【正文】 環(huán)境安全目的將在 IT領(lǐng)域內(nèi)用非技術(shù)上的或程序化的手段來實(shí)現(xiàn) 通用準(zhǔn)則 CC ? IT安全要求 是將安全目的細(xì)化為一系列 TOE及其環(huán)境的安全要求，一旦這些要求得到滿足，就可以保證 TOE達(dá)到它的安全目的 ? IT安全需求只涉及 TOE安全目的和它的 IT環(huán)境 通用準(zhǔn)則 CC ? CC定義了一系列與已知有效的安全要求集合相結(jié)合的概念，該概念可被用來為預(yù)期的產(chǎn)品和系統(tǒng)建立安全需求 ? CC安全要求以類 —族 —組件這種層次方式組織，以幫助用戶定位特定的安全要求 ? 對(duì)功能和保證方面的要求， CC使用相同的風(fēng)格、組織方式和術(shù)語。族是若干組安全要求的組合，這些要求有共同的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別 ? 組件： 族的成員被稱為組件。 ? 評(píng)估的目標(biāo)是為了證明 PP是完備的、一致的、技術(shù)合理的，而且適合于作為一個(gè)可評(píng)估 TOE的安全要求的聲明 通用準(zhǔn)則 CC ? 針對(duì) TOE的 ST評(píng)估是依照 CC第 3部分的 ST評(píng)估準(zhǔn)則進(jìn)行的 ? ST評(píng)估具有雙重目標(biāo)： ? 首先是為了證明 ST是完備的、一致的、技術(shù)合理的，而且適合于用作相應(yīng) TOE評(píng)估的基礎(chǔ) ? 其次，當(dāng)某一 ST宣稱與某一 PP一致時(shí)，證明 ST滿足該 PP的要求 通用準(zhǔn)則 CC ? TOE評(píng)估是使用一個(gè)已經(jīng)評(píng)估過的 ST作為基礎(chǔ)，依照 CC第 3部分的評(píng)估準(zhǔn)則進(jìn)行的 ? 評(píng)估的目標(biāo)是為了證明 TOE滿足 ST中的安全要求 通用準(zhǔn)則 CC 三種評(píng)估的關(guān)系 評(píng)估PP評(píng)估TOEPP分類評(píng)估ST證書分類PP評(píng)估 結(jié)果TOE評(píng) 估結(jié)果ST評(píng)估 結(jié)果已評(píng)估過的TOE通用準(zhǔn)則 CC ? CC的第二部分是安全功能要求，對(duì)滿足安全需求的諸安全功能提出了詳細(xì)的要求 ? 另外，如果有超出第二部分的安全功能要求，開發(fā)者可以根據(jù) “ 類 族 組件 元素 ” 的描述結(jié)構(gòu)表達(dá)其安全要求，并附加在其 ST中 通用準(zhǔn)則 CC CC共包含的 11個(gè)安全功能類 ， 如下： ? FAU類：安全審計(jì) ? FCO類：通信 ? FCS類：密碼支持 ? FDP類：用戶數(shù)據(jù)保護(hù) ? FIA類：標(biāo)識(shí)與鑒別 ? FMT類：安全管理 ? FPR類：隱秘 ? FPT類： TFS保護(hù) ? FAU類：資源利用 ? FTA類： TOE訪問 ? FTP類：可信信道 /路徑 通用準(zhǔn)則 CC ? CC的第三部分是評(píng)估方法部分，提出了 PP、 ST、TOE三種評(píng)估，共包括 10個(gè)類，但其中的 APE類與 ASE類分別介紹了 PP與 ST的描述結(jié)構(gòu)及評(píng)估準(zhǔn)則 ? 維護(hù)類提出了保證評(píng)估過的受測(cè)系統(tǒng)或產(chǎn)品運(yùn)行于所獲得的安全級(jí)別上的要求 ? 只有七個(gè)安全保證類是 TOE的評(píng)估類別 通用準(zhǔn)則 CC 七個(gè)安全保證類 ?ACM類：配置管理 ?ADO類：分發(fā)與操作 ?ADV類：開發(fā) ?AGD類：指導(dǎo)性文檔 ?ALC類：生命周期支持 ?ATE類：測(cè)試 ?AVA類：脆弱性評(píng)定 通用準(zhǔn)則 CC ? 1998年 1月，經(jīng)過兩年的密切協(xié)商，來自美國(guó)、加拿大、法國(guó)、德國(guó)以及英國(guó)的政府組織簽訂了歷史性的安全評(píng)估互認(rèn)協(xié)議： IT安全領(lǐng)域內(nèi) CC認(rèn)可協(xié)議 ? 根據(jù)該協(xié)議，在協(xié)議簽署國(guó)范圍內(nèi)，在某個(gè)國(guó)家進(jìn)行的基于 CC的安全評(píng)估將在其他國(guó)家內(nèi)得到承認(rèn) ? 截止 2023年 3月，加入該協(xié)議的國(guó)家共有十五個(gè)：澳大利亞、新西蘭、加拿大、芬蘭、法國(guó)、德國(guó)、希臘、以色列、意大利、荷蘭、挪威、西班牙、瑞典、英國(guó)及美國(guó) 通用準(zhǔn)則 CC 該協(xié)議的參與者在這個(gè)領(lǐng)域內(nèi)有共同的目的即： ? 確保 IT產(chǎn)品及保護(hù)輪廓的評(píng)估遵循一致的標(biāo)準(zhǔn) ， 為這些產(chǎn)品及保護(hù)輪廓的安全提供足夠的信心 。 ? 消除 IT產(chǎn)品及保護(hù)輪廓的重復(fù)評(píng)估 ， 改進(jìn)安全評(píng)估的效率及成本效果 ， 改進(jìn) IT產(chǎn)品及保護(hù)輪廓的證明/確認(rèn)過程 通用準(zhǔn)則 CC ? 美國(guó) NSA內(nèi)部的可信產(chǎn)品評(píng)估計(jì)劃 （ TPEP） 以及可信技術(shù)評(píng)價(jià)計(jì)劃（ TTAP） 最初根據(jù) TCSEC進(jìn)行產(chǎn)品的評(píng)估 ， 但從 1999年 2月 1日起 ，這些計(jì)劃將不再接收基于 TCSEC的新的評(píng)估 。 到 2023年底 ， 所有已經(jīng)經(jīng)過 TCSEC評(píng)估的產(chǎn)品 ， 其評(píng)估結(jié)果或者過時(shí) ， 或者轉(zhuǎn)換為 CC評(píng)估等級(jí) 。 ? TCSEC的可信網(wǎng)絡(luò)解釋（ TNI）在使用范圍上受到了限制，已經(jīng)不能廣泛適用于目前的網(wǎng)絡(luò)技術(shù)，因此， NSA目前不計(jì)劃提交與 TNI相應(yīng)的 PP 通用準(zhǔn)則 CC CC TCSEC ITSEC D E0 EAL1 EAL2 C1 E1 EAL3 C2 E2 EAL4 B1 E3 EAL5 B2 E4 EAL6 B3 E5 EAL7 A1 E6 標(biāo)準(zhǔn)介紹 ? 信息技術(shù)安全評(píng)估準(zhǔn)則發(fā)展過程 ? 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（ TCSEC） ? 通用準(zhǔn)則 CC ? 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 信息安全保證技術(shù)框架 ? 《 信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)用指南 》 ? 我國(guó)由公安部提出并組織制定的強(qiáng)制性國(guó)家標(biāo)準(zhǔn) ——《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 已于 1999年 9月 13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于 2023年 1月 1日起實(shí)施。該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。 操作系統(tǒng)安全用例 ? Linux操作系統(tǒng) ? Windows操作系統(tǒng) 主流操作系統(tǒng)的安全技術(shù) ? Linux/Unix安全技術(shù) ? Windows安全技術(shù) Linux/UNIX安全概述 ? UNIX – 多用戶、多任務(wù) – 實(shí)現(xiàn)了有效的訪問控制、身份標(biāo)識(shí)與驗(yàn)證、審計(jì)記錄等安全措施 – 安全性一般能達(dá)到 TCSEC的 C2級(jí) ? Linux – 一種類 UNIX的 OS – 一個(gè)開放式系統(tǒng) Linux/UNIX安全技術(shù) ? Linux身份驗(yàn)證 ? Linux訪問控制 ? Linux網(wǎng)絡(luò)服務(wù)安全 ? Linux備份 /恢復(fù) ? Linux日志系統(tǒng) ? Linux內(nèi)核安全技術(shù) ? 安全 Linux服務(wù)器配置參考 Linux/UNIX安全技術(shù) ? Linux身份驗(yàn)證 ? Linux訪問控制 ? Linux網(wǎng)絡(luò)服務(wù)安全 ? Linux備份 /恢復(fù) ? Linux日志系統(tǒng) ? Linux內(nèi)核安全技術(shù) ? 安全 Linux服務(wù)器配置參考 Linux身份標(biāo)識(shí)和驗(yàn)證 ? Linux系統(tǒng)的登錄過程 ? Linux的主要帳號(hào)管理文件 ? PAM安全驗(yàn)證機(jī)制 Linux身份標(biāo)識(shí)和驗(yàn)證 ? Linux系統(tǒng)的登錄過程 ? Linux的主要帳號(hào)管理文件 ? PAM安全驗(yàn)證機(jī)制 Linux系統(tǒng)的登錄過程 ? 基于用戶名和口令 ? 通過終端登錄 Linux的過程： 1. Init進(jìn)程確保為每個(gè)終端連接（或虛擬終端）運(yùn)行一個(gè) getty進(jìn)程，getty進(jìn)程監(jiān)聽對(duì)應(yīng)的終端并等待用戶登錄 2. Getty輸出一條歡迎信息（此歡迎信息保存在 /etc/issue文件中），并提示用戶輸入用戶名，接著 getty激活 login 3. login要求用戶輸入口令，并根據(jù)系統(tǒng)中的 etc/passwd文件來檢查用戶名和口令的一致性 4. 若一致，啟動(dòng)一個(gè) shell；否則 login進(jìn)程推出，進(jìn)程終止 5. Init進(jìn)程注意到 login進(jìn)程終止，則會(huì)再次為該終端啟動(dòng) getty進(jìn)程 /etc/passwd文件用來維護(hù)系統(tǒng)中每個(gè)合法用戶的信息，包括用戶登錄名、經(jīng)過加密的口令、口令時(shí)限、用戶號(hào) UID、用戶組號(hào) GID、用戶主目錄以及用戶使用的 shell 加密后的口令也可能存放在系統(tǒng)的 /etc/shadow文件中 Linux身份標(biāo)識(shí)和驗(yàn)證 ? Linux系統(tǒng)的登錄過程 ? Linux的主要帳號(hào)管理文件 ? PAM安全驗(yàn)證機(jī)制 Linux的主要帳號(hào)管理文件 老版的 /etc/passwd舉例 老版的 /etc/passwd中條目定義 ? 每個(gè)條目包含 7個(gè)字段，字段間用冒號(hào)分隔 登錄帳號(hào) :密碼域 :UID:GID:用戶信息 :主目錄 :用戶 shell 1. 登錄帳號(hào)：即用戶的登錄名 2. 密碼域：口令被加密后的密文 3. UID，用戶 ID，為 0～ MAXINT1之間的一個(gè)整數(shù) 4. GID，組 ID，來自 /etc/group，為 0～ MAXINT1之間的一個(gè)整數(shù) 5. 用戶信息，用于標(biāo)識(shí)諸如用戶的全名、位置和電話號(hào)碼等信息，可以不設(shè)置 6. 主目錄，為用戶的起始登錄目錄，如 /home/chenxl 7. 用戶 shell，用戶登錄后所用的 shell路徑名，如 /bin/sh ? 用戶可以修改口令條目中的部分信息： – 命令 passwd：更改口令 – 命令 chfn：更改第五個(gè)字段中的用戶信息 – 命令 chsh：更改第七個(gè)字段， shell路徑名 ? 其余的字段由系統(tǒng)管理員設(shè)置 關(guān)于 UID ? UID是用戶標(biāo)識(shí)；具有唯一性。 – 由于普通用戶無法得到加密后的口令，提高了系統(tǒng)的安全性 ? /etc/ shadow文件中每行內(nèi)容 9個(gè)字段，也以冒號(hào)分隔 1. 登錄帳號(hào)，與 /etc/passwd中的登錄帳號(hào)對(duì)應(yīng) 2. 密文。自 數(shù) 4. 兩次修改口令間隔最少的天數(shù)。為空則永久可用 9. 保留字段 Linux身份標(biāo)識(shí)和驗(yàn)證 ? Linux系統(tǒng)的登錄過程 ? Linux的主要帳號(hào)管理文件 ? PAM安全驗(yàn)證機(jī)制 PAM安全驗(yàn)證機(jī)制 ? Pluggable Authentication Modules，是 SUN提出的一種驗(yàn)證機(jī)制，最初集成在 Solaris系統(tǒng)中 ? 目前已經(jīng)移植到 – Linux， SunOS， HPUX ? 目的：提供一個(gè)框架和一套編程接口，將認(rèn)證工作由程序員交給管理員 ? 允許管理員在多種認(rèn)證方法之間做出選擇， ? 能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序 ? 以共享庫的形式提供 PAM的組成 ? PAM API ? PAM SPI ? PAM 庫 ? PAM配置文件 服務(wù)程序 各種認(rèn)證手段 ? 功能包括： – 加密口令（包括 DES和其他加密算法） – 對(duì)用戶進(jìn)行資源限制，防止 DOS攻擊 – 允許隨意 Shadow口令 – 限制特定用戶在指定時(shí)間從指定地點(diǎn)登錄 – 引入概念“ client plugin agents‖，使 PAM支持 C/S應(yīng)用中的機(jī)器 Linux PAM Linux/UNIX安全技術(shù) ? Linux身份驗(yàn)證 ? Linux訪問控制 ? Linux網(wǎng)絡(luò)服務(wù)安全 ? Linux備份 /恢復(fù) ? Linux日志系統(tǒng) ? Linux內(nèi)核安全技術(shù) ? 安全 Linux服務(wù)器配置參考 Linux的訪問控制 ? Linux基于權(quán)限字的文件系統(tǒng)訪問控制 ? Linux的訪問控制表 ACL Linux基于權(quán)限字的文件系統(tǒng)訪問控制 ? 在 Linux中，所有的活動(dòng)都可以看成是主體對(duì)客體的一系列操作 – 客體：一種信息實(shí)體，或是從其他主體 /客體接受信息的實(shí)體 ? 如文件、內(nèi)存、進(jìn)程消息、網(wǎng)絡(luò)包或者 I/O設(shè)備 – 主體：一個(gè)用戶或者代表用戶的進(jìn)程，它引起信息在客體之間的流動(dòng) ? 訪問控制機(jī)制： 控制系統(tǒng)中的主體對(duì)客體的讀、寫和執(zhí)行等各種訪問 ? Linux采用一種比較簡(jiǎn)單的訪問控制機(jī)制 傳統(tǒng) UNIX的基于訪問權(quán)限位的單一的自主訪問控制 Linux中自主訪問控制機(jī)制的基本思想 1. 系統(tǒng)中每個(gè)主體都有唯一的 UID，并且總是屬于某一個(gè)用戶組，而每個(gè)用戶組有唯一的 GID – 由超級(jí)用戶或授權(quán)用戶為系統(tǒng)內(nèi)的用戶設(shè)定，保存在/etc/passwd文件中 – 通常情況下，代表用戶的進(jìn)程繼承用戶的 uid和 gid – 用戶登錄并進(jìn)入第一個(gè) shell時(shí)，該用戶的 uid和 gid就被設(shè)置到該 shell進(jìn)程的 task_struct中，此后的進(jìn)程按照繼承規(guī)則繼承 uid和 gid（除非 SETUID） 2. 對(duì)客體的訪問權(quán)限： r/w/x 三種。 4. 上述信息構(gòu)成一個(gè)訪問控制矩陣， – 允許客體的所有者和特權(quán)用戶通過這個(gè)訪問控制矩陣為客體設(shè)定訪問控制信息 – 當(dāng)用戶訪問客體時(shí)，根據(jù)進(jìn)程的 uid、 gid和文件的訪問控制信息檢查訪問的合法性 – 舉例： chmod/chown/chgrp命令 ? chmod命令用來重新設(shè)定對(duì)客體的訪問權(quán)限 ? chown命令用來修改某個(gè)文件或目錄的屬主 ? chgrp命令用來修改某個(gè)文件或目錄的用戶組 setuid/setgid ? 為維護(hù)系統(tǒng)的安全性，對(duì)于某些客體，普通