开发一个安全的操作可分为如下四个阶段:建立安 全模型、进行系统设计、可信度检查和系统实现。 单 实现安全操作系统设计的方法有两种:一种是专门 针对安全性面设计的操作系统;另一种是将安全特性 加入到期目前的操作系统中 6.2.1操作系统的安全模型 安全模型是用来描述计算机系统和用户的安全 特性的,是对计算机系统安全的一种抽象描述。 1.单层模型 单层模型:是一种二元敏感性安全模型,用户对 实体的存取策略简单地设置为"允许"或者"禁止"(" 是"与"非")
❖ 开发一个安全的操作可分为如下四个阶段:建立安 全模型、进行系统设计、可信度检查和系统实现。 ❖ 实现安全操作系统设计的方法有两种:一种是专门 针对安全性面设计的操作系统;另一种是将安全特性 加入到期目前的操作系统中。 ❖ 安全模型是用来描述计算机系统和用户的安全 特性的,是对计算机系统安全的一种抽象描述。 1.单层模型 单层模型:是一种二元敏感性安全模型,用户对 实体的存取策略简单地设置为"允许"或者"禁止"(" 是"与"非")。 6.2.1 操作系统的安全模型
单层模型模型有一定的局限性,在现代操作系统 的设计中使用了多级安金模型,信息流模型在其 padula 和Biba模型。 2.多层网格模型 多层网格模型是突破了二元敏感性,为用户和被 保护实体设置了更多的敏感层次,这样这种模型可 适用于在不同敏感层次上处理信息的系统的需求, 其元素形成一种网格数学结构,基于军用安全和保 密信息级别的处理。 多层网格安全模型,其元素形成一种网格数学结 构,网格是一个其元素在关系运算符操作下的数学 结构,元素按半定序≤次序排列,具有传递性和非对 称性,即,对任意元素a,b,c有如下特性:
❖ 单层模型模型有一定的局限性,在现代操作系统 的设计中,使用了多级安全模型,信息流模型在其 中得到了深入的应用。如著名的Bell-LaPadula模型 和Biba模型。 2. 多层网格模型 多层网格模型是突破了二元敏感性,为用户和被 保护实体设置了更多的敏感层次,这样这种模型可 适用于在不同敏感层次上处理信息的系统的需求, 其元素形成一种网格数学结构,基于军用安全和保 密信息级别的处理。 多层网格安全模型,其元素形成一种网格数学结 构,网格是一个其元素在关系运算符操作下的数学 结构,元素按半定序≤次序排列,具有传递性和非对 称性,即,对任意元素a,b,c有如下特性:
传递性:若a≤b且bc,则a≤c 非对称性:若a≤b且ba,则a=b 若引入符号O代表实体,S代表主体,≤代表敏 感实体与主体的关系,我们有: OS当且仅当密级O≤密级S并且隔离组O≤隔 离组S 关系≤限制了敏感性及主体能够存取的信息内容, 只有当主体的许可证级别至少与该信息的级别一样 高、且主体必须知道信息分类的所有隔离组时才能 够存取
若引入符号 O 代表实体,S 代表主体,≤代表敏 感实体与主体的关系,我们有: O≤S 当且仅当 密级O≤密级S 并且 隔离组O≤隔 离组S 关系≤限制了敏感性及主体能够存取的信息内容, 只有当主体的许可证级别至少与该信息的级别一样 高、且主体必须知道信息分类的所有隔离组时才能 够存取。 ❖传递性: 若a≤b且b≤c,则a≤c ❖非对称性:若a≤b且b≤a,则a=b
62操作系统安全性的设计方法及原则单 操作系统的设计是异常复杂的,它要处理多任 务、各种中断事件、并对低层的文件进行操作,又 要求尽可能少的系统开销,为用户提供高响应速度 若在操作系统再考虑安全的因素,更增加了操作系 统的设计难度。 1通用操作系统中的安全特性 在通用操作系统中,除了实现基本的内存保护、文 件保护、存取控制和用户身分鉴别外,还需考虑诸 如共享约束、公平服务、通信与同步等等
操作系统的设计是异常复杂的,它要处理多任 务、各种中断事件、并对低层的文件进行操作,又 要求尽可能少的系统开销,为用户提供高响应速度。 若在操作系统再考虑安全的因素,更增加了操作系 统的设计难度。 1.通用操作系统中的安全特性 在通用操作系统中,除了实现基本的内存保护、文 件保护、存取控制和用户身分鉴别外,还需考虑诸 如共享约束、公平服务、通信与同步等等。 6.2.2 操作系统安全性的设计方法及原则
通用操作系统的设计原则: 小最小权限:每个用户和程序使用尽可能少的权限 工作。这样,可将由入侵或者恶意攻击所造成的损 失降至最低。 最少通用:可共享实体提供了信息流的潜在通道, 要防止共享威胁,可采取物理或逻辑分离方法。 安全机制的经济性:保护系统设计应小型化、简 单明确、易于使用,使用户愿意使用并且能够被完 全测试、验证并可信。 开放式设计:保护机制必须独立设计而且具有开 放性,仅依赖极少数关键内容,能防止所有潜在攻 击。 安全策略的完整性:每个存取必须被检查,并标记 许可条件
❖最小权限:每个用户和程序使用尽可能少的权限 工作。这样,可将由入侵或者恶意攻击所造成的损 失降至最低。 ❖最少通用:可共享实体提供了信息流的潜在通道, 要防止共享威胁,可采取物理或逻辑分离方法。 ❖安全机制的经济性:保护系统设计应小型化、简 单明确、易于使用,使用户愿意使用并且能够被完 全测试、验证并可信。 ❖开放式设计:保护机制必须独立设计而且具有开 放性,仅依赖极少数关键内容,能防止所有潜在攻 击。 ❖安全策略的完整性: 每个存取必须被检查,并标记 许可条件。 ❖通用操作系统的设计原则: