linux服务器安全论文 linux服务与安全管理

服务器没做RAID，Linux系统怎样实现数据安全

原文：软RAID 0的技术概要及实现v0.1b (正在修订之中)1 什么是RAID，RAID的级别和特点；什么是RAID呢？全称是 A Case for Redundant Arrays of Inexpensive Disks (RAID)，在1987年，由加州大学伯克利大学发表的论文而来，其实就是这个标题的缩写就是RAID;中译为磁盘阵列；RAID就是把几个物理磁盘组合在一起成为一个大的虚拟物理磁盘，主要目的和用途主要有：把若干小容量物理磁盘组成一个大容量虚拟存储设备（以前的物理磁盘的容量都比较小）；提高物理存储效率（读、写），或提供冗余以提高数据存储的安全性。根据应用方向的不同，RAID也分不不同级别 ，有LINEAR、RAID0、RAID1、RAID5、RAID10、RAID4、RAID6、MULTIPATH。常用的有RAID0、RAID1、RAID5、RAID10(其实就是0+1)、LINEAR1.1 什么是硬件RAID和软RAID；RAID 还分为硬件RAID 和软件RAID，硬件RAID是通过RAID 卡来实现的，而软件RAID是通过软件来实现的；在企业级应用领域，大部份都是硬件RAID。而软件RAID由于性价比高，大多被中小型企业所采用；硬件RAID是通过RAID卡把若干同等容量大小的硬盘，根据使用方向的不同，聚合起来成为一个大的虚拟RAID设备（或RAID0，或RAID1,或者RAID5，或RAID10），如果每个硬盘容量不一致，以最小容量的硬盘为基础；它的成员是整个硬盘；软RAID是软把若干同等容量大小的硬盘或分区，根据使用方向的不同，聚合起来成为一个大的虚拟RAID设备（或RAID0，或RAID1,或者RAID5，或RAID10），如果每个硬盘或分区容量不一致，以最小容量的硬盘或分区为基础。软RAID的成员是整个硬盘或分区；1.2 RAID 的级别及特点；RAID 有几种级别，LINEAR，RAID0 (striping), RAID1 (mirroring), RAID4, RAID5, RAID6, RAID10, MULTIPATH, and FAULTY.其中我们常用有RAID0、RAID1、RAID5、RAID10。下面我们说说常用的RAID0、RAID1、RAID5以及RAID10；1.21 什么是软RAID0及特点；RAID0 是把两个或两个以上的容量相同的硬盘或分区，通过RAID控制器（硬RAID是通过RAID卡来实现的，软RAID 是通过软件来实现的），结合为一个在容量上是RAID0下成员的容量的总和，在写入时，要向每个硬盘或分区同时写入数据。在硬RAID中，RAID0的成员是以整个硬盘为单位的，把两个硬盘或两个以上的硬盘通过RAID卡绑定成为一个虚拟的磁盘设备，而每个硬盘就是RAID0的成员；在软RAID0中，RAID0的成员是整个硬盘或分区，容量是加入RAID0的所有成员容量的总和。在RAID0中每个成员的容量都是相同一致的。比如我们把/dev/sdb 、/dev/sdc、/dev/sdd 三个容量大小为80G的硬盘做成RAID0，这时RAID0设备的容量就是三个硬盘的总和80x3=240G。当然我们也可以，在写入数据时，系统要向每个硬盘同时写入数据，是以条块的形式写入。比如我们存一份数据linuxsir.tar.gz 到RAID0的设备中，这份数据是分拆成若干份被分散的写入到RAID0中的每个成员中。只有RAID0中的每个成员正常运行，并且RAID0也正常运行的情况下，这份数据才是完整的。RAID0中任何一个成员（硬盘分区）有有问题时，RAID0便不能运行，同时数据也不是完整的；RAID0 在读写速度上是比较快的，是普通不做RAID的两倍左右（注：实际速度和机器的硬件配置有关），所以RAID0常被用于对存储效率要求较高，但对数据安全性要求不高的应用解决方案中；安全性：RAID0中有任何一个成员出现故障，整个RAID0就不能被激活。数据不能保障；1.22 什么是软RAID1及特点；RAID1就是把若干相同容量的硬盘或分区，成员与成员之间是镜像关系。在容量上，RAID1设备是单个成员的容量。比如两个80G的硬盘做成RAID1,这个RAID1的设备容量仍是80G。比如我们写入一个份数据linuxsir.tar.bz2 到RAID1设备时，其实是向RAID的每个成员都写了一份。比如RAID1设备下有两个成员/dev/sdb和/dev/sdc ，我们写入linuxsir.tar.bz2 到RAID1时，/dev/sdb和/dev/sdc都有一份完整的linuxsir.tar.bz2。 所以RAID1是冗余的阵列，一般被用于安全性要求比较高的应用中。因为RAID1在由于镜像冗余，所以磁盘利用效率并不高，或者说是浪费。这种方案相对来说性价比并不高，一般很少应用。数据读写效率要比RAID0慢。安全性：RAID1 中只要有一个成员是健康的，RAID1完全可以激活，而且数据绝对是完整安全的。如果所有的成员有故障，RAID1也就报废了。哈哈，这不是废话吗？1.23 什么是软RAID5及特点；软RAID5也是冗余安全的，RAID5是把至少三个硬盘或分区通过软件虚拟成为一个大的存储设备。在容量上是(n-1)x单个硬盘（分区）容量 ，比如我们用三块80G硬盘做成RAID5,容量就是两块容量的和160G。在写入上，数据被分拆成若干份，分别向RAID5的每个成员下写入。比如把linuxsir.tar.bz2写入RAID5时， 要先把linuxsir.tar.bz2分拆成若干份，分别写入RAID5成员中。因为涉及到冗余，所以数据在读入速度上并不是很快，没办法和RAID0相比，但RAID5的写入数据速度没有RAID1和RAID0快，也没有不做RAID的磁盘写入速度要快；因为RAID5在容量损失比较小，有冗余安全保障，另外写入速度比较快，从整体上来看，性价比比较高，所以被大范围内采用；安全性：当RAID5中的成员中有一个发生故障时，RAID5一样能启动和正常运行，只要n-1（注n3)块硬盘或分区的不出故障，RAID5上的数据就是安全，对于一个文件存到RAID5设备中，只有成员是n-1（注n3)无故障时，这份文件才是完整的。 比如RAID5有四个硬盘（或分区）做的，当一个硬盘或分区挂掉了，并不影响整个RAID5上数据的完整性和安全性。1.24 什么是软RAID10及特点；软RAID10也是冗余安全阵列，是RAID0+1的集成，RAID10是把至少四个硬盘或分区通过软件虚拟成为一个大的存储设备。在容量是：n/2x单个硬盘（分区）容量 ，比如我们用四块80G硬盘做成RAID5,容量就是两块容量的和4/2x80=160G。做RAID10所需要的硬盘或分区个数是偶数的。

创新互联专注于企业营销型网站建设、网站重做改版、商河网站定制设计、自适应品牌网站建设、H5响应式网站、成都商城网站开发、集团公司官网建设、外贸网站制作、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为商河等各大城市提供网站开发制作服务。

求linux的应用论文内容浅显一点大约三千字????

下面是我在网上收集的一点质料，不知道你有用没……

我们为什么要用Linux?

Linux是"免费"的,上面又有那么多"免费"的软件,为什么不用?

Windows实在太不稳定了,受不了,换个平台吧。

想学习UNIX，可是钱包里的钞票不多,先从Linux开始吧。

想学习操作系统,哪里有开放源代码的OS?而且还要很活跃,有前途的。

基于Linux的并行计算，不但费用低廉，而且功能强大，有潜力,重要的是有源代码。

想成为一名Hacker(当然是网侠一类),Linux当然是最好的工具之一。

Linux潜在的商业价值不可限量,性能相当地好,稳定性也很好,用其替换商业操作系统真是明智的选择。

Oracle,Infomix,Sysbase,IBM都支持Linux了,用其作数据库平台挺不错。烦了一次又一次去买许可证(奸商经常设这样的陷阱),Linux遵循公共版权许可证(GPL)正合我意。

Linux太适合Internet/Intranet,本身就是通过网络来协同开发的,网络时代为什么不用Linux?

采用Linux可以极大的降低拥有者总成本(TCO)。等待商业操作系统补丁的耐心是有限度的,更受不了总被商家牵着鼻子走,开放源代码的Linux至少可以使用户有一定的控制权。开放源代码使用户可以按照自己的需要添加或删除某些功能,用户可定制性,真是太好了!

利用开放源代码的Linux还可以开发路由器,嵌入式系统,网络计算机,个人数字助理等等,GNU真是巨大的知识宝库,何乐而不用?

崇尚自由软件精神和梦想,贡献自己的力量!

Linux的特点

Linux操作系统在短短的几年之内得到了非常迅猛的发展，这与Linux具有的良好特性是分不开的。Linux包含了Unix的全部功能和特性。简单的说，Linux具有以下主要特性：

1.开放性

开放性是指系统遵循世界标准规范，特别是遵循开放系统互连（OSI）国际标准。凡遵循国际标准所开发的硬件和软件，都能彼此兼容，可方便地实现互连。

2.多用户

多用户是指系统资源可以被不同用户各自拥有使用，即每个用户对自己的资源（例如：文件、设备）有特定的权限，互不影响。Linux和Unix都具有多用户的特性。

3.多任务

多任务是现代计算机的最主要的一个特点。它是指计算机同时执行多个程序，而且各个程序的运行互相独立。Linux系统调度每一个进程，平等地访问微处理器。由于CPU的处理速度非常快，其结果是，启动的应用程序看起来好像在并行运行。事实上，从处理器执行一个应用程序中的一组指令到Linux调度微处理器再次运行这个程序之间只有很短的时间延迟，用户是感觉不出来的。

4.良好的用户界面

Linux向用户提供了两种界面：用户界面和系统调用。Linux的传统用户界面是基于文本的命令行界面，即shell，它既可以联机使用，又可存在文件上脱机使用。shell有很强的程序设计能力，用户可方便地用它编制程序，从而为用户扩充系统功能提供了更高级的手段。可编程Shell是指将多条命令组合在一起，形成一个Shell程序，这个程序可以单独运行，也可以与其他程序同时运行。

系统调用给用户提供编程时使用的界面。用户可以在编程时直接使用系统提供的系统调用命令。系统通过这个界面为用户程序提供低级、高效率的服务。Linux还为用户提供了图形用户界面。它利用鼠标、菜单、窗口、滚动条等设施，给用户呈现一个直观、易操作、交互性强的友好的图形化界面。

5.设备独立性

设备独立性是指操作系统把所有外部设备统一当作成文件来看待，只要安装它们的驱动程序，任何用户都可以象使用文件一样，操纵、使用这些设备，而不必知道它们的具体存在形式。

具有设备独立性的操作系统，通过把每一个外围设备看作一个独立文件来简化增加新设备的工作。当需要增加新设备时、系统管理员就在内核中增加必要的连接。这种连接（也称作设备驱动程序）保证每次调用设备提供服务时，内核以相同的方式来处理它们。当新的及更好的外设被开发并交付给用户时，操作允许在这些设备连接到内核后，就能不受限制地立即访问它们。设备独立性的关键在于内核的适应能力。其他操作系统只允许一定数量或一定种类的外部设备连接。而设备独立性的操作系统能够容纳任意种类及任意数量的设备，因为每一个设备都是通过其与内核的专用连接独立进行访问。

Linux是具有设备独立性的操作系统，它的内核具有高度适应能力，随着更多的程序员加入Linux编程，会有更多硬件设备加入到各种Linux内核和发行版本中。另外，由于用户可以免费得到Linux的内核源代码，因此，用户可以修改内核源代码，以便适应新增加的外部设备。

6.提供了丰富的网络功能

完善的内置网络是Linux的一大特点。Linux在通信和网络功能方面优于其他操作系统。其他操作系统不包含如此紧密地和内核结合在一起的连接网络的能力，也没有内置这些联网特性的灵活性。而Linux为用户提供了完善的、强大的网络功能。

支持Internet是其网络功能之一。Linux免费提供了大量支持Internet的软件，Internet是在Unix领域中建立并繁荣起来的，在这方面使用Linux是相当方便的，用户能用Linux与世界上的其他人通过Internet网络进行通信。

文件传输是其网络功能之二。用户能通过一些Linux命令完成内部信息或文件的传输。

远程访问是其网络功能之三。Linux不仅允许进行文件和程序的传输，它还为系统管理员和技术人员提供了访问其他系统的窗口。通过这种远程访问的功能，一位技术人员能够有效地为多个系统服务，即使那些系统位于相距很远的地方。

7.可靠的系统安全

Linux采取了许多安全技术措施，包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户提供了必要的安全保障。

8.良好的可移植性

可移植性是指将操作系统从一个平台转移到另一个平台使它仍然能按其自身的方式运行的能力。

Linux是一种可移植的操作系统，能够在从微型计算机到大型计算机的任何环境中和任何平台上运行。可移植性为运行Linux的不同计算机平台与其他任何机器进行准确而有效的通信提供了手段，不需要另外增加特殊的和昂贵的通信接口。

1.Linux 服务器

目前Linux服务器是当前最广泛的应用。

2004年，摩托罗拉计算机部和IBM合作开发和推广电信应用计算平台。

2002年，北京市东城区政府建立了基于Linux服务器平台的电子政务系统。

2003年8月，韩国国家航空公司和IBM公司联合发布声明，表示韩国航空公司将把该公司的核心业务移植到 IBM的eServer服务器当中完成，其中操作系统则采用Linux。

2.嵌入式Linux系统

2003年，摩托罗拉公司推出Linux平台的A760手机。并在近两年推出新款的Linux手机。

3.桌面应用

新版本的Linux系统特别在桌面应用方面进行了改进，达到相当的水平，完全可以作为一种集办公应用、 多媒体应用、网络应用等多方面功能于一体的图形界面操作系统。

毕业论文题目为"操作系统安全"大家认为应该往那个方向入手比较好?最好帮忙列个题纲!!

摘要：本文介绍了BLP、DTE和RBAC三种安全策略访问模型，并结合这三种安全策略模型，形成一个适应各类安全产品的实用操作系统。此设计方案遵循GB17859-1999[1]中规定的结构化保护级（相当于《TCSEC》标准的B2级[2]）的安全要求进行设计，并在Linux操作系统上得以实现。

关键字：安全技术；安全模型；Linux操作系统

中图分类号：TP309 文献标识码：② 文章编号：

1. 引言

随着社会信息化的发展，计算机安全问题日益严重，建立安全防范体系的需求越来越强烈。操作系统是整个计算机信息系统的核心，操作系统安全是整个安全防范体系的基础，同时也是信息安全的重要内容。

本课题将通过研究操作系统的安全策略访问模型，结合国内、外的相关安全标准和已有的先进技术，将密码服务与高级别存取控制机制有机地结合起来，探索适合国情的安全操作系统结构，最终形成一个适应各类安全产品系统安全需求的结构化保护级（相当于TCSEC中规定的B2级）实用操作系统。并且通过推动安全操作系统的应用，取得良好的经济效益和社会效益。

2. 安全模型

该类模型是从安全策略和访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。[3]

2.1 多级安全及自主访问策略模型

多级安全及自主访问策略模型的每个主体在替代用户之前，必须被配置最大安全级及标签范围；除某些可信客体外，每一个客体都要配置标签范围。

BellLapadula(BLP)模型[4,5]是最典型的信息保密性多级安全模型，包括强制访问控制和自主访问控制两部分。强制访问控制中的安全特性，要求对给定安全级别的主体，仅被允许对同一安全级别和较低安全级别上的客体进行“读”，对给定安全级别上的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“写”，任意访问控制允许用户自行定义是否让个人或组织存取数据。

2.2 多域安全策略模型

多域策略的基本思想是：赋予保护对象一种抽象的数据类型，该类型表明了保护对象要保护的完整性属性，然后规定只有经授权的主动进程能替代用户访问这一完整性属性，并限制该主动进程的活动范围，使其获得它应该完成目标以外的能力极小化。

DTE （Domain and Type Enforcement）模型[6]是近年来被较多的作为实现信息完整性保护的模型。该模型定义了多个域（Domain）和型（Type），并将系统中的主体分配到不同的域中，不同的客体分配到不同的型中，通过定义不同的域对不同的型的访问权限，以及主体在不同的域中进行转换的规则来达到保护信息完整性的目的。

2.3 基于角色的访问控制模型

基于角色的访问控制模型的目的就是通过域隔离，确保对系统的完整性破坏的极小化。

RBAC模型[6]是基于角色的访问控制模型。该模型主要用于管理特权，在基于权能的访问控制中实现职责隔离及极小特权原理。其基本要素之间的关系如图1所示：

图1 RBAC基本要素关系

Fig.1 the relationship of basic elements in RBAC

在本系统中，将实现基于角色的授权和控制，支持角色互斥，不支持角色的继承，不支持同一个用户的多个角色。

3. 安全系统的设计

3.1 安全模型的设计

本系统中的安全服务器将遵循改进的BLP模型、DTE模型以及RBAC模型来实现系统的安全策略。其中，BLP模型保护信息的机密性；DTE模型保护信息的完整性；RBAC模型是授权模型。通过三种模型的相互作用和制约，保证系统中的信息以及系统自身的安全性。图2为本系统中三种模型以及重要功能的相互关系。

图2 模型间的相互关系

Fig.2 the relationship of models

如图2所示，授权策略RBAC是整个系统的基础，它通过为用户设置特定角色，影响IA控制、特权控制、多域访问控制和强制访问控制等基本功能，达到控制系统中用户/主体对客体/对象的访问目的。在本系统中，每个用户都有且只有一个角色。为某个用户给定一个角色，相当于给定该用户的最大特权集、安全标记范围、DTE域范围和最小审计掩码。该用户的上述属性只能够在给定角色的范围内指定。RBAC是通过最小特权、强制访问控制（包括MAC机密性保护和DTE完整性保护）和安全审计等功能组合实现的。

而多域策略DTE和多级安全策略BLP则是在授权策略授权的基础上，调用多域访问控制和强制访问控制功能，实现对客体/对象信息的完整性和机密性保护。

本系统在BLP模型的基础上进行了一些改动：

1. 对BLP模型“上写下读”的信息流规则进行了限制，将其中的“上写”改为：低安全等级的主体可以创建高安全等级的客体或向高安全等级的客体中添加信息，但是不能修改或删除高安全等级客体中的原有信息。例如，低安全等级的主体可以在高安全等级目录下（在通过了DAC和DTE检查的情况下）创建新的文件（包括子目录、命名管道等），但是不能删除原有的文件（包括子目录、命名管道等），也不能改写高安全等级文件的内容；

2. 引入可信主体的概念，即：所谓可信主体，就是拥有多个安全级或一个安全级范围的主体；

3. 引入可信客体的概念，即：所谓可信客体，就是拥有多个安全级或一个安全级范围的客体。

本系统中DTE实现采用为主体/客体指定域/型标识（统称为DTE标识）的方法，DTE策略将通过为主体赋“域”（Domain），为客体赋“型”（Type），并定义“域”和“型”之间的访问权限实现DTE完整性保护，并采用DTEL（DTE Language）语言进行描述，通过命令设置到系统核心。

核心中将为每个主体维护一个“域”标记，为每个文件维护一个“型”标记。当操作发生时，系统将根据主体“域”标记、文件“型”标记以及访问控制表判断是否允许操作发生。

原则上，构造一个安全系统必须同时兼顾用户应用系统、O/S服务系统、Linux 内核、硬件这四个子系统，使它们都获得有效的保护；但本系统主要关心用户应用系统和Linux 内核系统，因为它们与Linux 系统安全联系最直接。构筑安全Linux 系统的最终目标就是支持各种安全应用，如果系统在构造之初就没有区别地对待不同的应用，或者说不采取隔离的方式对待不同的应用，那么这样的系统是不实用的，因为不同的应用对系统安全可能造成的威胁是不同的。对用户应用系统的控制，我们主要采用角色模型与DTE技术的结合；而对Linux 内核的控制，则通过权能访问控制、增强的BLP模型及DTE策略来实现。

3.2 安全系统的结构设计

图3 Linux 结构化保护级安全服务器系统结构图

Fig.3 the structure chart of Linux structure protection security server

图3说明了本系统的体系结构。如图3，用户请求的系统操作进入核心后，首先经过安全策略执行点，调用相应的安全策略执行模块，安全策略执行模块读取相关的系统安全信息和主/客体安全属性，并调用安全策略判定模块进行安全判定，决定是否允许用户请求的操作继续执行；当用户请求的系统操作得到允许并执行结束后，再次通过安全策略执行点，进行相关安全信息/属性的设置和安全审计。

安全服务器中的功能模块与原有的系统操作是相对独立的，双方通过hook函数进行联系。通过改变hook函数的指向，可以启用不同的安全服务器。不同的安全服务器可以选择不同的安全策略，从而达到支持多安全策略的目的。

3.3 安全系统的功能特性

安全系统在原有Linux操作系统基础上，新增了的强制访问控制、最小特权管理、可信路径、隐通道分析和加密卡支持等功能组成，系统的主要功能如下：

1. 标识与鉴别

标识与鉴别功能用于保证只有合法的用户才能存取系统资源。本系统的标识与鉴别部分包括角色管理、用户管理和用户身份鉴别等三个部分：

 角色管理是实现RBAC模型的重要部分，将角色配置文件存放在/etc/security/role文件中，角色管理就是对角色配置文件的维护。

 用户管理就是对用户属性文件的维护，是在系统原有用户管理的基础上修改和扩充而来；本系统改变了原有系统集中存放用户属性的方式，在/etc/security/ia目录下为每个用户创建一个属性文件。

 用户身份鉴别过程就是控制用户与系统建立会话的过程；本系统将修改原有系统的pam模块和建立会话的程序，增加对管理员用户的强身份鉴别（使用加密卡），增加为用户设置初始安全属性（特权集、安全标记、域、审计掩码）的功能。

2. 自主访问控制（DAC）

用于进行按用户意愿的存取控制。使用DAC，用户可以说明其资源允许系统中哪个(些)用户使用何种权限进行共享。

本系统在自主访问控制中加入ACL机制。利用ACL，用户能够有选择地授予其他用户某些存取权限，来对信息进行保护，防止信息被非法提取。

3. 强制访问控制（MAC）

提供基于数据保密性的资源存取控制方法。MAC是多级安全及自主访问策略的具体应用，通过限制一个用户只能在低级别上读访问信息、只能在自身的级别上写访问信息，来加强对资源的控制能力，从而提供了比DAC更严格的访问约束。

4. 安全审计

审计是模拟社会监督机制而引入到计算机系统中，用于监视并记录系统活动的一种机制。审计机制的主要目标是检测和判定对系统的渗透，识别操作并记录进程安全级活动的情况。

本系统中的审计事件分为可信事件与系统调用。系统对每个用户审计的内容不同，需要设置系统的审计事件掩码和用户的审计事件掩码。在形成审计记录时，核心将根据审计掩码进行选择。

5. 客体重用

客体重用是指TSF必须确保受保护资源内的任何信息，在资源被重用时不会被泄露。

客体重用功能可以防止重要的客体介质在重新分配给其他主体的时候产生信息泄漏。在本系统中，出于系统效率和可靠性的考虑，只实现对核心重要数据结构剩余信息的自动清除和文件内容的人工清除。

6. 最小特权管理

根据《TESCE》B2级中提出的最小特权原理，系统中的每个进程只应具有完成其任务和功能所需要的最小特权。因此，在本系统中开发了一种灵活的特权管理机制，把超级用户的特权划分成一组细粒度特权的集合，通过对系统中用户和进程特权的赋值、继承和传递的控制，将其中的部分特权赋给系统中的某个用户，从而使系统中的普通用户也能具有部分特权来操作和管理系统。

7. 可信路径

可信路径要求为用户提供与系统交互的可信通道。可信路径的实现方法是通过核心对安全注意键的监控，并退出当前终端下的所有应用程序，启动新的可信登陆程序。

根据《TESEC》B2级对可信通路的要求，在本系统中开发了可信通路机制，以防止特洛伊木马等欺诈行为的发生。用户无论在系统的什么状态下，只要激活一个安全注意键（一般设置为Ctrl-Alt-A），就可以进入一个安全的登录界面。另外，本系统还采用了管理员用户的强身份认证和建立加密通道等技术，也可以保证用户与系统间交互的安全性。

8. 隐蔽通道分析

我国《计算机信息系统安全保护等级划分准则》[1]要求第四级及以上级别安全信息系统产品必须分析与处理隐蔽通道。本系统掩蔽通道分析将基于源代码，采用下列方法进行：

分析所有操作，列出操作及其涉及的共享资源（客体属性）

 列出操作与共享资源的关系图

 找出所有可能的存储隐蔽通道

 分析、标识每个存储隐蔽通道，并给出带宽

9. 加密卡支持

本系统基于国产密码硬件资源，实现的密码服务主要包括三个方面：

文件存储加解密：在命令层为用户提供一套SHELL命令，实现文件的机密性、完整性保护，同时提供一套接口库函数，供用户编程使用。

特权用户强身份认证：结合RBAC、DTE策略，对特权（角色）用户实施强身份认证。

数据传输加解密：在核心提供一套函数接口，用于实现数据的机密性和完整性。

4. 结论

本方案通过对Linux核心结构和操作系统域外层安全体系的层次结构的研究，遵循国内、外的相关安全标准，将三种安全策略模型和已有的先进技术有机地结合起来，增加了强制访问控制、最小特权、可信路径等安全功能，成功的在Linux操作系统上得已实现，基本达到了GB17859-1999中规定的结构化保护级（相当于《TCSEC》标准的B2级）的要求。

操作系统安全增强技术作为信息安全的关键部分，得到了国内、外的普遍重视。在安全领域，系统的安全性总是相对的。因此，对安全模型的研究和建模以及信息安全系统体系和方案设计的研究还有待进一步的深入。本设计方案已经在Linux操作系统上得到具体的实现，还有待于在实际应用中对安全操作系统进一步的考验和完善。

参考文献

[1] GB17859-1999, 计算机信息系统安全保护等级划分准则[S].

[2] DoD 5200. 28-STD, Department of Defense Trusted Computer System Evaluation Criteria[S]. Department of Defense, Washington,DC, 1985.

[3] 石文昌, 孙玉芳. 计算机安全标准演化与安全产品发展[J]. 广西科学, 2001, 8 (3): 168-171.

[4] BELL D E, LaPADULA L J. Secure computer system: mathematical foundation and model[R]. Bedford MA: Mitre Corp, 1973. M74-244.

[5] 石文昌, 孙玉芳, 梁洪亮. 经典BLP安全公理的一种适应性标记实施方法及其正确性[J]. 计算机研究与发展, 2001,11 (38): 1366~1371

[6] 季庆光，唐柳英.《结构化保护级》安全操作系统安全策略模型[R]. 北京：中科院信息安全技术工程研究中心，中软网络技术股份有限公司，2002.

The Research and Design of Security Model

LI Fang， HU Zhi-xing

(Information Engineering Institute, University of Science and Technology Beijing, Beijing 100083, China)

Abstract: After study of BLP model, DTE model and RBAC model, and combination of the three security models, an implementation scheme of security system and its components and functions is provided, which achieves the structure protection of GB17859 (as the level B2 of TCSEC standard). The scheme is implemented on Linux operating system successfully.

Key words: security techniques; security model; Linux operating system

linux服务器集群技术现状与发展趋势

以下内容转自互联网集群系统主要分为两种：高可用性集群和高性能集群。高可用性集群的主要功能就是提供不间断的服务。有许多应用程序都必须一天二十四小时地不停运转，如所有的web服务器、工业控制器、ATM、远程通讯转接器、医学与军事监测仪以及股票处理机等。对这些应用程序而言，暂时的停机都会导致数据的丢失和灾难性的后果。高性能集群通过将多台机器连接起来同时处理复杂的计算问题。模拟星球附近的磁场、预测龙卷风的出现、定位石油资源的储藏地等情况都需要对大量的数据进行处理。传统的处理方法是使用超级计算机来完成计算工作，但是超级计算机的价格比较昂贵，而且可用性和可扩展性不够强，因此集群成为了高性能计算领域瞩目的焦点。集群系统采用的操作系统主要有VMS、UNIX、WindowsNT和Linux。美国DEC公司（Digital Equipment Corporation）开发的VMScluster系统开发最早，技术也很成熟，应用也很广泛，但由于VMS操作系统只能在DEC公司的VAX系列和Alpha系列服务器上运行，VMScluster的应用受到很大限制。UNIX是服务器或工作站上普遍使用的操作系统，它运行稳定、安全性也比较好，因此许多大的公司都采用了基于UNIX的集群系统解决方案，如DEC、 HP、SUN、IBM、NCR和DG等公司，其中在国内影响比较大的主要是DEC、HP、SUN和IBM。其中DEC公司的Trucluster系统提供了由4台Digital Alpha Server组成的集群系统，它集高可靠性、高可用性和易管理性于一身，是关键业务计算机系统的理想解决方案。基于WindowsNT的集群系统解决方案厂商主要有Mircrosoft和DEC。Microsoft于1995年就开始了集群系统的开发工作。 Windows 2000中已经增加了集群功能，该高可用性集群叫做WolfPack，也叫做Microsoft Cluster Server (MCS)。它主要是在企业级对基于Windows NT服务器的应用程序提供可用性和可升级性。WolfPack现在支持两个服务器，一个用来对用户提供服务，另一个作为备份服务器使用。 Microsoft下一步的目标是将WolfPack支持的节点数扩展到16个。Wolfpack的缺陷在于：它只提供了两个节点的失败恢复功能，而没有采用复杂的应用程序资源管理功能，因此在一定程度上影响了系统的高可用性、高可靠性和可升级性。Wolfpack不能支持多种操作系统，而只能运行于 Windows NT操作系统上。由于WindowsNT操作系统本身在稳定性、大型并行计算上与UNIX系统存在较大差距，目前主要在中小型系统上应用。但是随着 WindowsNT系统走向成熟，基于WindowsNT的计算机集群系统将获得更广泛的应用。九十年代末期，Linux操作系统不断走向成熟，它的健壮性不断增强，并且提供了GNU软件和标准化的PVM、MPI消息传递机制，最重要的是Linux在普通PC机上提供了对高性能网络的支持，这样就大大推动了基于Linux的集群系统的发展。Turbolinux公司推出了能够显著地提高基于TCP/IP协议的多种网络服务的服务质量的高可用性集群系统Turbocluster。Red Hat也提供了基于Linux Virtual Server思想构建的高可用性集群系统Piranha。由Ericsson软件工程研究中心开发的高可用性集群系统Eddie的主要目的是提供一个商业级的，能提供较好的服务质量的web服务器的解决方案。Platform公司开发的高可用性集群系统Lsf提供了分布式集群系统的解决方案，通过将物理上分离的多个集群连接在一起使使多个同构或异构的计算机能够通过局域网或广域网共享计算资源，并能够为用户提供对资源的透明访问。高性能集群系统MOSIX为Linux核心增添了集群计算的功能。在MOSIX集群环境中，用户无需对应用程序进行修改，或将应用程序与库连接起来，或将应用程序分配到不同的节点上运行。MOSIX会自动将这些工作透明地交给别的节点来执行。日本的F5公司开发出了高可用性集群BIG-IP，它是使用于本地网络站点或数据中心的高可用的、智能化的负载平衡产品，它提供了对网络流量的自动和智能的管理。与前几种集群系统不同的是，BIG-IP向用户提供的是一个即插即用设备，而其它的提供的都是软件方法。IBM、Microsoft和Intel于2000年7月联合发布了一种高可用性服务器集群软件及硬件包，这种服务器集群的配置包括32台IBM Netfinity 8500R及Intel Pentium Ⅲ Xeon处理器，运行IBM的DB2 Universal Database和Microsoft Windows 2000 Advanced Server操作系统，每分钟可以执行440879次交易。这套系统面向数据密集的应用，特别是B2B、电子商务和企业资源规划领域。在科学计算领域中，人们开始把注意力投向通过普通PC机或工作站的集群来代替昂贵的超级计算机。比较成功的例子是高性能集群系统Beowulf，它最初是由NASA的Goddard Flight Center进行开发的，主要目的是支持大规模的科学计算问题，如地球和太空科学面临的一些计算问题。国内也有不少公司进行了集群系统的研究和开发工作。联想公司在1999年9月推出了用于分布式高性能计算的NS10000高性能集群服务器，该系统是一个四节点的系统，主要基于联想万全4500R服务器，以总体成本相对较低的设备组合，足以替代传统RISC小型机和中型机的工作，而价格仅为市场上同等性能小型机的1/2--1/4。朗新公司也推出了类似于Turbocluster的高可用性集群系统LongShine Cluster Server。1999年9月20日，中国第一家专业面向Linux高端应用市场的集群网络有限公司推出了国内首例Linux安全集群系统。它是国内第一个通过公安部认证的安全Linux系统，而其集群技术也已应用于诸多国际著名网站，如Linux的门户、英国国家JANET Cache网、奥地利的入口站点和瑞士电信等。其核心代码也已被纳入美国Red Hat Linux发布版的核心。中国自主开发研制的集群式高性能计算机集群系统"自强2000-SUHPCS"于2000年9月在上海大学问世。这一系统的峰值速度达到每秒3000亿次浮点操作。是当前中国国内集群式高性能计算机系统中速度最快的。