9-操作系统安全.pptVIP

安全体系结构——Flask结构 * 典型安全操作系统分析 在TCSEC促进下研制了多种具有B1级别以上的安全操作系统产品 IBM的安全Xenix、 Bell实验室的System V/MLS、 加拿大多伦多大学的安全TUNIS等 早期的安全操作系统基本上是按照TCSEC中的要求为蓝本研制 根据单一的整体安全策略对系统进行访问控制和防护。 现代安全操作系统中已逐步实现了多种安全策略（Security Policy） 典型的是RSBAC和SELinux安全操作系统。 * RSBAC RSBAC是基于GFAC提出的安全操作系统原型 * SELinux SELinux采用Flask框架作为它的安全体系结构 SELinux核心级的安全增强主要表现在三个方面 实现了功能强大的安全服务器－ESS（Example Security Server） 按照Flask体系框架的要求，把Linux内核中的相应子系统，包括文件管理、进程管理、Socket控制等，改造成独立的客体管理器 客体管理器中实现了访问向量缓存AVC（Access Vector Caching）提高了效率。 实现了安全工具层 提供一个与安全服务器相配套的安全策略配置语言和相应配置工具 * * 谢谢 第九章 操作系统安全 操作系统 * 主要内容 操作系统安全性基本概念 操作系统主要安全机制 安全操作系统设计与实现 9.1 操作系统的安全性 操作系统的安全需求 系统安全的评估与标准 Unix/Linux操作系统安全 * * 9.1.1 操作系统的安全需求 计算机信息系统安全性 保密性。安全保密是指防止信息的非授权修改，这也是信息安全最重要的要求。 完整性。完整性要求信息在存储或传输过程中保持不被修改、破坏和丢失。 可靠性。可靠性是指系统提供信息的可信赖程度。 可用性。可用性是指当需要时是否能存取所需信息，保护信息的可用性的任务就是防止信息失效或变得不可存取。 操作系统安全的目标 为用户信息处理提供安全的软件环境，为应用程序运行提供安全可靠的运行环境。 操作系统的安全需求 系统边界安全 认证和鉴别禁止非法用户进入系统; 系统使用权限管理机制 不同用户配置不同的权限，每个用户只拥有他能够工作的最小权利； 应用和数据的访问控制机制 用户只能按照指定的访问控制安全策略访问数据； 为系统用户提供可信通路 保证系统登陆和应用层提供的安全机制不被旁路； 系统操作的安全审计和管理 检查错误发生的原因，或者受到攻击时攻击者留下的痕迹； * * 9.1.2 系统安全的评估与标准 计算机信息系统 （computer information system） 由计算机及其相关的和配套的设备、设施(含网络)构成； 可信计算基 （trusted computing base ） 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。 主体（subject） 即主动实体，导致信息在系统中流动及改变系统状态的用户或进程等； 客体(object) 能包含或接受信息的被动实体，如文件、内存块等； 敏感标记 （sensitivity label） 表示客体安全级别并描述客体数据敏感性的一组信息； 安全策略(security policy) 系统资源使用和管理的安全规定和约定； 系统安全的评估与标准 TCSEC：Trusted Computer System Evaluation Criteria 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。 1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。 国标GB17859－1999：《计算机信息系统安全保护等级划分准则》 该准则参照TCSEC标准规定了计算机信息系统安全保护能力的五个等级。 用户自主保护级，系统审计保护级，安全标记保护级，结构化保护级，访问验证保护级 POSIX.1e （Portable Operating System Interface for Computer Environment）） POSIX.1e是POSIX系列标准的一部分。它定义了POSIX.1规范的安全扩展部分； POSIX.1e只规定了安全特性的函数接口（Security APIs）。 * 1. TCSEC- 共分A、B、C、D四类八个级别 D: 非安全保护 C: 自主保护级 C1: 允许客体拥有者决定该客体的访问控制权，是否可以被其他主体访问 ； C2: 自主访问控制更加细致。考虑客体重用和系统审计 ； B:强制安全 B1: 标记安全保护，标记和强制访问控制； B2: 结构安全保护，强制访问控制的范围扩大到所有的系统资源，给出证明，要求考虑隐蔽信道（存储），并计算出带宽。 B3: 安全区域保护，TCB不包含与安全无