安全操作系统操作系统是用来管理计算机资源的,它直接利用计算机硬件并为用户提供交互使用和编程接口。若想获得上层用户软件运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性、主机系统的安全性正是由其操作系统的安全性所决定的。若从根本上保证计算机系统的安全性,首先要有安全的CPU芯片、然后是安全的操作系统,从而为安全的计算机系统和安全的网络系统提供了安全基础。可信计算机系统安全评价标准第一个计算机安全评价标准TCSEC(TrustedComputerSystemEvaluationCriteria),即:“可信计算机系统安全评价标准”,又称橙皮书。人们以TCSEC为蓝本研制安全操作系统。TCSEC为安全系统指定的是一个统一的系统安全策略,这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成,这些子策略紧密地结合在一起形成一个单一的系统安全策略。保障需求安全特性需求图1-15TCSEC的构成与等级结构D:最小保护C1:自主安全保护C2:受控访问保护B1:标记安全保护B2:结构化保护B3:安全域A1:经过验证的保护高度极权化的Linux(C1级)普通Linux采用极权化的方式,设立一个root超级用户,root用户具有至高无上的权力,可以不受系统访问控制规则的任何制约,可对系统及其中的信息执行任何操作,这种做法不符合安全系统的“最小特权”原则。攻击者只要破获root用户的口令,进入系统,便得到了对系统的完全控制,其后果是不言而喻的。系统特权分化(C2级)根据“最小特权”原则对系统管理员的特权进行分化,根据系统管理任务设立角色,依据角色划分特权。典型的系统管理角色有:+系统管理员+安全管理员+审计管理员等系统管理员负责系统的安装、管理和日常维护,如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。自主访问控制功能(C1级)Linux的自主访问控制普通Linux只支持简单形式的自主访问控制,由资源(文件等)的所有者根据所有者、同组者、其他人等三类群体指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。这对资源的保护很不利。强制访问控制功能(B级)提供强制访问控制支持,采用Bell&LaPadula强制访问控制模型,为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。主体:用户、进程等客体:文件、目录、设备、IPC机制等主体和客体都有标签设置,系统根据主体和客体间标签的匹配关系强制实行访问控制,符合匹配规则的准许访问,否则拒绝访问,不管主体是普通用户还是特权用户。Bell&LaPadula模型-1Bell&LaPadula模型,简称BLP模型,由D.E.Bell和L.J.LaPadula在1973年提出,是第一个可证明的安全系统的数学模型BLP模型是根据军方的安全政策设计的,它要解决的本质问题是对具有密级划分的信息的访问进行控制。BLP模型是一个状态机模型,它定义的系统包含一个初始状态Z0和由一些三元组(请求,判定,状态)组成的序列,三元组序列中相邻状态之间满足某种关系W。BLP={Z0,R,D,S}Bell&LaPadula模型-2如果一个系统的初始状态是安全的,并且三元组序列中的所有状态都是安全的,那么这样的系统就是一个安全系统。BLP模型定义的状态是一个四元组S=(b,M,f,H),其中,b是当前访问的集合,当前访问由三元组(主体,客体,访问方式)表示,是当前状态下允许的访问;M是访问控制矩阵;f是安全级别函数,用于确定任意主体和客体的安全级别;H是客体间的层次关系。Bell&LaPadula模型-3抽象出的访问方式有四种,分别是+只可读r、+只可写a、+可读写w+不可读写(可执行)e。主体的安全级别包括+最大安全级别,通常简称为安全级别。+当前安全级别Bell&LaPadula模型-4以下特性和定理构成了BLP模型的核心内容。+简单安全特性(ss-特性):–如果当前访问是b=(主体,客体,可读),那么一定有:level(主体)≥level(客体)其中,level表示安全级别。+星号安全特性(*-特性):–在任意状态,如果(主体,客体,方式)是当前访问,那么一定有:(1)若方式是a,则:level(客体)≥current-level(主体)(2)若方式是w,则:level(客体)=current-level(主体)(3)若方式是r,则:current-level(主体)≥level(客体)其中,current-level表示当前安全级别。Bell&LaPadula模型-5+自主安全特性(ds-特性):如果(主体-i,客体-j,方式-x)是当前访问,那么,方式-x一定在访问控制矩阵M的元素Mij中。ds-特性处理自主访问控制,自主访问控制的权限由客体的属主自主确定ss-特性和*-特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定,由系统强制实施。+基本安全定理:如果系统状态的每一次变化都能满足ss-特性、*-特性和ds-特性的要求,那么,在系统的整个状态变化过程中,系统的安全性是不会被破坏的。BLP模型支持的是信息的保密性。标签标签有等级分类和非等级类别:等级分类与整数相当,可以比较大小;可设置为:非密、秘密、机密、绝密等,非等级类别与集合相当,不能比较大小,但存在包含与非包含关系。可设置为:国防部、外交部、财政部等级当一个用户的标签为秘密,{国防部}时,他可以查看“国防部”的不超过“秘密”级的信息。任何用户(包括特权用户),只要标签不符合要求,不管他原来的权利有多大(比如系统管理员),都不能对指定信息进行访问。这为信息的保护提供了强有力的措施,普通Linux无法做到这一点。小结-1安全操作系统是安全计算机系统的根基评价安全操作系统的标准TCSEC安全模型BLP参考文献:“安全操作系统研究的发展”石文昌,中国科学院软件研究所《计算机科学》Vol.29No.6和Vol.29No.7标准化机构在信息安全方面的工作-11985年,DoD5200.28-STD,即可信计算机系统评测标准(TCSEC)(美国国防部桔皮书,以下简称DOD85评测标准)1987年,美国国家计算机安全中心(NCSC)为TCSEC桔皮书提出可依赖网络解释(TNI),通常被称作红皮书。1991年,美国国家计算机安全中心(NCSC)为TCSEC桔皮书提出可依赖数据库管理系统解释(TDI)。1996年在上述标准的基础上,美国、加拿大和欧洲联合研制CC(信息技术安全评测公共标准),颁布了CC1.0版。标准化机构在信息安全方面的工作-2在欧洲,由英国、荷兰和法国带头,开始联合研制欧洲共同的安全评测标准1991年颁布欧洲的ITSEC(信息技术安全标准)。1993年,加拿大颁布CTCPEC(加拿大可信计算机产品评测标准)。1997年5月,由Visa、MasterCard等联合推出的安全电子交易(SET)规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。可以说,SET规范是目前电子商务中最重要的协议,它的推出必将大大促进电子商务的繁荣和发展。