海南大学：《信息安全导论 Introduction to Information Security》课程教学资源（课件讲稿）第5章 操作系统安全

第5章操作系统安全 本章学习要点： √了解安全操作系统的安全策略与模型。 √了解安全操作系统的访问控制机制。 √了解安全操作系统的评测方法与准测

第5章 操作系统安全 本章学习要点：  了解安全操作系统的安全策略与模型。  了解安全操作系统的访问控制机制。  了解安全操作系统的评测方法与准则

5.1安全操作系统概述 1.定义及术语 √可信计算基(Trusted Computing Base,TCB):计算机系统内保护装置的总体， 包括硬件、固件、软件和负责执行安全策略的组合体。 自主访问控制(Discretionary Access Control,DAC):用来决定一个用户是否有 权限访问此客体的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统 中的其他用户对此客体的访问权

5.1 安全操作系统概述 1. 定义及术语  可信计算基（Trusted Computing Base，TCB）：计算机系统内保护装置的总体， 包括硬件、固件、软件和负责执行安全策略的组合体。  自主访问控制（Discretionary Access Control，DAC）：用来决定一个用户是否有 权限访问此客体的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统 中的其他用户对此客体的访问权

√敏感标记(Sensitivity Label):用以表示客体安全级别并描述客体数据敏感性的一组 信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。 √强制访问控制(Mandatory Access Control,MAC):用于将系统中的信息分密级和 类进行管理，以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约 束机制。 √角色(Role):系统中一类访问权限的集合。 √隐蔽信道(Covert Channel):允许进程以危害系统安全策略的方式传输信息的信道。 √客体重用(Object Reuse):对曾经包含一个或几个客体的存贮介质（如页框、盘扇面 、磁带)重新分配和重用

 敏感标记（Sensitivity Label）：用以表示客体安全级别并描述客体数据敏感性的一组 信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。  强制访问控制（Mandatory Access Control，MAC）：用于将系统中的信息分密级和 类进行管理，以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约 束机制。  角色（Role）：系统中一类访问权限的集合。  隐蔽信道（Covert Channel）：允许进程以危害系统安全策略的方式传输信息的信道。  客体重用（Object Reuse）：对曾经包含一个或几个客体的存贮介质（如页框、盘扇面 、磁带）重新分配和重用

√可信通路(Trusted Path):终端人员能借以直接同可信计算基通信的一种机制。该机 制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软件模仿。 多级安全(MultiLevel Secure,MLS):一类包含不同等级敏感信息的系统，它既可 供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息 安全操作系统(Secure Operating System):能对所管理的数据与资源提供适当的保 护级、有效地控制硬件与软件功能的操作系统。 √多级安全操作系统(Multilevel Secure Operating System):实现了多级安全策略的 安全操作系统，比如符合美国TCSEC B1级以上的安全操作系统

 可信通路（Trusted Path）：终端人员能借以直接同可信计算基通信的一种机制。该机 制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软件模仿。  多级安全（MultiLevel Secure，MLS）：一类包含不同等级敏感信息的系统，它既可 供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息 。  安全操作系统（Secure Operating System）：能对所管理的数据与资源提供适当的保 护级、有效地控制硬件与软件功能的操作系统。  多级安全操作系统（Multilevel Secure Operating System）：实现了多级安全策略的 安全操作系统，比如符合美国TCSEC B1级以上的安全操作系统

2.安全操作系统 √从安全角度来看，操作系统软件的配置是很困难的，配置时一个很小的错误就可能导 致一系列安全漏洞。每一个与安全相关的漏洞都会使整个系统的安全机制变得毫无价 值。 从计算机信息系统的角度分析，操作系统、数据库管理系统与网络系统的安全问题是 核心。 √操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用

2.安全操作系统  从安全角度来看，操作系统软件的配置是很困难的，配置时一个很小的错误就可能导 致一系列安全漏洞。每一个与安全相关的漏洞都会使整个系统的安全机制变得毫无价 值。  从计算机信息系统的角度分析，操作系统、数据库管理系统与网络系统的安全问题是 核心。  操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用

5.2安全策略与安全模型 5.2.1安全策略 √安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细侧。 √说一个操作系统是安全的，是指它满足某一给定的安全策略。 进行安全操作系统的设计和开发时，也要围绕一个给定的安全策略进行。 安全策略由一整套严密的规则组成，这些确定授权访问的规则是决定访问控制的基础

5.2 安全策略与安全模型 5.2.1安全策略  安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。  说一个操作系统是安全的，是指它满足某一给定的安全策略。  进行安全操作系统的设计和开发时，也要围绕一个给定的安全策略进行。  安全策略由一整套严密的规则组成，这些确定授权访问的规则是决定访问控制的基础

1.军事安全策略 √军事安全策略是基于保护机密信息的策略。每条信息被标识为一个特定的等级，如公 开、受限制、秘密、机密和绝密。这些等级构成了一个层次结构。 公开 受限制 秘密 机密 绝密

1.军事安全策略  军事安全策略是基于保护机密信息的策略。每条信息被标识为一个特定的等级，如公 开、受限制、秘密、机密和绝密。这些等级构成了一个层次结构。 受限制 机密 秘密 绝密 公开

2.商业安全策略 √一个大的机构，如一家公司或一所大学，可能会被分成许多个组或者部门，他们各自 负责不同的项目。当然，还可能存在一些机构级的职责，比如财务或者人事。位于不 同级别的数据项具有不同的安全等级，例如：公共的、专有的或内部的。 √商业信息安全和军事信息安全有两个很显著的区别 >第一，通常没有正式的“许可”概念 >第二，允许访问的规则不太规范

2.商业安全策略  一个大的机构，如一家公司或一所大学，可能会被分成许多个组或者部门，他们各自 负责不同的项目。当然，还可能存在一些机构级的职责，比如财务或者人事。位于不 同级别的数据项具有不同的安全等级，例如：公共的、专有的或内部的。  商业信息安全和军事信息安全有两个很显著的区别  第一，通常没有正式的“许可”概念  第二，允许访问的规则不太规范

(1)Clark-Wilson商业安全策略 √为良构事务(Well-Formed Transaction)提供的策略 考虑这样一个例子：一家公司预订货物，然后付款。典型的流程如下所示： 采购员先做一张供应订单，并把订单同时发给供货方和收货部门。 供货方将货物运到收货部门。接收员检查货物，确保收到货物的种类和数量是正确的，然后 在送货单上签字。送货单和原始订单再交给财务部门。 供货方将发票送到账务部门。财务人员将发票同原始订单进行校对（校对价格和其他条款） 和将发票同送货单进行校对（校对数量和品种），然后开支票给供货方。 √用受约束数据项来表达策略，受约束数据项由转变程序(Transformation Procedure )进行处理。 √ 将策略定义为访问三元组(Access Triples)

（1）Clark-Wilson商业安全策略  为良构事务（Well-Formed Transaction）提供的策略  考虑这样一个例子：一家公司预订货物，然后付款。典型的流程如下所示：  采购员先做一张供应订单，并把订单同时发给供货方和收货部门。  供货方将货物运到收货部门。接收员检查货物，确保收到货物的种类和数量是正确的，然后 在送货单上签字。送货单和原始订单再交给财务部门。  供货方将发票送到账务部门。财务人员将发票同原始订单进行校对（校对价格和其他条款） 和将发票同送货单进行校对（校对数量和品种），然后开支票给供货方。  用受约束数据项来表达策略，受约束数据项由转变程序（Transformation Procedure ）进行处理。  将策略定义为访问三元组（Access Triples）

The Clark-Wilson Model Rather than dealing with document confidentiality and/or integrity, the Clark-Wilson(CW)model deals with systems that perform transactions. It describes mechanisms for assuring that the integrity of such a system is preserved across the execution of a transaction.Key components of the CW model include the following: Integrity constraints that express relationships among objects that must be satisfied for the system state to be valid.A classic example of an integrity constraint is the relationship stating that the final balance of a bank account after a withdrawal transaction must be equal to the initial balance minus the amount withdrawn. Certification methods that verify that transactions meet given integrity constraints.Once the program for a transaction is certified,the integrity constraints do not need to be verified at each execution of the transaction. Separation of duty rules that prevent a user that executes transaction from certifying it.In general,each transaction is assigned disjoint sets of users that can certify and execute it,respectively. 10

The Clark-Wilson Model • Rather than dealing with document confidentiality and/or integrity, the Clark-Wilson (CW) model deals with systems that perform transactions. • It describes mechanisms for assuring that the integrity of such a system is preserved across the execution of a transaction. Key components of the CW model include the following: – Integrity constraints that express relationships among objects that must be satisfied for the system state to be valid. A classic example of an integrity constraint is the relationship stating that the final balance of a bank account after a withdrawal transaction must be equal to the initial balance minus the amount withdrawn. – Certification methods that verify that transactions meet given integrity constraints. Once the program for a transaction is certified, the integrity constraints do not need to be verified at each execution of the transaction. – Separation of duty rules that prevent a user that executes transaction from certifying it. In general, each transaction is assigned disjoint sets of users that can certify and execute it, respectively. 10