（计算机软件与理论专业论文）操作系统安全测评及安全测试自动化的研究.pdf

摘要 摘要 随着计算机与网络技术的普及应用，信息安全已经成为关系到国家安全的关 键因素。操作系统是整个信息系统安全的基础，如果不经过安全测评，操作系统 的安全性就得不到保障。而且随着我国操作系统研发的不断发展，设计出有效的 安全测评自动化工具已成为迫切的需求。 为了实现操作系统安全测评自动化，首先要对操作系统安全测评方法进行研 究，而信息安全测评标准在一定程度上体现了安全操作系统测评方法的基本思想。 本文概述了现有的安全测评标准，并且对现阶段最完善的c c 安全测评体系做了详 细分析，得出了c c 安全体系测评方法实施的基本要领和测评流程。 本文在操作系统安全测评自动化的研究中，分析了国内现有的安全测评自动 化系统的设计方案，并在吸取了其优点和融合了软件测试自动化方法的基础上， 给出了改进后的操作系统安全测评自动化框架以及其中的技术难点和可能的解决 方案。 操作系统的安全测试是其安全测评的基础和关键环节，而操作系统安全测试 自动化系统本身就是一个庞大的系统。鉴于访问控制机制是操作系统最为关键的 安全支撑机制，同时国内自主研发的操作系统多基于l i n u x 内核，所以本文以l i n u x 系统的访问控制机制为切入点，对操作系统安全测试自动化进行了探索和讨论， 并设计和实现了l i n u x 访问控制安全测试自动化工具。该工具可基于手动编制的用 例转化规则，自动执行x m l 语言描述的特定格式的访问控制测试用例，判断测试 结果，并给出测试报告。论文还给出了对该测试自动化工具的讨论。 论文最后对课题研究工作进行了总结，并指出了改进的方向。 关键词：操作系统；安全测评；安全测试自动化；l i n u x 分类号：t p 3 1 6 ；t p 3 0 9 a b s t r a c t a l o n gw i t ht h ew i d e s p r e a da p p l i c a t i o no fc o m p u t e ra n dn e t w o r kt e c h n o l o g y , i n f o r m a t i o ns e c u r i t yh a sb e c o m eak e yf a c t o ro fn a t i o n a ls e c u r i t y a n dt h es e c u r i t yo f e n t i r ei n f o r m a t i o ns y s t e mi sb a s e do nt h a to fo p e r a t i n gs y s t e m t h ee v a l u a t i o no ft h e o p e r a t i n gs y s t e mc a n a s s u r et h a tt h es e c u r i t yf u n c t i o nf u l f i l lt h e i rs e c u r i t yn e e d s a n da s t h ed o m e s t i cd e v e l o p m e n to fo p e r a t i n gs y s t e m ，d e s i g na n di m p l e m e n t a t i o no ft h e a u t o m a t e ds e c u r i t ye v a l u a t i o nt o o l sh a sb e c o m ea nu r g e n tr e q u e s t t oa c h i e v et h es e c u r i t ye v a l u a t i o n a u t o m a t i o n ，f i r s tw es h o u l ds t u d yo nt h e e v a l u a t i o nm e t h o d so fi t t oac e r t a i ne x t e n t ，t h es e c u r i t ye v a l u a t i o nm e t h o d sa r e e x p r e s s e db yt h es e c u r i t ye v a l u a t i o nc i r t e r i a s ，s om o s to ft h es e c u d ye v a l u a t i o nc i r t e r i a s h a v eb e e ni n t r o d u c e d i na d d i t i o n ，t h ea r c h i t e c t u r eo fc ca n dt h et h r e ed o c u m e n t so fi t h a v eb e e na n a l y s e d ，w h i c hh a sb e e nr e c o g n i z e da st h em o s td e v e l o p e dc r i t e r i af o r s e c u r i t ye v a l u a t i o n t h ep r i n c i p l eo ft h ec cs e c u r i t ye v a l u a t i o nm e t h o da n dp r o c e s so f t h e e v a l u a t i o nh a sb e e ns u m m a r i z e d i nt h es t u d yo fa c h i e v i n gt h ea u t o m a t e ds e c u r i t ye v a l u a t i o n ，t w od o m e s t i ct y p i c a l m o d e l so fa u t o m a t e ds e c u r i t ye v a l u a t i o ns y s t e mh a v eb e e na n a l y s e d t h ed e s i g no fa n i m p r o v e ds e c u r i t ye v a l u a t i o nf r a m e w o r ki sg i v e nb yl e a r n i n gf r o mt h e i ra d v a n t a g e sa n d i n t e g r a t i n go fa u t o m a t e ds o f t w a r et e s t i n gm e t h o d s ，w h i l er e l a t e dt e c h n i c a lp r o b l e m sa n d p o s s i b l es o l u t i o n sa r ed i s c u s s e d u n d o u b t e d l ys e c u r i t ye v a l u a t i o ni sak e ys t e pf o rs e c u r i t ye v a l u a t i o n ，a n dt h e a u t o m a t e ds e c u r i t yt e s ts y s t e mf o ra no p e r a t i n gs y s t e mh u g es y s t e mi t s e l f m e a n w h i l e a c c e s sc o n t r o li sa ni m p o r t a n tc o m p o n e n to fo p e r a t i n gs y s t e m s m o r e o v e r ，t h el i n u x k e r n e li sw i d e l yu s e db ym o s tr e s e a r c hi n s t i t u t e sa n dd e v e l o p m e n tt e a m s t h e r e f o r e ， s e c u r i t yt e s tf o rl i n u xa c c e s sc o n t r o li s f o c u s e do ni no u rr e s e a c h a na u t o m a t e d s e c u r i t yt e s tt o o lf o rl i n u xa c c e s sc o n t r o li sd e s i g n e da n di m p l e m e n t e d i tc a ne x e c u t e t h et e s tc a s e s ，j u d g et h er u n n i n gr e s u l t so ft h et e s tc a s e sa n dp r o v i d et e s t r e p o r t s a u t o m a t i c a l l y a l lt e s tc a s e ss h o u l db ew r i t t e r n i n s p e c i a lx m la n dt h e yc a nb e t r a n s l a t e di n t ot e s tc o m m a n df l o w sw i t hm a n n u a l l yw r i t t e nr u l e s e l e m e n t a r yt e s t sa r e p e r f o r m e df o rt h et o l la n dt h er e s u l t sa r es a t i s f a c t o r y f i n a l l y , r e s e a r c hw o r k si n t h i s d i s s e r t a t i o na r es u m m a r i z e da n dt h ef u t u r ew o r k sa r ed i s c u s s e d k e y w o r d s ：o p e r a t i n gs y s t e m ；s e c u r i t ye v a l u a t i o n ；a u t o m a t e ds e c u r i t yt e s t ；l i n u x c l a s s n 0 ：t p 3 1 6 ：t p 3 0 9 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：爵缸导师签名：翟南寿 签字日期：硎男年占月日签字日期：湘8 年多月莎e t 独创性声明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名： 侍崧 i i i i i = i i i i ：娜8 年石月多日 7 5 致谢 在论文完成之际，谨向我尊敬的导师翟高寿副教授表示由衷的感谢! 翟老师以 其广博的知识、缜密的思维和严谨的工作研究作风，在论文选题和整个写作过程 中都给了我精心的指导和帮助，我的论文中凝聚了他大量的心血和汗水。翟老师 从学习上、生活上都给予了我无私的关怀，使我不仅学到了专业知识，还为我今 后的工作乃至人生积累了一笔宝贵的精神财富，使我受益终生! 衷心感谢实验室的各位同学，在课题进行期间，他们给予了我很多技术方面 的帮助，同时对我的论文也提出了很多中肯的意见。感谢计算机学院的全体老师， 通过他们辛勤的教诲，使我的学识和素质都得到了很大的提高。 感谢所有关心和帮助我的朋友和同学，特别是李耀东、王瑞昌、牛晗晖、张 宇峰、马文琳等同学在课题研究和论文校对等方面给了我很多帮助，也正是我们 大家的共同探讨、相互启发、协同工作，才使课题得以顺利进行，并取得今天的 成绩。最后，向所有关心我和帮助我的人表示最诚挚的谢意。 绪论 1 1论文研究背景与意义 1 绪论 1 1 1 信息安全与操作系统安全 随着计算机与网络技术的迅速普及，它们在给人们的工作、生活带来便捷的 同时，也带来了信息安全方面的威胁。黑客应运而生，信息安全事件也逐渐增多。 随着黑客团体的不断成立和黑客技术的不断普及，不仅越来越多的人成为攻击者， 而且出于各种目的的攻击行为络绎不绝，部分黑客的恶意破坏攻击行为严重影响 了社会的稳定和发展，并且呈现出发生频率和造成的破环程度有逐年激增的现象。 2 0 世纪6 0 年代，m i t 等人工智能实验室成为黑客初显身手的舞台。7 0 年代， 一批当年北美大学生运动的领袖，西海岸反越战活动的积极分子，争民权的斗士 渐渐参加了黑客队伍。黑客提倡了一场个人计算机革命，提出“计算机为人民所 用”的观点。领头人为苹果公司创建人史蒂夫乔布斯。黑客团体的出现也使得安 全事件越来越多。由于入侵事件层出不穷，迫使美国1 9 8 6 年通过“计算机欺诈与 滥用法案 。一年后，1 7 岁的高中生赫尔波特齐恩被指控闯入美国电话电报公司 内部网络和中心交换系统，成为“计算机欺诈与滥用法案 生效后被判有罪的第 一人。 随着黑客团体的不断成立和黑客技术的不断普及，越来越多的人成为攻击者， 包括大量中学生。如1 9 7 9 年，年仅1 5 岁的凯文米特尼克仅凭一台电脑和一部调 制解调器闯入了北美空中防务指挥部的计算机主机。虽然部分黑客仍然带有早期 黑客的骑士精神，但是更多的黑客可能会因为各种目的而发动攻击。 有因为政治目的而发动的攻击，如1 9 8 9 年，5 名西德电脑间谍入侵美国政府 和大学电脑网络，并最终因间谍罪被逮捕起诉；1 9 9 1 年海湾战争期间的荷兰黑客 入侵国防部；2 0 0 6 年7 月美国国务院电脑遭到攻击。 有为谋求个人非法经济利益的黑客攻击，如：2 0 0 3 年2 月v i s a 公司遭到入侵， 2 2 0 个v i s a 卡和万事达卡被窃；2 0 0 6 年5 月，广西柳州市黑客利用盗窃的个人隐 私敲诈；2 0 0 6 年8 月，黑客攻入a t & t 公司计算机系统并接入了数千用户存储于 在线商店的个人数据，这只是a t & t 遭到众多入侵中的一次，2 0 0 5 年至2 0 0 6 年， a t & t 约有9 0 0 0 万人的个人数据被入侵。 有发泄个人不满发动的攻击，如2 0 0 6 年6 月对百度发动的“分布式拒绝服务 北京交通人学硕士学位论文 攻击”，甚至还有仅仅为炫耀技术而发动的攻击，如2 0 0 5 年4 月黑客为招募仰慕 者对1 0 个荆门市政府及1 个医院的网站发动攻击。 黑客入侵和攻击会造成巨大的损失，如1 9 8 8 年，一名2 3 岁的黑客编制的病 毒感染了美国6 0 0 0 多台计算机，造成直接经济损失9 6 0 0 万美元；而据估计，仅 在2 0 0 5 年，全球由于黑客入侵和攻击造成的损失超过1 0 0 0 亿美元。大量发生的 入侵和攻击事件在造成了巨大损失的同时，也阻碍了信息技术的进一步应用，国 内电子商务的发展和应用进展缓慢就是一个例证。 于是越来越多的人开始关注信息安全，关注怎样保证信息安全。下面我们要 对上述信息安全的威胁进行分析。 按照这些安全威胁的目的可以对它们如下划分： 窃取信息：数据被未经授权的主体获得； 破坏完整性：数据被未经授权主体创建、修改或删除； 非法使用：数据被未经授权主体使用； 破坏可用性：提供给授权主体的数据或资源被蓄意阻止或延迟。 为了实现上述的攻击目标，攻击者可能采取多种手段来实施。常见攻击手段 主要可以分为以下几种： 假冒：伪装成另外一个不同的主体； 越权：利用系统安全漏洞，超越所授权限而进行操作； 木马：在系统中植入能够截获数据或系统操作的代码段； 后门：在系统中秘密开设能获得较高权限的机关； 拒绝服务攻击：破坏系统的工作，阻碍其提供正常服务； 破坏审计数据：破坏审计数据以逃避追踪。 这里列出的信息安全威胁都是指应计算机系统中的信息安全威胁。按威胁目 的划分中的窃取信息威胁是对计算机系统中的操作系统层的威胁，对主体的授权 是操作系统访问控制机制提供的服务，同样破坏完整性、非法使用和破坏可用性 都是操系统层的威胁，所以从信息安全威胁的角度分析，我们必须先从保证操作 系统安全来保证信息的安全。从攻击手段的角度分析，主体的标识鉴别、审计是 操作系统提供的服务，系统安全漏洞是操作系统安全功能的不完善造成的，截获 系统调用、在系统中设立后门也是操作系统层的威胁，所以保证操作的安全性同 样是保证信息安全的首要任务。 从计算机系统结构的角度分析，也必须先保证操作系统的安全。因为操作系 统是连接计算机硬件与上层软件及用户的桥梁，它的安全性是至关重要的。在信 息系统安全涉及的众多内容中，操作系统、网络系统和数据库管理系统的安全问 题是核心所在。运行状态下的计算机系统层次结构如图1 - 1 所示，从中不难看出， 2 绪论 操作系统承担着整个软件系统及用户与硬件之间的桥梁纽带作用。作为计算机软 硬件资源的管理者，操作系统控制着整个计算机系统的运行，它直接和硬件打交 道并为用户提供接口，是计算机软件的运行基础和核心。数据库管理系统是建立 在操作系统之上的，如果没有安全操作系统的支持，就不可能保障其访问控制的 安全可信性。在网络环境中，网络安全依赖于各主机系统的安全可信性，没有操 作系统的安全，就谈不上主机系统和网络系统的安全性。同样，计算机应用软件 都建立在操作系统之上，唯有通过安全操作系统才能实现它们对系统中有关信息 的安全存取与处理。因此，操作系统的安全是整个计算机系统安全的基础，没有 操作系统的安全，就不可能真正解决数据库安全、网络安全和其他应用软件的安 全问题。 应用程序 用户 运行支持系统 操作系统 孝7 “一 ”i i 计算机硬件即指令系统 l ；| _ 。一t 一， 。 图1 - 1 计算机系统运行时的层次结构 f i g u r e1 - 1s t r u c t u r eo ft h er u n n i n gc o m p u t e rs y s t e m 由此，安全操作系统的研究引起了研究机构的重视。2 0 世纪6 0 年代中期，美 国贝尔实验室和麻省理工学院联合开发了一个名为m u l t i c s 的操作系统，这是被计 算机界认同的首个安全操作系统。以此为始，全球计算机界对安全操作系统的研 究和开发工作迅速开展起来。 1 1 2 安全操作系统的发展 安全操作系统与操作系统安全的含义不尽相同，操作系统安全表达的是对操 作系统的安全需求，而安全操作系统是指其安全性有所保障的操作系统。但二者 又是统一的和密不可分的，因为它们所关注的都是操作系统的安全性。安全操作 系统通常与一定的安全等级相对应，例如，根据t c s e c 标准，通常称b 1 级以上的 操作系统为安全操作系统。 从2 0 世纪6 0 年代开始，安全操作系统引起了研究机构的重视，至今，人们 己经在这个领域付出了4 0 余年的努力，开展了大量的工作，取得了丰富的成果， 安全操作系统理论和实现技术伴随着操作系统和安全理论的发展而不断完善。根 3 北京交通大学硕十学位论文 据研究与开发工作及其相应的技术成果的特点大致可被分为四个发展阶段【8 】：奠基 时期、食谱时期、多策略时期和动态策略时期，下面分别予以简单介绍。 奠基时期：从1 9 6 5 年历史上的第一个安全操作系统m u l t i c s 诞生到2 0 世纪 8 0 年代术期，安全操作系统经历了从无到有的探索过程，安全操作系统的基本思 想和理论及研究方法逐步建立。其中由j e a n d e r s o n 提出的引用监控机、引用验证 机制、安全核和安全建模等重要思想，为安全操作系统的开发奠定了重要的基础。 食谱时期：食谱时期始于1 9 8 3 年美国的t c s e c ( t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ，可信计算机系统评测标准) 标准颁布之时。t c s e c ，又称橙皮 书，是历史上第一个，也是著名的可信计算机系统评价标准，它为安全系统指定 的是一个单一的系统安全策略，诸如自主访问控制和强制访问控制等。这个时期 的安全操作系统开发几乎都以t c s e c 为范型，主要研究成果有a x i o m 技术公司 的l i n u si v 系统、美国贝尔实验室的s y s t e m v m l s 系统和加拿大多伦多大学的 安全t u n i s 系统等。 多策略时期：随着9 0 年代初i n t e r n e t 的影响的迅速扩大，分布式应用的迅速 普及，单一安全策略的范型已不能满足对安全策略需求多种多样的现实应用。1 9 9 3 年，美国国防部在t a f i m ( t e c h n i c a la r c h i t e c t u r ef o ri n f o r m a t i o nm a n a g e m e n t ) 计 划中推出新的安全体系结构d g s a ( d o dg o a ls e c u r i t y a r c h i t e c t u r e ) 来对多种安全 政策提供支持，这促使安全操作系统研究进入了一个新的时期多策略时期。 动态策略时期：策略灵活性是动态策略时期的重要特征。这个时期安全操作 系统研发的特点是使安全操作系统支持多种安全策略的动态变化，从而实现安全 政策的多样性和灵活性。1 9 9 9 年f l a s k 安全体系结构的诞生是动态策略时期的帷幕 徐徐打开的标志。目前比较流行的l i n u x 安全操作系统s e l i n u x 就是由n a s ( n a t i o n a ls e c u r i t ya g e n c y ，美国国家安全安全局) 和n a i ( 网络伙伴公司) 实验 室的基于f l a s k 合作研制的。 相对来说，中国的安全操作系统研究起步比较晚。以l i n u x 为代表的自由软件 在中国的广泛流行对中国安全操作系统的研究与开发具有积极的推动作用。l i n u x 操作系统性能优良且源代码开放。鉴于此，国内诸多有识之士、学者及研究机构 就安全操作系统的相关理论及基于l i n u x 的安全操作系统的开发进行了深入的研 究，并在体系结构、安全模型、系统构建、安全测评等方面取得一定的成果。其 中比较突出的有中国科学院软件所的9 即斯汉老师带领的实验室开发出的安全操作 系统安胜，中国红旗l i n u x 公司推出的其自主研发的红旗安全操作系统2 0 。此 外，还有南京大学、中国计算机软件与技术服务总公司等其它单位也以l i n u x 为基 础开展了安全操作系统的研究与开发工作。 4 绪论 1 1 3 操作系统安全测评及其自动化 操作系统安全测评的意义： 操作系统安全性测评是实现安全操作系统的一个极为重要的环节，如果不测 评、验证所开发操作系统的安全性和该安全性的可信度，那么开发出的该操作系 统的安全性就没有保证，从而增加了它的应用风险。所以操作系统安全测评和操 作系统的设计开发一样重要。操作系统安全测试是安全测评的基础，操作系统安 全测评是建立在安全功能测试上对操作系统的安全性给出的评价。 美国国防部于1 9 7 9 年6 月2 5 日发布了世界上第一个计算机安全标准军 标d o d 5 2 0 0 2 8 m ，标志着操作系统安全测评领域的开端。从这以后操作系统安全 的研究人员不仅致力于安全操作系统的开发，而且致力于操作系统安全的测评。 安全测评与安全测试的关系： 操作系统的安全测评是指对操作系统的安全性给出评估结果，测评是针对操 作系统这个整体来说的。安全测评应该由有测评资质的第三方完成实施。安全测 试是针对操作系统的具体安全功能来说的，它一方面是安全操作系统测评的一个 极为重要的环节，即由开发方进行的安全功能测试，另一方面它是操作系统测评 的基础，即由第三方测评人员进行的操作系统安全功能测试。 操作系统安全测评和安全测试的研究现状： 操作系统安全测评方法的研究成果主要是由个别权威机构提出的安全测评标 准中体现出的测评方法，对安全测评的研究体现在测评标准的制定、更新和完善 上。 国外对操作系统的安全测试的研究主要集中在对安全策略的分析、验证、测 试【1 4 】，安全策略的实施仍然依赖于操作系统基本的安全功能的基础上，而国外对 操作系统安全功能测试的研究很少。 由于开源的l i n u x 系统的推动，从上个世纪末开始国内操作系统自主研发工作 蓬勃的展开。开发方为了使这些操作系统被采购和真正投入使用，就必须进行测 评，于是国内也逐渐开始了对操作系统测评的研究，并且制定了安全测评的国家 标准。由于国内和国外在安全测评领域还有一定的差距，国内的安全标准都是参 照国际标准建立的。 国内对操作系统安全测试的研究还处于起步阶段，没有理论化的测试方法， 大多是尝试性的实践。 操作系统安全测评自动化的研究现状： 安全测评本身就是一个是一个非常大的课题，安全测评自动化系统则更加庞 大。国外对安全测评自动化的研究极少，有关测试自动化的研究大都是针对软件 5 北京交通大学硕十学位论文 测试的。而且计算机安全是较为敏感的领域，公开的操作系统安全测试方法的资 料也较少。 操作系统安全测试多由生产商完成，整个测试过程是很昂贵的，而且基本均 依靠手工来完成，往往需几年的时间。软件测试中的自动化测试已经有较长时间 的应用历史，而在安全操作系统测评领域，手工测评仍然是最主要的测评方式。 所以对操作系统测试自动化是一项重要而且有意义的工作。 国内一些学者对操作系统测评自动化给出一些设计方案，但离最终的实现还 有一定的距离。 1 2 论文研究内容 本文的研究内容主要包括以下三个方面： ( 1 ) 概述了现有的安全测评标准，并对整个c c 安全测评体系做了详细的分 析，总结了c c 安全体系测评方法的基本要领。 ( 2 ) 分析了国内两种典型的安全测评自动化系统的设计方法，对其优缺点做 了总结，通过吸取这些系统的优点和融合了软件测试自动化方法本文给出了改进 后的安全测评自动化框架设计，以及技术难点和解决方案。 ( 3 ) 以l i n u x 系统访问控制安全为切入点，对操作系统安全测评自动化进行 了探索，并设计和实现了l i n u x 访问控制安全测试自动化工具。在人工编制用例转 化规则的基础上，该工具可以实现自动执行x m l 语言描述的特定格式的访问控制 安全测试用例，测试结果判断和给出测试报告。 本论文工作及课题得到国家9 7 3 项目“信息与网络安全体系结构研究”( 项目 编号g 1 9 9 9 0 3 5 8 0 1 ) 之子课题“操作系统安全评测平台的研究及北京交通大学 校科技基金“安全操作系统测评自动化研究 ( 项目编号k 0 6 j 0 0 7 0 ) 的支持。 1 3 论文组织结构 本论文分为五章，其结构为： 第一章，绪论，介绍本课题的研究背景意义和研究现状，本论文的研究内容， 以及论文各部分的组织结构。 第二章，操作系统安全测评的研究，本章概述了现有的安全测评标准，并着 重分析了c c 安全测评体系，总结了c c 安全体系测评方法的基本要领和测评流程。 第三章，操作系统安全测评自动化的研究，本章在总结已有的安全测评自动 化系统设计方法，对其优缺点做了总结，在吸取其优点和融合了软件测试自动化 6 绪论 方法的基础上，给出了改进的安全测评自动化框架设计，以及技术难点和解决方 案。 第四章，l i n u x 访问控制安全测试自动化工具的设计与实现，本章以l i n u x 系 统访问控制安全为切入点，对操作系统安全测评自动化进行了实践，设计和实现 了l i n u x 访问控制安全测试自动化工具，并对其进行了讨论。 第五章，结束语，包含了对论文的工作和研究成果进行总结和归纳，对l i n u x 安全测试自动化的下一步工作进行了展望。 7 操作系统安全测评的研究 2 操作系统安全测评的研究 操作系统安全测评是较为前沿的研究领域，还没有形成完整的理论体系，而 且只有了解了安全测评的方法和过程才有可能实现安全测评的自动化，因此应该 先对操作系统安全测评进行分析研究。 2 1安全测评标准 安全测评标准是安全操作系统测评方法的体现，安全测评标准的发展历程也 就是安全测评方法发展的过程。为了更好的探讨和理解安全操作系统的测评方法， 我们有必要对安全测评标准发展过程中重要的测评标准做简要的说明。 2 1 1d o d 5 2 0 0 2 8 m 美国国防部1 9 7 9 年6 月2 5 日发布的军标d o d 5 2 0 0 2 8 m 为计算机安全系统 定义了四种不同的运行安全模式：受控的安全模式、自主安全模式、多级安全模 式、强制安全模式。d o d 5 2 0 0 2 8 m 是世界上第一个计算机安全标准，对计算机系 统提出了一系列安全要求，旨在防止对系统意外或恶意侵害，并提供侵害日志记 录。 2 1 2t c s e c 1 9 8 3 年，美国国防部颁布了历史上第一个计算机安全评价标准，这就是著名 的可信计算机系统评价标准，简称t c s e c i 剐，又称橙皮书。1 9 8 5 年，美国国防部 对t c s e c 进行了修订。 如图2 1 所示，t c s e c 定义了7 个等级( d ，c 1 ，c 2 ，b 1 ，b 2 ，b 3 ，a 1 ) 组成的4 个类别，类a 中的级别a 1 是最高安全级别，类d 中的级别d 1 是最低安 全级别。类别用来度量提供安全保护的程度，每一个级别和类别都是在前一个基 础上增加条款形成的。t c s e c 还给出了与安全政策、责任、保障和文档相关的2 7 条明确可操作的评估准则，并给出了t c s e c 的测试需求。t c s e c 准则的原理是： 在c l 级别设立基本安全要求，然后在高安全级别的每一层都加入新的需求。t c s e c 引入了“可信计算机基( t c b ) 和“安全内核( 或引用监视器) 两个重要概念， t c b 是硬件、固件和实施某项安全政策的软件的组合表示，是安全机制的抽象； 9 北京交通大学硕士学位论文 “安全内核( 或引用监视器) ”是硬件、固件和软件的组合，该软件不仅实现访问 控制功能而且保护自己免受篡改，“安全内核”实现了系统安全政策的强制访问控 制功能，是安全机制的具体实现。t c s e c 要求安全模型a 1 级别的设计必须通过 形式化的数学证明，形式化的安全模型在今天仍然具有其重要性，形式化可用于 安全系统的需求说明和设计验证。 支全牛 d ：最小保护 c l ：白主安令保护 c 2 ：受控访问保护 b l ：标记安伞保护 b 2 ：结构化保护 b 3 ：安伞域 a l ：验汗的没汁 图2 - 1t c s e c 的构成与等级结构 f i g u r e2 - 1s t r u c t u r eo fs e c u r i t yl e v e l sf o rt c s e c t c s e c 的初衷主要针对集中式计算的分时多用户操作系统，这套计算机安全 的规范与测试评估标准发布之后不久，人们就发现很难将橙皮书应用于网络( 分 布式) 或数据库管理系统( 客户服务器结构) 。当分布式处理形成规范时，美国国 防部又颁布了对橙皮书的附加说明和解释，提高了t c s e c 标准的实用范围。 2 1 3g b l 7 8 5 9 。1 9 9 9 我国强制性国家标准计算机信息系统安全保护等级划分准则( g b 1 7 8 5 9 1 9 9 9 ) 1 2 0 】是在参考美国的t c s e c 、可信计算机系统评估准则 ( d o d 5 2 0 0 2 8 s t d ) 和in - j 信计算机网络系统。既n ( n c s c t g 0 0 5 ) 的基础上，从自主访 问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽 信道分析、可信路径和可信恢复等1 0 个方面来将计算机信息系统安全保护等级划 分为五个安全等级。第一级：用户自主保护级；第二级：系统审计保护级；第三 级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。以下 简要介绍五个安全级的基本特点。 用户自主保护级的计算机信息系统可信计算基通过隔离用户与数据，使用户 具备自主安全保护的能力。安全机制包括自主访问控制、身份鉴别、数据完整性。 与用户自主保护级相比，系统审计保护级的计算机信息系统可信计算基实施 1 0 操作系统安全测评的研究 了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源， 使用户对自己的行为负责。安全机制包括自主访问控制、身份鉴别、客体重用、 审计、自主数据完整性策略。 安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功 能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制 的非形式化描述，具有准确地标记输出信息的能力，消除通过测试发现的任何错 误。安全机制包括自主访问控制、强制访问控制、标记、身份鉴别、客体重用、 审计、自主和强制数据完整性策略。 结构化保护级的计算机信息系统可信计算基建立于一个明确定义的形式化安 全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体 与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构 化为关键保护元素和非关键保护元素；计算机信息系统可信计算基的接口也必须 明确定义，使其设计与实现能经受更充分的测试和更完整的复审；加强了鉴别机 制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。 系统具有相当的抗渗透能力。安全机制包括自主访问控制、强制访问控制、标记、 身份鉴别、客体重用、审计、自主和强制数据完整性策略、隐蔽通道分析、可信 路径。 访问验证保护级的计算机信息系统可信计算基满足访问监控器需求。访问监 控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，必须足够小，能 够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造 时，排除那些对实施安全策略来说并非必要的代码，在设计和现实时，从系统工 程角度将其复杂性降低到最小程度；支持安全管理员职能，扩充审计机制，当发 生与安全相关的事件时发出信号；提供系统恢复机制；系统具有很高的抗渗透能 力。安全机制包括自主访问控制、强制访问控制、标记、身份鉴别、客体重用、 审计、自主和强制数据完整性策略、隐蔽通道分析、可信路径、可信恢复。 2 1 4i t s e c 、c t c p e c 及f c t c s e c 测评标准应用于非操作系统类以及测评标准的分级比较困难。因为它 要求安全产品为了达到某个评估级别，底层操作系统必须完全满足相应的功能要 求。新范式的思想就是将通信保密和计算机安全合为一体，通称为信息安全，用 于保护信息免受偶然或恶意的非法泄密、转移或破坏，这就是8 0 年代末出现的 i t s e c 。i t s e c 将安全性要求分为“功能和“保证两部分。其中，“功能”指 为满足安全需求而采取的一系列技术安全措施，如访问控制、审计、鉴别、数字 北京交通人学硕士学位论文 签名等；“保证 指确保“功能”正确实现及其有效性的安全措施。 i t s e c 根据保证要求定义了七个评估级别：e 0 到e 6 。其中e 1 到e 5 为： e 1 ：测试： e 2 ：配置控制和可控交付； e 3 - 能访问详细设计和源码； e 4 ：详细的脆弱性分析； e 4 ：设计与源码明显对应； e 5 ：设计与源码在形式上一致； 功能要求在测定上分f 1 到f 1 0 共1 0 级。1 至5 级对应于t c s e c 的d 到a ， 6 1 0 级加上了以下概念： f 6 ：数据和程序的完整性； f 7 ：系统可用性； f 8 ：数据通信完整性； f 9 ：数据通信保密性； f 1 0 ；包括机密性和完整性的网络安全。 加拿大可信计算机产品评估准则c t c p e cv e r l 0 于1 9 8 9 年公布，专为政府需 求而设计。c t c p e c 将安全分为功能性要求和保证性要求两部分。功能性要求分 为机密性、完整性、可用性、可控性等四个大类。在每种安全要求下又分成多级， 用于表示安全性上的差别，并按程度不同分为0 5 级。 f c 基于m s f r 和加拿大的c t c p e c ，其中m s f r 是f c 针对t c s e c 的c 2 级要求提出了适用于商业组织和政府部门的最小安全功能要求。在此标准中首先 引入了“保护轮廓( p p ) ”这一重要概念，每个保护轮廓都包括功能部分、开发保 证部分和评测部分，规定了信息产品或系统的技术要求。主要供美国政府使用、 民用和商用。 2 1 5 c c ( g b t 1 8 3 3 6 2 0 0 1 ) 进入9 0 年代中期，信息技术安全评估通用标准c c t l l 产生，c c 是加拿大、法 国、德国、荷兰、英国和美国六个国家共同努力的成果。c c 标准是现阶段最完善 的信息技术安全性评估准则。 c c 标准将信息技术安全要求分为“功能”和“保证 两大部分。“功能要求 是希望对产品提供的安全功能或特征的描述，“保证要求”能够让用户相信功能要 求能够得到满足，这与许多国际标准中的区分相类似。c c 定义了安全功能要求的 类、族和组件结构划分，提出了常见的安全功能要求的1 1 个功能类的1 3 5 个功能 1 2 操作系统安全测评的研究 组件，给c c 标准的使用者提供直接的参考。用户可以从该结构中选择合适的组件 来定义他们对产品的安全功能要求，编制p p ；开发人员可以选择适当组件定义产 品的安全功能，编制s t ；测评人员同样可以选择适当的组件定义测评内容，编制 包。c c 的这种结构形式使得制定标准是具有很好的结构性和可操作性。标准起草 人仅对部分组件提出了详细的具体的规范，对不能详尽规范的组件只提出了初步 的规定，将组件的具体规范留给了标准使用者。c c 也定义了安全保证要求的类、 族和部件的结构划分，用于保障r r 产品或系统满足它的安全目标，安全保证需求 使用评估保证级别( e a l ) 进行区别。 与早期的评估准则相比，c c 的特点体现在其结构的开放性、表达方式的通用 性以及结构和表达方式的内在完备性和实用性四个方面。 c c 的最基本思想是：基于可信的r r 产品或系统评估，为用户使用产品或系 统提供信心保证。下一节我们将对c c 安全测评体系进行详细分析。 国标g b r 1 8 3 3 6 2 0 0 1 是在翻译了c c 标准的基础上建立的，这个就不再分析。 2 2c c 安全测评体系分析 在i t 安全产品测评方面，包括操作系统测评，我们国家和发达国家还有一定 的差距，为了缩小这种差距，同时总结安全测评的方法和流程，我们对整个c c 体 系结构做了分析。c c 是一个庞大的安全测评体系，仅文档就有1 1 1 1 页。在本文 完成之时，国内有很多操作系统测评的实施是依据在c c 标准的，但部分文献对 c c 的理解是不全面、不完整的，因此非常有必要对c c 标准的使用方法以及用c c 标准进行操作系统安全测评的方法、流程和步骤进行分析和总结。 c c 标准的全称是c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t y e v a l u a t i o n ，即信息技术安全性评价通用准则。对c c 传统的理解是指这篇信息技 术安全性通用准则本身。实际上完整的c o m m o nc r i t e r i a 体系一共包括三大部分， 第一部分是c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n ( c c ) 信息技术安全性评价通用准则，第二部分是c o m m o nm e t h o d o l o g yf o ri n f o r m a t i o n t e c h n o l o g ys e c u r i t ye v a l u a t i o n ( c e m ) 信息技术安全评价通用方法，第三部分是 c o m m o nc r i t e r i ar e c o g n i t i o na g r e e m e n t ( c c r a ) 通用准则识别协议。整个c c 体系 可以通过其官方网站h t t p ：w w w c o m m o n c r i t e r i a p o r t a l o r g 获取。c c 还在不断完善 的过程中，不同版本之问有差异，下面我们分析所用的c c 版本是2 0 0 6 年9 月的 v e r s i o n3 1 ，c e m 的版本是2 0 0 7 年9 月的v e r s i o n3 1r e v i s i o n2 ，c c r a 的版本是 2 0 0 0 年5 月版。 北京交通大学硕士学位论文 2 2 1 信息技术安全评估通用标准( c c ) 2 2 1 1c c 概要 c c 1 j 为i t 产品提供了的一系列通用的安全功能需求和安全保证需求，它可以 用作安全功能的i t 产品作为开发、评价和采购的指导。 c c 分为三个部分，每个部分的内容如下： 第1 部分：简介和一般模型。该部分是c c 的总体结构简介，定义了信息 技术安全性评估的一般概念和原理，并提出了评估的一般模型，整个评估 的过程都要遵循这