計(jì)算機(jī)操作系統(tǒng)安全模型的實(shí)例化分析與研究

摘要：本文以國(guó)際國(guó)內(nèi)信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)入手，首先提出本文對(duì)于國(guó)標(biāo)GB17859-1999五個(gè)安全等級(jí)的分析與理解，突出每一個(gè)等級(jí)的安全技術(shù)特性，這也是后面將要關(guān)注與具體實(shí)例化的地方。然后通過(guò)計(jì)算機(jī)操作系統(tǒng)安全模型為切入點(diǎn)，聚焦在計(jì)算機(jī)操作系統(tǒng)上，從理論的角度分辨了幾種經(jīng)典的安全模型，當(dāng)然也是當(dāng)今計(jì)算機(jī)操作系統(tǒng)安全模型發(fā)展的基礎(chǔ)，在本部分中，對(duì)自主訪問(wèn)控制、強(qiáng)制訪問(wèn)空間、機(jī)密性以及完整性等多個(gè)安全技術(shù)的具體方面做出了深入的分析。最后以經(jīng)典UbuntuLinux操作系統(tǒng)以及Windows7操作系統(tǒng)作為具體實(shí)例化的實(shí)驗(yàn)系統(tǒng)，作為本文的創(chuàng)新點(diǎn)，對(duì)用戶鑒別、標(biāo)識(shí)以及訪問(wèn)控制方面進(jìn)行針對(duì)性的實(shí)驗(yàn)仿真分析。

關(guān)鍵詞：信息安全安全模型操作系統(tǒng)實(shí)例化

中圖分類號(hào)：TP393.09文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9416（2015）12-0000-00

1背景

早在1967年美國(guó)國(guó)防科學(xué)委員會(huì)就提出計(jì)算機(jī)安全保護(hù)問(wèn)題，1970年美國(guó)國(guó)防部（DoD）在國(guó)家安全局（NSA）建立一個(gè)計(jì)算機(jī)安全評(píng)估中心（NCSC），開(kāi)始了計(jì)算機(jī)安全評(píng)估的理論與技術(shù)的研究，而計(jì)算機(jī)系統(tǒng)安全的核心問(wèn)題是操作系統(tǒng)的安全問(wèn)題。1983年8月NCSC首先推出了DoD可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則（CSC-STD-001-83）。這套標(biāo)準(zhǔn)的文獻(xiàn)名稱是可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TrustedComputerSystemEvaluationCriteria——TCSEC），俗稱橘皮書(shū)。中國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局于1999年9月13日正式公布了新的國(guó)家標(biāo)準(zhǔn)“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”（GB17859-1999）。該標(biāo)準(zhǔn)于2001年元旦開(kāi)始實(shí)施。這是我國(guó)第一部關(guān)于計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分的標(biāo)準(zhǔn)。2008年信息安全相關(guān)標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（GB/T18336-2008）正式版本，該標(biāo)準(zhǔn)基于GB17859-1999基礎(chǔ)上對(duì)我國(guó)的信息安全產(chǎn)品和系統(tǒng)提出了更具體的要求。

2計(jì)算機(jī)安全模型與安全功能解析

計(jì)算機(jī)安全模型是針對(duì)計(jì)算機(jī)系統(tǒng)的安全子系統(tǒng)的一種抽象化模型，用模塊化的語(yǔ)言描述了計(jì)算機(jī)安全子系統(tǒng)的每個(gè)功能模塊如何實(shí)現(xiàn)，但是對(duì)于安全功能包括性能的檢測(cè)并沒(méi)有給出具體的方法與步驟，那么就需要去研究安全模型中提出的安全技術(shù)是如何實(shí)現(xiàn)的，用什么樣的方式可以去驗(yàn)證該安全功能得到了正確的執(zhí)行。這對(duì)于計(jì)算機(jī)操作系統(tǒng)安全性的檢測(cè)是十分有價(jià)值的。

最基本的安全模型是訪問(wèn)監(jiān)視器模型，其映射計(jì)算機(jī)系統(tǒng)的可信計(jì)算基TCB，即安全核，它的作用是負(fù)責(zé)實(shí)施系統(tǒng)的安全策略，在主體與客體之間對(duì)所有的訪問(wèn)操作實(shí)施監(jiān)控，這也是后來(lái)的安全模型的發(fā)展基礎(chǔ)。

主流的安全模型主要有：

BLP模型可以很好的解決信息流從高安全等級(jí)向低安全等級(jí)流動(dòng)的問(wèn)題，實(shí)現(xiàn)的方法是通過(guò)SS-property以及*-property的上讀下寫(xiě)屬性，使得信息流只能往高安全等級(jí)的地方寫(xiě)入，很好的防止了特洛伊木馬等高權(quán)限主體對(duì)于信息的篡改和竊取。在信息流控制方面給出了具體的實(shí)現(xiàn)方法，這也為后面的檢測(cè)與驗(yàn)證提供了分析的思路。后面會(huì)通過(guò)具體的實(shí)驗(yàn)來(lái)驗(yàn)證信息流管理、BLP模型的自主訪問(wèn)控制以及強(qiáng)制訪問(wèn)控制、鑒別與標(biāo)識(shí)功能等安全功能。

同樣是針對(duì)機(jī)密性開(kāi)發(fā)的ChineseWall模型屬于一種多邊安全模型，它不像BLP模型解決了信息流從高層流向低層的問(wèn)題，而是要組織信息在不同的部分橫向流動(dòng)，這種系統(tǒng)在信息處理系統(tǒng)中占有很大的比例。

3實(shí)驗(yàn)案例與結(jié)果分析

3.1Win7操作系統(tǒng)完整性保護(hù)實(shí)驗(yàn)（管理員權(quán)限下）

以ClarkWilson模型的完整性規(guī)則為具體要求，以win7操作系統(tǒng)為實(shí)驗(yàn)對(duì)象。要求如下：

（1）系統(tǒng)有IVP（完整性驗(yàn)證過(guò)程）對(duì)CDI（有約束數(shù)據(jù)項(xiàng)，完整性保護(hù)的客體，通常來(lái)說(shuō)是一些重要的系統(tǒng)文件）的完整性進(jìn)行驗(yàn)證；

（2）對(duì)CDI應(yīng)用TP（狀態(tài)轉(zhuǎn)換過(guò)程），必須保持CDI的完整性；

（3）一個(gè)CDI只能被一個(gè)TP改變；

（4）TP必須寫(xiě)入一個(gè)只允許添加的日志文件中；

（5）TP在作用于UDI（無(wú)約束數(shù)據(jù)項(xiàng)，不需要保護(hù)的客體），必須保證導(dǎo)出有效的CDI；

（6）必須具有并保護(hù)經(jīng)證明被TP訪問(wèn)過(guò)的CDI的表；

（7）必須具有并保護(hù)用戶可以執(zhí)行的描述TP的表；

（8）必須鑒別每一個(gè)用戶執(zhí)行TP的請(qǐng)求；

（9）對(duì)TP具有訪問(wèn)規(guī)則的主體可以修改表中的項(xiàng)，但這個(gè)主體沒(méi)有執(zhí)行TP的權(quán)利。當(dāng)然在實(shí)際的系統(tǒng)設(shè)計(jì)時(shí)不一定完全設(shè)計(jì)如上的9條，可能是其中的某幾條與別的安全模型的組合。

3.2Win7系統(tǒng)安全策略編輯（管理員權(quán)限下）

在管理員權(quán)限下，可以管理操作系統(tǒng)的很多安全策略，包括用戶賬戶密碼策略、賬戶鎖定策略、本地策略以及網(wǎng)絡(luò)列表管理器策略等等安全策略方案。

3.3Win7操作系統(tǒng)抗抵賴安全策略（管理員權(quán)限下）

操作系統(tǒng)給出了數(shù)字簽名在TOE內(nèi)部以及TOE與外部設(shè)備進(jìn)行數(shù)據(jù)通信時(shí)，抗抵賴安全策略的實(shí)施。

3.4UbuntuLinux操作系統(tǒng)賬戶管理實(shí)驗(yàn)

以UbuntuLinux13.04版本操作系統(tǒng)作為實(shí)驗(yàn)平臺(tái)，以虛擬機(jī)對(duì)本操作系統(tǒng)進(jìn)行運(yùn)行，配置可移動(dòng)設(shè)備包括網(wǎng)絡(luò)適配器、打印機(jī)、聲卡等。從中可以看出本操作系統(tǒng)在操作之前需要鑒別用戶。

3.5UbuntuLinux操作系統(tǒng)文件權(quán)限以及自主訪問(wèn)控制實(shí)驗(yàn)

每一個(gè)文件（在linux中目錄也看成是一個(gè)特殊的文件）針對(duì)擁有者、組、其他人分別設(shè)置了是否可執(zhí)行、是否可讀、是否可寫(xiě)的權(quán)限，本實(shí)驗(yàn)中通過(guò)在tds用戶的home目錄下設(shè)置一個(gè)新的test目錄，通過(guò)ls命令觀察test目錄的權(quán)限設(shè)置；

4結(jié)語(yǔ)

針對(duì)完整性、機(jī)密性以及可用性而開(kāi)發(fā)的