安全需求与安全策略.ppt

2020年3月29日星期日 安全操作系统原理与技术 安徽理工大学计算机科学与工程学院信息安全系张柱讲师 2020年3月29日星期日 2 第4章安全需求与安全策略 学习内容 了解操作系统设计时的安全需求 了解安全策略语言和分类 掌握访问控制策略 访问支持策略等本章重点 访问控制策略 范围支持策略 2020年3月29日星期日 3 第4章安全需求与安全策略 6课时 4 1安全需求 1 定义所谓安全需求 就是在设计安全系统时期望得到的安全保障 2 用户对信息系统的安全需求主要包括 机密性需求 完整性需求 可记账性需求 可用性需求 2020年3月29日星期日 4 第4章安全需求与安全策略 6课时 4 2安全策略 所谓安全策略 就是针对面临的威胁决定采用何种对策的方法 安全策略为针对威胁而选择和实行对策提供了框架 4 2 1定义在计算机领域 安全系统的安全就是指该系统达到了当初设计时所制定的安全策略的要求 计算机系统可以用一系列可以改变状态的转换函数组成的有限状态自动机表示 则安全策略可以定义为这样一种状态 它将系统状态分为已授权 安全的状态和未授权 非安全的状态 在有限自动机下 一个安全系统是指 一个如果起始状态为授权状态 其后也不会进入未授权状态的系统 2020年3月29日星期日 5 第4章安全需求与安全策略 6课时 4 2 1定义 如图所示 是一个不安全的系统 因为存在从S1到S3的转换过程 系统就可以从一个授权状态进入一个未授权的状态 在机密性方面 应当标识出所有将信息泄漏给未经授权者的状态 在完整性方面 安全策略应当标识出可用来更改信息的授权途径 同时也要标识出能够更改信息的被授权的实体 在可用性方面 安全策略必须描述应提供什么样的服务 安全策略应描述如何通过系统提供的参数来获得相应的服务并保证服务达到预先设计的质量 2020年3月29日星期日 6 第4章安全需求与安全策略 6课时 4 2安全策略 4 2 2策略语言策略语言是用来表达安全性或完整性策略的语言 高级策略语言使用抽象的方法表达策略对于实体的约束 低级策略语言根据输入或者调用选项来表达对系统中的程序约束 1 高级策略语言策略与实现无关 它描述对系统中实体或行为的约束 高级策略语言对策略的明确表达 这种精确度要求策略以数学的方法用公式来明确陈述 2020年3月29日星期日 7 第4章安全需求与安全策略 6课时 4 2 2策略语言 1 Pandey和Hashii开发了一种针对Java程序的高级策略约束语言 指定了对资源访问的约束以及这些约束是如何继承的 该策略语言 将实体表达为类或方法 类是一些被实施特定的访问约束的对象的集合 方法是调用操作的方法的集合 当主体s创建某个类c的一个实例 称为实例化 记为 s c 当主体s1执行了另一个主体s2 称之为调用 记为 s1 s2 访问约束形式如下 deny sopx whenbop指 或者 s是一个主体 x另一个主体或类 b是一个布尔表达式 约束表明 当条件b为真时 主体s不能对x执行操作 若省去表达式中的x 则说明禁止对所有实体进行操作 2020年3月29日星期日 8 第4章安全需求与安全策略 6课时 4 2 2策略语言 继承 用了将各个访问约束关联起来 如果类c1的父类c2定义了方法f 则c1就继承了f 存在约束如下 deny s c1 f whenb1deny s c2 f whenb2由于子类会继承父类的约束 故b1和b2都约束了c1对f的调用 则隐含的约束是deny s c1 f whenb1 b2这种策略语言忽略了策略的具体实现 2020年3月29日星期日 9 第4章安全需求与安全策略 6课时 4 2 2策略语言 假设策略规定下载程序不能访问Unix系统中的passwd文件 程序使用下面的类和方法访问本地文件classfile publicfile Stringname publicStringgetfilename publiccharread 则存在如下的约束deny file read when file getfilename etc passwd 2020年3月29日星期日 10 第4章安全需求与安全策略 6课时 4 2 2策略语言 2 DTEL策略语言DTEL语言是从Boebert和Kain的研究成果中发展出来的 它将类型限制为两种 数据和指令 DTEL语言根据语言的类型 将低级语言和高级语言的元素结合起来 在实现一级上进行够了来表达约束 DTEL语言将每个客体与一个类型关联 而每个主体以一个域相关联 能够限制域成员对某种类型的客体所能执行的操作 2020年3月29日星期日 11 第4章安全需求与安全策略 6课时 4 2 2策略语言 DTEL将Unix系统分为四个相互隔离的主体域 user d 普通用户域admin d 管理员用户域login d 兼容DTEL认证过程的域daemon d 系统后台守护进程的域login d域中的登录程序控制user d和admin d之间的访问 系统从daemon d域开始运行 2020年3月29日星期日 12 第4章安全需求与安全策略 6课时 4 2 2策略语言 DTEL将Unix的客体分为五个客体型 sysbin t 可执行文件readable t 可读文件writable t 可写文件dte t DTE数据generic t 由用户进程产生的数据DTEL中定义客体型的语句如下 typereadable t writable t sysbin t dte t generic t 2020年3月29日星期日 13 第4章安全需求与安全策略 6课时 4 2 2策略语言 以daemon d域为例 domaindaemon d sbin init crwd writable t rxd readable t rd generic t dte t sysbin t auto login d 说明 当init程序开始运行时 首先在daemon d域中启动 它能够创建 c 读取 r 写入 w 和搜索 d writable t型中的任何客体 也能够读取 搜索和执行 x readable t型中的任何客体 能够读取和搜索generic t sysbin t和dte t型中的任何客体 最后调用登录程序 自动转入login d域中 2020年3月29日星期日 14 第4章安全需求与安全策略 6课时 4 2 2策略语言 策略要求只有管理员主体才可以写系统中的可执行文件 domainadmin d usr bin sh usr bin csh usr bin ksh crwxd generic t rwxd readable t writable t dte t sysbin t sigtstp daemon d 说明 admin d域中的主体只能创建在generic t型中的客体 但可以读 写 执行和搜索任何客体 另外admin d域中的主体还能够利用sigtstp信号将daemon d域中执行的进程挂起 2020年3月29日星期日 15 第4章安全需求与安全策略 6课时 4 2 2策略语言 普通用户域也必须受到类似的约束 domainuser d usr bin sh usr bin csh usr bin ksh crwxd generic t rxd sysbin t rwd writable t rd readable t dte t 说明 user d域中的主体 普通用户 只能写在writable t型中的客体 只能运行sysbin t型中的客体 只能创建generic t型中的客体 但能读 搜索所有型的客体 2020年3月29日星期日 16 第4章安全需求与安全策略 6课时 4 2 2策略语言 登录域 login d 控制对用户域 user d 和管理域 admin d 的访问 这种控制是登录域的唯一功能 对于登录域的访问严格地受到login程序的限制 domainlogin d usr bin login crwd writable t rd readable t generic t dte t setauth exec user d admin d 说明 login d域中的主体不能执行任何其他程序 登录域同时也被授权更改用户ID的权限 2020年3月29日星期日 17 第4章安全需求与安全策略 6课时 4 2 2策略语言 起初 系统在开始于daemon d状态 即initial domain daemon d 系统使用一系列assign语句设置客体的初始型 如 assign rgeneric t assign rwritable t usr var dev tmp assign rreadable t etc assign r sdte t dte assign r ssysbin t sbin bin usr bin usr sbin 其中 r表示该型可以被递归应用 s表示该型与名称绑定 如果客体被删除 则新建的客体的型必须与删除的客体相同 2020年3月29日星期日 18 第4章安全需求与安全策略 6课时 4 2 2策略语言 2 低级策略语言低级策略语言是一系列命令的输入或参数设置 用了设置或检查系统中的约束 例如 Linux窗口系统X11提供了一种对控制台的访问进行控制的语言 该语言有命令xhosts和一种用了允许基于主机名的控卫控制语法组成 如 xhosts groucho chico 2020年3月29日星期日 19 第4章安全需求与安全策略 6课时 4 2安全策略 4 2 3安全策略的分类基于信息应用的场合 将安全策略分为两大类 军事安全策略和商用安全策略 前者侧重信息的机密性要求 后者侧重于信息的完整性 1 基于应用场合的分类1 军事安全策略也称为政府安全策略 是一种以提供信息机密性为主要目的的安全策略 但同时还涉及完整性 可记账性以及可用性 2 商业安全策略以提供完整性为主要目的的安全策略 同时涉及机密性 可记账性以及可用性 2020年3月29日星期日 20 第4章安全需求与安全策略 6课时 4 2 3安全策略的分类 Lipner指出商业安全策略中需要注意五个方面 用户不能写自己的程序 但能使用现有的产品程序和数据库 程序员可以在非产品的系统中开发和测试程序 必须要有一个特殊处理 用了将程序从开发系统安装到产品系统中 方面3 中的特殊处理必须被控制和审计 管理员和审计员能访问系统状态和系统日志 这些要求体现出如下的操作原则 职责分离原则 功能分离原则 审计原则 2020年3月29日星期日 21 第4章安全需求与安全策略 6课时 4 2 3安全策略的分类 2 基于安全策略内涵的分类访问控制策略 基于安全策略内涵中的机密性和完整性要求 访问支持策略 基于安全策略内涵中的可记账性和可用性要求 2020年3月29日星期日 22 第4章安全需求与安全策略 6课时 4 3访问控制策略 在信息系统中与访问控制策略相关的因素有三大类 主体 客体以及相应的可用作访问控制的主客体属性 4 3 1访问控制属性1 主体所谓主体 就是指系统内行为的发起者 通常是指由用户发起的进程 对于系统中的用户而言 可以分为如下几类 普通用户 user 信息拥有者 owner 系统管理员 administrator 2020年3月29日星期日 23 第4章安全需求与安全策略 6课时 4 3 1访问控制属性 2 客体是指信息系统内所有主体行为的直接承担者 可分为如下几类 一般客体 设备客体 特殊客体3 主 客体属性访问控制策略还包括以下几个因素 主体的属性 客体的属性 系统的环境或上下文属性 每个系统必须选择以上三类相关的属性进行访问控制策略的决策 2020年3月29日星期日 24 第4章安全需求与安全策略 6课时 4 3 1访问控制属性 1 主体属性 用户特征 是系统用来决定访问控制的最常用因素 通常用户的任何属性都可以作为访问控制的决策点 常用的用户属性有 用户ID 组ID 用户访问许可级别 需知 原则 角色 能力列表 2020年3月29日星期日 25 第4章安全需求与安全策略 6课时 4 3 1访问控制属性 2 客体属性 客体特征 客体特征属性包括如下几个方面 敏感性标签 访问控制列表 外部状态 数据内容 上下文环境 其他 2020年3月29日星期日 26 第4章安全需求与安全策略 6课时 4 3访问控制策略 4 3 2自主访问控制策略相对于强制访问控制策略 自主访问控制策略能够提供一种更为精细的访问控制粒度 一般来说 自主访问控制策略是基于系统内用户加上访问授权 如能力列表CLs 或者客体的访问属性 如ACL 来决定该用户是否具有相应的权限访问客体 也可以基于要访问的信息内容或是基于用户在发出对信息访问相应请求时所充当的角色来进行访问控制的 在实际的计算机内 自主访问控制策略使用三元组 S O A 表示 相对于强制访问控制策略中的访问模式只能是 读 和 写 自主访问控制策略的优点还表现在其访问模式设定非常灵活 自主访问控制策略的灵活性特征 使得它更适用于各种操作系统和应用程序 2020年3月29日星期日 27 第4章安全需求与安全策略 6课时 4 3 2自主访问控制策略 自主访问控制策略的缺点 不能防范 特洛伊木马 或某些形式的 恶意程序 为此 在系统内进行自主访问控制的同时 利用强制访问控制策略加强系统的安全性就显得非常重要 2020年3月29日星期日 28 第4章安全需求与安全策略 6课时 4 3访问控制策略 4 3 3强制访问控制策略强制访问控制策略既可以防止对信息的非授权篡改 也可以防止未授权的信息泄漏 在特定的强制访问控制策略中 标签可以不同的形式来实现信息的完整性和机密性 在强制访问控制机制下 系统的每个用户或主体被赋予一个访问标签 以表示该主体对敏感客体的访问许可级别 每个客体被赋予一个敏感性标签 用来表示该信息的敏感性级别 引用监视器 通过比较主 客体相应的标签来决定是否授予主体对客体的访问请求 在强制访问控制策略中 访问三元组 S O A 与自主访问控制相同 但访问方式A只能取 读 和 写 2020年3月29日星期日 29 第4章安全需求与安全策略 6课时 4 3 3强制访问控制策略 强制访问控制策略的显著特征是 全局性 和 永久性 即在强制访问控制策略中 无论何时何地 主 客体的标签是不会改变的 这一特征在多级安全体系中称为 宁静性原则 对于具体的访问控制策略 如果同时具备 全局性 和 永久性 特征 其标签集合在数学上将形成 偏序关系 即支持如下的三个基本特征 反身性 x x 反对称性 x y且y x 则x y 传递性 x y且y z 则x z 在访问控制策略中 访问标签集合中的元素之间的关系于上述三种特征中的任何一种不符合 强制访问策略的两大特征 即全局性和永久性必有一个要被破坏 2020年3月29日星期日 30 第4章安全需求与安全策略 6课时 4 3 3强制访问控制策略 综上所述 若一个访问控制策略使用的主客体访问标签不满足 偏序 关系 则此访问控制策略不能称为强制访问控制策略 只能称为自主访问控制策略 强制访问控制策略和自主访问控制策略在功能上的最大区别在于是否能够防备 特洛伊木马 或 恶意 程序的攻击 若一个系统内存在两种强制访问控制策略 则该系统内的主 客体必有两类不同的访问标签 每类标签于一个强制访问控制策略对应 2020年3月29日星期日 31 第4章安全需求与安全策略 6课时 4 4访问支持策略 访问支持策略用来保障访问控制策略的正确实施提供可靠的 支持 所有这些策略统称为访问支持策略 通常 这类安全策略是为了将系统中的用户与访问控制策略中的主体联系起来 访问支持策略包含多个方面 以TCSEC为例 它将系统的访问支持策略分为六类 标识与鉴别 可记账性 确切保证 连续保护 客体重用 隐蔽信道处理 2020年3月29日星期日 32 第4章安全需求与安全策略 6课时 4 4访问支持策略 4 4 1标识与鉴别TCSEC的标识与鉴别策略要求以一个身份来标识用户 并且此身份必须经过系统的认证与鉴别 可以用作身份认证的信息主要有 用户所知道的信息 用户名 口令机制 用户所拥有的信息 智能卡机制等 用户是谁 生物学特征 1 基于第一类信息的最常见的实现形式是用户口令机制 基于口令形式的身份认证机制 其有效性取决于用户口令的安全性 2020年3月29日星期日 33 第4章安全需求与安全策略 6课时 4 4 1标识与鉴别 在美国国防部密码管理指南中 提供了一套基于口令的用户认证机制 包括 安全管理职责 用户职责 技术因素 2 基于第二类信息身份认证 利用用户所拥有的东西来作为对其身份的认证 3 基于第三类信息的身份认证是依赖于用户的生物学特征 2020年3月29日星期日 34 第4章安全需求与安全策略 6课时 4 4访问支持策略 4 4 2可记账性可记账性 又称为审计 它是现实生活中的复式簿记的数字化反映 对高度重视安全的地方极其重要 TCSEC的可记账性策略要求任何影响系统安全性的行为都要被跟踪并记录下了 系统TCB必须拥有将用户的ID与它被跟踪 审计的行为联系起来的能力 TCSEC标准规定审计系统应能够记录以下事件 与标识和鉴别机制相关的事件 将客体导入用户地址空间的操作 对客体的删除 由系统管理员或安全管理员所执行的所有操作 以及其他与安全相关的事件等 2020年3月29日星期日 35 第4章安全需求与安全策略 6课时 4 4 2可记账性 对事件的审计记录项至少应包括事件发生的日期和时间 用户ID 事件的类型 事件成功或失败 对于B2级以上的系统 要求审计系统能够记录用来探测隐蔽存储通道 对于识别与鉴别机制相关事件的审计 审计记录还应包括请求源 对于将客体导入用户地址空间的操作和删除可以的操作 审计记录应包括客体的名称以及客体的安全级别 一个良好的审计系统能够选择需要记录的审计事件是必备的功能 2020年3月29日星期日 36 第4章安全需求与安全策略 6课时 4 4访问支持策略 4 4 3确切保证定义 是指系统事先制定的安全策略能够得到正确的执行 且系统保护相关的元素能够真正精确可靠的实施安全策略的意图 作为扩展 确切保证 必须确保系统的TCB严格按照事先设计的方式来运行 为了达到这些目标 TCSEC规定了两种类型的 确切保证 生命周期保证 安全系统开发企业从系统设计 开发和分发 安装 维护各个环节所制定的措施 目标以及执行的步骤 包括安全性测试 设计规范和验证等 操作保证 主要针对用来保证系统在操作过程中安全策略不会被歪曲的功能特征和系统架构 包括系统架构 系统的完整性 隐蔽信道分析 可信实施管理以及可信恢复 2020年3月29日星期日 37 第4章安全需求与安全策略 6课时 4 4访问支持策略 4 4 4连续保护TCSEC的连续保护策略要求 可信机制的实施必须连续不断地保护系统免遭篡改和非授权的改变 并且要求连续保护机制必须在计算机系统整个生命周期内起作用 4 4 5客体重用定义 重新分配给某些主体的介质包含有一个或多个客体 为安全地重新分配这些资源的目的 这些资源在重新分配给新主体时不能包含任何残留信息 2020年3月29日星期日 38 第4章安全需求与安全策略 6课时 4 4访问支持策略 4 4 6隐蔽信道TCSEC中定义为 可以被进程利用 以违反系统安全策略的方式进行非法传输信息的通信通道 包括两类 存储隐蔽信道和时间隐蔽信道 存储隐蔽信道 包括所有允许一个进程直接或间接地写存储客体 而允许另一个客体对该客体进行直接或间接的读访问的传输手段 时间隐蔽信道 包括进程通过调节自己对系统资源的使用向另一个进程发送信号信息 后者通过观察响应时间的改变而进行信息传输的手段 2020年3月29日星期日 39 第4章安全需求与安全策略 6课时 4 5DTE策略 1991年BrienR O 和RogersC 提出了DTE访问控制技术 它依据安全策略限制进程进行访问 是TE策略的扩展 DTE使域和每个正在运行的进程相关联 型和每个对象关联 如果一个域不能以某种模式访问某个型 则该域的进程不能以该模式访问那个型的对象 当进程试图访问文件时 DTEUnix系统内核在做标准Unix许可检查之前 作DTE许可检查 一个域的进程访问一个型中的客体时 访问模式包括 读 r 写 w 执行 x 目录查找 d 型创建 c 每个i节点包括三个指针 分别表示目录或文件的型etype值 目录下所有文件或子目录的型 包括该目录rtype值和目录下所有文件或子目录的型 不包括该目录utype值 2020年3月29日星期日 40 第4章安全需求与安全策略 6课时 4 5DTE策略 以下的规则决定一个文件的型 设置文件的etype 如果存在一条规则将etype赋给一个文件 则就使用这条规则 如果不存在这样一条规则 但存在一条规则将rtype赋给这个文件 则该文件的etype就与rtype一样 如果也不存在 则该文件的型就由其父目录的utype继承得到 设置文件的utype 如果存在规则将utype赋给一个文件 则就使用这条规则 如果不存在 但存在规则将rtype赋给该文件 则该文件的utype与rtype一样 如果也不存在 则文件的utype型由其父目录的utype继承得到 设置文件的rtype 如果存在规则将rtype赋给一个文件 则就使用这条规则 如果不存在 则该文件的rtype为空 2020年3月29日星期日 41 第4章安全需求与安全策略 6课时 4 5DTE策略 当一个域的入口点文件执行时 有三类可能的域转化 自动转化 自愿转换 空的转化 DTE策略文件由四个部分组成 列举出所有的域和型 给出所有域的详细定义 制定文件系统根及其缺省类型 还指定一个初始域 列出型分配规则 DTE使用友好的高级语言来指定策略 2020年3月29日星期日 42 第4章安全需求与安全策略 6课时 4 5DTE策略 4 5 1域的划分DTE把所有进程划分为7个域 1 守护进程域 daemon d 与系统守护进程相关的域 包括init 初始域 入口文件 sbin init域daemon d可以自动转化到login d和trusted d 域daemon d中定义 rxd bin t 即允许域daemon d中的进程读 执行和搜索系统二进制文件 但不能修改 rd base t conf t 即允许守护进程读取 但不能修改基型文件和系统配置文件 其中conf t型包括 etc下的所有文件 base t包括系统根目录下的所有未赋其它型的文件 2020年3月29日星期日 43 第4章安全需求与安全策略 6课时 4 5 1域的划分 2 可信域 trusted d 与系统可信进程 fsck mount mfs syslogd 相关的域入口文件 sbin fsck mount mfs usr sbin syslogd当daemon d中的进程调用域trusted d的入口文件时 则域login d自动转化到域trusted d trusted d域不再转化到其他域 trusted d域中定义 rwd syslog t disk t 即域trusted d可以读 写和查找型syslog t和型disk t syslog t型赋给系统审计日志文件 usr var log usr var run syslog pid utmp 型disk t赋给了磁盘设备文件 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h rd base t conf t 即允许可信域中的守护进程读取但不能修改基型文件和系统配置文件 2020年3月29日星期日 44 第4章安全需求与安全策略 6课时 4 5 1域的划分 3 注册域 login d 与DTElogin相关的域入口文件 usr bin dtelogin当daemon d中的进程调用域login d的入口文件时 域daemon d自动转化到域login d 实际上 当用户域user d 系统域system d或管理域admin d调用login d域的入口文件时 都可自动转化到login d域 只有通过login d域才能按要求转化到user d system d和admin d 因此login d是不可以绕过的 只有一个二进制文件可以允许在login d域中 即dtelogin 2020年3月29日星期日 45 第4章安全需求与安全策略 6课时 4 5 1域的划分 login d域中定义了 rd base t conf t secpolicy t syslog t secpolicy log t cipher t 即允许login程序读取 搜索但不能修改基型文件 系统配置文件 安全策略文件 系统日志文件 密码文件 安全策略日志文件 secpolicy t赋给 dte下的所有文件 cipher t赋给目录 etc下不包括本身的文件 master passwd spwd db pwd db passwd和其他与认证相关的文件 w usr log t 即login程序可以写访问usr log t型文件 usr log t型赋值给 usr var log下 不包括目录本身 的两个文件wtmp lastlog 2020年3月29日星期日 46 第4章安全需求与安全策略 6课时 4 5 1域的划分 对login程序的扩展和增强可以通过如下方式 注册时 用户提出角色和域要求 如果用户被认证通过所要求的角色 且域要求允许 login程序调用初始域中域角色 域相关的该用户shell 从而按要求转化到另一个域 注意 普通用户角色和进入系统管理域admin d的管理用户角色都可以使用特权 调用 usr bin passwd 来修改自己的口令 而进入管理域admin d用户角色则可以直接修改所有用户口令 2020年3月29日星期日 47 第4章安全需求与安全策略 6课时 4 5 1域的划分 4 用户域 user d 与普通用户的会话相关的域 入口文件 各种shell程序 bin ash bash csh sh tcsh 两种方式可以进入到域user d 注册时 若用户提出普通用户角色要求并认证通过 login程序将调用初始域中与普通用户角色相关的用户shell 域login d特权 从而按所提出的要求转化到域user d 若管理域admin d中的管理员 提出转化到用户域user d的请求 并调用域user d的入口shell程序 则按要求从admin d转化到user d 2020年3月29日星期日 48 第4章安全需求与安全策略 6课时 4 5 1域的划分 user d域可以转化到network appli d域和login d域 user d中的某个进程调用域network appli d的入口文件 ftp telnet http等网络应用相关的程序 就自动转化到network appli d域中 调用login d域的入口文件 就可以自动转化到login d中 user d定义了 user d域允许读取和查找系统中的所有文件 不过 对这些文件的访问还要受到普通Unix机制的额外限制 x bin t base t user t 即user d域可以执行二进制文件 基型文件和user d域创建的文件 user t型赋值给 home的所有文件 包括目录本身 crwxd user t 其中 c 表示对于域user d中创建爱的对象 如果没有被进程指定型 则自动赋行user t 2020年3月29日星期日 49 第4章安全需求与安全策略 6课时 4 5 1域的划分 域user d里的进程可以修改或创建型为writable t 创建时明确指定型 的文件 管理员用户必须通过注册域login d注册到管理域admin d 才可以实现所有的管理功能 系统操作员也必须通过注册域login d注册到系统操作域system d才可实现所有特定的系统操作 2020年3月29日星期日 50 第4章安全需求与安全策略 6课时 4 5 1域的划分 5 系统操作用户域 system d 与系统操作用户的会话相关的域 入口文件 各种shell程序 bin ash bash csh sh tcsh 若用户提出管理用户角色 系统管理员sysadmin 安全管理员secadmin 审计管理员audadmin或网络管理员netadmin 要求并认证通过 且要求进入到系统域system d login程序将调用初始域中与该管理用户角色 域system d相关的用户shell 域login d特权 从而按所提出的要求转化到域system d 可见 以上5个管理角色都进入同一个域 即system d中 但system d域中每个系统用户的访问权限是该管理用户角色特权和域system d的权限交集 2020年3月29日星期日 51 第4章安全需求与安全策略 6课时 4 5 1域的划分 system d可转化到域network appli d login d和daemon d 当system d中某个进程调用域network appli d的入口文件 ftp telnet http等网络应用相关的程序 就自动转化到network appli d域中 调用login d域的入口文件 就可以自动转化到login d中 提出请求转化到域daemon d并执行域daemon d的入口程序 sbin init 则进入daemon d system d域允许读取和查找系统中的所有型的文件 system d域中的操作员不能做一些重要的系统修改 但能使修改生效 system d可以发送信号sigstp到域daemon d 以重启系统 2020年3月29日星期日 52 第4章安全需求与安全策略 6课时 4 5 1域的划分 6 管理域 admin d 与系统管理会话相关的域 入口文件 各种shell程序 bin ash bash csh sh tcsh 用户注册到系统时 若用户提出管理用户角色 系统管理员sysadmin 安全管理员secadmin 审计管理员audadmin或网络管理员netadmin 要求并认证通过 且要求进入到管理域admin d login程序将调用初始域中与该管理用户角色相关的 该用户shell 域login d特权 从而按所提出的要求转化到域admin d 可见 以上5个管理角色都进入同一个域 即管理域admin d中 但admin d域中每个系统用户的访问权限是该管理用户角色特权和域admin d的权限交集 2020年3月29日星期日 53 第4章安全需求与安全策略 6课时 4 5 1域的划分 admin d域可以转化到network appli d域 login d域和trusted d域 当admin d的某个进程调用域network appli d的入口文件 ftp telnet http等网络应用相关的程序 就自动转化到network appli d域中 调用login d域的入口文件 就可以自动转化到login d中 提出请求转化到域trusted d并执行域trusted d的入口程序 sbin fsck usr sbin syslogd等 则进入trusted d 域admin d允许读 写和查找系统中的所有型的文件 安全管理员可以创建和修改DTE策略文件 多级安全策略文件和密码文件 cipher t 审计管理员可以创建和修改系统日志文件syslog t和usr log t型文件 网络管理员可以创建和修改网络配置文件来管理网络 2020年3月29日星期日 54 第4章安全需求与安全策略 6课时 4 5 1域的划分 7 网络应用域 network appli d 域网络应用进程相关的域 入口文件 Mosaic netscape ftp telnet http等域网络应用相关的可执行程序 三种方式可以进入到域network appli d 当user d中的某个进程调用network appli d域的入口文件 就自动转到域network appli d中 当域system d中的某个进程调用域network appli d的入口文件 就自动转入其中 当admin d域中的某进程调用域network appli d的入口文件 就自动转入其中 域network appli d不再进入到其他域 当域network appli d的进程终止后 域network appli d无效 2020年3月29日星期日 55 第4章安全需求与安全策略 6课时 4 5 1域的划分 network appli d域限制其中的进程修改系统重要文件 即使获得特权也不例外 所有在域network appli d里创建文件 若没有被指定型 则自动被赋予network t 型network d赋予如下文件 usr home ken MCOM HTTP cookie file MCOM preferences MCOM bookmarks html MCOM cache usr home ken mosaic global history mosaic hotlist default mosaicpid mosaic personal annotations 域network appli d可以执行系统二进制文件和型network t的文件 除writable t的文件外 只能写型network t的文件 型writable t赋予目录 user var dev tmp下的所有文件 2020年3月29日星期日 56 第4章安全需求与安全策略 6课时 4 5DTE策略 4 5 2型的划分DTE把所有文件和客体为15种型 1 base t 基型文件系统根目录下 包括根目录 的所有为经其他赋型语句赋型的目录或文件 又称缺省型 2 bin t系统二进制文件 包括 目录 bin sbin usr bin sbin 目录 usr contrib bin usr libexec和其下的所有文件 目录 usr games usr local etc和其下的所有文件 文件 etc uucp daily weekely uuxqt hook 2020年3月29日星期日 57 第4章安全需求与安全策略 6课时 4 5 2型的划分 3 conf t系统配置文件 包括 文件 etc uucp daily weekely uuxqt hook 型bin t 文件 etc master passwd spwd db pwd db passwd 型cipher t 目录 etc及其下的其他文件4 writable t可能被多数进程更新的系统信息文件 包括普通设备文件 包括 目录 usr var log及其下的所有文件 型syslog t 文件 usr var run syslog pid utmp 型syslog t 文件 usr var log wtmp lastlog 型user log t 目录 usr var及其下的所有文件 除了文件 dev kmem mem drun 型trusted t 文件 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h trusted t 2020年3月29日星期日 58 第4章安全需求与安全策略 6课时 4 5 2型的划分 目录 dev及其下的其他文件 目录 tmp及其下的其他文件5 user t用户文件 用户宿主目录及其下的所有文件6 secpolicy t安全策略文件 包括 除了 dte DTE策略日志文件外的 dte目录及其下的所有文件 除了 多级策略目录名 多级策略日志文件外的目录 多级策略目录名 及其下的所有文件 2020年3月29日星期日 59 第4章安全需求与安全策略 6课时 4 5 2型的划分 7 syslog t系统日志文件 包括 目录 usr var log及其下的所有文件 文件 usr var run syslog pid utmp 8 usr log t用户日志文件 只有login程序能写该型文件 包括 usr var log wtmp lastlog 9 secpolicy log t安全策略日志文件 包括 dte DTE策略日志文件 多级策略目录名 多级策略日志文件 2020年3月29日星期日 60 第4章安全需求与安全策略 6课时 4 5 2型的划分 10 cipher t密码文件 包括 文件 etc master passwd spwd db pwd db passwd 与认证和安全策略相关的数据库和表work t由网络应用写的文件 包括 文件 usr home ken MCOM HTTP cookie file MCOM preferences MCOM bookmarks html MCOM cache usr home ken mosaic global history mosaic hotlist default mosaicpid mosaic personal annotations 其他网络应用可写访问的文件 e g ftp telnet 2020年3月29日星期日 61 第4章安全需求与安全策略 6课时 4 5 2型的划分 12 trusted t可信进程 包括 程序 usr bin dtelogin 程序 sbin fsck mount mfs 程序 usr bin syslogd 程序 usr bin dtepasswd13 mem t内存设备特殊文件 包括 文件 dev kmem mem drun dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 2020年3月29日星期日 62 第4章安全需求与安全策略 6课时 4 5 2型的划分 14 disk t磁盘设备特殊文件 包括 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 15 lp t打印设备文件 包括 dev lp0 lp1 lp2 2020年3月29日星期日 63 第4章安全需求与安全策略 6课时 4 5DTE策略 4 5 3赋型规则采用assign语句进行赋型 其中参数 r 表明将型赋值给后面的路径下的所有文件 s 表明与文件相关的型在运行时不能改变 即使该文件已经被另一个不同的文件取代 例如 assign rbase t assign rsecpolicy t dte 2020年3月29日星期日 64 第4章安全需求与安全策略 6课时 4 5 3赋型规则 12 trusted t可信进程 包括 程序 usr bin dtelogin 程序 sbin fsck mount mfs 程序 usr bin syslogd 程序 usr bin dtepasswd13 mem t内存设备特殊文件 包括 文件 dev kmem mem drun dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 2020年3月29日星期日 安全操作系统原理与技术 谢谢大家