操作系统1-2安全操作系统简介.ppt

1、安全操作系统的重要性,安全的操作系统依赖于安全的CPU芯片 安全可靠地运行用户软件, 依赖于操作系统的安全性 网络系统的安全性依赖于网络中各主机系统的安全性 主机系统的安全性决定于其操作系统的安全性,内容提纲,安全评价准则 常用操作系统与安全级别的对应举例 安全模型 B-LP 小结,可信计算机系统安全评价标准,第一个计算机安全评价标准 TCSEC (Trusted Computer System Evaluation Criteria)，即： “可信计算机系统安全评价标准”，又称橙皮书 人们以TCSEC 为蓝本研制安全操作系统 TCSEC 为安全系统指定的是一个统一的系统安全策略，这个统一的安

2、全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略 主要考虑军队的环境，对于机密性非常重视，对于完整性和可用性考虑不足。不同的安全环境有不同的安全需求，需要制定不同的安全策略，采用不同的安全模型，使用不同的安全功能,D： 最小保护 C1：自主安全保护 C2：受控访问保护 B1：标记安全保护 B2：结构化保护（可信路径） B3：安全域（引用监视器） A1：经过验证的保护 C：自主访问等级（C1/C2） B：强制访问控制（B1/B2/B3）,保障需求,安全特性需求,TCSEC 的构成与等级结构,操作系统安全级别举例,DOS D级 Linux C

3、1级 Windows NT C2级 Solaris C2级 Unix B1级,自主访问控制功能（C1级）,Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制，由资源（文件等）的所有者根据三类群体,即：所有者、同组者、其他人等指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。,高度极权化的Linux （C1级）,普通Linux采用极权化的方式，设立一个root超级用户，root用户可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作 攻击者只要破获root用户的口令，便可进入系统并完全控制系统,系统特权分化（C2级）,根据“最小特权”原则对系统

4、管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有： 系统管理员 安全管理员 审计管理员等 系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。 安全管理员负责安全属性的设定与管理。 审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。,强制访问控制功能（B级）,提供强制访问控制支持，采用Bell&LaPadula强制访问控制模型，为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。 主体: 用户、进程等(实施

5、操作方) 客体: 文件、目录、设备、IPC机制等 （受操作方） 主体和客体都有标签设置，系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特权用户。 例如：标签为，则可以查看“国防部”不超过“秘密”级的信息。（比如还会有“非密”、“机密”、“绝密”等等级别）,Bell&LaPadula模型（一）,Bell & LaPadula 模型，简称BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信

6、息的访问进行控制。 BLP 模型是一个状态机模型，它定义的系统包含一个初始状态Z0 和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP=Z0,R,D,S,Bell&LaPadula模型（二）,如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统 BLP 模型定义的状态是一个四元组S （b, M, f, H） 其中， b 是当前访问的集合，当前访问由三元组: （主体，客体，访问方式）表示，是当前状态下允许的访问 M 是访问控制矩阵； f 是安全级别函数，用于确定任意主体和客体的安全级别 H 是客体间的层次关

7、系,Bell&LaPadula模型（三）,抽象出的访问方式有四种，分别是: 只可读r 只可写a 可读写w 不可读写（可执行）e 主体的安全级别包括 最大安全级别，通常简称为安全级别 当前安全级别,Bell&LaPadula模型（四）,以下特性和定理构成了BLP模型的核心内容。 简单安全特性（ss-特性）： 如果当前访问是b （主体，客体，可读），那么一定有： level(主体) level(客体) 其中，level 表示安全级别。 星号安全特性（*-特性）： 在任意状态，如果（主体，客体，方式）是当前访问，那么一定有： (1)若方式是a，则：current_level(主体) level(客体

8、) (2)若方式是w，则：current_level(主体) level(客体) (3)若方式是r，则：current_level(主体) level(客体) 其中，current_level 表示当前安全级别。,Bell&LaPadula模型（五）,自主安全特性（ds-特性）： 如果（主体-i，客体-j，方式-x）是当前访问， 那么，方式-x 一定在访问控制矩阵M 的元素Mij 中。 ds-特性处理自主访问控制，自主访问控制的权限由客体的属主自主确定 ss-特性和*-特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。 基本安全定理：如果系统状态的每一次变化都

9、能满足ss-特性、*-特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。 BLP 模型支持的是信息的保密性。,标签,标签有等级分类和非等级类别： 等级分类与整数相当，可以比较大小； 可设置为：非密、秘密、机密、绝密等， 非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。 可设置为：国防部、外交部、财政部等级 当一个用户的标签为时，他可以查看“国防部”的不超过“秘密”级的信息。任何用户（包括特权用户），只要标签不符合要求，不管他原来的权利有多大（比如系统管理员），都不能对指定信息进行访问。这为信息的保护提供了强有力的措施，普通Linux无法做到这一点

10、。,小结,安全操作系统是安全计算机系统的根基 评价安全操作系统的标准TCSEC 安全模型BLP（适合B标准） 参考文献： “安全操作系统研究的发展” 石文昌，中国科学院软件研究所 计算机科学Vol.29 No.6和Vol.29 No.7,标准化机构在信息安全方面的工作-1,1985年，DoD520028STD，即可信计算机系统评测标准（TCSEC，美国国防部桔皮书，以下简称DOD85评测标准） 1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书 1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI） 1996年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准），颁布了CC 1.0版 此后美国不再受理以TCSEC为制度的评价申请，所有的安全评价都按照CC进行 CC将安全功能和安全保证分离,标准化机构在信息安全方面的工作-2,在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准 1991年颁布欧洲的ITSEC（信息技术安全标准）。 1993年，加拿大颁布CTCPEC（加拿大可信计算机产品评测标准）。 1997年5月，由Visa、MasterCard等联合推出的安全电子交易（SET）规范