安全操作系统简介任爱华版

1、安全操作系统,操作系统是用来管理计算机资源的,它直接利用计算机硬件并为用户提供交互使用和编程接口。若想获得上层用户软件运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础 在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性、主机系统的安全性正是由其操作系统的安全性所决定的。 若从根本上保证计算机系统的安全性，首先要有安全的CPU芯片、然后是安全的操作系统，从而为安全的计算机系统和安全的网络系统提供了安全基础。,可信计算机系统安全评价标准,第一个计算机安全评价标准 TCSEC(Trusted Computer System Evaluation Criteria)

2、，即： “可信计算机系统安全评价标准”，又称橙皮书。 人们以TCSEC 为蓝本研制安全操作系统。 TCSEC 为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略。,D：最小保护 C1：自主安全保护 C2：受控访问保护 B1：标记安全保护 B2：结构化保护 B3：安全域 A1：经过验证的保护,高度极权化的Linux （C1级）,普通Linux采用极权化的方式，设立一个root超级用户，root用户具有至高无上的权力，可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作，这种

3、做法不符合安全系统的“最小特权”原则。攻击者只要破获root用户的口令，进入系统，便得到了对系统的完全控制，其后果是不言而喻的。,系统特权分化（C2级）,根据“最小特权”原则对系统管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有： 系统管理员 安全管理员 审计管理员等 系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。,自主访问控制功能（C1级

4、）,Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制，由资源（文件等）的所有者根据所有者、同组者、其他人等三类群体指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。这对资源的保护很不利。,强制访问控制功能（B级）,提供强制访问控制支持，采用Bell&LaPadula强制访问控制模型，为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。 主体: 用户、进程等 客体: 文件、目录、设备、IPC机制等 主体和客体都有标签设置，系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特

5、权用户。,Bell&LaPadula模型-1,Bell&LaPadula 模型，简称BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。 BLP 模型是一个状态机模型，它定义的系统包含一个初始状态Z0 和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP=Z0,R,D,S,Bell&LaPadula模型-2,如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就

6、是一个安全系统。 BLP 模型定义的状态是一个四元组S=（b, M, f, H）， 其中， b 是当前访问的集合，当前访问由三元组（主体，客体，访问方式）表示，是当前状态下允许的访问； M 是访问控制矩阵； f 是安全级别函数，用于确定任意主体和客体的安全级别； H 是客体间的层次关系。,Bell&LaPadula模型-3,抽象出的访问方式有四种，分别是 只可读r、 只可写a、 可读写w 不可读写（可执行）e。 主体的安全级别包括 最大安全级别，通常简称为安全级别。 当前安全级别,Bell&LaPadula模型-4,以下特性和定理构成了BLP 模型的核心内容。 简单安全特性（ss-特性）： 如

7、果当前访问是b=（主体，客体，可读），那么一定有： level(主体) level(客体) 其中，level 表示安全级别。 星号安全特性（*-特性）： 在任意状态，如果（主体，客体，方式）是当前访问，那么一定有： (1)若方式是a，则：level(客体) current-level(主体) (2)若方式是w，则：level(客体) = current-level(主体) (3)若方式是r，则：current-level(主体) level(客体) 其中，current-level 表示当前安全级别。,Bell&LaPadula模型-5,自主安全特性（ds-特性）： 如果（主体-i，客体-j，

8、方式-x）是当前访问， 那么，方式-x 一定在访问控制矩阵M 的元素Mij 中。 ds-特性处理自主访问控制，自主访问控制的权限由客体的属主自主确定 ss-特性和*-特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。 基本安全定理：如果系统状态的每一次变化都能满足ss-特性、*-特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。 BLP 模型支持的是信息的保密性。,标签,标签有等级分类和非等级类别： 等级分类与整数相当，可以比较大小； 可设置为：非密、秘密、机密、绝密等， 非等级类别与集合相当，不能比较大小，但存在包含与非包

9、含关系。 可设置为：国防部、外交部、财政部等级 当一个用户的标签为时，他可以查看“国防部”的不超过“秘密”级的信息。任何用户（包括特权用户），只要标签不符合要求，不管他原来的权利有多大（比如系统管理员），都不能对指定信息进行访问。这为信息的保护提供了强有力的措施，普通Linux无法做到这一点。,小结-1,安全操作系统是安全计算机系统的根基 评价安全操作系统的标准TCSEC 安全模型BLP 参考文献： “安全操作系统研究的发展” 石文昌，中国科学院软件研究所 计算机科学Vol.29 No.6和Vol.29 No.7,标准化机构在信息安全方面的工作-1,1985年，DoD520028STD，即可信

10、计算机系统评测标准（TCSEC）（美国国防部桔皮书，以下简称DOD85评测标准） 1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书。 1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI）。 1996年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准），颁布了CC 1.0版。,标准化机构在信息安全方面的工作-2,在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准 1991年颁布欧洲的ITSEC（信息技术安全标准）。 1993年，加拿大颁布CTCPEC（加拿大可信计算机产品评测标准）。 1997年5月，由Vis