操作系统1-2安全操作系统简介

北航计算机学院任爱华安全操作系统的重要性安全的操作系统依赖于安全的CPU芯片安全可靠地运行用户软件,依赖于操作系统的安全性网络系统的安全性依赖于网络中各主机系统的安全性主机系统的安全性决定于其操作系统的安全性北航计算机学院任爱华内容提纲安全评价准则常用操作系统与安全级别的对应举例安全模型B-LP小结北航计算机学院任爱华可信计算机系统安全评价标准第一个计算机安全评价标准TCSEC(TrustedComputerSystemEvaluationCriteria)，即：“可信计算机系统安全评价标准”，又称橙皮书人们以TCSEC为蓝本研制安全操作系统TCSEC为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略主要考虑军队的环境，对于机密性非常重视，对于完整性和可用性考虑不足。不同的安全环境有不同的安全需求，需要制定不同的安全策略，采用不同的安全模型，使用不同的安全功能北航计算机学院任爱华D：最小保护C1：自主安全保护C2：受控访问保护B1：标记安全保护B2：结构化保护（可信路径）B3：安全域（引用监视器）A1：经过验证的保护C：自主访问等级（C1/C2）B：强制访问控制（B1/B2/B3）保障需求安全特性需求TCSEC的构成与等级结构北航计算机学院任爱华操作系统安全级别举例DOSD级LinuxC1级WindowsNTC2级SolarisC2级UnixB1级北航计算机学院任爱华自主访问控制功能（C1级）Linux的自主访问控制普通Linux只支持简单形式的自主访问控制，由资源（文件等）的所有者根据三类群体,即：所有者、同组者、其他人等指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。北航计算机学院任爱华高度极权化的Linux（C1级）普通Linux采用极权化的方式，设立一个root超级用户，root用户可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作攻击者只要破获root用户的口令，便可进入系统并完全控制系统北航计算机学院任爱华系统特权分化（C2级）根据“最小特权”原则对系统管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有：+系统管理员+安全管理员+审计管理员等系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。北航计算机学院任爱华强制访问控制功能（B级）提供强制访问控制支持，采用Bell&LaPadula强制访问控制模型，为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。主体:用户、进程等(实施操作方)客体:文件、目录、设备、IPC机制等（受操作方）主体和客体都有标签设置，系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特权用户。例如：标签为秘密，{国防部}，则可以查看“国防部”不超过“秘密”级的信息。（比如还会有“非密”、“机密”、“绝密”等等级别）北航计算机学院任爱华Bell&LaPadula模型（一）Bell&LaPadula模型，简称BLP模型，由D.E.Bell和L.J.LaPadula在1973年提出，是第一个可证明的安全系统的数学模型BLP模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。BLP模型是一个状态机模型，它定义的系统包含一个初始状态Z0和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP={Z0,R,D,S}北航计算机学院任爱华Bell&LaPadula模型（二）如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统BLP模型定义的状态是一个四元组S（b,M,f,H）其中，b是当前访问的集合，当前访问由三元组:（主体，客体，访问方式）表示，是当前状态下允许的访问M是访问控制矩阵；f是安全级别函数，用于确定任意主体和客体的安全级别H是客体间的层次关系北航计算机学院任爱华Bell&LaPadula模型（三）抽象出的访问方式有四种，分别是:+只可读r+只可写a+可读写w+不可读写（可执行）e主体的安全级别包括+最大安全级别，通常简称为安全级别+当前安全级别北航计算机学院任爱华Bell&LaPadula模型（四）以下特性和定理构成了BLP模型的核心内容。+简单安全特性（ss-特性）：–如果当前访问是b（主体，客体，可读），那么一定有：level(主体)level(客体)其中，level表示安全级别。+星号安全特性（*-特性）：–在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：(1)若方式是a，则：current_level(主体)level(客体)(2)若方式是w，则：current_level(主体)level(客体)(3)若方式是r，则：current_level(主体)level(客体)其中，current_level表示当前安全级别。北航计算机学院任爱华Bell&LaPadula模型（五）+自主安全特性（ds-特性）：如果（主体-i，客体-j，方式-x）是当前访问，那么，方式-x一定在访问控制矩阵M的元素Mij中。ds-特性处理自主访问控制，自主访问控制的权限由客体的属主自主确定ss-特性和*-特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。+基本安全定理：如果系统状态的每一次变化都能满足ss-特性、*-特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。BLP模型支持的是信息的保密性。北航计算机学院任爱华标签标签有等级分类和非等级类别：等级分类与整数相当，可以比较大小；可设置为：非密、秘密、机密、绝密等，非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。可设置为：国防部、外交部、财政部等级当一个用户的标签为秘密，{国防部}时，他可以查看“国防部”的不超过“秘密”级的信息。任何用户（包括特权用户），只要标签不符合要求，不管他原来的权利有多大（比如系统管理员），都不能对指定信息进行访问。这为信息的保护提供了强有力的措施，普通Linux无法做到这一点。北航计算机学院任爱华小结安全操作系统是安全计算机系统的根基评价安全操作系统的标准TCSEC安全模型BLP（适合B标准）参考文献：“安全操作系统研究的发展”石文昌，中国科学院软件研究所《计算机科学》Vol.29No.6和Vol.29No.7北航计算机学院任爱华标准化机构在信息安全方面的工作-11985年，DoD5200．28－STD，即可信计算机系统评测标准（TCSEC，美国国防部桔皮书，以下简称DOD85评测标准）1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI）1996年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准），颁布了CC1.0版+此后美国不再受理以TCSEC为制度的评价申请，所有的安全评价都按照CC进行+CC将安全功能和安全保证分离北航计算机学院任爱华标准化机构在信息安全方面的工作-2在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准1991年颁布欧洲的ITSEC（信息技术安全标准）。1993年，加拿大颁布CTCPEC（加拿大可信计算机产品评测标准）。1997年5月，由Visa、MasterCard等联合推出的安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术，其认证过程使用RSA和DES算法，因此，可以为电子商务提供很强的安全保护。可以说，SET规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展。北航计算机学院任爱华引用监控器示意图北航计算机学院任爱华特洛伊木马北航计算机学院任爱华特洛伊木马示例北航计算机学院任爱华对特洛伊木马的防范北航计算机学院任爱华主体与客体赋予安全级