Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3036554
  • 博文数量: 167
  • 博客积分: 613
  • 博客等级: 中士
  • 技术积分: 5473
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-13 21:35
个人简介

人, 既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,无他,唯智慧耳。

文章分类
文章存档

2015年(19)

2014年(70)

2013年(54)

2012年(14)

2011年(10)

分类: 网络与安全

2014-01-15 16:13:17

     学习了安全操作系统设计中的一些重要方面,如安全模型、安全机制、安全体系、形式化验证、隐蔽信道检测等等,今天来看看宏观上安全操作系统的设计、开发与实现的问题。首先先来看看设计安全操作系统的相关知识:
一、安全操作系统设计
1. 设计原则与一般结构
     Saltzer和Schroder一起提出了安全保护系统的设计原则,主要有:
(1). 最小特权:为使无意或恶意的攻击造成的损失最低,每个用户和程序必须按需使用最小特权;
(2). 机制的经济性:保护系统的设计应小型化、简单、明确,保护系统应该是经过完备测试或严格验证的;
(3). 开放系统设计:保护机制应当公开,理想的情况是将安全机制加入系统后,即便是系统的开发者也不能侵入这个系统;
(4). 完整的存取控制机制:对每个存取访问系统必须进行检查;
(5). 基于“允许”的设计原则:说白了就是“白名单”策略,基于否定的访问控制策略;
(6). 权限分离:实体的存取应该受到多个安全条件的约束;
(7). 避免信息流的潜在通道;
(8). 方便使用友好的用户接口;
     操作系统安全的可信性主要依赖于安全功能在系统中实现的完整性、文档系统的清晰性、系统测试的完备性和形式化验证所达到的程度。操作系统可以看成由内核和应用程序组成的一个大型软件,验证这样一个大型软件的安全性是十分困难的,因此在设计时往往提取安全相关的内核作为安全内核来控制整个系统的安全性,这样的一小部分内核也便于验证和测试,从而用这一小部分的安全可信性来保证整个操作系统的安全可信性。

     安全操作系统的一般结构如图,其中安全内核用来控制整个操作系统的安全操作。可信应用软件由两个部分组成,即系统管理员和操作员进行安全管理所需的应用程序,以及运行具有特权操作的、保障系统正常工作所需的应用程序。用户软件由可信软件以外的应用程序组成。操作系统的可信应用软件和安全内核组成了系统的可信软件,它们是可信计算基的一部分,系统必须保护可信软件不被修改和破坏。
2. 开发方法
     对于安全操作系统的开发优先考虑的是完整性、隔离性、可验证性等三条基本原则。从头开始建立一个完整的安全操作系统的方法并不常见,更多的是在一个非安全操作系统ISOS上增强器安全性,基于非安全操作系统开发安全操作系统一般由三种方法:
(1). 虚拟机法
     虚拟机法就是在硬件和ISOS间插入一个安全内核,由安全内核提供对上层ISOS的接口,将ISOS看作一个虚拟机运行,对于ISOS来说硬件的使用依旧是透明的。这种方法关键依赖于硬件特性,它要求原系统的硬件和结构都支持虚拟机才可以,因此用这种方法开发安全操作系统的局限性很大。(左图为原系统,右侧为虚拟机架构)

(2). 改进/增强法
     在现有操作系统的基础上对其内核和应用程序进行面向安全策略的分析,然后加入安全机制,经改造、开发后的安全操作系统基本上保持了原ISOS的用户接口界面。局限性是受限于ISOS的安全性,改进也很难达到高级别(如B2级别以上),但这种方法不破坏原系统的体系结构,开发代价小。
(3). 仿真法
     对现有的操作系统的内核左面向安全策略的分析和修改形成安全内核,然后在安全内核与原ISOS用户接口界面中间再编写一层仿真ISOS程序,这样在建立安全内核时可以不必受现有应用程序的限制。

二、操作系统安全评测
     操作系统的安全评测主要有两种手段:漏洞扫描与系统安全性评测。
1. 安全漏洞扫描、
     采用专业工具扫描系统,查找可能存在的漏洞,扫描的主要内容是:设置错误、黑客踪迹、木马程序和关键系统文件完整性的威胁。
2. 操作系统安全评测方法
     一个操作系统的安全性是与设计密切相关的,只有有效保证从设计者到用户都相信设计准确地表达了模型,代码准确表达了设计时,该操作系统才可以说是安全的,这也是安全操作系统评测的主要内容。评测操作系统安全性方法主要有三种:形式化验证、非形式化确认和入侵分析。

三、安全操作系统的网络扩展
1. 安全威胁的分类:
(1). 信息泄露
(2). 完整性破坏
(3). 拒绝服务
(4). 非法使用
     针对OSI七层网络模型,我们不是在每个逻辑层上部署独立的安全策略,而是按照不同的安全需求,在不同的协议层中设置相应的安全服务,使各层之间的安全服务能够协同工作,从而达到网络系统的整体安全性。
2. 网络安全策略
     网络安全策略除了网络数据传输保护策略外,网络控制访问策略是一个经常容易被忽视而又非常重要的组成部分。网络数据传输保护策略用来保证网络数据能够可靠地从一端传向另一端,它的最终实现形式就是在两端之间建立了一条可信路径,它所依赖的主要是密码技术。网络控制访问策略师认真区分系统的主体、客体和主体对客体的操作,建立有效的主体对客体的访问控制机制。区分系统的主体和客体需要根据网络中实现的层,比如如果可信网络服务在应用层,那么网络主体就是进程,网络客体就是套接字。网络互相通信的端点需要建立安全域,即制定可以互相兼容的安全策略标准,一个实际的实现是使用IPSec。
阅读(3897) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~