操作系统安全).pptVIP

● TCB安全功能（TCB security function，TSF）: 正确实施TCB安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个安全功能模块。一个TCB的所有安全功能模块共同组成该TCB的安全功能。在跨网络的TCB中，一个安全策略的安全功能模块，可能会在网络环境下实现。 ● 可信计算机系统（trusted computer system）: 一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。 ● 操作系统安全（operating system security）: 操作系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。 ● 操作系统的安全性（security of operating system）: 操作系统具有或应具有的安全功能，比如存储保护、运行保护、标识与鉴别、安全审计等。 ● 安全操作系统（secure operating system）: 能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的形成方式而言，一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统，专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全性评测。 ● 多级安全操作系统（multilevel secure operating system）: 实现了多级安全策略的安全操作系统，比如符合美国橘皮书（TCSEC）B1级以上的安全操作系统。 漏洞：软件或硬件设计的缺陷，或者导致能避过系统的安全措施的错误。 安全状态：在未授权情况下，不会出现主题访问课题的情况。 安全过滤器：对传输的数据强制执行安全策略的可信子系统。 脆弱性：导致破坏系统安全策略的系统安全规则、系统设计、实现、内部控制等方面的弱点。 （1）安全功能与安全保证 OS安全功能：OS所实现的安全策略和安全机制 安全保证：通过一定的方法保证OS所提供的安全功能实现的一系列规则、方法等。 安全OS ? 安全需求 ? 安全保护等级 ? 安全功能 ? 安全保证 （2）可信软件和不可信软件 软件可分3大可信类别： 1.5操作系统安全的基本概念 可信的：软件保证能安全运行，但系统的安全依赖对软件的操作无误。 良性的：软件并不确保安全运行，但由于使用特权或对敏感信息的访问权，必须确信不会有意违反规则。 恶意的：软件来历不明，从安全角度上看，该软件必须被视为恶意的，对系统有破坏性。 安全OS内的可信软件是指，由可信人员严格依照标准开发的，并通过先进的软件工程技术证明的 软件。 可信软件只是与安全相关，其位于安全周界内，其软件故障对系统安全不会造成不利影响。良性软件与安全无关，位于安全周界外，其运行不会破坏系统的安全。 （3）主体与客体 （4）安全策略与安全模型 安全策略：相关管理、保护和发布敏感信息的 法律、规则和实施细则。 安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略以及安全策略实现机制提供框架。 （5）参照监视器 （6）安全内核 安全内核是指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制等。这是建立安全OS最常见的方法（以设计和开发的规则为基础，能够提高用户对系统安全控制的信任度） （7）可信计算基 由软件、硬件和安全管理人员等组成的系统可信计算基（TCB) 其组成为： OS的安全内核 具有特权的程序和命令 处理敏感信息的程序，如系统管理命令等 与TCB实施安全策略有关的文件 其他相关的硬件、固件和设备 负责系统管理的人员 保障固件和硬件正确的程序和诊断软件 可信计算基的软件部分是安全OS的核心内容，其完成的工作为：内核的良好定义和安全 运行方式；标识系统的用户；保持用户到TCB登录的可信路径；实施访问控制；维持TCB的正确性和审计 1. 安全性与操作系统之间的关系是怎样的？ 2. 从操作系统安全的角度，如何理解计算机恶意代码、病毒、逻辑炸弹、天窗、特洛伊木马之间的关系？ 3. 从操作系统面临的安全威胁看，应用程序与操作系统安全之间的关系如何？ 4. 简述操作系统安全和信息系统安全之间的关系。 5. 简述安全操作系统研究的主要发展过程。 6. Linux自由软件的广泛流行为什么会对我国安全操作系统的研究与开发具有积极的推进作用？ 7. 操作系统安全的国际标准主要有哪些？我国发布了哪些主要的操作系统安全标准？ 习题 单击此处编辑母版标题样式 单击此处编辑母版副标题样式 操作系统安全 第1章 引言 1.1 操作系统面临的安全威胁 1.2 操作系统安全和信息系统安全 1.3