安全操作系统设计和开发概述

7 5安全操作系统设计和开发概述 7 5 1安全操作系统的结构和设计原则7 5 2安全操作系统的开发7 5 3信息系统安全评估标准简介 7 5 1安全操作系统结构和设计原则 7 5 1安全操作系统的结构和设计原则安全和保护系统的设计原则 1公开系统设计方案 2机制的经济性 3最小特权 4严密的访问控制机制 5基于 许可 的模式 6特权分离 7避免信息流潜在通道 8便于使用 安全操作系统一般结构 计算机系统中的软件分类 1 可信软件 2 良性软件 3 恶意软件 7 5 2安全操作系统的开发 1安全操作系统的研究和发展2安全操作系统的一般开发方法1 虚拟机法 2 改进 增强法 3 仿真法 安全操作系统的开发过程 1 系统需求分析 描述各种不同安全需求 2 系统功能描述 准确定义应完成的安全功能 包括描述验证 即证明描述与需求分析相符合 3 系统实现 设计并建立系统 包括实现验证 即论证实现与功能描述相符合 操作系统安全性开发过程 3安全功能和安全保证 安全功能包括的安全元素 标识与鉴别 自主访问控制 强制访问控制 标记客体重用 审计 数据完整性 可信路径 隐蔽信道分析和可信恢复 安全保证 1 TCB自身安全保护 包括TSF模块 资源利用 TCB访问等 2 TCB设计和实现 包括配置管理 分发和操作 开发 指导性文档 生命周期支持 测试 脆弱性评定等 3 TCB安全管理 4安全操作系统的设计技术 1 隔离技术2 安全内核安全内核设计和实现原则 1 完整性 2 隔离性 3 可验证性 安全内核监控的基本交互活动 进程激活 在多道程序设计环境下 进程创建和撤销会频繁发生 进程上下文切换要求改变控制寄存器 重定位映象 文件访问表 进程状态信息及其他相关信息 其中许多都是对安全性敏感的信息 区域切换 在一个区域运行的进程频繁地调用或访问其他区域中的程序和数据 以获取更多敏感数据和服务 存储保护 因为每个存储区域中都包含代码和数据 安全内核必须监控对主存的引用以确保每个存储区域的保密和完整 I O操作 由于所有I O操作不是向设备写数据就是从设备接收数据 所以 进行I O操作的进程必须受到对设备读写两种访问控制机制的监督 3 分层设计 构成的分层安全操作系统的层次依次为 硬件 安全机制 同步和通信机制 存储管理 调度 共享 设备管理 文件管理 实用功能程序 系统程序 编辑 编译 汇编 DBMS 应用进程的子进程 应用进程 不同层中实现的认证模块 用户ID查找子模块 7 5 3信息系统安全评估标准简介 1操作系统安全漏洞扫描1 设置错误 2 黑客踪迹 3 特洛伊木马 4 系统文件完整性威胁 2操作系统安全评测方法 1 形式化验证 最精确的方法 安全操作系统被简化为一个要证明的 定理 定理断言该安全操作系统是正确的 但证明的工作量巨大 尤其对于大型实用系统 试图描述和验证均十分困难 2 非形式化确认 它包括验证 也包括一些不太严格的测试程序正确性的方法 确认方法有以下几种 安全需求检查 设计及代码检查和模块及系统测试 3 入侵测试 入侵者应当掌握操作系统典型的安全漏洞 并试图发现和利用系统中的安全缺陷 3操作系统安全测评准则 系统分为四类七个安全等级D类 D级 安全性最低级 整个系统不可信任 C类 自主保护类 C1级 自主安全保护 C2级 受控制的存取控制系统 引入DAC和审计机制 B类 强制保护类 B1级 标记安全保护级 引入MAC 标记和标记管理 B2级 结构保护级 具有形式化安全模型 完善的MAC 可信通路 系统结构化设计 最小特权管理 隐蔽信道分析 B3级 安全域级 访问监控机制 TCB最小复杂性设计 审计实时报告和对硬件的要求 A类 A1级 验证保护类 严格的设计 控制和验证过程 7 6Linux安全机制 1Linux基本安全机制1 标识与鉴别2 存取控制3 审计4 特权管理5 网络安全6 其它安全机制 2安全操作系统SELinux 安全的请求和决策有三种情况 标签确定 存取决策 多实例决策 2 安全策略配置 每个主体都有一个域 domain 每个客体都有一个类型 type 策略的配置决定对类型的存取是否被允许 以及一个域能否转到另一个域 类型的概念用到应用程序中时 可以决定类型是否可由域执行 角色在配置中进行定义 每个进程都有一个与其相关的角色 如系统进程是一种角色 应用进程是另一种角色 安全策略配置目标包括 控制对数据的原始访问 保护内核和系统软件的完整性 防止特权进程执行危险代码 及限制有特权进程缺陷所导致的伤害 防止未通过身份鉴别就进入管理员角色或域 防止普通进程干扰系统进程或管理员进程等 策略可根据策略文件灵活生成 客体的类型有 设备 文件 网络文件 网络等 主体域策略定义有 管理 系统 用户等 3Linux安全模块 Linux内核的安全框架必须是 真正通用 使用不同的安全模型仅仅是加载不同的核心模块 概念上简单 最小的扩散 有效 能够作为一个可选安全模块 支持现有的POSIX le权能机制 LSM采用通过在内核源代码中放置钩子的方法 来仲裁对内核内部对象进行的访问 7 7Windows2003安全机制 7 7 1安全性组件和安全登录7 7 2访问控制7 7 3安全审计7 7 4加密文件系统 7 7 1安全性组件和安全登录 1安全性组件1 安全引用监视器2 本地安全权限 LSA 服务器3 LSA策略数据库4 安全帐号管理服务器5 SAM数据库6 默认身份认证包7 登录进程8 网络登录服务 2安全登录 当用户按下热键时 登录就开始 在获得用户名和口令后 由LSA本地安全认证服务器 msv1 0 网络中用Kerberos 身份验证软件包 SAM数据库协同工作 进行标识和鉴别 msv1 0查看请求的登录与SAM数据库中允许的访问是否有匹配项 如果是合法用户 LSA会汇集各种用户信息 如用户SID 组SID 主目录等配置文件信息 这时 为该用户创建应用进程 为了实现对它的访问控制 本地安全认证子系统同时创建两个重要的管理实体 与进程相关联的 访问令牌 和与对象相关联的 安全描述符 7 7 2访问控制 1保护对象保护对象是谨慎访问控制和审计的基本要素 被保护的对象包括文件 设备 邮件槽 管道 进程 线程 事件 互斥体 信号量 定时器 访问令牌 窗口 桌面 网络共享 服务 注册表键和打印机 2访问控制方案 访问令牌有两种用途 负责协调所有安全信息 加速访问确认 当与一个用户相关联的任何进程试图访问时 安全子系统使用与该进程相关联的访问令牌来确定用户的访问权限 允许进程以受限方式修改自己的安全特性 而不会影响代表用户运行的其他进程 3访问令牌 4安全描述符 对象的安全描述符 标记 所有者 系统访问控制表 自主访问控制表 5ACL的分配 确定分配给新对象的ACL的步骤为 步1 如果调用者在创建对象时 明确提供一个安全描述符 则系统将把该描述符应用到对象上 步2 如果调用者没有提供安全描述符 而对象有名称 则系统将在存储新对象名称的目录中查看安全描述符 一些对象目录的ACE可以被指定为可继承的 表示它们可应用于在对象目录中创建的新对象上 如果存在可继承的ACE 系统就把它们编入ACL 并与新对象连接 步3 如果以上情况均未出现 系统会从调用者访问令牌中检索默认ACL 并将其应用到新对象 系统的一些子系统 如服务 LSA和SAM对象等均有它们在创建对象时分配的硬性编码DACL 6访问控制算法 1 1 如果对象没有DACL 就不被保护 系统将授予所希望的访问权力 2 如果调用者具有所有权特权 系统将在检查DACL之前授予它写入访问权力 3 如果调用者是对象的所有者 则被授予读取控制和写入DACL的访问权力 访问控制算法 2 4 检查DACL中的每个ACE 如果ACE中的SID与调用者的访问令牌中的 启用 SID相匹配 则将处理ACE 如果是访问拒绝ACE 任何申请的访问权力都在拒绝访问权力范围内 则对对象的访问被拒绝 5 如果DACL检查完毕 而一些被请