第五章操作系统安全体系结构.ppt

安全操作系统 中国科学技术大学计算机系 陈香兰（0512 xlanchen@ 助教：裴建国 Autumn 2008 第五章 操作系统安全体系结构 安全体系结构的含义和类型 计算机系统的安全体系结构设计的基本原则 Flask体系、LSM以及Flask在LSM中的应用 权能体系 操作系统的设计问题 操作系统的测试 渗透测试和老虎队分析 Ethical hacking：正面的黑客行动 打补丁 可/不可 原因 旧系统有了新的应用 系统在设计时考虑不充分 构造安全操作系统时的安全体系结构应当如何？ 第五章 操作系统安全体系结构 安全体系结构的含义和类型 计算机系统的安全体系结构设计的基本原则 Flask体系、LSM以及Flask在LSM中的应用 权能体系 安全体系结构的含义及类型 体系结构设计的主要任务 各种不同角度的需求，可能有冲突 需要折衷 计算机系统的安全体系结构，包括 详细描述系统中安全相关的所有方面 在一定的抽象层次上描述各个安全相关模块之间的关系 提出指导设计的基本原理 提出开发过程的基本框架及对应于该框架体系的层次结构 安全体系结构只是一个概要设计，而不能是系统功能的描述 要考虑到测评认证的有效性，充分参考 可信计算机系统评估准则TCSEC 通用评估准则CC TCSEC没有给出“安全体系结构”的定义，但对系统的体系结构和系统设计的文档资料提出了定性的要求，并且给出了顶层规范的定义 CC也没有 美国国防部的目标安全体系（DoD Goal Security Architecture）把安全体系划分为4种类型 抽象体系 通用体系 逻辑体系 特殊体系 第五章 操作系统安全体系结构 安全体系结构的含义和类型 计算机系统的安全体系结构设计的基本原则 Flask体系、LSM以及Flask在LSM中的应用 权能体系 计算机系统的安全体系结构设计的基本原则 从系统设计之初就考虑安全性 应尽量考虑未来可能面临的安全需求 隔离安全控制，并使其极小化 实施特权最小化 结构化安全相关功能 使安全相关的界面友好 不要让安全依赖于一些隐藏的东西 第五章 操作系统安全体系结构 安全体系结构的含义和类型 计算机系统的安全体系结构设计的基本原则 Flask体系、LSM以及Flask在LSM中的应用 Flask LSM Flask在LSM中的应用 权能体系 一、Flask体系结构 Flask history In 1992 1993, researchers at the NSA and SCC worked on the design and implementation of DTMach, an outgrowth of the TMach project and the LOCK project. DTMach integrated a generalization of type enforcement?, a flexible access control mechanism, into the Mach microkernel. The DTMach project was continued in the DTOS project. The DTOS project improved upon the earlier design and implementation work, yielding a prototype that was released to universities for research (e.g. Secure Transactional Resources, DX). After the DTOS project, a new joint effort was started by the NSA, SCC, and the University of Utahs Flux project to transfer the DTOS security architecture into the Fluke research OS. During the integration, the architecture was enhanced to provide better support for dynamic security policies It was named Flask. Flask: Flux Advanced Security Kernel Flask was ported to: OSKit Security-Enhanced Linux 论文 Ray Spencer, et al., The flask security architecture: s