可信操作系统的设计.pptVIP

5.5.4评估(续)通用准则通用准则和美国的联邦准则非常相似。其中保留了安全目标以及保护轮廓的概念。将保护需求打包可以确保对于特定类型的应用是完善和一致的。示例包在通用准则中受到特别的关注。通用准则定义了安全有关的类。以这些类为基础，定义了功能或保证需求的族，基于族定义了独立组件，将独立组件组合成组件包，以满足综合要求或某个信任等级。包成为特定应用和产品需求的断言。可编辑*5.5.4评估(续)表5.6通用准则中的类功能保证识别和鉴别开发可信路径测试安全审计脆弱性评估安全功能调用配置管理用户数据保护生命周期支持资源利用文档向导可信安全功能保护发布和操作隐私通信可编辑*5.5.4评估(续)图5.22通用准则中的保护轮廓和安全目标可编辑*5.5.4评估(续)评估准则总结准则的目的是提供一个值得信赖的、独立的安全评估方法。评估过程可以运用一些客观准则集合来考核评估过程本身。在评估中有几种我们都期待的良好性质，包括：(1)可扩展性：随着产品功能的增强，评估能否扩展？(2)粒度。(3)速度。(4)全面。(5)客观性与一致性。(6)可移植性：能够对运行在任何平台上的产品进行评估吗？(7)兼容性：不同准则对同一产品的评估过程是否相似？(8)可输出性：评估证实了一个方案时，对另一个方案的这种评估是否能被接受以满足当前全部或部分安全需求?可编辑*5.5.4评估(续)准则开发活动图5.23准则开发成果可编辑*5.5.4评估(续)有关评估准则的经验准则一直受到军方的关注，但是在商业领域并没有得到太多的认可。一些大厂商欣然接受低保证评估的产品。现实要求每个人都认识到市场(并非某个准则文档)最终决定需要什么，不需要什么。一般认为市场最终会选择优质产品。经验表明按照上述准则，厂商能够生产出高质量、值得信赖的产品。虽然大声宣布产品质量比提供清晰可信依据更容易和廉价，但是一些厂商已经宣布共同致力于评估，认为独立的评估是质量的标志。可编辑*5.6本章总结安全操作系统开发包括几个步骤：第一，通过策略描述和模型，可以确定系统中的各基本组成部分，然后研究各组成部分之间的交互。第二，在了解了环境之后，必须设计一个系统提供所期望的保护，我们较为详细地学习了特定的安全设计原则，包括隔离或分离、分层设计以及安全内核的概念。第三，仅有一个好的操作系统设计还不够，还需要确保设计和实现是正确的，因此，本章提供了形式化验证、证实以及测试来论证正确性。除此之外，还简单讨论了几种评估准则。可编辑*谢谢！可编辑*5.4.7分层设计分层信任正如前面所说明的，一个内核化的操作系统至少由四层组成：硬件、内核、操作系统和用户，其中每一层都可以包含一些子层。当然，也可以将一个分层的可信操作系统描述成堆栈，其中安全功能离硬件最近。如果所有这些操作在安全内核执行出现一个情况是，则不需要高安全性的操作，也具有了高安全性。分层设计对一些与保护功能相关的活动都是安排在安全内核之外执行的。可编辑*5.4.7分层设计(续)图5.20分层的操作系统可编辑*5.4.7分层设计(续)换一种方法，可在几个不同的模块中实现一个单一的逻辑功能，我们称此为分层设计(layereddesign)。可以通过操作不同层的一组模块来执行一个单一功能。每层的模块执行一个某种敏感等级的操作。可编辑*5.4.7分层设计(续)图5.21操作在不同层中的模块可编辑*5.4.7分层设计(续)Neumann描述了可证明安全操作系统(ProvablySecureOperatingSystem，PSOS)的层次结构。一些等级较低的层向等级较高的层提供部分或者全部的功能。但每一层适当地封装一些仅属于自己的内容。可编辑*5.4.7分层设计(续)表5.4PSOS设计层次层功能通过哪一层隐藏用户是否可见16用户请求解释程序可见15用户环境和名字空间可见14用户I/O可见13程序记录可见12用户进程和可见I/O可见11创建和删除用户对象可见10目录11部分可见9扩展类型11部分可见8段11部分可见7分页8不可见6系统程序和I/O12不可见5原语I/O6不可见4算术和其他基本操作可见3时钟6不可见2中断6不可见1寄存器和可寻址存储器7部分可见0性