/26
01
提高了CPU的利用率
02
DMA(直接内存访问)I/O方式
PCB的内容
PCB通常包含进程标识符、处理机状态、进程调度信息和进程控 制信息等内容。
PCB的组织方式
PCB可以采用线性方式、链接方式或索引方式进行组织。
9
进程调度算法
2024/1/26
先来先服务(FCFS)调度算法
按照进程到达的先后顺序进行调度,先到达的进程先得到服务。
短作业优先(SJF)调度算法
根据进程的服务时间进行调度,服务时间短的进程优先得到服务。
优先级调度算法
为每个进程分配一个优先级,优先级高的进程优先得到服务。
时间片轮转(RR)调度算法
将CPU时间划分为固定大小的时间片,每个进程轮流执行一个时间片 。
10
进程同步与通信
进程同步的概念
多个进程在执行过程中需要协调其推进速度,以保证正确 的执行顺序和结果。
2024/1/26
进程的状态
进程在执行过程中会经历 多种状态,如就绪态、运 行态、阻塞态等。
进程控制块PCB
每个进程都有一个唯一的 进程控制块,用于存储进 程的标识符、状态、优先 级等关键信息。
8
进程控制块PCB
2024/1/26
PCB的作用
PCB是进程存在的唯一标识,操作系统通过PCB来感知进程的存 在,并对其进行控制和管理。
操作系统-完整版PPT课件
B、双击“标题栏”
C、单击“任务栏”上相应的“任务按钮”
D、选择“控制”按钮弹出菜单中的“”最 大化
选项
2、在Windows中,可以“关闭”窗
口的操作是A(BCD
)
A、双击“控制”按钮
B、按ALT+F4
C、选择文件“下拉菜单的”关闭“ 选项
D、选择“控制”按钮弹出菜单中“ 关闭”选项
3、属于多用户多任务的操作系统的是 ( BCD )
操作中,要先按住键盘上的( A )键 ,再依次单击各选择对象。
A.CTRL B.ALT
C.SHIFT D.TAB
6、在Windows98中,有些菜单的选项
中的右端有一个向右的箭头,则表示 该菜单项代表( A )
A.将弹出下一级子菜单 B.当前不能选取执行 C.已被选中 D.将弹出一个对话框
7、应用程序窗口最大化以后,标
A.该命令正在使用
B.当前不能选取执行
C.执行该命令时出错
D.该命令已正确执行
3、按组合键( B )可以打开“开始 ”菜单。
A. Ctrl+O C. Ctrl+空格键
B. Ctrl+Ese D. Ctrl+Tab
4、运行windows98桌面上已经有某应用 程序的图标,可以( B )
A.左键单击该图标 B.左键双击该图标 C.右键单击该图标 D.右键双击该图标 5、在选定多个非连续文件或文件夹的
题栏右边分别是( B )三个 按钮 A.最小化、最大化和大小 B.最小化、还原和关闭 C.最小化、关闭和移动 D.最小化、最大化和恢复
8、下列叙述中,正确的是( D )
A、“开始”菜单只能用鼠标单击“开始” 按钮才能打开
第2章(win10版)操作系统PPT课件
大小比例了。
在Win10中,一个比较人性化的改进就是调整后的尺
寸可以被系统识别。比方说当你将一个窗口手工调大后(
必须得是分屏模式),第二个窗口会自动利用剩余的空间
进行填充。这样原本应该出现的留白或重叠部分就会自动
整理完毕,高效的同时也省了用户很多事。
2021
33
2021
34
层叠与并排
如果要排列的窗口超过4个,分屏就显 得有些不够用了,这时不妨试一试最传统 的窗口排列法。具体方法是,右击任务栏 空白处,然后选择“层叠窗口”、“并排显示 窗口”、“堆叠显示窗口”。选择结束后,桌 面上的窗口会瞬间变得有秩序起来,可以 明显感觉到不像以前那么挡手了。
Modern应用在多任务中可以更紧密的结合 在一起。
2021
25
系统特色:通知中心
在Windows Technical Preview Build 9860版本 之后,增加了行动中心(通知中心)功能 ,可以显示信息、更新内容、电子邮件和 日历等消息,还可以收集来自Windows8应 用的信息,但用户尚不能对收到的信息进 行回应。9941版本后通知中心还有了“快 速操作”功能,提供快速进入设置,或开 关设置。
用多个桌面环境,即用户可以根据自己
的需要,在不同桌面环境间进行切换。 微软还在“Taskview”模式中增加了应 用排列建议选择——即不同的窗口会以 某种推荐的排版显示在桌面环境中,点
击右侧的加号即可添加一个新的虚拟桌 面。
2021
20
2021
21
“多余”的窗口可直接拖拽到其 他桌面
2021
22
Windows设置(更改文件存储位置)
❶ 在资源管理器中
选择桌面的属性
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
·主体的授权访问机密文件级别不低于被访问客体,且 ·主体要知道他所需要的信息对应的所有分类隔离块
2021/3/16
.
4
可信操作系统与安全操作系统
Secure
1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal
Trusted
1、graded 2、property of receiver 3、judged 4、relative (judged in context of
处理器管理 存储器管理 文件管理 设备管理 用户与计算机的接口
2021/3/16
.
3
可信操作系统与安全操作系统
操作系统同时也是安全的主要提供者。 由于其强大功能,所以也成为被攻击的对 象,一旦突破操作系统的防线,就可以肆 意修改计算机的任何内容了。
今天,计算机操作系统的安全显得日 益重要,如何设计安全可信的操作系统, 就是我们下面要讨论的问题。
隔离块 (Compartment)
隔离块 (Compartment)
绝密 机密 秘密 受限Fra bibliotek公开2021/3/16
图5-2 隔离块和敏感级别
.
隔离块 (Compartment)
11
Military Security Policy
上面引入了compartments这个述语, 它是指相关于一个或多个项目的一些相 关信息集合,往往用某个名词来表示一 个compartment。
3、敏感性是分层的
4、need-to-know 不分层
5、Dominance relationship
2021/3/16
.
9
Military Security Policy
公开
受限 秘密 机密 绝密
最不敏感 最敏感
图 5-1 机 密 层 次 图
2021/3/16
.
10
Military Security Policy
设计可信操作系统
Designing Trusted Operating Systems
2021/3/16
.
1
设计可信操作系统
一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证
2021/3/16
.
2
可信操作系统与安全操作系统
操作系统:在计算机系统中,操作系统是设 计在硬件上的第一层软件,是对计算机系统 的第一次扩充,是其他程序运行的基础。他 主要提供以下功能:
.
7
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsiblity Chinese Wall: conflict of interest policy Originator Controlled Role based access control …
use) 5、a characteristic
可信操作系统不一定是安全的,但是它要求的是满足用
户的安全需求,同时也满足用户的性能需求,不是一味追求
安全而损害了操作系统的性能,从而在安全与性能中间达到
一种平衡。
2021/3/16
.
5
用户和设计者看操作系统
从用户的角度来考虑,如果一个操作系统
能够连续高效地保证提供内存保护、文件保
这时,我们说o支配s(或是s受o支配)。 看下 面的例子:
<秘密,{SNOWSHOE}> ≤ <绝密,{SNOWSHOE,SWEDEN}> 这时我们可以说后面的class主导前面的class
2021/3/16
.
15
Military Security Policy
一个主体能够访问一个客体必须满足下 面的条件:
它的引进是为了说明need-to-know规 则的。一个compartment可以处于一个敏 感级别,也可以跨越多个敏感级别。
2021/3/16
.
12
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information.
二、一些比较常见的策略
2021/3/16
例如: <绝密,{CRYPTO}>,…
现在来看最后一个概念:dominance
用符号 ≤ 表示。
s表示主体,o表示客体。看下面的关 系:
2021/3/16
.
14
Military Security Policy
s≤o if and only if ranks≤ranko and
Compartments compartmentso
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的 表 示 : {CRYPTO}、 {SNOWSHOE,SWEDEN}
2021/3/16
.
13
Military Security Policy
再引入class或classification这个概念, 它是指敏感级别和compartments构成的 一个二元组: <rank;compartments>。
2021/3/16
.
8
Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
我们注意以下几点:
1、信息的敏感级别
2、need-to-know规则:
允许使用者最小限度地访问敏感信息。
护、对系统中所有对象地访问控制和用户鉴定
与识别等服务,那我们就说此系统是可信地。
但是对于一个开发者来说,要从操作系统地设
计和操作系统所能提供安全服务的组件功能来
看一个操作系统的可信度。设计一个可信的操
作系统,必须考虑以下四个环节:安全策略、
安全模型、设计和可信度。
2021/3/16
.
6
Security Policies ...
2021/3/16
.
4
可信操作系统与安全操作系统
Secure
1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal
Trusted
1、graded 2、property of receiver 3、judged 4、relative (judged in context of
处理器管理 存储器管理 文件管理 设备管理 用户与计算机的接口
2021/3/16
.
3
可信操作系统与安全操作系统
操作系统同时也是安全的主要提供者。 由于其强大功能,所以也成为被攻击的对 象,一旦突破操作系统的防线,就可以肆 意修改计算机的任何内容了。
今天,计算机操作系统的安全显得日 益重要,如何设计安全可信的操作系统, 就是我们下面要讨论的问题。
隔离块 (Compartment)
隔离块 (Compartment)
绝密 机密 秘密 受限Fra bibliotek公开2021/3/16
图5-2 隔离块和敏感级别
.
隔离块 (Compartment)
11
Military Security Policy
上面引入了compartments这个述语, 它是指相关于一个或多个项目的一些相 关信息集合,往往用某个名词来表示一 个compartment。
3、敏感性是分层的
4、need-to-know 不分层
5、Dominance relationship
2021/3/16
.
9
Military Security Policy
公开
受限 秘密 机密 绝密
最不敏感 最敏感
图 5-1 机 密 层 次 图
2021/3/16
.
10
Military Security Policy
设计可信操作系统
Designing Trusted Operating Systems
2021/3/16
.
1
设计可信操作系统
一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证
2021/3/16
.
2
可信操作系统与安全操作系统
操作系统:在计算机系统中,操作系统是设 计在硬件上的第一层软件,是对计算机系统 的第一次扩充,是其他程序运行的基础。他 主要提供以下功能:
.
7
一些比较常见的策略
Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: required division of
responsiblity Chinese Wall: conflict of interest policy Originator Controlled Role based access control …
use) 5、a characteristic
可信操作系统不一定是安全的,但是它要求的是满足用
户的安全需求,同时也满足用户的性能需求,不是一味追求
安全而损害了操作系统的性能,从而在安全与性能中间达到
一种平衡。
2021/3/16
.
5
用户和设计者看操作系统
从用户的角度来考虑,如果一个操作系统
能够连续高效地保证提供内存保护、文件保
这时,我们说o支配s(或是s受o支配)。 看下 面的例子:
<秘密,{SNOWSHOE}> ≤ <绝密,{SNOWSHOE,SWEDEN}> 这时我们可以说后面的class主导前面的class
2021/3/16
.
15
Military Security Policy
一个主体能够访问一个客体必须满足下 面的条件:
它的引进是为了说明need-to-know规 则的。一个compartment可以处于一个敏 感级别,也可以跨越多个敏感级别。
2021/3/16
.
12
Military Security Policy
Compartment= CRYPTO
Compartment= SNOWSHOE
Compartment= SWEDEN
一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information.
二、一些比较常见的策略
2021/3/16
例如: <绝密,{CRYPTO}>,…
现在来看最后一个概念:dominance
用符号 ≤ 表示。
s表示主体,o表示客体。看下面的关 系:
2021/3/16
.
14
Military Security Policy
s≤o if and only if ranks≤ranko and
Compartments compartmentso
密码学方面的出版物
制造雪鞋的厂家
瑞典喷气式推 进雪鞋计划
瑞典的间谍名字
compartments的 表 示 : {CRYPTO}、 {SNOWSHOE,SWEDEN}
2021/3/16
.
13
Military Security Policy
再引入class或classification这个概念, 它是指敏感级别和compartments构成的 一个二元组: <rank;compartments>。
2021/3/16
.
8
Military Security Policy
Military security policy :它主要用于保护机密信息。 将每段信息都标有敏感级别,用户对信息访问基于 need-to-know规则。
我们注意以下几点:
1、信息的敏感级别
2、need-to-know规则:
允许使用者最小限度地访问敏感信息。
护、对系统中所有对象地访问控制和用户鉴定
与识别等服务,那我们就说此系统是可信地。
但是对于一个开发者来说,要从操作系统地设
计和操作系统所能提供安全服务的组件功能来
看一个操作系统的可信度。设计一个可信的操
作系统,必须考虑以下四个环节:安全策略、
安全模型、设计和可信度。
2021/3/16
.
6
Security Policies ...