操作系統(tǒng)安全_第2章_操作系統(tǒng)安全理論基礎(chǔ)概述

1、第二章 操作系統(tǒng)安全理論基礎(chǔ)概述第2章 操作系統(tǒng)安全理論基礎(chǔ)概述2.1 操作系統(tǒng)安全機(jī)制2.2 操作系統(tǒng)安全模型2.3 安全體系結(jié)構(gòu)2.1 操作系統(tǒng)安全機(jī)制2.1.1 標(biāo)識與鑒別機(jī)制2.1.2 訪問控制2.1.3 最小特權(quán)管理2.1.4 可信通路2.1.5 安全審計機(jī)制2.1.6 存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)2.1 操作系統(tǒng)安全機(jī)制o 概述n 什么是操作系統(tǒng)？n 操作系統(tǒng)的基本功能有哪些？2.1 操作系統(tǒng)安全機(jī)制o 操作系統(tǒng)安全的主要目標(biāo)：n 按系統(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶對計算機(jī)資源的非法訪問（包括竊取、篡改和破壞）n 標(biāo)識系統(tǒng)中的用戶，并對身份進(jìn)行鑒別n 監(jiān)督系統(tǒng)運(yùn)行的

2、安全性 n 保證系統(tǒng)自身的安全性和完整性o 安全機(jī)制定義：n 根據(jù)國際標(biāo)準(zhǔn)化組織（ISO）定義，安全機(jī)制安全機(jī)制是一種技術(shù)技術(shù)、一些軟件軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程。o 安全機(jī)制分類：n 特殊安全機(jī)制：在同一時間只對一種安全服務(wù)上實時一種技術(shù)活軟件（如：加密）n 普通安全機(jī)制：在同時實施一個或多個安全服務(wù)時的執(zhí)行過程n 普通安全機(jī)制分類：o 信任的功能性：指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過程o 事件檢測：檢查和報告本地或 遠(yuǎn)程發(fā)生的事件o 審計跟蹤：任何機(jī)制都允許監(jiān)視和記錄與安全有關(guān)的活動o 安全恢復(fù)：對一些事件作出反應(yīng)，包括對于已知漏洞創(chuàng)建短期和長期的解決方案和對危害系統(tǒng)的修復(fù)2.1.1 標(biāo)識

3、與鑒別機(jī)制o 標(biāo)識標(biāo)識：用戶要向系統(tǒng)表明的身份n 用戶名、登陸ID、身份證號或智能卡n 具有唯一性n 不能被偽造o 鑒別鑒別：對用戶所宣稱的身份標(biāo)識的有效性進(jìn)行檢驗和測試的過程2.1.1 標(biāo)識與鑒別機(jī)制o 驗證用戶身份的四種方法：n 口令、秘鑰n 智能卡、令牌卡n 指紋、聲音、視網(wǎng)膜、簽字等n 簽名、鍵入密碼的速度與力量、語速等等2.1.2 訪問控制o 訪問控制用來提供授權(quán)授權(quán)o 用戶在通過身份鑒別后，還需要通過授權(quán)才能訪問資源或進(jìn)行操作o 訪問控制的目的目的： 保護(hù)存儲在計算機(jī)上的個人信息 保護(hù)重要信息的機(jī)密性 維護(hù)計算機(jī)內(nèi)信息的完整性 減少病毒感染機(jī)會，從而延緩這種感染的傳播 保證系統(tǒng)的安

4、全性和有效性，以免受到偶然的和蓄意的侵犯2.1.2 訪問控制o 訪問控制的實行 確定要保護(hù)的資源 授權(quán) 確定訪問權(quán)限 實施訪問權(quán)限o 概括的說，就是首先識別與確認(rèn)訪問系統(tǒng)的用戶，然后決定該用戶對某一系統(tǒng)資源可以進(jìn)行何種類型的訪問（讀、寫、刪、改、運(yùn)行等）2.1.2 訪問控制o 訪問控制機(jī)制分類n 自主訪問控制（DAC）n 強(qiáng)制訪問控制（MAC）n 基于角色的訪問控制（RBAC）2.1.2 訪問控制1. 自主訪問控制（DAC）n 有訪問許可權(quán)限的主體能夠直接或間接地向其他主體轉(zhuǎn)讓訪問權(quán)。n 訪問控制矩陣的保存o 基于行的自主訪問控制機(jī)制o 基于列的自主訪問控制機(jī)制2.1.2 訪問控制2. 強(qiáng)制訪

5、問控制（DAC）n “強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從訪問控制政策n 強(qiáng)制訪問控制一般與自主訪問控制結(jié)合使用，并且實施一些附加的、更強(qiáng)的訪問控制。n 一般強(qiáng)制訪問控制采用以下幾種方法：o 限制訪問控制o 過程控制o 系統(tǒng)限制2.1.2 訪問控制3. 基于角色的訪問控制n 20世紀(jì)90年代由美國國家標(biāo)準(zhǔn)和技術(shù)研究院NIST提供的一種訪問控制機(jī)制。該機(jī)制可以減少授權(quán)管理的復(fù)雜性、降低管理開銷。n 基于角色的訪問控制本質(zhì)上是強(qiáng)制訪問控制的一種，只不過訪問控制是基于工作的描述，而不是主體的身份。系統(tǒng)通過主體的角色或任務(wù)定義主體訪問客體的能力，如果主體處于管理位置，那么它將比處于臨時位置上的人具有

6、更大的資源訪問能力。n RBAC的基本思想是授權(quán)給用戶的訪問權(quán)限，通常由用戶擔(dān)當(dāng)?shù)慕巧_定。2.1.2 訪問控制o 基于角色的訪問控制特征 訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限 角色繼承 最小權(quán)限原則 職責(zé)分離 角色容量2.1.3 最小特權(quán)管理o 所謂最小特權(quán)，指的是在完成某種操作時賦予系統(tǒng)中每個主體（用戶或進(jìn)程）必不可少的特權(quán)。o 其原則是應(yīng)限定系統(tǒng)中每個主體所必須的最小特權(quán)，確保可能的事故、錯誤、網(wǎng)絡(luò)部件的竄改等原因造成的損失最小。o 最小特權(quán)的思想是系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。o 有效的限制、分割了用戶對數(shù)據(jù)資料進(jìn)行訪問時的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)

7、及數(shù)據(jù)帶來的損失，對于系統(tǒng)安全具有至關(guān)重要的作用。七種操作系統(tǒng)特權(quán)機(jī)制的歸納比較操作系統(tǒng)特權(quán)機(jī)制類型進(jìn)程特權(quán)與程序邏輯關(guān)系是否存在超級用戶對最小特權(quán)原則支持程度傳統(tǒng)UNIX基于UID的特權(quán)機(jī)制無是差OpenServer 5基于UID的特權(quán)機(jī)制無是差UnixWare 7基于文件的特權(quán)機(jī)制有，但受超級用戶機(jī)制影響是有限度支持Linux基于UID的特權(quán)機(jī)制無是差windows基于UID的特權(quán)機(jī)制無無，但在默認(rèn)設(shè)置系統(tǒng)管理員為變相的超級用戶差Trusted Xenix混合類型部分特權(quán)有無，但存在訪問關(guān)鍵文件的特權(quán)用戶有限度支持LIDS混合類型有，但不是強(qiáng)制要求，但對被禁止權(quán)能起作用是有限度支持注：混合

8、類型是指同時具有基于UID的特權(quán)機(jī)制和基于文件的特權(quán)機(jī)制的特點表 2-1操作系統(tǒng)特權(quán)機(jī)制的比較 2.1.4 可信通路o 可信通路是用戶能夠借以直接同可信計算機(jī)通信的一種機(jī)制。o 保證用戶確定是和安全核心通信，防止不可信進(jìn)程如特洛伊木馬等模擬系統(tǒng)的登陸過程而竊取用戶的口令。o 提供可信通路的最簡單的辦法是為每個用戶提供兩臺終端，一臺用于處理日常工作，另一臺專門用于實現(xiàn)與安全內(nèi)核的硬連接及專職執(zhí)行安全敏感操作。這種辦法雖然簡單，但是十分昂貴。2.1.5 安全審計機(jī)制o 審計機(jī)制一般通過對日志的分析來完成。o 審計就是對日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息。o 系統(tǒng)的安全審計就是對系統(tǒng)

9、中有關(guān)安全的活動進(jìn)行記錄、檢查及審核。o 審計通過事后分析的方法認(rèn)定違反安全規(guī)則的行為，從而保證系統(tǒng)的安全。o 安全操作安全審計事件分類n 使用系統(tǒng)的事件：系統(tǒng)外部事件，即準(zhǔn)備進(jìn)入系統(tǒng)的用戶產(chǎn)生的事件n 注冊事件：系統(tǒng)內(nèi)部事件n 利用隱蔽通道的事件：系統(tǒng)內(nèi)部事件o 審計機(jī)制的主要作用 能夠詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，并對這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全。 能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點、過程以及對應(yīng)的主體。 對于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評估和系統(tǒng)恢復(fù)。o 審計機(jī)制的目標(biāo)n 可以對受損的系統(tǒng)提供信息幫助以進(jìn)行損失評估和系

10、統(tǒng)恢復(fù)。n 可以詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，從而對這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素。2.1.6 存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)o 存儲保護(hù)o 運(yùn)行保護(hù)o I/O保護(hù)1.存儲保護(hù)n 存儲保護(hù)：主要是指保護(hù)用在存儲器中的數(shù)據(jù)n 每一個進(jìn)程都有一個“私有的”地址描述符，進(jìn)程對系統(tǒng)內(nèi)存某頁或某段的訪問模式都在該描述符中說明。n 在地址描述符中w、r、x各占一位，它們用來指明是否允許進(jìn)程對內(nèi)存的某頁或某段進(jìn)行寫、讀和運(yùn)行的訪問操作。2.運(yùn)行保護(hù)n 安全操作系統(tǒng)的運(yùn)行保護(hù)是基于一種保護(hù)環(huán)的等級結(jié)構(gòu)實現(xiàn)的n 在內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，在最外層具有最大環(huán)號的環(huán)是最小特權(quán)環(huán)n 等級域機(jī)制應(yīng)該

11、保護(hù)某一換不被其外層環(huán)侵入，并且允許在同一環(huán)內(nèi)的進(jìn)程能夠有效地控制和利用該環(huán)以及該環(huán)以外的環(huán)圖2.1 環(huán)結(jié)構(gòu)示意圖R4：受限用戶R3：用戶程序R2：系統(tǒng)應(yīng)用程序R1：操作系統(tǒng)R0：內(nèi)核3.I/O保護(hù)n 對I/O操作進(jìn)行安全控制的方式是將設(shè)備看成一個客體，對其應(yīng)用相應(yīng)的訪問控制規(guī)則n 設(shè)備到介質(zhì)間的路徑可以不受什么約束，而處理器到設(shè)備間的路徑則需要施以一定的讀寫訪問控制2.2 操作系統(tǒng)安全模型o 安全模型是設(shè)計和實現(xiàn)安全操作系統(tǒng)的基礎(chǔ)，安全模型有兩種表述方式，一種表達(dá)方式從安全模型的組成出發(fā)，認(rèn)為安全模型是安全策略形式化的表述，是安全策略所管理的實體和構(gòu)成策略的規(guī)則。另一種從系統(tǒng)的安全需求出發(fā)，

12、認(rèn)為安全模型是被用來描述系統(tǒng)的保密性、可用性和完整性等需求的任何形式化的表述。 2.2 操作系統(tǒng)安全模型oJ.P.Anderson指出，要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型。安全模型給出安全系統(tǒng)的形式化定義，正確地綜合系統(tǒng)的各類因素。這些因素包括：系統(tǒng)的使用方式、使用環(huán)境類型、授權(quán)的定義、共享的客體（系統(tǒng)資源）、共享的類型和受控共享思想等。這些因素應(yīng)構(gòu)成安全系統(tǒng)的形式化抽象描述，使得系統(tǒng)可以被證明是完整的、反映真實環(huán)境的、邏輯上能夠?qū)崿F(xiàn)程序的受控執(zhí)行的。完成安全系統(tǒng)的建模之后，再進(jìn)行安全核的設(shè)計與實現(xiàn)。o構(gòu)造一個形式化的安全模型并證明其正確，并將之用于一個系統(tǒng)的設(shè)計當(dāng)中，可以使得一個系統(tǒng)

13、的安全性得到最大限度的保證。隨著對計算機(jī)安全研究的重視，出現(xiàn)了豐富多采的安全模型。對一些典型的安全模型進(jìn)行分析研究，從中得到在實際當(dāng)中進(jìn)行安全性設(shè)計的啟發(fā)。并適當(dāng)應(yīng)用于系統(tǒng)的安全性設(shè)計，可以使系統(tǒng)的安全結(jié)構(gòu)清晰，最大限度地避免安全“盲點”。2.2 操作系統(tǒng)安全模型o 安全策略用來描述用戶對系統(tǒng)安全的要求。一般來說，用戶對信息系統(tǒng)的安全需求基于以下幾個方面：n機(jī)密性要求（confidentiality）：防止信息泄露給未授權(quán)的用戶；n完整性要求（integrity）：防止未授權(quán)用戶對信息的修改；n可記賬性（accountability）：防止用戶對訪問過某信息或執(zhí)行過某一操作進(jìn)行否認(rèn)； n可用性

14、（availability）：保證授權(quán)用戶對系統(tǒng)信息的可訪問性。2.2 操作系統(tǒng)安全模型o 狀態(tài)機(jī)模型n用狀態(tài)機(jī)語言將安全系統(tǒng)描述成抽象的狀態(tài)機(jī)，用狀態(tài)變量表示系統(tǒng)的狀態(tài)，用轉(zhuǎn)換規(guī)則描述變量變化的過程。狀態(tài)機(jī)模型用于描述其他系統(tǒng)早就存在，但用于描述通用操作系統(tǒng)的所有狀態(tài)變量幾乎是不可能的。狀態(tài)機(jī)安全模型通常只能描述安全操作系統(tǒng)中若干與安全相關(guān)的主要狀態(tài)變量。n相當(dāng)多的安全模型其實質(zhì)都是狀態(tài)機(jī)模型。它將系統(tǒng)描述成一個抽象的數(shù)學(xué)狀態(tài)機(jī)，其中狀態(tài)變量（state variables）表征機(jī)器狀態(tài)，轉(zhuǎn)移函數(shù)（transition functions）描述狀態(tài)變量如何變化。 2.2 操作系統(tǒng)安全模型o

15、狀態(tài)機(jī)模型n狀態(tài)機(jī)模型的兩個基本特征是狀態(tài)和狀態(tài)轉(zhuǎn)移函數(shù)，它的數(shù)學(xué)原理是這樣的：o 安全的初始狀態(tài)；o 安全的狀態(tài)轉(zhuǎn)移函數(shù)；o 用歸納法可以證明系統(tǒng)是安全的。n只要該模型的初始狀態(tài)是安全的，并且所有的轉(zhuǎn)移函數(shù)也是安全的（即一個安全狀態(tài)通過狀態(tài)轉(zhuǎn)移函數(shù)只能達(dá)到新的安全狀態(tài)），那么數(shù)學(xué)推理的必然結(jié)果是：系統(tǒng)只要從某個安全狀態(tài)啟動，無論按哪種順序調(diào)用系統(tǒng)功能，系統(tǒng)將總是保持在安全狀態(tài)。2.2 操作系統(tǒng)安全模型o 存取矩陣模型 n存取矩陣模型（Access Matrix Model）是狀態(tài)機(jī)模型的一種。它將系統(tǒng)的安全狀態(tài)表示成一個大的矩形陣列：每個主體擁有一行，每個客體擁有一列，交叉項表示主體對客體的

16、訪問模式。存取矩陣定義了系統(tǒng)的安全狀態(tài)，這些狀態(tài)又被狀態(tài)轉(zhuǎn)移規(guī)則（即上文的狀態(tài)轉(zhuǎn)移函數(shù)）引導(dǎo)到下一個狀態(tài)。這些規(guī)則和存取矩陣構(gòu)成了這種保護(hù)機(jī)制的核心。 n這種模型只限于為系統(tǒng)提供機(jī)制，具體的控制策略則包含在存取矩陣的當(dāng)前狀態(tài)中，使得依之實現(xiàn)一個系統(tǒng)時可實現(xiàn)機(jī)制和策略的很好分離。 2.2 操作系統(tǒng)安全模型o存取矩陣模型 n在實際的計算機(jī)系統(tǒng)中當(dāng)把存取矩陣作為一個二維數(shù)組來實現(xiàn)時，它往往會成為一個稀疏矩陣。于是，實際中對存取矩陣的存放，很自然地采用按行存放或者按列存放。按行存放。每個主體在其屬性數(shù)據(jù)結(jié)構(gòu)中部有若干客體及它對它們各自的存取權(quán)限，這種方法叫能力表（Capability List）法。按

17、列存放，則是在每個客體的屬性數(shù)據(jù)結(jié)構(gòu)中存放著系統(tǒng)中每個主體對該客體的存取權(quán)限，這種方法叫訪問控制表（Access Control List，簡稱ACL）。典型地，系統(tǒng)中每個文件都有一個相應(yīng)的ACL表來控制各個主體對它的存取權(quán)限。比如在UNIXn文件系統(tǒng)中，將用戶分成用戶主、用戶組和其它用戶三類，分別標(biāo)明各類用戶對文件的存取權(quán)限。一般而言，能力表法或ACL法往往將主體對客體的存取權(quán)限交給客體的擁有者去制訂，從而使這兩種方法，尤其ACL法，常常是和自主存取控制策略聯(lián)系在一起。 2.2 操作系統(tǒng)安全模型o BLP模型n Bell和Lapadula在1973年提出BLP模型，然后于1974年至1976

18、年對該模型進(jìn)行了進(jìn)一步的充實和完善。BLP模型是最具有代表性的形式化信息安全模型，它是根據(jù)軍方的安全策略設(shè)計的，用于控制對具有密級劃分的信息的訪問。它所關(guān)注的是信息的保密性，主要用于軍事領(lǐng)域。它是定義多等級安全（MLS）的基礎(chǔ)。 2.2 操作系統(tǒng)安全模型o BLP模型nBLP模型是一個請求驅(qū)動的狀態(tài)機(jī)模型。它在某一狀態(tài)接受請求，然后輸出決定，進(jìn)入下一個狀態(tài)。BLP模型可以歸結(jié)為三方面的內(nèi)容：元素、屬性和規(guī)則。下面分別作簡單介紹。o 主體（Subject，S）：指引起信息流動的訪問發(fā)起者。用戶登錄到系統(tǒng)后，由進(jìn)程代表用戶執(zhí)行具體訪問操作，系統(tǒng)中只有進(jìn)程向客體發(fā)出訪問請求。o 客體（Object，

19、O）：指信息流動中的訪問承受者?？腕w包括文件、目錄、進(jìn)程、設(shè)備、進(jìn)程間通信結(jié)構(gòu)等。2.2 操作系統(tǒng)安全模型o BLP模型o 敏感標(biāo)記：指主體或客體的安全標(biāo)記，是系統(tǒng)進(jìn)行保密性訪問控制的依據(jù)，包括等級分類和非等級類別兩部分。其中，等級分類指主體或客體的密級，由一個整數(shù)代表；非等級類別指主體可以訪問的客體范圍，由一個集合表示。o 權(quán)限：指主體對客體的訪問操作，比如讀、寫、執(zhí)行等。o 屬性：指模型的安全性質(zhì)。o 規(guī)則：描述模型狀態(tài)之間的狀態(tài)轉(zhuǎn)換規(guī)則。2.2 操作系統(tǒng)安全模型o BLP模型n 簡單安全特性（簡單安全特性（ss-特性）特性）：如果（主體，客體，可讀）是當(dāng)前訪問，那么一定有：level(主

20、體)level(客體)n 其中，level表示安全級別。這個特性表示的是主體只能讀取自己的敏感標(biāo)記可以支配其敏感標(biāo)記的客體，也就是不上讀的特性。2.2 操作系統(tǒng)安全模型o BLP模型n星號安全特性（星號安全特性（*-特性）特性）：在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問，那么一定有：o 若方式是a，則：level(客體)current-level(主體)o 若方式是w，則：level(客體)=current-level(主體)o 若方式是r，則：current-level(主體)level(客體)n其中，current-level表示當(dāng)前安全級別。它表示的是主體只能寫敏感標(biāo)記支配自己的敏

21、感標(biāo)記的客體，也就是不下寫的特性。2.2 操作系統(tǒng)安全模型o BLP模型n 自主安全特性（自主安全特性（ds-特性）特性）：如果（主體-i，客體-j，方式-x）是當(dāng)前訪問，那么，方式-x一定在訪問控制矩陣M的元素Mij中。n 與ds-特性處理自主訪問控制相對應(yīng)，ss-特性和*-特性處理的是強(qiáng)制訪問控制。自主訪問控制的權(quán)限由客體的屬主自主確定，強(qiáng)制訪問控制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實施。2.2 操作系統(tǒng)安全模型o BLP模型n 基本安全定理基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss-特性、*-特性和ds-特性的要求，那么，在系統(tǒng)的整個狀態(tài)變化過程中，系統(tǒng)的安全性是不會被破壞

22、的。n BLP模型的主要缺點是由于模型過于抽象，在系統(tǒng)中實施時比較困難。2.2 操作系統(tǒng)安全模型o BLP模型圖2.2 Bell-Lapadula安全模型2.2 操作系統(tǒng)安全模型o Biba模型 n Biba模型是K.J.Biba于1977年提出的，該模型是第一個涉及到計算機(jī)系統(tǒng)中完整性問題的模型。該模型是以完整性級別的有序格為基礎(chǔ)的。它支持的是信息的完整性。Biba模型的基本概念就是不允許低完整性的信息流動到高完整性的對象中，只允許信息流以相反的方向流動。Biba模型提出了5種不同的用于完整性目的的強(qiáng)制訪問控制策略。下面分別介紹。 2.2 操作系統(tǒng)安全模型o Biba模型 n 面向主體的低水

23、標(biāo)策略面向主體的低水標(biāo)策略o 在該策略中，每個主體的完整性級別不是靜態(tài)不變的，而是取決于它前一狀態(tài)的完整性級別。它基于如下規(guī)則：n 主體具有對給定客體的寫權(quán)限，當(dāng)且僅當(dāng)該主體的完整性級別支配該客體的完整性級別；n 主體具有對另一個主體的通信權(quán)限，當(dāng)且僅當(dāng)?shù)谝粋€主體的完整性級別支配第二個主體的完整性級別；n 主體具有對任何客體的讀權(quán)限，并且當(dāng)主體執(zhí)行完讀操作后，主體的完整性級別會降低為執(zhí)行讀操作前主體和客體的完整性級別的最小上界。o 因此，當(dāng)主體對具有較低完整性級別的客體進(jìn)行讀操作后會降低其本身的完整性級別，從而縮小了其可以訪問的客體集。 2.2 操作系統(tǒng)安全模型o Biba模型 n 面向客體的

24、低水標(biāo)策略面向客體的低水標(biāo)策略o 除了改變主體的完整性級別外，面向客體的低水標(biāo)策略還要求被修改客體的完整性級別。它基于如下的規(guī)則：o 主體具有對任何客體的寫操作，并且當(dāng)主體執(zhí)行完寫操作后，客體的完整性級別會降低為執(zhí)行寫操作前主體和客體的完整性級別的最大上界。o 因此，當(dāng)一個具有較高完整性級別的客體被一個具有較低完整性級別的主體進(jìn)行寫操作后，它的完整性級別相應(yīng)會降低，從而導(dǎo)致信息的泄漏，并且一旦客體的完整性級別變低后再也不能恢復(fù)。2.2 操作系統(tǒng)安全模型o Biba模型 n 低水標(biāo)完整性審計策略低水標(biāo)完整性審計策略o 該策略是面向客體的低水標(biāo)策略的變種，在該策略下，客體的完整性級別不會被改變，它

25、基于如下規(guī)則：o 主體對任何完整性級別的客體都具有寫權(quán)限，但是如果該主體的完整性級別小于被操作客體的完整性級別，這個操作會被記錄在審計日志中。o 因此，這種方法并沒有保護(hù)信息的不恰當(dāng)更改，只是通過審計這種手段將該操作記錄了下來，以便于以后的檢查。2.2 操作系統(tǒng)安全模型o Biba模型 n環(huán)策略環(huán)策略o 在該策略下，主體和客體在它們的生命周期中完整性級別是固定不變的，并且只允許對那些完整性級別小于或等于該主體的客體進(jìn)行修改。另外，通過允許讀取任何完整性級別的客體，系統(tǒng)在靈活性方面獲得了很多的提高。它基于如下的規(guī)則：n主體具有對給定客體的寫權(quán)限，當(dāng)且僅當(dāng)該主體的完整性級別支配客體的完整性級別；n

26、一個主體具有對另一個主體的通信權(quán)限，當(dāng)且僅當(dāng)?shù)谝粋€主體的完整性級別被第二個主體的完整性級別所支配；n主體具有對任何客體的讀權(quán)限。o 在這種策略下，信息流任有可能從低完整性級別流向高完整性級別，比如，一個具有高完整性級別的主體讀取一個具有低完整性級別的客體，然后寫具有和它同級別的客體。2.2 操作系統(tǒng)安全模型o Biba模型 n嚴(yán)格完整性策略嚴(yán)格完整性策略o 嚴(yán)格完整性策略是在TCSEC上提出的機(jī)密性策略的數(shù)學(xué)對偶。其強(qiáng)制訪問控制策略基于如下的規(guī)則：n簡單完整性特性（Simple-Integrity Property）：主體S能夠讀客體O，當(dāng)且僅當(dāng)w（s）w（o）；n完整性星號特性（Integr

27、ity*-Property）：主體S能夠?qū)懣腕wO，當(dāng)且僅當(dāng)w（s）w（o）；n調(diào)用特性（Invocation Property）：主體S1能夠調(diào)用（Invoke）主體S2，當(dāng)且僅當(dāng)w（s1）w（s2）。o 這里w表示主體或客體的完整性級別。總的來說，嚴(yán)格完整性策略提供了NRD（No Read Down，不下讀）和NWU（No Wirte Up，不上寫）特性。從這兩個特性來看，Biba與BLP模型的兩個特性是正好相反，BLP模型提供保密性，而Biba模型對于數(shù)據(jù)的完整性提供保障。 2.2 操作系統(tǒng)安全模型o Biba模型 n 依據(jù)Biba安全模型所制定的原則是利用不下讀/不上寫來保證數(shù)據(jù)的完整性

28、。圖2.3 Biba安全模型2.2 操作系統(tǒng)安全模型o Clark-Wilson模型 n Clark-Wilson模型簡稱為CW模型，它是Clark和Wilson于1987年在給出軍事保密性和商業(yè)完整性的嚴(yán)格區(qū)別時提出的一個數(shù)據(jù)完整性模型。Clark和Wilson認(rèn)為，在商業(yè)數(shù)據(jù)環(huán)境中，相對于保密性而言，數(shù)據(jù)的完整性更為重要。而且，要實施完整性策略，僅僅依靠TCSEC中所描述的安全機(jī)制是不夠的，必須增加另外的安全機(jī)制，因此該模型是強(qiáng)數(shù)據(jù)類型和面向事務(wù)處理的商用完整性模型。該模型提出以后，學(xué)術(shù)界開始關(guān)注于數(shù)據(jù)完整性相關(guān)的研究。 2.2 操作系統(tǒng)安全模型o Clark-Wilson模型 n Cla

29、rk-Wilson模型指出了與商業(yè)系統(tǒng)相關(guān)的數(shù)據(jù)一致性目標(biāo)是：保證任何人都不能修改數(shù)據(jù)以獲取公司資產(chǎn)或改動會計帳目。n CW完整性模型基于如下的兩個基本概念：o 良性處理（Well-Formed Transaction）：指用戶不能隨意操作數(shù)據(jù)，以此確保數(shù)據(jù)內(nèi)部一致性為前提；o 責(zé)任隔離（Separation of Duty）：指將所有的操作分成幾個子部分，每個子部分由不同的人分別執(zhí)行，以此確保數(shù)據(jù)的外部一致性。2.2 操作系統(tǒng)安全模型o Clark-Wilson模型 n CW模型中包含四種元素：o 約束數(shù)據(jù)項（CDIs）：指必須實施完整性模型的數(shù)據(jù)；o 非約束數(shù)據(jù)項（UDIs）：指不受完整性

30、策略約束的數(shù)據(jù)，它們只受自主控制約束。新進(jìn)入系統(tǒng)的數(shù)據(jù)都被認(rèn)為是UDIs，但隨后可以被轉(zhuǎn)變變?yōu)镃DIs；o 轉(zhuǎn)移過程（TPs）：指實施完整性策略的過程，用于把CDIs集合從一個有效狀態(tài)改變到另一個有效狀態(tài)；o 完整性驗證過程（IVPs）：指實施完整性策略的過程，用于檢查內(nèi)部的數(shù)據(jù)一致性，也可以用于檢查外部的數(shù)據(jù)一致性。2.2 操作系統(tǒng)安全模型o Chinese Wall模型 n Chinese Wall模型是Brewer和Nash于1989年提出的一個安全策略模型，該模型可以用于實現(xiàn)動態(tài)改變訪問權(quán)限，它的基本原則是沒有任何信息流導(dǎo)致利益的沖突。n Chinese Wall（中國墻策略）的基本原

31、理是：給出一組規(guī)則，任何主體都不能訪問他所在的墻外的數(shù)據(jù)（客體）。該策略模型來源于顧問行業(yè)的服務(wù)規(guī)則，一個顧問在為某個企業(yè)提供商務(wù)服務(wù)后，不能再向該企業(yè)的競爭者企業(yè)提供類似的商務(wù)服務(wù)，當(dāng)然不限制他向不存在競爭關(guān)系的企業(yè)提供商務(wù)服務(wù)。 2.2 操作系統(tǒng)安全模型o Chinese Wall模型 n 在該模型中，企業(yè)信息可以分成三個不同級別的層次：o 最下層是企業(yè)的單個數(shù)據(jù)，稱為客體；o 中間層是企業(yè)數(shù)據(jù)集，是企業(yè)內(nèi)所有數(shù)據(jù)的集合；o 最上層是利益沖突層，由相互競爭的企業(yè)數(shù)據(jù)集組成。2.2 操作系統(tǒng)安全模型o Chinese Wall模型 n 以下的特性構(gòu)成了Chinese Wall模型的核心：o

32、簡單安全特性（ss-特性），一個主體可以對同一個數(shù)據(jù)集內(nèi)的客體或者不同利益沖突類的客體具有讀權(quán)限，也就是說，一個主體最多可以讀取每個利益沖突類中的一個數(shù)據(jù)集。o 星號安全特性（*-特性），只有當(dāng)主體S對一個與客體O不在同一公司且其利益沖突集為空的客體O沒有讀權(quán)限時，S才具有對客體O的寫權(quán)限。2.2 操作系統(tǒng)安全模型o RBAC模型 n RBAC的基本思想是根據(jù)組織視圖的不同職能崗位劃分角色，訪問許可映射在角色上，用戶被分配給角色，并通過會話激活角色集，能夠間接訪問信息資源。用戶與角色以及操作許可與角色是多對多的關(guān)系，因此一個用戶可以分配多個角色，一個角色可以擁有多個用戶。同理，一個操作許可可以

33、分配多個角色，一個角色可以賦予多個操作許可。角色可以劃分等級，即角色的結(jié)構(gòu)化，反映企業(yè)組織的結(jié)構(gòu)和人員責(zé)權(quán)的分配，并且角色通過繼承形成偏序關(guān)系。2.2 操作系統(tǒng)安全模型o 其他模型 n 信息流模型（Flow Model） n 無干擾模型（Noninterference Model） n DTE模型 2.3 安全體系結(jié)構(gòu) o 目前，有些安全性問題可以在現(xiàn)有系統(tǒng)上通過打補(bǔ)丁的方式來排除，而有的則無法在原有系統(tǒng)上進(jìn)行補(bǔ)救，只有重新改造系統(tǒng)，甚至重新設(shè)計系統(tǒng)才能有效解決。造成這種情況的原因是多方面的，有兩方面的原因最值得注意。一方面原因是由于舊的操作系統(tǒng)增加了新的應(yīng)用，另一方面原因是由于操作系統(tǒng)設(shè)計時

34、對安全性考慮的不充分造成的。前者是無法預(yù)測的，因此要以謹(jǐn)慎的態(tài)度為系統(tǒng)添加新的應(yīng)用，后者則是由于缺乏有效的系統(tǒng)安全體系結(jié)構(gòu)所致。2.3 安全體系結(jié)構(gòu)o 安全體系結(jié)構(gòu)的含義及類型n 安全體系結(jié)構(gòu)理論與技術(shù)主要包括:o 安全體系模型的建立及其形式化描述與分析，安全策略和機(jī)制的研究o 檢驗和評估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立o 符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制（比如安全操作系統(tǒng)，安全數(shù)據(jù)庫系統(tǒng)等）2.3 安全體系結(jié)構(gòu)o 安全體系結(jié)構(gòu)的含義及類型n所謂一個計算系統(tǒng)（特別是安全操作系統(tǒng)）的安全體系結(jié)構(gòu),包含如下幾個方面的內(nèi)容 o 詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面。這包括系統(tǒng)可能提供的所有安全服務(wù)及

35、保護(hù)系統(tǒng)自身安全的所有安全措施，描述方式可以用自然語言，也可以用形式語言。o 在一定抽象層次上描述各個安全相關(guān)模塊之間的關(guān)系。這可以用邏輯框圖來表述，主要用于在抽象層次上按滿足安全需求的方式來描述系統(tǒng)關(guān)鍵元素之間的關(guān)系。o 提出指導(dǎo)設(shè)計的基本原理。根據(jù)系統(tǒng)設(shè)計的要求及工程設(shè)計的理論和方法，明確協(xié)調(diào)設(shè)計的各方面的基本原則。o 提出開發(fā)過程的基本框架及對應(yīng)于該框架體系的層次結(jié)構(gòu)。它描述確保系統(tǒng)忠實于安全需求的整個開發(fā)過程的所有方面。2.3 安全體系結(jié)構(gòu)o 安全體系結(jié)構(gòu)的含義及類型n在美國國防部的“目標(biāo)安全體系”（DoD Goal Security Architecture）中，把安全體系劃分為以下

36、四種類型： o 抽象體系（abstract architecture）o 通用體系（generic architecture）o 邏輯體系（logic architecture）o 特殊體系（specific architecture）o 特殊體系需要表達(dá)系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開銷，它表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來以滿足我們正在考慮的特殊系統(tǒng)的安全需求。這里信息安全分量和機(jī)制包括基本原則以及支持安全管理的分量等。2.3 安全體系結(jié)構(gòu)o 計算機(jī)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計的基本原則n 面對一個復(fù)雜計算機(jī)系統(tǒng)的設(shè)計，必須提出一個好的安全體系結(jié)構(gòu)，使系統(tǒng)很好地滿足設(shè)計時所提出的各種要

37、求。為此，經(jīng)過大量的實踐，人們在總結(jié)經(jīng)驗、分析原型系統(tǒng)開發(fā)失敗原因的基礎(chǔ)上，提出了在安全體系結(jié)構(gòu)設(shè)計中應(yīng)該遵守的基本規(guī)律。 2.3 安全體系結(jié)構(gòu)o 計算機(jī)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計的基本原則n將系統(tǒng)的安全性問題放在系統(tǒng)設(shè)計的首要位置 n應(yīng)盡量考慮系統(tǒng)在未來的應(yīng)用中可能會面臨的安全需求 n機(jī)制經(jīng)濟(jì)性（Economy）原則 n失敗-保險（Fail-safe）默認(rèn)原則 n特權(quán)分離原則 n最小特權(quán)原則 n最少公共機(jī)制原則 n完全仲裁原則 n開放式設(shè)計原則 n心理可接受性原則 2.3 安全體系結(jié)構(gòu)o Flask體系和權(quán)能體系n Flask體系 n Flask是一個可伸縮性的控制訪問安全體系結(jié)構(gòu)，它支持動態(tài)安全策略，并提供了安全策略的可變通性，確保這些子系統(tǒng)不管決策怎樣產(chǎn)生，都有一致的策略決策。Flask體系結(jié)構(gòu)通過加強(qiáng)的安全策略決策機(jī)制來創(chuàng)建這種可伸縮性支持，并且可以被移植到多種要求安全性的操作系統(tǒng)中。本節(jié)的內(nèi)容描述了Flask體系結(jié)構(gòu)概念及特