DGSA 安全体系结构 CC 国际通用安全评价准则 regedit.exe 启动注册表编辑器
安全威胁:
1,计算机病毒(寄生性,传染性,潜伏性,隐蔽性,破坏性,可触发性); 2,系统漏洞;
是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从 而可以使攻击者能够在未授权的情况下访问或破坏系统。
3,特洛伊木马;
是一种恶意程序,它悄悄地在宿主机器上运行,能在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。
4,隐蔽通道。
系统中不受安全策略控制的,违反安全策略的信息泄露途径。
操作系统的5个管理功能:
进程与处理机管理、作业管理、存储管理、设备管理、文件管理
操作系统的安全特性: 指操作系统在基本功能基础上增加了安全机制与措施,以保障计算机资源使用 的保密性、完整性和可用性。
可信计算基(TCB) 的定义:
计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
可信计算机系统:一个使用了足够的硬件和软件完整性机制,能够用来同时处理大量敏感或 分类信息的系统。
访问机制的3个要素:客体,主体和授权。 方式:自主访问控制:
基于行的自主访问控制机制:能力表、前缀表、口令。 基于列的自主访问控制机制:保护位、存取控制表。 强制访问控制;
基于角色的访问控制。
自主访问控制的访问许可:等级型、拥有型、自由型
什么是标识?
指用户向系统表明自己身份的过程;
什么是鉴别?
指系统核查用户的身份证明的过程,查明用户是否具有存储权和使用权的过程。
安全审计的概念:
通过事后追查增强系统安全性的安全技术。
一个安全操作系统的审计系统就是对系统中有关安全的活动进行记录、检查及审核。
主要目的:就是检测和阻止非法用户对计算机系统的入侵,并显示合法用 户的误操作。
要求: 1,记录与再现;
2,记录入侵行为; 3,入侵检测;
4,系统本身的安全性。
用户程序与操作系统的唯一接口是系统调用。
审计机制的目标:
1,可以对受损的系统提供信息帮助以进行损失评估和系统恢复;
2,可以详细记录与系统安全有关的行为,从而对这些行为进行分析,发现系统中的不安全因素。
日志分为三类:系统日志,安全日志和应用程序日志。
信息通道:信息在操作系统中经过的道路。
最小特权:指的是在完成某个操作时所赋予系统中每个主体必不可少的特权。
最小特权原则 :限定系统中每个主体所必须的最小特权,确保可能的事故、错误、网络部 件的篡改等原因造成的损失最小。
安全策略的分类: 1,账户策略;
2,本地策略; 3,公钥策略; 4,IP安全策略。
自主访问控制机制的优点和缺点。
优点:灵活性高,被大量采用。 缺点:安全性低。
P38
什么是安全模型?
运用形式化数学符号记录模型来表达对模型精度的要求。
安全模型有: BLP模型,Biba模型,Clark-Wilson完整性模型,中国墙模型,DTE模 型和无干扰模型。
安全模型的特点:
1,安全模型是抽象的、本质的; 2,安全模型是简易的、容易理解的; 3,安全模型是精确的、没有歧义的;
4,安全模型是清晰的,它只涉及安全性质,只描述安全策略,而不过多地描述具体的功能以及实现步骤。
安全模型一般分为形式化模型和非形式化模型。
前者是使用数学模型来描述安全状况; 后者仅用来模拟系统的安全功能。
⊕ 表示最小上界运算符:确定一个安全级集合中的最大安全级;
X 表示最大下界运算符:确定一个安全级集合中的最小安全级。
eg:A-->C and B-->C 推出 A⊕B--->C
访问控制的3个要素:主体、客体和访问权限。
BLP的三方面的内容:元素、系统状态和状态转换规则
保密性模型:BLP模型;
完整性模型:Biba模型、Clark-Wilson模型; 混合型模型:中国墙模型。
BLP模型的安全公理: (向下读,向上写)
1,简单安全性公理; (向下读)
主体的最大安全级必须大于或等于客户的安全级。
2,*属性公理; (向上写)
用以防止信息从高安全级流向低安全级。
3,自主安全性公理; 4,兼容性公理; 5,激活性公理。
向下读,向上写机制保证了信息不会从高保密级别流向低保密级别。
Biba模型: (向上读,向下写)
安全策略:
1,下限标记策略; 2,环策略;
3,严格完整性策略。
五种安全等级:公开、受限、秘密、机密、高密。
Clark-Wilson模型:
控制数据完整性的两个方法:
1,职责分离原则; 2,良构事务原则; 三个组成部分:
1,数据;
2,完整性验证过程; 3,变换过程。
中国墙模型:
基本思想:只允许主体访问与其所拥有的信息没有利益冲突的数据集内的信息。 目的:设计一个规则集使得主体不能访问“墙”另一边的客体。
DTE模型:
建立了两张表:
域定义表(DDT ) 限制域对类型的访问。 域交互表 ( DIT ) 限制域对其它域的访问。 主体(域) 客体(类型)
安全体系结构包含四个方面的内容:
1,制定安全服务及措施; 2,构建安全模块之间的关系; 3,明确设计的基本原理;
4,形成开发过程的大致框架体系与对应的层次结构。
DGSA 安全体系结构
四个层次:
1,抽象体系; 2,通用体系; 3,逻辑体系; 4,具体体系。
主要内容:
1,详细描述; 2,抽象层次; 3,基本原理; 4,框架体系。
典型的安全体系结构:
1,权能体系;
权能:指主体对客体的访问权力以及能力,也可以看成是主体或客体的保护名。
权能机制的组成部分:
标示符:标识客体;
域:定义客体以及定义访问权。
2,Flask体系。
三个组成部分:安全策略服务器,微内核,客体管理器。
安全上下文:是一个长度可变的字符串,能够被了解安全策略的任何 应用或用户解释。
安全标示符(SID)
客体管理器:
1,文件服务器; 2,网络服务器; 3,进程管理器。
Flask体系结构为客户管理器提供了三个基本要素:
1,接口;
2,访问向量缓存模块; AVC(缓存访问向量) 3,接收安全策略变化通知的能力。
第五章
形式化技术的定义:为所研究的系统或者模型建立数学模型,并在形式规格语言的支持 下,提供形式规则说明。
形式化验证的两种技术:
1,模型检验; 2,定理证明。
定义:是指一种在已建立的形式化规范基础上,为了评判系统是否满足预期的 功能,对系统的相关特性进行分析和验证的技术。
层次分解的3种技术:
1,数据结构精化; 2,算法精化; 3,过程抽象。
形式化设计的基本方法:
1,虚拟机法;
2,改进 / 增强法; 3,仿真法。