安全操作系統(tǒng)簡介任愛華版

1、安全操作系統(tǒng),操作系統(tǒng)是用來管理計(jì)算機(jī)資源的,它直接利用計(jì)算機(jī)硬件并為用戶提供交互使用和編程接口。若想獲得上層用戶軟件運(yùn)行的高可靠性和信息的完整性、保密性,必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ) 在網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性、主機(jī)系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的。 若從根本上保證計(jì)算機(jī)系統(tǒng)的安全性，首先要有安全的CPU芯片、然后是安全的操作系統(tǒng)，從而為安全的計(jì)算機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)提供了安全基礎(chǔ)。,可信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn),第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) TCSEC(Trusted Computer System Evaluation Criteria)

2、，即： “可信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)”，又稱橙皮書。 人們以TCSEC 為藍(lán)本研制安全操作系統(tǒng)。 TCSEC 為安全系統(tǒng)指定的是一個(gè)統(tǒng)一的系統(tǒng)安全策略，這個(gè)統(tǒng)一的安全策略由諸如強(qiáng)制訪問控制和自主訪問控制的子策略構(gòu)成，這些子策略緊密地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略。,D：最小保護(hù) C1：自主安全保護(hù) C2：受控訪問保護(hù) B1：標(biāo)記安全保護(hù) B2：結(jié)構(gòu)化保護(hù) B3：安全域 A1：經(jīng)過驗(yàn)證的保護(hù),高度極權(quán)化的Linux （C1級）,普通Linux采用極權(quán)化的方式，設(shè)立一個(gè)root超級用戶，root用戶具有至高無上的權(quán)力，可以不受系統(tǒng)訪問控制規(guī)則的任何制約，可對系統(tǒng)及其中的信息執(zhí)行任何操作，這種

3、做法不符合安全系統(tǒng)的“最小特權(quán)”原則。攻擊者只要破獲root用戶的口令，進(jìn)入系統(tǒng)，便得到了對系統(tǒng)的完全控制，其后果是不言而喻的。,系統(tǒng)特權(quán)分化（C2級）,根據(jù)“最小特權(quán)”原則對系統(tǒng)管理員的特權(quán)進(jìn)行分化，根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分特權(quán)。典型的系統(tǒng)管理角色有： 系統(tǒng)管理員 安全管理員 審計(jì)管理員等 系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶賬號、數(shù)據(jù)備份等。安全管理員負(fù)責(zé)安全屬性的設(shè)定與管理。審計(jì)管理員負(fù)責(zé)配置系統(tǒng)的審計(jì)行為和管理系統(tǒng)的審計(jì)信息。一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)。攻擊者破獲某個(gè)管理角色的口令時(shí)不會得到對系統(tǒng)的完全控制。,自主訪問控制功能（C1級

4、）,Linux的自主訪問控制 普通Linux只支持簡單形式的自主訪問控制，由資源（文件等）的所有者根據(jù)所有者、同組者、其他人等三類群體指定用戶對資源的訪問權(quán)。而超級用戶root實(shí)際可以不受訪問權(quán)的限制。這對資源的保護(hù)很不利。,強(qiáng)制訪問控制功能（B級）,提供強(qiáng)制訪問控制支持，采用Bell&LaPadula強(qiáng)制訪問控制模型，為主體(用戶、進(jìn)程等)和客體(文件、目錄、設(shè)備、IPC機(jī)制等)提供標(biāo)簽支持。 主體: 用戶、進(jìn)程等 客體: 文件、目錄、設(shè)備、IPC機(jī)制等 主體和客體都有標(biāo)簽設(shè)置，系統(tǒng)根據(jù)主體和客體間標(biāo)簽的匹配關(guān)系強(qiáng)制實(shí)行訪問控制，符合匹配規(guī)則的準(zhǔn)許訪問，否則拒絕訪問，不管主體是普通用戶還是特

5、權(quán)用戶。,Bell&LaPadula模型-1,Bell&LaPadula 模型，簡稱BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型 BLP 模型是根據(jù)軍方的安全政策設(shè)計(jì)的，它要解決的本質(zhì)問題是對具有密級劃分的信息的訪問進(jìn)行控制。 BLP 模型是一個(gè)狀態(tài)機(jī)模型，它定義的系統(tǒng)包含一個(gè)初始狀態(tài)Z0 和由一些三元組（請求，判定，狀態(tài)）組成的序列，三元組序列中相鄰狀態(tài)之間滿足某種關(guān)系W。BLP=Z0,R,D,S,Bell&LaPadula模型-2,如果一個(gè)系統(tǒng)的初始狀態(tài)是安全的，并且三元組序列中的所有狀態(tài)都是安全的，那么這樣的系統(tǒng)就

6、是一個(gè)安全系統(tǒng)。 BLP 模型定義的狀態(tài)是一個(gè)四元組S=（b, M, f, H）， 其中， b 是當(dāng)前訪問的集合，當(dāng)前訪問由三元組（主體，客體，訪問方式）表示，是當(dāng)前狀態(tài)下允許的訪問； M 是訪問控制矩陣； f 是安全級別函數(shù)，用于確定任意主體和客體的安全級別； H 是客體間的層次關(guān)系。,Bell&LaPadula模型-3,抽象出的訪問方式有四種，分別是 只可讀r、 只可寫a、 可讀寫w 不可讀寫（可執(zhí)行）e。 主體的安全級別包括 最大安全級別，通常簡稱為安全級別。 當(dāng)前安全級別,Bell&LaPadula模型-4,以下特性和定理構(gòu)成了BLP 模型的核心內(nèi)容。 簡單安全特性（ss-特性）： 如

7、果當(dāng)前訪問是b=（主體，客體，可讀），那么一定有： level(主體) level(客體) 其中，level 表示安全級別。 星號安全特性（*-特性）： 在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問，那么一定有： (1)若方式是a，則：level(客體) current-level(主體) (2)若方式是w，則：level(客體) = current-level(主體) (3)若方式是r，則：current-level(主體) level(客體) 其中，current-level 表示當(dāng)前安全級別。,Bell&LaPadula模型-5,自主安全特性（ds-特性）： 如果（主體-i，客體-j，

8、方式-x）是當(dāng)前訪問， 那么，方式-x 一定在訪問控制矩陣M 的元素Mij 中。 ds-特性處理自主訪問控制，自主訪問控制的權(quán)限由客體的屬主自主確定 ss-特性和*-特性處理的是強(qiáng)制訪問控制。強(qiáng)制訪問控制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施。 基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss-特性、*-特性和ds-特性的要求，那么，在系統(tǒng)的整個(gè)狀態(tài)變化過程中，系統(tǒng)的安全性是不會被破壞的。 BLP 模型支持的是信息的保密性。,標(biāo)簽,標(biāo)簽有等級分類和非等級類別： 等級分類與整數(shù)相當(dāng)，可以比較大??； 可設(shè)置為：非密、秘密、機(jī)密、絕密等， 非等級類別與集合相當(dāng)，不能比較大小，但存在包含與非包

9、含關(guān)系。 可設(shè)置為：國防部、外交部、財(cái)政部等級 當(dāng)一個(gè)用戶的標(biāo)簽為時(shí)，他可以查看“國防部”的不超過“秘密”級的信息。任何用戶（包括特權(quán)用戶），只要標(biāo)簽不符合要求，不管他原來的權(quán)利有多大（比如系統(tǒng)管理員），都不能對指定信息進(jìn)行訪問。這為信息的保護(hù)提供了強(qiáng)有力的措施，普通Linux無法做到這一點(diǎn)。,小結(jié)-1,安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基 評價(jià)安全操作系統(tǒng)的標(biāo)準(zhǔn)TCSEC 安全模型BLP 參考文獻(xiàn)： “安全操作系統(tǒng)研究的發(fā)展” 石文昌，中國科學(xué)院軟件研究所 計(jì)算機(jī)科學(xué)Vol.29 No.6和Vol.29 No.7,標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的工作-1,1985年，DoD520028STD，即可信

10、計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（TCSEC）（美國國防部桔皮書，以下簡稱DOD85評測標(biāo)準(zhǔn)） 1987年，美國國家計(jì)算機(jī)安全中心（NCSC）為TCSEC桔皮書提出可依賴網(wǎng)絡(luò)解釋（TNI），通常被稱作紅皮書。 1991年，美國國家計(jì)算機(jī)安全中心（NCSC）為TCSEC桔皮書提出可依賴數(shù)據(jù)庫管理系統(tǒng)解釋（TDI）。 1996年在上述標(biāo)準(zhǔn)的基礎(chǔ)上，美國、加拿大和歐洲聯(lián)合研制CC（信息技術(shù)安全評測公共標(biāo)準(zhǔn)），頒布了CC 1.0版。,標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的工作-2,在歐洲，由英國、荷蘭和法國帶頭，開始聯(lián)合研制歐洲共同的安全評測標(biāo)準(zhǔn) 1991年頒布?xì)W洲的ITSEC（信息技術(shù)安全標(biāo)準(zhǔn)）。 1993年，加拿大頒布CTCPEC（加拿大可信計(jì)算機(jī)產(chǎn)品評測標(biāo)準(zhǔn)）。 1997年5月，由Vis