文章目录
- 前言
- 系统边界和安全周界
- 可信与不可信软件
- 访问控制基本概念
- 主体与客体
- 访问控制矩阵
- 引用监控器
- 安全内核
- 构建安全的基本要素
- 安全策略(应该做什么)
- 安全机制(应该怎么做)
- 安全保证
- 可信计算基 (TCB)
前言
参考教材是沈晴霓的《操作系统安全设计》,课程链接:https://www.coursera.org/learn/os-virtsecurity
本书内容由浅入深,分为“基础篇”、“理论篇”、“实践篇”和“趋势篇”四大部分。
“基础篇”重点介绍操作系统基本安全概念、通用安全需求、安全标准和必要的安全机制等。
“理论篇”重点介绍操作系统安全建模理论、安全体系结构设计思想,以及安全保证技术和测评方法等。
“实践篇”重点介绍安全操作系统设计与实现技术的案例,以及基于安全操作系统的应用系统安全案例。
“趋势篇”重点介绍最新的可信计算技术、系统虚拟化技术,以及操作系统进展及其安全实践。
读者可以依据不同层面的需求灵活地选用相关部分的内容进行阅读本书的每一章后 面都附有习题和参考文献,便于读者对各章的内容进行思考和深人理解。
系统边界和安全周界
系统边界:一个系统是指开发者实施某种控制的计算和通信环境的全体。系统内部所有的东西由系统来保护,系统之外的东西不受其保护。
安全周界:系统内部组件有两种:负责维护系统安全(或者安全相关)的部分和所有其他部分。这些安全相关的组件实现内部控制。用一种假想的边界分离两种类型的组件,该边界称为安全周界。 安全周界内的所有组件的属性必须被精确定义,因为任何一个组件发生故障都可能导致安全背离;相反,安全周界外部的组件的属性是相当随意的,仅实施通过系统边界进人系统时的限制。
可信与不可信软件
在讨论操作系统安全时,前提是用户是可信的,可以不信任用户运行的应用程序。
软件一般分为可信的、良性的、恶意的三类
- 可信的。软件保证能安全运行,并且后来系统的安全也依赖于软件的无错操作。
- 良性的。软件并不确保安全运行,但由于使用了特权或对敏感信息的访问权,因而必须确信它不会有意地违反规则。良性软件的错误被视作偶然性的,而且这类错误不会影响系统的安全。
- 恶意的。软件来源不明,从安全的角度出发,该软件必须被当作恶意的,认为其将对系统进行破坏。
日常应用的多数软件时良性的 。通常将良性和恶意归为不可信软件。
访问控制基本概念
主体与客体
主体是一个主动的实体,包括用户、用户组、进程等。
客体是一个被动的实体。 在操作系统中,客体可以是按照一定格式存储在一定记录介质上的数据信息(通常以文件系统格式存储数据),也可以是操作系统中的进程。
进程一般有着双重身份,即是主体,又是客体。进程分为用户进程和系统进程:
用户进程是固定为某一用户服务的,它在运行中代表该用户对客体资源进行访问,其权限应与所代表的用户相同(通过用户-主体绑定实现)。
系统进程是动态地为所有用户提供服务的,因而它的权限随着服务对象的变化而变化,这就需要将用户的权限与为其服务的进程的权限动态地相关联(通过用户-主体绑定实现)。
当一个系统进程与:一个特定的用户相关联时,这个系统进程在运行中就代表该用户对客体资源进行访问。
访问控制矩阵
1969年,B.W.Lampson 通过形式化表示方法运用主体(subject)、 客体(object) 和访问矩阵(access matrix)的思想第一次对访问控 制问题进行了抽象。
主体是访问操作中的主动实体,客体是访问操作中的被动实体,即主体对客体进行访问。
访问矩阵是以主体为行索引、以客体为列索引的矩阵,矩阵中的每一个元素表示若干访问方式的集合。访问方式包括 r(读)、w(写)、x(执行)。
引用监控器
访问控制机制的理论基础是引用监控器。 它是一个抽象概念,表现的是一种思想。
访问控制数据库包含有关由主体存取的客体及其存取方式的信息。
引用监控器的关键作用是控制从主体到客体的每一次存取,并将重要的安全事件存入审计文件之中。
安全内核
安全内核是指系统中与安全性实现有关的部分,包括访问控制机制、授权机制和授权管理机制等部分。
安全内核的软件和硬件是可信的,处于安全周界内,但操作系统和应用程序均处于安全周界之外。
安全内核的设计原则如下:
构建安全的基本要素
安全策略(应该做什么)
安全策略是针对系统面临的安全威胁所采取的应对办法,包括有关管理、保护和发布敏感信息的法律、规定和实施细则。
安全机制(应该怎么做)
安全保证
操作系统产品的安全性涉及两个重要因素:产品所能提供的安全功能和安全功能的确信度。
安全保证(又称安全保障)则是通过一定的方法保证操作系统所提供的安全功能确实达到了确定的功能要求,它可以从系统的设计和实现、自身安全、安全管理等方面进行描述,也可以借助配置管理、发行与使用、开发和指南文档、生命周期支持、测试和脆弱性评估等方面所采取的措施来确立产品的安全确信度。
可信计算基 (TCB)
操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员- -起组成了系统的可信计算基(Trusted Computing Base, TCB)。
在一个通用安全操作系统(CC 标准中的评估对象TOE)中,TCB为用以构成一个安全操作系统的所有安全保护装置的组合体。一个TCB可以包含多个TOE安全功能(TSF),每一个TSF实现一个安全功能策略(TSP), 这些TSP共同构成一个安全域,以防止不可信主体的干扰和篡改。同时TCB中的非TSF部分也构成另一个域,称为非安全域。