【正文】 Trust Computing Base） 組成 完成的工作 2022/2/15 29 Problem 什么是信息的完整性？ 隱蔽通道的工作方式？ 安全策略與安全模型的關(guān)系？ 2022/2/15 30 第二章 安全機制 一個操作系統(tǒng)的安全性從以下幾個方面考慮： 物理上分離 時間上分離 邏輯上分離 密碼上分離 2022/2/15 31 操作系統(tǒng)安全的主要目標(biāo)： 依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存?。? 標(biāo)識系統(tǒng)中的用戶并進行身份鑒別； 監(jiān)督系統(tǒng)運行的安全性； 保證系統(tǒng)自身的安全性和完整性； 2022/2/15 32 操作系統(tǒng)安全的相應(yīng)機制： 硬件安全機制 標(biāo)識與鑒別 存取控制 最小特權(quán)管理 可信通路 安全審計 存儲保護、運行保護、 I/O保護 2022/2/15 33 理想的安全操作系統(tǒng)基礎(chǔ) 保護系統(tǒng)（ Protection System） 保護系統(tǒng)包含一個保護狀態(tài)（ protection state）和保護狀態(tài)操作（ protection state operations） 保護狀態(tài)：描述系統(tǒng)主體在系統(tǒng)客體上能執(zhí)行的操作 保護狀態(tài)操作：使?fàn)顟B(tài)能進行改變的動作，如增加新的系統(tǒng)主體或客體到保護狀態(tài)中等 Lampson的訪問矩陣 ——保護狀態(tài) 2022/2/15 34 理想的安全操作系統(tǒng)基礎(chǔ) Lampson的訪問矩陣 ——保護狀態(tài) 保護域 protection domain 訪問控制列表 Access control list（ ACL） 權(quán)能列表 Capability list（ C_list） 強制保護系統(tǒng)（ Mandatory Protection System） 訪問矩陣 ——不信任的進程能篡改保護系統(tǒng) ——未授權(quán)訪問的安全問題 強制保護系統(tǒng)是一個僅使可信管理員通過可信軟件來修改狀態(tài)的保護系統(tǒng)。 操作系統(tǒng)安全和安全操作系統(tǒng) 操作系統(tǒng)安全是從各種不同角度分析操作系統(tǒng)安全性 安全操作系統(tǒng)是按照特定安全目標(biāo)設(shè)計實現(xiàn)的操作系統(tǒng)，和相應(yīng)的安全等級掛鉤 2022/2/15 26 操作系統(tǒng)安全基本概念 安全功能與安全保證 可信軟件和不可信軟件 軟件的三大可信類別：可信的、良性的、惡意的 可信軟件是可信計算基的軟件部分 主體與客體 主體（ Subject）：一個主動的實體，使信息在客體中間流動或者改變系統(tǒng)狀態(tài) 客體（ Object）：一種包含或接受信息的被動實體。 2022/2/15 20 安全操作系統(tǒng)的發(fā)展（續(xù)） 1987年美國 Trusted Information Systems公司開發(fā)了 B3級的 Tmach(Trusted Mach)； 1988 年， ATamp。 2022/2/15 19 安全操作系統(tǒng)的發(fā)展（續(xù)） 1983 年，美國國防部頒布了歷史上第一個計算機安全評價標(biāo)準(zhǔn) TCSEC橙皮書（ Trusted Computer System Evaluation Criteria)。 1976 年， . Harrison、 . Ruzzo 和. Ullman 提出了操作系統(tǒng)保護的第一個基本理論 ——HRU 理論。 1973 年， . Lampson 提出了隱通道（ covert channel）；同年， . Bell 和. LaPadula 提出了簡稱 BLP 模型。 1970 年， . Ware 對多渠道訪問的資源共享的計算機系統(tǒng)引起的安全問題進行了研究。 2022/2/15 15 安全操作系統(tǒng)的發(fā)展（續(xù)） 1969 年， C. Weissman研究的 Adept50 是歷史上的第一個分時安全操作系統(tǒng)。 Lies and Beyond Fear Cryptogram newsletter Ross Anderson Security Engineering Available online at 2022/2/15 4 前言 課程形式 主課，習(xí)題課，作業(yè)，小論文及上機 成績評定 作業(yè)，小論文及上機，期末考試 比例： 作業(yè) 10% 小論文及上機 20% 期末考試 70% 2022/2/15 5 基本目的 理解掌握操作系統(tǒng)中的安全問題及安全性 掌握操作系統(tǒng)安全的基本概念 掌握操作系統(tǒng)安全機制、安全模型、安全體系結(jié)構(gòu) 了解安全操作系統(tǒng)的設(shè)計原則 根據(jù)操作系統(tǒng)安全目標(biāo)能設(shè)計并評價安全操作系統(tǒng) 2022/2/15 6 第一章 緒論 操作系統(tǒng)面臨的安全威脅 安全操作系統(tǒng)的研究發(fā)展 操作系統(tǒng)安全的基本概念 2022/2/15 7 操作系統(tǒng)面臨的安全威脅 保密性威脅（ secrecy） 信息的隱藏 ——對非授權(quán)用戶不可見 保護數(shù)據(jù)的存在性 完整性威脅（ integrity） 信息的可信程度 信息內(nèi)容的完整性、信息來源的完整性 可用性威脅（ availability） 信息或資源的期望使用能力 防止數(shù)據(jù)或服務(wù)的拒絕訪問 2022/2/15 8 一、安全現(xiàn)狀 因特網(wǎng) 網(wǎng)絡(luò)對國民經(jīng)濟的影響在加強 信息對抗的威脅在增加 因特網(wǎng) 電力 交通 通訊 控制 廣播 工業(yè) 金融 醫(yī)療 （ 1）網(wǎng)絡(luò)本身不安全 2022/2/15 9 信息竊取 信息冒充 信息篡改 信息抵賴 （ 2）信息傳遞過程存在威脅 2022/2/15 10 （ 3） 多樣化的攻擊手段 網(wǎng)絡(luò) 內(nèi)部、外部泄密 拒絕服務(wù)攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機病毒 后門、隱蔽通道 蠕蟲 2022/2/15 11 二、安全威脅種類 特洛伊木馬： Mellissa 天窗：設(shè)置在操作系統(tǒng)內(nèi)部 隱蔽通道：不受安全策略控制的、違反安全策略的信息泄露路徑。操作系統(tǒng)安全 Operating System Security 中南大學(xué)信息科學(xué)與工程學(xué)院 Central South University College of Information Science and Engineering 2022/2/15 2 目錄 第一章 緒論 第二章 操作系統(tǒng)安全機制 第三章 操作系統(tǒng)安全模型 第四章 操作系統(tǒng)安全體系結(jié)構(gòu) 第五章 安全操作系統(tǒng)設(shè)計 2022/2/15 3 參考文獻 賈春福 鄭鵬 操作系統(tǒng)安全 武漢大學(xué)出版社 2022 卿斯?jié)h等 操作系統(tǒng)安全 清華大學(xué)出版社 2022 Trent Jaeger Operating System Security MORGAN amp。 CLAYPOOL PUBLISHERS Bruce Schneier Secrets amp。 間諜軟件（ Spyware） 病毒和蠕蟲 具有隱蔽性、傳染性、潛伏性、破壞性特點 邏輯炸彈 拒絕服務(wù)攻擊 2022/2/15 12 SQL Slammer蠕蟲的能力 2022/2/15 13 SQL Slammer蠕蟲的能力 2022/2/15 14 安全操作系統(tǒng)的發(fā)展 2022年中科院石文昌博士將安全操作系統(tǒng)的發(fā)展分為 奠基時期、食譜時期、多政策時期和動態(tài)政策時期 2022年卿斯?jié)h教授在《操作系統(tǒng)安全》中也對其發(fā)展進行了概述。 同年， . Lampson 通過形式化表示方法運用主體（ subject）、客體（ object）和訪問矩陣（ access matrix）的思想第一次對訪問控制問題進行了抽象。 2022/2/15 16 安全操作系統(tǒng)的發(fā)展（續(xù)） 1972年， . Anderson提出了參照監(jiān)視器（ reference monitor）、訪問驗證機制（ reference validation mechanism） 、安全內(nèi)核（ se