操作系统安全,第九章 操作系统安全测评,引言,安全功能作为安全操作系统所应提供的一个重要功能组成部分，业界对于它和其他功能的要求是不同的。安全操作系统的一个安全漏洞，可能致使整个系统所有的安全控制变得毫无价值，并且一旦这个漏洞如果被蓄意入侵者发现，就会产生巨大危害，所以要求能及时发现这些安全漏洞并且对这些漏洞作出响应。,引言,9.1 操作系统漏洞扫描与安全评测,操作系统安全漏洞扫描的主要目的是：自动评估由于操作系统的固有缺陷或配置方式不当所导致的安全漏洞。 扫描软件在每台机器上运行，通过一系列测试手段来探查每一台机器，发现潜在的安全缺陷。它从操作系统的角度评估单机的安全环境并生成所发现的安全漏洞的详细报告。我们可以使用扫描软件对安全策略和实际实施进行比较，并给出建议采取相应措施来堵塞安全漏洞。,9.1.1 操作系统漏洞扫描四个方面,1 关键系统文件完整性的威胁 扫描软件可以检查关键系统文件是否在非授权的情况下被修改，这种检查提供了检测漏洞的一种手段。 2 木马程序 黑客入侵电脑后经常会在系统文件中内嵌木马程序，这种程序潜伏在电脑中，受外部用户控制以窃取本机信息，占用系统资源，降低电脑效能，给计算机的安全构成很大威胁。扫描软件可以检查操作系统中是否存在这种应用程序。,9.1.1 操作系统漏洞扫描四个方面,3 可疑文件 黑客入侵电脑后会留下踪迹，扫描软件能够检测到这些踪迹。 4 系统设置错误 文件系统常常被设置成没有安全性，由于设置不正确导致存在潜在的安全漏洞。扫描软件能够检查系统设置是否正确，检测安全漏洞。,9.1.2 操作系统安全性评测,（1）需求1：安全策略 必须有一个明确的、确定的和良好定义的由系统实施的安全策略。 （2）需求2：识别 系统必须唯一可靠的识别每一个主体 （3）需求3：标记 为指明每一个客体的安全级别，系统按照强制存取控制规则，必须给每一个客体加一个标签。,9.1.2 操作系统安全性评测,（4）需求4：审计 系统对影响安全的事件必须维持完全和安全的记录 （5）需求5：保证 系统必须包含某些硬件和软件的安全机制，以便保证以上四项基本要求被正确实施。 （6）需求6：连续保护 实现这些基本需求的安全性机制必须受到连续保护以防止篡改和未经批准的改变。,9.2 评测技术,我们说一个操作系统是安全的，是指它满足某一给定的安全策略。一个操作系统的安全性是与设计密切相关的，只有有效保证从设计者到用户都相信设计准确地表达了模型，而代码准确地表达了设计时，该操作系统才可以说是安全的，这也是安全操作系统评测的主要内容。 评测操作系统安全性的技术有三种： 入侵测试 形式化验证 非形式化确认,1. 入侵测试,在这种方法中，“老虎”小组成员试图“摧毁”正在测试中的安全操作系统。“老虎”小组成员应当掌握操作系统典型的安全漏洞，并试图发现并利用系统中的这些安全缺陷。 操作系统在某一次入侵测试中失效，则说明它内部有错。相反地，操作系统在某一次入侵测试中不失效，并不能保证系统中没有任何错误。入侵测试在确定错误存在方面是非常有用的。 一般来说，评价一个计算机系统安全性能的高低，应从如下两个方面进行。 (1) 安全功能: 系统具有哪些安全功能。 (2) 可信性: 安全功能在系统中得以实现的可被信任的程度。通常通过文档规范、系统测试、形式化验证等安全保证来说明。,2. 形式化验证,分析操作系统安全性最精确的方法是形式化验证。在形式化验证中，安全操作系统被简化为一个要证明的“定理”。定理断言该安全操作系统是正确的，即它提供了所应提供的安全特性。但是证明整个安全操作系统正确性的工作量是巨大的。 另外，形式化验证也是一个复杂的过程，对于某些大的实用系统，试图描述及验证它都是十分困难的，特别是那些在设计时并未考虑形式化验证的系统更是如此。,3. 非形式化确认,确认是比验证更为普遍的术语。它包括验证，但它也包括其他一些不太严格的让人们相信程序正确性的方法。完成一个安全操作系统的确认有如下几种不同的方法。 (1) 安全需求检查：通过源代码或系统运行时所表现的安全功能，交叉检查操作系统的每个安全需求。其目标是认证系统所做的每件事是否都在功能需求表中列出，这一过程有助于说明系统仅作了它应该做的每件事。但是这一过程并不能保证系统没有做它不应该做的事情。,3. 非形式化确认,(2) 设计及代码检查：设计者及程序员在系统开发时通过仔细检查系统设计或代码，试图发现设计或编程错误。例如不正确的假设、不一致的动作或错误的逻辑等。这种检查的有效性依赖于检查的严格程度。 (3) 模块及系统测试：在程序开发期间，程序员或独立测试小组挑选数据检查操作系统的安全性。必须组织测试数据以便检查每条运行路线、每个条件语句、所产生的每种类型的报表、每个变量的更改等。在这个测试过程中要求以一种有条不紊的方式检查所有的实体。,9.3操作系统安全级别,为了对现有计算机系统的安全性进行统一的评价，为计算机系统制造商提供一个有权威的系统安全性标准，需要有一个计算机系统安全评测准则。 美国国防部于1983年推出了历史上第一个计算机安全评价标准可信计算机系统评测准则（Trusted Computer System Evaluation Criteria，TCSEC），又称橘皮书。 TCSEC将计算机操作系统安全分为四大类（A、B、C、D），D、C1、C2、B1、B2、B3和A1七个级别。,1 操作系统安全级别,D类：无保护 最低安全性，无任何安全保护，不再分级。 不满足任何较高安全可信性的系统全部划入D级。该级别说明整个系统都是不可信任的，对硬件来说，没有任何保护作用，操作系统容易受到损害，不提供身份验证和访问控制。例如，MS-DOS、Macintosh System 7.x等操作系统属于这个级别。,1 操作系统安全级别,C类：自定式保护 该等级具有一定的保护能力，采用自主访问控制和审计跟踪的措施。该类的安全特点在于系统的对象（如文件、目录）可由其主体（如系统管理员、用户、应用程序）自定义访问权。自主保护类依据安全从低到高又分为C1、C2两个安全等级。 （1）C1：自主安全保护，主存取控制。 （2）C2：自主访问保护，较完善的自主存取控制（DAC）、审计。,C1安全等级,又称自主安全保护（discretionary security protection）系统，实际上描述了一个典型的UNIX系统上可用的安全评测级别。 对硬件来说，存在某种程度的保护。用户必须通过用户注册名和口令系统识别，这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。具体地说，这些访问权限是文件和目录的许可权限（permission）。 存在一定的自主存取控制机制（DAC），这些自主存取控制使得文件和目录的拥有者或者系统管理员，能够阻止某个人或几组人访问哪些程序或信息。UNIX的“owner/group/other”存取控制机制，即是一种典型的事例。,C1安全等级,但是这一级别没有提供阻止系统管理账户行为的方法，结果是不审慎的系统管理员可能在无意中损害了系统的安全。 另外，在这一级别中，许多日常系统管理任务只能通过超级用户执行。由于系统无法区分哪个用户以root身份注册系统执行了超级用户命令，因而容易引发信息安全问题，且出了问题以后难以追究责任。,C2安全等级,又称受控制的存取控制系统。它具有以用户为单位的DAC机制，且引入了审计机制。 除C1包含的安全特征外，C2级还包含其他受控访问环境（controlled-access environment）的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。 另外，这种安全级别要求对系统加以审计，包括为系统中发生的每个事件编写一个审计记录。审计用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动。,1 操作系统安全级别,B类：强制式保护 B类为强制保护类（mandatory protection)。该类的安全特点在于由系统强制的安全保护，在强制保护模式中，每个系统对象（如文件、目录等资源）及主体（如系统管理员、用户、应用程序）都有自己的安全标签（security label），系统则依据主体和对象的安全标签赋予访问者对访问对象的存取权限。强制保护类依据安全从低到高又分为B1、B2、B3这3个安全等级。,B1安全等级,B1级或标记安全保护（labeled security protection）级：B1级要求具有C2级的全部功能，并引入强制型存取控制（MAC）机制，以及相应的主体、客体安全级标记和标记管理。 B1级是支持多级安全（比如秘密和绝密）的第一个级别，这一级别说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其存取许可权限。,B2安全等级,B2级或结构保护（structured protection）级：B2级要求具有形式化的安全模型、描述式顶层设计说明（DTDS）、更完善的MAC机制、可信通路机制、系统结构化设计、最小特权管理、隐蔽通道分析和处理等安全特征。 B2级要求计算机系统中所有的对象都加标记，而且给设备（如磁盘、磁带或终端）分配单个或多个安全级别。,B3安全等级,B3级或安全域（security domain）级：B3级要求具有全面的存取控制（访问监控）机制、严格的系统结构化设计及TCB最小复杂性设计、审计实时报告机制、更好地分析和解决隐蔽通道问题等安全特征。 B3使用安装硬件的办法增强域的安全性，例如，内存管理硬件用于保护安全域以避免无授权访问或对其他安全域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上。,A1安全等级,A类为验证保护类（verify design）：A类是当前橘皮书中最高的安全级别，它包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样。这一级包含了较低级别的所有特性。设计必须是从数学上经过验证的，而且必须进行隐蔽通道和可信任分布的分析。 可信任分布（trusted distribution）的含义是，硬件和软件在传输过程中已经受到保护，不可能破坏安全系统。验证保护类只有一个安全等级，即A1级。 A1级要求具有系统形式化顶层设计说明（FTDS），并形式化验证FTDS与形式化模型的一致性，以及用形式化技术解决隐蔽通道问题等。,中国国标GB178591999,我国于1999年10月19日发布了计算机信息系统安全保护等级划分准则GB17859-1999（Classified criteria for security protection of Computer information system），规定了计算机信息系统安全保护能力的五个等级： 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级,中国国标GB178591999,美国国防部采购的系统要求其安全级别至少达到B类，商业用途的系统也追求达到C类安全级别。但是，国外厂商向我国推销安全功能符合TCSEC B类和以上级别的计算机系统是限制的。因此，自主开发符合TCSEC中B类安全功能的安全操作系统一直是我国近几年来研究的热点。TCSEC从B1到B2的升级，在美国被认为是安全操作系统设计开发中，单级增强最为困难的一个阶段。 我国国标基本上是参照美国TCSEC制定的，但将计算机信息系统安全保护能力划分为5个等级，第五级是最高安全等级。一般认为我国GB178591999的第四级对应于TCSEC B2级，第五级对应于TCSEC B3级。,1. 第一级：用户自主保护级,每个用户对属于自己的客体具有控制权，如不允许其他用户写他的文件而允许其他用户读他的文件。存取控制的权限可基于3个层次：客体的属主、同组用户、其他任何用户。 系统中的用户必须用一个注册名和一个口令验证其身份，目的在于标明主体是以某个用户的身份进行工作的，避免非授权用户登录系统。 确保非授权用户不能访问和修改“用来控制客体存取的敏感信息”和“用来进行用