【文章內(nèi)容簡介】 防篡改、可審計等 安全操作系統(tǒng)的需求分析 ? 一般化的安全需求 – 機密性需求 ，防止信息被泄漏給未授權(quán)的用戶 ? 自主 安全策略、 強制 安全策略 – 完整性需求 ，防止未授權(quán)用戶對信息的修改 ? 維護系統(tǒng)資源在一個有效的、預(yù)期的狀態(tài)，防止資源被不正確、不適當(dāng)?shù)男薷?；維護系統(tǒng)不同部分的一致性；防止在涉及記賬或?qū)徲嫷氖录小拔璞住毙袨榈陌l(fā)生。 – 可記賬性需求 ， 防止用戶對訪問過某信息或執(zhí)行過某一操作以否認(rèn) – 可用性需求 ， 授權(quán)用戶的任何正確的輸入，系統(tǒng)會有相應(yīng)的正確的輸出 例子 機密性 完整性 可記賬性 可用性 軍事 安全策略 側(cè)重 商用 安全策略 側(cè)重 側(cè)重 電信 部門 側(cè)重 安全操作系統(tǒng)的策略表示 ? 安全策略： 針對面臨的威脅決定采用何種對策的方法 – 安全策略為針對威脅而選擇和實行對策提供了框架 安全 不安全 安全操作系統(tǒng)的策略表示 ? 在計算機安全領(lǐng)域內(nèi)，一個系統(tǒng)是“ 安全系統(tǒng) ”是指該 系統(tǒng)達(dá)到了當(dāng)初設(shè)計時所制定的安全策略的要求 。 ? 在有限狀態(tài)自動機下， – 安全策略 ：是“這樣一種狀態(tài)，它將系統(tǒng)狀態(tài)分為已授權(quán) /安全狀態(tài)和未授權(quán) /非安全的狀態(tài)” – 一個“安全系統(tǒng)”：是“一個如果起始狀態(tài)為授權(quán)狀態(tài)，其后也不會進入未授權(quán)狀態(tài)的系統(tǒng)” ? 備注：策略與實現(xiàn)無關(guān)，它描述對系統(tǒng)中實體或行為的約束 ? TCSEC中，將訪問支持策略分為 6類 – Identification authentication，標(biāo)識與鑒別 – Accountability，可記賬性 – Assurance，確切保證 :嚴(yán)格按照事先設(shè)計的方式來運行 – Continuous protection，連續(xù)保護 :必須連續(xù)不斷地保護系統(tǒng)免遭篡改和非授權(quán)的改變 – Object reuse，客體重用 :防止在系統(tǒng)中的存儲介質(zhì)在被重新分配時，確保曾經(jīng)在介質(zhì)中存放過的信息不會泄露給新的主體 – Covert channels，隱通道處理 :進程利用來以違反系統(tǒng)安全策略的方式進行非法傳輸信息的通信通道 安全操作系統(tǒng)的策略表示 ? 策略語言 ：用來表達(dá)機密性或完整性策略的語言 ? 高級策略語言 – 使用抽象的方法表達(dá)對于實體的約束 – 精確 ? 低級策略語言 – 根據(jù)輸入或者調(diào)用選項來表達(dá)對系統(tǒng)中的程序約束 安全操作系統(tǒng)的策略表示 ? 高級策略語言 – 譬如：系統(tǒng)連接到 Inter上。 Web瀏覽器從遠(yuǎn)程站點下載程序并在本地執(zhí)行。 ? Pandey和 Hashii：針對 Java程序的策略約束語言（ Policy constraint language） ? 實體：類或方法 類：一些被實施特定的訪問約束的對象的集合 方法：調(diào)用一個操作的方法的集合 ? 實例化：主體 s創(chuàng)建了某個類 c的一個實例，“ s | c‖ 調(diào)用：主體 s1執(zhí)行了另一個主體 s2，“ s1 |→ s2‖ ? 訪問約束 deny(s op x) when b op為“ |‖或“ | →‖ ； x為另一個主體或類 條件 b為真時，主體 s不能對 x執(zhí)行操作 op 省略 x，表示禁止 s對所有實體進行操作 ? 繼承 ：用來將各個訪問約束關(guān)聯(lián)起來。 – 例： deny(s | ) when b1 deny(s | ) when b2 – 若 c1是 c2的子類，則正確的約束為： deny(s | ) when b1∨ b2 低級策略語言 ? 低級策略語言只是一系列命令的輸入或參數(shù)設(shè)置，用來設(shè)置或檢查系統(tǒng)中的約束 ? 例如： – 基于 UNIX的窗口系統(tǒng) X11為控制臺訪問提供一種語言。該語言由一條命令 xhost和指導(dǎo)此命令的語法組成，可以根據(jù)主機名（ IP地址）控制訪問。以下命令 xhost +groucho –chico 對系統(tǒng)進行設(shè)定，允許主機 groucho連接控制臺，但禁止來自主機 chico的連接 DTEL語言 ? Domain Type Enforcement Language ? Boebert和 Kain – 將類型限制為兩種：數(shù)據(jù)和指令 – 根據(jù)語言的類型，在實現(xiàn)一級上進行構(gòu)造來表達(dá)約束 – 該語言將低級語言和高級語言的元素結(jié)合起來，抽象地對配置加以描述，因此也屬于高級策略語言 ? DTEL將每個客體與一個 type關(guān)聯(lián)，而每個主體與一個domain相關(guān)連 – 限制 domain成員對某 type的客體所能執(zhí)行的操作 ? DTEL將 Unix系統(tǒng)分為 4個相互隔離的主體域 – user_d：普通用戶域 – admin_d：管理員用戶域 – login_d：兼容 DTE認(rèn)證過程的域 – daemon_d：系統(tǒng)后臺守護進程的域 ? 系統(tǒng)從 daemon_d域開始運行（ init進程） ? 當(dāng)用戶試圖登錄系統(tǒng)， init進程就創(chuàng)建一個 login_d域的login進程 ? login進程控制 user_d和 admin_d ? DTE提出了如下 5個客體型 – sysbin_t：可執(zhí)行文件 – readable_t：可讀文件 – writeable_t：可寫文件 – dte_t： DTE數(shù)據(jù) – generic_t：由用戶進程產(chǎn)生的數(shù)據(jù) ? 當(dāng) init進程開始時，首先在 daemon_d域中啟動 – 對 writeable_t中的任何客體，能創(chuàng)建 c、讀取 r、寫入 w和搜索 d – 對 sysbin_t中的任何客體，能夠讀取 r、搜索 d和執(zhí)行 x – 對 generic_t， readable_t， dte_t中的任何客體，能夠讀取和搜索 ? 當(dāng) init進程調(diào)用登錄程序時，登錄程序自動轉(zhuǎn)換 login_d域 ? 表示為： domain daemon_d = (/sbin/init), (crwdwritable_t), (rxd sysbin_t), (rdgeneric_t, dte_t, readable_t), (autologin_d)。 與寫權(quán)限分離 ? 另外： domain admin_d = (/usr/bin/sh, /usr/bin/csh, /usr/bin/ ksh), (crwxdgeneric_t), (crwxdreadable_t, writable_t, dte_t, sysbin_t), (sigtstpdaemon_d)。 ? 還有 domain user_d = (/usr/bin/sh, /usr/bin/csh, /usr/bin/ksh), (crwxdgeneric_t), (rxdsysbin_t), (crwdwritable_t), (rdreadable_t, dte_t)。 ? 以及 domain login_d = (/usr/bin/login), (crwdwritable_t), (rdreadable_t, generic_t, dte_t), setauth, (execuser_d, admin_d)。 ? 起初，系統(tǒng)始于 daemon_d域 initial_domain = daemon_d。 ? 用一系列的 assign語句 來設(shè)置客體的初始型，如 assign –r generic_t /。 assign –r writable_t /usr/var, /dev, /tmp。 assign –r readable_t /etc。 assign –r s dte_t /dte。 assign –r s sysbin_t /sbin, /bin, /usr/bin, /usr/sbin r，表示該型被遞歸的應(yīng)用 s，表示該型與名稱綁定。（刪除后重建，同名同型） 有 序 ? 為日志文件定義一個 新的型 log_t， 只有 daemon_d的主體和新加的 log_d的主體才能更改系統(tǒng)日志 domain daemon_d = (/sbin/init), (crwdwritable_t), (rxdreadable_t), (rdgeneric_t, dte_t, sysbin_t), (autologin_d, log_d)。 domain log_d = (/usr/sbin/syslogd), (crwdlog_t), (rwdwritable_t), (rdgeneric_t, readable_t)。 assign r log_t /usr/var/log。 assign writable_t /usr/var/log/wtmp, /usr/var/log/utmp。 五、安全評估準(zhǔn)則的研究 ? 國際上計算機系統(tǒng)安全研究影響重大的一個顯著成果是安全產(chǎn)品的評價標(biāo)準(zhǔn)。 – 可信計算機系統(tǒng)評估準(zhǔn)則（ TCSEC ） – 通用準(zhǔn)則 CC – 《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 – 信息安全保證技術(shù)框架 – 《 信息系統(tǒng)安全保護等級應(yīng)用指南 》 安全評估標(biāo)準(zhǔn)的發(fā)展歷程 桔皮書 （ TCSEC）1985 英國安全標(biāo)準(zhǔn) 1989 德國標(biāo)準(zhǔn) 法國標(biāo)準(zhǔn) 加拿大標(biāo)準(zhǔn) 1993 聯(lián)邦標(biāo)準(zhǔn)草案 1993 ITSEC 1991 通用標(biāo)準(zhǔn) 1996 1998 1999 TCSEC ? 在 TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機安全從高到低分為： A、 B、 C、 D四類，共 27條評估準(zhǔn)則 ? 隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風(fēng)險逐漸減少。 可信計算機系統(tǒng)評估標(biāo)準(zhǔn) TCSEC 級別 名 稱 主 要 特 征 A1 驗證設(shè)計級 形式化驗證安全模型，形式化隱蔽通道分析 B3 安全區(qū)域保護級 安全內(nèi)核，高抗?jié)B透能力 B2 結(jié)構(gòu)化保護級 形式化安全模型，隱密通道約束，面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力 B1 標(biāo)簽安全保護級 強制訪問控制，安全標(biāo)識，刪去安全相關(guān)的缺陷 C2 受控存取保護級 受控自主訪問控制，增加審核機制，記錄安全性事件 C1 自主安全保護級 自主訪問控制 D 最小保護級 最低等級 ? 1) ?D1級 – 除了物理上的安全設(shè)施外沒有任何安全措施 ， 任何人只要啟動系統(tǒng)就可以訪問系統(tǒng)的資源和數(shù)據(jù) ， D1級是最低的安全形式 ， 整個計算機是不信任的 ， 只為文件和用戶提供安全保護 。 – D1級系統(tǒng)最普通的形式是本地操作系統(tǒng) ， 或者是一個完全沒有保護的網(wǎng)絡(luò) 。 擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子 ， 任何人可以自由進出 ，是完全不可信的 。 對于硬件來說 ， 是沒有任何保護措施的 ， 操作系統(tǒng)容易受到損害 ， 沒有系統(tǒng)訪問限制和數(shù)據(jù)限制 ， 任何人不需要任何賬戶就可以進入系統(tǒng) ， 不受任何限制就可以訪問他人的數(shù)據(jù)文件 。 – 屬于這個級別的操作系統(tǒng)有 DOS、 Windows 9x、 Apple公司的 Macintosh System 。 ? 2) ?C1級 – C1級 又稱有選擇地安全保護或稱酌情安全保護 (Discretionny Security Protection)系統(tǒng) ， 具有自主訪問控制機制 、 用戶登錄時需要進行身份鑒別 。 – 它描述了一種典型的用在 UNIX系統(tǒng)上的安全級別。用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是