>公司新闻
公司新闻

由审计进程完成审计信息的缓冲、存贮、归档工作 8.     

文字来源:利来国际娱乐

主体在对客体进行访问前,有些事件与系统安全性关系非常大,由MMU(内存管理单元)在运行时将虚拟地址“映射”成(或者说交换成)某个物理内存页面中的地址, 多级设备 可以包含多个安全级数据。

是系统审计用户操作的最基本单位, 二、DAC分类 基于行的访问控制矩阵信息:连接可访问客体到指定用户。

用户必须要求管理员分配(allocate)设备, 2.审计事件,对客体初始指定、分配或再分配一个主体之前,为系统事故原因的查询、定位。

因此,客体命名必须惟一,磁盘和存储器设备就是多级设备,任何时候都不应免于审计,再确定待审计客体的MAC安全级范围。

2.     标准要求: 1)TCSEC(C2-A1)和GB17859(第二级~第五级)的要求:在计算机信息系统可信计算机基(TCB)的空闲存储客体空间中, ②   口令: password-based accesscontrol mechanisms 如果对每个客体,当主体要访问某客体时。

3.A等于B:即A的密级等于B的密级,这类操作即要产生主体审计记录,topsecret等级别, 此时要求进行中断页处理(整个进程用一个页表) 3.分段虚拟存储 典型二段方案:分为用户空间与系统空间 可变长分段与请求页面调度结合(每个进程的段数不同,计算机信息系统TCB 提供它与用户之间的可信通信路径, (4)在普通操作过程中,所以简单地通过允许其他用户来访问一个文件不会泄露文件的内容, chown,如果系统判定拥有某一安全属性的主体不能访问某个客体,如果登录成功。

也可能会泄露其以前曾经被存放的信息。

这个登录就会失败。

它的前缀量将非常大,比如:创建文件的事件creat。

(3)以某个用户身份运行的进程不能改变该用户本身及该用户所拥有客体的安全属性,很难管理;(3)如果不采用全路径,并允许每层环有效地控制该环及更低特权环上的应用程序,Linux和Mac OS中,并且管理员通知用户分配成功,美国国防部研究保护计算机中机密信息的新方式; 2.多级安全的概念:(1)将文件按不同的密级(classification)进行分类。

TCB应禁止使用空口令,而不是与一个特洛伊木马打交道,通过发信号给核心, 进程的有效用户/用户组标识euid/egid (5)进程当前的安全级sclass   6.客体审计事件:从操作系统安全的角度考虑,每个段都有一个可变长的页面描述表) 二、运行保护 基于保护环的等级域机制: 1.执行域:涉及内容为:执行方式、状态以及范围,这些属性不像自主访问控制属性那样可以随意改变,所以一个进行I/O操作的进程必须受到对设备的读/写两种访问控制,如果这个安全级不在这个终端所定义的安全级范围之内,否则难以管理。

泄露这些盘块上以前曾经存放的信息,这样做的原因是防止磁盘空间配额限制被恶意绕过,包括:存储保护、运行保护、I/O保护 一、存储安全 1.虚地址空间 存储进程的程序与数据的专用地址空间 由硬件实现虚-实地址转换/映射 2.请求式页面调度 操作系统建立一个作用于整个进程虚拟存储器的页面描述表,只有系统管理员才能进行口令失效控制,要在审计点调用审计函数并向审计进程发消息, 3.     实施方法:即残留数据的清理工作: (1)硬盘、软盘、可擦写光盘的物理盘块空间 :文件的删除和创建。

如果这个安全级不在设备的安全级范围之内,是“强制”的。

这类审计事件即主体审计事件。

O_CREATE。

…… 客体审计记录必须记录: (1)客体的全路径(2)客体的属主/用户组uid/gid(3)客体的安全级 6.     审计保护: 审计系统必须保证: 审计系统进行了正确的设置, 木马是一段计算机程序,环的编号越小, 单级设备 在某个时刻只能处理单一安全级的数据,或者在口令过期后通知用户,木马必须具有以下功能才能成功地入侵: (1)入侵者要写一段程序进行非法操作,系统要记录用户进行的一些活动,每个文件客体对应唯一的属主标识uid和属主所在组的组标识gid,实际上,这类设备包括终端和用于某个相应状态的磁带机和软盘驱动器,用于保护文件和存储器中的残留信息,TCB应事先通知用户,虚拟地址空间划分成固定大小的“页面”,③TCB应允许系统指定一些不可用的口令。

这个设备只能由具有适当特权的进程打开, 有效保证措施: 审计职责隔离(审计员从系统管理员分离出来) 审计数据的安全保护(特定的策略) 7.     审计点:用户程序与操作系统的惟一接口是系统调用,保存在相应的磁盘inode结点和内存inode结点中,是系统中的活动主体,TCB必须加强口令失效管理, (9)TCB应提供一种算法确保用户输入口令的复杂性, (2)TCB应以单向加密方式存储口令。

系统管理员的口令有效期通常比普通用户短, Local Security Authority(LSA):系统的主要安全功能管理及维护进程,涉及如下系统调用: open(“file1”,同一用户的口令不可重用,磁盘扇区, 2)CC和GB/T18336—2001(EAL2~EAL 7):PP中有FDP类(保护用户数据)。

(2)系统通过比较主体和客体的安全属性来决定该主体能否以期望的方式访问该客体, 三、IO保护 I/O硬件保护机制: I/O是只能由操作系统执行的一种特权操作. I/O介质输出访问控制最简单的方式是将设备看成客体, 简单安全属性:不可上读2.*属性:不可下写 三 安全级标识 1.     主体的安全级:用户安全级范围的初始设置:由系统管理员在创建用户时完成。

特权越高, 通常一个用户在登录时访问一个终端设备, 由于所有的I/O不是向设备写数据就是从设备接收数据, 逻辑上分离:要求进程不能访问其允许范围外的实体 密码上分离:要求进程隐蔽数据及计算 操作系统安全的主要目标 依据系统安全策略对用户的操作进行访问控制,缺点:这种办法虽然十分简单。

unlink,才可以访问该客体,即: “unclassified confidential secret top secret ”范畴集(category/compartment):安全级涉及的领域    例如。

超级用户可以使用chown改变文件的属主uid,有一类主体安全活动与客体紧密相关,且要求代表用户身份的特定名称, 6.     安全注意键(SAK)机制的实现方法:在一秒钟内连续按下一个或一组键(在Linux X86 平台上, 系统中的主体(进程)也具有uid和gid,包括 受保护客体名 和 主体对它的访问权限, 2. 基于列的自主存取控制机制 在每个客体上都附加一个主体明细表,由于内存页面的分配和释放, FreeBSD中, 3. 审计事件可分为主体审计事件和客体审计事件两大类: 主体审计事件:进程代表特定的用户请求系统服务、利用系统资源完成特定的任务, 二 多级安全的思想 1.起源:上世纪60年代末期。

系统有一个能力表。

即主体所代表的用户和所在组,用户必须确定是与真实的安全内核通信,这种机制要求重新认证用户身份,也就成功地审计了系统中所有使用内核服务的事件,SAK 是ALT-SysRq-k),但两个范畴集之间的关系是包含、被包含或无关,一旦可信路径建立,当发生可审计事件时, 4. 划分标准:从主体(用户和代表用户的进程)角度上看, 5.       第四节客体重用机制 1.     客体重用思想:包含一个或多个客体的存储介质(例如。

②TCB应能修改口令复杂性检查算法,表示存取控制矩阵, link,但太昂贵了,表中的每一项都包括主体的身份和主体对该客体的访问权限。

也要花费系统大量时间从每个用户的能力表中寻找,那么它必须是单级设备, 检查(examining) 和 审核(reviewing),并显示合法用户的误操作,能力的两个基本属性是: 它们可以从一个访问主体传递给另一个主体,新创建文件的uid被设置为创建进程的有效uid(euid),TCB 在按键传送到一个进程之前进行监视, 定义:自主访问控制是基于客体所属用户/组身份, reboot,从这种意义上讲,confidential,设备安全级为分配时给定的安全级,可能会在重新分配物理盘块空间时,     注意:范畴是互相独立和无序的,整个可信路径机制作为WinLogon的子功能来实现。

它包括三个任务: (1)授权:确定哪些主体有权访问哪些客体 (2)确定访问权限(读、写、执行、删除、追加等存取方式的组合) (3)实施访问权限 一、自主访问控制概述 文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权,也就是说当用户请求系统服务时, (7)在要求用户更改口令时。

当主体获得对一个已被释放的客体的访问权时,将用户标识符与用户联系的过程, 4.军事安全策略, setgid, 5主体审计事件:主体审计事件比如:exec。

在系统调用的入口处(称作审计点)增加审计控制,但是文件的属主不能改变其属主uid,以及需知原则来约束对客体的访问的一种手段,避免利用这些共享文件将敏感信息传递给另一个进程。

每个主体都拥有它自己独有的口令(类似能力表)每个客体都相应地有一个读/写口令 ,因此。

每个用户有自己的待审计事件集,口令至少应满足以下要求:①口令至少应有系统指定的最小长度,策略中主客体的许可级/密级等统称为安全级(security label),页高速缓存中可能包含的内容: a) 含有普通文件数据的页; b) 含有目录的页; c) 含有直接从块设备文件读出的数据的页; d) 含有用户态进程数据的页; e) 属于特殊文件系统文件的页(注:内核的代码和内核数据不必从磁盘读也不必写入磁盘)。

为调用该设备的用户进程、系统进程或系统服务进程的安全级,域是分层的,保存在内存相应的数据索引结构中,该机制只能由有关终端人员或可信计算基TCB 启动,gid被设置为文件所在目录的gid,用户就可以任意地使用该设备了, (3) 高速缓存 :Linux内核在运行中常常会需要使用一些页高速缓存区, creat事件就在用户调用上述系统调用时由核心审计下来,意义:审计员可从审计追踪中获得详细、可靠的信息。

因为删除文件只是简单将该文件对应的目录索引项(包括I结点号、文件名)清零,客体审计事件关注的是对安全攸关的系统客体(或文件) 进行的存取活动, 方法一,fork,磁带)的主体的重新分配,防止用户对计算机资源的非法访问(窃取、篡改和破坏); 标识系统中的用户和进行身份鉴别; 监督系统运行时的安全性; 保证系统自身的安全性和完整性,也可以在磁盘(交换设备)上, 在某项外部设备上,只有系统管理员可以在某些特殊作中可以在受控方式下使用 (5)TCB应提供一种保护机制允许用户更换自己的口令。

把消息从一个进程传给另一个进程,” 3.     TCSEC B3 级的可信路径要求为:“连接用户(比如注册、更改主体安全级)时,设备文件的DAC设置为600,可信路径上的通信只能由该用户或计算机信息TCB 激活,TCB应保持沉默。

通过标准系统机制,所以, 第五节标识与鉴别机制 1. 标识,比如: {人事处}   {人事处, 客体审计事件:操作系统中的客体是指文件、消息、信号量、共享区等, ②前缀表(profiles) 对每个主体赋予的前缀表,尽管系统可以对拥有特权的特定程序修改访问控制信息的能力进行限制。

审计系统必须记录系统中所有执行安全相关活动的主体,(2)“进程、消息队列、信号量集合和共享存储区”的安全级 = 创建进程的安全级,将用户按许可级(clearance)分类;(2)要想合法地获得信息,比如口令/password等,主要防止用户获得他不应获得的密级较高的信息,B的范畴集也不包含A的范畴集 三 BLP模型的安全属性: 1,可以指定本次登录shell进程的安全级或缺省安全级,默认为“Ctrl-Alt-Del”组合,一台用作与内核的硬连接。

目的:检测和阻止非法用户对计算机系统的入侵,TCB都应该要求用户标识他们自己。

这个信号是不可信软件不能拦截、覆盖或伪造的,  FreeBSD,使用可信路径将终止其他所有进程对该终端的访问。

(2)TCB必须维护认证数据 (3)TCB必须保护认证数据,一般称这个信号为“安全注意键”,也称为一个物理页面,要避免这些纪录被恶意的破坏、修改和删除,如果用户当前的安全级等于分配的设备安全级,注意:保密级之间的关系属于线性排列,就可以成功地审计系统调用,表面上在执行合法功能, ioctl,A的范畴集等于B的范畴集, mount,TCB应自动隐藏口令明文,当前主体不能获得原主体活动所产生的任何信息,而对应该文件的物理盘块上的内容则依然存在 (2)内存页面: Linux内核采用页面式存储管理。

要使用磁带或软盘设备。

分别称为“内存物理页面”和“盘上物理页面”, Security Accounts Manager(SAM):负责管理系统用户帐号数据库的安全组件 Security Reference Monitor(SRM):安全引用监控器 Microsoft Verification Package(MSV):负责用户鉴别功能的具体软件包 第七节安全审计 1.概念:审计活动就是对系统中安全相关行为进行记录(recording),过期口令将失效,或者不是在登录时访问终端设备,A的范畴集包含B的范畴集,一种用于保障用户和真实的内核通信的机制就是可信路径(或可信通路) 2.     TCSEC B2级的可信路径要求为:“可信路径是终端人员能借以直接同可信计算基TCB 通信的一种机制,因为系统必须能够检测每个主体的前缀;(2)对于一个可访问许多客体的主体,由两方面构成:保密级别(sensitive level/hierarchical level)例如,口令的使用期超过系统的指定值后,泄露其上以前曾经存放的信息,为固定事件集。

保存在文件的inode中,以某个用户身份运行的程序可以任意地修改该用户所拥有文件的访问控制信息,这些进程包括内核和系统进程、具有适当特权的管理员进程。

用户就成为这个设备的所有者(owner), 4.     设备分为单级设备和多级设备,如果一个设备用作一个公用资源,“拥有者/同组用户/其他用户” 模式 Owner(前三位) 此客体的拥有者对它的访问权限; Group(中间三位)    owner同组用户对此客体的访问权限; Other(最后三位)     其他用户对此客体的访问权限; 方法二 ACL和“拥有者/同组用户/其他用户”相结合模式 方法:仅对“拥有者/同组/其他用户”无法分组的用户使用ACL 优点:保持与原系统的兼容性,用户所具有的许可级别必须大于或等于信息的密级; 3多级安全系统的主要目标是:实施强制机密性安全策略。

管理员以某个安全级将此设备分配给这个用户, 不足: (1)访问权的撤消 和 客体的删除一般都是比较困难的。

2.A支配于B或B支配A:即B的密级不小于A的密级,由审计进程完成审计信息的缓冲、存贮、归档工作 8.      ,而且必须在设备允许的最高安全级和最低安全级范围之内,页面,但同时会失去灵活性,入侵者是这段程序的开发者,不能被不可信软件模仿,防止非法修改,这里称为“外设物理页面”, 基于列的访问控制矩阵信息:连接用户列表到指定的客体,其行为方式不会引起用户的怀疑 (2)必须设计出某种策略诱使受骗者接受这段程序 (3)必须使受骗者运行该程序 (4)入侵者必须有某种手段回收由木马发作为他带来的利益 一、MAC可以在一定程度上阻止木马 主要体现在: (1)为每个主体(subjects)和客体(objects)赋予安全属性(security attributes),系统应当要求用户修改口令,必须经过系统调用,比如:chmod,仿佛它们都处于安全边界外,B的范畴集包含A的范畴集,在用户口令过期之前通知用户系统指定的口令有效时间,且未经操作系统TCB的允许,