第4章 安全需求与安全策略.ppt

安全操作系统原理与技术 安徽理工大学计算机科学与工程学院 信息安全系 张柱 讲师 第4章 安全需求与安全策略 学习内容: ①了解操作系统设计时的安全需求 ②了解安全策略语言和分类 ③掌握访问控制策略、访问支持策略等 本章重点： 访问控制策略、范围支持策略 第4章 安全需求与安全策略(6课时) 4.1 安全需求 1.定义 所谓安全需求，就是在设计安全系统时期望得到的安全保障。 2.用户对信息系统的安全需求主要包括： ①机密性需求； ②完整性需求； ③可记账性需求； ④可用性需求。 第4章 安全需求与安全策略(6课时) 4.2 安全策略 所谓安全策略，就是针对面临的威胁决定采用何种对策的方法。安全策略为针对威胁而选择和实行对策提供了框架。 4.2.1 定义 在计算机领域，安全系统的安全就是指该系统达到了当初设计时所制定的安全策略的要求。 计算机系统可以用一系列可以改变状态的转换函数组成的有限状态自动机表示，则安全策略可以定义为这样一种状态：它将系统状态分为已授权/安全的状态和未授权/非安全的状态。 在有限自动机下，一个安全系统是指“一个如果起始状态为授权状态，其后也不会进入未授权状态的系统”。 第4章 安全需求与安全策略(6课时) 4.2.1 定义 如图所示，是一个不安全的系统，因为存在从S1到S3的转换过程，系统就可以从一个授权状态进入一个未授权的状态。 在机密性方面，应当标识出所有将信息泄漏给未经授权者的状态； 在完整性方面，安全策略应当标识出可用来更改信息的授权途径，同时也要标识出能够更改信息的被授权的实体； 在可用性方面，安全策略必须描述应提供什么样的服务，安全策略应描述如何通过系统提供的参数来获得相应的服务并保证服务达到预先设计的质量。 第4章 安全需求与安全策略(6课时) 4.2 安全策略 4.2.2 策略语言 策略语言是用来表达安全性或完整性策略的语言。高级策略语言使用抽象的方法表达策略对于实体的约束。低级策略语言根据输入或者调用选项来表达对系统中的程序约束。 1.高级策略语言 策略与实现无关，它描述对系统中实体或行为的约束。高级策略语言对策略的明确表达，这种精确度要求策略以数学的方法用公式来明确陈述。 第4章 安全需求与安全策略(6课时) 4.2.2 策略语言 1)Pandey和Hashii开发了一种针对Java程序的高级策略约束语言，指定了对资源访问的约束以及这些约束是如何继承的。 该策略语言，将实体表达为类或方法。类是一些被实施特定的访问约束的对象的集合；方法是调用操作的方法的集合。 当主体s创建某个类c的一个实例，称为实例化，记为“s-|c”。 当主体s1执行了另一个主体s2，称之为调用，记为“s1|→s2”。 访问约束形式如下： deny(s op x) when b op指“-|”或者“|→”。s是一个主体，x另一个主体或类，b是一个布尔表达式。 约束表明：当条件b为真时，主体s不能对x执行操作。若省去表达式中的x，则说明禁止对所有实体进行操作。 第4章 安全需求与安全策略(6课时) 4.2.2 策略语言 “继承”用了将各个访问约束关联起来。 如果类c1的父类c2定义了方法f，则c1就继承了f。存在约束如下： deny(s-|c1.f) when b1 deny(s-|c2.f) when b2 由于子类会继承父类的约束，故b1和b2都约束了c1对f的调用。则隐含的约束是 deny(s-|c1.f) when b1∨b2 这种策略语言忽略了策略的具体实现。 第4章 安全需求与安全策略(6课时) 4.2.2 策略语言 假设策略规定下载程序不能访问Unix系统中的passwd文件。程序使用下面的类和方法访问本地文件 class file{ public file(String name); public String getfilename(); public char read(); … 则存在如下的约束 deny(|→file.read) when (file.getfilename()==“/etc/passwd”) 第4章 安全需求与安全策略(6课时) 4.2.2 策略语言 2)DTEL策略语言 DTEL语言是从Boebert和Kain的研究成果中发展出来的。它将类型限制为两种：数据和指令。 DTEL