版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
操作系统安全部分答案1.安全性与操作系统之间的关系是怎样的?2.从操作系统安全的角度如何理解计算机恶意代码、病毒、特洛伊木马之间的关系?恶意代码指的所有感染计算机并且造成破坏的程序,病毒是恶意代码的一种,可以复制感染计算机程序造成破坏。而特洛伊木马是一种载体,它伪装成合法的程序,在执行的时候才把隐藏在其中的恶意代码释放,如病毒、蠕虫等。3.从操作系统面临的安全威胁看,密码服务与操作系统安全功能之间的关系如何?密码服务虽然主要依赖于应用层的密钥管理功能,但是如果操作系统无法保护数据文件,无法有效的保护密钥,那么数据加密的作用将大大降低,所以操作系统安全是密码服务的基石。4.简述操作系统安全和信息系统安全之间的关系?操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用,没有操作系统提供的安全性,信息系统的安全性是没有基础的。5.简述安全操作系统研究的主要发展过程。6.Linux自由软件的广泛流行为什么会对我国安全操作系统的研究与开发具有积极的推进作用?1.安全操作系统的安全功能与安全保证之间有怎样的关系?安全功能主要说明操作系统所实现的安全策略和安全机制符合评价准则哪一级的功能要求。而安全保证则是通过一定的方法保证操作系统所提供的安全功能确实达到了确定的功能要求。2.从操作系统安全的角度如何区分可信软件与不可信软件?软件保证能安全运行,并且后来系统的安全也依赖于软件的无错操作。3.在操作系统中哪些实体即可以是主体又可以为客体?请举例说明。在操作系统中,进程作为用户的客体,同是又是其访问对象的主题。4.如何从安全策略、安全模型和系统安全功能设计之间的关系上,来验证安全内核的安全?安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。JP指出要开发安全系统首先应该建立系统的安全模型。=5.为什么要将可信的管理人员列入可信计算基的范畴?由于系统管理员的误操作或恶意操作也会引起系统的安全性问题,因此他们也被看做TCB的一部分。1.Linux系统中运行状态分为用户态和核心态两种,所有的I/O指令只能通过系统调用陷入核心态才能使用。因此基于Linux内核中的程序,可以据此对用户的请求进行完备的访问控制,为什么?2.在安全操作系统中,对于用户的标识与鉴别需要注意哪些问题?请设计一个用户登录的模拟流程。口令的内部存储实行一定的访问控制和加密处理,保证口令数据库不被未授权用户进入或者修改。传输实施保护。限制登录次数;检查用户安全属性;审计。3.自主访问控制与强制访问控制是安全操作系统常用的两种访问控制机制,请分别简述两种访问控制的基本内容以及他们之间的异同点。自主访问控制用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。客体的属主对自己的客体进行管理,由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体。强制访问控制将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。首先主体只有通过两者才能访问一个客体,强制访问能避免一些主体通过意外事件,或者有意识的操作逃过安全检查。4.在自主访问控制中常有几种表达访问控制的方式?分别简述它们的主要内容并且分析各自的优缺点。基于行:能力表(比较完备,但是非常耗时间)、前缀表(需要唯一客体名,实现困难)、口令(确认用户身份很有效,但是需要用户记录大量口令,同时该机制也有口令泄露的危险)基于列:保护位(不能完备表达,很少使用)、访问控制表(效率提高)。5.为什么在实现了强制访问控制的不同系统中,访问控制的主/客体范畴,控制规则可能会有所不同?用户的安全级是系统管理员根据安全策略确定。客体安全级和创建该客体的安全级有关6.在一个安全操作系统中,特权的设置与访问控制机制的关系是怎样的?任何一个用户都不能获取足够的权力破坏系统的安全策略。7.请简述POSIX权能遗传机制与最小特权管理实现方法。一个有程序文件实例化产生的进程映像,exec系统调用可以为其限定最大权限范围:一方面,执行程序的主体进程映像能够限制程序实例化的进程映像的权能;另一方面,基于程序文件的权能状态,可以为其实例化的进程增加一个或者多个其前驱进程所不允许的权能。对可执行文件赋予相应的特权集,对于系统中的每个进程,根据其执行的程序和所代表的的用户,赋予相应的特权集。一进程请求一个特权操作,将调用的特权管理机制,判断该进程的特权集中是否具有这种操作特权。8.在一个没有提供可信路径的系统中,如何模拟实现一个特洛伊木马?请给出其流程,并说明如何通过可信路径机制来限制它。特洛伊木马伪装成一个登陆终端;可信路径能保证用户通过终端直接和内核通信。9.在一个安全操作系统中,审计日志空间满了以后怎么办?请给出几种可行的设计思路。删除较早的记录。将日志文件转储到其它存储媒体。1.何为系统安全需求、安全策略以及安全模型?试述它们三者之间的关系。2.为什么在高等级安全操作系统中强调使用形式化的安全模型?一个形式化安全模型的设计步骤是什么?3.什么是状态机模型?为什么状态机模型在安全模型中得到了成功的应用,而没有在软件开发中得到广泛推广?4.简述BLP安全模型,谈谈已有的一些对BLP安全模型的看法。5.简述Biba和Clark-Wilson这两种完整性模型,比较他们之间的优缺点。6.简述BN中国墙模型与侵略型中国墙模型设计思想,比较它们在冲突类定义上的区别。7.RBAC存取控制机制的要点是什么?试述RBAC存取控制机制的主要类型和各自的特点。8.试述信息流模型结构和隐通道分析之间的关系。9.试述无干扰模型主要思想及其用途。1.何谓安全体系结构?其出现的背景是什么?安全体系结构的内容:详细描述系统中安全相关的所有方面;在一定的抽象层次上描述各种安全相关模块之间的关系;提出指导设计的基本原理;提出开发过程的基本框架及对应于该框架体系的层次结构。2.安全体系结构主要类型有哪些?抽象体系;通用体系;逻辑体系;特殊体系;3.列举计算机系统安全体系结构设计的基本原则。从系统设计之初就考虑安全性;应尽量考虑未来可能面临的安全需求;隔离安全控制,并使其极小化;实施特权极小化;结构化安全相关功能;使安全相关的界面友好;不要让安全依赖于一些隐藏的东西。4.简述Flask安全体系结构。提供从一个安全服务器重新访问、标记和多实例决策接口。提供一个访问向量缓存器,允许客体管理器缓存访问决策结果;提供客体管理器接收和处理安全策略变动通知的能力。5.什么是策略的可变通性?意义是什么?存在不同的安全需求,为了获得大范围的使用,安全方案必须是可变通的,足以支持大范围的安全策略。适应今天的分布式环境。6.何谓策略的吊销?试分析实现的困难性。安全策略的改变要求在安全服务器和对象管理器之间进行协调以确保它们的策略表达式是一致的。安全服务器让对象处理器注意到已改变的策略;其次对象管理器更新内部状态以反映;最后让安全服务器注意到改变已完成。7.Flask体系和权能体系能不能算一个完整的体系?请说明理由。一个完整的体系结构应当包括以下几个方面:第一,详细描述系统中安全相关的所有方面。包括系统可能提供的所有安全服务及保护系统自身安全的所有安全措施。第二,在一定的抽象层次上描述各个安全相关模块之间的关系。第三,提出知道设计的基本原理。根据系统设计的要求及工程设计的理论和方法,明确系统设计的各个方面的基本原则。第四,提出开发过程的基本框架及对应该框架体系的层次结构。一般包括两个阶段,系统开发的概念化阶段和功能化阶段。概念化阶段是安全概念的最高抽象层次的处理,如系统安全策略,要求的保障制度,系统安全要求对开发过程的影响,及总体的知道原则。功能化阶段是对安全体系的进一步细化从而放映出系统的结构。Flask体系结构和权能体系结构应该能算是一个完整的体系结构,因为它们包含了一个完整的体系结构应当包含的内容8.分析Flask体系和通用存取框架(GFAC)之间的关系。在最高层的抽象中,Flask可变通性安全模式与访问控制通用框架(GFAC)是一致的。然而GFAC模式假定系统所有的控制操作是由同样的策略考虑的原子操作来执行的,在实际系统中非常难以达到,这也是Flask系统必须克服的主要障碍。9.试述软件体系域安全体系的关系。软件体系结构是具有一定形式的结构化元素,即构件的集合,包括处理构件、数据构件和连接构件。处理构件负责对数据进行加工,数据构件是被加工的信息,连接构件把体系结构的不同部分组组合连接起来。安全体系结构的设计目标是为了保护信息的机密性、完整性和可用性。它们是可以相互借鉴统一的,因为安全体系结果本来就是软件体系中特殊的一种。10.试述LSM安全框架设计思想与实现方法,以及对Flask体系结构的支持。LSM钩函数。在特定的内核数据结构中加入安全域;在内核代码中的管理域和实现访问控制的关键点插入对钩子函数的调用;加入一个通用的安全系统调用;允许内核模块注册为安全模块或者注销一个安全模块;将大部分权能逻辑移植为一个可选的安全模块。LSM试图回答以下问题:”一个护体S可以对核心内部实体O执行核心操作吗?”即(S,O,P)判定问题。LSM具有以下特征:1.真正通用,不同的安全模型的实施仅仅是加载不同安全模块。2.概念上简单,最小的扩散,有效;3.能过作为一个可选安全模块,支持现有的POSIX,1e权能逻辑。1.什么是形式化验证技术、形式化安全验证技术?简述两者之间的关系。允许一个计算机系统的功能规范、开发过程和验证过程中使用一种严格的数学注释。使用一种形式化规范语言区描述一个系统以使得它的一致性、完备性和正确性可以用一种系统的方式来获得。用形式化规范和形式化验证等形式化开发手段来提高系统的可信程度。形式化安全策略模型->形式化安全规范->系统具体代码。2.简述可用于安全操作系统的形式化开发学的主要要点。首先对系统安全模型进行改写、扩充形成形式化顶层规范。一致性验证。形式化顶层规范被改写扩充为更详细的3.可用于形式化验证中的主要层次分解技术有哪几种?分别简述其主要特点。安全模型,形式化规范,实现。数据结构精化;算法精化;过程抽象;最高层状态机的规范与模型一致;最高层状态机的抽象程序正确地实现了它的规范。4.构成形式化验证系统的主要结构有哪些?他们的主要功能是什么?规范语言和处理器:用一种简洁的详细方式精确描述由一个给定程序系统所提供的功能;验证条件生成器:一个条件产生器把一个程序和有关这个程序的一个断言作为输入,生成器用以宣称这两者是一致的公式。定理证明器:用于处理由一个规范处理器,或者一个验证条件生成器所产生的公式。5.Gypsy规范语言的主要特点有哪些?第一可以在规范,实现和验证过程中采用增量和并行的处理手段。第二GVE验证系统也支持自动证明,通过对并发存取控制、例外处理和数据抽象等支持实现。第三组成Gypsy系统的语言和工具即不隐含一个特定的开发策略又不假设任何诸如多级安全那样的特定应用,而且验证环境的不但可以用于设计证明,而且也擅长处理实现证明。6.列举Gypsy验证环境的主要组件的功用。语法指示编辑器允许用户直接编辑用于语法分析的Gypsy语句,语法分析器通过检查Gypsy规范,找出可能的语法和语义错误,并且生成一个可用于系统其它部分的中间形式的代码。验证条件生成器首先确定通过一个例程的所有途径,然后为每一个途径生成一个验证条件。定理证明器试图证明每一个定理,执行程序则负责协调其他部件,提出可能的行动建议和处理终端通信。另外还有一个单独的交叉编译器用于接受验证系统的并生成平台代码。7.ASOS系统设计中形式化安全验证的主要保障目标是什么?简述相应的技术路线。证明ASOS内核的TCB顶层设计实现了BLP类型的多级安全特性。8.为什么在ASOS系统证明中使用分割-征服技术?简述特点。使用分割-征服技术将客体属性结构分析,通过不断地把证明缩减到客体属性结构中越来越窄的部分,最终达到一个可以被表明是根据这个内核调用的否定例外条件所得出的这证明。使用该方法可减少用于证明在一个单个客体系统中安全性保持过程中所需的步骤数。1.何为隐蔽信道?其特征是什么?给定一个强制访问控制模型M,及其在一个操作系统的解释I(M),I(M)中两个主体I(Sh)和I(Sl)之间的通信是隐蔽的,当且仅当两个主体中的任何通信都是非法的。2.隐蔽信道主要分为几类?存储通道/定时通道;噪音通道/无噪通道。3.简述隐蔽信道分析与自主访问控制策略(DAC)和强制访问控制(MAC)的关系。隐蔽通道和自主安全策略无关;隐蔽通道依赖于强制访问策略。4.当前主流的隐蔽信道分析技术有哪些?比较分析各种隐蔽通道分析技术的优劣。句法信息流分析、无干扰分析、共享矩阵分析法、语意信息流分析法、隐藏流树分析。5.给出实现SRM分析法的传递闭包的操作算法。一个TCB原语间接访问属性y,指的是该原语可以读的属性变量x能被某个TCB函数写访问,而该TCB函数能够读变量y。将对变量所有间接读操作,并将相应的项加入矩阵中,直到矩阵不发生变化。6.请比较Denning信息流与Tsai信息流法的异同;Denning信息流分析首先假定了每个变量或者客体都带有特定安全级标签或者存取类(显式或者隐式)。Tsai认为这些变量的安全级别能根据有标签的客体之间的信息流而动态变化。7.在一个文件锁通道中,如果测得a=1,b=1.414,c=1.586,.d=2.0000,请计算这个通道的最大的可达带宽。1+X^-(1+2)-X^-(1)-X^-(2)-X^-(1.411+1.586)=08.请比较隐蔽通道带宽计算的形式化方法和非形式化方法在假设前提和计算结果上有何不同。两种方法得到的隐蔽通道带宽数值答题相等,但是形式化方法是优于非形式化方法,因为形式化方法不仅能计算出最大可达带宽,而且该方法还定义了一个真实使用的场景。9.简述隐蔽通道的处理技术,并具体分析系统审计在隐蔽通道处理中的作用和优缺点。消除法、带宽限制法和威慑法。基本原则:1.通道带宽低于某个预先设定的指数b的隐蔽通道都可以接受。2.带宽高于b的隐蔽存储通道应该都可以审计,所有不能审计的都应该计入文档。使得管理员可以察觉并从程序上采取纠正措施对付重大的威胁。3.高于带宽的预定上限,比如B,,应该尽可能消除或者降低到B以下。标识每次隐蔽通道的使用事件;识别通道的发送者和接收者,即通道的用户。不能区分隐蔽通道的使用事件与TCB原语的合法使用事件;很难从隐蔽信道用户中区分发送者和接收者。1.操作系统安全评估与操作系统安全评测的区别是什么?2.请简述操作系统安全的评测方法。3.美国国防部可信计算机系统评测准则主要内容是什么?4.中国GB-17859-1999划分为哪几级?请比较各级之间的主要差别;5.请比较中国GB-17859-1999的第四级要求与美国TCSEC的B2级的异同。6.通过安全准则CC主要分为哪几个部分?并简述描述。7.国际通用准则CC比美国国防部可信计算机系统评测准则主要做了什么改进?8.可否用CC标准的保护轮廓定义书来对应编写美国TCSEC相应评价级的安全要求?1.何为网络体系结构?当前主流的网络体系结构主要有哪些?试述它们之间的异同点。通常将网络的层次结构,协议栈和相邻层间的接口以及服务器统称为网络体系结构。当前主要的网络体系结构有:OSI参考模型和TCP/IP参考模型。OSI参考模型分为7层,由低到高依次是物理层,数据链路层,网络层,会话层,表示层和应用层。TCP/IP参考模型没有明确区分服务,接口和协议的概念,它包含应用层,传输层,网络互联层和网络接口4个层次。TCP/IP把OSI的会话层,表示层,应用层合并为应用层2.列举网络中的主要安全威胁。针对数据传输的威胁:会导致信息泄露和完整性破坏,例如:数据信息的窃听,数据信息的篡改,数据传输的抵赖,中间人攻击等等;针对网络协议栈本身设计漏洞的威胁:会导致拒绝服务,例如:地址欺骗攻击,Ping攻击,SYN攻击等等;以网络系统为通道的计算机系统内部威胁:不破坏网络系统,仅仅是借助网络系统来对计算机内部系统进行非法的数据获取或修改,会导致信息泄露,完整性破坏和非法使用,例如:旁路控制,特洛伊木马,授权侵犯等等。3.列举网络中的主要安全服务。网络系统应当提供的主要安全服务主要包括:认证服务:提供某个实体的身份保证;访问控制服务:保护资源以免对其进行非法使用和操纵;数据机密性服务:保护信息不被泄露或暴露给未授权的实体;数据完整性服务:保护数据以防未授权的改变,删除或替代;非否认服务:防止参与某次通信交换的一方事后会否认本次交换曾经发生过;网络安全检测服务:对系统的运行状态进行监视,发现各种攻击企图,攻击行为或者攻击结果;审计服务:对系统记录和过程的检查和审查,协助攻击的分析,收集证据以用于起诉攻击者;攻击监控和报警响应服务:对攻击事件的监视与控制,提供对攻击事件的报警与响应。4.试述网络安全策略和操作系统安全策略之间的关系。系统的安全策略是保护系统安全运行的一组规则,同样网络安全策略用于保证网络系统按照一组制定的规则安全运行。系统安全策略中最主要的就是系统的访问控制策略。网络安全策略除了网络数据传输保护策略外,网络访问控制策略也是一个非常重要的组成部分。网络数据保护策略用来保证网络数据能够可靠地从一端传向另一端。5.什么是安全域?试述安全域间的通信类型。一组具有相同安全策略的节点的集合称为一个安全域。主要存在3种通信类型:第一,在同一安全域内,为每一节点提供数据安全信息标识与传输机制,它能够为将要发送的数据包写入安全信息,当数据包到达目的端后,目的端能够利用从数据包中获得的安全信息进行访问控制;第二,在不同安全域之间通信时,发送方和接收方对安全信息的解释不同,这就需要一个策略映射组件来执行安全信息之间的转换,这样数据包就可以从一个安全域发送到另一个安全域中。第三,非安全域内节点所产生的数据包不携带任何安全信息。此时,利用一种扩充的默认安全信息标识策略,这种策略可以适用于全域。当数据进入某个安全域时,用位于域入口的或某个节点的策略默认标识组件为数据进行默认的安全信息标识。6.简述网络中的存取控制机制,以及和安全操作系统中的存取控制机制之间的关系。网络系统的存取访问控制机制是系统访问控制机制在网络子系统的扩展。传统的系统访问控制机制是建立在BLP安全模型基础上的。BLP模型体现了机密性策略的自主访问控制和强制访问控制。DTE模型是一个比较典型的用于实现完整性策略的安全模型,它能够建立保护完整性的强制访问控制机制。在网络环境下,依然可以用BLP模型和DTE模型来指导建立保护网络子系统机密性和完整性的强制访问控制机制,但是用于环境的不同,需要进行适当的调整。7.什么是网络中数据安全信息标识与传输机制?数据安全信息标识与传输机制是安全域内节点能够共享对方安全信息的基础。这其中涉及到两个主要问题。其一是如何将安全信息在协议栈中进行标识和传递,使得安全信息能够被写入到发送的数据包中,还可以从接受的数据包中读出安全信息。其二是采用什么编码方式将安全信息绑定到数据包中,这种传递安全信息的方式必须是可行的,不能对原来的协议栈传输产生过多的影响。8.数据传输保护机制有哪些?在当机系统下,数据安全传输保护机制一般是物理保护,但是在分布环境下,物理保护是难以做到的。所以,数据安全传输保护机制通常是依赖于密码技术来提高供逻辑保护的密码服务机制。将密码服务放在网络栈中的哪一层是一个非常复杂的问题,它对服务的实施特性和程度有很大影响。有三种可选的解决方案:第一,将密码服务放在数据链路层。在数据链路层实施加密有两个优点,一是相对于在高层运行的应用程序的透明性,另一个是可以在硬件中实施加密。同时也有几个缺点,如果在不同的节点之间有中间节点,由于在这个节点上必须解密以获得继续处理该数据所必须的信息,所以在中间节点就可以观测到数据的明文;此外,由于所有的中间节点都需要相互交换密钥,这使得必须花费相当的代价来对密钥进行有效的管理。第二,将密码服务放在网络层。IPsec为IP层的认证和加密提供了一个标准,在IPv4中是可选的,在IPv6中是必需的。IPsec实现在IP层,与TCP/UDP等上层协议无关,所以对应用透明,无须改变相应的应用程序。IPsec能够在IP层提供灵活多变的实现方式,可以是端到端的,子网到子网的,也可以是端到子网的。IPsec的一个缺点是它不直接支持两端用户之间的安全关联,它只能够认证到主机地址级别。第三,将密码服务放在传输层,Netscape’s的安全套接字协议层(SSL)提供了一个在应用层进行认证和加密的标准。SSL有独立于上层应用协议和无须改动操作系统的优点。SSL协议有一个问题就是它对于应用程序不是透明的,有安全需求的网络应用程序需要进行改写以符合标准。此外,相对于IPsec协议,它不能提供对IP头信息的完整性保护,而且只支持端到端的方式。1.基本概念:可信计算、可信构建模块(TBB)、可信边界、信任链扩展可信计算:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 预防医学试题及答案
- 学校食堂食品从业人员考试题及答案
- 四川南充市高坪中学2024-2025学年九年级下学期语文中考模拟预测(三)(文字版含答案)
- 湖南省益阳市高职单招2026-2026学年综合素质自考预测试题(含答案)
- 蚌埠市公路工程试验检测师资格考试(公共基础)全真模拟试题及答案(2026年)
- 2026年山西职业技术学院单招职业技能考试题库及答案
- 2026年保安员资格考试复习试题多选题50题及答案
- AM通信原理课程设计
- 音乐可视化网页设计入门课程设计
- 城市轨道轨道课程设计
- 学堂在线 运动与减脂塑形 结课考试答案
- 人工智能教育应用(北师大)2024学堂在线雨课堂网课章节测试答案和期末考试答案
- 汽机专业试题及答案
- 2025产品责任保险合同范本
- 新概念英语第二册课后答案全部超级详细的哦
- GB/T 1040.1-2025塑料拉伸性能的测定第1部分:总则
- SL631水利水电工程单元工程施工质量验收标准第3部分:地基处理与基础工程
- 《智慧园艺》课程教学大纲
- JBT 7946.2-2017 铸造铝合金金相 第2部分:铸造铝硅合金过烧
- 2024年四川省电力交易员竞赛选拔考试参考题库(含答案)
- 医院培训课件:《ICU获得性衰弱症及其干预》
评论
0/150
提交评论