信息安全安全架构与设计(ppt).pptVIP

操作系统架构 单片（Monolithic ） 所有操作系统进程在内核模式下运行。 分层（Layered） 所有操作系统进程在内核模式下的分层模型上运行。内核过大 微内核（Microkernel） 核心操作系统进程运行在内核模式，其余运行在用户模式。内核过小 混合微内核（Hybrid microkernel） 所有操作系统进程在内核模式下运行。核心进程运行在微内核，其他运行在客户端\服务器模式。 分层操作系统 微内核操作系统 Windows混合微内核架构 主要的操作系统内核架构 虚拟机 虚拟机优势 多个服务器整合 遗留应用程序运行 运行不可信程序，提供安全的隔离的沙箱 模仿独立计算机网络 多个系统，多种硬件适合 强大的调试和性能监控 超强隔离能力 备份、恢复、迁移更简单 系统安全体系结构（System Security Architecture） 安全策略（Security Policy） 安全架构要求（Security Architecture Requirements） 安全策略（Security Policy） 指导性纲领，为系统整体和构成它的组件从安全角度提出根本的目标，是战略工具。安全策略是一个系统的基础规范，使系统集成后评估它的基准。 安全架构要求（Security Architecture Requirements） 可信计算基（Trusted Computing Base） 安全边界（Security Perimeter） 引用监视器（Reference Monitor，RM） 安全内核（Security Kernel） 可信计算基（Trusted Computing Base） TCB是计算机系统内保护机制的总体, 包括硬件、固体、软件和负责执行安全策略的组合体。 TCB由一系列的部件构成，在产品或系统中执行统一的安全策略。 TCB的三个要求 TCB必须保证其自身在一个域中的执行，防止被外界干扰或破坏 TCB所控制的资源必须是已经定义的主体或客体的子集 TCB必须隔离被保护的资源，以便进行访问控制和审计 TCB维护每个域的保密性和完整性，监视4个基本功能 进程激活：Process activation 执行域的切换：Execution domain switching 内存保护：Memory protection I/O操作：I/O operation 引用监视器（Reference Monitor，RM） RM是一个抽象机的访问控制概念，基于访问控制数据库协调所有主体对客体的访问 RM的任务 根据访问控制数据库，对主体对客体的访问请求做出是否允许的裁决，并将该请求记录到审计数据库中。注意：基准监视器有动态维护访问控制数据库的能力。 RM的特性： 执行主体到对象所有访问的抽象机 必须执行所有访问，能够在修改中被保护，能够恢复正常，并且总是被调用。 处理所有主体到客体访问的抽象机 安全内核（Security Kernel） 安全内核是TCB中执行引用监视器概念的硬件、固件和软件元素 理论基础：在一个大的操作系统中，只将相对比较小的一部分软件负责实施系统安全，并将实施安全的这部分软件隔离在一个可信的安全核，这个核就称为安全核。 需要满足三个原则 完备性：协调所有的访问控制 隔离性：受保护，不允许被修改 可验证性：被验证是正确的 安全核技术是早期构建安全操作系统最为常用的技术，几乎可以说是唯一能够实用的技术。 引用监视器RM是概念，抽象的机器，协调所有主体对对象间的访问；安全内核是硬件，是TCB中执行RM的部分，TCB中除安全内核外还有其它安全机制 关键概念 虚拟化 Hypervisor:用来管理模拟环境中的虚拟机的中央程序 安全策略 可信计算基 可信路径：进程之间用来通信的，不能被绕过的可信软件通道 安全边界 引用监视器 安全内核 多级安全策略 安全模型（Security Models ） 状态机模型（State Machine Models） Bell-LaPadula 模型 Biba模型 Clark-Wilson模型 信息流模型（Information Flow Model） 非干涉模型（Noninterference Model） 格子模型（Lattice Model） Brewer and Nash模型 Graham-Denning模型 Harrison-Ruzzo-Ullman（HRU）模型 安全策略与安全模型 安全策略勾勒出目标，宽泛、模糊而抽象，安全模型提供了实现这些目标应该做什么，不应该做什么，具有实践指导意义，给出了策略的形式 状态机模型（State Machine Models） 状态机模型描述了一种无论处于何种状态都是安全的系统 一个状态（State）是处于特定时刻系统的一个快照，如果