【Security】操作系统安全

一、主体与客体

访问控制关注的对象要么是主体，要么是客体

客体（objects）：客体是一个被动的实体。

在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。图书是保护对象，那么他是客体。

对一个客体的访问隐含着对其包含信息的访问。文件，IPC资源等就是客体，进程也可以是客体。

主体（subjects）：是引起信息在客体之间的流动的实体。

通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件，编辑进程是存取文件的主体，而文件是客体。操作系统进程一般分为用户进程和系统进程。进程想读文件，信息需要进内存，由进程导致，因此进程是主体。

二、可信计算基

系统里面具体实施安全策略的所有可信的硬件和软件。

三、访问控制

类似引用分析，判断你能做什么，适用于计算机内部。访问控制有三个任务：

①授权（授权主体）

②确定访问权限（读写执行删除追加等）

③实施访问权限

访问控制包括自主访问控制和强制访问控制。

自主访问控制（DAC）：用户级

1）基于行的自主访问控制

能力表
前缀表（受保护客体名+权限）
口令

2）基于列的自主访问控制

保护位
访问控制表（每个客体附加主体明细表，表示访问控制矩阵）

强制访问控制（MAC）：系统级

四、安全模型

是对安全策略所表述的安全需求的简单、抽象、无歧义的描述。分为以下两种：

非形式化安全模型：模拟系统安全功能
形式化安全模型：使用数学模型精确描述安全性记其在系统中使用的情况

下面是一些实际安全模型：

blp模型/bell-lapadula模型（机密性模型）
biba模型（完整性模型）
clark-wilson模型/c-w模型（完整性模型）
中国墙模型/bn模型（多策略安全模型）
基于角色的存取控制（RBAC）模型（多策略安全模型）
域型强制实施（DTE）模型（多策略安全模型）
安全信息流模型（安全性分析模型）
无干扰安全模型（安全性分析模型）

五、安全体系结构

对计算机系统需要满足的许多要求进行全局性的折中考虑。（如安全性、容量、性能、可扩展）

安全体系结构

类型：

抽象体系
通用体系
逻辑体系
特殊体系

设计原则：

系统设计之初考虑安全性
尽量考虑未来可能面临的安全需求
隔离安全控制，使其极小化
实施特权极小化
结构化安全相关功能
安全相关界面友好
安全不依赖隐藏内容

权能体系

Flask体系

LSM安全框架

标识鉴别：判断你是谁

可信软件：与安全相关，黑客攻击会给系统带来威胁，位于安全周期内。

不可信软件：与安全无关，不敏感的访问

（简单记录，不进行详细解释）