高級操作系統(tǒng)課件

分布式系統(tǒng)中所有成員和它們的進(jìn)程共個通用視圖，此視圖記錄了對于共享內(nèi)存（casualconsistencyPRAM對于一個特定 位置，這個系統(tǒng)必須就此位置的所有寫操作順序達(dá)成一致第十三章安全性分類（國防部，橘皮書D類 C類 B類 A類二控制方法 矩陣模三矩陣模 最少可接受性控制 權(quán)能 鎖鑰機WindwosNT/XP設(shè)計目標(biāo)是：C2級，必須在用戶級實現(xiàn)自主控制，必須提供審計對象的機制。對對象的必須經(jīng)過一個區(qū)域的驗證，沒有得到正確的用戶是不能對象的用戶必須在WindwosNT/XP中擁有一個帳號，并規(guī)定該帳號在系統(tǒng)中的和權(quán)限工作組：通過工作組，可以方便地給一組相關(guān)的用戶授予和權(quán)限WindwosNT/XP安全模型由本地安全認(rèn)證、安全帳號管理器和安全參考監(jiān)督器構(gòu)成。安全策略是由本地安全策略庫實現(xiàn)的，庫中主要保存著可信域、用戶和用戶組的和這個數(shù)據(jù)庫由本地安全認(rèn)證來管理，并且只有通過本地安全認(rèn)證才能它域的范圍。并且只有通過安全帳號管理工具才能它。實現(xiàn)了用戶級自主控制WindwosNT/XP中的對象采用了安全性描述符（security安全性描述符SI（Owner）（DACL（SACL當(dāng)某個進(jìn)程要一個對象時，進(jìn)程的SID與對象的控制列表比較，決定是否可以訪WindwosNT/XP3類日志：系統(tǒng)日志、應(yīng)用程序日志、安全日志。NTFS文件取鑒別（用戶鑒別。按系統(tǒng)安全策略對用戶的操作進(jìn)行存取控制，防止用戶對計算機資源的存取。標(biāo)識系統(tǒng)中的用戶和鑒別儲區(qū)域?qū)嵭谢ハ?。運行保護(hù)：運行域是進(jìn)程運行的區(qū)域，在最內(nèi)層具有最高，在最外層具有最小的，一般的系統(tǒng)不少于3 4個環(huán)。I/OI/O數(shù)據(jù)，所以一個進(jìn)行I/O操作的進(jìn)程必須受到對設(shè)備的讀/寫兩種控制口令機制：簡便易行的鑒別。6生物技術(shù)是一種比較有前途的鑒別用戶的方法在安全操作系統(tǒng)中，可信計算基（TCB）TCB調(diào)節(jié)當(dāng)用戶連續(xù)執(zhí)行認(rèn)證過程，超過系統(tǒng)管理員指定的次數(shù)而認(rèn)證仍然失敗時，TCB應(yīng)該關(guān)閉當(dāng)連續(xù)或不連續(xù)的登錄失敗次數(shù)超過管理員指定的次數(shù)時，該用戶的就不能再用了當(dāng)用戶選擇了一個其他用戶已使用的口令時，TCBTCB應(yīng)該以單向口令，加密口令必須有在口令輸入和顯示設(shè)備上，TCBTCB8自主存取控制（DiscretionaryAccessControlDAC文件的擁有者可以按照自己的意愿精確指定系統(tǒng)中的其他用戶對其文件的權(quán)。強制存取控制（MandatoryAccessControlMAC最小管系統(tǒng)不應(yīng)該給予用戶超過執(zhí)行任務(wù)所需以外的可以將超級用戶的劃分為一組細(xì)粒度的，分別授予不同的系統(tǒng)操作員/管理員，從而減少由于用戶口令丟失或誤操作所引起的損失。例如：可以在系統(tǒng)中定義5個管理職責(zé)，任何一個用戶都不能獲取足夠的權(quán)力，破壞定義用戶的安全屬性，改變文件的安全等級操作時，用戶必須確實與安全通信。使用通用終端，通過它發(fā)一信號給這個信號是不可信軟件不能、覆蓋或的（包括特洛伊木馬，重新激X-Window前提：是不會自己的 隱蔽通一個進(jìn)程直接或間接地寫一個單元，而另一個進(jìn)程可以直接或間接地讀這個單元一般系統(tǒng)中總是充滿了隱蔽通道，采用強制策略的系統(tǒng)中，強制控制沒有保護(hù)的任何建立隱蔽通道，必須滿足以下4個要求發(fā)送和接受進(jìn)程必須能夠?qū)ν粏卧哂心芰Πl(fā)送進(jìn)程必須能夠改變（或者稱“寫）共享單元的內(nèi)容接受進(jìn)程必須能夠探測（或者稱“讀）到共享單元內(nèi)容的改變隱蔽通道的處它的主要目的就是檢測、用戶對計算機系統(tǒng)的，并顯示合法用戶的誤操作。作為一種事后追查的保證系統(tǒng)的安全。審計過程一般是一個獨立的過程，它應(yīng)與系統(tǒng)其它功能開。操作系統(tǒng)必須能夠生成、保護(hù)審計過程，使其免遭修改、及毀壞，保護(hù)審計數(shù)據(jù)3種：一些指令應(yīng)當(dāng)屬于可審計事件計算機：完全防止計算機是非常的，但是通過安全操作系統(tǒng)的強制存取控制機制可以起到使用的方法進(jìn)行自我保護(hù)可以把一般通用令和應(yīng)用程序放在保護(hù)區(qū)內(nèi)，供用戶使用，由于在這一區(qū)內(nèi)，對一般用戶只讀不可寫，從而防止了的傳染。在用戶空間去，由于用戶的安全級別不同，即使計算機發(fā)作，也只能傳染同級別用戶的程序和數(shù)據(jù)，縮小了傳染的范圍?？尚艖?yīng)用軟件：系統(tǒng)管理員和操作員進(jìn)行安全管理的應(yīng)用程序，運行具有操作的、保安全核：用來操作系統(tǒng)的安全操作ComputingBase,TCB）的一部分,系統(tǒng)必須保護(hù)可信軟件不被修改和破壞?？尚庞嬎慊═rustedComputingBaseTCB）具有的程序和命令與TCB負(fù)責(zé)系統(tǒng)管理的人員。系統(tǒng)管理員的誤操作或操作也會引起系統(tǒng)的安全性問題TCB登錄的可信路監(jiān)督器的關(guān)鍵需求是控制從主體到客體的每一次存取，并將重要的安全事件存入審計安全內(nèi)核是實現(xiàn)監(jiān)督器概念的一種技術(shù)安全內(nèi)核的設(shè)計的基本原則主體客體時必須通過內(nèi)核，即所有信息的都必須經(jīng)過內(nèi)核。 需要軟件、硬件相結(jié)合，硬件的基本特性是使內(nèi)核能防止用戶程序內(nèi)核代碼和數(shù)據(jù)。防止用戶程序執(zhí)行內(nèi)核用于控制內(nèi)存管理機制的指令。 否可行。查主體對客體的存取。將系統(tǒng)的安全需求描述成一系列主體間操作互不影響的斷言，要求在不同域中，操作的主體能夠防止由于系統(tǒng)的安全性質(zhì)導(dǎo)致的相互間的影響。比如要求高安全級的操作Biba模型，它通過完整級的概念，控制主體“寫”操作的客體范圍Clark-WilsonBell-LaPadula(BLP)模1973客體：定義為的主體行為承擔(dān)者，如數(shù)據(jù)、文件等主體對客體的（模式）分為r只讀 w讀寫 a只寫 e執(zhí)行 c控制主體用來授予或撤銷另一主體對某一客體的權(quán)限的能力。BLP模型是一個狀態(tài)機模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)狀態(tài)間的轉(zhuǎn)換規(guī)BLPBLP可信主體不受特性制約，權(quán)限太大，不符合最小原則。應(yīng)對可信主體的操作權(quán)（U（R（P個關(guān)系，稱之為的賦予（PA可以給予一個角色多個，而一個也可以賦予多個角色。同時，一個用戶可以扮演RBAC模型能夠以簡單的方式向最終用戶提供語義更為豐富、得到完整控制的存取功能。在RBAC模型中，每個角色至少具備一個，每個用戶至少扮演一個角色。RBAC1支持層次關(guān)系，可以容易地實現(xiàn)多級安全系統(tǒng)所要求的級別的線性排列要求要求所使用的安全模型必須是偏序的。RBAC1模型的層次角色的支持包括對偏序模型的支公開<<<RBAC2約束模型，增加了對RBAC0所有組成元素的核查過程，只有有效的元素才可被接受。2個互斥的角色集中，只能分配給它其中一個集合中的角色。2AB。BLP模型中，應(yīng)當(dāng)遵守“下讀上寫”的規(guī)則，即低安全級進(jìn)程不能讀高安全級文件，高這類模型查主體對客體的存取，而是試圖控制從一個客體到另一個客體的信息傳輸過2個客體的安全屬性決定操作是否進(jìn)行。設(shè)計安全內(nèi)核時，優(yōu)先考慮的是完整性、性、可驗證性等3條基本原則有硬件等價，操作系統(tǒng)本身并未已被安全內(nèi)核控制。改進(jìn)/測試，安全性分析，提交部門進(jìn)行安全可信度認(rèn)證便于用戶的存取當(dāng)系統(tǒng)安全性、兼容性和效率發(fā)生時，首先保證安全性，然后考慮兼容性，最后考慮3.0（基于Linux資源，自主開發(fā)增強其安全性的一個安全操作系統(tǒng)LinuxC1系統(tǒng)中的每個文件和都具有不同于其他文件和的唯一標(biāo)識符，系統(tǒng)中的每個用戶必須通過名和口令經(jīng)系統(tǒng)識別以后，才可登錄系統(tǒng)，沒有合法用戶的口令，制機制，用戶對系統(tǒng)中的文件和擁有相應(yīng)的權(quán)限，系統(tǒng)能夠控制用戶那些程序或信息，以及如何。Linux系統(tǒng)內(nèi)核在一個物理上的安全域中運行，這個域受到硬件的保護(hù)。安全域保護(hù)它內(nèi)部的和安全機制，安全機制本身是無法繞過的。3.0/增強法。uid,gid，還檢查用戶的安全級、計算特權(quán)集，賦予用戶進(jìn)程安全級和集標(biāo)識。自主存取控制3.0Linux3.0中的用強制存取控制3.0實現(xiàn)的MACIPC客體都賦文件的安全級，從而確定是否允許進(jìn)程對文件的。將系統(tǒng)信息劃分為3個區(qū)：系統(tǒng)管理區(qū)、用戶空間區(qū)、保護(hù)區(qū)安勝3.0將原Linux超級用戶的劃分為32個，并定義了4個管理角色網(wǎng)絡(luò)管理員系統(tǒng)中的4個用戶就共同管理和整個系統(tǒng)，每個用戶都不能獨自系將客體引入、刪除用戶空間及指定客體的；可信通道請求由一組特別鍵組成，稱之為安全注意鍵（SAKSAK，便立即殺死與該終端相關(guān)的進(jìn)程，并為該終端啟動一個真實的登錄序列每個連接的設(shè)備有一個安全級，用戶程序僅能與其安全級相當(dāng)或者低于其安全級的信安勝3.0安全模型是在分析BLP等經(jīng)典計算機安全模型的基礎(chǔ)上，結(jié)合系統(tǒng)的安全策略，基于BLP安全模型修改而成，記為MBLP（Modified BLP open（，creat（，read（，write（）由于系統(tǒng)調(diào)用是用戶程序進(jìn)入內(nèi)核，存取系統(tǒng)資源的唯一，對文件系統(tǒng)的每個系統(tǒng)調(diào) 3.0建立了一個明確定義的形式化的安全模型MBLP，并實現(xiàn)于系統(tǒng)之中最小管理機3.0的安全性評測主要采用了非形式化確認(rèn)和侵入測試的方式。操作系統(tǒng)安全掃自動評估由于操作系統(tǒng)配置方式不當(dāng)，所導(dǎo)致的安全 1983612合理地為每個對象加一個，可靠地標(biāo)識該對象的敏感級3每個主體都必須予以標(biāo)識，標(biāo)識和信息必須由計算機系統(tǒng)安全地456實現(xiàn)這些基本需求的可信機制必須連續(xù)保護(hù)，避免篡改和非改變“”小組測“”小組成員試圖“摧毀”正在測試中的安全操作系統(tǒng)“”小組成員應(yīng)當(dāng)掌握操 從國防部1985年發(fā)布著名的可信計算機系統(tǒng)評估準(zhǔn)則（TCSEC）起，世界各國根據(jù)自如：的英、法、德、荷等四國90年代初發(fā)布的安全評估準(zhǔn)則(ITSEC);（CTCPEC1993年制定的安全標(biāo)準(zhǔn)（FC）;由6國7方（ 、法國、德國、荷蘭、英國、NIST及NSA）于90年代中期由英國標(biāo)準(zhǔn)（BSI）制定的管理標(biāo)準(zhǔn)以及最近得到ISO認(rèn)可的SSE-CMM(ISO/IEC21827:2002)《我國于1999年9月發(fā)布了計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859《4743個部分?jǐn)⑹鰸M足安全策略、審計和保證的主4部分是文檔，描述文檔的種類，以及編寫用戶指南、手冊、測試文檔和設(shè)計文檔的主D份驗證和控制。MS-CC1對硬件來說，存在某種程度的保護(hù)，用戶必須通過用戶名和口令叫系統(tǒng)識別這一級沒有提供系統(tǒng)管理帳戶行為的方法C2DAC審計用 記錄所有與安全有關(guān)的事件，不如那些由系統(tǒng)管理員執(zhí)行的活動BB1引入強制存取控制（MAC）機制，以及相應(yīng)的主體、客體安全級標(biāo)記和標(biāo)記管理B2MAC機制、可信通道機制、系統(tǒng)結(jié)構(gòu)化設(shè)計、最小管理、隱蔽通道分析和處理等安全特征。B3級審計實告機制、更好地分析和解決隱蔽通道問題，它使用安裝硬件的辦法增強域的安A類（FTDSBB2B2ROM與其相關(guān)聯(lián)的敏感標(biāo)記要由TCB進(jìn)行。對于每個通信通道和I/O設(shè)備，TCBTCBI/O設(shè)備時，與此對象對應(yīng)的敏感標(biāo)記也要輸出，并駐留在TCBTCBTCB對于有TCB以外的主體，可直接或間接存取的所有資源（即主體、對象、I/O設(shè)TCB要求用戶先進(jìn)行自身識別之后，才開始執(zhí)行需TCBTCB要保護(hù)鑒別數(shù)據(jù)，以便不被任何非用戶存取。TCB還要提供關(guān)于標(biāo)識和鑒別的審TCB對于它所保護(hù)的對象，要能夠建立和對其進(jìn)行存取的審計，并保護(hù)該蹤跡不被修改或非存取和破壞，審計數(shù)據(jù)要受TCB保護(hù)。TCB應(yīng)保護(hù)其自身執(zhí)行的區(qū)域，使其免受外部干預(yù)。TCB應(yīng)能提供不同的地址空間保證進(jìn)程。TCB在系統(tǒng)的生命周期內(nèi)，TCB支持的安全策略形式模型始終有效，TCB的描述性頂層規(guī)范始在TCB的開發(fā)和期間配置管理系統(tǒng)要保持與當(dāng)前TCB版本對應(yīng)的所有文檔與代碼之用戶文檔中單獨的一節(jié)、一章、一本手冊，對TCB針對系統(tǒng)管理員的手冊，說明應(yīng)用有關(guān)功能和時的注意事項，說明與安全有關(guān)的操作CC1，19936CCTCSEC，TCSEC。CCITSEC（歐）安全認(rèn)證需求（非技術(shù)要求和對開發(fā)過程、工程過程的要求CC1CCPDR2CC3CC評估準(zhǔn)則不僅考慮了性而且還考慮了完整性和可用性多方面的安全特性;4)CCCEM（CommonMethodology如基于時間的PDR模型、P2DR模型、全網(wǎng)動態(tài)安全體系A(chǔ)PPDRR模型PADIMEE?模型以及我國的WPDRRC模型其中偏重技術(shù)的P2DR模型和偏重管理的PADIMEE?模型影響最P2DR（Policy（Protection構(gòu)成，在P2DR模型中：安全策略是整個系統(tǒng)安全的依據(jù)。在整體的安全策略控制和指導(dǎo)下，在綜合運用防護(hù)工具（、操作系統(tǒng)認(rèn)證、加密等）的同時，利用檢測工具（如評估、檢測等系統(tǒng)）了解和評估系統(tǒng)的安