第一章 概述
1. 什么是信息的完整性
信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
2. 隐蔽通道的工作方式?
隐藏通道可定义为系统中不受安全策略控制的、范围安全策略的信息泄露路径。
按信息传递的方式与方式区分,隐藏通道分为隐蔽存储通道和隐蔽定时通道。1隐蔽存储通过在系统中通过两个进程利用不受安全策略控制的存储单位传递信息。前一个进程通过改变存储单位的内容发送信息,后一个进程通过观察存储单元的比那话来接收信息。2隐蔽定时通道在系统中通过利用一个不受安全策略控制的广义存储单元传递信息。前一个进程通过了改变广义存储单位的内容发送信息,后一个进程通过观察广义单元的变化接收信息,并用如实时钟这样的坐标进行测量。广义存储单元只能在短时间内保留前一个进程发送的信息,后一个进程必须迅速地接受广义存储单元的信息,否则信息将消失。
3. 安全策略和安全模型的关系
安全策略规定机构如何管理、保护与分发敏感信息的法规与条例的集合;
安全模型对安全策略所表达的安全策略的简单抽象和无歧义的描述,是安全策略和安全策略实现机制关联的一种思想。
4.安全内核设计原则
1.完整性原则:要求主体引用客体时必须通过安全内核,及所有信息的访问都必须通过安全内核。
2.隔离性原则:要求安全内核具有防篡改能力(即可以保护自己,也可以防止偶然破坏)
3.可验证性原理:以下几个设计要素实现(最新的软件工程技术、内核接口简单化、内核小型化、代码检查、完全测试、形式话数学描述和验证)
5.可信计算基TCB
TCB组成部分:
1.操作系统的安全内核。
2.具有特权的程序和命令。
3.处理敏感信息的程序,如系统管理命令等。
4.与TCB实施安全策略有关的文件。
5.其他有关的固件、硬件和设备。
6.负责系统管理的人员。
7.保障固件和硬件正确的程序和诊断软件。
可信计算基软件部分的工作:
1. 内核的良好定义和安全运行方式
2. 标识系统中的每个用户
3. 保持用户道TCB登陆的可信路径
4. 实施主体对客体的存取控制
5. 维持TCB功能的正确性
6. 监视和记录系统中的有关事件
补充:1TCB=nTSF(安全功能模块),每一个TSF实现一个功能策略,这些TSF共同组成几个安全域。实现TSF方法有:1设置前端过滤器,2设置访问监督器。
第二章 安全机制
1. 标识与鉴别机制、访问控制机制的关系
标识与鉴别机制的作用主要是控制外界对于系统的访问。其中标识指的是系统分配、提供的唯一的用户ID作为标识,鉴别则是系统要验证用户的身份,一般多使用口令来实现。是有效实施其他安全策略的基础。
访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。目标就是防止对信息系统资源的非授权访问防止非授权使用信息系统资源。同时,访问控制机制也可以利用鉴别信息来实现访问控制。
2. 自主访问控制与强制访问控制之间的异同点
自主访问控制 (DAC):同一用户对于不同的数据对象有不同的存取权限,不同的用户对同 一对象也有不同的权限,用户还可将其拥有的存取权限转授给其他用户。
强制访问控制 (MAC):每一个数据对象被标以一定的密级,每一个用户也被授予某一个级 别的许可证,对于任意一个对象,只有具有合法许可证的用户才可以存取。
区别:DAC 的数据存取权限由用户控制,系统无法控制;MAC 安全等级由系统控制,不是用户能直接感知或进行控制的。
联系:强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥 用自主访问控制。
3. 安全审计机制是事后分析机制,优点?
审计作为一种事后追查的手段来保证系统的安全,它对设计系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位,事故发生前的预测,报警以及事故发生之后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生后能够有效地 追查事件发生的地点和过程以及责任人。
4. 最小特权管理?
最小特权管理是系统安全中最基本的原则之一,要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权,即最低许可。共计有26 个特权。常见的形式有基于文件的特权机制、基于进程的特权机制。
第三章 操作系统安全模型
1. 安全模型在安全操作系统开发中的作用?
安全模型可以分为形式化和形式化两种安全模型。非形式化模型仅模拟系统的安全功能,形式化安全模型则借助数学模型,精确地描述安全性及其在系统中使用的情况。J.P.Anderson 曾指出,开发安全系统首先必须建立系统的安全模型,完成安全系统的建模之后,再进行安全内核的设计和实现。一般高等级安全操作系统开发时都要求使用形式化安全模型来模拟安全系统,因为形式化模型可以正确地综合系统的各类因素,如系统的使用方式、使用环境类型、授权的定义、共享的客体资源等,所有这些因素构成安全系统的形式化抽象描述,使得系统 可以被证明是完整的、反映真实环境的、逻辑上能够实现程序可以受控执行的。
2. 简述 BLP 安全模型 BLP
模型从“访问控制”的角度研究如何既保证主体能有效地访问客体,又得系统的安全性不 致遭到破坏的性质和规则,是一种在计算机系统内实施多极安全策略和自主安全策略的访问 控制模型,通过制定主体对客体的访问规则和操作权限来保证系统的安全性。
从本质上来说.BLP 模型是一个状态机模型,它形式化定义系统、系统状态以及系统状态间的转换规则;定义安全的概念,并制定了一组安全特性。以此对系统状态和状态转换规则进行限制和约束.使得对于一个系统,如果它的初始状态是安全的,并且所经过的一系列的规则都保持安全特性,那么可以证明该系统是安全的。
3. Biba 模型和 Clark-Wilson 模型的区别?
Biba 模型是第一个完整性安全模型,对系统每个主体和客体都分配一个完整级别(密级和范 畴),安全策略分为非自主策略和自主策略,主要应用类似 BLP 模型的规则来保护信息的完 整性。Biba模型提出的不是一个唯一的安全策略,而是一个安全策略系列。
CW 模型是真正意义上的完整性安全模型,核心在于以良构事务和任务分离机制为基础实现 在商务环境中所需的完整性策略。良构事务是指一个用户不能任意操纵数据,只能用一种能 够确保数据完整性的受控方式来操作数据。
4. 中国墙模型可以完全模拟 BLP 模型吗?
不可以。与BLP模型不同的是,中国墙安全策略是根据主体的访问历史来判断数据是否可以被访问,而不是根据数据的属性作为约束条件。中国墙安全策略的本质是将全体数据划分为“利益冲突类”,根据强制性的约束,主体至多访问每个“利益冲突类”中的一个数据集。
第四章 安全体系结构
1. 计算机系统安全体系结构?
安全体系结构的含义:
详细描述系统中安全相关的所有方面;
在一定的抽象层次上描述各个安全相关模块之间的关系;
提出指导设计的基本原理;
提出开发过程的基本框架及对应于该框架体系的层次结构;
两个参考标准:TCSEC和CC
两个安全体系:Flask体系和权能体系
2. 计算机系统安全体系结构设计的基本原则?
从系统设计之初就考虑安全性;
应尽量考虑未来可能面临的安全需求;
隔离安全控制,并使其最小化;
实施特权极小化;
结构化安全相关功能;
使安全相关的界面友好;
不要让安全依赖于一些隐藏的东西;
机制经济性原则
3. Flask 安全体系结构的目的及组成?
目的:可伸缩型的控制访问安全体系结构,支持动态安全策略,提供安全策略的可变通性, 确保这些子系统不管决策怎么产生,都有一致的策略决策。应用透明性,深度防御,保护的 易操作性,最小性能影响。
组成:由客体管理器和安全服务器组成。客体管理器实施安全策略的判定结果,安全服务器 作出安全策略的判定。Flask 安全体系结构还提供一个访问向量缓存(AVC)模块,该模块允许从客体管理器缓存中直接取出缓存的判定结果,以提高执行速度。Flask 体系结构为安全标记定义了两个独立于策略的数据类型:安全上下文(context)和安全标识符(SID)。
4. 权能体系结构的目的及组成?
目的:为访问客体和保护客体提供一个统一的,不可绕过的方法,促进机制和策略的分离。
组成:用于标识客体的标识符,定义客体类型的域,访问权的域。
第五章 安全操作系统设计
1. 安全操作系统的设计原则是什么?
Saltzer和Schroder一起提出了安全保护系统的设计原则,主要有:
(1). 最小特权:为使无意或恶意的攻击造成的损失最低,每个用户和程序必须按需使用最小特权;
(2). 机制的经济性:保护系统的设计应小型化、简单、明确,保护系统应该是经过完备测试或严格验证的;
(3). 开放系统设计:保护机制应当公开,理想的情况是将安全机制加入系统后,即便是系统的开发者也不能侵入这个系统;
(4). 完整的存取控制机制:对每个存取访问系统必须进行检查;
(5). 基于“允许”的设计原则:说白了就是“白名单”策略,基于否定的访问控制策略;
(6). 权限分离:实体的存取应该受到多个安全条件的约束,如用户身份鉴别和密钥等;侵入保护系统的人难以得到全部资源的存取权限
(7). 避免信息流的潜在通道;
(8). 方便使用:友好的用户接口;
2.安全操作系统一般结构
|
用户软件 |
可信应用软件 |
|
安全内核 |
|
|
硬件 |
|
安全内核:控制整个操作系统的安全操作
可信应用软件:有两个部分组成,即系统管理员和操作员进行安全管理所需的应用程序,以及运行具有特权操作的、保障系统正常工作所需的应用程序
操作系统的可信应用软件和安全核组成了系统的可信软件,它们组成可信计算基的一部分,系统必须保护可信软件不被修改和破坏。
3. 开发安全操作系统的方法有哪些?各自优缺点及适用场合?
(设计安全内核是,优先考虑的是完整性、隔离性、可验证性三条基本原则)
(隔离性:主要是不同进程间的隔离,是操作系统最基本的安全功能)
(安全内核设计——分层设计、环结构设计)
|
原生系统 |
虚拟机系统 |
改进增强系统 |
仿真系统 |
|
应用程序 |
|||
|
ISOS |
ISOS |
安全内核 |
ISOS仿真器 |
|
安全内核 |
安全内核 |
||
|
硬件 |
|||
虚拟机法:在现有操作系统和硬件之间增加一层新的软件作为安全内核,操作系统作为虚拟机来运行
优点:安全内核接口几乎等价原有硬件编程接口,操作系统模拟在裸机上执行自己的进程和内春管理功能,可以不变的支持现有应用程序,向后兼容。
缺陷:要求原系统的硬件和结构都能支持虚拟机。
改进/增强法:在现有操作系统基础上对内核和应用程序进行面向安全策略的分析,再加入安全机制
优点:代价小;用户接口不变;效率变化不大
缺点:受体系结构和现有程序限制,很难达到B2级以上的安全级别
仿真法:对现有操作系统的内核进行面向安全策略的分析和修改以形成安全内核,然后在安全内核与原ISOS用户接口界面中间再编写一层仿真程序。例子:Docker等容器
优点:建立安全内核时,不必受现有应用软件制约,可以自由定义ISOS仿真程序与安全内核的接口。
不足:要同时设计仿真程序和安全内核,受顶层ISOS接口限制
有些ISOS接口功能不安全,不能仿真
有些ISOS仿真实现特别困难
4. Linux 安全模块 LSM 是什么?
LSM 是 Linux Secrity Module 的简称,即 linux 安全模块。其是一种轻量级通用访问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。这个安全框架将提供一组安全钩子来控制对核心客体的操作,提供一组在核心数据结构中不透明安全域来维护安全属性。
LSM 的设计思想是在最少改变内核代码的情况下,提供一个能够成功实现强制访问控制模块需要的结构或者接口。
5. SELinux 体系结构?
SELinux 即 Security-Enhanced Linux,是一种实现强制访问控制的系统。SELinux 在所有内核资源上提供增强的访问控制,SELinux 是通过 LSM 框架合并到内核中的。SELinux 的一个优势是 它的策略规则不是静态的,相反,必须自己编写策略并确保它达到了安全目标的要求,其实 使用和应用 SELinux 就是编写和理解策略。SELinux 在内核中以一个 LSM 模块的形式实现,SELinux 使用 LSM 钩子控制对内核资源的访问,访问决定由 SELinux 安全服务器产生,它是 SELinux LSM 模块的一部分,安全策略由安全服务器通过一个具有特权的用户空间接口载入内核,AVC 为访问确认提供性能增强。