OS11第10章联网与安全的原理.pptVIP

针对信息安全保障，英法德荷四国提出了评价满足必威体育官网网址性、完整性、可用性要求的信息技术安全评价准则（ITSEC）后，美国又联合这四国和加拿大，并会同国际标准化组织共同提出信息技术安全评价的通用准则（CC for ITSEC），CC已被采纳为国际标准ISO 15408。 2．安全操作系统的开发 安全操作系统的形成方式： 安全设计方式 从系统开始设计时就充分考虑到系统的安全性。 安全增强方式 基于一个通用的操作系统，专门进行安全性改进或增强。 安全操作系统的设计原则包括最小权限，机制的经济性，开放式设计，完整的策划，权限分离，最少通用机制。 安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全性评测。 本章小结 本章介绍了网络操作系统的功能、类型和组成，所提供的基于共享变量的和基于消息传递的通信方式，数据和文件等网络资源的共享。 还介绍了操作系统的安全策略、安全模型，操作系统可能提供的保护级，身份认证、访问控制、程序防御、数据加密和事件审核等安全机制，安全操作系统，计算机系统安全评估的第一个正式标准TCSEC，安全操作系统的设计原则。 权限可改变的共享：扩展了访问控制的概念，允许动态改变对共享对象的访问权限。 限制使用方式：这种形式的保护不仅限制了对对象的访问，而且还限制对被访问对象的使用方式。 上述各级别的保护能力按排列顺序递增，实现难度也大致按此顺序递增。 10.2.2 安全策略和安全模型 安全策略指有关管理、保护和发布敏感信息的法律、规定和实施细则。 安全策略由一整套严密的规则组成，这些规则是决定安全控制的基础。说一个操作系统是安全的，指它满足某一确定的安全策略。 设计和开发安全操作系统时，也要根据一个确定的安全策略进行。 许多操作系统的安全控制遭到失败，主要原因就是没有明确的安全策略。 安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，是体现安全策略和其实现机制间关系的框架。 安全模型的主要功能是精确描述系统的安全策略，是对系统的安全需求，以及如何设计和实现安全控制的一个清晰、全面的理解和描述。 安全模型描述了用何种机制满足安全策略，而模型的实现则描述了如何在系统中应用特定的机制，从而实现安全策略表达的安全需求。 要开发安全系统首先必须建立系统的安全模型。安全模型给出了安全系统的形式化定义，并且正确地综合了系统的使用方式、使用环境类型、授权的定义、共享的系统资源、共享的类型和受控共享思想等各类因素，构成安全系统的形式化抽象描述，使得系统可以被证明是完整、反映真实环境的，逻辑上能够实现且受控执行的。 对于需要保护用户资源的计算机系统，资源共享和资源保护是它的两个重要特征，操作系统需要在资源共享和资源保护之间作出平衡，以有利于扩展计算机系统的用途。 一个具体的操作系统，可能对不同的用户和对象提供不同程度的保护。 10.2.3 安全机制 安全机制的主要功能是实现安全策略描述的安全需求，关注的是如何实现系统的安全性，主要包括身份认证、访问控制、程序防御、数据加密、事件审核、备份和恢复。 1．身份认证 身份认证一般涉及两个方面的内容：身份识别和身份验证。 身份认证通常有三类：对被识别者知识的验证，对被识别者所持有物品的验证，对被识别者自身固有特征的验证。这里讨论最常用的用户身份认证机制——密码。 1) 密码的重要性 密码的作用是认证ID，通过认证的ID才能在进入系统后使用赋予的权限和向其他用户授权。 2) 保护密码文件 典型情况下，系统必须维护一个密码文件，其中记录着每个授权用户的密码。保护密码文件的常用方法有两种： 单向加密 系统存储的是加密形式的用户密码。当用户登录时，系统对输入的密码加密并与存储的值作比照。 控制访问。控制对密码文件的访问，只允许非常少的账户可以访问。 操作系统还必须阻止其他窃取密码的行为，如使用特洛伊木马、窃听远程用户和主机系统之间的线路等，这些将在后面讨论。 3) 密码生效前检测 除了窃取，非法获得密码的另一常用办法是猜测。 不少系统采用了密码生效前检测的策略，常用两种方法： 一种是规定密码最少为8个字符，且其中必须包含大写、小写、数字和标点； 另一种是系统建有一个“差”密码字典并据此检测，只有不在该字典中的用户密码才能生效。 2．访问控制 成功登录的用户只应访问允许他访问的资源。 所谓访问控制就是对用户访问资源进行控制，涉及三个基本要素： 1) 客体(object)：被访问的实体，也称对象，如文件、文件的某部分、程序、设备和存储区域等。 2) 主体(subject)：能够访问客体的实体，一般指进程，因为用户对客体的访问实际上是通过一个代表它的进程进行的。 3) 访问权(access authority)：主体访问客体的方式，如读、写、执行和删除等。