Tải bản đầy đủ (.docx) (29 trang)
  1. Trang chủ
    2. >>
  2. Giáo án - Bài giảng
    3. >>
  3. Cao đẳng - Đại học

AN TOÀN hệ điều HÀNH

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (319.07 KB, 29 trang )

AN TOÀN HỆ ĐIỀU HÀNH

1


Câu 1: Anh/ Chị hãy mô tả về mô hình điều khiển truy
nhập theo vai trò trong hệ điều hành?
TL:










Điều khiển truy nhập dựa trên vai trò (RBAC) cho
phép người dùng truy nhập vào hệ thống và thông tin
dựa trên vai trò (role) của họ trong công ty/tổ chức
đó.
Điều khiển truy nhập dựa trên vai trò có thể được áp
dụng cho một nhóm người dùng hoặc từng người
dùng riêng lẻ.
Quyền truy nhập được tập hợp thành các nhóm “vai
trò” với các mức quyền truy nhập khác nhau.
Ví dụ: một trường học chia người dùng thành các
nhóm gán sẵn quyền truy nhập vào các phần trong hệ
thống:
• Nhóm Quản lý được quyền truy nhập vào tất cả các


thông tin trong hệ thống;
• Nhóm Giáo viên được truy nhập vào CSDL các
môn học, bài báo khoa học, cập nhật điểm các lớp
phụ trách;
• Nhóm Sinh viên chỉ được quyền xem nội dung các
môn học, tải tài liệu học tập và xem điểm của
mình.
Liên kết giữa người dùng và vai trò:

2


Người dùng được cấp “thẻ thành viên” của các
nhóm “vai trò” trên cơ sở năng lực và vai trò, cũng
như trách nhiệm của họ trong một tổ chức.
Trong nhóm “vai trò”, người dùng có vừa đủ quyền
để thực hiện các thao tác cần thiết cho công việc
được giao.
Liên kết giữa người dùng và vai trò có thể được tạo
lập và huỷ bỏ dễ dàng.
Quản lý phân cấp vai trò: các vai trò được tổ chức
thành một cây theo mô hình phân cấp tự nhiên của
các công ty/tổ chức.









Câu 2: Anh/ Chị hãy nêu hướng tiếp cận dựa vào
nhân khi thiết kế hệ điều hành an toàn?
TL:
3


Hướng tiếp cận: cố gắng làm giảm kích cỡ và độ
phức tạp của các cơ chế an toàn bắng cách nhóm các chức
năng an toàn vào trong nhân an toàn. Khi đó nhân an toàn
sẽ cung cấp 1 tập các chức năng an toàn của hệ điều hành
cho hệ thống
- Phát triển nhân an toàn
- Định nghĩa HĐH căn cứ vào nhân
- Bộ giám sát tham chiếu trong nhân kiểm soát tất cả
mọi thao tác truy nhập và thực hiện tất cả các chức năng
liên quan đến an toàn.
- Nhân an toàn phải thỏa mãn:
+ Tính đầy đủ
+ Tính cách ly
+ Khả năng có thể kiểm tra
- Kiến trúc 1 HĐH dựa vào nhân gồm:
+ Nhân an toàn
+ Giám sát viên
+ Các ứng dụng
Câu 3: Anh/ Chị hãy nêu các yêu cầu khi đánh giá bộ
xử lý truyền thông an toàn nhân (SCOMP)?
TL:



Complete Mediation:
- Làm thế nào giao diện giám sát tham chiếu đảm
bảo được rằng các thành phần nhạy cảm được
trung chuyển một cách chính xác?
4


Có chắc chắn rằng giao diện giám sát tham chiếu
thực hiện trung chuyển các thành phần nhạy cảm
trên toàn bộ tài nguyên của hệ thống?
- Làm sao để biết được rằng giao diện giám sát tham
chiếu có cung cấp Complete Mediation hay không?
Tamperproof:
- Làm thế nào để hệ thống bảo vệ màn hình tham
chiếu, bao gồm cả sự an toàn của hệ thống?
- Cơ chế bảo vệ hệ thống của hệ thống có bảo vệ các
chương trình dựa trên tính toán đáng tin cậy
không?
Verifiable:
- Tính đúng đắn của cơ sở tính toán đáng tin cậy của
hệ thống được lấy cơ sở từ đâu?
- Các mục tiêu an ninh của hệ thống có thực sự được
thực thi?
-





Câu 4: Anh/ Chị hãy trình bày những hiểu biết của

mình về lỗ hổng bảo mật GHOST trong hệ điều hành
Linux/Unix?
Glibc là một thư viện chuẩn của C được sử dụng rộng
rãi bởi các hệ điều hành tựa Linux. Ghost là một lỗ hổng
bảo mật của thư viện glibc. Lỗ hổng này cho phép kẻ tấn
công kiểm soát từ xa hoàn toàn hệ thống đang bị lỗi bằng
cách khai thác lỗ hổng tràn bộ đệm trong chức năng
GetHOST của glibc.
5


GHOST cho phép kẻ tấn công có thể thực thi code
trên hệ thống bị lỗi với quyền của người dùng hiện tại. Lỗ
hổng có thể khai thác trên cả phiên bản hệ điều hành 32
bits và 64 bits. Lỗ hổng được mô tả trong CVE-20150235 và được đặt tên là GHOST vì sự liên quan của nó tới
hàm _gethostbyname().
Nguyên nhân:
Glibc: GNUC Library là một thành phần quan trọng
của hệ điều hành Linux, lỗ hổng tồn tại ở hàm
__nss_hostname_digits_dots() của glibc. Lỗ hổng này có
thể được kích hoạt từ nội bộ hay bên ngoài thông qua các
hàm gethostbyname() và gethostbyname2(). Ứng dụng
cần phân giải DNS sẽ sử dụng hàm gethostbyname để
chuyển đổi từ hostname sang địa chỉ IP. Kẻ tấn công có
thể sử dụng một ứng dụng có kèm theo mã khai thác để
tấn công hệ thống. Khi người dùng chạy ứng dụng, mã
khai thác sẽ chạy và thực thi theo đúng quyền của người
dùng đang sử dụng chúng.
Kẻ tấn công có thể khai thác lỗ hổng bảo mật này để
chiếm quyền điều khiển các máy tính chạy Linux, có thể

sánh ngang với một số lỗi như Heartbleed hay Shellshock
về mức độ nghiêm trọng.
Lỗ hổng Ghost có thể khai thác trên các máy chủ
chạy hệ điều hành Linux có sử dụng thư viện glibc từ các
phiên bản 2.18 trở về trước.
6


Để vá lỗi Ghost bạn chỉ cần update glibc lên bản mới
nhất và restart lại các dịch vụ ảnh hưởng.
Câu 5: Anh/ Chị hãy trình bày các chức năng chính
của hệ điều hành?











Đa nhiệm, chia sẻ
Quản lý tài nguyên
Điều khiển các chuỗi hoạt động
Cung cấp giao diện người dùng
Quản trị hoạt động người dùng và các tài khoản của
họ
Chạy các chương trình và tiện ích phần mềm

Thi hành các biện pháp an toàn
Lập lịch công việc
Cung cấp tiện ích cấu hình hệ thống và phần cứng

Câu 6: Anh/ Chị hãy mô tả về mô hình điều khiển
truy nhập dựa theo luật trong hệ điều hành?




Điều khiển truy nhập dựa trên luật cho phép người
dùng truy nhập vào hệ thống vào thông tin dựa trên
các luật (rules) đã định nghĩa trước.
Các luật có thể được thiết lập để hệ thống cho phép
truy nhập đến các tài nguyên của mình cho người

7




dùng thuộc tên miền, một mạng hay một dải địa chỉ
IP.
Firewalls/Proxies là ví dụ điển hình về điều khiển
truy nhập dựa trên luật:
- Dựa trên địa chỉ IP nguồn và đích của các gói tin.
- Dựa trên phần mở rộng các files để lọc các mã độc
hại
- Dựa trên địa chỉ IP hoặc các tên miền để lọc/chặn
các website bị cấm

- Dựa trên tập các từ khóa để lọc các nội dung bị
cấm

Câu 7: Anh/ Chị hãy nêu các chức năng hỗ trợ và
giám sát của nhân an toàn trong hệ điều hành?
Trả lời:
Nhân an toàn là phần mã cốt yếu nhất của các chương
trình hệ thống. Nhân an toàn cung cấp các hàm nguyên
thuỷ (Primitive Functions) cho xây dựng các trình tiện ích
(Utilities), Services của OS. Nhân an toàn bao gồm các cơ
chế phần cứng và phần mềm có cơ sở tính toán đáng tin
cậy, cùng những giám sát tham chiếu chống giả mạo,
kiểm tra quyền truy cập và có khả năng kiểm chứng.
Nhân an toàn là phần trung tâm của hệ thống:
-

Hoạt động chính xác, tin cậy
8


-

-

-

-

Thực hiện các thủ tục an toàn cơ bản để kiểm soát
các truy nhập tới các tài nguyên hệ thống

Là cơ chế khoanh vùng gồm: Hardware và Software
nhằm kiểm soát sự truy nhập của người dùng để lấy
thông tin thường trú trong hệ thống hoặc kết nối với
hệ thống
Cung cấp cơ chế điều khiển truy nhập
Không cho các chương trình người dùng cài đặt
những hàm truy xuất cấp thấp
Tạo, xóa, đọc, ghi file. Sửa thuôc tính file.
Phát hiện lỗi trong chương trình của người dùng và
các thiết bị phần cứng.

Ngoài ra, nhân an toàn còn hỗ trợ OS quản lí các thành
phần:
-

-

-

-

Kiểm soát Files
Phân chia thời gian sử dụng CPU cho các chương
trình
Kiểm soát thiết bị: bàn phím, chuột, màn hình, ổ
cứng…
Kiểm soát bộ nhớ: Cấp bộ nhớ cho các chương trình
đang chạy
Quản lý các tiến trình


9


Câu 9: Anh/ Chị hãy trình bày 3 biện pháp đảm bảo
an toàn trong hệ thống Linux/Unix?
Trả lời:
Đảm bảo an toàn trong hệ thông Linux/Unix có 3 biện
pháp sau:
- Đảm bảo an toàn theo định kỳ
- Đảm bảo an toàn các quyền của người dùng
- Đảm bảo an toàn truy nhập từ xa
Đảm bảo an toàn theo định kỳ:
 Quản lý bản vá
- Sử dụng cron với crontab –e (có thể dùng cho cập
nhật)
+ Với Debian, Ubuntu: apt-get
+ Red Hat, Fedora, CentOS: up2date
+ SuSE: yast
+ Mac OS X: ports
- Sử dụng crontab:
-e : Edit hay tạo file crontab
-l : Xem file crontab
-r : Xóa fole crontab
 Cấu hình dịch vụ và ứng dụng:
- Cấu hình toàn bộ hệ thống tại /etc hoặc trong cây
chương trình
- Cấu hình cục bộ trong các ~/.<dir>
+ ~ là alias cho $HOME, là thư mục home của người
dùng, tương đương với C:\Users\<username>
+ Thông thường trong /home/<username>/.<dir>

10


Ưu điểm: Có thể sử dụng chương trình (như Perl) để
tính hash cho các file cấu hình và đảm bảo tính toàn
vẹn sau này.
Đảm bảo an toàn các quyền của người dùng:
 Quyền của người dùng/nhóm
- Cả file lẫn process (/proc), memory (/dev), boot
(/boot), v.v.
 Lệnh
- chmod: đổi chế độ file
- getfacl/setfacl: lấy/thiết lập danh sách điều khiển
truy nhập file
- chown: đổi người sở hữu file
- chgrp: đổi nhóm file
- groups <username>: bằng với cat /etc/groups | grep
<username>
 Access Control List
- setfacl -m u:lisa:r file
Đảm bảo an toàn truy cập từ xa:


-

-

Cấu hình tường lửa để chặn truy cập từ xa
Lệnh:
+ /etc/hosts.allow và /etc/hosts.deny file

+ Iptables: lọc theo giao thức, nguồn/đích, luật
Nên ghi log vào /dev/log
chroot jail: tạm thời thiết lập một thư mục root (ví dụ:
services) trong trường hợp bị chiếm thì cũng không
truy cập được tới hệ thống (lời gọi hệ thống: chroot)
11


Các công cụ kiểm tra an toàn Linux/Unix:
- Nessus: quét và kiểm tra các lỗ hổng
- Tripwire: tạo và kiểm tra sự toàn vẹn của các file
(qua so sánh MD5)
- Nmap: kiểm tra các dịch vụ mạng của hệ thống

Câu 10: Anh/ Chị hãy trình bày khái niệm về hệ điều
hành? Hãy trình bày khái niệm về hệ điều hành tin
cậy?
- Hệ điều hành: là tập hợp các chương trình cho phép
người sử dụng vận hành phần cứng máy tính. Gồm ba
lớp:
• Lớp bên trong, phần cứng máy tính
• Lớp giữa, hệ điều hành
• Lớp ngoài, các phần mềm khác
- hệ điều hành tin cậy: 1 số khái niệm về HĐH tin cậy:
• Nhân: là phần trong HĐH thực hiện các chức năng
mức thấp nhất
• Nhân an toàn: có trách nhiệm đảm bảo các cơ chế an
toàn cho toàn bộ HĐH
• Bộ giám sát tham chiếu: là một phần trong nhân an
toàn có nhiệm vụ kiểm soát truy cập tới các đối tượng

• Khối cơ sở tính toán tin cậy (TCB): là tất cả mọi thứ
trong HĐH tin cậy cần phải thực thi chính sách an
toàn
12


Câu 11: Anh/ Chị hãy trình bày 3 biện pháp đánh giá
mức độ an toàn hệ điều hành.
- Kiểm tra bảo mật:
• Kiểm tra an toàn là một đánh giá có hệ thống về sự
an toàn của hệ thống thông tin bằng cách đo mức độ
phù hợp với một tập các tiêu chí đã xác lập trước
• Bao gồm: đánh giá các cấu hình phần cứng/mềm, các
biện pháp đo về an toàn vật lý, các tiến trình xử lý dữ
liệu, và các thực hiện của người dùng dựa trên một
danh sách kiểm tra các chính sách và thủ tục chuẩn
• Kiểm tra an toàn đảm bảo rằng tổ chức có và đã triển
khai các chính sách an toàn thông tin chuẩn
• Công cụ: SCM trong Windows
- Đánh giá lỗ hổng:
• Sử dụng các công cụ quét hệ thống để tìm điểm yếu
an toàn thông tin
• Nhận dạng các hệ điều hành và các ứng dụng hệ
thống đi kèm
• Phát hiện các sai sót trong cấu hình hệ thống
• Công cụ: Nessus, Retina
- Thử nghiệm xâm nhập:

13



Mô phỏng các phương pháp kẻ xâm nhập sử dụng để
đạt được quyền truy cập trái phép vào hệ thống mạng
của một tổ chức và sau đó thỏa hiệp chúng
• Trong bối cảnh thử nghiệm thâm nhập, các thử
nghiệm được giới hạn bởi nguồn tài nguyên - đó là
thời gian, nguồn lực có tay nghề cao, và truy cập vào
thiết bị - như đã nêu trong hợp đồng thử nghiệm thâm
nhập
• Hầu hết các kẻ tấn công đều theo một cách thức
chung để thâm nhập vào hệ thống
• Thâm nhập thử nghiệm không được hoàn thành một
cách chuyên nghiệp có thể dẫn đến mất mát các dịch
vụ và làm gián đoạn kinh doanh
• Thâm nhập thử nghiệm đánh giá toàn bộ mô hình bảo
mật của tổ chức
• Việc này cho thấy những hậu quả tiềm tàng khi một
kẻ tấn công thực sự đột nhập vào hệ thống mạng
• Thử nghiệm thâm nhập chỉ khác với kẻ tấn công ở
mục đích và không có tính ác ý
So sánh các biện pháp:


Kiểm tra an toàn

Đánh giá lỗ hổng

Thử nghiệm xâm
nhập


Chỉ kiểm tra xem Tập trung vào Là phương pháp
tổ chức có thực phát hiện, đánh đánh giá an toàn
14


hiện theo những
chính sách và thủ
tục tiêu chuẩn an
ninh hay không

giá các lỗ hổng
trong hệ thống
nhưng không đưa
ra thiệt hại cụ thể
nếu lỗ hổng bị
khai thác thành
công

bao gồm cả hai
phương
pháp
kiểm tra an toàn
và đánh giá lỗ
hổng. Nó thể hiện
liệu một lỗ hổng
trong hệ thống có
thể bị kẻ tấn công
khai thác thành
công hay không.


Câu 12: Anh/ Chị hãy trình bày về ma trận điều khiển
truy cập trong an toàn hệ điều hành?
- Ma trận điều khiển truy nhập (Access matrix) là một
phương pháp mô tả điều khiển truy
cập thông qua ma trận 2 chiều gồm subject, object và các
quyền truy nhập
Các dòng của ma trận biễu diễn các miền bảo vệ và các
cột tương ứng với các đối tượng trong hệ thống. Phần tử
acess[i,j] của ma trận xác định các quyền truy xuất mà
một tiến trình hoạt động trong miền bảo vệ Di có thể thao
tác trên đối tượng Oj.

15








Đối tượng/Khách thể (Objects) là các thực thể cần
bảo vệ. Objects có thể là các files, các tiến trình
(processes).
Chủ thể (Subjects) là người dùng (users), tiến trình
tác động lên objects.
Quyền truy nhập là hành động mà Subject thực hiện
trên object.

O1


O2

O3

O4

S1

rw

rwxo

r

rwxo

S2

rw

rx

rw

rwx

S3

r


rw

rwo

rw

Các chủ thể: S1, S2, S3
Các đối tượng: O1, O2, O3
Các quyền: r(read), w(write), x(execute) và o(own)
Cơ chế bảo vệ được cung cấp khi ma trận quyền truy xuất
được cài đặt ( với đầy đủ các thuộc tính ngữ nghĩa đả mô
tả trên lý thuyết), lúc này người sử dụng có thể áp dụng
các chiến lược bảo vệ bằng cách đặc tả nội dung các phần
tử tương ứng trong ma trận _ xác định các quyền truy xuất
ứng với từng miền bảo vệ , và cuối cùng, hệ điều hành sẽ
16


quyết định cho phép tiến trình hoạt động trong miền bảo
vệ thích hợp.

13. Kiến trúc SCOMP

Hệ tính toán tin cậy SCOMP bao gồm 3 thành phần chạy
trong vòng 0,1 và 2
STOP (SCOMP Trusted Operating System) bao gồm:
- Một nhân an ninh chạy trong vòng 0 (Được bảo vệ
nhất, sở hữu đặc quyền nhất)
- Các phần mềm đáng tin cậy trong vòng 1

- Các hàm tin cậy của SCOMP Kernel Interface
Package (SKIP) chạy trong vòng 2
Các ứng dụng truy cập vào các nguồn tài nguyên được
bảo vệ bởi cơ sở đáng tin cậy SCOMP sử dụng thư viện
SKIP (SCOMP Kernel Interface Package) chạy trong
17


không gian địa chỉ của ứng dụng (Vòng 3 – Vòng ít bảo
vệ nhất)
Trong đó, vòng 0 và 1 được đặc quyền như nhau, và cung
cấp miền nhân.
Vòng 2 là miền hệ điều hành và phần mềm tin cậy, còn
vòng 3 là vùng người dùng.
Các hoạt động chỉ được thực hiện trong vòng cần thiết.
Nhân và người dùng được tách ra bởi vòng 0 và các vòng
còn lại.
Nhân an toàn SCOMP làm trung gian truy cập tới tất cả
nguồn tài nguyên được bảo vệ sử dụng một chính sách
MLS
- Cách ly / Chống giả mạo được cung cấp bởi cơ chế
vòng
- Các vòng và chuyển tiếp được thực hiện trong phần
cứng.
Khi một tiến trình ứng dụng cần truy cập đến một nguồn
tài nguyên được bảo vệ (ví dụ một bộ nhớ hoặc đoạn vào
ra), nó phải yêu cầu nhân an ninh cho một mô tả phần
cứng đủ để truy cập vào tài nguyên
Nhân an ninh xem xét quá trình có thể truy cập tài nguyên
hay không, nếu được phép, nó sẽ xây dựng một mô tả

phần cứng để truy cập tài nguyên này. Nhân an toàn sẽ
lưu trữ mô tả phần cứng đó và sẽ gửi tham chiếu tới mô tả
đó cho tiến trình trong lần sử dụng tiếp theo.

18


1 mô tả phần cứng của SCOMP bao gồm 1 đối tượng
tham chiếu và 1 quyền truy nhập được cấp cho tiến trình.
(Hardware descriptor: là một đối tượng được sinh ra khi
có yêu cầu truy cập đến hệ thống tài nguyên thông qua
nhân an toàn theo tiêu chuẩn an ninh MLS. Một
“hardware descriptor” bao gồm 2 thành phần là đối
tượng tài nguyên muốn tham chiếu đến và quyền truy cập
được cấp đến tài nguyên đó. Nhân an toàn lưu trữ các
“hardware descriptor” cho quá trình sử dụng về sau)
Ngay từ lần đầu tiên phát triển tiến trình của hệ điều hành,
việc xác minh rằng mô hình an ninh SCOMP và được cài
đặt tuân theo chính sách MLS là nhiệm vụ hàng đầu.
Phần mềm tin cậy của SCOMP được xác nhận sử dụng
hai công nghệ:
- Phương pháp phát triển phân cấp của SRI được sử
dụng để xác minh rằng 1 mô hình chính thức của đặc
điểm kỹ thuật của nhân an toàn, có tên gọi là “Formal
top-level specification” (FTLS), thực thi các chính
sách của MLS.
- Phần mềm tin cậy bên ngoài nhân được xác nhận sử
dụng 1 đặc điểm kỹ thuật về thủ tục áp dụng phương
pháp Gyspy
Dựa trên tính năng vận hành phần cứng (complete

mediation), phần mềm được bảo vệ dựa trên cơ sở tính
toán tin cậy (tamperproofing), và 1 xác nhận chính thức
của nhân an toàn và phần mềm tin cậy khác(verification),
19


SCOMP được định nghĩa là 1 tiến trình xây dựng hệ
thống an toàn để đáp ứng các khái niệm điều khiển tham
chiếu.
Câu 14: Anh/ Chị hãy trình bày những hiểu biết của
mình về lỗ hổng bảo mật ShellShock trong hệ điều
hành Linux/Unix?
1. Shellshock là gì?
- Shellshock, còn được gọi là Bashdoor, là một lỗ hổng
bảo mật trong Bash, được công bố rộng rãi năm 2014.
- Nhiều dịch vụ mạng, như các máy chủ web, sử dụng
Bash để thực thi lệnh khi cần thiết, cho phép kẻ tấn công
khai thác lỗ hổng bảo mật Shellshock ở những phiên bản
Bash lỗi để phục vụ những mục đích đen tối của chúng.
- Lỗ hổng bảo mật này giúp kẻ tấn công chiếm quyền điểu
khiển các máy nạn nhân mà không cần phải qua bước xác
thực.
2. Cơ chế hoạt động của Shellshock
- Mỗi chương trình khi chạy sẽ có một danh sách các cặp
name/value được gọi là các biến môi trường.
- Khi một chương trình khởi chạy một chương trình khác
nó sẽ cung cấp một danh sách khởi tạo các biến môi
trường cho chương trình mới này. Mặt khác, Bash lưu giữ
một danh sách các hàm chứa một tập các lệnh mà sẽ được
thực thi cùng với chương trình. Vì Bash hoạt động như là

20


một trình thông dịch lệnh và vừa được coi như là một
lệnh, nên có thể chạy Bash từ chính môi trường của nó.
- Ta có thể giải thích cách hoạt động cho đoạn mã sau:
$ env x='() { :;}; echo vulnerable' bash -c "echo this
is a test"
• Nó tạo ra một biến môi trường bắt đầu với chuỗi ()
{ :; }, tạo ra một định nghĩa hàm rỗng;
• Theo sau là lệnh sẽ được thực thi khi biến môi trường
này được export. Lệnh Bash được chạy sau đó sẽ
thực hiện việc export biến môi trường này và lệnh
echo sẽ được thực thi cùng với nó.
3. Kịch bản tấn công - Từ chối dịch vụ
Tấn công này có thể sử dụng một đoạn mã như sau:
() { :;}; /bin/sleep 20|/sbin/sleep 20|/usr/bin/sleep 20
để server chạy lệnh sleep theo 3 cách khác nhau (do cấu
hình của các hệ điều hành khác nhau), server sẽ đợi 20
giây sau mới phản hồi lại cho client, việc này sẽ làm tiêu
tốn tài nguyên của server do connection bị chiếm giữ
trong một thời gian dài, gây lãng phí bộ nhớ.
Câu 15: Anh/ Chị hãy trình bày về các nguyên tắc an
toàn hệ điều hành.
-

Can thiệp hoàn toàn
• Yêu cầu chung: hệ thống phải có khả năng can
thiệp vào tất cả các hoạt động liên quan tới an toàn


21






Nguy hiểm nếu giả thiết hoạt động không liên quan
tới an toàn..
Nhiều chỗ phải can thiệp: phần cứng, bộ biên dịch,

Giả thiết: Cơ chế can thiệp không thể bị tấn công
(TCB)

-

Tối thiểu hóa TCB
• Cơ sở tính toán tin cậy (TCB): các phần của hệ
thống phải hoạt động chính xác để hệ thống được
an toàn
• Quan sát: những thứ phức tạp có nhiều khả năng
làm việc không chính xác
• Kết quả: TCB nên càng nhỏ càng tốt

-

Các mặc định không an toàn
• Một trong những lập trình hay thiết kế các lỗi phổ
biến nhất là "quên để xử lý một trường hợp"
• Khi các hệ thống lớn hơn, người ta càng dễ quên

xem xét một yếu tố nào đó của thiết kế.
+Nếu truy cập được tắt theo mặc định, người sử
dụng hợp pháp cũng vẫn nhanh chóng phát hiện
được "một trường hợp bị bỏ quên“, khi đó dễ dàng
sửa chữa.
+Nếu truy cập được cho phép theo mặc định, có
thể có truy cập bất hợp pháp trong "một trường hợp
bị bỏ quên“ và đây chính là lỗ hổng.
22


-

Quyền tối thiểu
• Một người chỉ nên được cấp những quyền cần thiết
đủ để thực hiện nhiệm vụ của họ, không nhiều,
không ít
• Tách quyền (truy cập đọc và ghi)

-

Thiết kế mở
• Sự thành công của các cơ chế không nên phụ thuộc
vào tính bí mật của nó vì bí mật cuối cùng sẽ có lúc
bị lộ.
• Một số hình thức bí mật là cần thiết. Cần đảm bảo
những bí mật liên quan đến dữ liệu có thể thay thế
hơn là các thuật toán riêng. Ví dụ như: các khóa mã

-


An toàn là một tiến trình
• Mọi hệ thống đều có lỗ hổng không thể loại bỏ tất
cả chúng
• Hệ thống thay đổi theo thời gian
+Yêu cầu bảo mật thay đổi theo thời gian
+Bối cảnh của các cơ chế thay đổi theo thời gian
• Một hệ thống an toàn cần phải được bảo trì

23


Câu 16: Anh/ Chị hãy trình bày về phần cứng của bộ
xử lý truyền thông an toàn nhân (SCOMP)? Hãy vẽ sơ
đồ minh họa phần cứng đó?

-

-

-

Phần cứng của SCOMP được thiết kế dựa trên ý
tưởng của hệ thống Multics(Multiplexd Information
and Computing Service)- một hệ điều hành với chế
độ phân chia thời gian.
Phần cứng Scomp thực hiện bốn vòng bảo vệ:
• Bảo mật nhân hệ điều hành chạy trong các vòng
bảo vệ đặc quyền tối đa, vòng 0
• Người sử dụng phần mềm chạy trong vòng có đặc

quyền tối thiểu, vòng 3.
• Phần mềm đáng tin cậy bên ngoài của bảo mật
nhân hđh có thể ở một trong hai vòng 1 hoặc 2
Bao gồm một mô đun bảo vệ an ninh(SPM)
24












Chức năng chính của SPM là kiểm tra và chuyển
đổi địa chỉ ảo sang địa chỉ vật lý.
SPM kết nối các thành phần hệ thống và cung cấp
truyền thông giữa:
+CPU và bộ nhớ
+CPU và thiết bị vào ra
+Thiết bị vào ra và bộ nhớ
Các tập tin trên hệ thống SCOMP được tạo thành
từ các phân đoạn và được liên kết bởi những thuộc
tính kiểm soát truy cập của các phân đoạn
Các SPM sử dụng các mô tả để kiểm soát truy cập
và dịch địa chỉ.
Phần mô tả chứa các quyền truy cập logic (ví dụ:

read, write, exc..) và các dữ liệu cần thiết để
chuyển một tham chiếu ảo sang tham chiếu vật lý.
Một đối tượng được thực hiện truy cập vào một
tiến trình khi mô tả cho các đối tượng được thêm
vào bảng mô tả đối tượng cho tiến trình.

17. Mô hình bảo mật đa mức Bell La Padula
- Là một mô hình điều khiển truy nhập bắt buộc, thường
được sử dụng để thực thi kiểm soát truy cập vào các ứng
dụng của chính phủ và quân sự.
Mô hình BLP chú trọng vào bảo vệ tính mật cao độ, truy
nhiên vẫn hỗ trợ khả năng phi tập trung hóa, tức là không
dồn toàn bộ kiểm soát và quản trị truy nhập về một nơi
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×