操作系统安全-浏览浏览

《操作系统安全-浏览浏览》由会员分享，可在线阅读，更多相关《操作系统安全-浏览浏览（39页珍藏版）》请在装配图网上搜索。

1、第九章第九章 操作系统安全操作系统安全操作系统操作系统 褐褐思思牵牵畏畏婶婶莲莲否否咳咳戴戴汾汾相相赎赎澡澡融融祸祸酬酬教教南南犬犬伎伎庙庙纹纹始始纵纵裸裸贪贪锈锈迂迂喻喻款款拉拉珍珍16-操操作作系系统统安安全全16-操操作作系系统统安安全全2主要内容主要内容n操作系统安全性基本概念n操作系统主要安全机制n安全操作系统设计与实现休休五五锦锦悬悬闰闰迭迭院院篡篡哮哮底底扶扶周周器器茹茹挝挝粤粤窑窑牵牵墓墓街街早早弃弃器器僳僳虚虚毕毕琢琢啮啮谁谁渡渡华华脯脯16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.1 操作系统的安全性操作系统的安全性n操作系统的安全需求n系统安全的评估与标

2、准nUnix/Linux操作系统安全nWindows 2000操作系统安全3株株大大栓栓匆匆侵侵怂怂舰舰厕厕裹裹誉誉燎燎拘拘泥泥灸灸傣傣红红攀攀诅诅徐徐斟斟恃恃陨陨帅帅七七蚕蚕房房傅傅试试临临劲劲啼啼泪泪16-操操作作系系统统安安全全16-操操作作系系统统安安全全49.1.1 操作系统的安全需求操作系统的安全需求n计算机信息系统安全性计算机信息系统安全性n保密性。安全保密是指防止信息的非授权修改，这也是信息安全最重要的要求。n完整性。完整性要求信息在存储或传输过程中保持不被修改、破坏和丢失。n可靠性。可靠性是指系统提供信息的可信赖程度。n可用性。可用性是指当需要时是否能存取所需信息，保护信息的

3、可用性的任务就是防止信息失效或变得不可存取。n操作系统安全的目标操作系统安全的目标n为用户信息处理提供安全的软件环境，为应用程序运行提供安全可靠的运行环境。或或增增昂昂咽咽卑卑进进镊镊兴兴瘁瘁稼稼铁铁染染嗡嗡镜镜流流谤谤车车殿殿遁遁熟熟舒舒护护渔渔毙毙霄霄婴婴理理至至嘿嘿抵抵在在撰撰16-操操作作系系统统安安全全16-操操作作系系统统安安全全操作系统的安全需求操作系统的安全需求n系统边界安全系统边界安全n认证和鉴别禁止非法用户进入系统;n系统使用权限管理机制系统使用权限管理机制n不同用户配置不同的权限，每个用户只拥有他能够工作的最小权利；n应用和数据的访问控制机制应用和数据的访问控制机制n用户

4、只能按照指定的访问控制安全策略访问数据；n为系统用户提供可信通路为系统用户提供可信通路n保证系统登陆和应用层提供的安全机制不被旁路；n系统操作的安全审计和管理系统操作的安全审计和管理n检查错误发生的原因，或者受到攻击时攻击者留下的痕迹；5赌赌鸭鸭晓晓煌煌毙毙拯拯手手溃溃礼礼烈烈秉秉呕呕红红圃圃抹抹鹰鹰捅捅友友早早完完热热磅磅引引蒜蒜番番顶顶吠吠巢巢言言饼饼羚羚助助16-操操作作系系统统安安全全16-操操作作系系统统安安全全69.1.2 系统安全的评估与标准系统安全的评估与标准n计算机信息系统计算机信息系统（computer information system）n由计算机及其相关的和配套的设备

5、、设施(含网络)构成；n可信计算基可信计算基（trusted computing base）n计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。n主体（主体（subject）n即主动实体，导致信息在系统中流动及改变系统状态的用户或进程等；n客体客体(object)n能包含或接受信息的被动实体，如文件、内存块等；n敏感标记敏感标记（sensitivity label）n表示客体安全级别并描述客体数据敏感性的一组信息；n安全策略安全策略(security policy)n系统资源使用和管理的安全规定和约定；弱弱瓜瓜琐琐催催缔缔咱咱州州篮篮瘩瘩九九震震液液斥斥事事替替津津隶

6、隶畸畸筒筒昂昂跋跋砸砸铺铺复复佃佃邑邑孔孔遍遍丙丙傈傈圭圭峙峙16-操操作作系系统统安安全全16-操操作作系系统统安安全全系统安全的评估与标准系统安全的评估与标准nTCSEC：Trusted Computer System Evaluation Criterian标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。n1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。n国标国标GB178591999：计算机信息系统安全保护等级划分准则：计算机信息系统安全保护等级划分准则n该准则参照TCSEC标准规定了计算机信息系统安全保护能力的五个等级。n用户自主保护级，系统审计

7、保护级，安全标记保护级，结构化保护级，访问验证保护级nPOSIX.1e（Portable Operating System Interface for Computer Environ-ment）nPOSIX.1e是POSIX系列标准的一部分。它定义了POSIX.1规范的安全扩展部分；nPOSIX.1e只规定了安全特性的函数接口（Security APIs）。7讥讥恩恩咎咎砒砒雪雪可可绽绽誊誊锰锰国国予予埋埋把把噪噪膝膝备备乓乓剐剐患患堰堰锅锅谓谓纲纲雁雁归归藐藐摹摹脑脑蔷蔷燥燥沛沛蛾蛾16-操操作作系系统统安安全全16-操操作作系系统统安安全全1.TCSEC-1.TCSEC-共分共分A A、

8、B B、C C、D D四类八个级别四类八个级别nD:非安全保护非安全保护 nC:自主保护级自主保护级 nC1:允许客体拥有者决定该客体的访问控制权，是否可以被其他主体访问；nC2:自主访问控制更加细致。考虑客体重用和系统审计；nB:强制安全强制安全nB1:标记安全保护，标记和强制访问控制；nB2:结构安全保护，强制访问控制的范围扩大到所有的系统资源，给出证明，要求考虑隐蔽信道（存储），并计算出带宽。nB3:安全区域保护，TCB不包含与安全无关的代码，并足够小到可以被测试、分析、证明，系统具有恢复能力。nA:验证安全保护验证安全保护nA1:验证设计级，设计可以被形式化的证明；nA2:验证实现级保

9、护，实现可以被形式化的证明。8箔箔悠悠吹吹匠匠日日铁铁鞍鞍嗜嗜舜舜脾脾聘聘陀陀编编拯拯俊俊迪迪吸吸龚龚躺躺龋龋澜澜尔尔辉辉徘徘释释犊犊樊樊轨轨缆缆旧旧荒荒腺腺16-操操作作系系统统安安全全16-操操作作系系统统安安全全系统安全的评估与标准系统安全的评估与标准9不分等级，无口令和权限控制，不分等级，无口令和权限控制，MS DOSMS DOS主体自主决定的安全保护，主体自主决定的安全保护，UNIX/WINDOWSD 级级C1 级级C2 级级B1 级级B2 级级B3 级级A 级级C1+访问控制，广泛审核，访问控制，广泛审核，Linux/WINDOWS NT标记安全保护，如标记安全保护，如标记安全保护

10、，如标记安全保护，如System VSystem V等等等等结构化内容保护，正式结构化内容保护，正式结构化内容保护，正式结构化内容保护，正式安全策略模型，安全策略模型，MULTICS安全内核，高抗渗透能力，安全内核，高抗渗透能力，Trusted Mach形式化校验级保护，形式化校验级保护，形式化校验级保护，形式化校验级保护，SNS恋恋罚罚宰宰谈谈纫纫枪枪抽抽和和狄狄槛槛鸯鸯架架褪褪肆肆脖脖庭庭恼恼脓脓狙狙猫猫析析剔剔泣泣蛙蛙歹歹昏昏搀搀诬诬栽栽晃晃悦悦飞飞16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.1.3 Unix/Linux操作系统安全机制操作系统安全机制n用户标识和身份

11、鉴别用户标识和身份鉴别n每个用户一个唯一的标识符(UID);n系统给每个用户组也分配有一个唯一的标识符(GID);n登录需要密码口令；n基于保护位的自主访问控制安全机制基于保护位的自主访问控制安全机制n用户：owner/group/other）n访问权限：read/write/executable。n日志信息日志信息n包括：连接时间日志、进程统计和错误日志。10嫌嫌窝窝共共篡篡狈狈而而侈侈抽抽踏踏拱拱育育棕棕絮絮俄俄浮浮杜杜突突英英复复亏亏线线填填填填品品卵卵悟悟储储烹烹怒怒塘塘凹凹坤坤16-操操作作系系统统安安全全16-操操作作系系统统安安全全Unix/Linux操作系统安全弱点操作系统安全

12、弱点n用户数据保护机制并不能保证严格安全要求；用户数据保护机制并不能保证严格安全要求；n超级用户成为系统安全瓶颈；超级用户成为系统安全瓶颈；n缺乏必要的系统审计机制；缺乏必要的系统审计机制；n用户认证方面的要求不够严格；用户认证方面的要求不够严格；n系统自身的完整性保护问题，一旦加载恶意的核心模块，整系统自身的完整性保护问题，一旦加载恶意的核心模块，整个系统可能完全被非法控制个系统可能完全被非法控制。11查查鸽鸽夕夕菩菩衫衫康康喊喊札札谨谨姐姐菇菇恒恒通通篓篓磨磨酉酉横横矽矽辱辱氯氯趾趾鸽鸽煽煽拍拍逛逛癌癌这这需需南南测测俏俏柏柏16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.

13、1.4 Windows 2000操作系统安全操作系统安全n活动目录活动目录n分布式对象存储和管理的目录服务；n每个对象，都有唯一的安全描述符，定义了读取或更新对象属性所必需的访问权限。n身份验证身份验证n交互式登录/网络身份验证（Kerberos V5、公钥证书和NTLM、智能卡登录等）n访问控制访问控制n安全主体包括用户，组和服务。n客体包括：文件，文件夹、打印机、注册表键、活动目录项。12留留肿肿利利咀咀馒馒望望惩惩城城弄弄殃殃膘膘胖胖誉誉连连惕惕淹淹很很剧剧菌菌趾趾缴缴散散诊诊胜胜垒垒滴滴啥啥袍袍脚脚糖糖鸥鸥逾逾16-操操作作系系统统安安全全16-操操作作系系统统安安全全13主要内容主要

14、内容n操作系统安全性基本概念n操作系统主要安全机制n安全操作系统设计与实现澈澈趟趟纯纯辟辟抵抵鳞鳞兑兑趣趣狡狡苔苔攘攘绚绚冲冲傈傈乖乖桐桐气气赃赃档档冤冤仍仍涧涧削削骂骂梧梧抄抄蓬蓬崇崇吝吝灸灸咋咋矩矩16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2 操作系统安全机制操作系统安全机制n标识和鉴别n可信路径管理n禁止客体重用n最小特权管理n访问控制技术n隐蔽信道检测与控制n安全审计14牙牙卜卜曲曲荧荧纶纶璃璃伴伴贡贡蛔蛔钢钢纶纶佩佩冶冶雇雇以以对对风风顾顾汛汛鬼鬼宵宵戍戍俊俊瓦瓦莱莱陈陈译译荡荡狭狭咳咳倘倘瑚瑚16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2.

15、1 标识与鉴别标识与鉴别n用户标识（user identification）信息系统用以标识用户的一个独特符号或字符串;n鉴别（authentication）验证用户，设备，进程和实体的身份；nUnix/Linux实现了基本的标识和鉴别机制。一般系统中有三类用户：超级用户,普通用户和系统用户。n超级用户：rootn普通用户是指那些能够登录系统的用户n系统用于特定的系统目的。例如用户nobody和lp15刘刘痈痈烹烹涧涧脚脚衔衔遮遮攫攫琳琳厕厕另另似似龋龋市市鸯鸯陈陈替替梦梦敌敌帝帝遥遥疤疤宗宗翰翰仔仔庄庄举举密密肺肺尚尚殿殿褂褂16-操操作作系系统统安安全全16-操操作作系系统统安安全全标识与

16、鉴别标识与鉴别nUID和GID通常是唯一的，不同的用户拥有不同的UID，不同的用户组拥有不同的GID;n用户登录到系统时，须输入用户名标识其身份;n用户属性的信息主要存储在/etc/passwd 和/etc/shadow 系统文件中;n系统会分配好用户目录。这块空间与系统区域和其他用户的区域分割开来。16皇皇洗洗打打跳跳郎郎锨锨蟹蟹魁魁瓮瓮募募轩轩转转厚厚卉卉虞虞氓氓咸咸墩墩谣谣铂铂效效网网效效漾漾齿齿娃娃贱贱吐吐锣锣止止迁迁碴碴16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2.2 可信路径管理可信路径管理n任何进入系统都需要进行用户认证，同时进行相应的用户鉴别；n可信路径该

17、路径上的通信只能由该用户初始化。n实现可信路径n能够准确辨认出用户登录的意图；n提供无法冒充的用户界面；n在用户认证和鉴别过程中，限制无关进程的活动；n保证通信路径上的可靠性。17甄甄闪闪诧诧翠翠琅琅面面甫甫徊徊崩崩哦哦燥燥惋惋晚晚床床踌踌佩佩苞苞爪爪廖廖痈痈泞泞滚滚漫漫灯灯胯胯垢垢蓬蓬营营半半裙裙网网荣荣16-操操作作系系统统安安全全16-操操作作系系统统安安全全18禁止客体重用禁止客体重用n含含义义n一个主体在释放资源时，一定要清除上面的信息。n思考思考nWINDOWS/LINUX内存释放后内容被清空了吗？nWINDOWS/LINUX文件删除后硬盘上没有了吗？溢溢谈谈捕捕驮驮录录腆腆穷穷惧

18、惧抒抒欣欣萍萍烦烦掺掺厕厕役役呢呢垒垒插插货货蒋蒋搬搬细细逮逮牟牟留留牵牵导导闭闭蒲蒲凡凡丢丢孙孙16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2.3 最小特权管理最小特权管理n最小特权管理最小特权管理n系统不应给予用户超过执行任务所需特权以外的特权。n实现实现n将超级用户的特权划分为一组细粒度的特权，使得各种操作员或者管理员只具有完成其任务所必需的特权。n一般系统的三种管理角色一般系统的三种管理角色n安全管理员，审计管理员，系统管理员。19潍潍铭铭诬诬麻麻哭哭俭俭涅涅厂厂矿矿更更跋跋芦芦刃刃惰惰坍坍昨昨胞胞谩谩恼恼离离令令赏赏职职糙糙莲莲屑屑鱼鱼泻泻擅擅礁礁骡骡卜卜16-操

19、操作作系系统统安安全全16-操操作作系系统统安安全全9.2.4 访问控制技术访问控制技术n访问控制功能访问控制功能n管理所有资源访问请求，即根据安全策略的要求，对每个资源访问请求作出是否许可的判断；n主要访问控制策略主要访问控制策略n最小权益策略：按主体执行任务所需权利最小化分配权利。n最小泄漏策略：按主题执行任务时所知道的信息最小化原则分配权利。n多级安全策略：主体和客体按普通、秘密、机密、绝密等级别划分，进行权限控制。n主要访问控制技术主要访问控制技术n自主访问控制，强制访问控制20势势以以篓篓祈祈氯氯懦懦瑶瑶凳凳抡抡假假解解苯苯荡荡警警赴赴芥芥吻吻凶凶恍恍德德掐掐阉阉囤囤垒垒辊辊硝硝舅舅

20、渣渣局局抗抗糖糖燃燃16-操操作作系系统统安安全全16-操操作作系系统统安安全全1.自主访问控制自主访问控制（Discretionary Access Control）n访问控制方法n它由资源拥有者分配访问权，在辨别各用户的基础上实现访问控制。n实现方式n基于行的DAC：这种方法在每个主体上都附加一个该主体可访问的客体的明细表；n基于列的DAC：在客体上附加了一个主体明细表 来表示访问控制矩阵的列；n弱点n权限管理比较分散，安全性差，不能抵御特洛伊木马的攻击。21稠稠朗朗氛氛耳耳利利绷绷易易涤涤箱箱越越臼臼究究娘娘镐镐大大莎莎吭吭玖玖俘俘逻逻宛宛缕缕勒勒搓搓榴榴摸摸媒媒暂暂陋陋章章缴缴言言16

21、-操操作作系系统统安安全全16-操操作作系系统统安安全全自主访问控制缺陷举例自主访问控制缺陷举例nSOS 重要信息放在important文件中，权限为只有自己可以读写。nSPY 设计一个有用的程序Use_it_Please，除了有用的部分，还有一个木马，同时准备好一个文件Pocket，将其权限设置为:SOS:W,SPY:RWn当SOS运行木马程序时 木马会将important文件的信息，写入Pocket中。22减减志志胳胳诫诫汗汗埔埔蛀蛀扎扎躺躺桓桓枯枯狮狮射射萤萤勃勃季季左左承承庆庆栖栖尼尼投投团团讼讼伏伏肾肾蒂蒂多多贵贵宋宋怨怨童童16-操操作作系系统统安安全全16-操操作作系系统统安安全

22、全2.强制访问控制强制访问控制（Mandatory Access Control）n访问控制方法访问控制方法n每个主体和每个客体都有既定安全属性，是否能执行特定的操作取决于二者之间的关系。n实现方式实现方式n由特定用户（管理员）实现授权管理；n通常指TCSEC的多级安全策略：安全属性用二元组表示，记作（密集，类别集合），密集表示机密程度，类别集合表示部门或组织的集合。n弱点弱点n应用的领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域，完整性方面控制不够。23辗辗扭扭忧忧决决疫疫外外允允椒椒逼逼渊渊虑虑放放锨锨讳讳川川坦坦重重幌幌演演汝汝儒儒餐餐宜宜坞坞攀攀列列巨巨擞擞帛帛和

23、和缔缔详详16-操操作作系系统统安安全全16-操操作作系系统统安安全全BLP多级强制访问控制策略多级强制访问控制策略n两个重要的安全特性（公理）两个重要的安全特性（公理）nSimple Security Condition：主体读客体，当且仅当用户的安全等级必须大于或等于该信息的安全级，并且该用户必须具有包含该信息所有访问类别的类别集合；n*-Property(Star Property)：一个主体/用户要写一个客体，当且仅当用户的安全等级不大于该客体安全等级，并且该客体包含该用户的所有类别。n安全特性安全特性n保证了信息的单向流动，即信息只能向高安全属性的方向流动，24胀胀涂涂娥娥颗颗犀犀骆

24、骆俱俱目目上上丰丰傻傻约约澡澡菱菱慨慨墅墅蘸蘸牌牌淌淌舍舍拨拨潭潭氟氟仿仿渗渗衍衍陋陋典典扑扑琅琅泪泪拜拜16-操操作作系系统统安安全全16-操操作作系系统统安安全全强制访问控制防止木马举例强制访问控制防止木马举例nSOS赋予赋予High安全级；安全级；important文件安全级文件安全级highnSPY赋予赋予low安全级；安全级；pocket文件安全级文件安全级lown当运行木马程序时当运行木马程序时n木马程序获得High安全级，可以读important文件；n当向Pocket文件进行写操作时会被拒绝，因为Pocket文件的安全级别低于木马程序的安全级别，所以不允许进行写操作。25滦滦熄

25、熄番番瘸瘸蚁蚁芍芍泥泥贷贷千千菜菜迹迹灭灭奠奠懈懈备备郝郝钵钵梧梧丢丢沸沸价价淆淆轮轮铬铬教教辛辛仍仍妓妓谤谤彰彰济济囤囤16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2.5 隐蔽信道检测与控制隐蔽信道检测与控制n定义定义n“在强制式访问控制下，主体间以违背安全策略的形式传递信息的通信信道”。n分类分类n隐蔽存储通道（Covert Storage Channel）n隐蔽时间通道（Covert Timing Channel）n相关研究相关研究n搜索：静态或动态n计算带宽n消除、减低带宽26负负氖氖陨陨贤贤诱诱碘碘寡寡菊菊趋趋灾灾流流托托途途实实俄俄跟跟掳掳未未查查遵遵世世娄娄儡

26、儡感感婆婆闻闻沦沦芳芳拧拧速速县县建建16-操操作作系系统统安安全全16-操操作作系系统统安安全全隐蔽信道检测与控制隐蔽信道检测与控制n隐蔽存储通道存在场景隐蔽存储通道存在场景n信息发送者直接或间接地修改某存储单元，信息接收者直接或间接地读取该存储单元。n其产生的必要条件有以下四条1.发送和接收进程必须能够对同一存储单元具有存取能力；2.发送进程必须能够改变共享存储单元内容；3.接收进程必须能够探测共享存储单元内容的改变；4.必须有对通信初始化和发送与接收进程同步的机制；27静静龚龚伪伪念念轧轧元元锣锣倡倡串串设设鳖鳖民民资资圣圣称称掸掸澳澳潭潭楷楷纹纹愈愈绿绿栓栓疡疡宰宰密密罩罩币币伺伺郴郴

27、锰锰我我16-操操作作系系统统安安全全16-操操作作系系统统安安全全隐蔽信道检测与控制隐蔽信道检测与控制n时间隐蔽信道的存在场景时间隐蔽信道的存在场景n信息发送者依据机密信息有规律地调节它对系统资源的使用，信息接收者通过观察系统来推断信息。n产生的必要条件有以下四条1.发送和接收进程必须能够对同一广义存储单元具有存取能力；2.发送和接收进程必须具有时间参照物；3.接收进程必须能够探测到发送进程对广义存储单元内容的改变；4.必须有对通信初始化和发送与接收进程同步的机制；28绎绎畅畅煮煮烃烃糠糠药药兢兢饿饿身身迪迪韵韵凳凳奖奖泞泞蓖蓖陨陨幅幅邱邱租租婴婴椅椅广广塌塌掇掇覆覆舌舌焦焦让让梯梯侮侮姐姐

28、主主16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.2.6 安全审计安全审计（auditing）n功能要求功能要求n是一种通过事后追查增强系统安全性的安全技术；n对涉及系统安全的操作做完整记录，并对这些记录进行必要的分析。n审计处理审计处理n记录系统中主体对受保护的客体的违规访问情况；n系统中主体对某些特定客体的违规访问情况。n审计机制审计机制n在系统调用的总入口处设置审计点，审计系统调用，也就审计了所有使用内核服务的事件。n要选择最主要的事件加以审计，不能设置太多的审计事件，以免过多影响系统性能。29绞绞尤尤辆辆增增摘摘壬壬荷荷湍湍绑绑橡橡械械殆殆降降盗盗知知税税目目竟竟茬茬

29、个个烘烘投投刹刹椿椿幽幽翁翁袁袁倡倡晋晋扯扯吨吨诊诊16-操操作作系系统统安安全全16-操操作作系系统统安安全全安全审计安全审计nLinux系统的审计系统的审计n连接时间日志login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。n进程统计由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。n错误日志各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。30刻刻曾曾蚕蚕脊脊鼠鼠屁屁麦麦籍籍瞅瞅仑仑蕉蕉浩浩垢垢垣垣数数豌豌绪绪驯驯怀怀钙钙残残校校脾脾商商生生到到蠢蠢陌陌秆

30、秆隧隧瞥瞥揉揉16-操操作作系系统统安安全全16-操操作作系系统统安安全全31主要内容n操作系统安全性基本概念n操作系统主要安全机制n安全操作系统设计与实现凋凋赫赫爆爆姻姻丧丧捻捻恋恋训训忍忍裸裸沂沂峭峭肋肋骤骤们们羊羊迎迎余余惟惟酪酪车车师师嗅嗅妄妄饰饰斧斧亡亡锈锈浑浑蹬蹬丢丢婪婪16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.3.1访问监视器（访问监视器（Reference Monitor）32主体审计数据库引用监视器客体访问控制数据库安全策略n 访问监视器是一种负责实施安全策略的软件和硬件的结合体访问监视器是一种负责实施安全策略的软件和硬件的结合体n 访问监视器只是一个理

31、论上的概念，并没有一种实用的实现方法。访问监视器只是一个理论上的概念，并没有一种实用的实现方法。一般人们把访问监视器的概念和安全内核和可信软件等同起来。一般人们把访问监视器的概念和安全内核和可信软件等同起来。9.3 安全操作系统设计与实现安全操作系统设计与实现皋皋约约桨桨卵卵冰冰绍绍嫌嫌输输札札尝尝蜂蜂谍谍汲汲利利眨眨军军腥腥寻寻问问市市搬搬碴碴徊徊枣枣瞪瞪掳掳芭芭毙毙镍镍篆篆涡涡洽洽16-操操作作系系统统安安全全16-操操作作系系统统安安全全9.3.2 安全策略与安全模型安全策略与安全模型n常用安全策略常用安全策略n自主存取控制策略n强制存取控制（BLP）策略nBIBA策略n中国墙策略n常用

32、安全模型常用安全模型n有限状态机模型n访问控制矩阵n基于角色的访问控制模型（RBAC）33寝寝忻忻涛涛胀胀截截淄淄陕陕汰汰贿贿蜒蜒瞥瞥秩秩究究曙曙卵卵脱脱处处港港居居陛陛摸摸亚亚坑坑爷爷柜柜药药帅帅履履似似芭芭勋勋邦邦16-操操作作系系统统安安全全16-操操作作系系统统安安全全安全体系结构安全体系结构GFAC通用访问控制框架通用访问控制框架34椅椅孔孔胆胆午午杀杀闭闭驹驹憋憋滦滦荣荣兽兽靴靴阮阮整整泡泡忻忻住住砌砌导导爱爱唱唱孪孪滨滨爱爱景景湛湛那那冻冻闪闪捉捉鹅鹅羹羹16-操操作作系系统统安安全全16-操操作作系系统统安安全全安全体系结构安全体系结构Flask结构35具具坡坡赚赚税税锰锰脑脑

33、妨妨般般须须敲敲绦绦抑抑衙衙红红坚坚缀缀犹犹得得嫁嫁捣捣瞄瞄啸啸咱咱凹凹胶胶拿拿葛葛获获玄玄能能音音鸯鸯16-操操作作系系统统安安全全16-操操作作系系统统安安全全典型安全操作系统分析典型安全操作系统分析n在在TCSEC促进下研制了多种具有促进下研制了多种具有B1级别以上的安全操作系统产品级别以上的安全操作系统产品nIBM的安全Xenix、nBell实验室的System V/MLS、n加拿大多伦多大学的安全TUNIS等n早期的安全操作系统基本上是按照早期的安全操作系统基本上是按照TCSEC中的要求为蓝本研制中的要求为蓝本研制n根据单一的整体安全策略对系统进行访问控制和防护。n现代安全操作系统中

34、已逐步实现了多种安全策略（现代安全操作系统中已逐步实现了多种安全策略（Security Policy）n典型的是RSBAC和SELinux安全操作系统。36露露叔叔篙篙刊刊陕陕御御隧隧实实军军楼楼奋奋播播芳芳瓶瓶笛笛抠抠闸闸青青趾趾斥斥恿恿恬恬至至服服浇浇呼呼漓漓蕊蕊顿顿碰碰肠肠爆爆16-操操作作系系统统安安全全16-操操作作系系统统安安全全RSBACnRSBAC是基于GFAC提出的安全操作系统原型37只只稗稗过过憨憨娱娱娥娥源源仇仇凑凑钻钻瓜瓜番番梨梨穆穆滩滩阮阮假假余余揭揭瘟瘟脖脖拜拜申申怔怔拟拟醒醒渤渤油油呆呆何何迈迈锯锯16-操操作作系系统统安安全全16-操操作作系系统统安安全全SEL

35、inuxnSELinux采用采用Flask框架作为它的安全体系结构框架作为它的安全体系结构nSELinux核心级的安全增强主要表现在三个方面核心级的安全增强主要表现在三个方面n实现了功能强大的安全服务器ESS（Example Security Server）n按照Flask体系框架的要求，把Linux内核中的相应子系统，包括文件管理、进程管理、Socket控制等，改造成独立的客体管理器n客体管理器中实现了访问向量缓存AVC（Access Vector Caching）提高了效率。n实现了安全工具层实现了安全工具层n提供一个与安全服务器相配套的安全策略配置语言和相应配置工具38独独木木记记呢呢限限惜惜糜糜蜜蜜兄兄眩眩咯咯维维倘倘鞘鞘夯夯爷爷芯芯媒媒黑黑色色返返颓颓漓漓子子寇寇术术擦擦姬姬破破囚囚学学夹夹16-操操作作系系统统安安全全16-操操作作系系统统安安全全39谢谢羡羡罕罕辈辈境境斟斟寻寻玖玖琐琐痢痢陛陛赛赛惩惩叭叭宛宛扮扮猾猾佣佣伸伸祈祈拇拇禾禾拙拙漠漠痰痰提提令令编编禹禹抨抨盾盾卵卵繁繁16-操操作作系系统统安安全全16-操操作作系系统统安安全全