操作系统的安全管理
總結學習操作系統當中的一些知識點,這篇博客只要是基于Linux的系統安全管理的一些基本概念以及設計思路。
主要知識來源于費祥林老師的操作系統基礎一書,以及網絡上的部分知識。初學者,存在不足望指正。
關于OS的一些基本概念:
計算機的可靠性:指系統正常運行的程度,其目標是反故障。
安全性:指不因人為疏漏或蓄謀作案而導致信息資源泄露、篡改和破壞,其目標是反泄密。
可靠性是基礎,安全性更為復雜。
?
一般來說,信息系統的安全模型設計管理和實體安全性、網絡通信安全性、軟件系統安全性和數據庫系統安全性。
?
操作系統安全性:
1.安全策略:描述一組用于授權使用計算機的以及其信息資源的規劃。
2.安全模型:精確描述系統安全策略,對系統安全需求以及如何設計和實現安全控制的一個清晰而全面的理解和描述。
3.安全機制:實現安全策略所描述的安全問題,關注如何實現系統的安全性,包括內容有認證機制,授權機制,加密機制,審計機制和最小特權機制。
?
操作系統安全威脅來源:
1.硬件 ??2.軟件 ??3.數據 ??4.網絡和通信線路
安全策略
安全需求和安全策略
安全需求:機密性;完整性;可記賬性;可用性;
安全策略:是指用于授權使用計算機及信息資源的規則,即有關管理,保護,分配和發布系統資源和敏感信息的規定和實施細則。
其目的是使安全需求得到保障。
?
根據計算機信息系統的應用場合,可將安全策略分為以下兩類:
1.軍事安全策略
2.商業安全策略
對于制作安全策略涉及問題,可以將安全系統分為以下兩類:
1.訪問支持策略(反映可記賬性和可用性要求)
2.訪問控制策略(反映機密性和完整性需求)
?
?
可信計算基
計算機系統內安全保護裝置的總體,包括硬件,固件,可信軟件和負責執行安全策略的管理員在內的組合體,統稱為可信計算基(Trusted computing base ?TCB)
TCB的組成部分:操作系統的安全內核,具有特權指令的程序和命令,處理敏感信息的程序,實施安全策略的文件,相關硬件和設備,機器診斷程序,安全管理員等。
?
TCB 能完成的任務:
1.內核的安全運行
2.標識系統中的用戶
3.保持用戶到TCB登錄的可信路徑
4.實施主體到客體的訪問控制
5.維護TCB功能的正確性和監視以及記錄系統中所發生的事件
引用監視程序
在一個引用監視程序中,操作系統將無源的資源隔離到截然不同的客體如文件、運行中的程序活動條目,引用監視程序機制(叫做引用有效機制)將會通過應用一個嵌入在一套訪問控制規則中的安全策略確認在活動主體和客體之間的訪問。按照這種方法,程序訪問系統資源(如文件)可以被限制到那些符合安全策略的訪問,訪問控制決定基于每個活動主體和客體的安全屬性,安全屬性指活動主體/客體與安全有關的特性。例如:在標準的Linux中,活動主體(即進程)有真實有效的用戶標識,客體(如文件)有訪問許可模式,由許可模式決定進程是否可以打開某個文件。
目標
防止竄改(不能惡意改變或修改)
無旁路(活動主體不能避免訪問控制決定)
可驗證(可以證明安全策略實現是正確的)
訪問支持策略
一、標識與鑒別
??用戶標識
??用戶鑒別
標識和鑒別用于保證只有合法用戶才能進入系統和訪問資源。
三類信息用于用戶標識與鑒別:
1.用戶知道的信息,如口令和密碼
2.用戶擁有的物品.如智能卡和鑰匙
3.用戶的生物特征,如簽名,指紋,語音和虹膜。
?
二、可記賬性
三、客體重用
四、隱蔽信道分析
存儲隱蔽信號和時間隱蔽信號
五、可信路徑和可信恢復
?
訪問控制策略
1.訪問控制屬性:在計算機信息系統當中,訪問控制(access control)是規范和控制主體訪問本系統中客體的決策和實施過程,與訪問控制策略的相關因素有三個:主體,客體,主客體屬性。
主體是主動實體,系統行為的發起者。
客體是被動實體,系統內所有實體行為的直接承擔者。
主客體屬性,又稱敏感標記或標記,是TCB維護與可被外部主體直接或間接訪問到的計算機信息系統相關的安全標記,是實施自主或強制訪問的基礎。
信息系統的安全決策就是通過比較主客體的相關屬性來制定的
用戶與主體綁定。
?
2.自主訪問控制策略
??自主訪問控制策略是指主體對客體的訪問權限只能由客體屬主或超級用戶指定或更改。
?
3.強制訪問控制策略
??強制訪問策略是由安全管理員按照一定規則分別對系統中的主體和客體賦予安全標記,且基于特定強制訪問規則來決定可否訪問。
?
?
安全模型
安全模式是對安全策略所表達的安全需求的一種精確,無歧義的抽象描述,在安全策略和安全機制的關聯之間提供一種框架。
安全模式示例:
1.lampson訪問控制矩陣模型
2.Graham-denning模型
3.Bell-lapadula模型
4.D.Denning信息流模型
?
安全機制
安全機制的主要目標是根據安全策略對用戶的操作進行控制,防止用戶對系統資源的非法存取;標識系統中的用戶并對其進行身份鑒別;監督系統運行的安全性;保證系統自身的安全性。
?
一、硬件安全機制
1.內存保護
2.運行保護
3.I/O保護
?
認證機制
1.用戶身份的標識與鑒別
2.Linux系統的標識和鑒別
3.Kerbros網絡身份認證
?
?
授權機制
1.授權機制的功能和安全系統的模型
2.自主訪問控制機制
3.強制訪問控制機制
4.最小特權管理機制
?
?
加密機制
1.數據加密模型
2.基于密鑰的算法分類
3.計算機密碼算法
4.數字簽名
5.網絡加密
?
審計機制
1.審計事件
2.審計記錄和審計日志
3.審計機制的實現
4.審計緩沖區的設計
?
?
?
安全操作系統設計和開發
一、安全操作系統結構和設計原則
安全操作系統是指能對所管理的數據和資源提供適當的保護級以便有效的控制軟硬件功能的操作系統。
?
計算機軟件分為以下三類:
可信軟件;良性軟件;惡意軟件。
?
二、安全操作系統的一般開發方法
主要有兩種方法,一是自設計開始就建立完整的安全操作系統開發,而是在現有的非安全操作系統上增強和引入安全機制,形成安全操作系統。基于第二種方法開發,一般有以下三種方法:
1.虛擬機法。
在原有操作系統和硬件之間增加一個分層作為安全內核,操作系統幾乎不變的變為虛擬機運行,安全內核的接口同原有硬件接口等價,其自身并未意識到已被安全內核所控制,仍然像是在裸機上一樣執行自己的系統功能,所以,它可以不變的去支持現有的APP。(IBM系列機中運行應用廣泛,因為IBM系列機很好的支持虛擬機。)
2.改進/增強法
??在原有你的OS之上,對其內核以及應用程序進行面向安全策略的分析,引入安全機制,經過這樣改造之后的系統基本保持原通用操作系統的用戶接口。這種方法最大的局限性是在于現有體系結構和應用程序的限制,難以達到較高的安全級別。
3.仿真法
??對現有的操作系統的內核做面向安全策略的修改,在安全內核和原操作系統的用戶界面在編寫一層仿真程序,這樣就不會受現有的程序的限制,但采用這種方法受到上層通用操作系統的接口限制,另外,有些接口功能不安全,不能仿真,以及部分接口仿真難度極大,難以實現。
?
一般開發步驟:
1.系統需求分析:描述各種安全需求
2.系統功能描述:準確的定義應實現的安全功能,包括描述驗證,即證明描述與需求分析相符。
3.系統設計實現:設計并建立系統,包括實現驗證,即論證實現與功能描述相符。
?
三、安全功能與安全保證
???安全功能的10個安全元素:標識與鑒別,自主訪問控制,標記,強制訪問控制,客體重用,審計,數據完整性,可信路徑,隱蔽信道分析和可信恢復。
???安全保證涵蓋三個方面:
???(1)可信計算基自身安全保護,包括安全功能模塊,資源利用,可信計算基訪問等
???(2)可信計算基的設計和實現,包括配置管理,分布和操作,開發,指導性文檔,生命周期支持,測試,脆弱性評定等。
???(3)可信計算基安全管理。
?
四、安全操作系統設計技術
(1)隔離技術:將系統中用戶進程和其他用戶進程隔離開(物理分離,時間分離,密碼分離,邏輯分離)
(2)安全內核:安全內核通過對系統資源的訪問來實現基本安全規程的操作系統內核中相對獨立的一部分程序,它在硬件和操作系統功能模塊之間提供安全接口,凡是與安全有關的功能和機制都必須被隔離在安全內核之中。
安全內核的設計和實現需要符合下述三條基本原則:
完整性;隔離線;可驗證性。
也需要監控四種交互活動:
進程激活;區域切換;存儲保護;I/O操作;
(3)分層設計:層次分級適用于將安全內核分離的安全操作系統的設計,自內存至外層可想象為同心圓結構,越敏感的軟件越是處于內層,反之是處于外層;越是內層的信息越可信,反之是越不可信。
?
?
?
?
?
Linux安全機制
Linux基本安全機制
??(1)標識與鑒別
??(2)存取控制
??(3)審計
??(4)特權管理
??(5)網絡安全
??(6)其他安全機制(加密和解密,備份和恢復)
這篇博客簡單介紹一下OS的安全管理部分,后續還會有相應博文。
Thanks for your reading.
總結
- 上一篇: Python:一键更换桌面壁纸
- 下一篇: u大侠pe系统桌面计算机,更换winpe