安全操作系统设计和开发概述.pptxVIP

7.5安全操作系统设计和开发概述7.5.1安全操作系统的结构和设计原则7.5.2安全操作系统的开发7.5.3信息系统安全评估标准简介

7.5.1安全操作系统结构和设计原则7.5.1安全操作系统的结构和设计原则安全和保护系统的设计原则：1公开系统设计方案：2机制的经济性：3最小特权：4严密的访问控制机制：5基于“许可”的模式：6特权分离：7避免信息流潜在通道：8便于使用：

安全操作系统一般结构可信应用软件应用软件安全内核硬件

计算机系统中的软件分类1）可信软件-2）良性软件-3）恶意软件-

01安全操作系统的研究和发展03虚拟机法：05仿真法：02安全操作系统的一般开发方法04改进/增强法：7.5.2安全操作系统的开发

系统需求分析：描述各种不同安全需求；01系统功能描述：准确定义应完成的安全功能，包括描述验证、即证明描述与需求分析相符合；02系统实现：设计并建立系统，包括实现验证，即论证实现与功能描述相符合。03安全操作系统的开发过程

操作系统安全性开发过程安全需求分析抽象和归纳出安全策略建立安全模型安全机制的设计和实现安全操作系统可信度认证安全功能测试安全模型与系统的对应性说明阶段一阶段二阶段三

3安全功能和安全保证安全功能包括的安全元素：标识与鉴别、自主访问控制、强制访问控制、标记客体重用、审计、数据完整性、可信路径、隐蔽信道分析和可信恢复。安全保证：TCB自身安全保护，包括TSF模块、资源利用、TCB访问等；TCB设计和实现，包括配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等；TCB安全管理。

4安全操作系统的设计技术1）隔离技术2）安全内核安全内核设计和实现原则：(1)完整性：(2)隔离性：(3)可验证性：

进程激活：在多道程序设计环境下，进程创建和撤销会频繁发生，进程上下文切换要求改变控制寄存器、重定位映象、文件访问表、进程状态信息及其他相关信息，其中许多都是对安全性敏感的信息。存储保护：因为每个存储区域中都包含代码和数据，安全内核必须监控对主存的引用以确保每个存储区域的保密和完整。区域切换：在一个区域运行的进程频繁地调用或访问其他区域中的程序和数据，以获取更多敏感数据和服务。I/O操作：由于所有I/O操作不是向设备写数据就是从设备接收数据，所以，进行I/O操作的进程必须受到对设备读写两种访问控制机制的监督。2341安全内核监控的基本交互活动

3)分层设计构成的分层安全操作系统的层次依次为：硬件--安全机制--同步和通信机制--存储管理、调度、共享--设备管理--文件管理--实用功能程序--系统程序(编辑、编译、汇编、DBMS)--应用进程的子进程--应用进程。

不同层中实现的认证模块用户ID查找子模块最不可信代码最可信代码用户认证模块用户接口子模块认证数据修改子模块认证数据比较子模块

7.5.3信息系统安全评估标准简介2设置错误：3黑客踪迹：1操作系统安全漏洞扫描5系统文件完整性威胁：4特洛伊木马：

形式化验证：最精确的方法，安全操作系统被简化为一个要证明的“定理”，定理断言该安全操作系统是正确的，但证明的工作量巨大，尤其对于大型实用系统，试图描述和验证均十分困难；非形式化确认：它包括验证，也包括一些不太严格的测试程序正确性的方法，确认方法有以下几种：安全需求检查、设计及代码检查和模块及系统测试；入侵测试：入侵者应当掌握操作系统典型的安全漏洞，并试图发现和利用系统中的安全缺陷。2操作系统安全评测方法

3操作系统安全测评准则系统分为四类七个安全等级D类—D级，安全性最低级，整个系统不可信任。C类—自主保护类，C1级—自主安全保护。C2级—受控制的存取控制系统，引入DAC和审计机制。B类—强制保护类，B1级—标记安全保护级，引入MAC、标记和标记管理。B2级—结构保护级，具有形式化安全模型，完善的MAC，可信通路、系统结构化设计、最小特权管理、隐蔽信道分析。B3级—安全域级，访问监控机制、TCB最小复杂性设计、审计实时报告和对硬件的要求。A类—A1级，验证保护类，严格的设计、控制和验证过程。

01Linux基本安全机制02标识与鉴别03存取控制04审计05特权管理06网络安全07其它安全机制7.6Linux安全机制

2安全操作系统SELinuxSELinux安全体系结构安全服务器安全策略SID到安全上下文的映射对象管理器策略执行对象到SID映射查询决策客户机

标签确定：存取决策：多实例决策：安全的请求和决策有三种情况个主体都有一个域(domain)，每个客体都有