第八章 操作系统安全模型
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
引言
?计算机病毒的不断产生和传播,计算机
网络被不断非法入侵
?保证操作系统安全是保证计算机系统安
全的重要基础
?国外从 20世纪 70年代起就开展了建立安
全保密准则的工作
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
安全操作系统
?操作系统安全等级
?安全操作系统的基本特征
?访问控制模型
?安全操作系统的设计
操作系统安全等级
? D类
? C类( C1,C2)
? B类( B1,B2,B3)
? A类( A1,A2)
D类
?最普通的形式是本地操作系统
?完全没有保护的网络
?例如早期的 DOS
C类
? C1
可信任运算基础体制,例如早期的 Unix
? C2
比 C1系统加强了可调的审慎控制,例如
Windows NT和 Unix
B类
? B1
– 系统使用灵敏度标记作为所有强迫访问控制
的基础
? B2
– 管理员必须使用一个明确的、文档化的安全
策略模式作为系统的可信任运算基础体制
? B3
– 具有很强的监视委托管理访问能力和抗干扰
能力
A类
? A1
– 系统的设计者必须按照一个正式的设计规范
来分析系统。
– 对系统分析后,设计者必须运用核对技术来
确保系统符合设计规范概念模型
– 概念模型
? A2
– A1级别以外的系统
安全操作系统
?操作系统安全等级
?安全操作系统的基本特征
?访问控制模型
?安全操作系统的设计
安全操作系统的基本特征
?最小特权原则
?自主访问控制和强制访问控制
?安全审计功能
?安全域隔离功能
访问控制模型
?自主访问控制
?强制访问控制
安全操作系统的设计
?以信息的访问权为中心
?分层式的
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
操作系统安全保护
?内存保护
– 软硬件共同作用使多道程序间互不干扰
?文件保护
– 通过存取控制机制来防止人为因素所造成的
文件不安全性
– 通过系统容错技术来防止系统部分故障所造
成的文件不安全性;
– 通过“后备系统”来防止由自然因素所造成
的不安全性
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
安全操作系统的确认
? 1983年,美国国防部,可信计算机系统
评价标准( TCSEC)
? 1993年,加拿大,加拿大可信计算机产
品评价准则( CTCPEC)
? 1993年 6月,起草通用准则( CC)
? 1996年,发布通用准则( CC)
安全操作系统的确认
? 安全操作系统的评价方法
– 形式化验证
– 要求检查
– 设计与代码检查
– 模块化与系统测试
– 攻击试验
– 安全操作系统还有以下要求
? 安全政策
? 识别
? 标记
? 可检查性
? 保障措施
? 连续保护
作业
?在 linux或 windows开后门
? B1级操作系统的内存管理,基于 linux操
作系统(或者 minux),修改原有操作系
统的存储管理,使得符合 B1安全等级,
强制存取控制,安全标记数据,对数据
流监视,内存管理到页面 /段一级
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
引言
?计算机病毒的不断产生和传播,计算机
网络被不断非法入侵
?保证操作系统安全是保证计算机系统安
全的重要基础
?国外从 20世纪 70年代起就开展了建立安
全保密准则的工作
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
安全操作系统
?操作系统安全等级
?安全操作系统的基本特征
?访问控制模型
?安全操作系统的设计
操作系统安全等级
? D类
? C类( C1,C2)
? B类( B1,B2,B3)
? A类( A1,A2)
D类
?最普通的形式是本地操作系统
?完全没有保护的网络
?例如早期的 DOS
C类
? C1
可信任运算基础体制,例如早期的 Unix
? C2
比 C1系统加强了可调的审慎控制,例如
Windows NT和 Unix
B类
? B1
– 系统使用灵敏度标记作为所有强迫访问控制
的基础
? B2
– 管理员必须使用一个明确的、文档化的安全
策略模式作为系统的可信任运算基础体制
? B3
– 具有很强的监视委托管理访问能力和抗干扰
能力
A类
? A1
– 系统的设计者必须按照一个正式的设计规范
来分析系统。
– 对系统分析后,设计者必须运用核对技术来
确保系统符合设计规范概念模型
– 概念模型
? A2
– A1级别以外的系统
安全操作系统
?操作系统安全等级
?安全操作系统的基本特征
?访问控制模型
?安全操作系统的设计
安全操作系统的基本特征
?最小特权原则
?自主访问控制和强制访问控制
?安全审计功能
?安全域隔离功能
访问控制模型
?自主访问控制
?强制访问控制
安全操作系统的设计
?以信息的访问权为中心
?分层式的
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
操作系统安全保护
?内存保护
– 软硬件共同作用使多道程序间互不干扰
?文件保护
– 通过存取控制机制来防止人为因素所造成的
文件不安全性
– 通过系统容错技术来防止系统部分故障所造
成的文件不安全性;
– 通过“后备系统”来防止由自然因素所造成
的不安全性
操作系统安全模型
?引言
?安全操作系统
?操作系统安全保护
?安全操作系统的确认
安全操作系统的确认
? 1983年,美国国防部,可信计算机系统
评价标准( TCSEC)
? 1993年,加拿大,加拿大可信计算机产
品评价准则( CTCPEC)
? 1993年 6月,起草通用准则( CC)
? 1996年,发布通用准则( CC)
安全操作系统的确认
? 安全操作系统的评价方法
– 形式化验证
– 要求检查
– 设计与代码检查
– 模块化与系统测试
– 攻击试验
– 安全操作系统还有以下要求
? 安全政策
? 识别
? 标记
? 可检查性
? 保障措施
? 连续保护
作业
?在 linux或 windows开后门
? B1级操作系统的内存管理,基于 linux操
作系统(或者 minux),修改原有操作系
统的存储管理,使得符合 B1安全等级,
强制存取控制,安全标记数据,对数据
流监视,内存管理到页面 /段一级
