操作系統安全第一章資料_第1頁
操作系統安全第一章資料_第2頁
操作系統安全第一章資料_第3頁
操作系統安全第一章資料_第4頁
操作系統安全第一章資料_第5頁
已閱讀5頁,還剩54頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、操作系統安全操作系統安全 什么是操作系統安全和安全操作系統?什么是操作系統安全和安全操作系統? 安全操作系統的設計思路?安全操作系統的設計思路? 希望從這門課中學到什么?希望從這門課中學到什么?總總 目目 錄錄第第1章章 引言引言第第2章章 操作系統安全機制操作系統安全機制第第3章章 操作系統安全模型操作系統安全模型第第4章章 操作系統安全體系結構操作系統安全體系結構第第5章章 操作系統安全設計與驗證操作系統安全設計與驗證第第6章章 操作系統安全評測操作系統安全評測第第7章章 Windows操作系統安全技術操作系統安全技術第第8章章 Linux操作系統安全技術操作系統安全技術第第1章章 引言引

2、言1.1 操作系統面臨的安全威脅操作系統面臨的安全威脅1.2 操作系統安全和信息系統安全操作系統安全和信息系統安全1.3 安全操作系統的研究發展安全操作系統的研究發展1.4 基本定義及術語基本定義及術語1.5 本章小結本章小結可以說,可以說,信息安全技術的發展將會從根本上影響和信息安全技術的發展將會從根本上影響和制約信息技術的進一步發展。制約信息技術的進一步發展。人們認識信息安全問題通常是從對系統所遭到的各人們認識信息安全問題通常是從對系統所遭到的各種成功或者未成功的入侵攻擊的威脅開始的,種成功或者未成功的入侵攻擊的威脅開始的,這些這些威脅大多是通過挖掘操作系統和應用程序的弱點或威脅大多是通過

3、挖掘操作系統和應用程序的弱點或者缺陷來實現的者缺陷來實現的。下面首先介紹針對操作系統安全。下面首先介紹針對操作系統安全的主要威脅。的主要威脅。1.1 操作系統面臨的安全威脅操作系統面臨的安全威脅病毒是能夠病毒是能夠自我復制自我復制的一組計算機的一組計算機指令或者程序代指令或者程序代碼碼。通過編制或者在計算機程序中插入這段代碼,。通過編制或者在計算機程序中插入這段代碼,以達到以達到破壞破壞計算機功能、毀壞數據從而影響計算機計算機功能、毀壞數據從而影響計算機使用的目的。病毒具有以下基本特點使用的目的。病毒具有以下基本特點: 隱蔽性。隱蔽性。 傳染性。傳染性。 潛伏性。潛伏性。 破壞性。破壞性。1.

4、1.1 病毒和蠕蟲病毒和蠕蟲邏輯炸彈是邏輯炸彈是加在現有應用程序上加在現有應用程序上的程序。一般邏輯的程序。一般邏輯炸彈都被添加在被感染應用程序的炸彈都被添加在被感染應用程序的起始處起始處,每當該,每當該應用程序運行時就會運行邏輯炸彈。它通常要檢查應用程序運行時就會運行邏輯炸彈。它通常要檢查各種條件,看各種條件,看是否滿足運行炸彈的條件是否滿足運行炸彈的條件。如果邏輯。如果邏輯炸彈沒有取得控制權就將控制權歸還給主應用程序,炸彈沒有取得控制權就將控制權歸還給主應用程序,邏輯炸彈仍然安靜地等待。當設定的爆炸條件被滿邏輯炸彈仍然安靜地等待。當設定的爆炸條件被滿足后,邏輯炸彈的其余代碼就會執行。邏輯炸

5、彈不足后,邏輯炸彈的其余代碼就會執行。邏輯炸彈不能復制自身,不能感染其他程序,但這些攻擊已經能復制自身,不能感染其他程序,但這些攻擊已經使它成為了一種極具破壞性的使它成為了一種極具破壞性的惡意代碼惡意代碼類型。類型。邏輯炸彈具有多種觸發方式。邏輯炸彈具有多種觸發方式。1.1.2 邏輯炸彈邏輯炸彈特洛伊木馬是一段計算機程序,表面上在執行合法特洛伊木馬是一段計算機程序,表面上在執行合法任務,實際上卻具有用戶不曾料到的非法功能。它任務,實際上卻具有用戶不曾料到的非法功能。它們們偽裝偽裝成友好程序,由可信用戶在合法工作中不知成友好程序,由可信用戶在合法工作中不知不覺地運行。一旦這些程序被執行,一個病毒

6、、蠕不覺地運行。一旦這些程序被執行,一個病毒、蠕蟲或其他隱藏在特洛伊木馬程序中的惡意代碼就會蟲或其他隱藏在特洛伊木馬程序中的惡意代碼就會被釋放出來,攻擊個人用戶工作站,隨后就是攻擊被釋放出來,攻擊個人用戶工作站,隨后就是攻擊網絡。網絡。一個有效的特洛伊木馬對程序的預期結果無明顯影一個有效的特洛伊木馬對程序的預期結果無明顯影響,也許永遠看不出它的破壞性。特洛伊木馬需要響,也許永遠看不出它的破壞性。特洛伊木馬需要具備以下條件才能成功地入侵計算機系統具備以下條件才能成功地入侵計算機系統: 入侵者要寫一段程序進行非法操作,程序的行入侵者要寫一段程序進行非法操作,程序的行為方式不會引起用戶的懷疑;為方式

7、不會引起用戶的懷疑;1.1.3 特洛伊木馬特洛伊木馬 必須設計出某種策略誘使受騙者接受這段程序;必須設計出某種策略誘使受騙者接受這段程序; 必須使受騙者運行該程序;必須使受騙者運行該程序; 入侵者必須有某種手段回收由特洛伊木馬程序入侵者必須有某種手段回收由特洛伊木馬程序提供的信息。提供的信息。特洛伊木馬通常繼承了用戶程序相同的用戶特洛伊木馬通常繼承了用戶程序相同的用戶ID、存存取權、優先權甚至特權。因此,特洛伊木馬能在不取權、優先權甚至特權。因此,特洛伊木馬能在不破壞系統的任何安全規則的情況下進行非法操作,破壞系統的任何安全規則的情況下進行非法操作,這也使它成為系統最難防御的一種危害。特洛伊木

8、這也使它成為系統最難防御的一種危害。特洛伊木馬程序與病毒程序不同,它是一個獨立的應用程序,馬程序與病毒程序不同,它是一個獨立的應用程序,不具備自我復制能力不具備自我復制能力。但它同病毒程序一樣。但它同病毒程序一樣具有潛具有潛伏性,且常常具有更大的欺騙性和危害性伏性,且常常具有更大的欺騙性和危害性。特洛伊木馬通常以包含惡意代碼的電子郵件消息的特洛伊木馬通常以包含惡意代碼的電子郵件消息的形式存在,也可以由形式存在,也可以由Internet數據流攜帶。數據流攜帶。天窗是嵌在操作系統里的一段非法代碼,滲透者利天窗是嵌在操作系統里的一段非法代碼,滲透者利用該代碼提供的方法侵入操作系統而不受檢查。天用該代

9、碼提供的方法侵入操作系統而不受檢查。天窗由專門的命令激活,一般不容易發現。而且天窗窗由專門的命令激活,一般不容易發現。而且天窗所嵌入的軟件擁有滲透者所沒有的特權。通常天窗所嵌入的軟件擁有滲透者所沒有的特權。通常天窗設置在操作系統內部,而不在應用程序中,天窗很設置在操作系統內部,而不在應用程序中,天窗很像是操作系統里可供滲透的一個缺陷。安裝天窗就像是操作系統里可供滲透的一個缺陷。安裝天窗就是為了滲透,它可能是由操作系統生產廠家的一個是為了滲透,它可能是由操作系統生產廠家的一個不道德的雇員裝入的,安裝天窗的技術很像特洛伊不道德的雇員裝入的,安裝天窗的技術很像特洛伊木馬的安裝技術,但在操作系統中實現

10、更為困難。木馬的安裝技術,但在操作系統中實現更為困難。天窗只能利用操作系統的缺陷或者混入系統的開發天窗只能利用操作系統的缺陷或者混入系統的開發隊伍中進行安裝。因此開發安全操作系統的常規技隊伍中進行安裝。因此開發安全操作系統的常規技術就可以避免天窗。術就可以避免天窗。1.1.4 天窗天窗隱蔽通道可定義為系統隱蔽通道可定義為系統中不受安全策略控制的、違中不受安全策略控制的、違反安全策略的信息泄露路徑反安全策略的信息泄露路徑。按信息傳遞的方式和。按信息傳遞的方式和方法區分,隱蔽通道分為隱蔽存儲通道和隱蔽定時方法區分,隱蔽通道分為隱蔽存儲通道和隱蔽定時通道。隱蔽存儲通道在系統中通過兩個進程利用不通道。

11、隱蔽存儲通道在系統中通過兩個進程利用不受安全策略控制的存儲單元傳遞信息。隱蔽定時通受安全策略控制的存儲單元傳遞信息。隱蔽定時通道在系統中通過兩個進程利用一個不受安全策略控道在系統中通過兩個進程利用一個不受安全策略控制的廣義存儲單元傳遞信息。判別一個隱蔽通道是制的廣義存儲單元傳遞信息。判別一個隱蔽通道是否是隱蔽定時通道,關鍵是看它有沒有一個實時時否是隱蔽定時通道,關鍵是看它有沒有一個實時時鐘、間隔定時器或其他計時裝置,不需要時鐘或定鐘、間隔定時器或其他計時裝置,不需要時鐘或定時器的隱蔽通道是隱蔽存儲通道。時器的隱蔽通道是隱蔽存儲通道。1.1.5 隱蔽通道隱蔽通道一個有效可靠的操作系統應具有很強的

12、安全性,必一個有效可靠的操作系統應具有很強的安全性,必須具有相應的保護措施,消除或限制如病毒、邏輯須具有相應的保護措施,消除或限制如病毒、邏輯炸彈、特洛伊木馬、天窗、隱蔽通道等對系統構成炸彈、特洛伊木馬、天窗、隱蔽通道等對系統構成的安全威脅。的安全威脅。總而言之,在過去的數十年里,惡意代碼(通常也總而言之,在過去的數十年里,惡意代碼(通常也稱為計算機病毒)已經從學術上的好奇論題發展成稱為計算機病毒)已經從學術上的好奇論題發展成為一個持久的、世界范圍的問題。無論計算機病毒、為一個持久的、世界范圍的問題。無論計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、天窗,還是隱蔽通蠕蟲、邏輯炸彈、特洛伊木馬、天窗,

13、還是隱蔽通道都對操作系統安全構成了威脅。道都對操作系統安全構成了威脅。實際上從來沒有一個操作系統的運行是完美無缺的,實際上從來沒有一個操作系統的運行是完美無缺的,也沒有一個廠商敢保證自己的操作系統不會出錯。也沒有一個廠商敢保證自己的操作系統不會出錯。在信息系統中在信息系統中與安全相關的每一個漏洞都會使整個與安全相關的每一個漏洞都會使整個系統的安全控制機制變得毫無價值系統的安全控制機制變得毫無價值。這個漏洞如果。這個漏洞如果被入侵者發現,后果將是十分嚴重的。被入侵者發現,后果將是十分嚴重的。從計算機信息系統的角度分析,可以看出在信息系從計算機信息系統的角度分析,可以看出在信息系統安全所涉及的眾多

14、內容中,統安全所涉及的眾多內容中,操作系統、網絡系統操作系統、網絡系統與數據庫管理系統與數據庫管理系統的安全問題是核心。的安全問題是核心。操作系統的安全性在計算機信息系統的整體安全性操作系統的安全性在計算機信息系統的整體安全性中具有至關重要的作用。中具有至關重要的作用。1.2 操作系統安全和信息系統安全操作系統安全和信息系統安全一般來說,操作系統安全與安全操作系統的含義不一般來說,操作系統安全與安全操作系統的含義不盡相同。從各種不同的角度分析操作系統的安全性,盡相同。從各種不同的角度分析操作系統的安全性,既可以對主流操作系統進行安全性增強,也可以按既可以對主流操作系統進行安全性增強,也可以按照

15、特定目標設計實現專門的或通用的安全操作系統照特定目標設計實現專門的或通用的安全操作系統。安全操作系統通常與相應的安全等級相對應安全操作系統通常與相應的安全等級相對應,例如,例如,根據根據TCSEC標準,通常稱標準,通常稱B1級以上的操作系統為級以上的操作系統為安全操作系統。安全操作系統。Multics是開發安全操作系統最早期的嘗試。是開發安全操作系統最早期的嘗試。Adept-50是一個是一個分時安全操作系統分時安全操作系統,可以實際投入,可以實際投入使用,使用,1969年年C.Weissman發表了有關發表了有關Adept-50安安全控制的研究成果。全控制的研究成果。1969年年B.W.Lam

16、pson通過形式化表示方法運用通過形式化表示方法運用主體主體(subject)、)、客體(客體(object)和訪問矩陣(和訪問矩陣(access matrix)的思想的思想第一次對訪問控制問題進行了抽象。第一次對訪問控制問題進行了抽象。1972年,年,J.P.Anderson在一份研究報告中提出了在一份研究報告中提出了引引用監視器用監視器(reference monitor)、)、訪問驗證機制訪問驗證機制(reference validation mechanism)、)、安全內核安全內核(security kernel)和安全建模(和安全建模(modeling)等重等重要思想。要思想。1.

17、3 安全操作系統的研究發展安全操作系統的研究發展1973年,年,B.W.Lampson提出了提出了隱蔽通道隱蔽通道的概念,他的概念,他發現兩個被限制通信的實體之間如果共享某種資源,發現兩個被限制通信的實體之間如果共享某種資源,那么它們可以利用隱蔽通道傳遞信息。那么它們可以利用隱蔽通道傳遞信息。同年,同年,D.E.Bell和和L.J.LaPadula提出了第一個可證提出了第一個可證明的安全系統的數學模型,即明的安全系統的數學模型,即BLP模型模型。可驗證安全操作系統(可驗證安全操作系統(provably secure operating system,PSOS)提供了一個層次結構化的基于權提供了

18、一個層次結構化的基于權能的安全操作系統設計,能的安全操作系統設計,1975年前后開始開發。年前后開始開發。安全內核操作系統(安全內核操作系統(kernelized secure operating system,KSOS)是美國國防部研究計劃局是美國國防部研究計劃局1977年發年發起的一個安全操作系統研制項目,由起的一個安全操作系統研制項目,由Ford太空通訊太空通訊公司承擔。公司承擔。UCLA Secure UNIX也是美國國防部研究計劃局于也是美國國防部研究計劃局于1978年前后發起的一個安全操作系統研制項目,由年前后發起的一個安全操作系統研制項目,由加利福尼亞大學承擔。加利福尼亞大學承擔

19、。UCLA Secure UNIX的系統的系統設計方法及目標幾乎與設計方法及目標幾乎與KSOS相同。相同。1983年,美國國防部出版了歷史上第一個計算機安年,美國國防部出版了歷史上第一個計算機安全評價標準全評價標準可信計算機系統評價準則可信計算機系統評價準則(TCSEC), 1985年,美國國防部對年,美國國防部對TCSEC進進行了修訂。行了修訂。LINVS 是是1984年開發的基于年開發的基于UNIX的一個實驗安的一個實驗安全操作系統,系統的安全性可達到美國國防部橘皮全操作系統,系統的安全性可達到美國國防部橘皮書的書的B2級。級。Secure Xenix是是IBM公司于公司于1986年在年在

20、SCO Xenix的的基礎上開發的一個安全操作系統,它最初是在基礎上開發的一個安全操作系統,它最初是在IBM PC/AT平臺上實現的。平臺上實現的。1987年,美國年,美國Trusted Information Systems公司以公司以Mach操作系統為基礎開發了操作系統為基礎開發了B3級的級的Tmach(Trusted Mach)操作系統。操作系統。1989年,加拿大多倫多大學開發了與年,加拿大多倫多大學開發了與UNIX兼容的兼容的安全安全TUNIS操作系統。操作系統。ASOS(army secure operating system)是針對美是針對美軍的戰術需要而設計的軍用安全操作系統,

21、由軍的戰術需要而設計的軍用安全操作系統,由TRW公司公司1990年開發完成。年開發完成。OSF/1是開放軟件基金會于是開放軟件基金會于1990年推出的一個安全年推出的一個安全操作系統,被美國國家計算機安全中心(操作系統,被美國國家計算機安全中心(NCSC)認可為符合認可為符合TCSEC的的B1級。級。UNIX SVR4.1ES是是UI(UNIX國際組織)于國際組織)于1991年年推出的一個安全操作系統,被美國國家計算機安全推出的一個安全操作系統,被美國國家計算機安全中心(中心(NCSC)認可為符合認可為符合TCSEC的的B2級。級。1991年,在歐洲共同體的贊助下,英、德、法、荷年,在歐洲共同

22、體的贊助下,英、德、法、荷4國制定了擬為歐共體成員國使用的共同標準國制定了擬為歐共體成員國使用的共同標準信息技術安全評定標準(信息技術安全評定標準(ITSEC)。隨著各種標準隨著各種標準的推出和安全技術產品的發展,美國和加拿大及歐的推出和安全技術產品的發展,美國和加拿大及歐共體國家一起制定了共體國家一起制定了通用安全評價準則通用安全評價準則(Common Criteria for IT Security Evaluation,CC),),1996年年1月發布了月發布了CC的的1.0版。版。CC標準的標準的2.0版已于版已于1997年年8月頒布,并于月頒布,并于1999年年7月通過國際標準組織認

23、可,月通過國際標準組織認可,確立為國際標準,即確立為國際標準,即ISO/IEC 15408。 CC本身由兩個部分組成,一部分是一組信息技術本身由兩個部分組成,一部分是一組信息技術產品的安全功能需求的定義,另一部分是對安全保產品的安全功能需求的定義,另一部分是對安全保證需求的定義。證需求的定義。CC標準吸收了各國對信息系統安標準吸收了各國對信息系統安全標準的經驗與知識,將對信息安全的研究與應用全標準的經驗與知識,將對信息安全的研究與應用帶來重大影響。帶來重大影響。在在1992到到1993年之間,美國國家安全局(年之間,美國國家安全局(NSA)和和安全計算公司(安全計算公司(SCC)的研究人員在的

24、研究人員在TMach項目和項目和LOCK項目的基礎上,共同設計和實現了分布式可項目的基礎上,共同設計和實現了分布式可信信Mach系統(系統(distributed trusted Mach,DTMach)。)。與傳統的基于與傳統的基于TCSEC標準的開發方法不同,標準的開發方法不同,1997年美國國家安全局和安全計算公司完成的年美國國家安全局和安全計算公司完成的DTOS安安全操作系統采用了基于安全威脅的開發方法。全操作系統采用了基于安全威脅的開發方法。SELinux以以Flask安全體系結構為指導,通過安全判安全體系結構為指導,通過安全判定與安全實施的分離實現了安全策略的獨立性,借定與安全實施

25、的分離實現了安全策略的獨立性,借助訪問向量緩存(助訪問向量緩存(AVC)實現了對動態策略的支實現了對動態策略的支持。持。極可靠操作系統(極可靠操作系統(extremely reliable operating system,EROS)是一種基于權能(是一種基于權能(capability,又稱又稱能力)的高性能微內核實時安全操作系統,是能力)的高性能微內核實時安全操作系統,是GNOSIS(后命名為后命名為KeyKOS)體系結構的第三代。體系結構的第三代。其他還有一些安全操作系統開發項目,如其他還有一些安全操作系統開發項目,如Honeywell的的STOP、Gemini的的GEMSOS、DEC的的

26、VMM(virtual machine monitor),以及以及HP和和Data General等公司開發的安全操作系統。等公司開發的安全操作系統。在我國,也進行了許多有關安全操作系統的開發研在我國,也進行了許多有關安全操作系統的開發研制工作,并取得了一些研究成果。制工作,并取得了一些研究成果。1999年年10月月19日,我國國家技術監督局發布了國家日,我國國家技術監督局發布了國家標準標準GB178591999計算機信息系統安全保護等計算機信息系統安全保護等級劃分準則,為計算機信息系統安全保護能力劃級劃分準則,為計算機信息系統安全保護能力劃分了等級。該標準已于分了等級。該標準已于2001年起

27、強制執行。年起強制執行。2001年前后,我國安全操作系統研究人員相繼推出年前后,我國安全操作系統研究人員相繼推出了一批基于了一批基于Linux的安全操作系統開發成果。的安全操作系統開發成果。2000年年11月月18日,公安部計算機信息系統安全產品日,公安部計算機信息系統安全產品質量監督檢驗中心,在網站質量監督檢驗中心,在網站http:/上發布公告上發布公告: “國內首家安全操作系統通過檢測國內首家安全操作系統通過檢測”。安勝安全操作系統安勝安全操作系統v1.0于于2001年年2月月20日首家通過日首家通過了中國國家信息安全產品測評認證中心的測評認證,了中國國家信息安全產品測評認證中心的測評認證

28、,獲得國家信息安全產品型號認證。獲得國家信息安全產品型號認證。2001年年3月月8日,我國國家技術監督局發布了國家標日,我國國家技術監督局發布了國家標準準GB/T183362001信息技術安全技術信息技術安全技術 信息技術信息技術安全性評估準則安全性評估準則,它基本上等同于國際通用安全,它基本上等同于國際通用安全評價準則(評價準則(CC)。)。以下列舉一些重要的有關操作系統安全的定義和術以下列舉一些重要的有關操作系統安全的定義和術語。語。 計算機信息系統(計算機信息系統(computer information system): 由計算機及其相關的和配套的設備、設由計算機及其相關的和配套的設備

29、、設施(含網絡)構成的,按照一定的應用目標和規則施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。的人機系統。1.4 基本定義及術語基本定義及術語安全周界安全周界 安全周界(安全周界(security perimeter): 用半徑來表示的用半徑來表示的空間。該空間包圍著用于處理敏感信息的設備,空間。該空間包圍著用于處理敏感信息的設備,并在有效的物理和技術控制之下,防止未授權的并在有效的物理和技術控制之下,防止未授權的進入或敏感信息的泄露。進入或敏感信息的泄露。 系統內部組件有兩種:負責維護系統安全系

30、統內部組件有兩種:負責維護系統安全(或者安或者安全相關部分全相關部分)和所有其它部分,由這些安全相關的和所有其它部分,由這些安全相關的組件實現內部控制。組件實現內部控制。分離兩種類型組件的是一種分離兩種類型組件的是一種假想的邊界,稱為安全周界假想的邊界,稱為安全周界。安全周界內的所有。安全周界內的所有組件的屬性必須被精確定義,因為任何一個發生組件的屬性必須被精確定義,因為任何一個發生故障都可能導致安全背離。故障都可能導致安全背離。操作系統的安全性涉及兩個重要的因素操作系統的安全性涉及兩個重要的因素: 產品所能產品所能提供的安全功能和安全功能的確信度。提供的安全功能和安全功能的確信度。不同的安全

31、不同的安全產品所能提供的安全功能可能不同,另外同樣的安產品所能提供的安全功能可能不同,另外同樣的安全功能可能有不同的安全確信度。全功能可能有不同的安全確信度。在把符合某個安全評價體系(準則)所規定的特定在把符合某個安全評價體系(準則)所規定的特定安全等級作為開發目標的系統中,安全功能主要說安全等級作為開發目標的系統中,安全功能主要說明操作系統所實現的安全策略和安全機制符合評價明操作系統所實現的安全策略和安全機制符合評價準則中哪一級的功能要求。而安全保證(又稱安全準則中哪一級的功能要求。而安全保證(又稱安全保障)則是通過一定的方法保證操作系統所提供的保障)則是通過一定的方法保證操作系統所提供的安

32、全功能確實達到了確定的功能要求,它可以從系安全功能確實達到了確定的功能要求,它可以從系統的設計和實現、自身安全、安全管理等方面進行統的設計和實現、自身安全、安全管理等方面進行安全功能與安全保證安全功能與安全保證描述,也可以借助配置管理、發行與使用、開發和描述,也可以借助配置管理、發行與使用、開發和指南文檔、生命周期支持、測試和脆弱性評估等方指南文檔、生命周期支持、測試和脆弱性評估等方面所采取的措施來確立產品的安全確信度。因此,面所采取的措施來確立產品的安全確信度。因此,一個安全操作系統,無論其安全等級達到評價準則一個安全操作系統,無論其安全等級達到評價準則所規定的哪一級,都要從安全功能和安全保

33、證兩方所規定的哪一級,都要從安全功能和安全保證兩方面考慮其安全性。面考慮其安全性。對于面向威脅的,不把追求評價準則的安全等級作對于面向威脅的,不把追求評價準則的安全等級作為開發目標的操作系統,安全功能重點在于說明該為開發目標的操作系統,安全功能重點在于說明該系統為抵御威脅所應實現的安全策略和安全機制的系統為抵御威脅所應實現的安全策略和安全機制的功能要求;安全保證同樣則要通過一定的方法保證功能要求;安全保證同樣則要通過一定的方法保證操作系統所提供的安全功能確實達到了確定的功能操作系統所提供的安全功能確實達到了確定的功能要求。因此,面向威脅的安全系統設計也應該從安要求。因此,面向威脅的安全系統設計

34、也應該從安全功能和安全保證兩方面進行考慮。全功能和安全保證兩方面進行考慮。在討論操作系統安全時,首先必須確信擁有一份數在討論操作系統安全時,首先必須確信擁有一份數據或生成這份數據的用戶不會將該數據泄露給不應據或生成這份數據的用戶不會將該數據泄露給不應看到它的其他用戶或對它進行不適當的修改。這就看到它的其他用戶或對它進行不適當的修改。這就要求我們必須無條件地相信用戶能夠保護他們已存要求我們必須無條件地相信用戶能夠保護他們已存取的數據,但是不能信任他們所運行的計算機程序。取的數據,但是不能信任他們所運行的計算機程序。一般來說,軟件可以分為一般來說,軟件可以分為3大可信類別。大可信類別。(1) 可信

35、的可信的軟件保證能安全運行,但是系統的軟件保證能安全運行,但是系統的安全仍依賴于對軟件的無錯操作。安全仍依賴于對軟件的無錯操作。(2) 良性的良性的軟件并不確保安全運行,但由于使軟件并不確保安全運行,但由于使用了特權或對敏感信息的存取權,因而必須確信它用了特權或對敏感信息的存取權,因而必須確信它不會有意地違反規則。良性軟件的錯誤被視為不會有意地違反規則。良性軟件的錯誤被視為可信軟件與不可信軟件可信軟件與不可信軟件偶然性的,而且這類錯誤不會影響系統的安全。偶然性的,而且這類錯誤不會影響系統的安全。(3) 惡意的惡意的軟件來源不明,從安全的角度出發,軟件來源不明,從安全的角度出發,該軟件必須被視為

36、惡意的,即認為將對系統進行破該軟件必須被視為惡意的,即認為將對系統進行破壞。壞。日常應用的軟件多數是良性的。所有這種軟件都是日常應用的軟件多數是良性的。所有這種軟件都是不可信的,因為它不能保證系統的安全運行;但它不可信的,因為它不能保證系統的安全運行;但它們又不是惡意的,因為它并不是有意欺騙用戶。們又不是惡意的,因為它并不是有意欺騙用戶。業業內有一條將惡意程序與有錯的良性程序分開的細內有一條將惡意程序與有錯的良性程序分開的細微界限微界限: 有錯的良性程序不會泄露或者破壞數據,有錯的良性程序不會泄露或者破壞數據,但是不能保證它偶爾與惡意程序有同樣的不良效果。但是不能保證它偶爾與惡意程序有同樣的不

37、良效果。由于沒有一個客觀的方法量度二者間的差異,因此由于沒有一個客觀的方法量度二者間的差異,因此經常把良性和惡意軟件歸為同一類,即不可信軟件。經常把良性和惡意軟件歸為同一類,即不可信軟件。在處理異常敏感信息的環境中這種看法特別普遍,在處理異常敏感信息的環境中這種看法特別普遍,而且這還是構建安全系統的安全內核方法的一條基而且這還是構建安全系統的安全內核方法的一條基本原則。本原則。在大多數情況下認為操作系統是可信的,而用戶程在大多數情況下認為操作系統是可信的,而用戶程序和應用程序則是不可信的序和應用程序則是不可信的。因此在系統設計時不。因此在系統設計時不能允許不可信軟件破壞操作系統,即使軟件變為惡

38、能允許不可信軟件破壞操作系統,即使軟件變為惡意時也不能破壞操作系統。有些系統是在系統的重意時也不能破壞操作系統。有些系統是在系統的重要部分不可信時仍是安全的,但多數系統僅當整個要部分不可信時仍是安全的,但多數系統僅當整個操作系統和操作系統外圍的大量軟件可信時才是安操作系統和操作系統外圍的大量軟件可信時才是安全的。全的。因此當談到安全操作系統內的可信軟件時,通常是因此當談到安全操作系統內的可信軟件時,通常是指首先由可信人員根據嚴格的標準開發出來,然后指首先由可信人員根據嚴格的標準開發出來,然后通過先進的軟件工程技術證明了的軟件。可信軟件通過先進的軟件工程技術證明了的軟件。可信軟件只是與安全相關的

39、,并且位于安全周界內的那部分,只是與安全相關的,并且位于安全周界內的那部分,這部分軟件的故障會對系統安全造成不利影響。良這部分軟件的故障會對系統安全造成不利影響。良性的軟件與安全無關,且位于安全周界之外,這些性的軟件與安全無關,且位于安全周界之外,這些軟件對維持系統的運行也許是必需的,但不會破壞軟件對維持系統的運行也許是必需的,但不會破壞系統的安全。系統的安全。在一個操作系統中,每一個實體組件或是主體或是在一個操作系統中,每一個實體組件或是主體或是客體,或者既是主體又是客體。客體,或者既是主體又是客體。主體是一個主動的實體,它包括主體是一個主動的實體,它包括用戶、用戶組、進用戶、用戶組、進程等

40、。程等。客體是一個被動的實體。在操作系統中,客體是一個被動的實體。在操作系統中,客體可以客體可以是按照一定格式存儲在一定記錄介質上的數據信息是按照一定格式存儲在一定記錄介質上的數據信息(通常以文件系統格式存儲數據),也可以是操作(通常以文件系統格式存儲數據),也可以是操作系統中的進程。系統中的進程。用戶進程是固定為某一用戶服務的,它在運行中代用戶進程是固定為某一用戶服務的,它在運行中代表該用戶對客體資源進行訪問,其權限應與所代表表該用戶對客體資源進行訪問,其權限應與所代表的用戶相同(通過用戶的用戶相同(通過用戶-主體綁定實現)。主體綁定實現)。主體與客體主體與客體安全策略與安全模型是計算機安全

41、理論中容易相互安全策略與安全模型是計算機安全理論中容易相互混淆的兩個概念。混淆的兩個概念。安全策略是指有關管理、保護和發布敏感信息的法安全策略是指有關管理、保護和發布敏感信息的法律、規定和實施細則。律、規定和實施細則。說一個操作系統是安全的,是指它滿足某一給定的說一個操作系統是安全的,是指它滿足某一給定的安全策略。同樣進行安全操作系統的設計和開發時,安全策略。同樣進行安全操作系統的設計和開發時,也要圍繞一個給定的安全策略進行。安全策略由一也要圍繞一個給定的安全策略進行。安全策略由一整套嚴密的規則組成,這些確定授權存取的規則是整套嚴密的規則組成,這些確定授權存取的規則是決定存取控制的基礎。決定存

42、取控制的基礎。許多系統的安全控制遭到失許多系統的安全控制遭到失敗,主要不是因為程序錯誤,而是沒有明確的安全敗,主要不是因為程序錯誤,而是沒有明確的安全策略。策略。安全策略和安全模型安全策略和安全模型安全模型則是對安全策略所表達的安全需求的簡單、安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述抽象和無歧義的描述,它為安全策略和安全策略實,它為安全策略和安全策略實現機制的關聯提供了一種現機制的關聯提供了一種框架框架。安全模型描述了對。安全模型描述了對某個安全策略需要用哪種機制來滿足;而模型的實某個安全策略需要用哪種機制來滿足;而模型的實現則描述了如何把特定的機制應用于系統中,從而現

43、則描述了如何把特定的機制應用于系統中,從而實現某一特定安全策略所需的安全保護。實現某一特定安全策略所需的安全保護。J.P.Anderson指出要開發安全系統首先必須建立系指出要開發安全系統首先必須建立系統的安全模型統的安全模型。安全模型給出了安全系統的形式化。安全模型給出了安全系統的形式化定義,并且正確地綜合系統的各類因素。這些因素定義,并且正確地綜合系統的各類因素。這些因素包括系統的使用方式、使用環境類型、授權的定義、包括系統的使用方式、使用環境類型、授權的定義、共享的客體(系統資源)、共享的類型和受控共享共享的客體(系統資源)、共享的類型和受控共享思想等。構成安全系統的形式化抽象描述,使得

44、系思想等。構成安全系統的形式化抽象描述,使得系統可以被證明是完整的、反映真實環境的、邏輯上統可以被證明是完整的、反映真實環境的、邏輯上能夠實現且受控執行的。能夠實現且受控執行的。訪問控制機制的理論基礎是引用監視器(訪問控制機制的理論基礎是引用監視器(reference monitor),),由由J.P.Anderson在在1972年首次提出,年首次提出,D.B.Baker于于1996年則再次強調其重要性。年則再次強調其重要性。引用監視器是一個抽象概念,它表現的是一種思想。引用監視器是一個抽象概念,它表現的是一種思想。J.P.Anderson把引用監視器的具體實現稱為引用驗把引用監視器的具體實現

45、稱為引用驗證機制,它是實現引用監視器思想的硬件和軟件的證機制,它是實現引用監視器思想的硬件和軟件的組合,如圖組合,如圖2-1所示。所示。引用監視器和安全內核引用監視器和安全內核 1 引用監視器引用監視器圖圖2-1 引用監視器引用監視器引用驗證機制需要同時滿足以下引用驗證機制需要同時滿足以下3個原則個原則: (1) 必須具有自我保護能力;必須具有自我保護能力;(2) 必須總是處于活躍狀態;必須總是處于活躍狀態;(3) 必須設計得足夠小,以利于分析和測試,從而必須設計得足夠小,以利于分析和測試,從而能夠證明它的實現是正確的。能夠證明它的實現是正確的。安全內核是指系統中與安全性實現有關的部分,包安全

46、內核是指系統中與安全性實現有關的部分,包括引用驗證機制、訪問控制機制、授權機制和授權括引用驗證機制、訪問控制機制、授權機制和授權管理機制等部分。因此一般情況下人們趨向于把引管理機制等部分。因此一般情況下人們趨向于把引用監視器的概念和安全內核方法等同起來。用監視器的概念和安全內核方法等同起來。安全內核方法是一種最常用的建立安全操作系統的安全內核方法是一種最常用的建立安全操作系統的方法,可避免通常設計中固有的安全問題。安全內方法,可避免通常設計中固有的安全問題。安全內核方法以指導設計和開發的一系列嚴格的原則為基核方法以指導設計和開發的一系列嚴格的原則為基礎,能夠極大地提高用戶對系統安全控制的信任度

47、。礎,能夠極大地提高用戶對系統安全控制的信任度。安全內核是實現引用監視器概念的一種技術,其理安全內核是實現引用監視器概念的一種技術,其理論依據是論依據是: 在一個大型操作系統中,只有其中的一在一個大型操作系統中,只有其中的一小部分軟件用于安全目的。所以在重新生成小部分軟件用于安全目的。所以在重新生成2 安全內核安全內核操作系統過程中,可用其中安全相關的軟件來構成操作系統過程中,可用其中安全相關的軟件來構成操作系統的一個可信內核,稱為安全內核。安全內操作系統的一個可信內核,稱為安全內核。安全內核必須給以適當的保護,不能篡改。同時,絕不能核必須給以適當的保護,不能篡改。同時,絕不能有任何繞過安全內

48、核存取控制檢查的存取行為存在。有任何繞過安全內核存取控制檢查的存取行為存在。此外安全內核必須盡可能地小,便于進行正確性驗此外安全內核必須盡可能地小,便于進行正確性驗證。由圖證。由圖2-2和圖和圖2-3可見,安全內核由硬件和介于可見,安全內核由硬件和介于硬件和操作系統之間的一層軟件組成。安全內核的硬件和操作系統之間的一層軟件組成。安全內核的軟件和硬件是可信的,處于安全周界內,但操作系軟件和硬件是可信的,處于安全周界內,但操作系統和應用程序均處于安全周界之外。安全周界是指統和應用程序均處于安全周界之外。安全周界是指劃分操作系統時,與維護系統安全有關的元素和無劃分操作系統時,與維護系統安全有關的元素

49、和無關的元素之間的一個想象的邊界。關的元素之間的一個想象的邊界。圖圖2-2 一般的計算機系統結構一般的計算機系統結構圖圖2-3 操作系統的安全內核操作系統的安全內核當安全策略完全由安全內核而不是由操作系統實現當安全策略完全由安全內核而不是由操作系統實現時,仍需要操作系統維持系統的正常運行并防止由時,仍需要操作系統維持系統的正常運行并防止由于應用程序的致命錯誤而引發的拒絕服務。但是操于應用程序的致命錯誤而引發的拒絕服務。但是操作系統和應用程序的任何錯誤均不能破壞安全內核作系統和應用程序的任何錯誤均不能破壞安全內核的安全策略。的安全策略。安全內核必須做得盡可能小,以便于采用各種方式安全內核必須做得

50、盡可能小,以便于采用各種方式來有效地增強人們的安全信任度,所以在設計時必來有效地增強人們的安全信任度,所以在設計時必須堅決貫徹安全內核小型化這一原則須堅決貫徹安全內核小型化這一原則: 凡不是維持凡不是維持安全策略所必需的功能都不應置于安全內核之中。安全策略所必需的功能都不應置于安全內核之中。概括地來講安全內核的設計和實現應當符合以下概括地來講安全內核的設計和實現應當符合以下3條基本原則。條基本原則。1. 完整性原則完整性原則完整性原則要求主體引用客體時必須通過安全內核,完整性原則要求主體引用客體時必須通過安全內核,即所有信息的訪問都必須經過安全內核。但是操作即所有信息的訪問都必須經過安全內核。

51、但是操作系統的實現與完整性原則的明確要求之間通常有很系統的實現與完整性原則的明確要求之間通常有很大差別大差別: 操作系統認為系統的信息存在于明顯的地操作系統認為系統的信息存在于明顯的地方,比如文件、內存和輸入輸出緩沖區,并且操作方,比如文件、內存和輸入輸出緩沖區,并且操作系統有理由控制對這些客體的訪問。完整性原則并系統有理由控制對這些客體的訪問。完整性原則并不滿足于對客體的特別定義,它認為任何信息存在不滿足于對客體的特別定義,它認為任何信息存在之處,不管它們大小怎樣,用途如何,都是一個潛之處,不管它們大小怎樣,用途如何,都是一個潛在的客體。在的客體。同時,完整性原則對支持內核系統的硬件也有一定

52、同時,完整性原則對支持內核系統的硬件也有一定要求。如果內核不檢查每條機器指令就允許有效地要求。如果內核不檢查每條機器指令就允許有效地執行不可信程序,硬件就必須保證程序不能繞過內執行不可信程序,硬件就必須保證程序不能繞過內核的存取控制。所有對內存、寄存器、輸入輸出設核的存取控制。所有對內存、寄存器、輸入輸出設備的引用必須由內存管理中的存取控制等存取機制備的引用必須由內存管理中的存取控制等存取機制進行合法存取檢查。內核必須使各個進程獨立,并進行合法存取檢查。內核必須使各個進程獨立,并且保證未通過內核的各進程間不能相互聯系。若一且保證未通過內核的各進程間不能相互聯系。若一臺機器允許所有進程不加約束就

53、能訪問物理存儲器臺機器允許所有進程不加約束就能訪問物理存儲器的公共頁面,該機器就不適于建立安全內核。的公共頁面,該機器就不適于建立安全內核。2. 隔離性原則隔離性原則隔離性原則要求安全內核具有防篡改的能力,即可隔離性原則要求安全內核具有防篡改的能力,即可以保護自己,防止偶然破壞。以保護自己,防止偶然破壞。在實際實施隔離性原則時常需要軟硬件相結合。硬在實際實施隔離性原則時常需要軟硬件相結合。硬件的基本特性是使內核能防止用戶程序訪問內核代件的基本特性是使內核能防止用戶程序訪問內核代碼和數據,這與內核防止一進程訪問別的進程是同碼和數據,這與內核防止一進程訪問別的進程是同一種內存管理機制。同時,還必須

54、防止用戶程序執一種內存管理機制。同時,還必須防止用戶程序執行內核用于控制內存管理機制的特權指令。這需要行內核用于控制內存管理機制的特權指令。這需要某種形式的域控制機制,比如保護環機制。某種形式的域控制機制,比如保護環機制。在擁有這些硬件特性的系統中,用戶程序幾乎沒有在擁有這些硬件特性的系統中,用戶程序幾乎沒有機會通過寫內核的存儲器、執行特權指令或修改內機會通過寫內核的存儲器、執行特權指令或修改內核軟件等方法使內核受到直接攻擊。核軟件等方法使內核受到直接攻擊。3. 可驗證性原則可驗證性原則可驗證性原則是通過如下一些設計要素實現的可驗證性原則是通過如下一些設計要素實現的: 利用最新的軟件工程技術,

55、包括結構設計、模利用最新的軟件工程技術,包括結構設計、模塊化、信息隱藏、分層、抽象說明以及合適的高級塊化、信息隱藏、分層、抽象說明以及合適的高級語言;語言; 內核接口簡單化;內核接口簡單化; 內核小型化;內核小型化; 代碼檢查;代碼檢查; 安全測試;安全測試; 形式化數學描述與驗證。形式化數學描述與驗證。內核安全驗證的要點一方面在于建立安全數學模型,內核安全驗證的要點一方面在于建立安全數學模型,要求該模型不僅是安全功能的精確定義,而且也是要求該模型不僅是安全功能的精確定義,而且也是被形式化證明為內在一致的;另一方面也要求對安被形式化證明為內在一致的;另一方面也要求對安全模型和系統的設計進行一致

56、性論證,即證明內核全模型和系統的設計進行一致性論證,即證明內核的實現符合該安全模型。的實現符合該安全模型。操作系統的安全依賴于一些具體實施安全策略的可操作系統的安全依賴于一些具體實施安全策略的可信的軟件和硬件。這些軟件、硬件和負責系統安全信的軟件和硬件。這些軟件、硬件和負責系統安全管理的人員一起組成了系統的可信計算基(管理的人員一起組成了系統的可信計算基(trusted computing base,TCB)。)。具體來說可信計算基由具體來說可信計算基由以下幾個部分組成。以下幾個部分組成。(1) 操作系統的安全內核。操作系統的安全內核。(2) 具有特權的程序和命令。具有特權的程序和命令。(3)

57、 處理敏感信息的程序,如系統管理命令等。處理敏感信息的程序,如系統管理命令等。(4) 與與TCB實施安全策略有關的文件。實施安全策略有關的文件。(5) 其他有關的固件、硬件和設備。其他有關的固件、硬件和設備。可信計算基可信計算基(6) 負責系統管理的人員。負責系統管理的人員。(7) 保障固件和硬件正確的程序和診斷軟件。保障固件和硬件正確的程序和診斷軟件。在上面所列的在上面所列的TCB的各組成部分中,可信計算基的的各組成部分中,可信計算基的軟件部分是安全操作系統的核心內容,它完成下述軟件部分是安全操作系統的核心內容,它完成下述工作工作: 內核的良好定義和安全運行方式;內核的良好定義和安全運行方式

58、; 標識系統中的每個用戶;標識系統中的每個用戶; 保持用戶到保持用戶到TCB登錄的可信路徑;登錄的可信路徑; 實施主體對客體的存取控制;實施主體對客體的存取控制; 維持維持TCB功能的正確性;功能的正確性; 監視和記錄系統中的有關事件。監視和記錄系統中的有關事件。在一個通用安全操作系統中,在一個通用安全操作系統中,TCB為用于構成一個為用于構成一個安全操作系統的所有安全保護裝置的組合體。一個安全操作系統的所有安全保護裝置的組合體。一個TCB可以包含多個安全功能模塊(可以包含多個安全功能模塊(TSF),每一個每一個TSF實現一個安全功能策略(實現一個安全功能策略(TSP),),這些這些TSP共共

59、同構成一個安全域,以防止不可信主體的干擾和篡同構成一個安全域,以防止不可信主體的干擾和篡改。同時改。同時TCB中的非中的非TSF部分也構成另一個域,稱部分也構成另一個域,稱為非安全域。為非安全域。實現實現TSF的方法有兩種,一種是設置前端過濾器,的方法有兩種,一種是設置前端過濾器,另一種是設置訪問監督器。兩者都是在一定硬件基另一種是設置訪問監督器。兩者都是在一定硬件基礎上通過軟件實現確定的安全策略,并且提供所要礎上通過軟件實現確定的安全策略,并且提供所要求的附加服務。例如作為前端過濾器的求的附加服務。例如作為前端過濾器的TSF,能防能防止非法進入系統;作為訪問監督器的止非法進入系統;作為訪問監

60、督器的TSF,則能防則能防止越權訪問等。止越權訪問等。在單處理機環境的操作系統中,根據系統設計方法在單處理機環境的操作系統中,根據系統設計方法的不同,的不同,TCB可以是一個安全內核,也可以是一個可以是一個安全內核,也可以是一個前端過濾器,或者就是操作系統的關鍵單元或包括前端過濾器,或者就是操作系統的關鍵單元或包括全部操作系統。對于網絡環境下的多處理機操作系全部操作系統。對于網絡環境下的多處理機操作系統,一個統,一個TSF可能跨網絡實現,這種情況要比單處可能跨網絡實現,這種情況要比單處理機操作系統更為復雜。各個理機操作系統更為復雜。各個TSF協同工作,構成協同工作,構成一個物理上分散、邏輯上統一的分布式安全系

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論