【正文】 系統(tǒng)提供方針； 2022/2/15 80 安全模型（續(xù)） 安全模型的特點(diǎn) 精確、無(wú)歧義 易理解 一般性 是安全策略的顯示表示 安全模型分為形式化的安全模型和非形式化的安全模型； 2022/2/15 81 安全模型（續(xù)） 主要安全模型介紹 BellLaPadula模型 Biba模型 ClarkWilson模型 信息流模型 基于角色的存取控制（ RBAC）模型 DTE模型 無(wú)干擾模型 2022/2/15 82 BellLaPadula模型 是 1973年 D. Elliott Bell和 Leonard J. LaPadula提出的一個(gè)計(jì)算機(jī)多級(jí)安全模型之一； 是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模 型，實(shí)際上是一個(gè)形式化的狀態(tài)機(jī)模型； 包括有兩部分安全策略：自主安全策略和強(qiáng)制安全策略； 2022/2/15 83 BellLaPadula模型（續(xù)） ? 幾個(gè)重要公理： ? 簡(jiǎn)單安全性（ simplesecure property） ? *特性 ? 自主安全性（ discretionarysecurity） ? 兼容性公理（ patibility） ? 定義了一系列的狀態(tài)轉(zhuǎn)換規(guī)則和 10條重要定理； ? 特點(diǎn)： ? 支持的是信息的保密性； ? 是通過(guò)防止非授權(quán)信息的擴(kuò)散來(lái)保證系統(tǒng)的安全； ? 不能防止非授權(quán)修改系統(tǒng)信息。 2022/2/15 84 Biba模型 1977年提出的第一個(gè)完整性安全模型； 對(duì)系統(tǒng)每個(gè)主體和每個(gè)客體分配一個(gè)完整級(jí)別（包含兩部分 ——密級(jí)和范疇）；安全策略分為非自主策略與自主策略； 優(yōu)點(diǎn)：簡(jiǎn)單、可能可以和 BLP模型相結(jié)合。 不足之處： 完整標(biāo)簽確定的困難性； 在有效保護(hù)數(shù)據(jù)一致性方面是不充分的； 不能抵御病毒攻擊，難以適應(yīng)復(fù)雜應(yīng)用； 2022/2/15 85 Clark－ Wilson完整性模型 1987年 David Clark和 David Wilson提出的具有里程碑意義的完整性模型； 核心：良構(gòu)事務(wù)（ wellformal transaction） 優(yōu)點(diǎn)：能有效表達(dá)完整性的 3個(gè)目標(biāo)；久經(jīng)考驗(yàn)的商業(yè)方法； 局限性：性能問(wèn)題；不利于把對(duì)數(shù)據(jù)的控制策略從數(shù)據(jù)項(xiàng)中分離；沒(méi)有形式化； 2022/2/15 86 其他模型 信息流模型 是存取控制模型的變形，與存取控制模型的差異很小，但是能識(shí)別隱蔽通道； 基于角色的存取控制（ RBAC）模型提供一種強(qiáng)制存取控制機(jī)制；經(jīng)過(guò)發(fā)展，已經(jīng)形成了 RBAC0RBAC3的家族系列； DTE（ Domain and type enforcement）模型由域定義表和域交互表組成，依據(jù)主體域和客體類(lèi)型來(lái)決定訪問(wèn)權(quán)限； 2022/2/15 87 其他模型（續(xù)） 無(wú)干擾模型是 1982年 J. Goguen和 J. Meseguer提出的基于自動(dòng)機(jī)理論和域隔離的安全系統(tǒng)事項(xiàng)方法； 總結(jié)： 安全模型是建立安全操作系統(tǒng)的一個(gè)基本要求； 多級(jí)安全系統(tǒng)中最廣泛的模型是 BLP機(jī)密性安全模型等，這些模型都各具特點(diǎn)； 2022/2/15 88 安全體系結(jié)構(gòu) 安全體系結(jié)構(gòu)的含義： 詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面； 在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系； 提出指導(dǎo)設(shè)計(jì)的基本原理； 提出開(kāi)發(fā)過(guò)程的基本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu)； 兩個(gè)參考標(biāo)準(zhǔn)： TCSEC和 CC 兩個(gè)安全體系： Flask體系和權(quán)能體系 2022/2/15 89 安全體系結(jié)構(gòu)類(lèi)型 美國(guó)國(guó)防部的目標(biāo)安全體系（ DoD Goal Security Architecture）中把安全體系分為： 抽象體系（ Abstract Architecture） 通用體系（ Generic Architecture） 邏輯體系（ Logical Architecture） 特殊體系（ Specific Architecture） 2022/2/15 90 安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則 從系統(tǒng)設(shè)計(jì)之初就考慮安全性； 應(yīng)盡量考慮未來(lái)可能面臨的安全需求； 隔離安全控制，并使其最小化； 實(shí)施特權(quán)極小化； 結(jié)構(gòu)化安全相關(guān)功能； 使安全相關(guān)的界面友好； 不要讓安全依賴于一些隱藏的東西； 2022/2/15 91 安全操作系統(tǒng)設(shè)計(jì) 設(shè)計(jì)原則 開(kāi)發(fā)方法 一般開(kāi)發(fā)過(guò)程 2022/2/15 92 安全操作系統(tǒng)設(shè)計(jì)原則 設(shè)計(jì)原則 最小特權(quán)原則 機(jī)制的經(jīng)濟(jì)性 開(kāi)放系統(tǒng)設(shè)計(jì) 完整的存取控制機(jī)制 基于“允許”的設(shè)計(jì)原則 權(quán)限分離 避免信息流的潛在通道 方便使用 2022/2/15 93 開(kāi)發(fā)方法 虛擬機(jī)法 改進(jìn) /增強(qiáng)法 仿真法 2022/2/15 94 一般開(kāi)發(fā)過(guò)程 ? 階段一 ? 系統(tǒng)需求分析：描述各種不同需求 ? 抽象、歸納出安全策略 ? 建立安全模型及安全模型與系統(tǒng)的對(duì)應(yīng)性說(shuō)明； 階段二 ? 安全機(jī)制設(shè)計(jì)與實(shí)現(xiàn) ? 安全功能測(cè)試；重復(fù)該兩部分工作； 階段三：安全操作系統(tǒng)可信度認(rèn)證 2022/2/15 95 安全內(nèi)核結(jié)構(gòu)（ 1） Secuve Kernel (安全內(nèi)核 ) subject Object X O 訪問(wèn) 訪問(wèn) Web Griffin 認(rèn)證 基于數(shù)字簽名認(rèn)證的用戶身份驗(yàn)證 程序文件設(shè)備等 安全操作系統(tǒng) （ Secure OS） Secuve Kernel 數(shù)據(jù)庫(kù) 2022/2/15 96 安全內(nèi)核結(jié)構(gòu)（ 2） ? Current Kernel Process 數(shù)字簽名 及證書(shū) 安全模塊 Security Lib. 訪問(wèn)控制 列表 安全內(nèi)核 數(shù)字簽名 認(rèn)證 訪問(wèn)控制 用戶級(jí) ? Security Kernel Process ? 黑客可以通過(guò)獲得系統(tǒng)管理員權(quán)限進(jìn)入文件系統(tǒng) ? 如果應(yīng)用了基于數(shù)字簽名的安全內(nèi)核黑客即使獲得了系統(tǒng)管理員權(quán)限，他也不能夠訪問(wèn)文件系統(tǒng) 操作或命令 系統(tǒng)訪問(wèn)界面 內(nèi)核 文件系統(tǒng) 過(guò)程控制 內(nèi)存控制 硬件界面 操作或命令 訪問(wèn)系統(tǒng)界面 內(nèi)核 文件系統(tǒng) 過(guò)程控制 內(nèi)存控制 硬件界面 內(nèi)核級(jí) 內(nèi)核級(jí) 用戶級(jí) 2022/2/15 97 安全內(nèi)核結(jié)構(gòu)（ 3） Hardware Kernel System Call Interface ls rm vi vi cc df lp A B C D E 用戶 (應(yīng)用程序 ) Kernel Module 1 vi Kernel Module 2 Kernel Module N Kernel Module N Kernel Module Kernel Module Load/Unload 不可以 (Kernel Sealing) 2022/2/15 98 ?程序自身保護(hù)功能 (SelfSecurity) ?被黑客入侵時(shí)刪除安全功能。 ?內(nèi)核密封功能 (Kernel Sealing) ?防止內(nèi)核模塊的 Loading/ Uploading阻斷惡意的對(duì)內(nèi)核的攻擊。 ?內(nèi)核隱藏功能 (Kernel Stealth) ?隱藏安全內(nèi)核降低安全風(fēng)險(xiǎn) ?不顯示安全內(nèi)核程序，降低風(fēng)險(xiǎn)。 ?自動(dòng)保護(hù)安全內(nèi)核 程序目錄 ?防止刪除安全程序保持持續(xù)的安全功能 . 國(guó)內(nèi)唯一 安全內(nèi)核結(jié)構(gòu)（ 4） 2022/2/15 99 基于安全內(nèi)核的應(yīng)用 ?Web Griffin 主要對(duì)文件的寫(xiě)權(quán)限進(jìn)行訪問(wèn)控制 ?File Griffin 對(duì)文件的讀，寫(xiě)，執(zhí)行進(jìn)行訪問(wèn)控制 ?共性 保護(hù)主要 daemon 防止 init 2022/2/15 100 謝謝！再見(jiàn)！