高级操作系统讲义i

发布 2021-04-24 07:43:28 阅读 2011

cc标准内容。

包括3部分。

1 介绍和模型。

2 安全功能要求。

3 安全保证要求。

1 介绍和模型。

目前,it安全性评估通用标准(cc)已成为评估信息系统及其安全性的世界通用准则。

cc的开发目的:使各种安全评估结果具有可比性,在安全性评估过程中,为信息系统及其产品的安全功能和保证措施,提供一组通用要求,并确定一个可信级别。

应用cc的结果是:可使用户确定信息系统及安全产品对他们的应用来说,是否足够安全,使用中的安全风险是否可以容忍。

要评估的信息系统和产品被称为评估对象(toe),如操作系统、分布式系统、网络及其应用等。

cc标准中的缩写及其术语。

缩写。eal (evaluation assurance level,评估保证级别)

由保证组件构成的包,该包代表了cc预定义的保证尺度上的一个位置。

toe (target of evaluation,评估对象)

作为评估主体的it产品和系统相关的管理员、用户指南文档。

pp (protection profile, 保护轮廓)

一组独立实现的,满足特定用户需求的toe安全要求。

tsp (toe security policy, toe 安全策略)

规定toe中资产管理、保护和分配的一组规则。

sf (security function, 安全功能)

为执行tsp中一组紧密相关的规则子集,必须依赖的部分toe。

sep (security function policy, 安全功能策略)

sf执行的安全策略。

sof (strength of function,功能强度)

toe安全功能的一种指标,指通过直接攻击其基础安全机制,攻破安全功能所需的最小代价。

st (security target, 安全目标)

作为指定的toe评估基础的一组安全要求和规范。

tsf (toe security function, toe安全功能)

正确执行tsp必须依赖的全部toe硬件、软件和固件的集合。

tsc (tsf scope of control, tsf控制范围)

在toe中发生,并服从tsp规则的集合。

tsfi(toe security function interface,tsf 安全功能接口)

一组交互式编程接口,通过它tsf访问、调配toe资源或者从tsf获取信息。

术语。资产。包。组件。

赋值。保证。

攻击潜能。增强。

用户。认证数据。

授权用户。类。

外部it实体。

连通性。依赖性。

元素。评估。

评估机构。评估方案。扩展。族。

形式化。个人用户。

身份。非形式化。

内部通信信道。

toe内部传输。

tsf间传输。

迭代。客体。

组织安全策略。

产品。访问监督器。

访问确认机制。

细化。角色。

秘密。安全属性。

安全目的。选择。

半形式化。基本级功能强度。

中级功能强度。

高级功能强度。

主体。系统。

toe资源。

toe安全策略模型。

tsf控制外传输。

可信通道。可信路径。

tsf数据。

用户数据。安全性概念:

1) 安全上下文。

安全性损坏一般包括:资产暴露于未授权的主体,资产由未授权的更改而损坏,资产的正当访问权被未授权主体的剥夺。

它们分别使资产丧失保密性、完整性和可用性。

2) 安全环境。

包括所有相关的法律法规、组织安全策略、习惯、专门技术和知识。

3) 安全目标。

应和已确定的toe运行目标、产品目标以及已知物理环境一致。

4) it 安全要求。

分为安全功能要求和安全保证要求2类。

5) toe概要规范。

定义了toe安全要求的实例。它给出了满足功能要求的高层次安全功能定义,以及确保功能要求满足保证要求的措施。

6) toe实现。

cc方法。1)开发。

开发过程中逐步对安全要求进行细化,最终成为安全目标(st)中的toe概要规范。

cc保证标准包含功能定义、高层次设计、低层次设计和实现抽象层次,要求开发者说明其开发方法是如何满足特定保证级别的cc保证要求的。

2) toe评估。

可以与开发过程同步进行或者随后进行。

toe的评估过程要求具备:

一套toe证据,包括一套评估过的st作为toe评估的基础。

评估所需要的toe。

评估准则、评估方法和评估认证体系。

评估可以发现开发者问题,修改toe错误和弱点,减少将来运行时,安全性失效的可能。

3) 运行。

用户可选用评估过的toe。在试运行后,运行结果将反馈给开发者,以修改toe或者重新定义其安全要求及假定的运行环境。

cc描述材料。

1) 安全要求的表达。

2) 安全要求的使用。

3) 安全要求的**。

评估类型。1) pp评估。

2) st评估。

3) toe评估。

2 安全功能要求。

描述toe所期望的安全行为,目标是pp或st中陈述的安全目标。

cc提出了11个功能类,包括:

安全审计类。

通信类。密码支持类。

用户数据保护类。

标识和鉴别类。

安全管理类。

隐秘类。tsf保护类。

资源利用类。

toe访问类。

可信路径/通道类。

3 安全保证要求。

定义了安全保证要求,包括衡量保证尺度的评估保证级(eal),组成保证级别的每个保证组件,以及pp和st的评估准则。

评估保证级。

1)ealcc对toe的保证等级定义了7个增强的eal。

2)功能测试eal1

目标:适用于对正确运行需要一定信任,但安全威胁不严重的场合。

它为用户提供一个toe评估,包括依据一个规范的独立测试,以及对所提供的指导性文档的检查,即使没有toe开发者的帮助,eal1评估也能成功进行,而且所需费用最少。

2) 结构测试eal2

目标:eal2在设计和测试时,需要与开发者合作,但不需要增加过多的投入,适用于低到中等级别的安全系统。

eal2 通过功能和接口规范、指导性文档和toe高层设计,对安全功能进行分析。

这种分析由以下测试支持:toe安全功能独立性测试;开发者基于功能规范进行测试得到的证据;对开发者测试结构的选择性独立确认;功能强度分析;开发者搜索的脆弱性分析和基于更详细的toe规范的独立性测试,实现在eal1基础上安全保证的增强。

4) 系统测试和检查eal3

目标:eal3不对现有的合理开发实践作大规模的改变,适用于中等级别的安全系统。

通过更完备的安全功能测试范围,以及要求提供toe在开发过程中不被篡改的可信任机制或程序,实现在eal2基础上安全保证的增强。

5) 系统设计、测试和复查eal4

目标:在通常情况下,对一个已存在的系统进行改造时,eal4是所能达到的最高安全级别。

通过要求更多的设计描述,提供toe在开发或交付过程中,不会被篡改的可信性的改进机制或程序,实现在eal3基础上安全保证的增强。

6) 半形式化设计和测试eal5

目标:适用于较高风险环境下的安全toe的开发,这里受保护的资源值得花费教大的额外开销。

通过要求半形式化的设计描述,整个实现;更结构化的体系;隐蔽信道分析;以及提供toe在开发过程中不会被篡改的可信性的改进机制或程序,实现在eal4基础上安全保证的增强。

7) 半形式化验证的设计和测试eal6

目标:适用于高风险环境下的安全toe的开发,这里受保护的资源值得花费很大的额外开销。

通过要求更全面的分析,实现的结构化表示,更体系化的结构,更全面的脆弱性分析,系统化隐蔽信道识别,以及改进的配置管理和开发环境控制等,实现在eal5基础上安全保证的增强。

8) 形式化验证的设计和测试eal7

适用于安全toe的开发,该toe应用在风险非常高的场合或有**值资产值得保护的地方。

通过要求形式化表示、形式化分析、以及更全面的测试,实现在eal6上安全保证的增强。

第六节。unix 操作系统的安全性。

系统具有两个执行态。

核心态:运行内核中程序的进程处于核心态。

用户态:运行核外程序的进程处于用户态。

一旦用户程序通过系统调用进入内核,便完全与用户隔离,从而是内核中的程序可对用户的存取请求进行不受用户干扰的访问控制。

标识。在安全结构上,linux与unix基本上是相似的。如无特别说明,对unix的叙述对linux也是通用的。

标识。unix的各种管理功能都被限制在一个超级用户(root)中,其功能和windows nt的。

管理员(administrator)功能类似。

作为超级用户,可以控制一切,包括:用户帐号、文件和目录、网络资源。超级用户允许你管理所有资源的各类变化情况,或者只管理很小范围的重大变化。

作为超级用户,可以控制那些用户能够进行访问,以及他们可以把文件存放在那里,控制用户能够访问那些资源,用户如何进行访问等。

鉴别。用户登录系统时,需要输入口令来鉴别用户身份。

当用户输入口令时,unix使用改进的des算法(通过调用crypt()函数实现)对其加密,并将结果与存储在/etc/passwd或nis(网络信息系统)数据库中加密用户口令进行比较;

存取控制。unix文件系统控制文件和目录中的信息存在磁盘及其他辅助存储介质上,它控制每个用户可以访问何种信息及如何访问。

它表现为一组存取控制规则,用来确定一个主体是否可以存取一个指定客体。

unix的存取控制机制通过文件系统实现。

权限有3种;

r 允许读。

w 允许写。

x 允许执行。

用户有3中类型。

owner: 该文件的属主,文件的拥有者。

group: 该文件所属用户组中的用户,即同组用户。

other:其他用户。

unix系统中,每个进程都有真实uid、真实gid、有效uid、有效gid。当进程试图访问文件时,核心进程的有效uid、gid和文件的存取权限位中相应的用户和组进行比较,决定是否赋予其相应权限。

审计。unix系统的审计机制监控系统中发生的事件,以保证安全机制正确工作,并及时对系统异常报警提示。审计结果常写在系统的日志文件中。

最常用的大多数版本的unix都具有的审计服务程序是syslogd。

当前的unix/linux系统很多都支持“c2级审计”,即达到了由tcsec所规定的c2级的审计标准。

密码。当前unix系统中常使用的加密程序有:

crypt 最初的unix加密程序;

des 数据加密标准。

一般在使用passwd程序修改密码时,如果输入的密码安全性不够,系统会给出警告,说明密码选择很糟糕,这时最好再换一个。绝对避免使用用户名或者其变化形式,因为有的破解程序就使用用户名来回变换测试。

unix/linux可以提供一些点对点的加密方法,以保护传输过程中的数据,一般情况下,当数据在internet网中传输时,可能要经过许多网关。在这个过程中,数据很容易被窃取。

高级操作系统讲义

北京邮电大学计算机。学院 一上课基础。学习过本科操作系统课程。熟悉一种程序设计语言。二参考书 1 何炎祥等高级操作系统。科学出版社,1999年。2 何炎祥分布式操作系统。高等教育出版社,2005年。3 andrew s.tanenbaumdistributed operating systems.中...

高级操作系统讲义

1.网络操作系统 具有网络功能的操作系统,无严格定义。ms dos 1 网络通信能力。2 提供网络服务 网络上各节点的主机运行自身的操作系统,它不仅要保证本机的系统进程或用户进程能简便 有效地使用网络中各种资源 同时,也为网中其它用户使用本机资源提供服务。os 网络协议。2 分布式操作系统。每台计算...

高级操作系统讲义g

第十一章恢复与容错。11 1 具有容错能力的应用程序。基于事务型 基于进程控制型 11 2 事务恢复。事务的原子化特征要求 所有已提。交的事务对数据项的影响都。已反应到数据项中,所有未提交或。异常终止的事务对数据项的。影响应全部撤消。假定 服务器运行时,将所有的数。据项都保存在易失性存储器。中,并把...