【文章內容簡介】 防篡改、可審計等 安全操作系統(tǒng)的需求分析 ? 一般化的安全需求 – 機密性需求 ，防止信息被泄漏給未授權的用戶 ? 自主 安全策略、 強制 安全策略 – 完整性需求 ，防止未授權用戶對信息的修改 ? 維護系統(tǒng)資源在一個有效的、預期的狀態(tài)，防止資源被不正確、不適當的修改；維護系統(tǒng)不同部分的一致性；防止在涉及記賬或審計的事件中“舞弊”行為的發(fā)生。 – 可記賬性需求 ， 防止用戶對訪問過某信息或執(zhí)行過某一操作以否認 – 可用性需求 ， 授權用戶的任何正確的輸入，系統(tǒng)會有相應的正確的輸出 例子 機密性 完整性 可記賬性 可用性 軍事 安全策略 側重 商用 安全策略 側重 側重 電信 部門 側重 安全操作系統(tǒng)的策略表示 ? 安全策略： 針對面臨的威脅決定采用何種對策的方法 – 安全策略為針對威脅而選擇和實行對策提供了框架 安全 不安全 安全操作系統(tǒng)的策略表示 ? 在計算機安全領域內，一個系統(tǒng)是“ 安全系統(tǒng) ”是指該 系統(tǒng)達到了當初設計時所制定的安全策略的要求 。 ? 在有限狀態(tài)自動機下， – 安全策略 ：是“這樣一種狀態(tài)，它將系統(tǒng)狀態(tài)分為已授權 /安全狀態(tài)和未授權 /非安全的狀態(tài)” – 一個“安全系統(tǒng)”：是“一個如果起始狀態(tài)為授權狀態(tài)，其后也不會進入未授權狀態(tài)的系統(tǒng)” ? 備注：策略與實現無關，它描述對系統(tǒng)中實體或行為的約束 ? TCSEC中，將訪問支持策略分為 6類 – Identification authentication，標識與鑒別 – Accountability，可記賬性 – Assurance，確切保證 :嚴格按照事先設計的方式來運行 – Continuous protection，連續(xù)保護 :必須連續(xù)不斷地保護系統(tǒng)免遭篡改和非授權的改變 – Object reuse，客體重用 :防止在系統(tǒng)中的存儲介質在被重新分配時，確保曾經在介質中存放過的信息不會泄露給新的主體 – Covert channels，隱通道處理 :進程利用來以違反系統(tǒng)安全策略的方式進行非法傳輸信息的通信通道 安全操作系統(tǒng)的策略表示 ? 策略語言 ：用來表達機密性或完整性策略的語言 ? 高級策略語言 – 使用抽象的方法表達對于實體的約束 – 精確 ? 低級策略語言 – 根據輸入或者調用選項來表達對系統(tǒng)中的程序約束 安全操作系統(tǒng)的策略表示 ? 高級策略語言 – 譬如：系統(tǒng)連接到 Inter上。 Web瀏覽器從遠程站點下載程序并在本地執(zhí)行。 ? Pandey和 Hashii：針對 Java程序的策略約束語言（ Policy constraint language） ? 實體：類或方法 類：一些被實施特定的訪問約束的對象的集合 方法：調用一個操作的方法的集合 ? 實例化：主體 s創(chuàng)建了某個類 c的一個實例，“ s | c‖ 調用：主體 s1執(zhí)行了另一個主體 s2，“ s1 |→ s2‖ ? 訪問約束 deny(s op x) when b op為“ |‖或“ | →‖ ； x為另一個主體或類 條件 b為真時，主體 s不能對 x執(zhí)行操作 op 省略 x，表示禁止 s對所有實體進行操作 ? 繼承 ：用來將各個訪問約束關聯(lián)起來。 – 例： deny(s | ) when b1 deny(s | ) when b2 – 若 c1是 c2的子類，則正確的約束為： deny(s | ) when b1∨ b2 低級策略語言 ? 低級策略語言只是一系列命令的輸入或參數設置，用來設置或檢查系統(tǒng)中的約束 ? 例如： – 基于 UNIX的窗口系統(tǒng) X11為控制臺訪問提供一種語言。該語言由一條命令 xhost和指導此命令的語法組成，可以根據主機名（ IP地址）控制訪問。以下命令 xhost +groucho –chico 對系統(tǒng)進行設定，允許主機 groucho連接控制臺，但禁止來自主機 chico的連接 DTEL語言 ? Domain Type Enforcement Language ? Boebert和 Kain – 將類型限制為兩種：數據和指令 – 根據語言的類型，在實現一級上進行構造來表達約束 – 該語言將低級語言和高級語言的元素結合起來，抽象地對配置加以描述，因此也屬于高級策略語言 ? DTEL將每個客體與一個 type關聯(lián)，而每個主體與一個domain相關連 – 限制 domain成員對某 type的客體所能執(zhí)行的操作 ? DTEL將 Unix系統(tǒng)分為 4個相互隔離的主體域 – user_d：普通用戶域 – admin_d：管理員用戶域 – login_d：兼容 DTE認證過程的域 – daemon_d：系統(tǒng)后臺守護進程的域 ? 系統(tǒng)從 daemon_d域開始運行（ init進程） ? 當用戶試圖登錄系統(tǒng)， init進程就創(chuàng)建一個 login_d域的login進程 ? login進程控制 user_d和 admin_d ? DTE提出了如下 5個客體型 – sysbin_t：可執(zhí)行文件 – readable_t：可讀文件 – writeable_t：可寫文件 – dte_t： DTE數據 – generic_t：由用戶進程產生的數據 ? 當 init進程開始時，首先在 daemon_d域中啟動 – 對 writeable_t中的任何客體，能創(chuàng)建 c、讀取 r、寫入 w和搜索 d – 對 sysbin_t中的任何客體，能夠讀取 r、搜索 d和執(zhí)行 x – 對 generic_t， readable_t， dte_t中的任何客體，能夠讀取和搜索 ? 當 init進程調用登錄程序時，登錄程序自動轉換 login_d域 ? 表示為： domain daemon_d = (/sbin/init), (crwdwritable_t), (rxd sysbin_t), (rdgeneric_t, dte_t, readable_t), (autologin_d)。 與寫權限分離 ? 另外： domain admin_d = (/usr/bin/sh, /usr/bin/csh, /usr/bin/ ksh), (crwxdgeneric_t), (crwxdreadable_t, writable_t, dte_t, sysbin_t), (sigtstpdaemon_d)。 ? 還有 domain user_d = (/usr/bin/sh, /usr/bin/csh, /usr/bin/ksh), (crwxdgeneric_t), (rxdsysbin_t), (crwdwritable_t), (rdreadable_t, dte_t)。 ? 以及 domain login_d = (/usr/bin/login), (crwdwritable_t), (rdreadable_t, generic_t, dte_t), setauth, (execuser_d, admin_d)。 ? 起初，系統(tǒng)始于 daemon_d域 initial_domain = daemon_d。 ? 用一系列的 assign語句 來設置客體的初始型，如 assign –r generic_t /。 assign –r writable_t /usr/var, /dev, /tmp。 assign –r readable_t /etc。 assign –r s dte_t /dte。 assign –r s sysbin_t /sbin, /bin, /usr/bin, /usr/sbin r，表示該型被遞歸的應用 s，表示該型與名稱綁定。（刪除后重建，同名同型） 有 序 ? 為日志文件定義一個 新的型 log_t， 只有 daemon_d的主體和新加的 log_d的主體才能更改系統(tǒng)日志 domain daemon_d = (/sbin/init), (crwdwritable_t), (rxdreadable_t), (rdgeneric_t, dte_t, sysbin_t), (autologin_d, log_d)。 domain log_d = (/usr/sbin/syslogd), (crwdlog_t), (rwdwritable_t), (rdgeneric_t, readable_t)。 assign r log_t /usr/var/log。 assign writable_t /usr/var/log/wtmp, /usr/var/log/utmp。 五、安全評估準則的研究 ? 國際上計算機系統(tǒng)安全研究影響重大的一個顯著成果是安全產品的評價標準。 – 可信計算機系統(tǒng)評估準則（ TCSEC ） – 通用準則 CC – 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 – 信息安全保證技術框架 – 《 信息系統(tǒng)安全保護等級應用指南 》 安全評估標準的發(fā)展歷程 桔皮書 （ TCSEC）1985 英國安全標準 1989 德國標準 法國標準 加拿大標準 1993 聯(lián)邦標準草案 1993 ITSEC 1991 通用標準 1996 1998 1999 TCSEC ? 在 TCSEC中，美國國防部按處理信息的等級和應采用的響應措施，將計算機安全從高到低分為： A、 B、 C、 D四類，共 27條評估準則 ? 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風險逐漸減少。 可信計算機系統(tǒng)評估標準 TCSEC 級別 名 稱 主 要 特 征 A1 驗證設計級 形式化驗證安全模型，形式化隱蔽通道分析 B3 安全區(qū)域保護級 安全內核，高抗?jié)B透能力 B2 結構化保護級 形式化安全模型，隱密通道約束，面向安全的體系結構，較好的抗?jié)B透能力 B1 標簽安全保護級 強制訪問控制，安全標識，刪去安全相關的缺陷 C2 受控存取保護級 受控自主訪問控制，增加審核機制，記錄安全性事件 C1 自主安全保護級 自主訪問控制 D 最小保護級 最低等級 ? 1) ?D1級 – 除了物理上的安全設施外沒有任何安全措施 ， 任何人只要啟動系統(tǒng)就可以訪問系統(tǒng)的資源和數據 ， D1級是最低的安全形式 ， 整個計算機是不信任的 ， 只為文件和用戶提供安全保護 。 – D1級系統(tǒng)最普通的形式是本地操作系統(tǒng) ， 或者是一個完全沒有保護的網絡 。 擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子 ， 任何人可以自由進出 ，是完全不可信的 。 對于硬件來說 ， 是沒有任何保護措施的 ， 操作系統(tǒng)容易受到損害 ， 沒有系統(tǒng)訪問限制和數據限制 ， 任何人不需要任何賬戶就可以進入系統(tǒng) ， 不受任何限制就可以訪問他人的數據文件 。 – 屬于這個級別的操作系統(tǒng)有 DOS、 Windows 9x、 Apple公司的 Macintosh System 。 ? 2) ?C1級 – C1級 又稱有選擇地安全保護或稱酌情安全保護 (Discretionny Security Protection)系統(tǒng) ， 具有自主訪問控制機制 、 用戶登錄時需要進行身份鑒別 。 – 它描述了一種典型的用在 UNIX系統(tǒng)上的安全級別。用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是