第5章 操作系统安全体系结构.ppt

安全操作系统原理与技术 安徽理工大学计算机科学与工程学院 信息安全系 张柱 讲师 第5章 操作系统安全体系结构 学习内容: ①了解操作系统安全体系结构的含义及其类型 ②了解系统安全体系结构设计的基本原则 ③掌握Flask安全体系结构 本章重点： Flask安全体系结构 第5章 操作系统安全体系结构(6课时) 5.1 含义及其类型 1.含义 所谓计算机系统的安全体系结构，包括如下几个方面： ①详细描述系统中安全相关的所有方面。 ②在一定的抽象层次上描述各个安全相关模款之间的关系； ③提出指导设计的基本原理； ④提出开发过程的基本框架及对应于该框架体系的层次结构。 安全体系结构在整个系统的开发过程中，必须扮演指导者的角色，确立其中心地位，所有开发者在开发前对安全体系结构必须达成共识，并在开发过程中自觉服从于安全体系结构，从而达到在它的指导下协同工作的目的。 安全体系结构只能是一个概要设计，而不能是系统功能的描述，不应当限制不影响安全的设计方法。 第5章 操作系统安全体系结构(6课时) 5.1 含义及其类型 2.分类 美国国防部“目标安全体系DoD”中，把安全体系划分为一下四类： 1)抽象体系 描述安全需求，定义安全功能及其提供的安全服务，确定系统实现安全的指导原则及其基本概念。 2)通用体系 在已有的安全功能和相关安全服务配置的基础上，定义系统分量类型几可得到的实现这些安全功能的有关安全机制。 3)逻辑体系 是满足某个假设的需求集合的一个设计，现实了一个把通用体系应用于具体环境时的基本情况。 第5章 操作系统安全体系结构(6课时) 5.1 含义及其类型 3)逻辑体系 是满足某个假设的需求集合的一个设计，现实了一个把通用体系应用于具体环境时的基本情况。 4)特殊体系 要表达系统分量、接口、标准、性能和开销；表明如何把所有被选择的信息安全分量和机制结合起来以满足我们正在考虑的特殊系统的安全需求。 第5章操作系统安全体系结构(6课时) 5.2 设计的基本原则 在安全体系结构的设计中应该遵守的基本规律： 1)从系统设计之初就考虑安全性 2)应尽量考虑未来可能面临的安全需求 在安全体系结构的设计中需要考虑未来安全需求，应注意： ①不能把“预设的”安全问题定的太特殊或太具体； ②要从适应的抽象层次来理解安全问题； ③设计计划必须特别关注安全策略的定义。 3)隔离安全控制，并使其极小化 设计时应注意： ①并不是所有的从软件工程的角度看是有效的设计原则都能很好地适用于操作系统安全部分的设计。 第5章操作系统安全体系结构(6课时) 5.2 设计的基本原则 ②在系统中的安全相关机制应尽量简洁，易于确认，且相对独立，这样有利于实现附加的控制来保护它们； ③数据隔离必须适度，不能走极端。 4)实施特权最小化 无论在系统的什么部分，只要是执行某个操作，执行该操作的进程除能获得执行该操作所需的特权外不能获得其他的特权。 对于安全操作系统的构筑，最小权限包括： ①硬件特权，与硬件相关的最小特权； ②软件特权，于软件相关的最小特权； ③最小特权的实施方法：要求系统在构造时必须按照一定的技术进行，比如分层体系 第5章操作系统安全体系结构(6课时) 5.2 设计的基本原则 ④最小特权总是包含用户的行为及系统管理者的行为； ⑤结构化安全相关功能； ⑥使安全相关的界面友好； ⑦不要让安全依赖于一些隐藏的东西。 第5章操作系统安全体系结构(6课时) 5.3 Flask体系 5.3.1 背景介绍 为了解决策略的变化和动态的策略，系统必须有一种机制来撤销以前授予的访问权限。Flask体系结构使策略的灵活性的实现成为可能。 1.Flask结构包括一个安全策略服务器来控制访问控制的决议，一个微内核和系统其他客体管理器框架来执行访问控制的决议。虽然原型系统是基于微内核的，但安全机制并不依赖于微内核结构，在没有微内核的情况下也能很容易实现。 2.Flask结构支持策略的广泛多样性。 3.Flask系统的安全结构来源于DTOS系统原型。 4.Flask的灵活性安全模式与访问控制常规框架GFAC是一致的。 5.Flask原型由一个基于微内核的操作系统实现，支持硬件强行对进程地址空间的分离。 第5章操作系统安全体系结构(6课时) 5.3 Flask体系 5.3.2 策略灵活性分析 1.通常通过安全策略的列表定义灵活性，实现简单，但是很难将现实中的安全策略清晰的反映到列表中。 2.把计算机系统抽象为一个状态机，通过执行原子操作来从一个状态迁移到下一个状态，可以增强定义安全策略灵活性，但实际考虑时却可能受到限制。 3.更加理想的方法