操作系統(tǒng)平安第九章操作系統(tǒng)平安測評引言平安功能作為平安操作系統(tǒng)所應(yīng)提供的一個重要功能組成局部，業(yè)界對于它和其他功能的要求是不同的。平安操作系統(tǒng)的一個平安漏洞，可能致使整個系統(tǒng)所有的平安控制變得毫無價值，并且一旦這個漏洞如果被蓄意入侵者發(fā)現(xiàn)，就會產(chǎn)生巨大危害，所以要求能及時發(fā)現(xiàn)這些平安漏洞并且對這些漏洞作出響應(yīng)。引言9.1操作系統(tǒng)漏洞掃描與平安評測操作系統(tǒng)平安漏洞掃描的主要目的是：自動評估由于操作系統(tǒng)的固有缺陷或配置方式不當(dāng)所導(dǎo)致的平安漏洞。掃描軟件在每臺機器上運行，通過一系列測試手段來探查每一臺機器，發(fā)現(xiàn)潛在的平安缺陷。它從操作系統(tǒng)的角度評估單機的平安環(huán)境并生成所發(fā)現(xiàn)的平安漏洞的詳細(xì)報告。我們可以使用掃描軟件對平安策略和實際實施進(jìn)行比較，并給出建議采取相應(yīng)措施來堵塞平安漏洞。9.1.1操作系統(tǒng)漏洞掃描四個方面1關(guān)鍵系統(tǒng)文件完整性的威脅掃描軟件可以檢查關(guān)鍵系統(tǒng)文件是否在非授權(quán)的情況下被修改，這種檢查提供了檢測漏洞的一種手段。2木馬程序黑客入侵電腦后經(jīng)常會在系統(tǒng)文件中內(nèi)嵌木馬程序，這種程序潛伏在電腦中，受外部用戶控制以竊取本機信息，占用系統(tǒng)資源，降低電腦效能，給計算機的平安構(gòu)成很大威脅。掃描軟件可以檢查操作系統(tǒng)中是否存在這種應(yīng)用程序。9.1.1操作系統(tǒng)漏洞掃描四個方面3可疑文件黑客入侵電腦后會留下蹤跡，掃描軟件能夠檢測到這些蹤跡。4系統(tǒng)設(shè)置錯誤文件系統(tǒng)常常被設(shè)置成沒有平安性，由于設(shè)置不正確導(dǎo)致存在潛在的平安漏洞。掃描軟件能夠檢查系統(tǒng)設(shè)置是否正確，檢測平安漏洞。9.1.2操作系統(tǒng)平安性評測〔1〕需求1：平安策略必須有一個明確的、確定的和良好定義的由系統(tǒng)實施的平安策略?！?〕需求2：識別系統(tǒng)必須唯一可靠的識別每一個主體〔3〕需求3：標(biāo)記為指明每一個客體的平安級別，系統(tǒng)按照強制存取控制規(guī)那么，必須給每一個客體加一個標(biāo)簽。9.1.2操作系統(tǒng)平安性評測〔4〕需求4：審計系統(tǒng)對影響平安的事件必須維持完全和平安的記錄〔5〕需求5：保證系統(tǒng)必須包含某些硬件和軟件的平安機制，以便保證以上四項根本要求被正確實施?！?〕需求6：連續(xù)保護(hù)實現(xiàn)這些根本需求的平安性機制必須受到連續(xù)保護(hù)以防止篡改和未經(jīng)批準(zhǔn)的改變。9.2評測技術(shù)我們說一個操作系統(tǒng)是平安的，是指它滿足某一給定的平安策略。一個操作系統(tǒng)的平安性是與設(shè)計密切相關(guān)的，只有有效保證從設(shè)計者到用戶都相信設(shè)計準(zhǔn)確地表達(dá)了模型，而代碼準(zhǔn)確地表達(dá)了設(shè)計時，該操作系統(tǒng)才可以說是平安的，這也是平安操作系統(tǒng)評測的主要內(nèi)容。評測操作系統(tǒng)平安性的技術(shù)有三種：入侵測試形式化驗證非形式化確認(rèn)1.入侵測試在這種方法中，“老虎〞小組成員試圖“摧毀〞正在測試中的平安操作系統(tǒng)?！袄匣ⅷ曅〗M成員應(yīng)當(dāng)掌握操作系統(tǒng)典型的平安漏洞，并試圖發(fā)現(xiàn)并利用系統(tǒng)中的這些平安缺陷。操作系統(tǒng)在某一次入侵測試中失效，那么說明它內(nèi)部有錯。相反地，操作系統(tǒng)在某一次入侵測試中不失效，并不能保證系統(tǒng)中沒有任何錯誤。入侵測試在確定錯誤存在方面是非常有用的。一般來說，評價一個計算機系統(tǒng)平安性能的上下，應(yīng)從如下兩個方面進(jìn)行。(1)平安功能:系統(tǒng)具有哪些平安功能。(2)可信性:平安功能在系統(tǒng)中得以實現(xiàn)的可被信任的程度。通常通過文檔標(biāo)準(zhǔn)、系統(tǒng)測試、形式化驗證等平安保證來說明。2.形式化驗證分析操作系統(tǒng)平安性最精確的方法是形式化驗證。在形式化驗證中，平安操作系統(tǒng)被簡化為一個要證明的“定理〞。定理斷言該平安操作系統(tǒng)是正確的，即它提供了所應(yīng)提供的平安特性。但是證明整個平安操作系統(tǒng)正確性的工作量是巨大的。另外，形式化驗證也是一個復(fù)雜的過程，對于某些大的實用系統(tǒng)，試圖描述及驗證它都是十分困難的，特別是那些在設(shè)計時并未考慮形式化驗證的系統(tǒng)更是如此。3.非形式化確認(rèn)確認(rèn)是比驗證更為普遍的術(shù)語。它包括驗證，但它也包括其他一些不太嚴(yán)格的讓人們相信程序正確性的方法。完成一個平安操作系統(tǒng)確實認(rèn)有如下幾種不同的方法。(1)平安需求檢查：通過源代碼或系統(tǒng)運行時所表現(xiàn)的平安功能，交叉檢查操作系統(tǒng)的每個平安需求。其目標(biāo)是認(rèn)證系統(tǒng)所做的每件事是否都在功能需求表中列出，這一過程有助于說明系統(tǒng)僅作了它應(yīng)該做的每件事。但是這一過程并不能保證系統(tǒng)沒有做它不應(yīng)該做的事情。3.非形式化確認(rèn)(2)設(shè)計及代碼檢查：設(shè)計者及程序員在系統(tǒng)開發(fā)時通過仔細(xì)檢查系統(tǒng)設(shè)計或代碼，試圖發(fā)現(xiàn)設(shè)計或編程錯誤。例如不正確的假設(shè)、不一致的動作或錯誤的邏輯等。這種檢查的有效性依賴于檢查的嚴(yán)格程度。(3)模塊及系統(tǒng)測試：在程序開發(fā)期間，程序員或獨立測試小組挑選數(shù)據(jù)檢查操作系統(tǒng)的平安性。必須組織測試數(shù)據(jù)以便檢查每條運行路線、每個條件語句、所產(chǎn)生的每種類型的報表、每個變量的更改等。在這個測試過程中要求以一種有條不紊的方式檢查所有的實體。9.3操作系統(tǒng)平安級別為了對現(xiàn)有計算機系統(tǒng)的平安性進(jìn)行統(tǒng)一的評價，為計算機系統(tǒng)制造商提供一個有權(quán)威的系統(tǒng)平安性標(biāo)準(zhǔn)，需要有一個計算機系統(tǒng)平安評測準(zhǔn)那么。美國國防部于1983年推出了歷史上第一個計算機平安評價標(biāo)準(zhǔn)?可信計算機系統(tǒng)評測準(zhǔn)那么〔TrustedComputerSystemEvaluationCriteria，TCSEC〕?，又稱橘皮書。TCSEC將計算機操作系統(tǒng)平安分為四大類〔A、B、C、D〕，D、C1、C2、B1、B2、B3和A1七個級別。1操作系統(tǒng)平安級別D類：無保護(hù)最低平安性，無任何平安保護(hù)，不再分級。不滿足任何較高平安可信性的系統(tǒng)全部劃入D級。該級別說明整個系統(tǒng)都是不可信任的，對硬件來說，沒有任何保護(hù)作用，操作系統(tǒng)容易受到損害，不提供身份驗證和訪問控制。例如，MS-DOS、MacintoshSystem7.x等操作系統(tǒng)屬于這個級別。1操作系統(tǒng)平安級別C類：自定式保護(hù)該等級具有一定的保護(hù)能力，采用自主訪問控制和審計跟蹤的措施。該類的平安特點在于系統(tǒng)的對象〔如文件、目錄〕可由其主體〔如系統(tǒng)管理員、用戶、應(yīng)用程序〕自定義訪問權(quán)。自主保護(hù)類依據(jù)平安從低到高又分為C1、C2兩個平安等級?！?〕C1：自主平安保護(hù)，主存取控制?！?〕C2：自主訪問保護(hù)，較完善的自主存取控制〔DAC〕、審計。C1平安等級又稱自主平安保護(hù)〔discretionarysecurityprotection〕系統(tǒng)，實際上描述了一個典型的UNIX系統(tǒng)上可用的平安評測級別。對硬件來說，存在某種程度的保護(hù)。用戶必須通過用戶注冊名和口令系統(tǒng)識別，這種組合用來確定每個用戶對程序和信息擁有什么樣的訪問權(quán)限。具體地說，這些訪問權(quán)限是文件和目錄的許可權(quán)限〔permission〕。存在一定的自主存取控制機制〔DAC〕，這些自主存取控制使得文件和目錄的擁有者或者系統(tǒng)管理員，能夠阻止某個人或幾組人訪問哪些程序或信息。UNIX的“owner/group/other〞存取控制機制，即是一種典型的事例。C1平安等級但是這一級別沒有提供阻止系統(tǒng)管理賬戶行為的方法，結(jié)果是不審慎的系統(tǒng)管理員可能在無意中損害了系統(tǒng)的平安。另外，在這一級別中，許多日常系統(tǒng)管理任務(wù)只能通過超級用戶執(zhí)行。由于系統(tǒng)無法區(qū)分哪個用戶以root身份注冊系統(tǒng)執(zhí)行了超級用戶命令，因而容易引發(fā)信息平安問題，且出了問題以后難以追究責(zé)任。C2平安等級又稱受控制的存取控制系統(tǒng)。它具有以用戶為單位的DAC機制，且引入了審計機制。除C1包含的平安特征外，C2級還包含其他受控訪問環(huán)境〔controlled-accessenvironment〕的平安特征。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問某些文件的能力，這不僅基于許可權(quán)限，而且基于身份驗證級別。另外，這種平安級別要求對系統(tǒng)加以審計，包括為系統(tǒng)中發(fā)生的每個事件編寫一個審計記錄。審計用來跟蹤記錄所有與平安有關(guān)的事件，比方那些由系統(tǒng)管理員執(zhí)行的活動。1操作系統(tǒng)平安級別B類：強制式保護(hù)B類為強制保護(hù)類〔mandatoryprotection)。該類的平安特點在于由系統(tǒng)強制的平安保護(hù)，在強制保護(hù)模式中，每個系統(tǒng)對象〔如文件、目錄等資源〕及主體〔如系統(tǒng)管理員、用戶、應(yīng)用程序〕都有自己的平安標(biāo)簽〔securitylabel〕，系統(tǒng)那么依據(jù)主體和對象的平安標(biāo)簽賦予訪問者對訪問對象的存取權(quán)限。強制保護(hù)類依據(jù)平安從低到高又分為B1、B2、B3這3個平安等級。B1平安等級B1級或標(biāo)記平安保護(hù)〔labeledsecurityprotection〕級：B1級要求具有C2級的全部功能，并引入強制型存取控制〔MAC〕機制，以及相應(yīng)的主體、客體平安級標(biāo)記和標(biāo)記管理。B1級是支持多級平安〔比方秘密和絕密〕的第一個級別，這一級別說明一個處于強制性訪問控制之下的對象，不允許文件的擁有者改變其存取許可權(quán)限。B2平安等級B2級或結(jié)構(gòu)保護(hù)〔structuredprotection〕級：B2級要求具有形式化的平安模型、描述式頂層設(shè)計說明〔DTDS〕、更完善的MAC機制、可信通路機制、系統(tǒng)結(jié)構(gòu)化設(shè)計、最小特權(quán)管理、隱蔽通道分析和處理等平安特征。B2級要求計算機系統(tǒng)中所有的對象都加標(biāo)記，而且給設(shè)備〔如磁盤、磁帶或終端〕分配單個或多個平安級別。B3平安等級B3級或平安域〔securitydomain〕級：B3級要求具有全面的存取控制〔訪問監(jiān)控〕機制、嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計及TCB最小復(fù)雜性設(shè)計、審計實時報告機制、更好地分析和解決隱蔽通道問題等平安特征。B3使用安裝硬件的方法增強域的平安性，例如，內(nèi)存管理硬件用于保護(hù)平安域以防止無授權(quán)訪問或?qū)ζ渌桨灿驅(qū)ο蟮男薷摹Ｔ摷墑e也要求用戶的終端通過一條可信任途徑連接到系統(tǒng)上。A1平安等級A類為驗證保護(hù)類〔verifydesign〕：A類是當(dāng)前橘皮書中最高的平安級別，它包含了一個嚴(yán)格的設(shè)計、控制和驗證過程。與前面提到的各級別一樣。這一級包含了較低級別的所有特性。設(shè)計必須是從數(shù)學(xué)上經(jīng)過驗證的，而且必須進(jìn)行隱蔽通道和可信任分布的分析?？尚湃畏植肌瞭rusteddistribution〕的含義是，硬件和軟件在傳輸過程中已經(jīng)受到保護(hù)，不可能破壞平安系統(tǒng)。驗證保護(hù)類只有一個平安等級，即A1級。A1級要求具有系統(tǒng)形式化頂層設(shè)計說明〔FTDS〕，并形式化驗證FTDS與形式化模型的一致性，以及用形式化技術(shù)解決隱蔽通道問題等。中國國標(biāo)GB17859—1999我國于1999年10月19日發(fā)布了?計算機信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?GB17859-1999〔ClassifiedcriteriaforsecurityprotectionofComputerinformationsystem〕，規(guī)定了計算機信息系統(tǒng)平安保護(hù)能力的五個等級：第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：平安標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗證保護(hù)級中國國標(biāo)GB17859—1999美國國防部采購的系統(tǒng)要求其平安級別至少到達(dá)B類，商業(yè)用途的系統(tǒng)也追求到達(dá)C類平安級別。但是，國外廠商向我國推銷平安功能符合TCSECB類和以上級別的計算機系統(tǒng)是限制的。因此，自主開發(fā)符合TCSEC中B類平安功能的平安操作系統(tǒng)一直是我國近幾年來研究的熱點。TCSEC從B1到B2的升級，在美國被認(rèn)為是平安操作系統(tǒng)設(shè)計開發(fā)中，單級增強最為困難的一個階段。我國國標(biāo)根本上是參照美國TCSEC制定的，但將計算機信息系統(tǒng)平安保護(hù)能力劃分為5個等級，第五級是最高平安等級。一般認(rèn)為我國GB17859—1999的第四級對應(yīng)于TCSECB2級，第五級對應(yīng)于TCSECB3級。1.第一級：用戶自主保護(hù)級每個用戶對屬于自己的客體具有控制權(quán)，如不允許其他用戶寫他的文件而允許其他用戶讀他的文件。存取控制的權(quán)限可基于3個層次：客體的屬主、同組用戶、其他任何用戶。系統(tǒng)中的用戶必須用一個注冊名和一個口令驗證其身份，目的在于標(biāo)明主體是以某個用戶的身份進(jìn)行工作的，防止非授權(quán)用戶登錄系統(tǒng)。確保非授權(quán)用戶不能訪問和修改“用來控制客體存取的敏感信息〞和“用來進(jìn)行用戶身份鑒別的數(shù)據(jù)〞。2.第二級：系統(tǒng)審計保護(hù)級(1)自主存取控制的粒度更細(xì)。(2)審計機制。審計系統(tǒng)中受保護(hù)客體被訪問的情況〔包括增加、刪除等〕，用戶身份鑒別機制的使用，系統(tǒng)管理員、系統(tǒng)平安管理員、操作員的對系統(tǒng)的操作，以及其他與系統(tǒng)平安有關(guān)的事件。要確保審計日志不被非授權(quán)用戶訪問和破壞。(3)TCB對系統(tǒng)中的所有用戶進(jìn)行惟一標(biāo)識〔如id號〕，系統(tǒng)能通過用戶標(biāo)識號確認(rèn)相應(yīng)的用戶。(4)客體重用。釋放一個客體時，將釋放其目前所保存的信息；當(dāng)它再次分配時，新主體將不能據(jù)此獲得其原主體的任何信息。3.第三級：平安標(biāo)記保護(hù)級(1)強制存取控制機制。(2)在網(wǎng)絡(luò)環(huán)境中，要使用完整性敏感標(biāo)記確保信息在傳送過程中沒有受損。(3)系統(tǒng)要提供有關(guān)平安策略模型的非形式化描述。(4)在系統(tǒng)中，主體對客體的訪問要同時滿足強制訪問控制檢查和自主訪問控制檢查。(5)在審計記錄的內(nèi)容中，對客體增加和刪除事件要包括客體的平安級別。另外，TCB對可讀輸出記號〔如輸出文件的平安級標(biāo)記等〕的更改要能審計。4.第四級：結(jié)構(gòu)化保護(hù)級(1)可信計算基建立于一個明確定義的形式化平安策略模型之上。(2)對系統(tǒng)中的所有主體和客體實行自主訪問控制和強制訪問控制。(3)進(jìn)行隱蔽存儲信道分析。(4)為用戶注冊建立可信通路機制。(5)TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。TCB的接口定義必須明確，其設(shè)計和實現(xiàn)要能經(jīng)受更充分的測試和更完整的復(fù)審。(6)支持系統(tǒng)管理員和操作員的職能劃分，提供了可信功能管理。4.第四級：結(jié)構(gòu)化保護(hù)級具體內(nèi)容如下所示。●自主訪問控制。同第三級“平安標(biāo)記保護(hù)級〞?！駨娭圃L問控制。TCB對外部主體能夠直接或間接訪問的所有資源實施強制訪問控制?！裆矸蓁b別。同第三級“平安標(biāo)記保護(hù)級〞。●客體重用。同第三級“平安標(biāo)記保護(hù)級〞?！駥徲嫛Ｍ谌墶捌桨矘?biāo)記保護(hù)級〞，但增加了審計隱蔽存儲信道事件?！耠[蔽通道分析。系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲信道，并確定每一個被標(biāo)識信道的最大帶寬?！窨尚怕窂?。對用戶的初始登錄〔如login〕，TCB在它與用戶之間提供可信通信路徑，使用戶確信與TCB進(jìn)行通信。5.第五級：訪問驗證保護(hù)級(1)TCB滿足參照監(jiān)視器需求，它仲裁主體對客體的全部訪問，其本身足夠小，能夠分析和測試。在構(gòu)建TCB時，要去除那些對實施平安策略不必要的代碼，在設(shè)計和實現(xiàn)時，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。(2)擴充審計機制，當(dāng)發(fā)生與平安相關(guān)的事件時能發(fā)出信號。(3)系統(tǒng)具有很強的抗?jié)B透能力。9.3.1平安評測開展過程9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC9.3.2美國橘皮書TCSEC加拿大標(biāo)準(zhǔn)加拿大政府設(shè)計開發(fā)了自己的可信任計算機標(biāo)準(zhǔn)——加拿大可信計算機產(chǎn)品評估標(biāo)準(zhǔn)〔CanadianTrustedComputerProductEvaluationCriteria,CTCPEC〕。CTCPEC提出了在開發(fā)或評估過程中產(chǎn)品的功能〔functionality〕和保證〔assurance〕。功能包括機密〔confidentiality〕、完整性〔integrity〕、可用性〔availability〕和可追究性〔accountability〕。保證說明平安產(chǎn)品實現(xiàn)平安策略的可信程度。9.3.4通用平安評價準(zhǔn)那么CC美國聯(lián)合荷、法、德、英、加等國，于1991年1月宣布了制定通用平安評價準(zhǔn)那么〔CommonCriteriaforITSecurityEvaluation，CC〕的方案。1996年1月發(fā)布了CC的1.0版。它的根底是歐洲的ITSEC、美國的TCSEC、加拿大的CTCPEC，以及國際標(biāo)準(zhǔn)化組織ISOSC27WG3的平安評價標(biāo)準(zhǔn)。1999年7月，國際標(biāo)準(zhǔn)化組織ISO將CC2.0作為國際標(biāo)準(zhǔn)——ISO/IEC15408公布。CC標(biāo)準(zhǔn)提出了“保護(hù)輪廓〞，將評估過程分為“功能〞和“保證〞兩局部，是目前最全面的信息技術(shù)平安評估標(biāo)準(zhǔn)。1.CC的目標(biāo)讀者CC的目標(biāo)讀者主要包括TOE用戶、TOE開發(fā)者和TOE評估者。其他讀者包括系統(tǒng)管理員和平安管理員、內(nèi)部和外部審計員、平安規(guī)劃和設(shè)計者、評估發(fā)起人和評估機構(gòu)。用戶可以利用評估結(jié)果，判斷一個系統(tǒng)和產(chǎn)品是否滿足他們的平安需求，可以通過評估結(jié)