信息安全工程师----第六章 6.2操作系统安全

第六章 6.2操作系统安全

操作系统实质是一个资源管理系统，管理计算机系统的各种资源，用户通过它获得对资源的访问权限。安全操作系统出了要实现普通操作系统的功能外，还要保证它所管理资源的安全性，包括保密性（Secrecy），完整性（Integrity）和可用性（Availability）。

操作系统的安全威胁

安全威胁可以分为如下6类：

• 不合理的授权机制
• 不恰当的代码执行
• 不恰当的主体控制
• 不安全的进程间通信（IPC）
• 网络协议的安全漏洞
• 服务的不当配置

按照威胁的行为方式划分：

• 切断
• 截取
• 篡改
• 伪造

按照安全威胁的表现形式来分：

• 计算机病毒
• 逻辑炸弹
• 特洛伊木马
• 后门

• 隐蔽通道

  安全模型

常见的安全模型：

1.状态机模型：欧诺个状态语言将安全系统描绘成抽象的状态机，用状态变量表示系统的状态，用转换规则描述变量变化的过程。状态机模型用于描述通用操作系统的所有状态变量几乎是不可能的，通常只能描述安全操作系统中若干个与安全相关的主要状态变量。

BLP模型是最早的一种计算机多级安全模型，也是受到公认最著名的状态机模型。

2.    信息流模型：用户描述系统中客体间信息传输的安全需求。信息流模型不是检查主体对客体的存取，二十试图控制从一个客体到另一个客体的信息传输过程。

3.无干扰模型：将系统的安全需求描述成一系列主体间操作互不影响的断言

4.不可推断模型：这个模型提出了不可推断性的概念，要求低安全级用户不能推断出高安全级用户的行为。

5.完整性模型：目前公认的两个完整性模型是BIha模型和Clark-Wilson模型。Biba模型通过完整级的概念，控制主体“写”访问操作的客体范围。Clark-Wilson模型针对完整性问题，对系统进行功能分割和管理。

访问控制

下图是按机制分类的安全模型

访问控制基本概念

主体：改变信息流动和系统状态的主动方。主体可以访问客体。主体可以是进程、用户、用户组、应用等

客体：包含或者接收信息的被动方。客体可以是文件、数据、内存段、字节等。

授权访问：决定谁能访问系统，谁能访问系统的哪种资源以及如何使用这些资源。方式有读写执行。

自主访问控制自主访问控制是目前计算机系统中实现最多的访问控制机制。DAC允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户可以自主地把自己所拥有的客体的访问权限授予其他用户。在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源。

自主访问控制的特点就算控制自主，具有灵活性；缺点是能控制主体对客体的直接访问，但不能控制对客体的间接访问（间接访问：假如A可访问B，B可访问C，则A可访问C）

自主访问控制模型的典型代表有HRU模型，Jones取予模型、动作-实体模型 强制访问控制强制访问控制在TESEC中被用作B级安全系统的主要评价标准之一。强制访问控制的典型代表有BLP模型，基于角色的存取控制模型、Clark-Wilson模型、BN模型。

基于角色的访问控制基于角色的访问控制通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适 的访问权限，而用户根据其责任和资历再 被指派为不同的角色

安全操作系统

提高操作系统安全性普遍采用的方式：

1. 虚拟机法。在现有操作系统与硬件之间增加一个新的分层作为安全内核，操作系统几乎不变地作为虚拟机来运行。
2. 改进、增强法。在现有操作系统的基础上对其内核和应用陈旭进行面向安全策略的分析，然后加入安全机制，经改造，开发后的安全操作系统基本上保持了原来操作系统的用户接口界面。
3. 仿真法。对现有操作系统的内核进行面向安全策略的分析和修改以形成安全内核。然后在安全内核与原来操作系统用户接口界面中间再编写一层仿真程序。
   安全操作系统的一般开发过程