安全系统开发方法
第一節 安全開發方法的原則
a)機制經濟性(Economy of mechanism) 設計盡可能簡單,盡可能小
b)基于“許可” 的安全(Fail-safedefaults) 什么條件下允許做什么
c)完全的訪問仲裁 (Complete mediation)每個客體訪問都要檢查是否有權限
d)開放型系統設計(Open design) 算法不保密, 密鑰保密
e)權限分析(Separation of privilege) 東西由兩人兩人以上來控制。兩人控制保險柜
f)最小特權(Least privilege)
g)公共機制最小化(Least common mechanism)公共機制越多,被利用機會越多
h)用戶友好(Psychological acceptability)
第二節 安全內核的虛擬機法、仿真法、新建法
改進/增強法:在現有操作系統的基礎上,對其內核和應用程序進行面向安全策略的分析,然后加入安全機制。經改造、開發后的安全系統基本上保持了原ISOS的用戶接口。
1.? 虛擬機法
在現有操作系統與硬件之間增加一個新的分層,作為安全內核,操作系統幾乎不變地作為虛擬機。
優點:
- 安全內核的接口幾乎與原有硬件接口等價,操作系統本身并未意識到已被安全內核控制。
- 可以不變地支持現有的應用程序,且能很好地兼容ISOS的將來版本。
缺點:
- 硬件特性對虛擬機的實現非常關鍵,? 要求原系統的硬件和結構支持虛擬機
2.? 仿真法
對現有操作系統的內核做面向安全策略的修改,然后在安全內核與原ISOS用戶接口界面中間再編寫一層仿真程序。
優點:
???? -建立安全內核不必受現有應用程序的限制
???? -自由定義ISOS仿真程序與安全內核間接口
缺點:
???? -要求同時設計仿真程序和安全內核
???? -要受頂層ISOS接口的限制
???? -有些ISOS的接口功能不安全,無法仿真
???? -有些接口功能安全,但仿真實現特別困難
3.? 新建法
包括面向安全策略的安全內核在內,重新設計整個操作系統
優點:
可以任意建立所需的內核接口
可以定義操作系統的接口與內核實施的安全策略保持兼容
可以保證內核設計的最小化和操作系統的運行性能
缺點:必須從頭開始,難度大,工作量也大.
第三節 基于標準某安全等級要求的安全操作系統的一般開發過程、設計和實現方法
設計與實現:
對一個現有操作系統的非安全版本進行安全性增強之前,首先得進行安全需求分析。也就是根據已有的操作系統版本及其所面臨的風險、明確哪些安全功能是原系統已具有的,哪些安全功能是要開發的。只有明確了安全需求,才能給出相應的安全策略。
建立安全模型有利于正確地評價模型與實際系統間的對應關系,幫助我們盡可能精確地描述系統安全相關功能。
此外,需要將模型與系統進行對應性分析,并考慮如何將模型用于系統開發之中,并說明所建安全模型與安全策略是一致的。
建立了安全模型,結合系統的特點在系統中設計和實現相應的安全機制。同時在設計了部分安全功能之后,便檢查它提供的安全性尺度。
設計目標: 使得開發后的安全操作系統具有最佳安全/開發代價比。
總結
- 上一篇: 安全体系结构与七个设计原则
- 下一篇: 百练OJ:4003:十六进制转十进制(p