操作系统安全复习

第一部分 引言

1、操作系统安全威胁：

病毒：病毒是能够自我复制的一组计算机指令或者程序代码。通过编制或者在计算机程序中插入这段代码，以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。

病毒基本特点：隐蔽性、传染性、潜伏性、破坏性

蠕虫类似于病毒，它可以侵入合法的数据处理程序，更改或破坏这些数据。蠕虫不像病毒一样复制自身

逻辑是加在现有应用程序上的程序。

一般逻辑都被添加在被感染应用程序的起始处，每当该应用程序运行时就会运行逻辑。它通常要检查各种条件，看是否满足运行的条件。没有取得控制权就将控制权归还给主应用程序，逻辑仍然安静地等待。

逻辑不能复制自身，不能感染其他程序

特洛伊木马是一段计算机程序，表面上在执行合法任务，实际上却具有用户不曾料到的非法功能。一旦这些程序被执行，一个病毒、蠕虫或其他隐藏在特洛伊木马程序中的恶意代码就会被释放出来，攻击个人用户工作站，随后就是攻击网络。

特洛伊木马需要具备以下条件才能成功地入侵计算机系统:

● 入侵者要写一段程序进行非法操作，程序的行为方式不会引起用户的怀疑；

● 必须设计出某种策略诱使受骗者接受这段程序；● 必须使受骗者运行该程序；

● 入侵者必须有某种手段回收由特洛伊木马程序提供的信息。

天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。

天窗由专门的命令激活，一般不容易发现。天窗所嵌入的软件拥有渗透者所没有的。

通常天窗设置在操作系统内部，天窗很像是操作系统里可供渗透的一个缺陷。

隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。

按信息传递的方式和方法区分，隐蔽通道分为隐蔽存储通道和隐蔽定时通道。

隐蔽存储通道在系统中通过两个进程利用不受安全策略控制的存储单元传递信息。

隐蔽定时通道在系统中通过两个进程利用一个不受安全策略控制的广义存储单元传递信息。

从操作系统安全的角度如何理解计算机恶意代码、病毒、特洛伊木马之间的关系?

答：恶意代码指的所有感染计算机并且造成破坏的程序,病毒是恶意代码的一种,可以复

制、感染计算机程序造成破坏。而特洛伊木马是一种载体,它伪装成合法的程序,在执行的时候才把隐藏在其中的恶意代码释放,如病毒、蠕虫等。

2、 操作系统安全和信息系统安全

操作系统安全是信息系统安全的基础；操作系统是信息系统的基石

3、 ● 安全周界（security perimeter）: 用半径来表示的空间。该空间包围着用于处理敏感信息的设备，并在有效的物理和技术控制之下，防止未授权的进入或敏感信息的泄露。

● 客体（object）: 系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问。客体的实体类型有记录、程序块、页面、段、文件、目录、目录树和程序

● 主体（subject）是这样的一种实体，它引起信息在客体之间的流动。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文件是客体。

● 标识与鉴别（identification & authentication，I&A）: 用于保证只有合法用户才能进入系统，进而访问系统中的资源。

● 访问控制（access control）: 已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。

● 最小原理（least privilege principle）: 系统中每一个主体只能拥有与其操作相符的必需的最小集。

● 隐蔽通道（covert channel）: 非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道。

● 审计（audit）: 一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。

● 授权（authorization）: 授予用户、程序或进程的访问权。

● 安全功能（security function）: 为实现安全要素的内容，正确实施相应安全策略所提供的功能。

● 操作系统安全（operating system security）: 操作系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。

● 安全操作系统（secure operating system）: 能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的形成方式而言，一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统，专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全性评测

● 多级安全操作系统（multilevel secure operating system）: 实现了多级安全策略的安全操作系统，比如符合美国橘皮书（TCSEC）B1级以上的安全操作系统。

4、构建安全的基本要素方面主要内容

（1）安全策略：规范系统的安全性，应该做什么（2）安全机制：明确系统安全实现方法，应该怎么做

（3）安全保证：明确系统安全性实现的正确性，确实有作用

第二部分 基本概念

1、系统边界与安全周界

（1）系统：开发者实施某种控制的计算和通信环境全体（2）系统边界：规范系统和外界的接口

（3）系统内部组件：与安全相关的部分和其他部分

（4）安全周界：分离两种系统内部组件的一种假想的边界，安全周界内的所有组件须精确定义

2、操作系统安全功能：存储保护、运行保护、标识与鉴别、安全审计等。

3、可信软件：软件保证能安全运行，且以后系统的安全也依赖于该软件的无错操作

（1）可信的：软件保证能安全运行，且系统的安全也依赖于软件的无错操作

（2）良性的：软件不确保安全运行，但且不会有意违背安全规则，其错误是偶然的，不影响系统的安全

（3）恶意软件：软件来源不明，有破坏性

4、安全策略和安全模型

安全策略：相关管理、保护和发布敏感信息的法律、规则和实施细则。

安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，为安全策略以及安全策略实现机制提供框架。

5、验证机制满足的原则

(1) 必须具有自我保护能力（完整性）(2) 必须总是处于活跃状态（仲裁）(3) 必须设计得足够小，以利于分析和测试（正确）

6、安全内核的设计和实现的基本原则

安全内核：指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制和授权管理机制等部分

安全内核属性：安全内核由硬件和介于硬件和操作系统之间的一层软件组成；安全内核的软件和硬件是可信的，处于安全周界内；安全内核设计原则:完整性原则、隔离性原则、可验证性原则

7、TCB是计算机系统内保护装置的总体，TCB的组成部分

由一些具体实施安全策略的软件、硬件和安全管理人员等组成的系统可信计算基（TCB)，其组成为：

OS的安全内核；具有的程序和命令；处理敏感信息的程序，如系统管理命令等；与TCB实施安全策略有关的文件

其他相关的硬件、固件和设备；负责系统管理的人员；保障固件和硬件正确的程序和诊断软件

8、隐蔽通道的分类:根据不同的分类标准，可以将隐蔽通道分为存储通道和定时通道，或者噪音通道和无噪通道。

9、隐蔽通道的特征

存储通道：(1)发送方和接收方进程必须有权存取共享资源的同一属性。

(2)发送方进程必须有办法改变该共享资源。(3)接收方进程必须有办法侦查该共享资源的改变。

(4)必须存在某种机制，使发送方和接收方进程能启动隐蔽通信并正确给事件排序。该

机制可能是另一条较小带宽的隐蔽通道。定时隐蔽通道:(1) 发送方和接收方进程必须有权存取共享资源的同一属性。

(2) 发送方和接受芳进程必须有权存取一个时间参照，如实时时钟。

(3) 发送方进程必须能够调整接收方侦查共享属性的变化所用的响应时间。

(4) 必须存在某种机制，使发送方和接收方进程能启动隐蔽通信并正确给事件排序。该机制可能是另一条较小带宽的隐蔽通道。

第三部分 安全机制

1、操作系统的安全性设计的方面：物理上分离、时间上分离、逻辑上分离、密码上分离

2、操作系统安全的主要目标:

防止用户对资源的非法存取；标识系统用户和身份鉴别；监督系统运行的安全性；保证自身的安全性和完整性

3、通用安全需求:机密性、完整性、可追究性、可用性

操作系统安全机制有：硬件安全机制、标识与鉴别、访问控制、最小管理、可信路径、安全审计

4、硬件安全机制：

计算机硬件安全的目标是保证其自身的可靠性并为系统提供基本安全机制。基本安全机制包括存储保护、运行保护、I/O保护.

5、安全操作系统的标识与鉴别机制：概念、注意的问题

标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符，用户标识符必须是唯一的且不能被伪造，防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用于识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户不能拥有它。

6、访问控制：授权；确定访问权限；实施访问权限

7、访问控制机制的引用监控器的基本原理及思想

引用监控器是一个抽象概念，它表现的是一种思想。

引用监控器借助访问数据库控制主体到客体的每一次访问，并将重要的安全事件计入审计文件中。访问控制数据库包含有关主体访问客体访问模式的信息。数据库是动态的，它会随着主体和客体的产生或删除及其权限的改变而改变。

8、自主访问控制概念及实现方式

自主访问控制是用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。实现完备的自主存取控制机制，系统将存取控制矩阵相应的信息以某种形式保存在系统中。目前在操作系统中实现的自主存取控制机制是基于矩阵的行或列表达访问控制信息。

9、基于行的自主访问控制机制明细表形式：能力表、前缀表、口令

基于列的自主访问控制机制明细表形式：保护位、访问控制表

• 自主存取控制机制是保护计算机信息系统资源不被非法访问的一种有效的手段，但它有一个明显的缺点，就是这种控制是自主的。虽然这种自主性为用户提供了很大的灵活性，但缺乏高安全等级所需的高安全性。

10、强制访问控制基本概念及原理

在强制存取控制机制下，系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、信号量集合和共享存储区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门或由操作系统自动地按照严格的规则来设置，不像存取控制表那样由用户或他们的程序直接或间接地修改。

11、自主访问控制与强制访问控制的区别

DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。适用场合不同:强制存取控制用于将系统中的信息分密级和类进行管理，适用于部门、军事和金融等领域。

12、强制访问控制防止特洛伊木马

在强制存取控制的情况下，对于违反强制存取控制的特洛伊木马，可以防止它取走信息。例如在多级安全系统中，*特性能阻止正在机密安全级上运行的进程中的特洛伊木马把机密信息写入一个公开的文件里。

13、最小管理基本思想:系统不应给用户超过执行任务所需以外的。

14、可信路径／可信通路的概念及一般过程

在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。需要一个机制保障用户和内核的通信，这种机制就是由可信通路提供的。

提供可信通路的一个办法是给每个用户两台终端，一台做通常的工作，一台用作与内核的硬连接。对用户建立可信通路的一种现实方法是使用通用终端，通过发信号给核心。这个信号是不可信软件不能拦截、覆盖或伪造的。称这个信号为“安全注意键”。

早先实现可信通路的作法是通过终端上的一些由内核控制的特殊信号或屏幕上空出的特殊区域，用于和内核的通信。今天大多数终端已经十分智能，内核要使该机制不被特洛伊木马欺骗是十分困难的。

15、安全审计概念及目的

一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。

目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。

• 审计作为一种事后追查的手段来保证系统的安全，它对涉及系统安全的操作作一个完整的记录。

• 审计为系统进行事故原因的查询、定位，事故发生前的预测、报警以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有

效地追查事件发生的地点和过程以及责任人。

• 如果将审计和报警功能结合起来，那就可以做到每当有违反系统安全的事件发生或者有涉及系统安全的重要操作进行时，就及时向安全操作员终端发送相应的报警信息。

审计的主要作用：

（1）记录与系统安全有关的行为，并分析发现系统中不安全的因素。

（2）对违反系统安全规则的行为和企图提供证据，其他取证依据。

（3）提供已受到攻击的系统的损失的评估和系统恢复。

审计事件是系统审计用户操作的最基本单位。系统将所有要求审计或可以审计的用户动作都归纳成一个个可区分、可识别、可标志用户行为和可记录的审计单位，即审计事件。

审计过程

16、安全操作系统一般要审计的事件：注册事件、使用系统事件和利用隐蔽通道事件

第四部分 通用操作系统安全机制

1、Unix操作系统提供系统功能的方式:（1）系统调用（2）异常（3）中断（4）一组特殊的系统进程执行系统级的任务

UNIX两种执行态：核心态和用户态

2、标识与鉴别机制概念及原理

UNIX的各种管理功能都被在一个超级用户（root）中。作为超级用户可以控制一切，包括用户账号、文件和目录、网络资源。允许超级用户管理所有资源的各类变化，或者只管理很小范围的重大变化。

用户登录到系统中时，需输入用户名标识其身份。在系统内部具体实现中，当该用户的账户创建时，系统管理员便为其分配一个惟一的标识号——UID。

用户名是个标识，它告诉计算机该用户是谁。而口令是个确认证据。用户登录系统时，需要输入口令来鉴别用户身份。当用户输入口令时，UNIX 使用改进的 DES 算法（通过调用 crypt() 函数实现）对其加密，并将结果与存储在 /etc/passwd 或 NIS 数据库中的加密用户口令比较。

3、自主存取控制机制和强制存取控制的原理

在UNIX文件系统中，控制文件和目录中的信息存在磁盘及其他辅助存储介质上。它控制每个用户可以访问何种信息及如何访问，表现为通过一组存取控制规则来确定一个主体是否可以存取一个指定客体。UNIX的存取控制机制通过文件系统实现。

4、最小管理概念

将系统能够进行敏感操作的能力分成26个，由一些用户分别掌握这些，这些用户哪一个都不能完成所有的敏感操作。

5、Windows安全模型及其组成部分

安全模型由本地安全认证、安全账号管理器和安全引用监控器构成。除此以外，还包括注册、访问控制和对象安全服务等，它们之间的相互作用和集成构成了安全模型的主要部分。

6、Windows安全登录过程

1）用户按Crl＋Alt＋Del键，引起硬件中断，被操作系统捕获。这样使操作系统激活Winlogon进程。

2） Win Logon进程通过调用标识与鉴别DLL，将登录窗口口（帐号名和口令登录提示符）展示在用户面前。

3） Winlogon进程发送帐号名和加密口令到本地安全认证证（LSA）。如果用户帐号是地女全认证访问安全帐号管理数据库。否则，本地Windows NT／XP计算机的本地帐

号，安全认证就通过 Netlogon服务建立一条安全通道访问主域服务器或备份域服务器的安全帐号管理模块（SAM），鉴别登录请求。

4）如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户帐号SID和用户工作组SD。访令牌也得到用户的（LUID），然后该访向令牌传送回Winlogon进程。

5） Winlogon进程传送访问令牌到Win32模块，同时发出一个请求，以便为用户建立登录进程。

6）登录进程建立用户环境，包括启动 Desktop Explorer和显示背景等。

远程安全登录

1）用户将用户名和口令输入到网络客户机软件的登录窗回。

2）该客户机软件打开 NETBIOS连接到服务器上的 Net Logon服务。该客户机软件对口令加密，发送登录证书到服务器的 Winlogon进程。

3）服务器的 Win Logon进程发送帐号名名和加密口令到本地安全认证（LSA）。如果用户帐号是 Windows NT／XP计算机的本地帐号，则本地安全认证访回安全帐号管理数据库。否则，本地安全认证通过 Netlogon服务建立一条安全通道访问主域服务器或备份域服务器的安全帐号管理（SAM），鉴别登录请求。

4）如果用户具有有效的用户名和口令，则则本地安全认证产生一个访问令牌，包括用户帐号SID和用户工作组SID。访问令牌也得到用户的（LUID），然后该访问令牌传

送回Winlogon进程。

5） Winlogon进程传送访问令牌到 Windows NT／XP的 Server服务，它将访回牌与被客户机打开的 NETBIOS连接联系起来。

第五部分 安全策略与安全模型

1、安全策略概念及其表达语言、信息系统的安全需求主要方面

答：安全策略就是对系统安全需求的形式化或者非形式化描述。而安全需求则是从有关管理、保护和发布敏感信息的法律、规定和实施细则中导出的。一般来说，对信息系统的安全需求主要包含四个方面：机密性、完整性、可追究性和可用性。

策略表达语言：描述安全策略的语言

高层策略语言和低层策略语言

高层策略语言：表达系统中抽象实体的策略，描述系统中实体和行为的，策略于机制，用数学语言或DTE策略语言（域和型强制）

低层策略语言：表达系统中程序的输入或调用选项的，采用一组输入或参数简化来对系统进行设置、检查或命令

2、安全策略的类型及对应的安全需求

答：访问控制策略和访问支持策略。前者反映系统的机密性和完整性要求，它确立相

应的相应的访问控制规则以控制对系统资源的访问；而后者反映系统的可追究性和可用性要求，它以支持访问控制策略的面貌出现。

所谓一个系统是安全的，就是指系统的实现达到了当初设计师所制定的安全策略。

3、安全模型的特点、目的及基本要求、类型

答：特点：（1）精确、无歧义（2）简单抽象、容易理解

（3）具有一般性：只涉及安全性质，不过度牵扯系统功能或其实现（4）是安全策略的明显表现

目的：明确地表达安全需求，为设计开发安全系统提供方针。

基本要求：（1）完备性:所有的安全策略必须包含在模型的断言中（2）正确性：安全性定义是从安全策略导出的安全断言的精确表述（3）一致性：所有的安全策略内在是一致的（4）简明性：模型简单

类型：（1）非形式化安全模型：模拟系统的安全功能

（2）形式化安全模型：使用数学模型，精确地描述安全性及其在系统中使用的情况

4、状态机模型原理和开发一个状态机的步骤

原理：用模仿操作系统和硬件执行过程的方法描述计算机系统，将一个系统描述为一个抽象的数学状态机器。

状态机安全模型的一般开发步骤

（1）定义安全相关的状态条件（2）定义安全状态转换条件（3）定义状态转换函数

（4）检验函数是否维持安全状态（5）定义初始状态（6）依据安全状态的定义，证明初始状态安全

5、BLP模型概念（基本概念、机密性模型、适用于军事安全策略、最早的多级安全模型、状态机安全模型）

答：BLP模型是一种适用于军事安全策略的计算机操作系统安全模型，是一种计算机多级安全模型。

BLP模型是一个状态机模型，它形式化地定义系统、系统状态以及系统状态间的转换规则；定义了安全概念；制定了一组安全特性，以此对系统状态和状态转换规则进行和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明该系统是安全的。

BLP模型属于机密性安全模型，机密性策略目标：保障信息不泄露给未授权用户

在BLP模型中将主体定义为能够发起行为的实体，如进程；将客体定义为被动的主体行为承担者，如数据、文件等；将主体对客体的访问分为r(只读)、w（读写）、a（只写）、e（执行）以及c（控制）等几种访问模式，其中c是指该主体用来授予或撤销另一主体对某一客体的访问权限的能力

BLP模型的安全策略包括自主安全策略和强制安全策略。

自主安全策略使用一个访问矩阵表示，访问矩阵第i行第j列的元素Mij表示主体Si对客体Oj的所有允许的访问模式，主体只能按照在访问矩阵中被授予的对客体的访问权限对客体进行相应的访问。

强制安全策略包括简单安全特性和*特性，系统对所有的主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问。

6、BLP模型的安全策略包括强制存取控制和自主存取控制，其分别对应于哪种安全策略

强制存取控制部分由简单安全特性和*特性组成，通过安全级强制性约束主体对客体的存取（对应访问支持策略）

自主存取控制通过存取控制矩阵按用户的意愿进行存取控制。（对应访问控制策略）

BLP也使用了可信主体的概念，用于表示在实际系统中不受*特性制约的主体，以保证系统的正常运行和管理。

应用BLP模型的安全系统还应考虑以下几个方面的问题。

(1) BLP模型，可信主体不受*特性约束，访问权限太大，不符合最小原则，应对可信主体的操作权限和应用范围进一步细化。

(2) BLP模型主要注重保密性控制，控制信息从低安全级传向高安全级，而缺少完整性控制，不能控制“向上写（write up）”操作，而“向上写”操作存在着潜在的问题，它不

能有效地隐蔽通道。

7、BLP模型的优点与不足

优点： 简单安全性、*特性、自主安全性、兼容性

（1）是一种严格的形式化描述;

（2）控制信息只能由低向高流动，能满足军事部门等一类对数据保密性要求特别高的机构的需求。

不足：（1）模型中很难确定系统执行的安全规则的确定性

（2）缺乏处理多级客体的关联性（3）不支持应用相关的安全规则

BLP模型通过防止非授权信息的扩散保证系统的安全，但它不能防止非授权修改系统信息。

8、Biba模型（基本概念、完整性模型、完整级别：密级和范畴），以及该模型控制下的隐蔽通道

答：Biba模型是第一个完整性安全模型，其主要应用类似BLP模型的规则来保护信息的完整性。Biba模型是基于主体、客体以及它们的级别的概念的。模型中主体和客体的概念与BLP模型相同，对系统中的每个主体和每个客体均分配一个级别，称为完整级别。完整级别由两部分组成: 密级和范畴。

完整性策略目标：防止信息未被授权的人篡改

Biba模型的四种存取方式：

(1)Modify，向客体写信息(2)Invoke，仅能用于主体。若两个主体之间有Invoke权限，则允许它们互相通信。

(3)Observer，从客体中读信息。(4)Execute，执行一个客体（程序）

9、Biba模型基本原理及优点、不足

基于Biba模型的完整性存取控制方案认为在一个系统中完整性策略的主要目标是用以防止对系统数据的非授权修改，从而达到对整个系统数据完整性进行控制的目的，，对于职责隔离目标，则是通过对存取类的恰当划分方案来实现的。

Biba模型的优势在于其简单性以及和BLP模型相结合的可能性。

Biba模型的不足之处主要在于以下几点。

（1）完整标签确定的困难性。（2）Biba模型在有效保护数据一致性方面不充分。

（3）关于Biba模型和BLP模型的结合。原理简单，但实际应用复杂。（4）Biba模型难以满足实际系统真正的需求。

10、Clark-Wilson安全模型的基本原理

Clark-Wilson安全模型是完整意义上的完整性目标、策略和机制的起源。

Clark-Wilson模型的核心在于以良构事务(well-formal transaction)为基础来实现在商务环境中所需的完整性策略。

Clark-Wilson模型有效地表达了完整性的3个目标，即防止非授权用户的修改，防止授权用户权的不当修改，维护数据的内部和外部一致性。Clark-Wilson模型的缺点之一在于远没有被形式化，而且也不清楚在通用配置的情况下如何去形式化它。

第六部分 安全体系结构

1、安全体系结构含义及主要内容

一个计算机系统（特别是安全操作系统）的安全体系结构主要包括以下内容：

(1) 详细描述系统中安全相关的所有方面。(2) 在一定的抽象层次上描述各个安全相关模块之间的关系。

(3) 提出指导设计的基本原理。(4) 提出开发过程的基本框架及对应于该框架体系的层次结构。为此，安全体系总是按一定的层次结构进行描述，一般包括两个阶段。① 系统开发的概念化阶段。② 系统开发的功能化阶段。

2、安全体系结构类型、设计的基本原则

四种类型:1. 抽象体系2. 通用体系3. 特殊体系4. 逻辑体系

设计的基本原则：(1). 从系统设计之初就考虑安全性(2). 应尽量考虑未来可能面临的安全需求(3). 隔离安全控制，并使其极小化

(4). 实施极小化(5). 结构化安全相关功能(6). 使安全相关的界面友好(7). 不要让安全依赖于一些隐藏的东西

3、权能体系的概念及优点

权能体系是较早用于实现安全内核的结构体系，是实现访问控制的一种通用的、可塑性良好的方法。权能体系的最大优点就是:

（1）权能为访问客体和保护客体提供了一个统一的、不可绕过(noncircumventable)的方法，权能的应用对统筹设计及简化证明过程有重要的影响。

（2）权能与层次设计方法是非常协调的，从权能机制可以很自然地导致使用扩展型对象来提供抽象和保护的层次。

4、Flask体系结构支持策略可变通性的含义

分布式环境中，安全策略的可变通性通常必须由操作系统的安全机制来支持。在操作系统中支持策略的可变通性是非常重要。解决策略的变化和动态的策略，系统必须有一种机制来撤销以前授予的访问权限。Flask体系结构提供了策略的可变通性，也支持策略的广泛多样性

5、GFAC通用访问控制框架

GFAC框架是在单一系统中实现的多种安全策略支持方法。

GFAC是一种构建一个可信计算机系统的安全模型，实质是一种规则集模型化方法。

相对于目前大多数属于有限状态机模型的安全模型，它将系统描述成一个抽象的数学状态机，其中状态变量表征机器状态，状态转移函数描述状态变量可能发生的变化，即操作规则。相对于传统的安全模型化方法，规则集模型化方法将访问控制策略看作一些通过安全属性来表达的规则，将这些访问控制规则与系统访问行为分开，分别对应于判定和实施部件。在GFAC方法中，访问控制实施部件（ Access－ control Enforcement Facility，AEF）所对应的是对系统的操作，它截获主体对客体的访问，向访问控制判定部件（Acescontrol Decision Facility，ADF）发出访问判定请求，并根据请求结果来控制对客体的访问ADF包含访问控制规则集，每种访问策略描述成规则集中的一组规则，ADF接接收来自AEF的请求，根据规则集中的规则判定主体的访问请求是否符合安全策略并负责ACI的更新，ACI（ Access Control Information）中存放的是有关访问控制信息。

第七部分 安全保证技术

1、安全保证与安全保障概念及其区别

安全保证是对系统满足安全需求的信任，基于保证技术提供了保证概念——关心的是安全需求和安全机制实现的正确性、一致性和完整性

安全保障是指能够访问信息并保持信息质量的安全性；——关心的是信息面临的威胁，以及用来保护信息的安全机制

2、安全开发生命周期过程

系统的生命周期：概念化阶段、实现阶段、部署阶段、运维阶段

安全开生命周期（SDL），其思想将安全特性滲透到软件产品生命的各个阶段，其包括：培训、需求、设计、实现、验证／测试、发布／审查、维护／响应

3、形式化验证技术和形式化安全验证技术概念

形式化方法是基于数学系统的软件规范和软件生产方法，其构成：描述软件产品规范、设计和开发阶段的数学记法集合；完全基于逻辑的系统，对一些特性的形式化规范和证明；方法学框架

形式化分析方法主要内容：语言（数学记法）、形式化证明工具、方法学

形式化分析方法：定理证明方法和模型检测达到，前者是半自动的基于证明的验证方法，后者是完全自动的基于模型的检验方法。

4、形式化安全验证系统的组件：规范语言处理器、验证条件生成器和定理证明器

5、操作系统安全测评方法

传统安全性保证手段：工具扫瞄漏洞，采用补救措施

测评操作系统安全性方法：形式化验证、非形式化确认（安全需求检查、设计及代码检查、模块及系统测试）、入侵分析－老虎小组安全测试

6、TCSEC对安全功能的4类7个安全级别的内容

D 级，最低安全性;没有安全性可言

C类为自主保护级别：

C1级，选择性安全保护; C2级，较完善的自主存取控制(DAC)、审计;

B类为强制保护级别:

B1级，强制存取控制(MAC);B2级，良好的结构化设计、形式化安全模型;B3级，全面的访问控制、可信恢复;

A类为验证保护类 又称验证设计:A1级，形式化认证。

第八部分 安全操作系统设计

1、安全操作系统设计的原则

(1) 最小: (2) 机制的经济性(3) 开放系统设计 (4) 完整的存取控制机制

(5) 基于“允许”的设计原则 (6) 权限分离 (7) 避免信息流的潜在通道 (8) 方便使用: 友好的用户接口。

安全操作系统一般结构：硬件、安全内核、可信软件、用户软件

2、 安全操作系统的开发方法:虚拟机法、改进／增强法、仿真法。

3、安全操作系统的开发过程:系统需求分析；系统功能描述；系统实现