可信操作系统设计题稿.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Tursted Operating System Design 小结： 在可信操作系统设计这部分，我们讨论了 隔离，安全内核，层化设计，所有这些设 计的安全部分都是基于前面的安全策略的。 一个好的设计必须首先有好的安全策略。 * * Assurance In Trusted Operating System 这部分内容是讨论如何保证设计出的 操作系统是可信的，包括对设计出的操作 系统的测试、验证以及评估，以及不同国 家的各种评诂标准问题。 （略，自学） * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Tursted Operating System Design * * Tursted Operating System Design 从上面的对比可以看出，在设计可信操作系统时，比一般操作系统多出以下方面： 1、对每个设备和服务的访问控制 2、数据和程序按照共享和私有分离 3、不同用户占用内存空间的彼此分离等 * * Tursted Operating System Design 可信操作系统（TOS）的安全特性 用户鉴别 强制访问控制 自主访问控制 客体复用保护 完全仲裁 可信路径 审计日志 精简审计日志 入侵检测 * * Tursted Operating System Design 用户鉴别：计算机安全性之根源 。它包括 俩个步骤： 找出请求访问者； 确定其真实身份。 可信操作系统要求所有访问者都必须被 唯一识别。 * * Tursted Operating System Design 强制访问控制（MAC）： 系统内的每一个用户或主体根据他对敏感性客体的访问许 可级别被赋予一个访问标签(access label)；同样地，系统内 的每一个客体也被赋予一敏感性标签(Sensitivity Label)以 反映该信息的敏感性级别。系统内的“参考监视器”通过比较主、 客体相应的标签来决定是否授予一个主体对客体的访问请求。 强制访问控制策略既可以用来防止对信息的非授权的篡改(即 证信息的完整性)，又可以防止未授权的信息泄露(即保证信息 的机密性)。 * * Tursted Operating System Design 自主访问控制（DAC）： 它允许系统中信息的拥有者按照自己的意愿去制定谁可以以 何种访问模式去访问该客体。在这一点上对于信息的拥有者 来说是“自主的”。与强制访问控制策略相比，自主访问控制 策略能够提供一种更为精细的访问控制粒度，它能够将所设 的访问控制策略细化到具体的某个人，而这是强制访问控制 策略所做不到的。 在现实的系统中，自主访问控制机制用于授权用户访问系统 资源。 * * Tursted Operating System Design 客体复用保护 ： 客体复用是计算机系统保证其效率的一种方式。操作系统负责控制资源分配，每当一用户程序释放其占有的资源时，系统就会允许下一个用户访问。为了防止错误发生，操作系统在重新分配资源之前必须将更改过的资源恢复可用状态。 完全仲裁 了实现自主型和强制型访问控制，所有的访问权都是被集中控制的。而不是仅仅对文件进行访问控制。从而避免因为漏过访问控制而非法访问系统资源。 * * Tursted Operating System Design 可信路径： 计算机系统中，用户在一般情况并不直接与内核打交道，中 间还有一层应用层作为接口在用户与内核之间相互作用着，这 种设计能够保护内核不会被用户肆意修改窥测，但也随之带来了 安全隐患，比如：在登陆系统时，用非法截取用户登陆信息来 盗取用户密码。 可信路径就是避过应用层，在用户与内核之间开辟一条直接 的可信任的交互通道，从而防止重要信息在不可信路径上传输时 被盗用。 * * Tursted Operating System Design 审计日志： 在用户使用系统时，对系统资源的改动都要经过系统审计， 每次审计都要存储为日志。系统管理员可以通过审计日志来 发现非法入侵系统。 精简审计日志： 如果进行完全审计，一般审计日志非常庞大，即使是一个简 单的读写文件，也要访问大量资源，于是产生很多日志记录。 对于管理员来说，要在庞大的日志中发现错误好像大海捞针， 所以要对审计日志进行精简。 * * Tur