返回
课件18:第67 节可信操作系统设计

课件18:第67 节可信操作系统设计

ID:37594206

大小:155.50 KB

页数:38页

时间:2019-05-12

课件18:第67 节可信操作系统设计_第1页
课件18:第67 节可信操作系统设计_第2页
课件18:第67 节可信操作系统设计_第3页
课件18:第67 节可信操作系统设计_第4页
课件18:第67 节可信操作系统设计_第5页
资源描述:

《课件18:第67 节可信操作系统设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、课件176.7可信操作系统设计6.7可信操作系统设计计算机系统安全性能的好坏在很大程度上取决于操作系统提供的安全机制功能的强弱。任何获取计算机系统中敏感信息的企图都是把操作系统作为首先攻击的目标,因为必须要首先突破操作系统的安全防护层。因此,开发可信赖的安全操作系统是计算机系统信息安全的基础性工作。6.7.1可信操作系统的开发过程①模型阶段在确定操作系统的应用环境、安全目标与安全等级后,首先应该构造满足安全需要的安全模型。②设计阶段确定安全模型之后,要确定实现该模型的方法与手段。③可信验证阶段用形式化或非形式化的方法验证设计是否满足安全模

2、型的安全要求。④实现阶段实现安全的操作系统有两种方法,一个是对现有操作系统进行改造,在其中实现安全模型描述的安全要求;另一个是按照安全模型的要求实现一个新的操作系统。⑤测试阶段测试时,应该按照设计时确定的安全等级严格测试所实现的操作系统的安全性能,检查其是否与设计文档中确定的性能指标与安全等级相一致。6.7.2可信操作系统的设计原则设计原则必须考虑安全信息系统的需求,这些安全需求是满足保密性(Secrecy)、完整性(Interity)和可用性(Availibility)等要求。它们的具体要求如下:美国著名信息系统安全顾问C.C沃德提出了

3、23条设计原则:成本效率原则:应使系统效率最高而成本最低,除军事设施外,不要花费100万元去保护价值10万元的信息。简易性原则:简单易行的控制比复杂控制更有效和更可靠,也更受人欢迎,而且省钱。超越控制原则:一旦控制失灵(紧急情况下)时,要采取预定的控制措施和方法步骤。公开设计与操作原则:保密并不是一种强有力的安全措施,过分信赖可能会导致控制失灵。对控制的公开设计和操作,反而会使信息保护得以增强。最小特权原则:只限于需要才给予这部分特权,但应限定其它系统特权。分工独立性原则:控制,负责设计,执行和操作不应该是同一人。设置陷阱原则:在访问控制

4、中设置一种易入的“孔穴”,以引诱某些人进行非法访问,然后将其抓获。环境控制原则:对于环境控制这一类问题,应予重视,而不能忽视。接受能力原则:如果各种控制手段不能为用户或受这种控制影响的人所接受,控制则无法实现。因此,采取的控制措施应使用户能够接受。承受能力原则:应该把各种控制设计成可容纳最大多数的威胁,同时也能容纳那些很少遇到的威胁的系统。检查能力原则:要求各种控制手段产生充分的证据,以显示已完成的操作是正确无误的。防御层次原则:要建立多重控制的强有力系统,如信息加密,访问控制和审计跟踪等。记账能力原则:无论谁进入系统后,对其所作所为一定

5、要负责,且系统要予以详细登记。分割原则:把受保护的的东西分割为几个部分,并一一加以保护,以增加其安全性。环状结构原则:采用环状结构的控制方式最保险。外围控制原则:重视“篱笆”和“围墙”的控制作用。规范化原则:控制设计要规范化,成为“可论证的安全系统”。错误拒绝原则:当控制出错时,必须能完全地关闭系统,以防受攻击。参数化原则:控制能随着环境的改变予以调节。敌对环境原则:可以抵御最坏的用户企图,容忍最差的用户能力及其它可怕的用户错误。人为干预原则:在每个危急关头或作重大决策时,为慎重起见,必须有人为干预。隐蔽性原则:对职员和受控对象隐蔽控制手

6、段或其操作的详情。安全印象原则:在公众面前应保持一种安全平静的形象。Saltzer和Schroeder给出了8项设计原则:1)最小特权。2)节省机制:保护系统的设计应该小而简单,且直截了当。3)开放设计:保护机制的能力不应建立在认为潜在攻击者的无知上。4)完全中介(CompleteMediation):必须检查系统中的每一次访问活动。5)基于许可:默认的条件应该是拒绝访问。6)特权分离:合理的做法是让对客体的访问受到多级条件的控制。7)最少公共机制:客体共享提供了潜在的信息通道,容易产生不可控的信息泄露。8)便于使用:安全机制应该方便使用

7、。对旧操作系统添加安全功能则相对困难一些,因为这些操作系统的结构上就不符合安全要求,改造起来是很困难的,或者说,把一个不安全的操作系统通过增补修改手段实际上是得不到安全操作系统的。6.7.3操作系统中的安全功能与技术对客体的访问控制用户的认证共享的控制保证公平服务内部过程的通信与同步分离技术(Separation)分离技术物理分离是指让各个过程使用不同的硬件设施。时间分离则是让各个过程在不同的时间内运行。加密分离是通过加密数据的方法使无权的过程无法读取这些数据。逻辑隔离在多用户系统中,同时运行的几个进程可以各自完成自己的计算任务而互不干扰

8、。6.7.4安全核的设计与实现技术安全核的概念是RogerSchell在1972年提出的,并把它定义为实现访问监控器的硬件与软件,因此安全核的概念是与监控器的概念紧密相关的。安全核技术是实现高

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。