第三章 操作系统安全模型
《操作系统》课程教案
《操作系统》课程教案第一章:操作系统概述1.1 教学目标了解操作系统的定义、功能和作用掌握操作系统的基本组成和分类理解操作系统的历史和发展1.2 教学内容操作系统的定义和作用操作系统的组成:内核、shell、文件系统、设备驱动程序操作系统的分类:批处理系统、分时系统、实时系统、分布式系统操作系统的历史和发展1.3 教学方法采用讲授法,介绍操作系统的概念和发展历程通过实例分析,让学生了解操作系统的组成和作用开展小组讨论,比较不同类型的操作系统1.4 教学资源教材:《操作系统原理与应用》课件:操作系统的定义、功能、组成和分类实例:Windows、Linux、macOS等操作系统的特点1.5 教学评估课堂问答:了解学生对操作系统的概念和组成的掌握情况小组讨论:评估学生对不同类型操作系统的理解和分析能力课后作业:巩固学生对操作系统知识的学习第二章:进程管理2.1 教学目标了解进程的定义和作用掌握进程管理的基本方法和策略理解进程同步和互斥的概念2.2 教学内容进程的定义和作用进程管理的基本方法:进程调度、进程同步、进程互斥进程同步和互斥的实现:信号量、管程、事件等2.3 教学方法采用讲授法,介绍进程的定义和作用通过实例分析,让学生了解进程管理的方法和策略开展小组讨论,探讨进程同步和互斥的实现方式2.4 教学资源教材:《操作系统原理与应用》课件:进程的定义、进程管理的方法和策略、进程同步和互斥的概念实例:进程调度算法、信号量的使用2.5 教学评估课堂问答:了解学生对进程的定义和作用的掌握情况小组讨论:评估学生对进程管理方法和策略的理解能力课后作业:巩固学生对进程同步和互斥知识的学习第三章:内存管理3.1 教学目标了解内存的定义和作用掌握内存管理的基本方法和策略理解内存分配和回收的原则3.2 教学内容内存的定义和作用内存管理的基本方法:分页、分段、虚拟内存内存分配和回收的原则:首次适应法、最佳适应法、最坏适应法3.3 教学方法采用讲授法,介绍内存的定义和作用通过实例分析,让学生了解内存管理的方法和策略开展小组讨论,探讨内存分配和回收的原则3.4 教学资源教材:《操作系统原理与应用》课件:内存的定义、内存管理的方法和策略、内存分配和回收的原则实例:分页算法、分段算法、虚拟内存的实现3.5 教学评估课堂问答:了解学生对内存的定义和作用的掌握情况小组讨论:评估学生对内存管理方法和策略的理解能力课后作业:巩固学生对内存分配和回收知识的学习第四章:文件管理4.1 教学目标了解文件的定义和作用掌握文件管理的基本方法和策略理解文件系统的结构和组织方式4.2 教学内容文件的定义和作用文件管理的基本方法:文件的创建、删除、打开、关闭等文件系统的结构和组织方式:目录结构、文件存储方式、文件访问控制4.3 教学方法采用讲授法,介绍文件的定义和作用通过实例分析,让学生了解文件管理的方法和策略开展小组讨论,探讨文件系统的结构和组织方式4.4 教学资源教材:《操作系统原理与应用》课件:文件的定义、文件管理的方法和策略、文件系统的结构和组织方式实例:Linux、Windows等操作系统中的文件管理4.5 教学评估课堂问答:了解学生对文件的定义和作用的掌握情况小组讨论:评估学生对文件管理方法和策略的理解能力课后作业:巩固学生对文件系统结构和组织方式知识的学习第五章:设备管理5.1 教学目标了解设备的定义和作用掌握设备管理的基本方法和策略理解设备驱动程序第六章:设备管理(续)5.2 教学内容设备驱动程序:概念、作用和实现方式设备管理的基本方法:设备分配、设备请求调度、设备控制设备管理的高级主题:I/O中断处理、DMA传输、虚拟设备5.3 教学方法采用讲授法,介绍设备驱动程序的概念和作用通过实例分析,让学生了解设备管理的方法和策略开展小组讨论,探讨设备管理的高级主题5.4 教学资源教材:《操作系统原理与应用》课件:设备驱动程序的概念、设备管理的方法和策略、设备管理的高级主题实例:硬盘驱动程序、打印机驱动程序、I/O中断处理5.5 教学评估课堂问答:了解学生对设备驱动程序的定义和作用的掌握情况小组讨论:评估学生对设备管理方法和策略的理解能力课后作业:巩固学生对设备管理高级主题知识的学习第七章:操作系统用户界面7.1 教学目标了解操作系统的用户界面的定义和作用掌握操作系统用户界面的基本设计和实现方法理解图形用户界面(GUI)和命令行用户界面(CLI)的差异和优缺点7.2 教学内容用户界面的定义和作用用户界面的基本设计原则:用户友好性、易用性、可访问性GUI和CLI的设计和实现方法:窗口管理、事件处理、命令解析7.3 教学方法采用讲授法,介绍用户界面的定义和作用通过实例分析,让学生了解用户界面的设计和实现方法开展小组讨论,探讨GUI和CLI的差异和优缺点7.4 教学资源教材:《操作系统原理与应用》课件:用户界面的定义、用户界面的设计和实现方法、GUI和CLI的差异和优缺点实例:Windows操作系统、Linux终端、macOS的Finder7.5 教学评估课堂问答:了解学生对操作系统用户界面的定义和作用的掌握情况小组讨论:评估学生对用户界面设计和实现方法的理解能力课后作业:巩固学生对GUI和CLI差异和优缺点知识的学习第八章:操作系统安全8.1 教学目标了解操作系统安全的定义和重要性掌握操作系统安全的基本机制和策略理解操作系统的安全威胁和防护措施8.2 教学内容操作系统安全的定义和重要性安全机制:访问控制、身份验证、加密、审计安全策略:最小权限原则、安全分层模型、安全内核常见安全威胁:恶意软件、漏洞攻击、social engineering防护措施:防火墙、入侵检测系统、安全更新8.3 教学方法采用讲授法,介绍操作系统安全的定义和重要性通过实例分析,让学生了解安全机制和策略开展小组讨论,探讨安全威胁和防护措施8.4 教学资源教材:《操作系统原理与应用》课件:操作系统安全的定义、安全机制和策略、安全威胁和防护措施实例:操作系统安全漏洞案例分析、安全防护工具的使用8.5 教学评估课堂问答:了解学生对操作系统安全的定义和重要性的掌握情况小组讨论:评估学生对安全机制和策略的理解能力课后作业:巩固学生对操作系统的安全威胁和防护措施知识的学习第九章:操作系统性能分析9.1 教学目标了解操作系统性能的定义和重要性掌握操作系统性能分析的基本方法和工具理解操作系统性能优化和调优的策略9.2 教学内容操作系统性能的定义和重要性性能分析方法:基准测试、模拟、监控和分析工具性能评价指标:响应时间、吞吐量、资源利用率性能优化策略:进程调度优化、内存管理优化、文件系统优化9.3 教学方法采用讲授法,介绍操作系统性能的定义和重要性通过实例分析,让学生了解性能分析方法和工具开展小组讨论,探讨性能优化和调优的策略9.4 教学资源教材:《操作系统原理与应用》课件:操作系统性能的定义、性能分析方法和工具、性能优化和调优的策略实例:操作系统性能监控工具(如top, vmstat)的使用、性能优化的案例分析重点和难点解析1. 操作系统的定义和作用:理解操作系统作为计算机系统核心组件的基本概念,以及它在资源管理、程序执行和用户界面方面的关键作用。
《操作系统安全》第三章_windows系统安全要素
3.1 Windows系統安全模型
• 影響Windows系統安全的要素有很多:安全模型,檔系 統,域和工作組,註冊表,進程和線程等等,其中 Windows系統安全模型是核心。
Windows系統安全模型
• Windows系統的安全性根植於Windows系統的核 心(Kernel)層,它為各層次提供一致的安全模型。 Windows系統安全模型是Windows系統中密不可 分的子系統,控制著Windows系統中對象的訪問(如 檔、記憶體、印表機等)。在Windows系統中,對象 實質上是指一系列資訊集合體,封裝了數據及處理過 程,使之成為一個可被廣泛引用的整體。當對象用於 網路環境時,稱之為資源;當對象在網路中共享時, 稱之為共用資源。
訪問令牌(Access Token)
• 受限令牌對於運行不可信代碼(例如電子郵件附件)很有 用。當您右鍵單擊可執行檔,選擇“運行方式”並選擇“ 保護我的電腦和數據不受未授權程式的活動影響”時, Microsoft Windows XP 就會使用受限令牌。
安全描述符(Security Descriptors)
第三章 Windows系統安全要素
Windows系統安全要素
• 一、目的要求 • 1.掌握Windows系統各種安全要素的概念,內涵和原 理。 • 2.掌握各種安全要素的管理操作及使用方法。 • 二、工具器材 • Windows Server 2003,Windows XP操作系統 • 三、學習方式建議 • 理論學習+上機操作
3.1.1 Windows系統安全模型組件
• 安全識別字 (SID,Security Identifiers) • 安全識別字標識一個用戶、組或登錄會話。每個用戶 都有一個唯一的 SID,在登錄時由操作系統檢索。當 你重新安裝系統後,也會得到一個唯一的SID。 SID 由電腦名、當前時間、當前用戶態線程的CPU耗費時 間的總和三個參數決定,以保證它的唯一性。
《Linux操作系统》第三章用户和用户组
需要说明的是,用户密码位在/etc/passwd文件中均为x,这是因为 在较早的Linux系统版本中,用户的密码直接存放在该文件中,后来出于 安全性的考虑,只要已经设置过密码的账户,在该文件中均将密码位标 记为x,而真正的密码则存放于/etc/shadow配置文件中。
另外,每个用户的ID都是唯一的,其中ID为0的用户会被系统当作管 理员,拥有对系统的绝对控制权,通常情况下只有root用户的UID为0。 换句话说,如果把某个普通用户的UID修改为0,则该用户就变成了管理 员账户。
第3章
用户和用户组
学习目标
了解Linux的用户管理体系。 掌握Linux的添加用户命令。 掌握Linux的用户修改和删除命令。 掌握Linux的添加和删除用户组命令。
知识重点
Linux用户管理命令。 Linux用户组管理命令。
知识难点
Linux批量添加用户。 Linux修改用户状态。
3.1 用户操作
3.1.1 实例一:添加用户
可以看到,passwd文件对所有人都开放读权限,如此一来,如 果将密码直接加密后存放至该文件,则任何人都可以轻易地拿到密码 并使用强字典进行密码破解,从而对服务器的安全造成严重的威胁。 而shadow文件则没有任何权限,即任何人都不能对其进行读、写和 执行操作,但是root用户例外,因为按照Linux的机制,root可以具 有所有权限,换句话说,只有root用户可以对shadow文件进行读/写 操作,这样密码管理就有了更高的安全性。
在/etc/skel目录中新建文件readme.txt并输入内容:
3.1 用户操作
3.1.1 实例一:添加用户
再次新建用户,然 后观察用户家目录中的 文件,命令如下:
linux操作系统第三章.ppt
ln
例子
ln 文件名 链接文件名 ln -s 文件名 链接文件名
系统管理基本命令
# 对各个运行级的详细解释: 0 为停机,机器关闭。 1 为单用户模式,就像Win9x下的安全模式类似。 2 为多用户模式,但是没有NFS支持。 3 为完整的多用户模式,是标准的运行级。 4 一般不用,在一些特殊情况下可以用它来做一些 事情。 5 就是X11,进到X Window系统了。 6 为重启,运行init 6机器就会重启。 命令格式: init 数字
可以使用以下命令查看文件的 inode:
$ ls -i
五、ext2文件系统
No Image
六、节点数量
直接寻址 直接寻址 直接寻址 直接寻址 一次间接寻址 二次间接寻址 三次间接寻址
七、ext2的特点及问题
延迟写 提前读 文件丢失
八、ext3 文件系统
1、ext2+日志文件系统 2、索引节点文件(inode) 3、文件=inode+数据区块组成
应用、业务和事务的关系图
应用
业务1 事务1 事务2 业务2 事务3 事务4
*理论介绍
1、事务(T)的基本概念
对数据库的一次完整操作 原子性、隔离性、永久性、正确性
2、事务的特点
3、业务(M)
应用系统的最小控制单位
交换文件和交换分区
虚拟内存 与用户分开 空间连续
第四节 文件类型 一、文件名和类型简介
本次课要解决的主要问题
Ø 理解什么是文件系统 Ø 了解文件系统工作原理 Ø 理解 Linux文件系统的结构和组成 Ø 掌握 Linux文件的类型、权限和修改方法 Ø 掌握如何安装、卸载文件系统 Ø 了解如何进行ext2和ext3的文件系统转换 理解交换分区和交换文件
操作系统 第三章,第四章,第九章课后习题整理
第3章进程描述和控制复习题:什么是指令跟踪?答:指令跟踪是指为该进程而执行的指令序列。
通常那些事件会导致创建一个进程?答:新的批处理作业;交互登录;操作系统因为提供一项服务而创建;由现有的进程派生。
(详情请参考表3.1)对于图3.6中的进程模型,请简单定义每个状态。
答:运行态:该进程正在执行。
就绪态:进程做好了准备,只要有机会就开始执行。
阻塞态:进程在某些事件发生前不能执行,如I/O操作完成。
新建态:刚刚创建的进程,操作系统还没有把它加入到可执行进程组中。
退出态:操作系统从可执行进程组中释放出的进程,或者是因为它自身停止了,或者是因为某种原因被取消。
抢占一个进程是什么意思?答:处理器为了执行另外的进程而终止当前正在执行的进程,这就叫进程抢占。
什么是交换,其目的是什么?答:交换是指把主存中某个进程的一部分或者全部内容转移到磁盘。
当主存中没有处于就绪态的进程时,操作系统就把一个阻塞的进程换出到磁盘中的挂起队列,从而使另一个进程可以进入主存执行。
为什么图3.9(b)中有两个阻塞态?答:有两个独立的概念:进程是否在等待一个事件(阻塞与否)以及进程是否已经被换出主存(挂起与否)。
为适应这种2*2的组合,需要两个阻塞态和两个挂起态。
列出挂起态进程的4个特点。
答:1.进程不能立即执行。
2.进程可能是或不是正在等待一个事件。
如果是,阻塞条件不依赖于挂起条件,阻塞事件的发生不会使进程立即被执行。
3.为了阻止进程执行,可以通过代理把这个进程置于挂起态,代理可以是进程自己,也可以是父进程或操作系统。
4.除非代理显式地命令系统进行状态转换,否则进程无法从这个状态中转移。
对于哪类实体,操作系统为了管理它而维护其信息表?答:内存、I/O、文件和进程。
列出进程控制块中的三类信息。
答:进程标识,处理器状态信息,进程控制信息。
为什么需要两种模式(用户模式和内核模式)?答:用户模式下可以执行的指令和访问的内存区域都受到限制。
这是为了防止操作系统受到破坏或者修改。
操作系统安全复习重点
第一章:绪论1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组织各种程序高效运行,从而为用户提供良好的、可扩展的系统操作环境,达到使用方便、资源分配合理、安全可靠的目的。
2 操作系统地安全是计算机网络信息系统安全的基础。
3 信息系统安全定义为:确保以电磁信号为主要形式的,在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性(保密性)、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。
4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。
5 信息的保密性:指信息的隐藏,目的是对非授权的用户不可见。
保密性也指保护数据的存在性,存在性有时比数据本身更能暴露信息。
6 操作系统受到的保密性威胁:嗅探,木马和后门。
7 嗅探就是对信息的非法拦截,它是某一种形式的信息泄露.网卡构造了硬件的“过滤器“通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为“混杂模式“就可以进行嗅探。
8 在正常的情况下,一个网络接口应该只响应这样的两种数据帧:1.与自己硬件地址相匹配的数据帧。
2.发向所有机器的广播数据帧。
9 网卡一般有四种接收模式:广播方式,组播方式,直接方式,混杂模式。
10 嗅探器可能造成的危害:•嗅探器能够捕获口令;•能够捕获专用的或者机密的信息;•可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;•分析网络结构,进行网络渗透。
11 大多数特洛伊木马包括客户端和服务器端两个部分。
不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,达到偷窥别人隐私和得到经济利益的目的.13 后门:绕过安全性控制而获取对程序或系统访问权的方法。
信息安全技术使用教程第二版课后习题
信息安全技术使用教程(第版)课后习题第一章(信息安全概述)习题一、1、填空题(1)信息安全是指秘密信息在产生、传输、使用、和存储的过程中不被泄露或破坏(2)信息安全的4个方面是;保密性、完整性、可用性、和不可否认性。
(3)信息安全主要包括系统安全和数据安全俩个方面。
(4)一个完整的信息安全技术体系结构由物理安全技术、基础安全技术、系统安全技术、网络完全技术及应用安全技术组成。
(5)一个常见的网络安全模型是PDRR模型。
(6)木桶原则是指对信息均衡、全面的进行保护。
木桶的最大容积取决于最短的一块木板。
2、思考与解答题:(1)简述信息安全技术面临的威胁。
(2)简述PDRR网络安全模型的工作过程。
第二章(物理安全技术)习题二1、填空题(1)物理安全又称为实体安全、是保护计算机设备、设施(网络及通信线路)免遭地震、火灾、水灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。
(2)物理安全包括环境安全、设备安全电源系统安全和通信线路安全、(3)计算机的电子元器件、芯片都密封在机箱中,有的芯片工作时表面温非常高,一般电子元器件的工作温度在0---45摄氏度。
(4)在放置计算机的房间内,湿度最好保持在40%--60% 之间,湿度过高或过低对计算机的可靠性与安全性都有影响。
2、思考与解答:(1)为计算机系统提供合适的安全环境的目的是什么。
(2)简述计算机机房的外部环境要求、内部环境要求。
第三章(基础安全技术)习题三、1、填空题(1)一般来说,信息安全主要包括系统安全和数据安全俩个方面。
(2)面膜技术是保障信息安全的核心技术、它以很小的代价,对信息提供一种强有力的安全保护。
(3)加密使用某种方法将文字转换成不能直接阅读的形式的过程。
(4)加密一般分为3类,是对称加密、非对称加密和单向散列函数。
(5)从密码学的发展历程来看,共经历了古典密码、对称密钥密码和公开密钥密码。
(6)对称加密算法又称为传统密码算法或单密钥算法,它采用了对称密码编码技术,其特点是文件加密和加密使用相同的密钥。
《网络安全技术》习题与答案
答:攻击者意图在两组合同中各选一份使得其杂凑值相同,既非 弱碰撞攻击也非强碰撞攻击,而是介于两者之间的一种形式。为 计算成功概率,先考虑 M 组中的一份合同均不与 M-组中任一份合 同杂凑值相同的概率:ρ1=(1-1/264)^232;其次,当 M 组中的任 一份合同都满足这一条件时,攻击者才会失败,对应概率为:ρ 2=ρ1^232=((1-1/264)^232)^232=(1-1/264)^264;最后,攻击者成功的 概率则为:ρ=1-ρ2=1-(1-1/264)^264。其中^表示乘方运算。
PDRR 模型在 P2DR 模型的基础上把恢复环节提到了和防护、检测、 响应等环节同等的高度,保护、检测、恢复、响应共同构成了完 整的安全体系。PDRR 也是基于时间的动态模型,其中,恢复环节 对于信息系统和业务活动的生存起着至关重要的作用,组织只有 建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难 事件中尽快恢复并延续业务。
WPDRRC 模型全面涵盖了各个安全因素,突出了人、策略、管理的 重要性,反映了各个安全组件之间的内在联系。该模型主要由六 个元素构成:预警、保护、检测、响应、恢复、反击。
6. 试分析古典密码和现代密码的异同?
答:在 1949 年之前,是密码发展的第一阶段—古典密码体制。古 典密码体制是通过某种方式的文字置换和移位进行,这种置换或 移位一般是通过某种手工或机械变换方式进行转换,同时简单地 使用了数学运算。古典密码的安全性主要依赖对算法本身的保密, 密钥的地位和作用并不十分突出。虽然在古代加密方法中已体现 了密码学的若干要素,但它只是一门艺术,而不是一门科学。
4. 何谓业务填充技术?主要用途如何?
答:所谓的业务填充即使在业务闲时发送无用的随机数据,增加 攻击者通过通信流量获得信息的困难,是一种制造假的通信、产
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
严格完整性策略
是BLP模型的对偶 规则:
1. 完整性*-属性: 主体S可以对客体O进行写操作,当 且仅当S的完整性等级支配客体O的完整性等级 2. 援引规则: 主体S1可以执行另一个主体S2(与S2通 信),当且仅当S1的完整性等级支配S2的完整性等 级 3. 简单完整性条件: 主体S可以对客体O进行读取操 作,当且仅当O的完整性等级支配S的完整性等级
第三章 操作系统安全模型
3.1 安全模型的概念及特点
安全策略:有关管理,保护和发布敏感信息的 法律,规定和实施细则 已授权的,安全的状态集合 未授权的,不安全的状态集合 如图,安全状态集合S={s1,s2,s3},不安全状态集 合US={s4}
S1 S2 S3 S4
3.1 安全模型的概念及特点
安全模型:是对安全策略所表达的安全需 求的简单、抽象和无歧义的描述。 安全模型的特点: 1、简单的、清晰的,只描述安全策略,对具 体实现的细节不作要求 2、抽象的、本质的 3、精确的、没有歧义的 现有的安全模型大多采用状态机模拟系统
BLP模型分析
BLP模型的安全策略包括MAC和DAC。 MAC由简单安全特性和*特性组成,DAC由存 取控制矩阵组成。 BLP中使用了可信主体,表示实际系统中不 受*特性约束的主体 BLP模型存在的问题
1、可信主体不受*特性约束,权限太大,不符合最 小特权原则 2、 BLP模型主要注重保密控制,不能控制向上写, 而向上写不能限制隐蔽通道
中国墙模型的*-属性
*-属性 主体S可以对客体O进行写操作,当 且仅当以下两个条件同时满足 1. 中国墙简单安全条件允许S读取O 2. S不能读取属于不同数据集的需要保护的 客体
简单安全条件
S可以读O,当且仅当S支配O且S对O具有自主型读 访问权限 *-属性: S可以写O,当且仅当O支配S且S对O具有自 主写权限 基本安全定理:设系统的初始安全状态为σ 0,T是状 态转换的集合。如果T中的每个元素都遵守简单安 全条件和*-属性,那么对于每个i≧0,状态σ i都是 安全的 只要该模型的初始状态是安全的,并且所有的转移函 数也是安全的,系统只要从某个安全状态启动,无论 按何种顺序调用系统功能,系统将总保持在安全状态.
系统状态定义
状态:是系统中元素的表示形式,由主体、 客体、访问属性、访问矩阵以及标识主体 和客体的访问类属性的函数组成 状态v ∈ V由一个有序的四元组(b, M, f, H) 表示 b表示在某个特定的状态下哪些主体以何种访 问属性访问哪些客体 M表示访问矩阵,f表示访问类函数,H表示 当前的层次结构,即客体的树形结构
模型的几个重要公理
简单安全性 S∈S=>[(O∈b(S :r, w))=>(fs(S)>fo(O))] 若请求B中主体S能读或读写客体O,则S的安全级必支配O的安全级 *特性
(O∈ b (S :a))=>(fo (O)>fc (S)) 当客体安全级支配主体安全级,则可写。 S∈S’=> (O∈ b (S :w))=>(fo (O)=fc (S)) 当主客体安全级相同,则可读写 (O∈ b (S :r))=>(fc (S)>fo (O)) 当主体安全级支配客体安全级,则可读
中国墙模型
兼顾保密性和完整性的安全模型,也称为BN模 型,1989年由Brewer和Nash提出
主要用来解决商业中的利益冲突问题,目标是防 止利益冲突的发生 中国墙模型对数据的访问控制是根据主体已经 具有的访问权力来确定是否可以访问当前数据
中国墙模型的非形式化描述
最底层表示的是单个企业的数据项,即单个的客体 中间层表示的是把客体按所属的企业分组,叫企业数据集 最高层是利益冲突类,由具有竞争关系的企业数据集组成
功能规范
形式化规范
实现
实现
3.3 安全模型的分类
按实现的策略分类:
保密性模型:注重防止信息的非授权泄漏, 主要应用于军事(BLP模型) 完整性模型:注重信息完整性(Biba和 Wilson模型) 混合策略模型:兼顾保密性和完整性(中国 墙模型)
按实现的方法分类,可分为访问控制模型 和信息流模型
例:
设S2许可的安全等级为(机密,{A,B}),客体 O2B的安全等级为(机密,{B}),客体O3C的安全 等级为(秘密,{C}),客体O4A的安全等级为(内 部,{A}),则有: S2支配O2B,因为机密≤机密,且{B}包含于{A,B} S2支配O4A,因为内部≤机密,且{A}包含于{A,B} S2不能支配O3C,因为{C}不包含在{A,B}中
1. 存在一个S曾经访问过的客体O’,并且O’和O处于同一企 业数据集中 2.对于所有S访问过的O’,都有O’和O不在一个利益冲突类 中
三个推论
一旦主体读取了某个利益冲突类中的一个 客体,那么该主体在这个利益冲突类中所能 读取的客体必须与它以前读取的客体属于 同一个企业数据集 一个主体在每个利益冲突类中最多只能访 问一个企业数据集 要访问一个利益冲突类中的所有客体,所需 要的最少主体个数应该与利益冲突类中企 业数据集的个数相同
基本安全定理(简化版)
设系统的初始安全状态为σ 0,T是状态转换 的集合。如果T中的每个元素都遵守简单安 全条件(简化版)和*-属性(简化版), 那么对于每个i≧0,状态σ i都是安全的
模型扩展解决分类粗糙
给每个安全密级增加一套类别,每种类别都描述一 种信息 例:如果类别分为A,B,C三类,则一个主体可访问的 类别的集合为: 空集, {A},{B},{C},{A,B},{A,C},{B,C},{A,B,C} 如果S2只需访问A类客体,则安全等级为(机密, {A}),客体O2B归于B类,它属于(机密,{B}), 则即使S2和O2B都是机密级别,S2也不能访问O2B 引入支配关系:安全等级(L,C)支配安全等级(L’,C’), 当且仅当L’ ≤L且C’包含于C
Clark-Wilson模型
主要思想: 利用良性事务处理机制和任务分 离机制来保证数据的一致性和事务处理的 完整性 良性事务处理机制: 指用户不能任意地处理 数据,而必须以确保数据完整性的受限的方 式来对数据进行处理 任务分离机制:指将任务分成多个子集,不同 子集由不同的人来完成,其最基本规则是任 何一个验证行为正确性的人不能同时也是 被验证行为的执行人
状态机模型
状态变量表示系统的状态 转换函数或操作规则用以描述状态变量的 变化过程 可以正确描述状态可以怎样变化和不可以 怎样变化
3.2 安全模型的开发和验证
形式化安全模型:使用数学模型,精确地 描述安全性及其在系统中使用的情况 非形式化安全模型:仅模拟系统的安全功 能,没有严格的数学验证
非形式化开发途径 安全需求 形式化开发途径 抽象模型
安全等级转换机制
主体有一个最高安全等级和当前安全等级 主体可由最高安全等级降低到当前安全等 级(最高安全等级支配当前安全等级) 如: S2由最高安全等级(机密,{A,B})降低 到当前安全等级(秘密,{A}) 则S2可以写(秘密,{A})级别的文档,且 S3也可读取该文档
模型中的概念
S: 主体集合 O: 客体集合 A={r, w, a, e} ={a}: 访问权限集合 M: 访问控制矩阵集合 F={(fs, fo, fc)} : 安全等级的三元组的集合 fs表示主体的最高安全等级 fc表示主体的当前安全等级 fo表示客体的安全等级
环策略
主体和客体的完整性等级在执行操作的前 后是固定不变的 规则:
1. 主体S可以对给定客体O进行写操作,当且仅当S 的完整性等级支配O的完整性等级 2. 主体S1可以执行另一个主体S2(与S2通信),当且 仅当S2的完整性等级支配S1的完整性等级 3.主体S可以对具有任何完整性等级的客体O进行 读取操作
每个主体都有个安全许可,等级越高,可访问的信息就越 敏感 每个客体都有个安全密级,密级越高,客体信息越敏感
基本原理:系统由主体(进程)和客体(数据、文 件)组成,主体对客体的访问分为只读(R)、读写 (W)、只写(A)、执行(X)及控制(C)几种访 问模式,C指主体授予或撤消另一主体对某一客体访 问权限的能力。
Biba模型
由K. J. Biba等人于1977年提出的第一个完 整性安全模型,应用类似于BLP模型的安全 规则来保护信息的完整性 模型为系统中每个主体和客体分配一个完 整性等级,等级越高,可靠性越高 Biba模型提出三种策略: 下限标记策略,环 策略和严格完整性策略
下限标记策略
主要思想: 当主体访问一个客体时,将主体的 完整性等级变为该主体和该客体完整性等 级中较低的那个等级 该策略包括: ☆ 对于主体的下限标记策略 ☆ 对于客体的下限标记策略 ☆ 下限标记完整审计策略
访问控制模型
访问矩阵模型三要素: 1.主体:可以对其他实体施加动作的主动实体, 简记为S 2.客体:是主体行为的对象,简记为O 3.访问权限:访问权限有限集A={ 读,写,执行, 追加 } 控制策略:主体对客体的操作行为集和约束条件 集 访问矩阵:主体用行表示,客体用列表示,交叉 项表示该主体对该客体所拥有的访问权限
模型的基利益冲突的数据集内的信息 中国墙的含义: 最初,一个主体可以自由选择访问任 何客体,一旦主体访问了某个企业数据集内的客体, 它将不能再访问这个利益冲突中其他企业数据集内 的客体 中国墙简单安全条件 主体S可以读取客体O,当且仅 当满足以下任一条件
自主安全性 (Si, Oj, x)∈b=>x ∈ Mij 对任一主体S按照模式X对客体O的访问,X必在访问矩阵M中 兼容性公理 所有的O∈O,有O1∈H(O)=>fo(O1)>fo(O) 对任意客体,儿子的安全级支配父亲的安全级。即安全级继承性。
安全状态转换规则
规则3.1 get-read规则,表示主体对客体请求 只读访问 规则3.2 get-append规则,表示主体对客体 请求只写访问 规则3.3 get-execute规则,表示主体对客体 请求执行访问 规则3.4 get-write规则,表示主体对客体请求 读写访问