安全系统开发方法
第一節(jié) 安全開發(fā)方法的原則
a)機制經(jīng)濟性(Economy of mechanism) 設(shè)計盡可能簡單,盡可能小
b)基于“許可” 的安全(Fail-safedefaults) 什么條件下允許做什么
c)完全的訪問仲裁 (Complete mediation)每個客體訪問都要檢查是否有權(quán)限
d)開放型系統(tǒng)設(shè)計(Open design) 算法不保密, 密鑰保密
e)權(quán)限分析(Separation of privilege) 東西由兩人兩人以上來控制。兩人控制保險柜
f)最小特權(quán)(Least privilege)
g)公共機制最小化(Least common mechanism)公共機制越多,被利用機會越多
h)用戶友好(Psychological acceptability)
第二節(jié) 安全內(nèi)核的虛擬機法、仿真法、新建法
改進/增強法:在現(xiàn)有操作系統(tǒng)的基礎(chǔ)上,對其內(nèi)核和應(yīng)用程序進行面向安全策略的分析,然后加入安全機制。經(jīng)改造、開發(fā)后的安全系統(tǒng)基本上保持了原ISOS的用戶接口。
1.? 虛擬機法
在現(xiàn)有操作系統(tǒng)與硬件之間增加一個新的分層,作為安全內(nèi)核,操作系統(tǒng)幾乎不變地作為虛擬機。
優(yōu)點:
- 安全內(nèi)核的接口幾乎與原有硬件接口等價,操作系統(tǒng)本身并未意識到已被安全內(nèi)核控制。
- 可以不變地支持現(xiàn)有的應(yīng)用程序,且能很好地兼容ISOS的將來版本。
缺點:
- 硬件特性對虛擬機的實現(xiàn)非常關(guān)鍵,? 要求原系統(tǒng)的硬件和結(jié)構(gòu)支持虛擬機
2.? 仿真法
對現(xiàn)有操作系統(tǒng)的內(nèi)核做面向安全策略的修改,然后在安全內(nèi)核與原ISOS用戶接口界面中間再編寫一層仿真程序。
優(yōu)點:
???? -建立安全內(nèi)核不必受現(xiàn)有應(yīng)用程序的限制
???? -自由定義ISOS仿真程序與安全內(nèi)核間接口
缺點:
???? -要求同時設(shè)計仿真程序和安全內(nèi)核
???? -要受頂層ISOS接口的限制
???? -有些ISOS的接口功能不安全,無法仿真
???? -有些接口功能安全,但仿真實現(xiàn)特別困難
3.? 新建法
包括面向安全策略的安全內(nèi)核在內(nèi),重新設(shè)計整個操作系統(tǒng)
優(yōu)點:
可以任意建立所需的內(nèi)核接口
可以定義操作系統(tǒng)的接口與內(nèi)核實施的安全策略保持兼容
可以保證內(nèi)核設(shè)計的最小化和操作系統(tǒng)的運行性能
缺點:必須從頭開始,難度大,工作量也大.
第三節(jié) 基于標準某安全等級要求的安全操作系統(tǒng)的一般開發(fā)過程、設(shè)計和實現(xiàn)方法
設(shè)計與實現(xiàn):
對一個現(xiàn)有操作系統(tǒng)的非安全版本進行安全性增強之前,首先得進行安全需求分析。也就是根據(jù)已有的操作系統(tǒng)版本及其所面臨的風險、明確哪些安全功能是原系統(tǒng)已具有的,哪些安全功能是要開發(fā)的。只有明確了安全需求,才能給出相應(yīng)的安全策略。
建立安全模型有利于正確地評價模型與實際系統(tǒng)間的對應(yīng)關(guān)系,幫助我們盡可能精確地描述系統(tǒng)安全相關(guān)功能。
此外,需要將模型與系統(tǒng)進行對應(yīng)性分析,并考慮如何將模型用于系統(tǒng)開發(fā)之中,并說明所建安全模型與安全策略是一致的。
建立了安全模型,結(jié)合系統(tǒng)的特點在系統(tǒng)中設(shè)計和實現(xiàn)相應(yīng)的安全機制。同時在設(shè)計了部分安全功能之后,便檢查它提供的安全性尺度。
設(shè)計目標: 使得開發(fā)后的安全操作系統(tǒng)具有最佳安全/開發(fā)代價比。
總結(jié)
- 上一篇: 安全体系结构与七个设计原则
- 下一篇: 自动完形填空系统构建