书签 分享 收藏 举报 版权申诉 / 227

类型《计算机系统安全》课件第6章.ppt

  • 文档编号:2336131
  • 上传时间:2024-09-01
  • 格式:PPT
  • 页数:227
  • 大小:2.02MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    计算机系统安全 计算机 系统安全 课件
    资源描述:

    1、第第6 6章章 可信操作系统设计可信操作系统设计 第第6章章 可信操作系统设计可信操作系统设计 6.1 什么是可信的操作系统什么是可信的操作系统 6.2 安全策略安全策略 6.3 安全模型安全模型 6.4 设计可信操作系统设计可信操作系统 6.5 可信操作系统的保证可信操作系统的保证 6.6 实例分析实例分析 6.7 可信操作系统总结可信操作系统总结 习题习题 第第6 6章章 可信操作系统设计可信操作系统设计 6.1 什么是可信的操作系统什么是可信的操作系统 本章我们主要考虑关于可信操作系统的以下四方面内容:(1)内存保护;(2)文件保护;(3)一般对象访问控制;(4)用户认证。第第6 6章章

    2、 可信操作系统设计可信操作系统设计 本章的前四部分主要讲可信操作系统的四个基础:(1)策略。所有系统都根据它的需求,描述系统做什么,如何做,这个描述就是策略。(2)模型。创建一个可信操作系统,为了保护恰当的对象和关系,设计者必须肯定目标系统能够满足这些需求。第第6 6章章 可信操作系统设计可信操作系统设计 (3)设计。选定一个安全模型后,设计者就可以选用一种方法来实现它了。这样,设计既包含什么是可信的操作系统,也包括如何实现它。(4)可信性。操作系统在加强安全方面扮演着重要的角色,可信性用来说明操作系统如何可以让用户对其安全性能信服。一般有两个方面要考虑:设计操作系统时,在安全方面做了什么工作

    3、;所作的工作现在可以处理哪些安全情况。第第6 6章章 可信操作系统设计可信操作系统设计 可信度是来自于用户或系统的接受者,而非设计者。作为用户的你可以直接衡量商品的可信度,也可以通过专业评估机构得到信任度。总之,信任度是用户自己的事。第第6 6章章 可信操作系统设计可信操作系统设计 “可信”这个形容词在本章出现的次数很多,如“可信进程”(能够影响系统安全的进程或是由于错误执行就会违反安全策略的进程),“可信产品”(经过评估和认证的产品),“可信软件”(系统在其之上可以实施安全策略的软件部分),“可信计算基础”(在计算系统内部的所有保护机构设备,包括硬件、固件和软件,一起在产品或系统上实施统一安

    4、全策略),或是“可靠系统”(系统整体调用硬件和软件来处理敏感信息)。第第6 6章章 可信操作系统设计可信操作系统设计 6.2 安全策略安全策略 6.2.1 军用安全策略军用安全策略 军用安全策略是基于保护机密信息的安全策略。信息根据其敏感度的不同而有不同的级别,比如:公开(Unclassified)、受限(Restricted)、秘密(Confidential)、机密(Secret)、绝密(Top Secret)。级别的不同形成了不同的层次,也反映了信息的敏感度的递增顺序,如图6-1 所示。第第6 6章章 可信操作系统设计可信操作系统设计 图6-1 机密层次图 第第6 6章章 可信操作系统设计

    5、可信操作系统设计 隔离块可以限制人们只能访问和他们项目有关的信息,也就是只能根据“need-to-know”原则进行数据访问。一个隔离块的信息可以只覆盖一个秘密级别,也可以分布于不同的秘密级别。它和敏感度级别的关系可以表示为图6-2 所示的形式。第第6 6章章 可信操作系统设计可信操作系统设计 图6-2 隔离块和敏感级别 第第6 6章章 可信操作系统设计可信操作系统设计 为区别不同的隔离块,我们可以采用命名的方法,比如“雪鞋”、“密码”或是“瑞典”等。一条信息被标以0,1,2 或是更多隔离块名,名字取决于它相关的类属。图6-3 给出了信息和隔离块的这种关联。第第6 6章章 可信操作系统设计可信

    6、操作系统设计 图6-3 信息与隔离块的联系 第第6 6章章 可信操作系统设计可信操作系统设计 例如:一条记载着关于密码学的出版物清单的信息可以用CRYPTO表示其隔离块,而关于瑞典的雪鞋发展的信息就可以表示为SNOWSHOE,SWEDEN。密级;隔离块这种组合被称为信息的“类”或“分类”。通过这种方式标明一条信息,便实现了由安全级别和主标注结合的“need-to-know”原则。第第6 6章章 可信操作系统设计可信操作系统设计 有一些访问请求是必须被明确许可的。授权允许访问机密文件就是指一个人被信任可以达到某个信息敏感级别,并且此人需要访问该敏感级别的某个类属的数据。一个主体的授权访问机密文件

    7、可以用保密级别(rank),隔离块(compartment)这个结构来表示。我们现在介绍一个在敏感主体和客体之间的关系:,称为“支配”。例如,一个主体s和一个客体o:so if and only if ranksrank o and compartmentss compartmentso第第6 6章章 可信操作系统设计可信操作系统设计 这时,我们说o支配s(或是s受o支配)。反之,也是同样定义的。支配权用来限制一个主体可以访问的信息的密级和内容。主体A只有在满足以下的情况时才可以读取一个客体:(1)主体的授权访问机密文件级别不低于被访问客体;(2)主体要知道它所需要的信息对应的所有分类隔离块。

    8、第第6 6章章 可信操作系统设计可信操作系统设计 满足了这些条件就意味着主体可以支配客体。我们可以用前面的同心圆图6-3来表示支配关系的工作原理。在图中:具有绝密;SWEDEN授权的主体可以访问机密;SWEDEN,SNOWSHOE的信息,也可以访问公开,SWEDEN的信息;但是只有机密;CRYPTO授权的主体不可以访问绝密;CRYPTO的信息。第第6 6章章 可信操作系统设计可信操作系统设计 军用系统的安全性既需要密级划分,又要有“needtoknow”的限制。密级划分就像权限等级划分一样,是对信息的敏感度的分类;“needtoknow”限制是没有权限等级的,因为隔离块不需要有分级结构。在这样

    9、的综合模型中,授权中心严格地控制着访问权,所以它可以在不同的系统设置中正常运作。授权访问和分类也是不允许个人修改的,它们都由安全中心统一管理。第第6 6章章 可信操作系统设计可信操作系统设计 6.2.2 商业安全策略商业安全策略 在各个公司或企业中,安全性是一个非常重要的问题。为防止处于开发中的新产品的机密信息泄露给竞争对手,管理者都会寻求最可靠的方法来保护公司中的机要信息。所以,在商业领域里,虽然找不到像军事领域里那样严格和等级严密的制度,但是在安全策略方面,它也是毫不逊色的。第第6 6章章 可信操作系统设计可信操作系统设计 诸如像公司或大学这样的组织机构中,都会有许多独立的部门分别处理各自

    10、不同的事务,而各部门处理事务的重要性却不尽相同,如会计和人事部门都拥有法人级别的职责,但所持有的数据却有不同的敏感度,如“公开”、“专用”、“内部使用”等。不同的组织之间的命名会有所不同,没有通用等级划分。第第6 6章章 可信操作系统设计可信操作系统设计 假定“公开”、“专用”、“内部使用”的信息敏感度依次增高。各个项目和部门之间完整划分,并允许一个人在两个或多个项目中重复出现。设定“法人级别”高于所属项目和部门,其拥有的数据也具有敏感度级别,因为公司内所有人都会受到会计部门和人事部门的管理。公司的数据具有不同的敏感级别,各项目内部的信息敏感度也有所不同:备用人员无须了解新产品的开发情况,但是

    11、负责新产品开发的人员却需要知道备用人员的所有情况以备随时启用。因此,商业数据的分层可以表示为图64 所示的形式。第第6 6章章 可信操作系统设计可信操作系统设计 公司的数据具有不同的敏感级别,各项目内部的信息敏感度也有所不同:备用人员无须了解新产品的开发情况,但是负责新产品开发的人员却需要知道备用人员的所有情况以备随时启用。因此,商业数据的分层可以表示为图6-4 所示的形式。第第6 6章章 可信操作系统设计可信操作系统设计 图6-4 商业敏感信息视图 第第6 6章章 可信操作系统设计可信操作系统设计 与军事领域的信息安全相比,商业领域的信息安全有以下特点:(1)没有授权访问的概念:为公司开发项

    12、目的人员访问其他项目时不需要授权中心批准,一个职员也不会因为可以访问内部信息而被授予不同的可信级别。(2)因为没有正式的授权访问概念,所以对于访问许可的规则也就不是很明确。比如,一个较高级的管理者认为某人需要访问内部数据时,他就会通知这个人进行访问,一次也好,多次也好,而不会出现对于信息访问的支配权问题。第第6 6章章 可信操作系统设计可信操作系统设计 1.Clark-Wilson商业安全策略商业安全策略 在许多商业应用中,完整性是和保密性同等重要的。账目的正确性,法律的精确性和医学治疗的及时性是各自领域中的最重要的因素。Clark和Wilson就他们所谓的“完整处理”提出了一种策略C-W策略

    13、,并称其重要性正如保密性在军事领域中的作用一样。为了便于分析,我们拿一个公司订购材料作比方。这个过程大概是以下面这种流程来实现的:第第6 6章章 可信操作系统设计可信操作系统设计 (1)订购员写好一个定货单,并复制两份分别送到供应商和接收部门。(2)供应商送出货物到该公司的接收部门,验收员检查收到的货物是否和定货单一致,确认后签好交货单,并将其和原来的定货单一起送到财会部门。(3)供应商发送给该公司的财会部门一份票据。第第6 6章章 可信操作系统设计可信操作系统设计 这些动作的发生顺序是很重要的。验收员没有拿到定货单就不会签发交货单,会计没有交货单和定货单也无法开支票。在大多数情况下,定货单和

    14、交货单都应该由授权个体签发。按照上述步骤一步一步准确无误地执行,并对每一个步骤执行的个体进行验证,这些就构成了“完全处理”。C-W策略就是为了保证内部数据和外部(用户的)数据的一致性而制定的。第第6 6章章 可信操作系统设计可信操作系统设计 Clark和Wilson是根据由转换进程处理的受限数据项来提交他们的策略的。转换进程仅仅实现对某一特定类别的数据项的某一特定操作,这些数据项也只能由转换进程操作。它就好像一个监控器一样,通过实现进程来维护这些数据项的完整性。Clark-Wilson策略中的三元组 userID,TP,CDI,CDI,通过一个转化进程(TP)把此进程和一个或多个受限数据项(C

    15、DI)以及对用户(被授权操作数据项)的鉴别(userID)结合在一起。第第6 6章章 可信操作系统设计可信操作系统设计 2.职权划分职权划分 第二个商业安全策略涉及到的是职权划分。这是Clark和Wilson在对其商业安全性需求进行分析的基础上提出的。我们继续上面的关于订单的例子来分析职权划分。在一个公司中,任何人都可以被授权去定货、接货和开支票。但是我们不会让一个人去做所有的这些事情,因为那样他就可能滥用职权。所以,我们的策略是让三个人各专其职,这也就是所谓的职权划分。职权划分一般以双层签名的方法通过手工指定实现。Clark和Wilson的三元组是“无状态”的,即一个三元组中不包含优先性操作

    16、的情况,而且一个三元组不能给其他三元组传递控制信息。第第6 6章章 可信操作系统设计可信操作系统设计 3.Chinese Wall 安全策略安全策略 Brewer和Nash定义了一种被称为Chinese Wall的安全策略,它反映的是一种对信息存取保护的商业需求。这种需求涉及到某些利益冲突,包含法律、医学、投资或财务公司等领域。当一个公司有人获得了竞争公司的人事、产品及服务等敏感信息时,就可能存在利益冲突。第第6 6章章 可信操作系统设计可信操作系统设计 这种安全策略建立在三种抽象层次上:(1)对象:在最底层的一些基本元素,比如文件。每个文件仅仅能包含一个公司的信息。(2)公司组:在第二层,是描述一个特定公司的所有对象的集合。(3)冲突类:在最高层,是所有竞争公司的对象构成的集合。第第6 6章章 可信操作系统设计可信操作系统设计 在这个模型中,每个对象惟一对应一个公司组,每个公司组也惟一对应一个冲突类,而一个冲突类可以包含一个或多个组。比如,假设你的广告公司的客户涉及各个领域:巧克力公司(包括德芙、金帝),银行(包括交行、建行、工行),航空公司(南方航空)。你想要将这些公司的数据分类存

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《计算机系统安全》课件第6章.ppt
    链接地址:https://www.tudouwenku.com/doc/2336131.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2024 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开