一般来说,安全体系主要包括以下四方面内容:
(1). 详细描述系统中安全相关的所有方面,包括系统提供的所有安全服务和保护系统自身安全的所有安全措施;
(2). 在一定抽象层次上描述各个安全相关模块之间的关系;
(3). 提出指导设计的基本原理;
(4). 提出开发过程的基本框架及对应于该框架体系的层次结构;
一般来说,安全体系结构又可以分为四类,分别是:抽象体系、通用体系、逻辑体系与特殊体系。逻辑体系与特殊体系的不同在于逻辑体系基于满足某项假设,不完全基于现实,因此不需要进行实现成本分析。安全体系的设计对于操作系统的实现十分重要,一般我们要遵循以下设计原则:
(1). 从系统设计之初就考虑安全性:如果设计时不考虑,后期添加将会付出巨大的时间经济成本,效果还未必理想;
(2). 应尽量考虑未来可能面临的安全需求:为将来可能的安全需求预留接口,安全需求指向应当具有方向性,不能太具体,丧失系统的灵活性;
(3). 隔离安全控制,并使其最小化;
(4). 实施特权最小化;
(5). 结构化安全相关功能;
(6). 安全相关界面友好;
(7). 不要让安全依赖于一些隐藏的东西:如不能基于以下假设-“用户不能突破系统,是因为用户没有用户手册或软件的资源列表”;
一、安全操作系统设计
1. 设计原则与一般结构
Saltzer和Schroder一起提出了安全保护系统的设计原则,主要有:
(1). 最小特权:为使无意或恶意的攻击造成的损失最低,每个用户和程序必须按需使用最小特权;
(2). 机制的经济性:保护系统的设计应小型化、简单、明确,保护系统应该是经过完备测试或严格验证的;
(3). 开放系统设计:保护机制应当公开,理想的情况是将安全机制加入系统后,即便是系统的开发者也不能侵入这个系统;
(4). 完整的存取控制机制:对每个存取访问系统必须进行检查;
(5). 基于“允许”的设计原则:说白了就是“白名单”策略,基于否定的访问控制策略;
(6). 权限分离:实体的存取应该受到多个安全条件的约束;
(7). 避免信息流的潜在通道;
(1). 详细描述系统中安全相关的所有方面,包括系统提供的所有安全服务和保护系统自身安全的所有安全措施;
(2). 在一定抽象层次上描述各个安全相关模块之间的关系;
(3). 提出指导设计的基本原理;
(4). 提出开发过程的基本框架及对应于该框架体系的层次结构;
一般来说,安全体系结构又可以分为四类,分别是:抽象体系、通用体系、逻辑体系与特殊体系。逻辑体系与特殊体系的不同在于逻辑体系基于满足某项假设,不完全基于现实,因此不需要进行实现成本分析。安全体系的设计对于操作系统的实现十分重要,一般我们要遵循以下设计原则:
(1). 从系统设计之初就考虑安全性:如果设计时不考虑,后期添加将会付出巨大的时间经济成本,效果还未必理想;
(2). 应尽量考虑未来可能面临的安全需求:为将来可能的安全需求预留接口,安全需求指向应当具有方向性,不能太具体,丧失系统的灵活性;
(3). 隔离安全控制,并使其最小化;
(4). 实施特权最小化;
(5). 结构化安全相关功能;
(6). 安全相关界面友好;
(7). 不要让安全依赖于一些隐藏的东西:如不能基于以下假设-“用户不能突破系统,是因为用户没有用户手册或软件的资源列表”;
一、安全操作系统设计
1. 设计原则与一般结构
Saltzer和Schroder一起提出了安全保护系统的设计原则,主要有:
(1). 最小特权:为使无意或恶意的攻击造成的损失最低,每个用户和程序必须按需使用最小特权;
(2). 机制的经济性:保护系统的设计应小型化、简单、明确,保护系统应该是经过完备测试或严格验证的;
(3). 开放系统设计:保护机制应当公开,理想的情况是将安全机制加入系统后,即便是系统的开发者也不能侵入这个系统;
(4). 完整的存取控制机制:对每个存取访问系统必须进行检查;
(5). 基于“允许”的设计原则:说白了就是“白名单”策略,基于否定的访问控制策略;
(6). 权限分离:实体的存取应该受到多个安全条件的约束;
(7). 避免信息流的潜在通道;
(8). 方便使用友好的用户接口;
参见:
6627
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
