操作系统安全(第二部分理论篇).pptx

第二部分 理论篇第5章 安全策略与安全模型第6章 安全体系结构第7章 安全保证技术第5章 安全策略与安全模型安全需求：从有关管理、保护和发布敏感信息的法律、规定、和实施细则中导出，一般包括机密性、完整性、可追究性和可用性；安全策略，是对安全需要求的形式化和非形式化描述，分为：访问控制策略：反映机密性和完整性访问支持策略：反映可追究性和可用性安全策略模型：就是对安全策略所表达的安全需求的简单、抽象、无歧义的描述。安全模型的目标——明确表达安全需求，为设计开发安全系统提供方针；5.1安全策略5.1.1安全策略概述安全策略：安全策略是一种声明，它将系统的状态划分为两个集合：一个是已经授权状态集合，即安全状态集合，一个是未授权状态集合，即不安全状态集合。安全系统：是这样一个系统，它开始于一个授权状态，且在任何转换操作之后都不会进入一个未授权状态。安全性背离：当一个系统进入一个未授权状态时，我们就说它出现一次安全状态性背离5.1安全策略5.1.2安全策略类型机密性策略完整性策略混合型/中立型策略5.1安全策略5.1.3策略表达语言高层策略语言：用于表达对系统中抽象实体的无歧义的精确表达。描述了对一个系统中的实体和行为的限制，策略独立于机制。采用数据的或程式化的表示形式，如数学语言表达策略、DTE策略语言低层策略语言：用于将一组输入或参数简化为在一个系统上进行设置、检查或限制的命令。 例：Xhost+groucho-chico：设置系统允许来自主机groucho的连接，而不允许来自主机chico的连接5.2安全模型 5.2.1安全模型作用和特点作用：明确表达安全需求，为设计开发安全系统提供方针特点：精确、无歧义简易，抽象，易理解安全相关的，即只涉及安全性质，不限制系统 功能及其实现是安全策略的显示表示安全模型分为形式化的安全模型和非形式化的安全模型；5.2.2形式化安全模型设计目标与要求所谓形式化方法，指的是使用特定的语言和推理来描述事物的方法。相对而言，非形式化的方法则是以自然语言和基于人们的常识来描述事物的方法。使用形式化的表示方法，尤其是使用一套简单易懂的语义学符号来描述事物之间的关系，可以大大提高描述安全策略的精度，使用形式化的证明可以从理论上确保系统的安全策略能够满足系统的安全需求。5.2.2形式化安全模型设计目标与要求开发一个形式化的安全模型必须满足：完备性：所有安全策略必须包括在模型的断言中，而且也要求所有包含在模型中的断言必须是从安全策略中导出的。正确性：要求模型的安全全性定义是一个从安全策略的导出的相关安全断言的精确描述一致性：要求各条安全策略是内在一致辞的，即各条安全策略的形式化表示之间没有数学矛盾简明性：模型是简单的而且没有额外的细节，但必须包括足够多的细节使得它不是含糊的5.2.2形式化安全模型设计目标与要求通常，系统的不安全性源自于对用户安全需求的错误理解或源自于系统的实现缺陷。保证系统安全性的主要策略是，制定一个符合用户安全需求的安全策略模型，该模型必须同时考虑安全策略和其在自动信息系统中的实现过程安全策略模型应由：对安全的定义一套操作的规则。5.2.2形式化安全模型设计目标与要求形式化模型，指的是用形式化的方法来描述如何实现系统的安全要求，包括机密性、完整性和可用性。一个安全的计算机系统可以分为如下几大部分：数据结构进程用户信息I/O设备被控实体的安全属性5.2.2形式化安全模型设计目标与要求标识被控实体在设计一个安全模型中占据着重要地位，对于达到TCSEC规定的B2级或以上安全级的系统来说，被控实体必须包括所有的系统资源。系统包括显式被控实体和隐式被控实体。数据结构是一个数据仓库，包含标明系统内部状态的数据和值。系统中进程可以利用系统事先明确定义的允许的操作来对这些数据或值进行读或写访问。一个最小的数据结构，同时也是显式被控实体的存储客体，存储客体的安全属性可能包括安全级和用户访问权限。在包含安全级的模型中，在最小化的情况下，存储客体具有唯一的安全级，存储客体可能被组合起来形成多级数据结构，其中每个客体被赋予自己的安全级5.2.2形式化安全模型设计目标与要求进程可创建、删除存储客体及其他进程以及与它们交互，还可以与I/O设备交互。显式被控进程称为“主体”。通常具有多种与它关联的安全属性，可能包括安全级、硬件安全属性。用户信息：在支持角色的程序中，系统用户可履行制定角色的职责，一个用户可以拥有多个角色，一个角色也可以包含多个用户。I/O设备：用户与系统设备的交互行为在模型中体现对I/O设备的约束。外部策略要求系统只有允许授权用户才能访问相应的I/O设备。I/O设备封装在TCB软件内，并被看作是被动实体。安全属性可以显式地与显式受控实体相关联，还有一些与系统环境相关的安全属性。5.2.2形式化安全模型设计目标与