008操作系统的安全与保护.ppt

操作系统安全 操作系统的安全与保护 安全策略 安全模型 安全机制 安全操作系统的设计和开发 操作系统安全性主要内容 安全策略。描述一组用于授权使用其计算机及信息资源的规则。 安全模型。精确描述系统的安全策略，它是对系统的安全需求，以及如何设计和实现安全控制的一个清晰全面的理解和描述。 操作系统安全性主要内容 安全机制。实现安全策略描述的安全问题，它关注如何实现系统的安全性，包括：认证机制(Authentication)、授权机制(Authorization)、加密机制(Encryption)、审计机制(Audit)、最小特权机制(Least Privilege)等。 安全策略 安全需求和安全策略 操作系统安全需求指设计一个安全操作系统时期望得到的安全保障，一般要求系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取。 操作系统的安全需求 机密性(confidentiality)需求 为秘密数据提供保护方法及保护等级的一种特性。 完整性(integrity)需求 系统中的数据和原始数据未发生变化，未遭到偶然或恶意修改或破坏时所具有的一种性质。 操作系统的安全需求 可审计性(accountability)需求 ，指要求能证实用户身份，可对有关安全的活动进行完整记录、检查和审核，以防止用户对访问过某信息或执行过某操作的否认 可用性(availability)需求 防止非法独占资源，每当合法用户需要时保证其访问到所需信息，为其提供所需服务。 安全策略和安全系统 安全策略指用于授权使用其计算机及信息资源的规则、即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则。一个系统可以有一个或多个安全策略，其目的是使安全需求得到保障。 安全策略和安全系统 一个计算机系统是安全系统，是指该系统达到了设计时所制定的安全策略的要求，一个安全的计算机系统从设计开始，就要考虑安全问题。安全策略是构建可信系统的坚实基础，而安全策略的制定取决于用户的安全需求。 安全策略分成两类 军事安全策略 主要目的是提供机密性，同时还涉及完整性、可记帐性和可用性。用于涉及国家、军事和社会安全部门等机密性要求很高的单位，一旦泄密将会带来灾难性危害。 安全策略分成两类 商业安全策略 主要目的是提供完整性，但不是惟一的，也涉及机密性、可记帐性和可用性。它要满足商业公司的数据不被随意篡改。例如，一个银行的计算机系统受到完整性侵害，客户账目金额被改动，引起金融上的严重后果。 一个基本概念--TCB 操作系统的安全依赖于具体实施安全策略的可信软件和硬件，计算机系统内安全保护装置的总体，包括硬件、固件、可信软件和负责执行安全策略的管理员的组合体称为可信计算基TCB(Trusted Computing Base)，它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。 访问控制策略 1.?访问控制属性 与访问控制策略相关的因素有三类：主体、客体和主客体属性。 (1)主体 是主动的实体，是系统内行为的发起者，通常它是用户和代表用户的进程，系统中所有事件请求几乎都是由主体激发的。 系统的合法用户可分成： ·普通用户(进程)， ·信息属主(进程)， ·系统管理员(进程)， (2)客体 是一个被动的实体，是系统内所有主体行为的直接承担者，它常被分成： 1)一般客体，系统内以具体形式存在的信息实体，如文件、目录、数据和程序等。 2)设备客体，指系统内的硬件设备，如磁盘、磁带、显示器、打印机、网络节点等。 3)特殊客体，有时一些进程是另外一些进程行为的承担者，这类进程也是客体的一部分。 (3)主客体属性 (敏感标记) 属性是TCB维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记，这些安全标记是实施自主或强制访问的基础。 1)主体属性 它是用户特征，是系统用来决定访问控制的常用因素，一个用户的任何一种属性都可作为访问控制决策点，一般系统访问控制策略中常用的用户属性有： a) 用户ID/用户组ID： b) 用户访问许可级别： c) 用户需知属性： d) 角色： e) 权能列表： 2) 客体属性 与系统内客体相关联的属性也作为访问控制策略的一部分，客体安全属性有： a)敏感性标记：信息按“安全等级”进行分类，如“公开信息”、“机密信息”、“秘密信息”、“绝密信息”； b)访问控制列表：与客体相关联的有一个“访问控制列表”，用来指定系统中哪些用户和用户组可以以何种模式访问该客体的一种列表。 自主访问控制策略 本策略根据系统中信息属主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限，这一点上对信息属