操作系统安全配置方案PPT.pptx

《操作系统安全配置方案PPT.pptx》由会员分享，可在线阅读，更多相关《操作系统安全配置方案PPT.pptx（119页珍藏版）》请在咨信网上搜索。

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第八章 操作系统安全配置方案,8,第1页,内容提要,本章介绍,Windows,服务器安全配置。,操作系统安全将决定网络安全，从保护级别上分成安全初级篇、中级篇和高级篇，共,36,条基本配置标准。,安全配置初级篇讲述常规操作系统安全配置，中级篇介绍操作系统安全策略配置，高级篇介绍操作系统安全信息通信配置。,第2页,操作系统概述,当前服务器惯用操作系统有三类：,Unix,Linux,Windows NT/Server,。,这些操作系统都是符合,C2,级安全级别操作系统。不过都存在不少漏洞，假如对这些漏洞不了解，不采取对应办法，就会使操作系统完全暴露给入侵者。,第3页,UNIX系统,UNIX,操作系统是由美国贝尔试验室开发一个多用户、多任务通用操作系统。它从一个试验室产品发展成为当前使用普遍、影响深远主流操作系统。,UNIX,诞生于,20,世纪,60,年代末期，贝尔试验室研究人员于,1969,年开始在,GE645,计算机上实现一个分时操作系统雏形，以后该系统被移植到了,DEC,PDP-7,小型机上。,1970,年给系统正式取名为,Unix,操作系统。到,1973,年，,Unix,系统绝大部分源代码都用,C,语言重新编写过，大大提升了,Unix,系统可移植性，也为提升系统软件开发效率创造了条件。,第4页,主要特色,UNIX,操作系统经过,20,多年发展后，已经成为一个成熟主流操作系统，并在发展过程中逐步形成了一些新特色，其中主要特色包含,5,个方面。,（,1,）可靠性高,（,2,）极强伸缩性,（,3,）网络功效强,（,4,）强大数据库支持功效,（,5,）开放性好,第5页,Linux系统,Linux,是一套能够无偿使用和自由传输类,Unix,操作系统，主要用于基于,Intel x86,系列,CPU,计算机上。这个系统是由全世界各地成千上万程序员设计和实现。其目标是建立不受任何商品化软件版权制约、全世界都能自由使用,Unix,兼容产品。,Linux,最早开始于一位名叫,Linus Torvalds,计算机业余兴趣者，当初他是芬兰赫尔辛基大学学生。,目标是想设计一个代替,Minix,（是由一位名叫,Andrew Tannebaum,计算机教授编写一个操作系统示教程序）操作系统。这个操作系统可用于,386,、,486,或飞跃处理器个人计算机上，而且含有,Unix,操作系统全部功效。,第6页,Linux,是一个无偿操作系统，用户能够无偿取得其源代码，并能够随意修改。,它是在共用许可证,GPL(General Public License),保护下自由软件，也有好几个版本，如,Red Hat Linux,、,Slackware,，以及国内,Xteam Linux,、红旗,Linux,等等。,Linux,流行是因为它含有许多优点，经典优点有,7,个。,第7页,Linux经典优点有7个。,（1）完全无偿,（2）完全兼容POSIX 1.0标准,（3）多用户、多任务,（4）良好界面,（5）丰富网络功效,（6）可靠安全、稳定性能,（7）支持各种平台,第8页,Windows系统,Windows NT,（,New Technology,）是微软企业第一个真正意义上网络操作系统，发展经过,NT3.0,、,NT40,、,NT5.0,（,Windows,）和,NT6.0,（,Windows,）等众多版本，并逐步占据了广大中小网络操作系统市场。,Windows NT,众多版本操作系统使用了与,Windows 9X,完全一致用户界面和完全相同操作方法，使用户使用起来比较方便。与,Windows 9X,相比，,Windows NT,网络功效愈加强大而且安全。,第9页,Windows NT系列操作系统,Windows NT,系列操作系统含有以下三方面优点。,（,1,）支持各种网络协议,因为在网络中可能存在各种客户机，如,Windows 95/98,、,Apple Macintosh,、,Unix,、,OS/2,等等，而这些客户机可能使用了不一样网络协议，如,TCP/IP,协议、,IPX/SPX,等。,Windows NT,系列操作支持几乎全部常见网络协议。,（,2,）内置,Internet,功效,伴随,Internet,流行和,TCP/IP,协议组标准化，,Windows NT,内置了,IIS,（,Internet Information Server,），能够使网络管理员轻松配置,WWW,和,FTP,等服务。,（,3,）支持,NTFS,文件系统,Windows 9X,所使用文件系统是,FAT,，在,NT,中内置同时支持,FAT,和,NTFS,磁盘分区格式。使用,NTFS,好处主要是能够提升文件管理安全性，用户能够对,NTFS,系统中任何文件、目录设置权限，这么当多用户同时访问系统时候，能够增加文件安全性。,第10页,安全操作系统研究发展,操作系统安全性在计算机信息系统整体安全性中含有至关主要作用,没有操作系统提供安全性，信息系统安全性是没有基础,第11页,国外安全操作系统发展,Multics,是开发安全操作系统最早期尝试。,1965,年美国贝尔试验室和麻省理工学院,MAC,课题组等一起联合开发一个称为,Multics,新操作系统，,其目标是要向大用户团体提供对计算机并发访问，支持强大计算能力和数据存放，并含有很高安全性。,贝尔试验室中以后参加,UNIX,早期研究许多人当初都参加了,Multics,开发工作。,因为,Multics,项目目标理想性和开发中所碰到远超预期复杂性使得结果不是很理想。实际上连他们自己也不清楚什么时候，开发到什么程度才算到达设计目标。即使,Multics,未能成功，但它在安全操作系统研究方面迈出了主要第一步，,Multics,为以后安全操作系统研究积累了大量经验，其中,Mitre,企业,Bell,和,La Padula,合作设计,BLP,安全模型首次成功地用于,Multics,，,BLP,安全模型以后一直都作为安全操作系统开发所采取基础安全模型。,第12页,国外安全操作系统发展,Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50安全控制研究成果。安全Adept-50运行于IBM/360硬件平台，它以一个形式化安全模型高水印模型（High-Water-Mark Model）为基础，实现了美国一个军事安全系统模型，为给定安全问题提供了一个比较形式化解决方案。在该系统中可认为客体标上敏感级别（Sensitivity Level）属性。系统支持基本安全条件是，对于读操作不允许信息敏感级别高于用户安全级别（Clearance）；在授权情况下，对于写操作允许信息从高敏感级别移向低敏感级别。,第13页,国外安全操作系统发展,1969,年,B.W.Lampson,经过形式化表示方法利用主体（,Subject,）、客体（,Object,）和访问矩阵（,Access Matrix,）思想第一次对访问控制问题进行了抽象。,主体是访问操作中主动实体，客体是访问操作中被动实体，主体对客体进行访问。访问矩阵以主体为行索引、以客体为列索引，矩阵中每一个元素表示一组访问方式，是若干访问方式集合。矩阵中第,i,行第,j,列元素,Mij,统计着第,i,个主体,Si,能够执行对第,j,个客体,Oj,访问方式，比如,Mij,Read,，,Write,表示,Si,能够对,Oj,进行读和写操作。,1972,年，,J.P.Anderson,在一份研究汇报中提出了访问监控器（,Reference Monitor,）、引用验证机制（,Reference Validation Mechanism,）、安全内核（,Security Kernel,）和安全建模等主要思想。,J.P.Anderson,指出，要开发安全系统，首先必须建立系统安全模型，完成安全系统建模之后，再进行安全内核设计与实现。,第14页,国外安全操作系统发展,1973,年，,B.W.Lampson,提出了,隐蔽通道,概念，他发觉两个被限制通信实体之间假如共享某种资源，那么它们能够利用隐蔽通道传递信息。同年，,D.E.Bell,和,L.J.LaPadula,提出了,第一个可证实安全系统数学模型,，即,BLP,模型,。,1976,年,Bell,和,LaPadula,完成研究汇报给出了,BLP,模型最完整表述，其中包含模型形式化描述和非形式化说明，以及模型在,Multics,系统中实现解释。,PSOS,（,Provably Secure Operating System,）提供了,一个层次结构化基于权能安全操作系统设计,，,1975,年前后开始开发。,PSOS,采取了层次式开发方法，经过形式化技术实现对安全操作系统描述和验证，设计中每一个层次管理一个特定类型对象，系统中每一个对象经过该对象权能表示进行访问。,KSOS,（,Kernelized Secure operating System,）是美国国防部研究计划局,1977,年发起一个安全操作系统研制项目，由,Ford,太空通讯企业负担。,KSOS,采取了形式化说明与验证方法，目标是高安全可信性,。,第15页,国外安全操作系统发展,UCLA Secure Unix,也是美国国防部研究计划局于,1978,年前后发起一个安全操作系统研制项目，由加里福尼亚大学负担。,UCLA Secure Unix,系统设计方法及目标几乎与,KSOS,相同。,LINVS,是,1984,年开发基于,UNIX,一个试验安全操作系统，系统安全性可到达美国国防部橘皮书,B2,级,。它以,4.1BSD Unix,为原型，,实现了身份判别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功效,。,Secure Xenix,是,IBM,企业于,1986,年在,SCO Xenix,基础上开发一个安全操作系统，它最初是在,IBM PC/AT,平台上实现。,Secure Xenix,对,Xenix,进行了大量改造开发，并采取了一些形式化说明与验证技术。,它目标是,TCSEC,B2,到,A1,级,。,IBM,企业,V.D.Gligor,等在发表,Secure Xenix,系统设计与开发结果中，把,Unix,类安全操作系统开发方法划分成仿真法和改造,/,增强法两种方式。,Secure Xenix,系统采取是改造,/,增强法,。,另外值得指出是,Secure Xenix,系统基于安全注意键（,SAK,，,Secure Attention Key,）实现了可信通路（,Trusted Path,），并在安全确保方面重点考虑了,3,个目标：系统设计与,BLP,模型之间一致性；实现安全功效测试；软件配置管理工具开发。,第16页,国外安全操作系统发展,1987年，美国Trusted Information Systems公司以Mach操作系统为基础开发了B3级Tmach（Trusted Mach）操作系统。除了进行用户标识和鉴别及命名客体存取控制外，它将BLP模型加以改进，运用到对MACH核心端口、存储对象等管理当中。经过对端口间消息传送进行控制和对端口、存储对象、任务等安全标识来加强微核心安全机制。,1989年，加拿大多伦多大学开发了与UNIX兼容安全TUNIS操作系统。在实现中安全TUNIS改进了BLP模型,并用Turing Plus语言（而不是C）重新实现了Unix内核，模块性相当好。Turing Plus是一种强类型高级语言，其大部分语句都具有用于正确性证明形式语义。在发表安全TUNIS设计开发成果中，Gernier等指出，如果不进行系统重新设计，以传统Unix系统为原型，很难开发出高于TCSEC标准B2级安全操作系统，这一方面是因为用于编写Unix系统C语言是一个非安全语言，其次是因为Unix系统内部模块化程度不够。安全TUNIS系统设计目标是B3-A1级，支持这个目标关键也在于：第一其采用了Turing Plus语言，第二其采用了安全策略与安全机制相分离方法，并提供了一个简单而结构规范TCB，从而简化了TCB验证工作。,第17页,国外安全操作系统发展,ASOS,（,Army Secure Operating System,）是针对美军战术需要而设计军用安全操作系统，由,TRW,企业,1990,年公布完成。,ASOS,由两类系统组成，其中一类是多级安全操作系统，设计目标是,TCSEC,A1,级；另一类是专用安全操作系统，设计目标是,TCSEC,C2,级。两类系统都支持,Ada,语言编写实时战术应用程序，都能依据不一样战术应用需求进行配置，都能够很轻易地在不一样硬件平台间移植，两类系统还提供了一致用户界面。从详细实现上来看，,ASOS,操作系统还含有,5,个主要特点：,ASOS,操作系统本身也主要是用,Ada,语言实现；,ASOS,采取访问控制列表（,Access Control List,，,ACL,）实现了细粒度自主访问控制；,ASOS,依据,BLP,模型,实现了预防信息泄露强制访问控制，依据,Biba,模型实现了确保数据完整性强制访问控制,；,ASOS,在形式化验证中建立了两个层次规范和证实，一个层次用于抽象安全模型，另一个层次用于形式化顶层规范；用于证实系统安全性主要工具是,Gypsy,验证环境（,GVE,）,，,ASOS,开发了一个在,GVE,中工作流分析工具，用于分析系统设计中潜在隐蔽通道。,第18页,国外安全操作系统发展,OSF/1,是开放软件基金会于,1990,年推出一个安全操作系统，被美国国家计算机安全中心（,NCSC,）认可为符合,TCSEC,B1,级，其主要安全性表现,4,个方面：,系统标识；口令管理；强制存取控制和自主存取控制；审计。,UNIX SVR4.1ES,是,UI,（,UNIX,国际组织）于,1991,年推出一个安全操作系统，被美国国家计算机安全中心（,NCSC,）认可为符合,TCSEC,B2,级，除,OSF/1,外安全性主要表现在,4,个方面,：更全方面存取控制；最小特权管理；可信通路；隐蔽通道分析和处理。,1991,年，在欧洲共同体赞助下，英、德、法、荷四国制订了拟为欧共体组员国使用共同标准,信息技术安全评定标准（,ITSEC,）。伴随各种标准推出和安全技术产品发展，美国和同加拿大及欧共体国家一起制订通用安全评价准则（,Common Criteria for IT Security Evaluation,，,CC,），,1996,年,1,月公布了,CC,1.0,版。,CC,标准,2.0,版已于,1997,年,8,月颁布，并于,1999,年,7,月经过国际标准组织认可，确立为国际标准，即,ISO/IEC 15408,。,第19页,国外安全操作系统发展,在,1992,到,1993,年之间，美国国家安全局（,NSA,）和安全计算企业（,SCC,）研究人员在,TMach,项目和,LOCK,项目标基础上，共同设计和实现了,分布式可信,Mach,系统,（,Distributed Trusted Mach,，,DTMach,）。,DTMach,项目标后继项目是,分布式可信操作系统,（,Distributed Trusted Operating System,，,DTOS,）。,DTOS,项目改良了早期设计和实现工作，产生了一些供大学研究原型系统，比如,Secure Transactional Resources,、,DX,等。另外,DTOS,项目产生了一些学术汇报、系统形式化需求说明书、安全策略和特征分析、组合技术研究和对各种微内核系统安全和确保研究。当,DTOS,项目快要完成时候，,NSA,、,SCC,和犹他州大学,Flux,项目组联合,将,DTOS,安全结构移植到,Fluke,操作系统研究中去。在将结构移植到,Fluke,过程中，他们改良了结构以更加好地支持动态安全策略。这个改良后结构就叫,Flask,。一些,Flask,接口和组件就是从,Fluke,到,OSKit,中接口和组件中继承下来。,第20页,国外安全操作系统发展,，Flask由NSA在Linux操作系统上实现，而且不一样寻常地向开放源码小区公布了一个安全性增强型版本Linux（SELinux）包含代码和全部文档。,与传统基于TCSEC标准开发方法不一样，1997年美国国家安全局和安全计算企业完成DTOS安全操作系统采取了基于安全威胁开发方法。设计目标包含3个方面：,（1）策略灵活性：DTOS内核应该能够支持一系列安全策略，包含诸如国防部强制存取控制多级安全策略；,（2）与Mach兼容，现有Mach应用应能在不做任何改变情况下运行；,（3）性能应与Mach靠近。,第21页,SELinux,以,Flask,安全体系结构为指导，经过,安全判定与安全实施分离实现了安全策略独立性,，借助访问向量缓存（,AVC,）实现了对动态策略支持。,SELinux,定义了一个类型实施（,TE,）策略，基于角色访问控制（,RBAC,）策略和多级安全（,MLS,）策略组合安全策略，其中,TE,和,RBAC,策略总是系统实现安全策略有机组成。,EROS,（,Extremely Reliable Operating System,）,是一个基于权能（,Capability,，权能）高性能微内核实时安全操作系统,，是,GNOSIS,（后命名为,KeyKOS,）体系结构第三代实现。,EROS,最初由美国宾西法尼亚大学开发，此项目现已转入约翰霍普金斯大学。当前，,EROS,仍处于研究开发阶段，只支持,Intel 486,以上系列芯片。第一个,EROS,内核已在,1999,年完成，现在开发版本是,EROS 2.0,，很快就会公布。,EROS,源代码恪守,GPL,规范，可在其网站（,www.eros-os.org,）取得。,其它还有一些安全操作系统开发项目，如,Honeywell,STOP,、,Gemini,GEMSOS,、,DEC,VMM(Virtual Machine Monitor),等，以及,HP,和,Data General,等企业开发安全操作系统。,第22页,国内安全操作系统发展,国内也进行了许多相关安全操作系统开发研制工作，并取得了一些研究结果。,1990,年前后，海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面探讨，他们都是参考美国,TCSEC,标准,B2,级安全要求，基于,UNIX System V3.2,进行安全操作系统研究与开发。,1993,年，海军计算技术研究所继续按照美国,TCSEC,标准,B2,级安全要求，围绕,Unix SVR4.2/SE,，实现了,国产自主安全增强包,。,1995,年，在国家“八五”科技攻关项目,“COSA,国产系统软件平台”中，围绕,UNIX,类国产操作系统,COSIX V2.0,安全子系统设计与实现，中国计算机软件与技术服务总企业、海军计算技术研究所和中国科学院软件研究所一起参加了研究工作。,COSIX V2.0,安全子系统设计目标是介于美国,TCSEC,B1,和,B2,级安全要求之间，当初定义为,B1,，主要实现安全功效包含安全登录、自主访问控制、强制访问控制、特权管理、安全审计和可信通路等。,第23页,国内安全操作系统发展,1996年，由中国国防科学技术工业委员会公布了军用计算机安全评定准则GJB264696（普通简称为军标），它与美国TCSEC基本一致。,1998年，电子工业部十五所基于UnixWare V2.1按照美国TCSEC标准B1级安全要求，对Unix操作系统内核进行了安全性增强。,1999年10月19日，我国国家技术监督局公布了国家标准GB178591999计算机信息系统安全保护等级划分准则，为计算机信息系统安全保护能力划分了等级。该标准已于起强制执行。Linux自由软件广泛流行对我国安全操作系统研究与开发含有主动推进作用。前后，我国安全操作系统研究人员相继推出了一批基于Linux安全操作系统开发结果。这包含：,第24页,国内安全操作系统发展,中国科学院信息安全技术工程研究中心基于,Linux,资源，开发完成了符合我国,GB17859,1999,第三级（相当于美国,TCSEC B1,）安全要求安全操作系统,SecLinux,。,SecLinux,系统提供了身份标识与判别、自主访问控制、强制访问控制、最小特权管理、安全审计、可信通路、密码服务、网络安全服务等方面安全功效。,依靠南京大学江苏南大苏富特软件股份有限企业开发完成了基于,Linux,安全操作系统,SoftOS,，实现安全功效包含：强制访问控制、审计、禁止客体重用、入侵检测等。,信息产业部,30,所控股三零盛安企业推出强林,Linux,安全操作系统，到达了我国,GB17859,1999,第三级安全要求。,第25页,国内安全操作系统发展,中国科学院软件所开放系统与汉字处理中心基于红旗Linux操作系统，实现了符合我国GB178591999第三级要求安全功效。中国计算机软件与技术服务总企业以美国TCSEC标准B1级为安全目标，对其COSIX V2.0进行了安全性增强改造。,另外，国防科技大学、总参56所等其它单位也开展了安全操作系统研究与开发工作。3月8日，我国国家技术监督局公布了国家标准GB/T18336信息技术安全技术 信息技术安全性评定准则，它基本上等同采取了国际通用安全评价准则CC。该标准已于12月1日起推荐执行，这将对我国安全操作系统研究与开发产生深入影响。,第26页,安全操作系统基本概念,安全操作系统包括很多概念：,主体和客体,安全策略和安全模型,访问监控器和安全内核以及可信计算基。,第27页,主体和客体,操作系统中每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。主体是一个主动实体，它包含用户、用户组、进程等。系统中最基本主体应该是用户（包含普通用户和系统管理员、系统安全员、系统审计员等特殊用户）。每个进入系统用户必须是惟一标识，并经过判别确定为真实。系统中全部事件要求，几乎全是由用户激发。进程是系统中最活跃实体，用户全部事件要求都要经过进程运行来处理。在这里，进程作为用户客体，同时又是其访问对象主体。,客体是一个被动实体。在操作系统中，客体能够是按照一定格式存放在一定统计介质上数据信息（通常以文件系统格式存放数据），也能够是操作系统中进程。操作系统中进程（包含用户进程和系统进程）普通有着双重身份。当一个进程运行时，它必定为某一用户服务,直接或间接处理该用户事件要求。于是，该进程成为该用户客体，或为另一进程客体（这时另一进程则是该用户客体）,第28页,安全策略和安全模型,安全策略与安全模型是计算机安全理论中轻易相互混同两个概念。,安全策略是指相关管理、保护和公布敏感信息法律、要求和实施细则。,比如，能够将安全策略定为：系统中用户和信息被划分为不一样层次，一些级别比另一些级别高；而且假如主体能读访问客体，当且仅当主体级别高于或等于客体级别；假如主体能写访问客体，当且仅当主体级别低于或等于客体级别。,安全模型则是对安全策略所表示安全需求简单、抽象和无歧义描述，,它为安全策略和安全策略实现机制关联提供了一个框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型实现则描述了怎样把特定机制应用于系统中，从而实现某一特定安全策略所需安全保护。,第29页,访问监控器,访问控制机制理论基础是访问监控器（,Reference Monitor,），由,J.P.Anderson,首次提出。访问监控器是一个抽象概念，它表现是一个思想。,J.P.Anderson,把访问监控器详细实现称为引用验证机制，它是实现访问监控器思想硬件和软件组合,第30页,安全内核,安全内核是实现访问监控器概念一个技术，在一个大型操作系统中，只有其中一小部分软件用于安全目标是它理论依据。所以在重新生成操作系统过程中，可用其中安全相关软件来组成操作系统一个可信内核，称之为安全内核。安全内核必须给予适当保护，不能篡改。同时绝不能有任何绕过安全内核存取控制检验存取行为存在。另外安全内核必须尽可能地小，便于进行正确性验证。安全内核由硬件和介于硬件和操作系统之间一层软件组成,第31页,可信计算基,操作系统安全依赖于一些详细实施安全策略可信软件和硬件。这些软件、硬件和负责系统安全管理人员一起组成了系统可信计算基（,Trusted Computing Base,，,TCB,）。详细来说可信计算基由以下,7,个部分组成：,1.,操作系统安全内核。,2.,含有特权程序和命令。,3.,处理敏感信息程序，如系统管理命令等。,4.,与,TCB,实施安全策略相关文件。,5.,其它相关固件、硬件和设备。,6.,负责系统管理人员。,7.,保障固件和硬件正确程序和诊疗软件。,第32页,安全操作系统机制,安全操作系统机制包含：,硬件安全机制,操作系统安全标识与判别,访问控制、最小特权管理,可信通路和安全审计,第33页,硬件安全机制,绝大多数实现操作系统安全硬件机制也是传统操作系统所要求，优异硬件保护性能是高效、可靠操作系统基础。,计算机硬件安全目标是，确保其本身可靠性和为系统提供基本安全机制。其中基本安全机制包含存放保护、运行保护、,I/O,保护等。,第34页,标识与判别,标识与判别是包括系统和用户一个过程。标识就是系统要标识用户身份，并为每个用户取一个系统能够识别内部名称,用户标识符。用户标识符必须是惟一且不能被伪造，预防一个用户冒充另一个用户。,将用户标识符与用户联络过程称为判别，判别过程主要用以识别用户真实身份，判别操作总是要求用户含有能够证实他身份特殊信息，而且这个信息是秘密，任何其它用户都不能拥有它。,第35页,访问控制,在安全操作系统领域中，访问控制普通都包括,自主访问控制（,Discretionary Access Control,，,DAC,）,强制访问控制（,Mandatory Access Control,，,MAC,）两种形式,第36页,自主访问控制,自主访问控制是最惯用一类访问控制机制，用来决定一个用户是否有权访问一些特定客体一个访问约束机制。在自主访问控制机制下，文件拥有者能够按照自己意愿准确指定系统中其它用户对其文件访问权。,亦即使用自主访问控制机制，一个用户能够自主地说明他所拥有资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲，是“自主”。另外自主也指对其它含有授予某种访问权力用户能够自主地（可能是间接）将访问权或访问权某个子集授予另外用户。,第37页,强制访问控制MAC,在强制访问控制机制下，系统中每个进程、每个文件、每个,IPC,客体,(,消息队列、信号量集合和共享存贮区,),都被赋予了对应安全属性，这些安全属性是不能改变，它由管理部门（如安全管理员）或由操作系统自动地按照严格规则来设置，不像访问控制表那样由用户或他们程序直接或间接地修改。,当一进程访问一个客体,(,如文件,),时，调用强制访问控制机制，依据进程安全属性和访问方式，比较进程安全属性和客体安全属性，从而确定是否允许进程对客体访问。代表用户进程不能改变本身或任何客体安全属性，包含不能改变属于用户客体安全属性，而且进程也不能经过授予其它用户客体存取权限简单地实现客体共享。假如系统判定拥有某一安全属性主体不能访问某个客体，那么任何人（包含客体拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”。,第38页,强制访问控制和自主访问控制,强制访问控制和自主访问控制是两种不一样类型访问控制机制，它们常结合起来使用。仅当主体能够同时经过自主访问控制和强制访问控制检验时，它才能访问一个客体。,用户使用自主访问控制预防其它用户非法入侵自己文件，强制访问控制则作为更强有力安全保护方式，使用户不能经过意外事件和有意识误操作逃避安全控制。所以强制访问控制用于将系统中信息分密级和类进行管理，适合用于政府部门、军事和金融等领域。,第39页,最小特权管理,在现有普通多用户操作系统（如,UNIX,、,Linux,等）版本中，超级用户含有全部特权，普通用户不含有任何特权。一个进程要么含有全部特权,(,超级用户进程,),，要么不含有任何特权,(,非超级用户进程,),。这种特权管理方式便于系统维护和配置，但不利于系统安全性。一旦超级用户口令丢失或超级用户被冒充，将会对系统造成极大损失。另外超级用户误操作也是系统极大潜在安全隐患。所以必须实施最小特权管理机制。,最小特权管理思想是系统不应给用户超出执行任务所需特权以外特权，如将超级用户特权划分为一组细粒度特权，分别授予不一样系统操作员,/,管理员，使各种系统操作员,/,管理员只含有完成其任务所需特权，从而降低因为特权用户口令丢失或错误软件、恶意软件、误操作所引发损失。比如可在系统中定义,5,个特权管理职责，任何一个用户都不能获取足够权力破坏系统安全策略。,第40页,可信通路,在计算机系统中，用户是经过不可信中间应用层和操作系统相互作用。但用户登录，定义用户安全属性，改变文件安全级等操作，用户必须确实与安全关键通信，而不是与一个特洛伊木马打交道。系统必须预防特洛伊木马模仿登录过程，窃取用户口令。,特权用户在进行特权操作时，也要有方法证实从终端上输出信息是正确，而不是来自于特洛伊木马。这些都需要一个机制保障用户和内核通信，这种机制就是由可信通路提供。,第41页,安全审计,一个系统安全审计就是对系统中相关安全活动进行统计、检验及审核。它主要目标就是检测和阻止非法用户对计算机系统入侵，并显示正当用户误操作。,审计作为一个事后追查伎俩来确保系统安全，它对包括系统安全操作做一个完整统计。,审计为系统进行事故原因查询、定位，事故发生前预测、报警以及事故发生之后实时处理提供详细、可靠依据和支持，以备有违反系统安全规则事件发生后能够有效地追查事件发生地点和过程以及责任人。,第42页,代表性安全模型,安全模型就是对安全策略所表示安全需求简单、抽象和无歧义描述，它为安全策略和它实现机制之间关联提供了一个框架。,安全模型描述了对某个安全策略需要用哪种机制来满足；而模型实现则描述了怎样把特定机制应用于系统中，从而实现某一特定安全策略所需安全保护。,第43页,安全模型特点,能否成功地取得高安全级别系统，取决于对安全控制机制设计和实施投入多少精力。不过假如对系统安全需求了解不清楚，即使利用最好软件技术，投入最大精力，也极难到达安全要求目标。安全模型目标就在于明确地表示这些需求，为设计开发安全系统提供方针。安全模型有以下,4,个特点：,它是准确、无歧义；,它是简易和抽象，所以轻易了解；,它是普通性：只包括安全性质，而不过分地牵扯系统功效或其实现；,它是安全策略显著表现。,安全模型普通分为两种：形式化安全模型和非形式化安全模型。非形式化安全模型仅模拟系统安全功效；形式化安全模型则使用数学模型，准确地描述安全性及其在系统中使用情况。,第44页,主要安全模型介绍,主要介绍含有代表性,:,BLP,机密性安全模型、,Biba,完整性安全模型和,Clark-Wilson,完整性安全模型、信息流模型、,RBAC,安全模型、,DTE,安全模型和无干扰安全模型等。,第45页,1.Bell-LaPadula（BLP）模型,Bell-LaPadula,模型（简称,BLP,模型）是,D.Elliott Bell,和,Leonard J.LaPadula,于,1973,年提出一个适合用于军事安全策略计算机操作系统安全模型，它是最早、也是最惯用一个计算机多级安全模型之一。,BLP,模型是一个状态机模型，它形式化地定义了系统、系统状态以及系统状态间转换规则；定义了安全概念；制订了一组安全特征，以此对系统状态和状态转换规则进行限制和约束，使得对于一个系统而言，假如它初始状态是安全，而且所经过一系列规则转换都保持安全，那么能够证实该系统终了也是安全。,第46页,2.Biba模型,BLP,模型经过预防非授权信息扩散确保系统安全，但它不能预防非授权修改系统信息。于是,Biba,等人在,1977,年提出了第一个完整性安全模型,Biba,模型，其主要应用是保护信息完整性，而,BLP,模型是保护信息机密性。,Biba,模型也是基于主体、客体以及它们级别概念。模型中主体和客体概念与,BLP,模型相同，对系统中每个主体和每个客体均分配一个级别，称为完整级别。,第47页,3.Clark-Wilson完整性模型,在商务环境中，,1987,年,David Clark,和,David Wilson,所提出完整性模型含有里程碑意义，它是完整意义上完整性目标、策略和机制起源，在他们论文中，为了表达用户完整性，他们提出了职责隔离目标；为了确保数据完整性，他们提出了应用相关完整性验证进程；为了建立过程完整性，他们定义了对于转换过程应用相关验证；为了约束用户、进程和数据之间关联，他们使用了一个三元组结构。,Clark-Wilson,模型关键在于以良构事务,(well-formal transaction),为基础来实现在商务环境中所需完整性策略。良构事务概念是指一个用户不能任意操作数据，只能用一个能够确保数据完整性受控方式来操作数据。为了确保数据项,(data items),仅仅只能被良构事务来操作，首先得确认一个数据项仅仅只能被一组特定程序来操纵，而且这些程序都能被验证是经过适当结构，而且被正确安装和修改。,第48页,4.信息流模型,许多信息泄露问题（如隐蔽通道）并非存取控制机制不完善，而是因为缺乏对信息流必要保护。比如恪守,BLP,模型系统，应该恪守“下读上写”规则，即低安全进程程不能读高安全级文件，高安全级进程不能写低安全级文件。,然而在实际系统中，尽管不一定能直接为主体所见，许多客体（包含缓冲池、定额变量、全程计数器等等）还是能够被全部不一样安全级主体更改和读取，这么入侵者就可能利用这些客体间接地传递信息。要建立高级别安全操作系统，必须在建立完善存取控制机制同时，依据适当信息流模型实现对信息流分析和控制。,第49页,5.基于角色访问控制模型,基于角色访问控制模型（,Role-Based Access Control,，,RBAC,）提供了一个强制访问控制机制。在一个采取,RBAC,作为授权访问控制系统中，依据企业或组织业务特征或管理需求，普通要求在系统内设置若干个称之为“角色”客体，用以支撑,RBAC,授权存取控制机制实现。,角色，就是业务系统中岗位、职位或者分工。比如在一个企业内，财会主管、会计、出纳、核实员等每一个岗位都能够设置多个职员详细从事该岗位工作，所以它们都能够视为角色。,第50页,6.DTE模型,DTE,模型最初由,Boebert,和,Kain,提出，经修改后在,LOCK,系统中得到实现。与其它访问控制机制一样，,DTE,将系统视为一个主动实体（主体）集合和一个被动实体（客体）集合。每个主体有一个属性域，每个客体有一个属性类型，这么全部主体被划分到若干个域中，全部客体被划分到若干个类型中。,DTE,再建立一个表“域定义表”,(Domain Definition Table),，描述各个域对不一样类型客体操作权限。同时建立另一张表“域交互表”,(Domain Interaction Table),，描述各个域之间许可访问模式（如创建、发信号、切换）。系统运行时，依据访问主体域和客体类型，查找域定义表，决定是否允许访问。,第51页,7.无干扰模型,Goguen,与,Meseguer,在,1982,年提出了一个基于自动机理论和域隔离安全系统事项方法，这个方法分为,4,个阶段：,（,1,）判定一给定机构安全需求；,（,2,）用正式,/,形式化安全策略表示这些需求；,（,3,）