（计算机应用技术专业论文）基于linux的安全操作系统的审计机制的研究与实现.pdf

北京交通大学硕士毕业论文 摘要 安全审计作为安全操作系统的一个重要安全机制，对于监督 系统的正常运行、 保障安全策略的正确实施、构造计算机入侵检 测系统等都具有十分重要的意义。本文研究了安全审计的相关理 论，分析了现有审计机制存在的问题，提出了一个内核级安全审 计的模型， 在此基础上实现了一个基于l i n u x 资源的审计系统。 在 此审计系统中，通过全面设置审计点， 在内核中充分获取了系统 的审计信息。 通过优化缓冲区， 设置过滤器等方法，提高了整个 系统的效率。 本文的主要工作包括以 下几个方面: 1 本文介绍了目 前的安全操作系统研究现状。 从计算机安全 问题出发， 阐述了安全审计的重要性。 根据t c s e c和c c标准中 提出的信息系统的安全功能中的审计功能的定义， 给出了安全审 计系统对应的功能实现，并且描述了安全审计的框架和模型。 2 .本文分析了l i n u x 现有安全审计机制的存在的问题， 参照 w i n d o w s n t . s o l a r i s . u n i x w a r e 等流行的 操作系统的安全审计模 块，提出了一个新的内 核级安全审计的模型。该模型实现了审计 数据的内 核级的获取分析和安全保护的功能。 3 .阐述了安全审计系统的结构和功能组成，在详细设计部 分，描述了各个功能模块的设计，其中包括审计事件的收集及过 滤功能模块、审计事件记录模块、审计日志查询浏览模块和审计 分析报警模块等，同时考虑了审计系统的异常处理和系统自 身的 安全防护。 4 .详细描述如何利用 l k m、守护进程、内 核同步机制、 信 号、 p r o c 文 件系 统 等 技 术实 现系 统的 各 个模 块， 并 通过 测 试实 验 来证明系统较好的解决了性能问题，从而也证明了设计方案的可 行性。 5 .本文中提出一种基于现有操作系统开发安全机制的方法 一改进/ 增强法。改进/ 增强法是在现有操作系统的基础上，对其 内核和应用程序进行面向安全策略的分析， 然后加入安全机制， 经改造开发后的安全系统保持了原有系统的用户接口界面和运行 效率。改进/ 增强法为其它安全软件系统的研制提供有意的借鉴。 关键词:安全操作系统 安全审计 内核模块 审计事件 未经作者、 导帅间 惫 勿全文公布 北京交通大学硕士毕业论文 ab s t r a c t a u d i t i s a f u n d a m e n t a l c o m p o n e n t o f a n y s e c u r e o p e r a t i n g s y s t e m . i t w i l l b e a g r e a t a s s i s t a n t t o s a f e g u a r d t h e r u n n i n g s y s t e m , e n s u r e t h e p r a c t i c e o f s e c u r i t y p o l i c i e s a n d b u i l d i n t r u s i o n d e t e c ti o n s y s t e m s . t h i s p a p e r a n a l y s e s t h e c u r r e n t a u d i t m e c h a n i s m, a n d p r e s e n t s a k e rne l a u d i t m o d e l . t h e d e s i g n a n d r e a l i z a ti o n o f a n a u d i t s y s t e m b a s e d o n t h i s m o d e l a r e p r e s e n t e d . t h e s y s t e m c a n c o l l e c t d a t a f u l l y b y m o u n t in g a u d i t p o in t s i n t h e k e rn e l , a n d e n h a n c e t h e p e r f o r m a n c e 勿o p t i m i z i n g b u ff e r a n d s e tt i n g a u d i t f i l t e r . t h e c o n t e n t s o f t h e p a p e r i n c l u d e : 1 . f i r s t l y , t h e c u r r e n t s t a t u s o f s e c u re o p e r a t in g s y s t e m r e s e a r c h i n g a n d t h e i m p o rt a n c e o f s e c u r it y a u d it a re i n t r o d u c e d a c c o r d i n g t o t c s e c a n d c c c r it e r i a , t h e p a p e r p re s e n t s t h e fr a m e a n d m o d e l o f s e c u r i t y a u d it . 2 . n t , s o l a r i s a n d u n i x w a r e a r e p o p u l a r o p e r a ti n g s y s t e m , t h e a n a l y s i s o f t h e i r a u d i t m e c h a n i s m w i l l g iv e u s s o m e re f e r e n c e s a n d v a l u a b l e c l u e s i n o u r w o r k . t h e p a p e r a n a l y s e s t h e c u r r e n t a u d i t m e c h a n i s m , t h e n p r o p o s e s a n e w k e rn e l - l e v e l s e c u r it y a u d i t m o d e l . 3 . t h e p a p e r d i s c u s s e s t h e d e ta i l e d d e s i g n o f t h e a u d i t s y s t e m . w e f o c u s o n s o m e i s s u e s i n c l u d i n g t h e a u d it m o d e l s , d e c i s i o n o f a u d i t i n g p o l i c y , d i v i s i o n o f f u n c ti o n a l m o d u l e s , t h e e x c e p ti o n d i s p o s a l a n d p r o t e c t i o n o f a u d i t i t s e l f a r e p r e s e n t e d a s w e l l . 4 . t h e p a p e r d i s c u s s e s h o w t o u s e l k m, d a e m o n , k e rne l s y n c h r o n i z a ti o n m e c h a n i s m , p r o c f i l e s y s t e m a n d o t h e r t e c h n o l o g i e s t o i m p l e m e n t t h e a u d i t m o d u l e s . we c a r ry t h e b e n c h m a r k t e s t s o n t h e a u d i t s y s t e m a n d d i s c u s s t h e i m p a c t o f t h e a u d i t m e c h a n i s m o n t h e p e r f o r m a n c e o f t h e l in u x k e rne l . 5 . t h e p a p e r p r e s e n t s a m e t h o d o f d e v e l o p i n g s e c u r i t y m e c h a n i s m s b a s e d o n t h e e x i s ti n g s y s t e m一i m p r o v e d / e n h a n c e d me t h o d . u s i n g t h i s m e t h o d t o d e v e l o p s e c u r i t y m e c h a n i s ms , w e c a n k e e p t h e s y s t e m c a l l i n t e r f a c e u n c h a n g e d a n d k e e p t h e r u n n i n g e f fi c i e n c y o f t h e e x i s t i n g s y s t e m. k e y w o r d s : s e c u r e o p e r a t i n g s y s t e m , s e c u r it y a u d it , k e rne l m o d u l e , a u d i t e v e n t 1 1 北京交通大学硕士毕业论文 第一章 绪论 1 . 1 操作系统安全是信息系统安全的基础 计算机的安全包含三方面内容:保密性 ( s e c r e c y或 c o n fi d e n t i a l it y ) 、 完 整性 ( i n t uit ) 、 信息 不 被 窜改 和 和 破坏) 和 存 取性 ( a v a i l a b i l i t y , 防 止信息失效或变得不可存取) 。从广义来讲， 计算机安全要防止诸多的不安全因素，包括物理上的不安全因素 ( 如防火设施不完善) 、自 然灾害、 计算机自 身的不安全 ( 如硬件 上用于内存保护的页表失效、 软件上设计和安装的漏洞) 、 介质不 安全 ( 磁盘、 磁带管理不善) 、 计算机电磁辐射可被截取分析、 通 信上的不安全因素， 尤其是人 ( 包括失职的 系统管理员和系统攻 击者)的不安全因素。 在信息系统安全涉及的众多内容中，操作系统、网络系统与 数据库管理系统的安全问 题是核心，没有系统软件的安全就没有 信息的安全。作为系统软件中最为基础部分的操作系统，其安全 问 题的解决又是关键中之关键。 操作系统是一切软件运行的基础， 而安全在操作系统的含义则是在操作系统的工作范围内，提供尽 可能强的访问 控制和审计机制，在用户/ 应用程序和系统硬件/ 资源之间进行符合安全政策的调度，限制非法的访问，在整个软 件信息系统的最底层进行保护。 操作系统的安全性在计算机信息系统的整体安全性中具有至 关重要的作用，没有操作系统提供的安全性，信息系统的安全性 是没有基础的 14 。 因 为， 在信息 系统安全涉 及的 众多内 容中， 操 作系统、网络系统与数据库管理系统的安全问题是核心。数据库 通常是建立在操作系统之上的，如果没有操作系统安全机制的支 持，就不可能保障其访问控制的安全可信性。在网络环境中，网 络的安全可信性依赖于各主机系统的安全可信性，没有操作系统 的安全性， 就不会有主机系统和网络系统的安全性。而像密码认 北京交通大学硕士毕业论文 证系统 ( 如 k e r b e r o s )的密钥分配服务器的自身安全性、i p s e c 网络安全协议的安全性等，也要依赖应用层的密钥管理，如果不 相信操作系统可以 保护数据文件，那就不应该相信它总能够适时 地加密文件并能妥善地保护密钥。 就像m.g a s s e r 所说: 若无安全 的操作系统做保护， 数据加密就成了“ 纸环上套了个铁环” 。 所以， 仅有应用层的安全措施是绝对不够的，系统需要安全操作系统作 为 安 全 的 基 石 圈 。 操作系统是国民经济和社会信息化关键的基础设施之一，是 唯一紧靠硬件的基本软件，其安全职能是其它软件安全职能的根 基， 缺乏这个安全的根基， 构筑在其上的应用系统以及安全系统， 如 p k i 、加密解密技术的安全性将得不到根本保障，而且对数字 信息世界的威胁是现实世界威胁的反映，对数字系统的攻击与对 应的对现实世界的攻击基本相同。但对数字信息世界的攻击的特 点是迅速、自 动化及远程化，攻击技术和工具更具可传播性。 在 物理世界中非常小的威胁，在数字世界中会变成巨大的威胁，且 有可能对国家利益造成巨大损失。 因此，操作系统的安全性在计算机信息系统的整体安全性中 具有至关重要的作用，没有操作系统提供的安全性，计算机系统 的安全性是没有基础的。 1 .2 基于l i n u x 的安全操作系统的研究 l i n u x 的最初目 标并不是一种安全操作系统， 而是一个开放、 自由的操作系统，因此，它在安全方面存在着一些不足。 l i n u x 属于自由 软件， 其源代码是公开的，我们可以 对其内 核进行分析 和改进，从而增强其安全性。 l i n u x的出现为我们实现安全操作 系统提供了机遇，通过对l i n u x系统安全机制的研究和改进，将 有助于我们实现自 主的安全操作系统，构建国人自己的信息安全 平 台 3 j 北京交通大学硕士毕业论文 1 . 2 . 1 l i n u x 操作系统支持安全性开发 操作系统安全的目 标主要是保证其自 身的系统安全性和完整 性，按安全策略对用户在系统中的操作进行访问控制，防止用户 对计算机资源中信息的非法存取 ( 窃取、篡改和破坏);监督系 统运行的安全性。在安全系统中， 只有授权用户才可以操作相应 的资源，也就是说，系统要实现完备的信息访问控制机制.即必 须有一个明确的、定义良好的安全策略，并且该安全策略要求实 现于系统中.它表现为一组访问控制规则， 用来确定主客体之间 的存取关系。访问 控制体现在两方面:自 主访问控制和强制访问 控制。对系统中的文件或目 录要给子敏感级标识，对系统中的用 户也要给予敏感级标识。要有一套机制 ( 软件或硬件)来实现上 述功能，这些机制嵌入在操作系统中。由此可见，访问控制机制 是实现操作系统安全性的关键。 要基千l i n u x 开发安全操作系统， 则其体系结构必须适合访问控制机制的开发。 l i n u x系统运行态分用户态和核心态两种19 1 2 11 ， 运行内核中 程序的进程处于核心态，运行核外程序的进程处于用户态。系统 保证用户态下的进程只能存取它自己的指令和数据，而不能存取 内核和其它进程的指令和数据，并且保证特权指令只能在核心态 执行，像所有的1 a ) 指令等在用户态下不能使用。用户程序只能 通过系统调陷入核心才能存取系统资源，运行完系统调用，又返 回用户态。系统调用是用户在编写程序时可以使用的界面，是用 户程序进入l i n u x内核的唯一入口。一旦用户程序通过系统调用 进入内核，便完全与用户隔离， 从而使内核中的程序可对用户的 存取请求进行不受用户干扰的访问控制。因此，l i n u x支持访问 控制机制的开发，从而支持安全性的开发。 1 .2 . 2基干 l i n u x的安全操作系统的研究方向 以 l i n u x为代表的国际自由软件的发展为我国发展具有自 主 北京交通大学硕士毕业论文 版权的系统软件提供了良 好的机遇。要想很好地把握这一机遇， 非常重要的一点是彻底解决以l i n u x为原型的操作系统的安全性 问题。为解决这方面的问题，一方面要把握l i n u x 操作系统原有 的安全内核实现技术和方法，并能利用现有的最先进实用的安全 技术对其进行充实和加强，另一方面要结合当前己经显示出来的 和将来有可能产生的应用需要， 提出新的操作系统安全结构体系， 以解决原有结构体系无法解决的问题。 以 往对操作系统安全内核的研制， 都是以美国的t c s e c为参 考标准的。应当注意到，美国国防部开发的这个标准是受到当时 客观条件限制的。 i s o / i e c 1 5 4 0 8 标准 ( 简称c c标准) 对安全的 内容和级别则给予了更完整的规范，为用户对安全需求的选取提 供了充分的灵活性， 更适合当今和今后i t 应用环境网络化、 多样 化的要求。虽然 c c标准才刚获得国际标准化组织的通过，国际 上还没有按照该标准推出的安全产品的典范， 但随着时间的推移， 国际上的情况无疑会发生很大的变化。今天解决 l i n u x的安全性 问题，只有参照新的国际标准，来开展工作，才有广阔的前景， 安全体系才有更好的保证。 总之，在全面把握 l i n u x已 有安全核心实现技术和方法的 基 础上， 应当尽可能地借助l i n u x原有安全核心的结构成分， 研究 现有其它典型操作系统的安全体系结构及实现技术，研究与操作 系统安全相关的技术标准及其应用方法，参照相关国际标准，设 计并实现新的、符合相应安全目 标的l i n u x 安全核心系统。 1 . 3 基于现有系统开发安全机制的方法 在一个现有的非安全操作系统基础上开发安全操作系统。主 要有以下三种方法:虚拟机法，改进/ 增强法，仿真法等i9 1 ，本论 文中采用了改进厂 增强法。 改进/ 增强法是在现有操作系统的基础上，对其内核和应用程 序进行面向安全策略的分析.然后加入安全机制，经改造、开发 北京交通大学硕士毕业论文 后的安全系统基本上保持了原有系统的用户接口 界面。设计开发 安全操作系统的主要目 的是安全性。在达到安全目 标的前提下。 不应过分地影响其它特性。 采用改进蹭 强法开发l i n u x 的安全性 时，由于原有的系统调用的用户按口界面保持不变，所以，安全 性的开发一般不影响l i n u x系统的兼容性，也能够较好的保持原 有系统的 运行效率11 5 1 在一个现有操作系统上开发安全机制，可采用如图所示的过 程来实现。 图1 . 1基于现有系统开发安全机制的过程 首先是进行安全需求分析归纳出要开发的安全功能，然后针 对这些安全功能，进行抽象归纳并确定系统的安全策略，随后是 根据系统的安全策略为系统建立安全模型。 安全模型建立后，要进行模型与系统的对应性说明。安全需 求分析主要是根据安全操作系统所要求的安全功能，分析现有操 作系统在安全上的不足，然后根据这些安全缺陷，并权衡可行性 因素 如时间、 经济的承担能力等) ， 确定要开发的安全功能。 确 定了要开发得安全功能后，下一步就是要确定为实现这些安全功 能所要采取的安全策略。一般而言，这个步骤所得到的安全策略 北京交通大学硕士毕业论文 更多的是一些经验性的判断。安全策略确定后，必须要建立安全 模型，以利于正确评价模型与实际系统间的对应关系。根据安全 策略建立安全模型时，可以结合现有的信息安全技术与方法，并 参考现有的已 被证明了的安全模型。 安全模型与系统的 对应性说 明主要是完成两个方面的任务:说明所建安全模型与安全策略的 一致性:由于我们是在一个现有操作系统上进行开发，所以还应 说明如何将模型用于系统开发之中。 对上一阶段所得到的安全模型进行安全机制的设计与实现， 在安全机制的设计与实现完成之后，要进行安全功能测试。安全 机制的设计与实现，要综合考虑安全机制的完备性、与原有系统 的兼容性及系统的效率等因素，并结合系统自身的特点和将来的 发展，选择一个合适的方法，使得开发后的安全操作系统具有最 佳安全 开发代价比。 与此同时， 要结合安全操作系统结构的各个 层面进行全面考虑。 1 .4 安全审计的相关概念 操作系统的安全审计就是对系统中有关安全的活动进行记 录、检查及审核。它的主要目 的就是检测和阻止非法用户对计算 机系 统的 入 侵。 审 计 作为 安 全系 统的 重 要 组 成 部 分， 在t c s e c 中要求c 2 级以上的安全操作系统必须包含审计功能， 在计算机信 息系统安全保护等级划分准则( g b 1 7 8 5 9 - 1 9 9 9 ) 。 以 及新的c c 安全 标准( g b / t 1 8 3 3 6 - 2 0 0 1 ) 【， 中也有相应的要求。 基于l i n u x 开发安全 操作系统是目前安全操作系统领域的一个研究重点。l i n u x操作 系统由于强调其可用性，而非安全性，因而，l i n u x现有的安全 审计机制较为薄弱，缺乏真正的审计服务。如果要增强它的安全 性，就必须加强其审计功能。 北京交通大学硕士毕业论文 1 .4 . ， 安全审计的重要作用 安全审计是安全操作系统中必要的一项安全机制，它与系统 的其它安全措施相辅相成、互为补充。但由于安全审计是在传统 审计学、信息管理学、计算机安全、行为科学、人工智能等学科 相互交叉基础上发展的一门新学科，涉及到多方面的知识，所以 一方面安全审计问题广泛而复杂，另一方面安全审计技术的发展 又极不充分。 安全审计就是对系统安全的审核、稽查与计算。概括地讲， 安全审计，就是在记录一切 ( 或部分)与系统安全有关活动的基 础上，对其进行分析处理、评价审查，发现系统中的安全隐患， 或追查出造成安全事故的原因，并做出进一步的处理。可见，安 全审计过程主要分为物证收集和物证评价两大部分。通常，安全 审计还与系统实时报警功能相结合，这样就可做到:每当有违反 系统安全规则的事件发生或危及系统安全的重要操作进行时，可 以向安全管理员终端发送相应的告警信息，以便及时采取适当的 防范、抵制措施。 安全审计既作为安全操作系统的一个有机组成部分，又具有 一定的独立性。一方面，安全审计作为系统其它安全防范及侵害 抵制措施的有力补充，检测并调查那些试图 或业己突破系统安全 屏障的非法事件，为系统安全服务;另一方面，系统安全成为它 审计的对象，包括对系统安全管理的审计，这就决定了它必须具 有相当的独立性和某种独特的地位，甚至与系统安全的某种对立 性。事实上，安全审计本身就其作用而言，具有两层含义:一是 指在某一阶段，对系统安全防护能力的测试、评估与审核，旨在 对系统的安全性能状况做出客观合理的评价，看其安全控制、管 理是否恰当，保证与既定安全策略及策略的调整协调一致，有助 于做出侵害评估;并尽可能地找出潜藏的安全漏洞，寻求安全系 统的改进完善;二是指贯穿于整个系统的生命周期之中，致力于 系统安全的一种持续的审计跟踪监控过程，其主要目 的是及时发 北京交通大学硕士毕业论文 现、记录妨害系统安全的事故、事件， 并查明，进而据此追究相 关责任。 1 . 4 . 2 安全审计的一般要求 安全审计可以 理解为:一个安全系统中的安全审计，是对系 统中安全相关事件进行记录、分析和再现的处理系统2 9 7 。因此， 对于安全审计的一般要求主要包括: 1 . 记录与再现: 要求审计系统能够记录系统中所有的安全相关事 件，同时，如果有必要，应该能够再现产生某一系统状态的主要 行为; 2 . 入侵检测: 审计系统应该能够检查出大多数常见的系统入侵的 企图，同时经过适当的设计，应该能够阻止这些入侵行为; 3 . 记录入侵行为: 审计系统应该记录所有的入侵企图， 即使某次 入侵已经成功， 这是进行事后调查取证和系统恢复所必不可少的: 4 . 威慑作用: 应该对系统中具有的安全审计系统及其性能进行恰 当地宣传，这样可以对企图入侵者起到威慑作用，又可以减少合 法用户在无意中违反系统的安全策略; 5 . 系统本身的安全性: 安全审计系统本身的安全性必须保证， 其 中，一方面包括基础操作系统和软件的安全性，另一方面包括审 计数据的安全性;一般来说，要保证审计系统本身的安全，必须 与系统中其它安全措施如认证、授权、加密措施等相配合: 1 . 5 论文的组织结构 本论文作者在攻读硕士期间，首先学习了信息安全的基本理 论，后期则跟踪了国内外安全操作系统研究开发的发展情况。本 论文写作期间，作者参与了北京迈普翔华公司的安全核心 x h - s o s的审计部分的设计开发工作。 x h - s o s是符合国际安全 标准的l i n u x安全核心，为操作系统的安全研究工作提供有价值 北京交通大学硕士毕业论文 的参考。 从方法论的角度， 也探讨出 一套以 现有操作系统( l i n u x ) 为原型，研制操作系统安全核心的 有效方法，使其能为其它安全 软件系统的研制提供方法论意义上的借鉴作用。 本文结构如下: 第 i 章:绪论 讲述本论文的目的和意义，介绍基于 l in u x的安全操作系统 的研究现状，提出基于现有系统开发安全机制的方法，同时也论 述了安全审计的重要作用及其一般要求; 第 2 章:安全审计的基本理论 介绍了安全性评估标准t c s e c 和c c 标准， 同时详细描述两大标 准中关于安全审计的功能需求。提出了安全审计的框架，并且描 述了安全审计的模型和过程; 第3 章: 现有审计机制的分析 本章介绍了 l i n u x 现有的审计机制和其它操作系统的审计系 统， 通过比较分析指出 l i n u x 现有审计机制存在的问题， 提出了一 个内 核级安全审计的 模型。 第4 章: 审计系统的设计方案 本章介绍了审计系统的结构和功能组成，接着详细描述了各 个功能模块的设计， 其中包括审计事件的收集及过滤功能模块、 审计事件记录模块、审计日 志查询浏览模块和审计分析报等模块 等，最后考虑了审计系统的异常处理和系统自 身的安全防护。 第5 章: 审计系统的技术实现 本章首先介绍了 系统实现过程用到的 相关技术: l k m 技术、 守 护进程技术、内核同步机制、信号技术、 p r o c 文件系统等，接着 详细描述了 如何使用上述技术实现审计系统的各个模块。 第6 章:系统测试 本章讨论安全审计机制对l i n u x 内核性能的影响。 通过系统测 试来考察其影响。系统测试分为微基准测试和宏基准测试。微基 准测试是判断安全审计机制对低层的系统操作的影响。宏基准测 试是判断安全审计机制对系统整体性能的影响。 北京交通大学硕士毕业论文 第7 章:总结与展望 本章总结了整个论文的研究和设计工作，提出了进一步的研 究方向。 北京交通大学硕士毕业论文 第二章 安全审计的基本理论 2 . 1 安全性评估标准 2 . 1 . 1相关概念 :计算机存在大量涉及安全的操作。凡是实施操 而被操作的对象则称为客体。 由一组规则组成，规定进行访问控制应当遵循的 2 . 1 . 2 t cse c 早在 1 9 8 5 年， 美国国防部就发布了著名的可信计算机系统评 测标准 t c s e c ， 亦称橙皮书) ，成为公认的计算机系统安全级别 北京交通大学硕士毕业论文 的划分标准。安全产品在美国必须通过严格的评测并授予级别证 书，才能出售和使用。 t c s e c虽然不是明确的设计说明书，但现 在的安全操作系统设计大都遵循它的指导思想，主要有六点安全 要求: ( 1 )计算机系统必须实施一种定义清晰明确的安全策略。即，给 定主体和客体，系统有一套明确的规则用来判定主体是否有权访 问客体。 ( 2 )客体必须与其访问标签相关联，以标明其安全级别。 ( 3 )主体访问客体前必须经过严格的鉴别和认证。 ( 4 )审计信息必须独立保存，以使安全相关的动作能够追踪到责 任人。在可信系统中，安全相关事件被记录在审计日志里，审计 的开启对系统整体性能的影响要尽可能小， 审计数据要易于分析， 并能保证这些数据不被非法存取和修改。 ( 5 )计算机系统必须能够独立评估用以实现 上述安全要求的软 硬件机制本身的安全性，如嵌入于操作系统的安全机制和加解密 硬件装置。 ( 6 )实现安全需求的可信机制自 身必须受到保护，以防被削弱或 篡改。 根据这六点要求，t c s e c把计算机系统的安全分为 a b c d四 个等级， 每个等级又包含一个或多个级别。 安全级按照 d , c i , c 2 , b 1 , b 2 , b 3 , a 1 , a 1 渐次增强。 不满足任何较高级别安全可信性条件的系统划入d 类。 c 类为自主型保护，由两个级别组成: c 1 级:具有一定的自 主型访问控制 ( d a c ) 机制，像u n 工 x 的 o w n e r / g r o u p / o t h e r 访% 7 控制; c 2 级;具有更细粒度 ( 到每一个单独用户)的自 主型访问控 制 ( d a m 机制，而且引入了审计机制。 b 类为强制型保护，由三个级别组成: b 1 级: 满足c 2 级所有的要求， 而且， 需具有所用安全策略模 型的非形式化描述，实施了强制型访问控制 ( m a c ) . 北京交通大学硕士毕业论文 b 2 级: 系统的t c b 是基于明 确定义的形式化模型，并对系统 中所有的主体和客体实施了自 主型访问控制 d a c ) 和强制型访问 控制 m a c ) 。另外， 具有可信 通路机制、 系统结构化设计、 最小 特权管理以 及隐通道的分析和处理等。 b 3 级:系统的t c b 设计要满足能对系统中所有的主体对客体 的访问进行控制， t c b不会被非法篡改，且 t c b设计要非常的小 巧和结构化以便于分析和测试其正确性。支持安全管理者 ( t h e s e c u r i t y a d m i n i s t r a t o r ) 的 实 现， 审 计机制能 实时 报告系统的 安全性事件，支持系统恢复。 a 类为验证型保护，由两个级别组成: a l 级: 从实现的功能上看， 它等同于b 3 级。 它的特色在于形 式化的顶层设计规格 ( f t d s , f o r m a l t o p l e v e l d e s i g n s p e c i f i c a t i o n ) 、 形式化验证f t d s 与形式化模型的一致性和由 此 带来的更高的可信度。 a l 级以上:比a l 级可信度更高的系统归入该级。 2 . 1 . 3 c c 1 9 9 1 年 1月， 美国 联合荷、法、德、 英、加等国家宣布将 共同 制定用于评价计算机信息系统的通用安全评价准则 ( c o m m o n c r i t e r i a f o r i t s e c u r i t y e v a l u a t i o n , c c )， ， 的 计划。1 9 9 6年 1月出版了 1 . 0版。 它是在欧洲的 i t s e c 、 美国的 t c s e c 、 加拿 大的 c t c p e c ，以及国际标准化组织 i s o的 s c 2 7 w g 3的安全评 价标准的基础上建立的。 c c标准的 2 . 0版己 于 1 9 9 7年 8月颁 布， c c标准吸收了 各国对信息系统安全方面的经验与知识， 1 9 9 9 年 1 2月国际标准化组织i s o将 c c 2 . 0作为国际标准 -i s o 1 5 4 0 8向 全世界加以公布。 c c提出了“ 保护轮廓” ，将评估过程 分 “ 功能”和 “ 保证”两部分。是目 前最全面的信息技术安全评 估标准。 c c标准包括三部分方面的内容: 一是介绍和模型， 二是 功能要求 ( 及附件) ，三是保证要求: 北京交通大学硕士毕业论文 第一部分:介绍和模型，该部分定义了 i t安全评估的通用 概念和原理，提出了评估的通用模型。它还提出了一些概念，这 些概念可用来表达 i t安全目的、选择和定义 i t安全要求和书 写系统与产品的高层规范。 第二部分:安全功能要求，该部分建立一套功能组件作为表 示评估对象 ( t o e ，如操作系统、分布式系统、网络及其应用等) 功能要求的标准方法。 第三部分:安全保证要求，该部分建立一套保证组件作为表 示 t o e功能要求的标准方法。 它也定义了保护轮廓 ( p p ) 和安全 目标 ( s t ) 的评估准则， 提出了评估保证级别，即评估 t o e保证 的 c c预定义等级:c c对 t o e的保证等级定义了七个增强的 e a l等级。 这些 e a l由保证组件的一个适当组合组成， 每个 e a l 只包含每个保证族的一个组件以及它们的所有保证依赖关系。这 种增强是通过将低等级 e a l中某保证组件替换成同保证族中更 高级别保证组件或添加另一保证族的保证组件来实现的。除了这 些 c c定义的 e a l ， 还可以 使用保证组件的 其它组合。 另外 “ 增 强”这个概念允许向 e a l中增加保证组件或对 e a l替换更高级 别的保证组件。在声明时，要表明 “ 增强”的实用性以及价值。 e a l是 c c中唯一可增强的保证结构。 e a l还可以 通过明确陈述 的保证要求来扩充。 7 个安全保证级别 ( e a l )定义如下: e a l 1 :功能性测试级，证明t o e 与功能规格的一致。 e a l 2 :结构性测试级， 证明t o e 与系统层次设计概念的一致。 e a u:工程方法上的测试及校验级，证明t o e 在设计上采用了积 极安全工程方法。 e a l 4 :工程方法上的方法设计、测试和评审级，证明t o e 采用了 基于良 好的开发过程的安全工程方法。 e a l 5 :半形式化设计和测试级，证明t o e 采用了基于严格的过程 的安全工程方法并适度应用了专家安全工程技术。 e a l 6 :半形式化地验证设计和测试级，证明t o e 通过将安全工程 北京交通大学硕士毕业论文 技术应用到严格的开发环境中来达到消除大风险保护高价值资 产。 e a l 7 :形式化地验证设计和测试级，证明t o e 所有安全功能经得 起全面的形式化分析。 安全保证级别测试并未对产品增加任何安全性，仅仅是告诉 用户，产品 在多大程度上是可信的。一般而言，安全要求越高、 威胁越大的环境，应采用更可信的产品。 2 .2 安全审计的功能需求 2 . 2 . 1 t c s e c中的安全审计 从前面可以看到，从 c 2级开始，t c s e c要求安全系统必须 包含审计功能。 审计通过提供事后追查的手段来保持系统的安全， 它对涉及系统安全的操作做完整的记录，以 便在违背系统安全规 财的事件发生后，能有效地追查事件时间、 地点、责任人和过程 细节。 如果将审计和预警等主动防御相结合，就能在危害发生前 通告管理员或采取既定措施阻止危险操作。 操作系统要能够生成、 维护及保护审计过程，使其免遭修改、非法访问和破坏，特别要 保护审计数据不被非法存取。需要记录的 事件类型有:鉴别验证 机制的使用 ( 如登录过程) ，对象引入用户空间 ( 如创建文件) ， 客体的删除和修改， 系统管理员和安全管理员等进行的管理操作。 记录事件应包括事件发生的时间、用户、事件类型、成功与否， 对鉴别验证事件还要记录事件发生的源地址( 如终端号) ， 对客体 操作事件要记录客体名。 由于 b i开始引入对象的安全级，所以需要记录相应主体和 客体的安全级，b 2级的利用隐通道的事件也要审计。b 3级系统 要求对可能引起安全突破的事件作主动反应，而不仅仅是审计员 事后查看日 志. a 1则没有对审计做新的要求。 审计策略的设定要 足够灵活， 审计员可以对每个用户选择要审计的事件范围。 同时， 北京交通大学硕士毕业论文 从客体角度出发，要能审计发生在某一客体上的存取活动，客体 的选择则是根据一个安全级别范围，例如，关于绝密级别的客体 的所有访问都要严格审计。 2 . 2 . 2 c c标准的安全审计 c c在 t c s e c的 基础上， 对操作系 统的审 计 提出了 新的 要求: 操作系统安全审计包括认出、记录、存储和分析那些与安全相关 活动有关的信息。审计记录结果可用来检测、判断发生了哪些与 安全相关的活动以及这些活动是由哪个用户负责的。该类规定了 审计记录的产生、内 容及使用的功能要求。 c c 标准中审计的主要功能包括:安全审计自 动响应、安全审 计数据生成、 安全审计分析、 安全审计浏览、 安全审计事件存储、 安全审计事件选择等。 ( 1 ) 安全审计自动响应是指当审计系统检测出一个安全违犯 事件 ( 或者是潜在的违犯)时采取的自 动响应措施。 c c中只定义 了一种响应措施:安全报警，但在实际中可以自己定义多种的响 应措施。一个系统实现了安全审计自 动响应将会实时通知管理员 系统中发生的事件，某些自 动响应措施还可以实时地降低损失。 ( 2 ) 安全审计事件生成规定了对与安全相关的事件进行记录。 其中包括两个组件的 定义: f a u 一e n . 1规定了 哪些事件被记录， 每条记录包含的信息:f a 比g e n . 2规定了 将审计记录和用户联系 起来。 ( 3 ) 安全审计分析主要是指对系统活动和审计数据的自动分 析能力。安全审计分析的能力直接关系到能否识别真正的安全违 犯。入侵检测技术是实时的安全审计分析的基础。 ( 4 ) 安全审计浏览主要是指经过授权的管理人员对子审计记 录的访问和浏览。审计浏览提供审计浏览的工具。通常审计系统 对审计数据的浏览有授权控制， 审计记录只能被授权的用户浏览， 并且对于审计数据也是有选择地浏览。有些审计系统提供数据解 北京交通大学硕士毕业论文 释和条件搜寻等功能，帮助管理员方便地浏览审计记录。 ( 5 ) 安全事件选择是指管理员可以选择接受审计的事件。 一个 系统通常不可能记录和分析所有的事件，因为选择过多的事件将 无法实时处理和存储，所以安全审计事件选择的功能可以减少系 统开销，提高审计的效率。因为不同场合的需求不同，所以需要 为特定场合配置特定的审计事件选择。审计系统应能够维护、检 查或修改审计事件的集合，能够选择对哪些安全属性进行审计， 例如:与目 标标识、用户标识、主体标识、主机标识或事件类型 有关的属性。 ( 6 ) 安全审计事件存储主要是审计记录的维护，如何保护审 计， 如何保证审计记录的有效性， 以及如何防止审计数据的丢失。 审计系统需要对审计记录、审计数据进行严密保护，防止未授权 的修改，还需要考虑在极端情况下保证审计数据有效性，如:存 储介质失效，审计系统受到攻击等。审计系统在审计事件存储方 面遇到的通常问题是磁盘用尽。单纯用的覆盖最老记录的方法是 不足的，审计系统应当能够在审计存储发生故障对或者在审计存 储即将用尽时采取相应的动作。 2 .3安全审计框架和模型 2 . 3 . ， 安全审计的框架 安全审计是对系统记录和行为的一次独立的评审和检查，目 的是为了测试系统控制的适当，保证采用的策略和操作过程的正 确，检测出安全上的违规，对控制、策略和过程建议任何应当的 变动。安全审计跟踪是安全审计中收集和使用的数据。安全审计 包括对不同的安全相关事件进行检测、收集和记录， 利用安全审 计跟踪记录分析这些事件。 安全审计的目的包括:帮助对未授权行为或者攻击的鉴定和 分析;帮助确定这些行为应该由这些行为的实体负责:有助于发 北京交通大学硕士毕业论文 展损害控制过程;确定己 经建立的安全策略的正确;报告显示系 统控制中不适当的信息; 在控制、 策略、 过程中可能需要的改变。 审计和明确责任性都需要记录信息，安全审计需要确保足够 的信息被记录，包括常规事件和异常事件，这样可以在后来的调 查中确定是否发生了安全违规，如果发生了，危机到那些信息或 者其它资源。明 确责任确保用户行为的相关 信息被记录， 或者是 他们自己的行为，这样这些行为的结果可以 和用户关联起来，用 户就应该对他或她的行为负责。安全审计服务的准备也是明确责 任性的准备。 安全报警是对个人的瞥告，或者预示出 现了需要即时处理的 情况。安全报警服务的目的 包括:报告真正或者明显的违反安全 的企图:报告不同的安全相关事件，包括正常事件;报告由于临 界限制达到而触发的事件。 安全审计需足够的安全策略来进行评估，目的是为了发现安 全隐患， 促使个人对他们的 行为( 或导致行为发主的实体) 负责， 帮助发现资源的不合理使用，并且对企图破坏系统的个人起威慑 作用。安全审计机制并不直接关系到安全违规的保护，这些机制 涉及事件的检测、 记录和分析。 这允许通过实现操作过程的变化， 来安全违规等异常事件做出响应。 根据定义的安全策略发现了任何安全相关事件，这促成报警 条件， 产生了安全报警，这包括预先定义的临界值达到的情况。 某些实际需要立即修复，另外一些需要进一步调查， 来确定是否 需要采取任何行动。 安全审计和报警模型的实现需要其它安全服务来支持安全审 计和报警服务， 来确保正确和确实的操作。 利用其它方面的安全， 能保证根据系统设计的特殊的安全审计需求，这将能取得最大的 效率。系统开发人员应该在系统设计阶段和开发阶段考虑到审计 性 ( 比如，适当的检查和分析)的需要。 北京交通大学硕士毕业论文 2 . 3 . 2 安全审计的功能 需要以下的功能来支持安全审计服务: 事件鉴别器:提供事件的初始化分析，并且确定事件是应该 送审计记录器，还是报警处理器。 审计记录器:从收到的消息中产生审计记录，并且在安全审 计跟踪存储该记录。 报警处理器:既产主审计消息，又对安全报警采取合适的行 动进行响应。 审计分析器:检测每条安全审计跟踪记录，如果匹配成功， 产生安全报警和安全审计消息。 安全跟踪审查者:从一条或多条安全审计跟踪记录中产生安 全报告。 审计提供者:针对某些标准提供安全记录。 审计归档处:对部分安全审计跟踪记录进行存档。 2 . 3 . 3安全审计的模型 安全审计和报警模型如下，包括几个部分。当检测出一个事 件后，必须做出决定该事件是安全相关事件还是与安全无关的事 件。事件鉴别器接收事件，确定应该产生安全审计消息，或者产 生安全报警消息，或看两者都产生。安全审计消息发送到审计记 录器，安全报警发送到报警处理器，等待下一步的评估和行动。 安全审计消息则被格式化， 转换成安全审计记录， 包括在安全审 计跟踪里。部分旧的安全审计跟