安全操作系統(tǒng)簡(jiǎn)介任愛(ài)華版

1、安全操作系統(tǒng),操作系統(tǒng)是用來(lái)管理計(jì)算機(jī)資源的,它直接利用計(jì)算機(jī)硬件并為用戶(hù)提供交互使用和編程接口。若想獲得上層用戶(hù)軟件運(yùn)行的高可靠性和信息的完整性、保密性,必須依賴(lài)于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ) 在網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)系統(tǒng)的安全性依賴(lài)于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性、主機(jī)系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的。 若從根本上保證計(jì)算機(jī)系統(tǒng)的安全性，首先要有安全的CPU芯片、然后是安全的操作系統(tǒng)，從而為安全的計(jì)算機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)提供了安全基礎(chǔ)。,可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn),第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn) TCSEC(Trusted Computer System Evaluation Criteria)

2、，即： “可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)”，又稱(chēng)橙皮書(shū)。 人們以TCSEC 為藍(lán)本研制安全操作系統(tǒng)。 TCSEC 為安全系統(tǒng)指定的是一個(gè)統(tǒng)一的系統(tǒng)安全策略，這個(gè)統(tǒng)一的安全策略由諸如強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制的子策略構(gòu)成，這些子策略緊密地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略。,D：最小保護(hù) C1：自主安全保護(hù) C2：受控訪問(wèn)保護(hù) B1：標(biāo)記安全保護(hù) B2：結(jié)構(gòu)化保護(hù) B3：安全域 A1：經(jīng)過(guò)驗(yàn)證的保護(hù),高度極權(quán)化的Linux （C1級(jí)）,普通Linux采用極權(quán)化的方式，設(shè)立一個(gè)root超級(jí)用戶(hù)，root用戶(hù)具有至高無(wú)上的權(quán)力，可以不受系統(tǒng)訪問(wèn)控制規(guī)則的任何制約，可對(duì)系統(tǒng)及其中的信息執(zhí)行任何操作，這種

3、做法不符合安全系統(tǒng)的“最小特權(quán)”原則。攻擊者只要破獲root用戶(hù)的口令，進(jìn)入系統(tǒng)，便得到了對(duì)系統(tǒng)的完全控制，其后果是不言而喻的。,系統(tǒng)特權(quán)分化（C2級(jí)）,根據(jù)“最小特權(quán)”原則對(duì)系統(tǒng)管理員的特權(quán)進(jìn)行分化，根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分特權(quán)。典型的系統(tǒng)管理角色有： 系統(tǒng)管理員 安全管理員 審計(jì)管理員等 系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶(hù)賬號(hào)、數(shù)據(jù)備份等。安全管理員負(fù)責(zé)安全屬性的設(shè)定與管理。審計(jì)管理員負(fù)責(zé)配置系統(tǒng)的審計(jì)行為和管理系統(tǒng)的審計(jì)信息。一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)。攻擊者破獲某個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)系統(tǒng)的完全控制。,自主訪問(wèn)控制功能（C1級(jí)

4、）,Linux的自主訪問(wèn)控制 普通Linux只支持簡(jiǎn)單形式的自主訪問(wèn)控制，由資源（文件等）的所有者根據(jù)所有者、同組者、其他人等三類(lèi)群體指定用戶(hù)對(duì)資源的訪問(wèn)權(quán)。而超級(jí)用戶(hù)root實(shí)際可以不受訪問(wèn)權(quán)的限制。這對(duì)資源的保護(hù)很不利。,強(qiáng)制訪問(wèn)控制功能（B級(jí)）,提供強(qiáng)制訪問(wèn)控制支持，采用Bell&LaPadula強(qiáng)制訪問(wèn)控制模型，為主體(用戶(hù)、進(jìn)程等)和客體(文件、目錄、設(shè)備、IPC機(jī)制等)提供標(biāo)簽支持。 主體: 用戶(hù)、進(jìn)程等 客體: 文件、目錄、設(shè)備、IPC機(jī)制等 主體和客體都有標(biāo)簽設(shè)置，系統(tǒng)根據(jù)主體和客體間標(biāo)簽的匹配關(guān)系強(qiáng)制實(shí)行訪問(wèn)控制，符合匹配規(guī)則的準(zhǔn)許訪問(wèn)，否則拒絕訪問(wèn)，不管主體是普通用戶(hù)還是特

5、權(quán)用戶(hù)。,Bell&LaPadula模型-1,Bell&LaPadula 模型，簡(jiǎn)稱(chēng)BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型 BLP 模型是根據(jù)軍方的安全政策設(shè)計(jì)的，它要解決的本質(zhì)問(wèn)題是對(duì)具有密級(jí)劃分的信息的訪問(wèn)進(jìn)行控制。 BLP 模型是一個(gè)狀態(tài)機(jī)模型，它定義的系統(tǒng)包含一個(gè)初始狀態(tài)Z0 和由一些三元組（請(qǐng)求，判定，狀態(tài)）組成的序列，三元組序列中相鄰狀態(tài)之間滿(mǎn)足某種關(guān)系W。BLP=Z0,R,D,S,Bell&LaPadula模型-2,如果一個(gè)系統(tǒng)的初始狀態(tài)是安全的，并且三元組序列中的所有狀態(tài)都是安全的，那么這樣的系統(tǒng)就

6、是一個(gè)安全系統(tǒng)。 BLP 模型定義的狀態(tài)是一個(gè)四元組S=（b, M, f, H）， 其中， b 是當(dāng)前訪問(wèn)的集合，當(dāng)前訪問(wèn)由三元組（主體，客體，訪問(wèn)方式）表示，是當(dāng)前狀態(tài)下允許的訪問(wèn)； M 是訪問(wèn)控制矩陣； f 是安全級(jí)別函數(shù)，用于確定任意主體和客體的安全級(jí)別； H 是客體間的層次關(guān)系。,Bell&LaPadula模型-3,抽象出的訪問(wèn)方式有四種，分別是 只可讀r、 只可寫(xiě)a、 可讀寫(xiě)w 不可讀寫(xiě)（可執(zhí)行）e。 主體的安全級(jí)別包括 最大安全級(jí)別，通常簡(jiǎn)稱(chēng)為安全級(jí)別。 當(dāng)前安全級(jí)別,Bell&LaPadula模型-4,以下特性和定理構(gòu)成了BLP 模型的核心內(nèi)容。 簡(jiǎn)單安全特性（ss-特性）： 如

7、果當(dāng)前訪問(wèn)是b=（主體，客體，可讀），那么一定有： level(主體) level(客體) 其中，level 表示安全級(jí)別。 星號(hào)安全特性（*-特性）： 在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問(wèn)，那么一定有： (1)若方式是a，則：level(客體) current-level(主體) (2)若方式是w，則：level(客體) = current-level(主體) (3)若方式是r，則：current-level(主體) level(客體) 其中，current-level 表示當(dāng)前安全級(jí)別。,Bell&LaPadula模型-5,自主安全特性（ds-特性）： 如果（主體-i，客體-j，

8、方式-x）是當(dāng)前訪問(wèn)， 那么，方式-x 一定在訪問(wèn)控制矩陣M 的元素Mij 中。 ds-特性處理自主訪問(wèn)控制，自主訪問(wèn)控制的權(quán)限由客體的屬主自主確定 ss-特性和*-特性處理的是強(qiáng)制訪問(wèn)控制。強(qiáng)制訪問(wèn)控制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施。 基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿(mǎn)足ss-特性、*-特性和ds-特性的要求，那么，在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中，系統(tǒng)的安全性是不會(huì)被破壞的。 BLP 模型支持的是信息的保密性。,標(biāo)簽,標(biāo)簽有等級(jí)分類(lèi)和非等級(jí)類(lèi)別： 等級(jí)分類(lèi)與整數(shù)相當(dāng)，可以比較大??； 可設(shè)置為：非密、秘密、機(jī)密、絕密等， 非等級(jí)類(lèi)別與集合相當(dāng)，不能比較大小，但存在包含與非包

9、含關(guān)系。 可設(shè)置為：國(guó)防部、外交部、財(cái)政部等級(jí) 當(dāng)一個(gè)用戶(hù)的標(biāo)簽為時(shí)，他可以查看“國(guó)防部”的不超過(guò)“秘密”級(jí)的信息。任何用戶(hù)（包括特權(quán)用戶(hù)），只要標(biāo)簽不符合要求，不管他原來(lái)的權(quán)利有多大（比如系統(tǒng)管理員），都不能對(duì)指定信息進(jìn)行訪問(wèn)。這為信息的保護(hù)提供了強(qiáng)有力的措施，普通Linux無(wú)法做到這一點(diǎn)。,小結(jié)-1,安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基 評(píng)價(jià)安全操作系統(tǒng)的標(biāo)準(zhǔn)TCSEC 安全模型BLP 參考文獻(xiàn)： “安全操作系統(tǒng)研究的發(fā)展” 石文昌，中國(guó)科學(xué)院軟件研究所 計(jì)算機(jī)科學(xué)Vol.29 No.6和Vol.29 No.7,標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的工作-1,1985年，DoD520028STD，即可信

10、計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）（美國(guó)國(guó)防部桔皮書(shū)，以下簡(jiǎn)稱(chēng)DOD85評(píng)測(cè)標(biāo)準(zhǔn)） 1987年，美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）為T(mén)CSEC桔皮書(shū)提出可依賴(lài)網(wǎng)絡(luò)解釋?zhuān)═NI），通常被稱(chēng)作紅皮書(shū)。 1991年，美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）為T(mén)CSEC桔皮書(shū)提出可依賴(lài)數(shù)據(jù)庫(kù)管理系統(tǒng)解釋?zhuān)═DI）。 1996年在上述標(biāo)準(zhǔn)的基礎(chǔ)上，美國(guó)、加拿大和歐洲聯(lián)合研制CC（信息技術(shù)安全評(píng)測(cè)公共標(biāo)準(zhǔn)），頒布了CC 1.0版。,標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的工作-2,在歐洲，由英國(guó)、荷蘭和法國(guó)帶頭，開(kāi)始聯(lián)合研制歐洲共同的安全評(píng)測(cè)標(biāo)準(zhǔn) 1991年頒布?xì)W洲的ITSEC（信息技術(shù)安全標(biāo)準(zhǔn)）。 1993年，加拿大頒布CTCPEC（加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)標(biāo)準(zhǔn)）。 1997年5月，由Vis