第八節連續保護機制之一——最小特權管理

1.?????最小特權概念：每個系統用戶每個系統程序（主體）只能使用必要的最小特權完成，應該擁有，但只能擁有當前工作的最小權限，給的權限過大，容易給系統帶來出錯。

（在一個系統里邊，如果管理員他的權限非常大。 那么如果管理員出現一個誤操作，可能會導致整個系統出現這樣的一個故障。把管理員的權限進行一些細分，每個管理員只有一個很小的執行它功能所需的這樣的權限的話。那么即使這個它導致的一些危害，那么危害也會減小到職責范圍之內，不會危害到其他的一些范圍。這就是我們所說的最小特權的原則）

2.?????特權：提供訪問控制的基礎上，一種超越訪問控制的能力，不受訪問控制約束

3.?????恰當特權：來源于POSIX標準，POSIX標準叫做便攜式操作系統的接口規范，在該規范里面，對恰當特權做了一個定義，在系統執行這個安全策略，安全機制的基礎之上，允許它去執行一些受限的操作。或者說允許它去超越這個防護策略的一些能力，就叫這個恰當的特權。

4.?????權能：特權集合

5.?????最小特權管理的思想是系統不應給用戶超過執行任務所需特權以外的特權，具體辦法如下：首先，將超級用戶的特權劃分為一組細粒度的特權；然后，將這些特權分別授予不同的系統操作員/管理員，使各種系統操作員/管理員只具有完成其任務所需的特權。

目標：減少由于特權用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。

6.?????權能劃分原則：（1）超越系統安全約束（比如說它可以不受DSA的讀或者不受DSA的寫， 這樣的需求的這樣的一個約束。不受DSA讀的是一個權能，不受DSA寫約束的是另外一個權能）（2）應該在效果最小的范圍重疊，即不要有太多的重疊例如DAC和MAC沒有重疊，重新定義DAC則與以上兩個重疊。（3）權能數量不要太多，夠用就好。

7.?????特權細分舉例：

8.?????特權細分舉例，比如某安全操作系統將超級用戶特權劃分為若干個權能的定義如下:

CAP_OWNER、CAP_SETUID、CAP_DACWRITE、CAP_MACREAD、CAP_AUDIT 、CAP_NET_ADMIN，理論上只有管理員可以SET_UID

比如可在系統中定義4個特權管理職責，

1. 系統安全管理員（SSO）2. 審計員（AUDIT）3. 安全操作員（SOP）4. 網絡管理員（NET）

這樣，SSO負責系統管理，AUDIT負責審計就好。任何一個管理用戶都不能獲取足夠大的權力危及系統的安全性

9.?????一種最小特權管理實現的方法是：（內核）

（1）對每個可執行文件/程序賦予相應的特權集（2）對系統中的每個進程，根據其執行的程序和所代表的用戶，賦予相應的特權集。（3）某進程請求exec一個特權操作(如mount)時，它必須調用特權管理機制，判斷該進程的特權集中是否具有執行該操作所需特權。

10.???

11.要給出權能遺傳算法，進程在每次轉換它的進程映像時候，如何轉變權能狀態，為實現這樣的機制，我們該為進程和程序文件賦予權能狀態：因此有了權能狀態的定義：（1）可繼承集（inheritable set）進程的可繼承集（記為pl），決定一個進程可依據條件遺傳其后續進程映像的權能；程序文件的可繼承性（記為fl），決定執行該程序產生的進程映像可遺傳給其后續進程映像的權能，并且映像擁有且可供該映像使用的權能（2）許可集：進程許可集（記為pP），決定當前進程允許生效的最大權能集合；程序文件的許可集（記為fP），是確保程序執行產生的進程映像能夠正確地完成其功能所需的權能，與前一個進程是否具有這些權能無關。（3）有效集：進程的有效集（記為PE），決定當前進程中生效的權能集合；程序文件的有效集（記為fE），決定程序執行力產生的進程映像將擁有的有效權能集。

?

12.??用戶初始進程的特權狀態：與創建該進程的用戶屬性和shell程序相關:（1）由于用戶通過會話（如：login）成為系統的主體進程，所以要在此過程中根據用戶屬性(比如:角色)為初始的主體設置恰當的權能狀態。（2）由于可信管理用戶登陸后要求安全shell (比如:/bin/bash)支持其執行特權命令，所以應該恰當地指派安全shell程序的權能狀態,它將決定初始進程的權能狀態。（3）此外,系統第一個進程/sbin/init,以及登陸進程/bin/login對應的權能狀態應恰當設置.

?

第九節連續保護機制之二——隱蔽通道分析與標識：另附

第十節連續保護機制之三——系統完整性保護

完整性要求：計算機信息系統可信計算機基(TCB)（TCB）通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信息。在網絡環境中，系統完整性（System Integrity）通常使用完整性敏感標記來確信信息在傳送中未受損。完整性保護要求包括三種類型：a,存儲數據的完整性；b,傳輸數據的完整性；c,處理數據的完整性。

1.數據存儲完整性：應對存儲在可信安全功能（TSF）控制范圍（TSC）內的用戶數據進行完整性保護，包括：

（1）存儲數據的完整性檢測，要求TCB安全功能（TSF）應對基于用戶屬性的所有客體，對存儲在TSC 內的用戶數據進行完整性檢測。

（2）存儲數據的完整性檢測和恢復，要求TSF應對基于用戶屬性的所有客體，對存儲在TSC 內的用戶數據進行完整性檢測,并且當檢測到完整性錯誤時，TSF 應采取必要的恢復措施。

2.傳輸數據的完整性

當用戶數據在TSF 和其它可信IT 產品間傳輸時應提供完整性保護，包括：

a） 數據交換完整性檢測，要求對被傳輸的用戶數據進行檢測，及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入或重用的情況發生。

b） 源數據交換恢復，要求由接收者TCB借助于源可信IT 產品提供的信息，恢復被破壞的數據為原始的用戶數據。

c） 目的數據交換恢復，要求由接收者TCB自己，無需來自源可信IT 產品的任何幫助，即能恢復被破壞的數據為原始的用戶數據。

3.處理數據的完整性

對計算機信息系統中處理中的數據，應通過“回退”進行完整性保護，包括：

a） 基本回退，要求TSF 應執行訪問控制安全功能策略（SFP），以允許對客體列表上的指定操作的回退，并允許在回退可以實施的范圍內進行回退操作。

b） 高級回退，要求TSF 應執行訪問控制安全功能策略SFP，以允許對客體列表上的所有操作的回退，并允許在回退可以實施的范圍內進行回退操作。

第十一節可信恢復機制

1. 計算機信息系統可信計算機基(TCB)提供過程和機制，保證計算機信息系統失效或中斷后，可以進行不損害任何安全保護性能的恢復。

可信恢復應在確定不減弱保護的情況下啟動TCB，并在TCB 安全功能（TSF）運行中斷后能在不減弱保護的情況下恢復運行。

1.?????可信恢復要求：

（1）手動恢復，應允許TCB 只提供以人工干預的方法返回到安全狀態的機制。為此，在TCB 發生失敗或服務中斷后，TSF 應進入維護方式，該方式將提供以手工方法將TCB 返回到一個保護狀態的能力。

（2）自動恢復，對至少一種類型的服務中斷，要求TSF 應確保使用自動化過程使TCB返回到一個安全狀態，對其它的服務中斷可由手動恢復實現。

（3）無過分丟失的自動恢復，在進行自動恢復時，不允許被保護的客體有過分的丟失。即在實現上述自動恢復時，應確保在TSC 內的TSF 數據或客體無超過限量的丟失。

（4）功能恢復，要求TSF 應確保TCB 安全功能或者被成功完成，或者對指定的情況恢復到一致的和安全的狀態。

總結

以上是生活随笔為你收集整理的（8）操作系统安全机制之二的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。