Addtheauthorandtheaccompanyingtitle操作系统的安全6.2操作系统的安全控制设计一个安全的操作系统,从技术上讲有四种安全方法,如隔离控制、访问控制、信息加密和审计跟踪。操作系统采用的安全控制方法主要是隔离控制和访问控制。1、隔离控制①物理隔离。②时间隔离。③加密隔离。④逻辑隔离。2、访问控制访问控制是操作系统的安全控制核心。访问控制是确定谁能访问系统,能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。6.2操作系统的安全控制存取控制解决两个基本问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
:一是访问控制策略,二是访问控制机构。访问控制策略是根据系统安全保密需求及实际可能而提出的一系列安全控制方法和策略,如“最小特权”策略。访问控制策略有多种,最常用的是对用户进行授权。访问控制机构则是系统具体实施访问控制策略的硬件、软件或固件。访问控制的三项基本任务:①授权。②确定访问权限。③实施访问控制的权限。6.2操作系统的安全控制从访问控制方式来说,访问控制可分为以下四种:(1)自主访问控制:自主访问控制是一种普遍采用的访问控制手段。它使用户可以按自己的意愿对系统参数作适当修改,以决定哪些用户可以访问他们的系统资源。(2)强制访问控制:强制访问控制是一种强有力的访问控制手段。它使用户与文件都有一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某种资源。(3)有限型访问控制:它对用户和资源进一步区分,只有授权的用户才能访问指定的资源。(4)共享/独占型访问控制:它把资源分成“共享”和“独占”两种。“共享”可以使资源为所有用户使用,“独占”只能被资源所有者使用。6.2操作系统的安全控制访问控制的重要内容之一是用户身份识别。而口令字验证又是是用户身份识别的主要内容,口令字验证应注意:①在系统的问答题中尽量少透露系统、用户和口令字的信息。②用户可以加上附加的约束,如限制使用的时间和地点。③对口令字文件加密。④口令字要有一定的范围和长度,并由操作系统随机地产生。⑤应定期改变口令字。⑥使用动态口令字。⑦要选择容易记忆,但又难猜的口令。6.3自主访问控制⑧不要使用常用单词或名字,不要选用有特殊意义的口令,如生日、电话号码、银行帐号等。⑨不要在不同的机器上使用相同的口令。⑩不要将口令告诉他人或随便将口令手写在终端上。自主访问控制是指基于对主体及主体所属主体组的访问来控制对客体的访问,它是操作系统的基本特征之一。这种控制是自主的。自主是指具有授予某种访问权力的主体能够自主地将访问权或访问权的某个子集授予其它主体。6.3自主访问控制6.3.l自主访问控制方法目前,操作系统实现自主访问控制不是利用整个访问控制矩阵,而是基于矩阵的行或列来表达访问控制信息。1.基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同,可以分为三种形式:(1)权力表,也叫权能,它是实现访问控制的一种方法。(2)前缀表,包括受保护的客体名以及主体对它的访问权。(3)口令,口令机制是按行表示访问控制矩阵的。6.3自主访问控制2.基于列的自主访问控制基于列的自主访问控制是对每个客体附加一份可访问它的主体的明细表。它有两种形式:(1)保护位:保护位机制不能完备地表达访问控制矩阵。(2)访问控制表:每个客体(对象)有一张访问控制表,记录该客体可被哪些主体访问以及访问的形式。6.3.2自主访问控制的访问类型自主访问控制机制中,有三种基本的控制模式。1.等级型2.有主型3.自由型6.3自主访问控制6.3.3自主访问控制的访问模式在自主访问控制机制的系统中,可使用的保护客体基本有两类:文件和目录。1.文件对文件常设置以下几种访问模式:(1)Read-Copy:允许主体对客体进行读与拷贝的访问操作(2)Write-delete:允许主体用任何方式修改一个客体。(3)Execute:允许主体将客体作为一种可执行文件而运行之。(4)Null:表示主体对客体不具有任何访问权。6.3自主访问控制2.目录每个主体(用户)有一个访问目录。该目录用于记录该主体可访问的客体(对象)以及访问的权限,然而用户本身却不能接触目录。目录常作为结构化文件或结构化段来实现。是否对目录设置访问模式,取决于系统是怎样利用树结构来控制访问操作的。对目录的访问模式可以分为读和写-扩展。(1)Read(读):该模式允许主体看到目录实体,包括目录名、访问控制表以及该目录下的文件与目录的相应信息。(2)Write-EXpand(写-扩展):该访问模式允许主体在该目录下增加一个新的客体。也就是说,允许主体在该目录下生成与删除文件或子目录。6.4强制访问控制1.“特洛伊木马”的威胁一个“特洛伊木马”要进行攻击,一般需要以下条件:①必须编写一段程序或修改一个已存在的程序来进行非法操作,而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸收力。②必须使受害者能以某种方式访问到或得到这个程序,如将这个程序放在系统的根目录或公共目录中。③必须使受害者运行这个程序。一般利用这个程序代替某个受害者常用的程序来使受害者不知不觉地使用它。④受害者在系统中有一个合法的帐号。6.4强制访问控制2.防止“特洛伊木马”的非法访问强制访问控制一般与自主访问控制结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制访问控制检查后,才能访问某个客体。由于用户不能直接改变强制访问的控制属性,因此用户可以利用自主访问控制来防范其他用户对自己客体的攻击。强制访问控制则提供一个不可逾越的、更强的安全防护层,以防止其他用户偶然或故意滥用自主访问控制。要防止“特洛伊木马”偷窃某个文件,就必须采用强制访问控制手段。减少“特洛伊木马”攻击成功的可能性方法。(1)限制访问控制的灵活性(2)过程控制6.5存储器的保护存储器保护负责保证系统内各任务之间互不干扰;存储器管理是为了更有效地利用存储空间。6.5.1存储器的保护方法首先要对存储单元的地址进行保护,使得非法用户不能访问那些受到保护的存储单元;其次要对被保护的存储单元提供各种类型的保护。最基本的保护类型是“读/写”和“只读”。所谓“只读”,就是规定用户只能对那些被保护的存储单元中的内容进行读取,而不能进行其它操作。复杂一些的保护类型还包括“只执行”、“不能存取”等操作。不能存取的存储单元,若被用户存取时,系统要及时发出警报或中断程序执行。6.5存储器的保护操作系统对内存的保护主要采用了逻辑隔离方法。1.界地址寄存器保护法2.内存标志法3.锁保护法“锁”是指为存储区设置的特定数字。使用锁保护方式具有以下优点:①因为不同的存储区可以分配相同的锁,因此用户可以用同一钥匙打开不连续的若干区域。②只要锁和钥匙定义不同的对应方案,就可以使钥匙具有不同的优先级。4.特征位保护法即在每一个存储单元的前面,设置一组特征位特征位数据指令代码6.5存储器的保护6.5.2存储器的管理1.虚拟地址空间的物理定位可变,每次调度该进程时,它的物理地址可能不同。在运行一个访问存储器的指令时,硬件设备首先根据指令中的某一数值或偏移量以及索引寄存器的值对虚拟地址进行某种运算,以识别出欲访问目标的物理地址。其运算的结果就是一个虚拟地址映射成一个物理地址。2.虚存映射在一个大系统内,将物理存储器分成固定大小的页,各个进程根据需要占用不同页数的物理存储器。设置一组映射寄存器,每个寄存器指出一个页的物理首地址。这样,进程就可以通过这些映射寄存器来访问物理地址空间。6.5存储器的保护3.请求调页一个进程占有比机器内存还大的虚拟存储空间,需采用请求调页机制,该机制将根据需要在辅存与内存之间移动某些页,它保证了进程所需的某些页没有驻留在内存时仍能正常运行。操作系统可以为进程构造一个页描述表,该表记录了进程所需的全部虚拟存储空间,表中可以设置一个“磁盘驻留”的标志,指明该页不在物理内存中而是驻留在磁盘上。当某一进程运行过程中所需的页不在内存中时,操作系统将中止该进程的运行,直至内存中有空闲的页腾出时,再将所需页从磁盘中调入内存中的空闲页,并将页表中相应的项置为该空闲页,然后重新启动被中止的进程从断点处继续运行。6.5存储器的保护4.分段管理在绝大部分系统中,一个进程的虚拟地址空间至少要被分成两部分或两个段:一个用于用户程序与数据,称为用户空间;另一个用于操作系统,称为系统空间。两者是静态隔离的,也是比较简单的。6.5.3虚拟存储器的保护虚拟存储器一般都采用段/页技术进行管理。一般情况下,整个虚拟存储器被划分成若干个段,每个段再被划分成若干页。如果在段、页描述中加入段、页保护信息,如对段或页可采取“只读”、“读/写”等保护措施,当计算机执行指令时,系统便根据保护类型检查这条指令的操作是否合法,如果不合法,就中断程序的执行。6.6操作系统的安全设计6.6.1操作系统的安全模型1.访问监控模型最简单的安全模型,单级模型,是体现有限型访问控制的模型。它对每一个主体-客体对,只作“可”还是“否”的访问判定。这种模型论证比较脆弱,它所表达的安全需求没有特别详尽的说明。2.“格”模型多级模型。把用户(主体)和信息(客体)进一步按密级和类别划分。访问控制根据“工作需要,给予最低权限”的原则,只有当主体的密级等于或高于客体,主体的类别等于或包含客体时,主体才能访问客体。6.6操作系统的安全设计3.Bell-LaPadula模型多级模型,它是保证保密性基于信息流控制的模型。这种模型的访问控制遵循两条原则。简单安全性原则,即主体的保密性访问级别支配客体的保密性访问级别,也就是说主体只能读密级等于或低于它的客体,主体只能从下读,而不能从上读。星原则是客体的访问级别支配主体的访问级别,即主体只能写密级等于或高于它的客体。也就是说主体只能向上写,而不能向下写。星原则的目的是为了防上不可信的机密进程从不同等级或级别更高的机密文件中读出信息后,通过“向下写”来窃取系统的机密。6.6操作系统的安全设计Padula模型目的在于防止信息泄漏,而不是防止主体对客体的非授权修改。它们只处理了信息的保密问题,而没有解决信息的完整性问题。4.Bibe模型从信息完整性的角度来看,显然必须禁止低访问级别的主体对高访问级别的客体进行访问,以免低访问级别的主体篡改高访问级别的信息(客体),于是就产生了Bibe模型。Bibe模型是保证信息流完整性的控制模型,它把主体和客体按类似密级那样的完整级进行分类。完整级是一个由低到高的序列,其访问遵循“简单完整性”和“完整性星”两条原则。简单完整性原则是主体的完整性访问级别支配客体的完整性级别。即主体只能向下写,而不能向上写。也就是说,主体只能写(修改)完整性级别等于或低于它的客体。完整性星原则是客体的完整性访问级别支配主体的完整性访问级别,即主体只能从上读,而不能从下读。6.6操作系统的安全设计6.6.2安全操作系统的设计原则①对用户标识和验证。②对内存的保护。③对文件和I/O设备的访问控制。④对共享资源的分配控制。⑤保证系统可用性,防止某用户对系统资源的独占。⑥协调多进程间的通信、同步和并发控制,防止系统死锁。所谓“安全操作系统设计”,就是指安全性必须在操作系统的各个部分予以考虑,安全性必须在操作系统开发的初期就予以考虑。6.6操作系统的安全设计安全系统设计的一般原则如下:(1)最小权限原则(2)完全性原则(3)经济性原则(4)公开性原则(5)权限分离原则(6)最小共同性原则(7)易用性原则(8)缺省安全原则6.6操作系统的安全设计6.6.3安全操作系统的设计方法1.安全核心方法安全核心方法运用最小权限原则和完全性原则,集中了操作系统中有关安全的主要功能。每次对被保护客体的访问,都要经过安全核心的检查。安全核心与其它部分隔离,自身又完整统一。这样,既便于做得紧凑,也便于测试验证,还便于修改。2.层次化方法层次化设计方法是将操作系统分层,至少有硬件、核心、操作系统和用户进程四层。这种层次结构使得一个与安全有关的功能,由一系列在不同层次的几个模块来实现。6.6操作系统的安全设计6.6.4对系统安全性的认证安全认证,就是对系统的安全性作测试验证,并评价其安全性所达到的程度的过程。安全认证的方法通常有三种:形式化验证(简称验证方法)、非形式化鉴定(简称鉴定方法)和破坏性分析。1.形式化验证形式化验证就是运用程序正确性证明的方法。虽然现已开发出一些辅助程序正确性证明的工具,但这种方法复杂,而且非常费时。对于大型的系统,对那些不是为了接受形式化验证而开发的系统来说,几乎难以进行验证。总之,形式化验证方法可以确保系统的安全性,但却难以实现。6.6操作系统的安全设计2.鉴定方法鉴定方法普遍,通常采用以下几种办法:(1)需求检验(2)设计和编码检验(3)单元和集成测试。总之,鉴定方法容易实现,但却不能达到百分之百的可信度。3.破坏性分析破坏性分析是把一些对操作系统运用熟练和富有设计经验的专家组织起来,对被测试的操作系统作安全脆弱性分析,专挑弱点和缺点。在实践中,常常要求系统具备以下六条安全准则:(1)安全方针(2)主体标识(3)客体标识(4)可查性(5)可信性(6)持续性6.7I/O设备的访问控制方式6.7.1I/O设备访问控制操作系统一般是I/O操作的媒介。从访问控制的角度看,一个I/O指令应该包括以下内容:I/O设备名、受影响的介质和数据传输过程中所涉及的存储缓冲区的位置。I/O访问控制最简单的方式是将设备与介质看作一个客体。由于所有的I/O操作不是向设备写数据,就是从设备读数据,所以进行I/O操作的进程必须受到对设备读/写两种控制。这意味着设备到介质间的路径可以不受什么约束,而处理器到设备间的控制则需要施以一定的读/写操作的访问控制。从访问控制的角度看,硬件可以以四种方式支持I/O操作:可编程的I/O操作、非映射的I/O操作、预映射I/O操作和完全映射I/O操作。6.7I/O设备的访问控制方式可编程I/O是一种同步操作。在这种方式下,处理器直接控制向I/O设备传递或从I/O设备接收每一个数据。其它三种方式是直接存储器访问方式及其变种。在这几种方式下,处理器
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
控制器进行某种冗长的I/O操作,处理器与控制器异步地进行等价的操作。1.可编程1/O可编程I/O方式对设备进行访问控制是使用一个设备描述符表。它将一个虚设备名映射为一个物理设备名,犹如将一个虚地址映射成一个实际物理地址,如下所示:设备描述符RWC物理设备地址6.7I/O设备的访问控制方式2.非映射I/O非映射I/O是目前最普遍的一种直接进行存储器访问的I/O类型。在这种方式中,软件向设备发送一个I/O命令,它描述了存储器中某个缓冲器的物理位置。设备可作为一个可信赖的主体对这个物理存储区进行读/写操作。它仅能由操作系统产生,必须将虚拟缓冲区地址解释成实际的物理地址。3.预映射I/O预映射I/O,也称虚拟I/O,它允许软件引用虚拟缓冲区地址。当调用I/O指令时,处理器利用当前进程的描述符表以及映射寄存器,把这些虚拟地址解释成实际的物理地址,然后将得到的物理地址送给I/O设备。它使得操作系统从繁杂的地址解释与访问控制任务中释放出来了。6.7I/O设备的访问控制方式4.全映射I/O全映射I/O对设备引用的每个存储区都能进行从虚拟地址到实际物理地址的解释,设备被认为是一个不可信赖的主体。它仅提供欲读/写信息的存储区的虚拟地址。在安全防线内,解释硬件将把虚拟地址解释成实际的物理地址,并进行访问校验。6.7.2输入安全控制建立输入安全控制,应检验数据的合法性和准确性。要进入系统的数据,必须按正确的格式与内容,先转换到该类机器可读的媒体里。6.7I/O设备的访问控制方式1.输人安全控制原则输入安全控制应遵循以下基本原则:(1)自动控制应尽可能接近数据源,且不得重复控制。(2)防止分散工作
流程
快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计
,控制应简单和易于维护。(3)应提供控制操作说明文件,并汇编成册。2.程序安全控制对程序安全可采用如下的检验方法:(1)记录计数(2)极限校验(3)运算验证(4)标号检查6.7I/O设备的访问控制方式3.操作安全控制(1)职责分离:通过职责分离,对系统中变更活动特性和准确性等进行有效的、多方面的检验,从而避免工作人员不经批准和严密验证就擅自修改活动的不正常局面,并避免非法存取。(2)操作控制:对系统操作人员制定有关的输入数据操作规程和工作
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
。4.文件控制基本的控制方法有:文件登记装置、预先文件编号、收发字条和手工编辑等。收发字条是用一种打印件,作为记述在部门或地点间传递的一组或一批指令源文件的信封。这些字条应该包括控制信息和授权签字等内容。6.8文件目录与子目录的加密为了文件安全,除了对文件进行加密之外,还可以对存放该文件的目录或其子目录进行加密。6.8.1磁盘的逻辑结构BOOT区FAT区根目录区数据区主引导区分区1分区2……分区n分区1BOOT区FAT区根目录区数据区6.8文件目录与子目录的加密6.8.2文件目录的加密为了管理磁盘上已建立的文件,DOS系统在磁盘的固定位置上设置了一个文件目录表(FDT),该表具体描述了文件名、子目录名、卷标以及相应信息。当应用程序对某一磁盘文件提出读/写要求时,DOS首先在文件目录表上查找是否存在该文件。若存在,则根据文件分配的位置并利用文件分配表及磁盘I/O参数表,将对一个文件的存取请求转换成为对某一相应逻辑扇区的存取请求;而逻辑扇区的存取请求,则由磁盘设备驱动程序变成对实际物理地址(磁头、磁道和扇区)的存取请求;最后,依赖于硬件I/O驱动程序来完成对磁盘的信息存取。Addtheauthorandtheaccompanyingtitle生活图标元素商务图标元素商务图标元素商务图标元素商务图标元素
浙公网安备 33021202002483