共查询到19条相似文献,搜索用时 109 毫秒
1.
<正>根据国家《GB/T20272-2006信息安全技术操作系统安全技术要求》,安全操作系统需要解决几个问题:第一,身份鉴别;第二,访问控制,包括自主访问控制和强制访问控制要求;第三,数据流控制;第四,安全审计; 相似文献
2.
仅提供了自主访问控制级安全防护能力的Windows操作系统的安全性受到用户广泛关注,而作为一项重要的信息安全技术,强制访问控制能够有效实现操作系统安全加固。访问控制策略的选择与设计是成功实施强制访问控制的关键。针对安全项目的需要,分析了结合经典访问控制模型BLP与Biba的优势,提出了依据进程可信度动态调整的可变标签访问控制策略,解决了因I3工尹与Biba模型的简单叠加而导致的系统可用性问题,最终实现了对进程访问行为进行控制的简单原型系统。实验表明,可变标签访问控制策略的引入在对操作系统安全加固的基础上显著提高了系统的可用性。 相似文献
3.
该文从访问控制的机制上论述了强制访问控制对防范恶意代码的有效性,并介绍了在目前流行的主流操作系统实现强制访问控制的方法,并提出了对等级保护基本要求中对强制访问控制的修改建议。 相似文献
4.
5.
6.
基于LSM的安全访问控制实现 总被引:5,自引:0,他引:5
LSM是Linus Torvakls提出来的支持多种安全策略的底层架构。而细粒度的自主访问控制和强制访问控制是安全操作系统中必不可少的一部分。文章介绍了LSM项目的结构与设计,并以此为基础讨论了细粒度的自主访问控制和强制访问控制在其上的实现。 相似文献
7.
强制访问控制MAC的设计及实现 总被引:5,自引:1,他引:5
访问控制是计算机信息保护中极其重要的一个环节,本文针对自主访问控制的缺陷,介绍了更强力的强制访问控制(MAC),强制访问控制是根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。本文在简单介绍了强制访问控制的优点后给出了它的形式化定义及其基本规则,最后介绍了由笔者等开发的一个安全操作系统softos中强制访问控制模块的具体设计及实现。 相似文献
8.
本文围绕安全操作系统中强制访问控制部分的理论和研究,自行构建了Linux系统的强制访问控制机制。该机制支持BLP修改模型的多级安全策略,其构建参考了GFAC和LSM等访问控制模型。内容包括总体设计思路、安全策略和安全信息的形式化、关键函数的实现等。 相似文献
9.
文章介绍了本小组开发的B1网络,通过修改协议栈和上层服务实现的安全机制包括自主访问控制,强制访问控制,安全主机确认,安全标签,客体再用控制,可信服务,用户鉴别和认证,审计,在操作系统级解决了一些目前主要的网络安全问题。 相似文献
10.
1 引言信息安全,除CPU、编译器和网络安全外,最重要的组成部分就是操作系统的安全核心。POSIX.1e和POSIX.2c分别定义了操作系统安全核心中可选的(alternative)和附加的(additional)安全机制Capability(命令与系统功能调用控制),MAC(Mandatory Ac-cess Control,强制访问控制),Audi(Security Audit-ing,安全审计),ACL(Access Control Lists,访问控制 相似文献
11.
构建Linux安全操作系统 总被引:1,自引:0,他引:1
信息安全问题日益严重,操作系统的安全显得尤为重要。而Linux的安全等级仅接近国家标准一级安全标准,因此需要Linux系统的安全性进行完善,设计Linux安全操作系统达到国家三级安全标准以上。本文着重论述利用Linux支持的可加载内核模块实现的基于强制访问控制的Linux安全操作系统的体系结构及其功能单元和相关技术细节。 相似文献
12.
Linux中SystemV进程通信机制安全性形式化验证 总被引:1,自引:0,他引:1
基于Linux开发安全操作系统是提高计算机安全的重要途径,而形式化验证则是开发过程的重要和必要的环节,我们从Linux的各个子系统着手进行验证,逐步搭建起整个操作系统的验证模型。考虑到访问控制机制是实现操作系统安全性的关键,本文主要讨论使用SPIN模型检验器对IPC子系统中的SystemV进程通信机制进行形式化验证的过程与方法法。查找安全漏洞并改进现有的机制,为开发工程提供理论上的保证。 相似文献
13.
14.
访问控制是安全操作系统必备的功能之一,从访问控制入手,介绍了自主访问控制的概念、特点、类型,对自主访问控制的原理和实施机制进行研究分析,同时结合信息安全等级保护中对操作系统访问控制的技术要求,重点介绍了符合三级标准的宿主型自主访问控制的实现方式。 相似文献
15.
16.
作为重要的机密性策略经典模型,BLP模型通过对主体和客体进行分级和标记,并引入高安全等级的引用监视器,实现信息系统的强制访问。随着移动智能终端的普及,Web操作系统因其具有移动性、移植性、高扩展性和跨平台性等优点,成为移动政务系统的主要解决方案之一,并越来越受到研究人员的重视。但现有的Web操作系统对机密性要求不高,无法满足移动政务系统对安全保密的需求。本文从安全模型构建入手,对智能终端的Web操作系统进行抽象建模,并重定义BLP模型的元素,增强主客体的访问控制以提高其机密性。鉴于BLP模型缺乏可信主体的最小权限原则和完整性约束,本文在改进的BLP模型当中重新划分主体、客体的安全级,增加可信级别标记和角色映射函数,并针对现有的Web操作系统进行模型映射,实现了最小权限原则、主体完整性约束和域间隔离机制,可有效提高Web操作系统机密性等级。 相似文献
17.
物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。 相似文献
18.
Windows Vista操作系统安全性技术研究 总被引:1,自引:0,他引:1
为提高操作系统的安全性,Windows Vista对早期版本的一些安全特性进行了增强,并增加了很多全新的安全特性,如:用户账户控制、最小权限策略、数据保护、安全启动、网络访问保护等.通过研究这些安全特性的机制原理和实现过程,对Vista操作系统的安全性做了一个整体的概括,并分析了一些安全机制可能存在的脆弱性. 相似文献
19.
Linux通用访问控制框架的设计 总被引:3,自引:0,他引:3
访问控制是用来处理主体和客体之间交互的限制,是安全操作系统最重要的功能之一。Linux系统中所采用的访问控制是传统UNIX的基于访问模式位的单一的自主访问控制,在实现这一功能时,系统的访问控制代码散列在核心中,没有形成统一的访问控制模块和相应的接口,不支持策略与机制的分离,缺乏相应的灵活性、扩充性以及易维护性,无法定制化系统的访问控制策略。而在当前以分布式计算作为主导计算模式的背景之下,Linux系统中原有的访问控制是无法满足信息处理系统的日益多样化安全需求。针对上述Linux系统中访问控制机制的缺陷,该文引入了一种通用的访问控制框架称之为Linux通用访问控制框架。该框架是一种与具体的访问控制策略无关的体系结构,支持系统的访问控制策略和机制的分离,与传统的Linux访问控制相比,它借助于在Linux核心系统中得到广泛应用的框架式抽象数据类型,提供了一个一致的、抽象的访问控制接口从而对多种访问控制策略如强制访问控制、基于角色的访问控制等加以支持。在该框架之下,用户甚至可以提供自己的访问控制策略模块,以获得具有更高的灵活性、扩充性和易维护性的系统访问控制机制。同时,由于该框架的引入,系统的访问控制策略模块可以与系统其它部分相分离,从而有利于系统访问控制的结构化? 相似文献