1、第十一章 操作系統(tǒng)安全1主要內(nèi)容操作系統(tǒng)安全性基本概念操作系統(tǒng)主要安全機(jī)制安全操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)211.1 操作系統(tǒng)的安全性操作系統(tǒng)的安全需求系統(tǒng)安全的評(píng)估與標(biāo)準(zhǔn)Unix/Linux操作系統(tǒng)安全Windows 2000操作系統(tǒng)安全311.1.1 操作系統(tǒng)的安全需求計(jì)算機(jī)信息系統(tǒng)安全性保密性。安全保密是指防止信息的非授權(quán)修改，這也是信息安全最重要的要求。完整性。完整性要求信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、破壞和丟失?？煽啃?。可靠性是指系統(tǒng)提供信息的可信賴(lài)程度。可用性?？捎眯允侵府?dāng)需要時(shí)是否能存取所需信息，保護(hù)信息的可用性的任務(wù)就是防止信息失效或變得不可存取。操作系統(tǒng)安全的目標(biāo)為用戶(hù)信息處理提供

2、安全的軟件環(huán)境，為應(yīng)用程序運(yùn)行提供安全可靠的運(yùn)行環(huán)境。4操作系統(tǒng)的安全需求系統(tǒng)邊界安全認(rèn)證和鑒別禁止非法用戶(hù)進(jìn)入系統(tǒng);系統(tǒng)使用權(quán)限管理機(jī)制不同用戶(hù)配置不同的權(quán)限，每個(gè)用戶(hù)只擁有他能夠工作的最小權(quán)利；應(yīng)用和數(shù)據(jù)的訪問(wèn)控制機(jī)制用戶(hù)只能按照指定的訪問(wèn)控制安全策略訪問(wèn)數(shù)據(jù)；為系統(tǒng)用戶(hù)提供可信通路保證系統(tǒng)登陸和應(yīng)用層提供的安全機(jī)制不被旁路；系統(tǒng)操作的安全審計(jì)和管理檢查錯(cuò)誤發(fā)生的原因，或者受到攻擊時(shí)攻擊者留下的痕跡；511.1.2 系統(tǒng)安全的評(píng)估與標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng) （computer information system）由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成；可信計(jì)算基 （trusted

3、computing base ）計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。主體（subject）即主動(dòng)實(shí)體，導(dǎo)致信息在系統(tǒng)中流動(dòng)及改變系統(tǒng)狀態(tài)的用戶(hù)或進(jìn)程等；客體(object)能包含或接受信息的被動(dòng)實(shí)體，如文件、內(nèi)存塊等；敏感標(biāo)記 （sensitivity label）表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息；安全策略(security policy)系統(tǒng)資源使用和管理的安全規(guī)定和約定；6系統(tǒng)安全的評(píng)估與標(biāo)準(zhǔn)TCSEC：Trusted Computer System Evaluation Criteria標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃

4、時(shí)代的意義。1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月由美國(guó)國(guó)防部公布。國(guó)標(biāo)GB178591999：計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則該準(zhǔn)則參照TCSEC標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)。用戶(hù)自主保護(hù)級(jí)，系統(tǒng)審計(jì)保護(hù)級(jí)，安全標(biāo)記保護(hù)級(jí)，結(jié)構(gòu)化保護(hù)級(jí)，訪問(wèn)驗(yàn)證保護(hù)級(jí)POSIX.1e （Portable Operating System Interface for Computer Environ- ment）POSIX.1e是POSIX系列標(biāo)準(zhǔn)的一部分。它定義了POSIX.1規(guī)范的安全擴(kuò)展部分；POSIX.1e只規(guī)定了安全特性的函數(shù)接口（Security APIs）。

5、71. TCSEC- 共分A、B、C、D四類(lèi)八個(gè)級(jí)別D: 非安全保護(hù) C: 自主保護(hù)級(jí) C1: 允許客體擁有者決定該客體的訪問(wèn)控制權(quán)，是否可以被其他主體訪問(wèn) ；C2: 自主訪問(wèn)控制更加細(xì)致。考慮客體重用和系統(tǒng)審計(jì) ；B:強(qiáng)制安全B1: 標(biāo)記安全保護(hù)，標(biāo)記和強(qiáng)制訪問(wèn)控制；B2: 結(jié)構(gòu)安全保護(hù)，強(qiáng)制訪問(wèn)控制的范圍擴(kuò)大到所有的系統(tǒng)資源，給出證明，要求考慮隱蔽信道（存儲(chǔ)），并計(jì)算出帶寬。B3: 安全區(qū)域保護(hù)，TCB不包含與安全無(wú)關(guān)的代碼，并足夠小到可以被測(cè)試、分析、證明，系統(tǒng)具有恢復(fù)能力。A:驗(yàn)證安全保護(hù)A1:驗(yàn)證設(shè)計(jì)級(jí)，設(shè)計(jì)可以被形式化的證明；A2:驗(yàn)證實(shí)現(xiàn)級(jí)保護(hù)，實(shí)現(xiàn)可以被形式化的證明 。8系統(tǒng)安

6、全的評(píng)估與標(biāo)準(zhǔn)不分等級(jí)，無(wú)口令和權(quán)限控制，MS DOS主體自主決定的安全保護(hù)，UNIX/WINDOWSD 級(jí)C1 級(jí)C2 級(jí)B1 級(jí)B2 級(jí)B3 級(jí)A 級(jí)C1+訪問(wèn)控制，廣泛審核，Linux/WINDOWS NT標(biāo)記安全保護(hù)，如System V等結(jié)構(gòu)化內(nèi)容保護(hù)，正式安全策略模型，MULTICS安全內(nèi)核，高抗?jié)B透能力，Trusted Mach形式化校驗(yàn)級(jí)保護(hù)，SNS911.1.3 Unix/Linux操作系統(tǒng)安全機(jī)制用戶(hù)標(biāo)識(shí)和身份鑒別每個(gè)用戶(hù)一個(gè)唯一的標(biāo)識(shí)符(UID);系統(tǒng)給每個(gè)用戶(hù)組也分配有一個(gè)唯一的標(biāo)識(shí)符(GID);登錄需要密碼口令；基于保護(hù)位的自主訪問(wèn)控制安全機(jī)制用戶(hù)：owner/grou

7、p/other）訪問(wèn)權(quán)限：read/write/executable。日志信息包括：連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)和錯(cuò)誤日志。10Unix/Linux操作系統(tǒng)安全弱點(diǎn)用戶(hù)數(shù)據(jù)保護(hù)機(jī)制并不能保證嚴(yán)格安全要求；超級(jí)用戶(hù)成為系統(tǒng)安全瓶頸；缺乏必要的系統(tǒng)審計(jì)機(jī)制；用戶(hù)認(rèn)證方面的要求不夠嚴(yán)格；系統(tǒng)自身的完整性保護(hù)問(wèn)題，一旦加載惡意的核心模塊，整個(gè)系統(tǒng)可能完全被非法控制。1111.1.4 Windows 2000操作系統(tǒng)安全活動(dòng)目錄分布式對(duì)象存儲(chǔ)和管理的目錄服務(wù)；每個(gè)對(duì)象，都有唯一的安全描述符，定義了讀取或更新對(duì)象屬性所必需的訪問(wèn)權(quán)限。身份驗(yàn)證交互式登錄/網(wǎng)絡(luò)身份驗(yàn)證（ Kerberos V5、公鑰證書(shū)和NTLM

8、、智能卡登錄等）訪問(wèn)控制安全主體包括用戶(hù)，組和服務(wù)?？腕w包括：文件，文件夾、打印機(jī)、注冊(cè)表鍵、活動(dòng)目錄項(xiàng)。12主要內(nèi)容操作系統(tǒng)安全性基本概念操作系統(tǒng)主要安全機(jī)制安全操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)1311. 2 操作系統(tǒng)安全機(jī)制標(biāo)識(shí)和鑒別可信路徑管理禁止客體重用最小特權(quán)管理訪問(wèn)控制技術(shù)隱蔽信道檢測(cè)與控制安全審計(jì)1411.2.1 標(biāo)識(shí)與鑒別用戶(hù)標(biāo)識(shí)（user identification）信息系統(tǒng)用以標(biāo)識(shí)用戶(hù)的一個(gè)獨(dú)特符號(hào)或字符串;鑒別（authentication）驗(yàn)證用戶(hù)，設(shè)備，進(jìn)程和實(shí)體的身份；Unix/Linux實(shí)現(xiàn)了基本的標(biāo)識(shí)和鑒別機(jī)制。一般系統(tǒng)中有三類(lèi)用戶(hù)：超級(jí)用戶(hù),普通用戶(hù)和系統(tǒng)用戶(hù)。超級(jí)用戶(hù)：

9、root普通用戶(hù)是指那些能夠登錄系統(tǒng)的用戶(hù)系統(tǒng)用于特定的系統(tǒng)目的。例如用戶(hù)nobody和lp15標(biāo)識(shí)與鑒別UID和GID通常是唯一的，不同的用戶(hù)擁有不同的UID，不同的用戶(hù)組擁有不同的GID;用戶(hù)登錄到系統(tǒng)時(shí)，須輸入用戶(hù)名標(biāo)識(shí)其身份;用戶(hù)屬性的信息主要存儲(chǔ)在 /etc/passwd 和 /etc/shadow 系統(tǒng)文件中;系統(tǒng)會(huì)分配好用戶(hù)目錄。這塊空間與系統(tǒng)區(qū)域和其他用戶(hù)的區(qū)域分割開(kāi)來(lái)。1611.2.2 可信路徑管理任何進(jìn)入系統(tǒng)都需要進(jìn)行用戶(hù)認(rèn)證，同時(shí)進(jìn)行相應(yīng)的用戶(hù)鑒別；可信路徑該路徑上的通信只能由該用戶(hù)初始化 。實(shí)現(xiàn)可信路徑能夠準(zhǔn)確辨認(rèn)出用戶(hù)登錄的意圖；提供無(wú)法冒充的用戶(hù)界面；在用戶(hù)認(rèn)證和鑒

10、別過(guò)程中，限制無(wú)關(guān)進(jìn)程的活動(dòng)；保證通信路徑上的可靠性。17禁止客體重用含義一個(gè)主體在釋放資源時(shí)，一定要清除上面的信息。思考WINDOWS/LINUX內(nèi)存釋放后內(nèi)容被清空了嗎？WINDOWS/LINUX文件刪除后硬盤(pán)上沒(méi)有了嗎？1811.2.3 最小特權(quán)管理最小特權(quán)管理系統(tǒng)不應(yīng)給予用戶(hù)超過(guò)執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。實(shí)現(xiàn)將超級(jí)用戶(hù)的特權(quán)劃分為一組細(xì)粒度的特權(quán)，使得各種操作員或者管理員只具有完成其任務(wù)所必需的特權(quán)。一般系統(tǒng)的三種管理角色安全管理員，審計(jì)管理員，系統(tǒng)管理員。1911.2.4 訪問(wèn)控制技術(shù)訪問(wèn)控制功能管理所有資源訪問(wèn)請(qǐng)求，即根據(jù)安全策略的要求，對(duì)每個(gè)資源訪問(wèn)請(qǐng)求作出是否許可的判斷；主要

11、訪問(wèn)控制策略最小權(quán)益策略：按主體執(zhí)行任務(wù)所需權(quán)利最小化分配權(quán)利。最小泄漏策略：按主題執(zhí)行任務(wù)時(shí)所知道的信息最小化原則分配權(quán)利。多級(jí)安全策略：主體和客體按普通、秘密、機(jī)密、絕密等級(jí)別劃分，進(jìn)行權(quán)限控制。主要訪問(wèn)控制技術(shù)自主訪問(wèn)控制，強(qiáng)制訪問(wèn)控制20自主訪問(wèn)控制（Discretionary Access Control）訪問(wèn)控制方法它由資源擁有者分配訪問(wèn)權(quán)，在辨別各用戶(hù)的基礎(chǔ)上實(shí)現(xiàn)訪問(wèn)控制。實(shí)現(xiàn)方式基于行的DAC：這種方法在每個(gè)主體上都附加一個(gè)該主體可訪問(wèn)的客體的明細(xì)表；基于列的DAC：在客體上附加了一個(gè)主體明細(xì)表 來(lái)表示訪問(wèn)控制矩陣的列；弱點(diǎn)權(quán)限管理比較分散，安全性差，不能抵御特洛伊木馬的攻擊。

12、21自主訪問(wèn)控制缺陷舉例SOS 重要信息放在important文件中，權(quán)限為只有自己可以讀寫(xiě)。SPY 設(shè)計(jì)一個(gè)有用的程序Use_it_Please，除了有用的部分，還有一個(gè)木馬，同時(shí)準(zhǔn)備好一個(gè)文件Pocket，將其權(quán)限設(shè)置為: SOS:W, SPY:RW當(dāng)SOS運(yùn)行木馬程序時(shí) 木馬會(huì)將important文件的信息，寫(xiě)入Pocket中。222. 強(qiáng)制訪問(wèn)控制（Mandatory Access Control）訪問(wèn)控制方法每個(gè)主體和每個(gè)客體都有既定安全屬性，是否能執(zhí)行特定的操作取決于二者之間的關(guān)系。實(shí)現(xiàn)方式由特定用戶(hù)（管理員）實(shí)現(xiàn)授權(quán)管理；通常指TCSEC的多級(jí)安全策略：安全屬性用二元組表示，記作

13、（密集，類(lèi)別集合），密集表示機(jī)密程度，類(lèi)別集合表示部門(mén)或組織的集合。弱點(diǎn)應(yīng)用的領(lǐng)域比較窄，使用不靈活，一般只用于軍方等具有明顯等級(jí)觀念的行業(yè)或領(lǐng)域，完整性方面控制不夠。23BLP多級(jí)強(qiáng)制訪問(wèn)控制策略?xún)蓚€(gè)重要的安全特性（公理）Simple Security Condition：主體讀客體，當(dāng)且僅當(dāng)用戶(hù)的安全等級(jí)必須大于或等于該信息的安全級(jí)，并且該用戶(hù)必須具有包含該信息所有訪問(wèn)類(lèi)別的類(lèi)別集合 ；*-Property (Star Property) ：一個(gè)主體/用戶(hù)要寫(xiě)一個(gè)客體，當(dāng)且僅當(dāng)用戶(hù)的安全等級(jí)不大于該客體安全等級(jí)，并且該客體包含該用戶(hù)的所有類(lèi)別 。安全特性保證了信息的單向流動(dòng)，即信息只能向高

14、安全屬性的方向流動(dòng)，24強(qiáng)制訪問(wèn)控制防止木馬舉例SOS賦予High安全級(jí)；important文件安全級(jí)highSPY賦予low安全級(jí)；pocket文件安全級(jí)low當(dāng)運(yùn)行木馬程序時(shí)木馬程序獲得High安全級(jí)，可以讀important文件；當(dāng)向Pocket文件進(jìn)行寫(xiě)操作時(shí)會(huì)被拒絕，因?yàn)镻ocket文件的安全級(jí)別低于木馬程序的安全級(jí)別，所以不允許進(jìn)行寫(xiě)操作。2511.2.5 隱蔽信道檢測(cè)與控制定義“在強(qiáng)制式訪問(wèn)控制下，主體間以違背安全策略的形式傳遞信息的通信信道”。分類(lèi)隱蔽存儲(chǔ)通道（Covert Storage Channel）隱蔽時(shí)間通道（Covert Timing Channel）相關(guān)研究搜索：

15、靜態(tài)或動(dòng)態(tài)計(jì)算帶寬消除、減低帶寬26隱蔽信道檢測(cè)與控制隱蔽存儲(chǔ)通道存在場(chǎng)景信息發(fā)送者直接或間接地修改某存儲(chǔ)單元，信息接收者直接或間接地讀取該存儲(chǔ)單元。其產(chǎn)生的必要條件有以下四條發(fā)送和接收進(jìn)程必須能夠?qū)ν淮鎯?chǔ)單元具有存取能力；發(fā)送進(jìn)程必須能夠改變共享存儲(chǔ)單元內(nèi)容；接收進(jìn)程必須能夠探測(cè)共享存儲(chǔ)單元內(nèi)容的改變；必須有對(duì)通信初始化和發(fā)送與接收進(jìn)程同步的機(jī)制；27隱蔽信道檢測(cè)與控制時(shí)間隱蔽信道的存在場(chǎng)景信息發(fā)送者依據(jù)機(jī)密信息有規(guī)律地調(diào)節(jié)它對(duì)系統(tǒng)資源的使用，信息接收者通過(guò)觀察系統(tǒng)來(lái)推斷信息。產(chǎn)生的必要條件有以下四條發(fā)送和接收進(jìn)程必須能夠?qū)ν粡V義存儲(chǔ)單元具有存取能力；發(fā)送和接收進(jìn)程必須具有時(shí)間參照物；接

16、收進(jìn)程必須能夠探測(cè)到發(fā)送進(jìn)程對(duì)廣義存儲(chǔ)單元內(nèi)容的改變；必須有對(duì)通信初始化和發(fā)送與接收進(jìn)程同步的機(jī)制；2811.2.6 安全審計(jì)（auditing）功能要求是一種通過(guò)事后追查增強(qiáng)系統(tǒng)安全性的安全技術(shù)；對(duì)涉及系統(tǒng)安全的操作做完整記錄，并對(duì)這些記錄進(jìn)行必要的分析。審計(jì)處理記錄系統(tǒng)中主體對(duì)受保護(hù)的客體的違規(guī)訪問(wèn)情況；系統(tǒng)中主體對(duì)某些特定客體的違規(guī)訪問(wèn)情況。審計(jì)機(jī)制在系統(tǒng)調(diào)用的總?cè)肟谔幵O(shè)置審計(jì)點(diǎn)，審計(jì)系統(tǒng)調(diào)用，也就審計(jì)了所有使用內(nèi)核服務(wù)的事件。要選擇最主要的事件加以審計(jì)，不能設(shè)置太多的審計(jì)事件，以免過(guò)多影響系統(tǒng)性能。29安全審計(jì)Linux系統(tǒng)的審計(jì)連接時(shí)間日志login等程序更新wtmp和utmp文件，

17、使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。進(jìn)程統(tǒng)計(jì)由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中寫(xiě)一個(gè)記錄。錯(cuò)誤日志各種系統(tǒng)守護(hù)進(jìn)程、用戶(hù)程序和內(nèi)核通過(guò)syslog向文件/var/log/messages報(bào)告值得注意的事件。30主要內(nèi)容操作系統(tǒng)安全性基本概念操作系統(tǒng)主要安全機(jī)制安全操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)3111.3.1訪問(wèn)監(jiān)視器（Reference Monitor）主體審計(jì)數(shù)據(jù)庫(kù)引用監(jiān)視器客體訪問(wèn)控制數(shù)據(jù)庫(kù)安全策略 訪問(wèn)監(jiān)視器是一種負(fù)責(zé)實(shí)施安全策略的軟件和硬件的結(jié)合體 訪問(wèn)監(jiān)視器只是一個(gè)理論上的概念，并沒(méi)有一種實(shí)用的實(shí)現(xiàn)方法。一般人們把訪問(wèn)監(jiān)視器的概念和安全內(nèi)核

18、和可信軟件等同起來(lái)。11.3 安全操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)3211.3.2 安全策略與安全模型常用安全策略自主存取控制策略強(qiáng)制存取控制（BLP）策略BIBA策略中國(guó)墻策略常用安全模型有限狀態(tài)機(jī)模型訪問(wèn)控制矩陣基于角色的訪問(wèn)控制模型（RBAC）33安全體系結(jié)構(gòu)GFAC通用訪問(wèn)控制框架34安全體系結(jié)構(gòu)Flask結(jié)構(gòu)35典型安全操作系統(tǒng)分析在TCSEC促進(jìn)下研制了多種具有B1級(jí)別以上的安全操作系統(tǒng)產(chǎn)品IBM的安全Xenix、Bell實(shí)驗(yàn)室的System V/MLS、加拿大多倫多大學(xué)的安全TUNIS等早期的安全操作系統(tǒng)基本上是按照TCSEC中的要求為藍(lán)本研制根據(jù)單一的整體安全策略對(duì)系統(tǒng)進(jìn)行訪問(wèn)控制和防護(hù)?，F(xiàn)代安全操作系統(tǒng)中已逐步實(shí)現(xiàn)了多種安全策略（Security Policy）典型的是RSBAC和SELinux安全操作系統(tǒng)