安全操作系统的一些设计原则

一般来说，安全体系主要包括以下四方面内容：

(1). 详细描述系统中安全相关的所有方面，包括系统提供的所有安全服务和保护系统自身安全的所有安全措施；

(2). 在一定抽象层次上描述各个安全相关模块之间的关系；

(3). 提出指导设计的基本原理；

(4). 提出开发过程的基本框架及对应于该框架体系的层次结构；

一般来说，安全体系结构又可以分为四类，分别是：抽象体系、通用体系、逻辑体系与特殊体系。逻辑体系与特殊体系的不同在于逻辑体系基于满足某项假设操作系统安全，不完全基于现实，因此不需要进行实现成本分析。安全体系的设计对于操作系统的实现十分重要，一般我们要遵循以下设计原则：

(1). 从系统设计之初就考虑安全性：如果设计时不考虑，后期添加将会付出巨大的时间经济成本，效果还未必理想；

(2). 应尽量考虑未来可能面临的安全需求：为将来可能的安全需求预留接口，安全需求指向应当具有方向性，不能太具体，丧失系统的灵活性；

(3). 隔离安全控制，并使其最小化；

(4). 实施特权最小化；

(5). 结构化安全相关功能；

(6). 安全相关界面友好；

(7). 不要让安全依赖于一些隐藏的东西：如不能基于以下假设-“用户不能突破系统，是因为用户没有用户手册或软件的资源列表”；

一、安全操作系统设计

1. 设计原则与一般结构

Saltzer和Schroder一起提出了安全保护系统的设计原则，主要有：

(1). 最小特权：为使无意或恶意的攻击造成的损失最低，每个用户和程序必须按需使用最小特权；

(2). 机制的经济性：保护系统的设计应小型化、简单、明确，保护系统应该是经过完备测试或严格验证的；

(3). 开放系统设计：保护机制应当公开，理想的情况是将安全机制加入系统后，即便是系统的开发者也不能侵入这个系统；

(4). 完整的存取控制机制：对每个存取访问系统必须进行检查；

(5). 基于“允许”的设计原则：说白了就是“白名单”策略，基于否定的访问控制策略；

(6). 权限分离：实体的存取应该受到多个安全条件的约束；

(7). 避免信息流的潜在通道；

(8). 方便使用友好的用户接口；

参见：

（编辑：天瑞地安资讯网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!