计算机操作系统安全模型的实例化分析与研究

计算机操作系统安全模型的实例化分析与研究

摘要：本文以国际国内信息系统安全相关标准入手，首先提出本文对于国标GB17859-1999五个安全等级的分析与理解，突出每一个等级的安全技术特性，这也是后面将要关注与具体实例化的地方。然后通过计算机操作系统安全模型为切入点，聚焦在计算机操作系统上，从理论的角度分辨了几种经典的安全模型，当然也是当今计算机操作系统安全模型发展的基础，在本部分中，对自主访问控制、强制访问空间、机密性以及完整性等多个安全技术的具体方面做出了深入的分析。最后以经典UbuntuLinux操作系统以及Windows7操作系统作为具体实例化的实验系统，作为本文的创新点，对用户鉴别、标识以及访问控制方面进行针对性的实验仿真分析。

关键词：信息安全安全模型操作系统实例化

中图分类号：TP393.09文献标识码：A文章编号：1007-9416（2015）12-0000-00

1背景

早在1967年美国国防科学委员会就提出计算机安全保护问题，1970年美国国防部（DoD）在国家安全局（NSA）建立一个计算机安全评估中心（NCSC），开始了计算机安全评估的理论与技术的研究，而计算机系统安全的核心问题是操作系统的安全问题。1983年8月NCSC首先推出了DoD可信计算机系统安全评估准则（CSC-STD-001-83）。这套标准的文献名称是可信计算机系统评价准则（TrustedComputerSystemEvaluationCriteria——TCSEC），俗称橘皮书。中国国家质量技术监督局于1999年9月13日正式公布了新的国家标准“计算机信息系统安全保护等级划分准则”（GB17859-1999）。该标准于2001年元旦开始实施。这是我国第一部关于计算机信息系统安全等级划分的标准。2008年信息安全相关标准《信息技术安全技术信息技术安全性评估准则》（GB/T18336-2008）正式版本，该标准基于GB17859-1999基础上对我国的信息安全产品和系统提出了更具体的要求。

2计算机安全模型与安全功能解析

计算机安全模型是针对计算机系统的安全子系统的一种抽象化模型，用模块化的语言描述了计算机安全子系统的每个功能模块如何实现，但是对于安全功能包括性能的检测并没有给出具体的方法与步骤，那么就需要去研究安全模型中提出的安全技术是如何实现的，用什么样的方式可以去验证该安全功能得到了正确的执行。这对于计算机操作系统安全性的检测是十分有价值的。

最基本的安全模型是访问监视器模型，其映射计算机系统的可信计算基TCB，即安全核，它的作用是负责实施系统的安全策略，在主体与客体之间对所有的访问操作实施监控，这也是后来的安全模型的发展基础。

主流的安全模型主要有：

BLP模型可以很好的解决信息流从高安全等级向低安全等级流动的问题，实现的方法是通过SS-property以及*-property的上读下写属性，使得信息流只能往高安全等级的地方写入，很好的防止了特洛伊木马等高权限主体对于信息的篡改和窃取。在信息流控制方面给出了具体的实现方法，这也为后面的检测与验证提供了分析的思路。后面会通过具体的实验来验证信息流管理、BLP模型的自主访问控制以及强制访问控制、鉴别与标识功能等安全功能。

同样是针对机密性开发的ChineseWall模型属于一种多边安全模型，它不像BLP模型解决了信息流从高层流向低层的问题，而是要组织信息在不同的部分横向流动，这种系统在信息处理系统中占有很大的比例。

3实验案例与结果分析

3.1Win7操作系统完整性保护实验（管理员权限下）

以ClarkWilson模型的完整性规则为具体要求，以win7操作系统为实验对象。要求如下：

（1）系统有IVP（完整性验证过程）对CDI（有约束数据项，完整性保护的客体，通常来说是一些重要的系统文件）的完整性进行验证；

（2）对CDI应用TP（状态转换过程），必须保持CDI的完整性；

（3）一个CDI只能被一个TP改变；

（4）TP必须写入一个只允许添加的日志文件中；

（5）TP在作用于UDI（无约束数据项，不需要保护的客体），必须保证导出有效的CDI；

（6）必须具有并保护经证明被TP访问过的CDI的表；

（7）必须具有并保护用户可以执行的描述TP的表；

（8）必须鉴别每一个用户执行TP的请求；

（9）对TP具有访问规则的主体可以修改表中的项，但这个主体没有执行TP的权利。当然在实际的系统设计时不一定完全设计如上的9条，可能是其中的某几条与别的安全模型的组合。

3.2Win7系统安全策略编辑（管理员权限下）

在管理员权限下，可以管理操作系统的很多安全策略，包括用户账户密码策略、账户锁定策略、本地策略以及网络列表管理器策略等等安全策略方案。

3.3Win7操作系统抗抵赖安全策略（管理员权限下）

操作系统给出了数字签名在TOE内部以及TOE与外部设备进行数据通信时，抗抵赖安全策略的实施。

3.4UbuntuLinux操作系统账户管理实验

以UbuntuLinux13.04版本操作系统作为实验平台，以虚拟机对本操作系统进行运行，配置可移动设备包括网络适配器、打印机、声卡等。从中可以看出本操作系统在操作之前需要鉴别用户。

3.5UbuntuLinux操作系统文件权限以及自主访问控制实验

每一个文件（在linux中目录也看成是一个特殊的文件）针对拥有者、组、其他人分别设置了是否可执行、是否可读、是否可写的权限，本实验中通过在tds用户的home目录下设置一个新的test目录，通过ls命令观察test目录的权限设置；

4结语

针对完整性、机密性以及可用性而开发的