安全操作系统设计和开发概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,7.5安全操作糸统设计和开发概述,7.5.1安全操作糸统的结构和设计原则,7.5.2安全操作糸统的开发,7.5.3信息糸统安全评估标准简介,docin/sundae meng,7.51安全操作糸统结构和设计原则,7.5.1安全操作糸统的结构和设计原则,安全和保护糸统的设计原则:,1公开糸统设计方索,冷2机制的经济性,冷3最小特权,冷4严蜜的访问控制机制:,5基于“许可”的模式:,6特权分离:,冷7避免信息流潜在通道:,冷8便于使用,docin/sundae meng,安全操作糸统一般结构,应用软件,可信应用软件,安全内核,硬件,docin/sundae meng,计算机糸统中的软件分类,1)可信软件,2)良性软件,3)恶意软件,docin/sundae meng,7.5.2安全操作糸统的开发,1安全操作糸统的研究和发畏,2安全操作糸统的一般开发方法,1)虛拟机法:,2)改讲/增强法,3)仿真法:,docin/sundae meng,安全操作糸统的开发过程,1)糸统需求分析:描述各种不同安全需求;,2)糸统功能描述:准确定义应完成的安全功,能,包括描述验证、即证明描述与需求分,析相符合;,3)糸统实现:设计并建立糸统,包括实现验,证,即论证实现与功能描述相符合。,docin/sundae meng,操作糸统安全性开发过程,全需求分析,抽象和归纳出安全策略,安全模型与糸统,阶段,的对应性说明,建立安全模型,安全机制的设计和实现,安全功能测试,阶段三,安全標作亲统可信度认证,3安全功能和安全保证,冷安全功能包括的安全元素,标识与鉴别、自主访闷控制、强制访问控制,标记容体重用、审计、数据究整性、可信路径,隐蔽信道分析和可信恢复。,安全保证,1)TCB自身安全保护,包括TSF模块、资源利用,TCB访问等;,2)TCB设计和实现,包括配置管理、分发和操作,开发、指导性文档、生命周期支持、测试、脆,弱性评定等;,3)TCB安全管理。docin/sundae men,4安全作糸坑的设计技术,1)隔离技术,2)安全内核,冷安全内核设计和实现原则:,(1)完整性:,(2)隔离性:,(3)可验证性,docin/sundae meng,安全内核监控的基本交互活动,进程激活:在多道程序设计环境下,进程创建和撤,销会频繁发生,进程上下文切换要求改变控制寺存,器、重定位映象、文件访问表、进程状态信息及其,他相关信息,其中许多都是对安全性敏感的信息,区域切换:在一个区域运行的进程频繁地调用或访,问其他区城中的程序和数据,以获取更多敏感数据,和服务。,冷存储保护:因为每个存储区域中都包含代码和数据,安全内核必须监控对主存的引用以确保每个存分,域的保密和完整,/操作:由于所有操作不是向设备写数据就是,从设备接收数据,所以,进行O操作的进程必须,受到对设备读写两邾問控制机制的监督,