操作系统设计原理 课件第8章 操作系统安全

第8章操作系统安全本章目标：掌握操作系统安全的基本原理及实现方法能够识别操作系统安全功能实现的关键环节和影响因素能够认识到操作系统安全功能实现有多种方案可选择，能够通过文献研究，在多种方案中，寻求一种更合适的解决方案能够遵循系统化的基本要求，确定解决操作系统安全问题的设计目标和技术方案能够运用所学知识解决操作系统安全设计与实现问题，能在设计实现中体现创新意识第8章操作系统安全8.1概述8.2安全评估与标准8.3安全机制8.4安全模型8.5安全体系结构8.6相关实例8.1概述8.1.1信息系统安全性8.1.2操作系统的安全性8.1.1信息系统安全性信息系统安全如果一个信息系统的软硬件资源在任何情况下都是按照预先设计的方式来使用和存取，那我们可以说一个信息系统是安全的。信息系统安全中最重要的是计算机系统的安全，其综合了计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的技术。计算机系统安全国际标准化组织(ISO)：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。也可以定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”计算机系统安全的特性：可用性（Availability）：得到授权的实体在需要时可访问资源和服务。可靠性（Reliability）：可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。保密性（Confidentiality）：保密性是指确保信息不暴露给未授权的实体或进程。不可抵赖性（Non-Repudiation）：也称作不可否认性。不可抵赖性是计算机系统中交换信息的双方（人、实体或进程）信息真实同一的安全要求，它包括收、发双方均不可抵赖。其他安全特性：可控性：可控性就是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计，对信息的传播及内容具有控制能力。可审查性：使用审计、监控、防抵赖等安全机制，使得使用者（包括合法用户、攻击者、破坏者、抵赖者）的行为有证可查，并能够对出现的安全问题提供调查依据和手段。。认证：保证信息使用者和信息服务者都是真实声称者，防止冒充和重演的攻击。访问控制：保证信息资源不被非授权地使用。访问控制根据主体和客体之间的访问授权关系，对访问过程做出限制。计算机系统安全的层次硬件安全为计算机系统提供存储和运行保护。存储保护是指保护用户所存储的数据，实现所存储数据的安全和可靠，不因为存储硬件的损坏而丢失数据；运行保护是将计算机系统划分为若干个运行态，并对指令集进行划分，使某些指令只能在相应的运行态中执行。例如，可只运行特权指令执行于管态，而非特权指令运行于目态。计算机系统安全的层次软件安全计算机系统中信息的存取、处理和传输满足安全策略。安全策略是使计算机系统安全的一组对信息存取和传递控制的规则，访问控制则根据安全策略对计算机系统中的信息存取进行控制。实体安全使存储介质、外部设备得到保护。如防火、防盗、防电磁辐射等。人员安全对计算机系统操作人员进行安全技术培训和安全意识教育。8.1.2操作系统的安全性1．操作系统安全应具有功能有选择的访问控制：限制对特定对象的访问对计算机级别、对目录或文件级；内存管理与对象重用：进程终止，内存将被重用之前，将其中的内容清空。审计能力：测试其完整性事件跟踪、事件浏览、报表功能、审计事件、审计日志访问。加密的数据传送：网络传输的安全性加密的文件系统：具有访问权的用户访问；安全的进程间通信机制：禁止高安全等级进程传递信息给低安全等级进程。2．安全操作系统的设计原则最小权限：问题：过多的权利导致信息泄露；每个用户及程序应拥有尽可能小的权限；机制的经济性：问题：带来系统开销，性能下降；保护系统的设计应是小型化的开放式设计仅依赖于一些保密信息；2．安全操作系统的设计原则完整的策划每个存取都必须被检查。权限分离问题：安全性判断条件不可太单一；形成制约机制；最少通用机制共享实体有信息流的潜在通道；采取物理或逻辑分离的措施。8.1.3操作系统安全的基本概念计算机信息系统(ComputerInformationSystem)：是一个由计算机实体、信息和人三部分组成的人机系统。确切地说计算机信息系统是指由计算机及配套的设备，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。安全边界(SecurityPerimeter)：指用于处理敏感信息的设备在有效的物理和技术控制下，所形成的防止未授权进入或敏感信息泄露的空间，该空间用半径来表示。安全策略(SecurityPolicy)：是对资源进行分配、保护和管理的一组规则。安全模型(SecurityModel)：用形式化描述如何实现机密性、完整性和可用性的安全要求。安全要素(secureconfigurationManagement)：控制系统中硬件与软件结构更改的一组规程。安全内核(SecurityKerriel)：计算机系统中控制对系统资源的访问来实现安全规程的中心部分。8.1.3操作系统安全的基本概念主体(Subject)：引起信息在客体之间流动的实体，通常是指人、进程或设备等。客体(Object)：系统中被动的主体活动承担者。授权(Authorization)：授予用户、程序或进程的访问权。访问类别(AccessCategory)：系统中为被授权访问资源或资源组的主体（用户、程序、进程等）设立的访问等级。访问控制(AccessControl)：限制已授权访问主体或计算机网络中其他系统访问本系统资源的过程。自主访问控制(DiscretionaryAccessControl)：有访问许可的主体能够直接或间接地向其他主体转让访问权。强制访问控制(MandatoryAccessCcontrol，MAC)：系统强制主体服从访问控制政策。8.1.3操作系统安全的基本概念敏感标记(SensitivityLabel)：这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。保密性(Confidentiality)：指网络信息不被泄露给非授权的用户、实体或过程的一种特性。参照监视器(ReferenceMonitor)：系统中主客体之间授权访问关系的部件。数据完整性(DataIntegrity)：指数据的精确性和可靠性。最小权(LeastPrivileges)：完成某种操作时所赋予系统中每个主体（用户或进程）必不可少的特权。最小权原则(LeastPrivilegesPrinciple)：限定系统中每个主体所必须的最小特权，确保可能的事故、错误、部件的篡改等原因造成的损失最小。8.1.3操作系统安全的基本概念隐藏通道(CovertChannel)：系统中不受安全策略控制的、违反安全策略的信息泄露途径。可信计算机系统(TrustedComputerSystem)：一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。可信软件(TrustedSoftware)：可信计算机系统的软件部分。客体重用(ObjectReuse)：使用曾经存储一个或几个数据客体的存储介质存储新的数据客体。角色(Role)：系统中访问权限的集合。审计(Audit)：对系统中有关安全的活动进行记录、检查及审核。8.2安全评估与标准70年代以来研究；系统安全模型：Bell＆Lapadula模型美国提出的操作系统安全结构模型：可证明的安全操作系统军事安全操作系统VAX体系的VMM安全内核安全标准橙皮书、GB17859-1999、CC标准1．美国国防部的“橙皮书”可信计算机系统评价标准（TCSEC）将安全保护分成D、C、B、A四等每等又包含一个或多个级别按D、C1、C2、B1、B2、B3、A1、A1增强；D等：只有一个级别D1级计算机安全的最低级；计算机系统是不可信任的，硬件和操作系统很容易被侵袭。不对用户进行验证；DOS、Windows3.x、Windows95、Apple的System7.x等1．美国国防部的“橙皮书”C等：自主型保护（C1、C2）C1级：无条件安全防护系统要求硬件有一定的安全保护用户在使用计算机系统前必须先登录UNIX、XENIX、Novell3.x、WindowsNT2000。不足之处用户直接访问操作系统的根；不能控制进入系统的用户的访问级别；产生的问题数据任意移走、更改系统的配置、获取比系统管理员允许的更高的权限。系统管理员为程序和数据设立访问许可权限1．美国国防部的“橙皮书”C2级：引进了受控访问环境（用户权限级别）的增强特性；以用户权限为基础，限制了用户执行某些系统指令；用户权限以个人为单位授权用户对某一目录进行访问；用户自动获得，在同一目录下程序和数据访问权限。用户分组：系统管理员授予他们访问某些程序或访问分级目录的权限。系统审计：跟踪所有的“安全事件”登录、系统管理员的工作UNIX、XENIX、Novell3.x、WindowsNT2000；1．美国国防部的“橙皮书”B等：强制型保护（B1、B2、B3）B1级：标记安全防护级、支持多级安全标记：网上的一个对象；在安全防护计划中是可识别且受保护的；多级：安全防护装在不同级别（如网络、应用程序和工作站等），对敏感信息提供更高级的保护。安全级别分为保密和绝密：系统中有监测机构，不允许拥有者修改权限；国内达到B1级的操作系统：红旗安全操作系统2.0版、南京大学的SoftOS；1．美国国防部的“橙皮书”B2级：结构化防护对所有对象加标签给设备分配安全级别工作站、终端和磁盘驱动器例：允许用户访问一台工作站不允许访问含有职员工资资料的磁盘子系统1．美国国防部的“橙皮书”B3级：安全域要求用户工作站或终端通过可信任途径连接网络；采用硬件来保护安全系统的存储区；支持安全管理者的实现；审计机制：能实时报告系统的安全性事件，支持系统恢复；1．美国国防部的“橙皮书”A等：验证型保护（A1、A1以上）A1级实现的功能等同于B3级；特点：形式化的顶层设计规格；形式化验证与形式化模型的一致性；更高的可信度；安全系统受监视：构成系统的所有部件来源必须有安全保证；A1级以上：比A1级可信度更高的系统；计算机信息系统安全保护等级划分准则（GB17859-1999）五个等级用户自主保护级：用户具备自主安全保护的能力；系统审计保护级：创建、维护访问审计记录；安全标记保护级：为访问者和访问对象指定安全标记，以访问安全级别限制访问者的访问权限，实现对访问对象的强制保护；红旗安全操作系统2.0版、南京大学的SoftOS。计算机信息系统安全保护等级划分准则（GB17859-1999）五个等级结构化保护级将安全保护机制划分成：关键部分和非关键部分相结合的结构；关键部分直接控制访问者对访问对象的存取；具有相当强的抗渗透能力；安全域级保护级增设访问验证功能：仲裁访问者对访问对象的所有访问活动极强的抗渗透能力；CC标准（欧洲ITSEC）ISO/IEC15408两个部分组成安全功能需要定义：按结构化方式组织三层：类(class)：每类侧重一个安全主题；11个类；族(family)：不同族基于相同的安全目标，侧重方面和保护强度不同；组件(component)：确定了一组最小可选择的安全需求集合；不同的强度和能力；安全保证需求的定义：一个或多个一个或多个CC标准（欧洲ITSEC）安全保证需求的定义：结构化方式组织：类－族－组件10个类：各种安全保证的需求包(package)：提高已定义结果的可重用性7个安全保证级别（EAL）EAL1：功能性测试级EAL2：结构性测试级EAL3：工程方法上的测试及校验级EAL4:工程方法上的方法设计、测试和评审级EAL5：半形式化设计和测试级EAL6：半形式化地验证设计和测试级EAL7：形式化地验证设计和测试级不增加安全性表示可信度8.3安全机制本节：几种恶意使用、修改和毁坏计算机系统中的信息资源的方式；防护的机制或方法。8.3安全机制考虑如下几个方面。（1）物理分离：进程使用不同的物理实体。（2）时间分离：具有不同安全要求的进程在不同的时间运行；（3）逻辑分离：用户感觉是独占计算机运行，而操作系统限制程序的存取使得程序不能存取其允许范围外的实体；（4）密码分离：进程以一种其他进程不了解的方式隐藏数据及计算。操作系统安全的主要目标包括：（1）按系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；（2）标识系统中的用户和身份鉴别；（3）监督系统运行的安全；（4）保证系统自身的安全性和完整性。8.3.1标识与鉴别机制身份鉴别系统中相当重要的一个方面，也是用户获取权限的关键；常用的方法：口令、数字签名、指纹识别、声音识别；1.口令计算机系统和用户双方都知道的某个关键字；字母、数字和其他符号组成；各系统不相同；和用户ID一起使用；2.口令使用的安全性理论上口令都可以破解；窃取用户口令的手段攻击口令文件、特洛伊木马伪装成登录界面；注意的问题尽可能长；多用混合型的口令；不用生日、姓名、常用单词等做口令；经常更换口令；设置错误口令注册次数；要确认系统的合法性，以免被骗取口令。3．系统口令表的安全性限制明文系统口令表的存取使用强制存取控制，限制它仅可为操作系统所存取。只允许需要存取该表的操作系统模块存取；加密口令文件传统加密：整个口令表被加密，或只加密口令部分。取出加密口令，解密后，用明文比较；单向加密：输入的口令被加密；用密文比较；4．物理鉴定检查用户是否有某些特定的“证件”磁卡或IC卡：和口令一起配合工作：ATM指纹或者声波波纹：签名分析：比较笔签名时笔的移动情况：8.3.2访问控制自主型存取控制客体的安全，由客体的用户或具有指定特权的用户来制定；（用户自主定义）规定别的用户能以怎样的方式访问该客体。强制型存取控制客体的安全，由系统确定一个主体能否访问一个客体。系统规定一个强制的规则，不可违反。保护域计算机系统=进程和对象的集合对象：硬件对象和软件对象；有唯一的名字；对对象的操作：由对象本身决定；进程：只允许存取那些已经授权给它的资源只能存取那些为完成它的任务所必需的资源；目的：减少发生错误的进程对系统的不良效果。须知原则域结构保护域：<对象，权限>对的集合定义了一系列的对象以及在对象上可执行的操作（即存取权限）进程在任何时刻都运行在一个保护域内；多个域可以有交集；（共享相同的存取权限）进程和域的关系动态的：要有域切换机制或修改机制；静态的：施加“须知原则”，并有该改变机制；最小权限原则域实现方式一个用户→一个域：存取的对象及权限取决于用户的身份；用户注销另一用户登录时，进行域的切换。一个进程→一个域：存取的对象及权限取决于进程的标志；进程发送消息等待回应时，进行域的切换。一个过程→一个域：存取的对象及权限取决于过程定义的局部变量；进行过程调用时，进行域的切换。UNIX中的保护域域和用户联系在一起；UID（用户标识）GID（组标识）表：可以访问的对象；是否可以读、写、执行；相同（UID，GID）的进程→相同的访问对象集进程的域UNIX中的保护域允许程序被授权进程可以在运行的时候被授予另一个UID或GID。SUID程序：改变自身UID的程序；SGID程序：改变自身GID的程序；例：SUID程序运行时UID被设置成为文件的UID得到新的UID后，就引起域的切换。UNIX中的保护域进程两个部分：用户部分和内核部分内核部分用户部分进程执行系统调用时从用户部分切换到内核部分产生域切换不同的访问对象集系统调用导致域切换存取矩阵记录某个对象属于哪个域→存取矩阵行：表示域列：表示对象项：表示存取权限的集合对象域文件1文件2文件3打印机D1R，WXR，W

D2

W

PD3X

WP存取矩阵域本身→对象域切换也包含在矩阵中切换操作（Switch）：域之间的切换对象域文件1文件2文件3打印机域D1域D2域D3D1R，WXR，W

Switch

D2

W

P

D3X

WPSwitch

存取矩阵的实现存取矩阵的问题很大，但有多个空项；（稀疏矩阵）按行或按列来存储矩阵，且只存储非空元素；1．存取控制表ACL（按列存放）每个对象一张ACL：列出了可以访问该对象的全部域，以及怎样访问；每个ACL放在磁盘的单独块中，文件的目录区链接这个磁盘块的块号。例：文件1：（D1,RW）,（D3,X）UNIX中：提供rwx：对文件主、主所在用户组、其他用户；也属于ACL，只是把其压缩到9位；权能表（CapabilityList）存取矩阵按行存放；每个域一张：该域内可能访问的对象；以及每个对象允许进行的操作；每一项：权限权能表本身也是对象，可从别的权能表中引用，实现共享一般权限：复制权限、复制对象、删除权限、删除对象；很难撤消对某对象的访问权：遍及各权能表中；编号对象类型权限对象指针1文件RW-指向文件12文件--X指向文件23文件RW-指向文件38.3.3可信通路可信通路(TrustedPath，TP，可信路径）是指用户能跳过应用层而直接同可信计算基之间通信的一种机制。构建可信通路的一个简单方法是为每个用户提供两台终端设备，一台完成日常的普通工作，一台用于实现与安全内核的硬连接及专职执行安全敏感操作。这种办法虽然十分简单，但代价昂贵，同时还会引入诸如如何确保“安全终端”的安全可靠及如何实现“安全终端”和“普通终端”的协调工作等新问题。8.3.3可信通路另一种方法：要求用户在执行敏感操作前，使用通用终端向安全内核发送所谓的“安全注意符”(即不可信软件无法拦截、覆盖或伪造的特定信号)，来触发和构建用户与安全内核间的可信通路。

8.3.4安全审计机制如何提高系统安全性监控病毒防火墙网络防火墙审计日志对系统记录的日志进行分析1．监控（monitoring）类型一：实时进行检测和发现那些可能的违反系统安全的活动记录用户登录时输入的不正确的口令的次数（OS中，手机中）类型二：周期性扫描周期性的对系统进行全面的扫描；空闲进行；对用户口令进行扫描；未经授权的程序；不是预期的、长时间运行的进程；目录是否处于适当的保护状态；系统的数据文件是否处于一种适当的保护状态；是否存在危险的程序搜索路径入口；系统自动修复，也可报告给系统管理员。2．审计日志（auditlog）日志文件：记录情况：何时由谁做了什么事、结果如何；帮助用户跟踪间发性问题、非法侵袭；发现故障原因、侵入来源以及系统破坏范围；缺点：记录在自身系统：受到修改或删除；存到不同的机器上；内存的保护重要的问题：多道程序系统中防止一道程序在存储和运行时影响到其他程序；硬保护机制有界址、界限寄存器、重定位、特征位、分段、分页和段页式机制；进程完全分开通过页表或段表中无重复项来实现；允许共享段或段页易实现；分页式较困难；8.3.5存储保护、运行保护和I/O保护存储保护保护用户在存储器中的数据；存储保护与存储器管理是紧密相联的存储保护负责保证系统各个任务之间互不干扰存储器管理则是为了更有效地利用存储空间禁止在目态下的非特权进程向写系统区，允许管态中的进程访问所有的地址空间从目态到管态的转换由特殊指令完成，该指令限制进程只能对部分系统区进程进行访问8.3.5存储保护、运行保护和I/O保护运行域进程运行的区域，在最内层具有最小环号的环具有最高特权，而在最外层具有最大环号的环具有最小的特权。一般的系统不少于3～4个环两环系统：隔离操作系统程序与用户程序多环结构：最内层是操作系统，控制整个汁算机系统的运行；靠近操作系统环之外的环是受限使用的系统应用环，如数据库管理系统或事务处理系统；最外一层环则是控制各种不同用户的应用环8.3.5存储保护、运行保护和I/O保护I/O保护将设备看作是一个客体，所以进行I/O操作的进程必须受到设备的读／写两种访问控制。设备到介质间的路径可以不受约束，而处理器到设备间的路径则需要一定的读写访问控制。要对系统中的信息提供足够的保护，防止被未授权用户的滥用或毁坏，只靠硬件是不够的，必须由操作系统的安全机制与适当的硬件安全机制相结合才能提供强有力的保护。8.3.6加密技术密码术：保持信息秘密的科学和艺术；保护数据不泄露；确认用户或请求服务的程序的标识；揭示非法的入侵；1．加密和解密加密一个消息（明文）用一个数学函数和一个专门的加密口令（密钥）转换为另一个消息（密文）的过程。解密相反的过程，密文用一个数学函数和一个密钥转换为明文。1．加密和解密组成部分加密算法：进行加密和解密操作的数学算法；密钥：确定数据如何被加密或解密的关键字；密钥长度：较长的密钥更难于破解；明文：加密前原始信息；密文：被加密后的信息；2．常用密码算法专用密钥系统（对称密钥）相同的加密密钥和解密密钥；ROT13、Crypt、DES、RC2、RC4、RC5、IDEA、Skipjack；DES（数据加密标准）的加密方法；用处：保护存在计算机硬盘上的信息两台计算机之间传送的信息2．常用密码算法公开密钥系统（不对称密钥）加密密钥—公开；解密密钥—保密；Diffie-Hellman、RSA、ElGamal、DSA常被用于为数据建立“数字签名”公共/专用混合密钥系统公共密钥用于交换一个随机的会话密钥;会话密钥—专用密钥算法的基础;只用一次3．操作系统中的加密技术对文件和目录进行加密获取了文件，也无法了解文件中的内容；网络传输过程身份认证方面8.3.7恶意代码威胁软件故障：偶然发生的破坏，非预期的程序行为。恶意代码（程序性威胁）故意行为的代码分类：安全工具和工具箱、特洛伊木马、后门蠕虫、逻辑炸弹、病毒、细菌程序指令产生的1.安全工具（SecurityTools）自动扫描计算机安全的弱点SATAN、Tiger、ISS为专业人员搜寻自身系统的问题而设计；系统管理员首先意识到自己系统存在的潜在弱点，并及时进行修补，置系统于保护和监控之下。安全工具本身必须是可靠的；2.特洛伊木马伪装成用户希望运行的程序比如游戏、报表或编辑程序以“诱导”的方式让用户执行包含木马的程序可以嵌入到脚本、网页文件、邮件的附件中预防原则：对不了解的程序，不要用系统管理员身份执行。措施过程控制、系统控制、强制控制、阅读源程序3.后门（TrapDoor）定义：一段被写入到应用程序或OS中的程序段程序开发者无需经过正常的认证检查；作为调试和监控已开发程序的手段。危险：获取非授权访问；忘记删除，且又被其他人发现的后门。UNIX：sendmail程序的DEBUG选项允许计算机不作初始登录就能作远程访问解决方法：检查重要文件规则的完整性文件和目录的许可权和所有权审查新软件：书面保证，阅读和理解源代码；4.病毒（Viruses）插入在其他可执行程序中的代码序列；病毒代码将自身拷贝到一个或多个程序中；不能独自运行，需要宿主程序来激活。特点：寄生性、传染性潜伏性、破坏性方法：升级OS及各种应用软件、杀毒软件、实时监控；避免通过软盘和网络感染病毒；认证机制和保护机制（OS中）。5.蠕虫（Worms）蠕虫：独立的程序独立运行；通过网络从一台机器移动到另一台机器；利用网络设备来复制自身电子邮件、远程执行功能、远程登录功能；传播方式检查主机表或远程系统地址的类似特性建立与远程系统的连接、拷贝和运行到远程系统。取一个类似系统进程的名字发现时防护措施：断开网络，防止扩散。6．逻辑炸弹（Logicbomb）潜伏在软件中，等待触发条件满足；由软件开发者放入程序中。触发条件文件的存在与否、特定的日期特定用户运行特定的应用程序产生的影响摧毁或修改数据，引起停机或系统损坏；不要安装未经彻底测试和仔细阅读的软件；经常备份。7．细菌（Bacteria）不会明显损坏任何文件；复制自身；占有处理器的负载量内存空间磁盘空间排斥用户获取那些资源耗尽系统资源8.3.8备份与容错解决的问题硬软件的损坏和错误；非法入侵者和病毒的攻击；使一些重要的文件有多个副本常用的方法1、零时间备份制作系统的原始备份；系统开始使用前，为每一个文件和程序制作备份。8.3.8备份与容错2、全量备份（整体备份）辅助存储器上需要备份的文件，定期复制到磁带上；方法简单；缺点备份时必须停止向用户开放需要的时间较长只能恢复前一次备份的信息，以后的信息丢失。8.3.8备份与容错3、增量备份每隔一定时间，被修改过的文件和新文件进行备份；系统对那些修改过的和新的文件做上标志。全量备份和增量备份可以一起应用；通常的备份策略每两周—全量备份每天晚上—增量备份备份不和原有计算机系统放在同一个地方。8.3.9隐通道分析与处理信息通路指信息在操作系统中经过的道路对显式信息道路的保护，防止非法信息经过显示通路要防止恶意用户通过隐蔽信道进出隐蔽通道利用那些本来不是用于通信的系统资源绕过强制存取控制非法通信的一种机制8.3.9隐通道分析与处理发现隐蔽信道的必要条件发送进程与接收进程都具有访问一个共享资源的同一属性的权限；一发送进程可以修改一个共享资源的属性；接收进程可以检测该共享资源属性的改变；存在某种机制，能够启动发送进程与接收进程之间的通信，并正确调节通信事件的顺序。8.3.9隐通道分析与处理衡量隐蔽信道的两个基本参数为容量和带宽容量指隐蔽信道一次所能传递的信息量，用B来衡量。带宽指信息通过隐蔽信道传递的速度，用B/s来衡量。隐蔽信道处理的基本原则信道宽带低于某个预先设定值b的隐蔽信道是可以接收的。带宽高于b的隐蔽存储都应当可以审计。所有不能审计的存储信道的带宽要记人文档，这使得管理员可以觉察并从程序上采取纠正措施对付重大的威胁。带宽高于预先设定的上限B(B>b)的隐蔽信道代表重大威胁，应当尽可能将其消除或者将其带宽降低到B(单位为bit/s)以下8.4安全模型Bell-LaPadula模型Biba模型Clark-Wilson完整性模型中国墙模型RBAC模型8.4安全模型1965年Multics：AT＆T和MIT、BLP模型；1986年SecureXenix：IBM、B2到A1级；1987年Tmach：TrustedInformationSystems公司，改进了BLP模型，运用到对MACH核心的端口、存储对象等的管理中；1989年TUNIS：多伦多大学，改进了BLP模型，TuringPlus语言；8.4.1Bell-LaPadula模型BLP模型：定义了系统状态及状态间的转换规则，并制定了一组约束系统状态间转换规则的安全理论。BLP模型的内容：元素、系统状态和状态转换规则。BLP模型采用的是一种“向下读（Read-Down），向上写（Write-Up）”的机制。8.4.1Bell-LaPadula模型元素：BLP模型中涉及到主体集合、客体集合、访问权限、访问矩阵集合、类别集合、访问类函数、系统状态集合、请求元素、访问请求集合、请求结果集合、正整数、判断序列集合、状态序列集合、请求序列集合、状态转换规则和表示当前客体的密级树型结构。8.4.1Bell-LaPadula模型系统状态：由主体、客体、访问矩阵、访问属性以及标识主体和客体的访问类属性的函数组成的表示形式。状态转换规则：为了保证系统的每一个状态都是安全状态，除了保证初始状态是安全的，还要保证系统的每一次转换都从一个安全状态转移到另一个安全状态。8.4.2Biba模型禁止向上写；禁止向下读；Biba模型和BLP模型相对立，其修正了BLP模型中忽略的信息完整性问题，但忽视了保密性。8.4.3Clark-Wilson模型Clark-Wilson模型中控制数据完整性的方法：(1)职责分离原则：规定一个任务从开始到结束不能由一个人完成。该任务将分给至少两个人完成，其中一个人执行任务，一个人证明完整性，以防止个人可能造成的欺骗。(2)良构事务原则：用户不能任意操作数据，只能用一种能够确保数据完整性的受控方式来操作数据。8.4.4中国墙模型中国墙模型是在商业环境中一种典型的访问控制模型，既继承了BLP模型的保密性策略，又承接了Biba模型和CW模型的完整性策略，模型