可信操作系统设计.pptVIP

课件17 6.7 可信操作系统设计 6.7 可信操作系统设计 计算机系统安全性能的好坏在很大程度上取决于操作系统提供的安全机制功能的强弱。任何获取计算机系统中敏感信息的企图都是把操作系统作为首先攻击的目标，因为必须要首先突破操作系统的安全防护层。因此，开发可信赖的安全操作系统是计算机系统信息安全的基础性工作。 6.7.1 可信操作系统的开发过程 ① 模型阶段 在确定操作系统的应用环境、安全目标与安全等级后，首先应该构造满足安全需要的安全模型。 ② 设计阶段 确定安全模型之后，要确定实现该模型的方法与手段。 ③ 可信验证阶段 用形式化或非形式化的方法验证设计是否满足安全模型的安全要求。 ④ 实现阶段 实现安全的操作系统有两种方法，一个是对现有操作系统进行改造，在其中实现安全模型描述的安全要求；另一个是按照安全模型的要求实现一个新的操作系统。 ⑤ 测试阶段 测试时，应该按照设计时确定的安全等级严格测试所实现的操作系统的安全性能，检查其是否与设计文档中确定的性能指标与安全等级相一致。 6.7.2 可信操作系统的设计原则 设计原则必须考虑安全信息系统的需求，这些安全需求是满足保密性（Secrecy）、完整性（Interity）和可用性（Availibility）等要求。它们的具体要求如下： 美国著名信息系统安全顾问C.C沃德提出了23条设计原则： 成本效率原则：应使系统效率最高而成本最低，除军事设施外，不要花费100万元去保护价值10万元的信息。 简易性原则：简单易行的控制比复杂控制更有效和更可靠，也更受人欢迎，而且省钱。 超越控制原则：一旦控制失灵（紧急情况下）时，要采取预定的控制措施和方法步骤。 公开设计与操作原则：保密并不是一种强有力的安全措施，过分信赖可能会导致控制失灵。对控制的公开设计和操作，反而会使信息保护得以增强。 最小特权原则：只限于需要才给予这部分特权，但应限定其它系统特权。 分工独立性原则：控制，负责设计，执行和操作不应该是同一人。 设置陷阱原则：在访问控制中设置一种易入的“孔穴”，以引诱某些人进行非法访问，然后将其抓获。 环境控制原则：对于环境控制这一类问题，应予重视，而不能忽视。 接受能力原则：如果各种控制手段不能为用户或受这种控制影响的人所接受，控制则无法实现。因此，采取的控制措施应使用户能够接受。 承受能力原则：应该把各种控制设计成可容纳最大多数的威胁，同时也能容纳那些很少遇到的威胁的系统。 检查能力原则：要求各种控制手段产生充分的证据，以显示已完成的操作是正确无误的。 防御层次原则：要建立多重控制的强有力系统，如信息加密，访问控制和审计跟踪等。 记账能力原则：无论谁进入系统后，对其所作所为一定要负责，且系统要予以详细登记。 分割原则：把受保护的的东西分割为几个部分，并一一加以保护，以增加其安全性。 环状结构原则：采用环状结构的控制方式最保险。 外围控制原则：重视“篱笆”和“围墙”的控制作用。 规范化原则：控制设计要规范化，成为“可论证的安全系统”。 错误拒绝原则：当控制出错时，必须能完全地关闭系统，以防受攻击 。 参数化原则：控制能随着环境的改变予以调节。 敌对环境原则：可以抵御最坏的用户企图，容忍最差的用户能力及其它可怕的用户错误。 人为干预原则：在每个危急关头或作重大决策时，为慎重起见，必须有人为干预。 隐蔽性原则：对职员和受控对象隐蔽控制手段或其操作的详情。 安全印象原则：在公众面前应保持一种安全平静的形象。 Saltzer 和Schroeder给出了8项设计原则： 1）最小特权。 2）节省机制：保护系统的设计应该小而简单，且直截了当。 3）开放设计：保护机制的能力不应建立在认为潜在攻击者的无知上。 4）完全中介（Complete Mediation）：必须检查系统中的每一次访问活动。 5）基于许可：默认的条件应该是拒绝访问。 6）特权分离：合理的做法是让对客体的访问受到多级条件的控制。 7） 最少公共机制：客体共享提供了潜在的信息通道，容易产生不可控的信息泄露 。 8）便于使用：安全机制应该方便使用。 对旧操作系统添加安全功能则相对困难一些，因为这些操作系统的结构上就不符合安全要求，改造起来是很困难的，或者说，把一个不安全的操作系统通过增补修改手段实际上是得不到安全操作系统的。 6.7.3 操作系统中的安全功能与技术 对客体的访问控制 用户的认证 共享的控制 保证公平服务 内部过程的通信与同步 分离技术（Separation） 分离技术 物理分离是指让各个过程使用不同的硬件设施 。 时间分离则是让各个过程在不同的时间内运行 。 加密分离是通过加密数据的方法使无权的过程无法读取