（信号与信息处理专业论文）安全操作系统数据完整性与mac功能测评.pdf

摘要 摘要 本文对安全操作系统的数据完整性、标记和强制访问控制功能的测评进行了 研究。首先，对安全操作系统测评的研究背景、意义和发展现状进行了介绍；接 着针对安全操作系统的基本概念以及安全测评方法、安全标准进行了详细的介 绍；并在安全操作系统开发模型的基础上建立了安全测评模型，模型将测试分为 三个部分：安全功能测试、安全保证测试和渗透测试：最后，对于安全操作系统 中的数据完整性、标记和强制访问控制安全功能进行了测试方法和测试工具的设 计与实现，并在f e d o r ac o r e5 操作系统上对上述三项安全功能进行了测试和分 析。 本文所作的主要工作如下： 1 在安全操作系统开发模型的基础上建立了安全测评模型，测评模型将测 评分为三个部分：安全功能测试、安全保证测试和渗透测试。 2 详细分析了操作系统数据完整性安全功能要求，抽象出了需要测评的安全 指标，并给出了它们的测试方法，设计并实现了测试工具，并在f e d o r ac o r e5 操作系统上对数据完整性安全功能进行了测试和分析。 3 详细分析了操作系统标记安全功能要求，抽象出了需要测评的安全指标， 并给出了它们的测试方法，设计并实现了测试工具，并在f e d o r ac o r e5 操作系 统上对标记安全功能进行了测试和分析。 4 详细分析了操作系统强制访问控制安全功能要求，抽象出了需要测评的安 全指标，并给出了它们的测试方法，设计并实现了测试工具，并在f e d o r ac o r e5 操作系统上对强制访问控制安全功能进行了测试和分析。 关键词：安全操作系统：安全测评：数据完整性；安全标记；强制访问控制 北京工业大学工学硕士学位论文 a b s t r a c t t h i sp a p e rp r e s e n t e ds o m er e s e a r c hr e s u l t si nt e s t i n ga n de v a l u a t i n go f $ e c u l - e o p e r a t i n gs y s t e m sd a t ai n t e g r i t y , l a b e la n dm a n d a t o r yb c c e s sc o n 舡0 1 f i r s t l y , t h i s p a p e ri n t r o d u c e st h er e s e a r c hb a c k g r o u n d ，s i g n i f i c a n c ea n dt h ea c t u a l i t yo fr e s e a r c h a b o u te v a l u a t i n go fo p e r a t i n gs y s t e m s e c o n d l y , t h i sp a p e rg i v e sab r i e fi n t r o d u c t i o n o fs e c u r eo p e r a t i n gs y s t e m ，m e t h o d so fs e c u r i t ye v a l u a t i n ga n de v a l u a t i o nc r i t e r i a b a s e do nt h em o d e lo fs e c u r eo p e r a t i n gs y s t e md e v e l o p m e n t ，w eg i v et h em o d e lo f s e c u r i t ye v a l u a t i n g , t h i sm o d e li n c l u d e st h r e ep a r t s ：s e c u r i t yf u n c t i o n s e v a l u a t i n g , s e c u r i t ya s s u r a n c e s e v a l u a t i n ga n dp e n e t r a t i o nt e s t i n g f i n a l l y , w es t u d yt h e e v a l u a t i n gm e t h o d sa n dd e v e l o p t h et o o l so f d a t ai n t e g r i t y , l a b e la n dm a n d a t o r ya c c e s s c o n t r o l ，a n dw eu s et h e s et o o l st oh a v ea ne v a l u a t i o no nt h ef e d o r ac o r e5o p e r a t i n g s y s t e ma n dh a v ea l la n a l y s i so f t h ee v a l u a t i n gr e s u l t s t h em a i nc o n t r i b u t i o n so f t h i sp a p e ra r e - 1 b a s e do nt h em o d e lo fs e c u l - eo p e r a t i n gs y s t e md e v e l o p m e n t ，w eg i v et h e m o d e lo fs e c u r i t ye v a l u a t i n g , t h i sm o d e li n c l u d e st h r e ep a r t s ：s e c u r i t yf u n c t i o n s e v a l u a t i n g ，s e c u r i t ya s s u r a n c e s e v a l u a t i n ga n dp e n e t r a t i o nt e s t i n g ，t h e nw eg i v et h e e v a l u a t i n gm e t h o d so ft h e m 2 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h ed a t ei n t e g r i t y ss e c u r i t yf u n c t i o n , w ee x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ，d e v e l o pa n d i m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w en s et h e s et o o l st oh a v ea ne v a l u a t i o no n t h ef e d o r ac o r e5o p e r a t i n gs y s t e ma n dh a v ea na n a l y s i so f t h ee v a l u a t i n gr e s u l t s 3 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h el a b e l ss e c u r i t yf u n c t i o n , w e e x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ，d e v e l o pa n d i m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w eu s et h e s et o o l st oh a v ea ne v a l u a t i o no n t h ef e d o r ac o r e5o p e r a t i n gs y s t e ma n dh a v ea na n a l y s i so f t h ee v a l u a t i n gr e s u l t s 4 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h em a n d a t o r ya c c e s sc o n t r o l s s e c u r i t yf u n c t i o n , w ee x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ， d e v e l o pa n di m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w eu s et h e s et o o l st oh a v ea n e v a l u a t i o no nt h ef e d o r ac o r e5o p c r m i n gs y s t e ma n dh a v ea l la n a l y s i so ft h e e v a l u a t i n gr e s u l t s k e yw o r d s ：s e c u r eo p e r a t i n gs y s t e m ；s e c u r et e s t i n ga n de v a l u a t i n g ； d a t ei n t e g r i t y ；s e n s i t i v i t yl a b e l ；m a n d a t o r ya c c e s sc o n t r o l 一一 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得j e 塞王些太堂或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 魏盈盘生隰归 关于论文使用授权的说明 本人完全了解j e 塞王些太堂有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：( 盏! 趁皇导师签名：乏基鱼 日期： 厶：盖 第1 章绪论 1 1 课题背景 第1 章绪论 在当前的信息化社会中，信息系统扮演着越来越重要的角色，它的安全不仅 事关国家和军队的安全利益，而且还全方位地影响着我国的政治、军事、经济、 文化、社会生活的各个方面，使国家处于高度经济金融风险和信息战的威胁之中， 因为，构筑牢固的安全屏障是刻不容缓的战略任务。 目前，对信息系统的常规安全防护手段主要是在网络层( i p ) 设防，并从外围 对非法用户和越权访问进行封堵，从而防止黑客和病毒传播，但操作系统本身并 不安全，这导致信息系统的各种漏洞层出不穷而无法从根本上解决。随着攻击者 的手段越来越高明，防护者只能随之把防火墙越砌越高、入侵检测越做越复杂、 恶意代码库越做越大，但是误报率也随之增多，从而使安全的投入不断增加，对 信息系统的维护与管理变得更加复杂且难以实施，使信息系统的使用效率大大降 低。 根据计算机软件系统的组成，软件安全可划分为：应用软件安全、数据库安 全、操作系统安全和网络安全。数据库通常是建立在操作系统之上的，没有操作 系统所提供的安全机制，数据库也就没有安全可信的存取控制。网络环境中，网 络的安全可信依赖于各主机的安全，而各主机的安全又依赖于其操作系统的安全 性。所以，只有保证操作系统的安全性，才能保证各主机的安全，从而保证了网 络的安全性。所有的应用软件都是在操作系统的应用平台上运行的，应用软件通 过操作系统来完成对系统中信息的存取和处理，因此，没有安全操作系统的保护， 就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。 对计算机安全而言，一个操作系统仅仅能完成其大部分的设计功能是远远不 够的。如果在操作系统的某个功能模块上只有一个不太重要的故障时，可以忽略 它，这对整个操作系统的功能影响甚微，一般而言，只有若干种故障的某种特定 组合才可能会对操作系统造成致命的影响。但是在安全领域，情况就并非如此。 在信息系统中与安全相关的每一个漏洞都会使整个系统的安全控制机制变得毫 无价值。这个漏洞如果被入侵者发现，后果将使十分严重的。 因此，操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的 作用，没有操作系统提供的安全性，信息系统和其它应用系统就好比“建筑在沙 北京工业大学工学硕士学位论文 h i 曼| 曼鼍量曼! 曼曼曼量量置曼曼e 皇皇巴曼皇曼章曼曼曼量曼曼曼曼! 曼曼毫曼曼! 曼皇曼曼! 曼曼皇曼曼皇皇! 蔓皇皇! ，目鼍 滩上的城堡”1 1 - 5 1 。 长期以来，在国内广泛使用的主流操作系统大多从国外进口，出于技术封锁 的原因，对操作系统安全可信度的了解仅仅是国外厂商所提供的产品规格说明， 无法对操作系统内部有深入的了解。在不了解源码的情形下，只能以“打补丁” 的方式来填堵安全漏洞，而不能从操作系统的内核上来加强安全性，这种做法只 能做权宜之计，不能从根本上解决安全问题。虽然目前国外已经研制过包括达到 a i 级( t c s e c 标准) 在内的高等级的安全操作系统，但是这些高等级产品被严 格控制，国内能够购买到的都是低等级的产品，并且所引进设备中的核心芯片和 系统内核逻辑编程技术也都掌握在他人之手。同时，值得注意的是，研究表观这 些进口的安全产品中存在着许多安全缺陷，不排除国外情报机构在这些安全产品 中有意埋设安全陷阱的可能。 目前国内基本上都是利用国外的技术甚至是部分源代码，根据市场需要自己 组合成的操作系统，这种操作系统不具有自主知识产权。以l i n u x 为代表的国际 自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇。但是 l i n u x 的内核设计缺乏模块化，导致基于l i n u x 平台研制安全操作系统的做法缺 乏科学的安全模块支持。就安全性而言，非开放源代码的操作系统是个黑盒子， 而一个源代码公开的系统更像是一个玻璃盒子，这也没法让人安心。 目前，国内对于安全操作系统的研究主要从两方面入手： 一方面，加强安全操作系统体系结构的研究，以提供符合安全国际标准的安 全核心体系结构，从而解决原有体系结构无法解决的问题，为解决操作系统安全 提供一个整体的理论指导和基础构建的支撑，并为工程实现奠定坚实的基础。要 真正设计出有中国特色的自主知识产权的系统，工程上应该从系统内核做起。以 对专用安全操作系统的研究和设计作为工程契入点，针对安全性要求高的应用环 境配置特定的安全策略，提供灵活、有效的安全机制，设计实现基于安全国际标 准、符合相应安全目标的专用安全核心系统，并尽可能少地影响系统性能，提高 系统效率。 另一方面，在国产操作系统安全性能不高、进口操作系统的安全性能也同样 难以令人放心的局面下，包括政府部门、军队在内的国内各个行业要求对操作系 统安全可信度进行评估认证的呼声越来越高。通过对操作系统进行安全测评。能 够确定其可应用环境和场所的最高安全级别，并将之作为选购和投入使用的决策 依据。通过安全测评还可以了解这些产品存在的安全漏洞和缺陷，以便于采取对 策。因此。安全测评担当着维护信息安全的头道防线并起到了预警作用。要重点 进行安全模型的研究及其形式化描述与证明，评估准则与方法的研究，为操作系 统安全研究的进一步工作提供有价值的参考。 一2 一 第1 章绪论 1 2 研究现状 一般来说，操作系统安全和安全操系统的含义不尽相同。从各种不同的角度 分析操作系统的安全性，既可以对主流的操作系统进行安全性增强，可以按照特 定的目标来设计实现专门的或通用的安全操作系统。安全操作系统通常与相应的 安全等级相对应，例如，根据t c s e c 标准，通常称b l 级以上的操作系统为安全 操作系统。 信息安全测评认证工作开始于2 0 世纪7 0 年代，真正发展则是在2 0 世纪9 0 年代。美国是信息安全钡4 评认证的发源地，在信息技术方面一直处于世界领先地 位。1 9 8 5 年，美国国防部正式公布了可信计算机系统评估准则，这是国际公 认的第一个计算机安全系统评估标准，其评估目标仅限于政府部门和军队的计算 机系统。1 9 8 9 年，美国国家安全局n s a 与国家标准局l o s t 联合实施国家信息 安全认证。此后，英国、德国、法国、意大利、加拿大等欧美国家和日本、韩国 等亚洲国家也纷纷效仿，积极开展信息安全测评认证工作。 进入9 0 年代以后，随着互联网的蓬勃发展，以计算机系统为基础的产品不 仅在政府部门及各行各业得到广泛应用，而且深入到社会生活的方方面面。现在， 安全性测评与认证己成为信息化时代的客观需求。目前世界一些主要大国都建立 了比较完善的信息安全测评认证体系，并开展了国际之间的相互认可。1 9 9 8 年， 美国、加拿大、法国、德国和英国的政府组织签署了测评认证互认协议。 从1 9 9 9 年起通用准n ( c c ) 获得了国际上的广泛承认并逐渐取代旧的国家或 地区级的评估准则。当前，国外在信息安全测评与认证领域的发展趋势主要表现 在五个方面： ( 1 ) 认证体制从过去政府专门机构独立实施转向与商业性评估机构结合。 ( 2 ) 测评认证标准趋于统一，逐步转向c c ( i s 0 1 5 4 0 8 ) 。 ( 3 ) 实施评估的国家一改过去美国独树一帜的局面，向多元化方向发展。 ( 4 ) 中等保证级别的产品占已认证产品的多数。 ( 5 ) 已认证的产品类型由过去单一的通用操作系统转向专业化安全产品( 如 防火墙) 等。 中国的信息安全测评认证机构始建于1 9 9 7 年，经过1 年多的筹建和试运行， 1 9 9 8 年1 0 月2 7 日，国家质量技术监督局艰式批准成立“中国国家信息安全测评 认证中心”，该中心作为中国信息安全认证的国家认证实体，负责对在中国境内 使用的国内外信息安全产品和信息系统的安全性能、信息安全服务等的测评认 证。1 9 9 9 年2 月9 日，国家质量技术监督局发布1 9 9 9 年第4 号公告，公布由中 国国家信息安全测评认证中心依据中华人民共和国产品质量认证管理条例和 一3 一 北京工业大学工学硕士学位论文 信息产品安全测评认证管理办法，对访问控制产品、鉴别产品、安全审计产 品、安全管理产品、信息系统、信息安全服务等l l 类产品或对象实施国家信息 安全认证。 总的来说，我国的信息安全测评认证工作已初具雏形，主要体现在以下几个 方面：测评认证的技术支撑体系基本建立；标准体系建设取得了较好成果；独立 的第三方信息安全认证体制基本形成：测评认证体系在我国初现端倪；认证的信 息安全产品从单一安全机制向多种安全机制复合型方向发展，测评认证服务基本 走上正轨。 通过上述分析，可以得出以下结论： ( 1 ) 操作系统安全是整个信息系统安全的基石。 ( 2 ) 无论是进口的还是国产的操作系统，其安全性能都难以令人放心。 ( 3 ) 对操作系统进行安全测评是项很重要、很迫切的工作。 ( 4 ) 国内信息系统安全测评领域的发展相对落后，尚不能完全满足需求。 因此，进行安全测评技术的研究是一项很有意义的工作。信息安全测评认证 在中国还刚刚起步，虽然发展较快，但由于其不够成熟，还存在一些缺陷，相对 于国际先进水平有一定差距。特别是我国在信息技术安全性测试方面刚刚起步， 现有的测试方法和手段尚不能满足要求，缺乏自主研发的自动化测评工具，大量 工作只能依靠测评人员手工完成或从国外进口测评工具。因此在目前形势下，加 强对安全测评技术的研究、设计国产自动化安全测评工具是很迫切的任务，它是 我国信息系统建设的重要环节。 1 3 本文的组织结构 本文在对安全操作系统和测评标准的分析基础上，建立了一个安全操作系统 的测评模型，并对数据完整性、标记和强制访问控制安全功能进行了测试工具的 设计与实现，在f e d o r a c o r e5 操作系统上进行了测试并对测试结果进行了分析。 第二章是安全操作系统测评基础。本章主要介绍与安全测评相关的重要理 论。首先介绍了安全操作系统的一些基本理论，包括安全需求、安全策略、安全 模型，然后介绍了操作系统的相关安全测评方法，最后介绍了国内外重要的安全 标准。 第三章是安全测评模型。本章在分析安全操作系统开发模型基础上建立了安 全测评模型，模型将操作系统的安全测评分为安全功能测试、安全保证测试、渗 透测试三个部分展开。 第四章是数据完整性功能测评。本章首先介绍了测试脚本编写语言s h e l l ，然 第l 章绪论 后介绍了预测试的设计，并重点阐述了数据完整性安全功能测试方法及测试工具 的设计与实现，并在f e d o r ac o r e5 操作系统上进行了测试和分析。 第五章是标记与强制访问控制功能测评。本章重点阐述了标记与强制访问控 制安全功能测试方法及测试工具的设计与实现，并在f e d o r ac o r e5 操作系统上进 行了测试和分析。 一5 一 北京工业大学工学硕士学位论文 第2 章安全操作系统测评基础 2 1 安全操作系统 2 1 1 概述 所谓的安全操作系统是指操作系统对所管理的数据和资源提供适当的保护 级，有效地控制硬件和软件功能的操作系统。开发安全操作性有两种方法，一种 是从开始设计时就充分考虑到系统的安全性，一种是基于一个通用的操作系统， 专门的进行安全性改进或增强，并通过相应的安全性测评。 安全操作系统与操作系统安全的含义不尽相同，但二者又是统一的和密不可 分的，因为它们所关注的都是操作系统的安全性。操作系统安全表达的是对操作 系统的安全需求。而安全操作系统的特色则是其安全性。安全操作系统通常与一 定的安全等级相对应，例如，根据g b l 7 8 5 9 1 9 9 9 ，通常称第三级安全标记保护 级以上的操作系统为安全操作系统。 普通操作系统所考虑的是灵活性、方便性、性能、开发费用等因素，而安全 操作系统的设计优先考虑的是机密性、完整性和可记账性三个基本原则。安全操 作系统应具备的功能包括用户的识别与判定、强制访问控制m a c 功能、自主访 问控制d a c 功能、客体的重用、数据完整性、日志审计、可信路径、入侵检测 等。 系统外部 与安全无关的 安全周界外部 与安全相关的 安全周界内部 用户 虑_ i j 程序 操作系统 安全内核 硬件 系统接口 操作系统接口 内核接口 硬件接口 图2 - l 安全操作系统结构 f i r u r e 2 一lt h es t r u c t u r eo f s e c u r eo s 安全操作系统的一般结构如图2 - 1 所示，其中，安全内核用来控制整个操作 系统的安全操作。安全内核是指系统中与安全性实现有关的部分，包括应用验证 。6 - r，、，lr，lr，l 第2 章安全操作系统测评基础 机制、访问控制机制、授权机制和授权管理机制等部分。安全内核要设计得足够 小，以便能够进行严格的安全性验证，从而可用这一小部分软件的安全可信性来 保证整个操作系统的安全可信性。 2 1 2 安全需求 安全性是安全操作系统的特色。所谓安全需求就是在设计一个安全系统时期 望得到的安全保障。安全操作系统必须要对数据和资源提供保护，以满足安全需 求。一般情况下，安全需求包括以下几个种类： ( 1 ) 机密性需求：防止非授权用户访问敏感信息。一般来说，系统中总是 存在某些重要的敏感信息，对这些敏感信息来说，任何非授权用户的访问都会给 用户带来不可估量的损失。 ( 2 ) 完整性需求：防止未授权用户非法修改信息。信息完整性是为了维护 系统资源在一个有效的、预期的状态，防止资源被不正确、不适当的修改，维护 系统的不同部分的一致性。完整性需求的主要目的是防止在涉及记帐( 审计) 的事 件中舞弊行为的发生。 ( 3 ) 可记帐性( 审计) 需求：防止用户对访问过某信息或执行过某一操作以 否认。为杜绝安全事件的再次发生，系统有必要知晓例如用户对系统中敏感文件 的操作、导致系统紊乱或数据丢失的用户错误操作、系统本身设计的缺陷导致系 统被攻击等所有这些信息。 ( 4 ) 可用性需求：保证授权用户对系统信息的可访问性。可用性需求是为 了保证系统的顺利工作，即保证授权用户的任何正确的输入，系统都会有相应的 正确输出。尽管保证可用性有时会损害系统的安全性，但它仍是信息安全的一个 有机组成部分。 2 1 3 安全策略 一个安全操作系统是否安全，取决于它能否满足所制订的安全策略。所谓安 全策略，是指有关管理、保护和发布敏感信息的法律、规定和实施细则，就是针 对所面临的安全威胁决定采用何种对策的方法。在不同的应用环境下，对机密性、 完整性、可记帐性( 审计) 和可用性这四种安全需求的强调程度各不相同，安全操 作系统在设计的初始阶段会进行安全需求的分析。以此为依据决定采用的安全策 略，并且整个设计和开发过程中都要围绕给定的安全策略进行。 信息系统的安全策略分为访问控制策略和访问支持策略。访问控制策略反映 系统的机密性和完整性需求，它确立相应的访问控制规则，以控制对系统资源的 访问。访问控制策略又分为自主访问控制策略和强制访问控制策略。自主访问控 一7 一 北京工业大学工学硕士学位论文 制策略允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式 去访问该客体。自主访河控制策略能够提供一种精细的访问控制粒度，它能够将 所设的访问控制策略细化到具体的某个用户。一般来说，自主访问控制策略是基 于系统内用户加上访问授权或者客体的访问属性来决定该用户是否有相应的权 限访问该客体。强制访问控制策略中要求每个主体和客体分别被赋予安全级，系 统内的访问监控器通过比较主、客体的安全级别来决定是否授予一个主体对客体 的访问请求。强制访问控制策略既可以用来防止对信息的非授权篡改，又可以防 止未授权的信息泄露，在一个特定的强制访问控制策略中，安全级别可以以不同 的形式来实现信息的完整性和机密性。 访问支持策略反映系统的可记帐性( 审计1 和可用性需求，以支持访问控制策 略的面貌出现。访问支持策略分为标识与鉴别、可记帐性( 审计) 、确切保证、连 续保护、客体重用和隐蔽通道等六类。 ( 1 ) 标识与鉴别策略要求以一个身份来标识用户，并且此身份必须经过系 统的认证和鉴别。用户在执行任何由t c b ( 可信计算基) 提供的操作前必须首 先经过身份认证，大多数情况下，这一过程是在用户登录系统时完成的，同时， t c b 会保留用户相应的认证信息并以此来验证用户的信息。 ( 2 ) 可记帐性，又称为审计，该策略要求任何影响系统安全性的行为都要 被跟踪并记录下来，t c b 必须拥有将用户i d 号与它被跟踪、审计下来的行为联 系起来的能力。 ( 3 ) 确切保证指系统制订的安全策略能够得到正确执行并且系统保护相关 的元素能够真正精确可靠地实施安全策略的意图。确切保证策略要求可信计算机 系统中的硬件、固件、软件安全机制能够被独立的评估以充分保证安全策略的实 施和支持。 ( 4 ) 连续保护策略要求可信机制的实施必须连续不问断地保护系统免遭篡 改和非授权的改变。如果用于实现安全策略基础的硬件、固件、软件安全机制自 身容易受到篡改和颠覆。也就不能实现连续保护。 ( 5 ) 客体重用策略要求系统中的存储介质在被重新分配时，确保曾经在介 质中存放过的信息( 包括以加密形式存在的信息) 不会泄露给新的主体。 ( 6 ) 隐蔽通道包含存储和时间两类，低带宽的隐蔽通道相对比高带宽的隐 蔽通道意味着更小的威胁，由于降低隐蔽通道带宽到一定程度后会影响系统的性 能，因此隐蔽通道策略要求在系统的性能和隐蔽通道带宽间作出一定程度的折 衷。 一8 一 第2 章安全操作系统测评基础 2 1 4 安全模型 安全模型是对安全策略所表达的安全需求的简单、抽象、无歧义的描述，它 为安全策略与安全策略的实现机制之间的关联提供了一种框架。安全模型描述了 对某个安全策略需要用哪种机制来满足，安全模型的实现描述了如何把特定的机 制应用到系统中，从而实现某一特别的安全策略所需的安全保护。安全模型的目 的在于明确地表达安全需求，为设计开发安全系统提供方针。安全模型有以下几 个特点：精确、无歧义；简易和抽象；只涉及安全性质，而不过多地牵扯系统的 功能或实现；它是安全策略的显式表示。 j e a n d c r s o n 指出要开发安全系统首先必须建立系统的安全模型。安全模型 给出了安全系统的形式化定义，并且正确地综合系统的各类因素。这些因素包括 系统的使用方式、使用环境类型、授权的定义、共享的客体( 系统资源) 、共享 的类型和受控共享思想等。构成安全系统的形式化抽象描述，使得系统可以被证 明是完整的、反映真实环境的、逻辑上能够实现且受控执行的。 安全模型包括状态机、信息流、非干扰、不可推断、完整性等分类，状态机 是最常用的安全模型。其中，状态机模型b l p 是最早、最常用的一种计算机多 级安全模型。b l p 模型将主体定义为能够发起行为的实体，将客体定义为被动的 主体行为承担者，将主体对客体的访问分为只读、只写、读写、执行、控制等几 种访问模式。b l p 模型形式化地定义了系统、系统状态以及系统状态之间的转换 规则，定义了安全概念，制定了一组安全特性，以此对系统状态和状态转换规则 进行限制和约束，使得对于一个系统，如果它的初始状态是安全的，并且所经过 的一系列规则转换都保持安全，那么可以证明系统是安全的。 2 2 操作系统安全测评 2 2 1 概述 安全功能作为安全操作系统所应提供的一个重要功能组成部分，它和其他功 能对于安全操作系统来说意义是完全不同的。安全操作系统开发过程中使用严格 质量控制后若仍能发现某个功能模块存在一个故障，只要这个故障不会对操作系 统造成致命的影响，通常可以容忍其存在，这是因为绝大部分非安全功能故障对 整个操作系统正常运行影响甚微。但是对于安全漏洞而言则情形完全不同，这是 由于安全操作系统的一个安全漏洞，可能会造成整个系统的所有安全控制变得毫 无价值，并且一旦这个漏洞被蓄意入侵者发现，就会产生巨大的危害，所以要求 对操作系统进行安全测评，以及时发现这些安全漏洞并且做出响应。 北京工业大学工学硕士学位论文 安全测评解决的是对信息产品自身的基本安全防护性能的评价问题，以及从 产品的设计角度和实现角度分析产品中存在的安全隐患、安全漏洞，并适当考虑 采取安全防护和抵御攻击的方法。安全测评包括安全测试与安全评估两个技术过 程。与一般意义上的软件测试不同的是，安全测试的着眼点在于系统中安全相关 的部分( 安全内核) ，即数据处理和存储时进行数据保护的部分，以及预防、检测 和减小授权用户、未授权用户执行的未授权活动所造成后果的部分，而对于系统 应该具备的常用功能则不过多关注。安全测评则是对安全测试产生的数据进行分 析、形成结论的技术活动。 为了保证操作系统的安全性，通常采用的是漏洞扫描评估和系统性安全测评 两种手段。 2 2 2 操作系统安全漏洞扫描 操作系统安全漏洞扫描的主要目的是：自动评估由于操作系统的固有缺陷或 配_ 置方式不当所导致的安全漏洞。扫描软件在被测操作系统中运行，通过一系列 测试手段来探查、发现其潜在的安全缺陷。它从操作系统的角度评估单机的安全 环境并生成所发现的安全漏洞的详细报告。操作系统安全扫描就像一位安全顾 问，检查系统以寻找漏洞，提供问题报告，并提出解决办法。可以使用扫描软件 对安全策略和实践实施进行比较，并给出建议以采取相应措施来堵塞安全漏洞。 操作系统安全漏洞扫描的主要内容包括以下四项： ( 1 ) 设置错误：从安全角度来说，操作系统软件的设置是很困难的，设置 时一个小的失误就可能导致一系列的安全漏洞。扫描工具应该可以检查系统配 置，搜索安全漏洞，判断是否符合安全策略。 ( 2 ) 黑客踪迹：黑客留下的踪迹通常是可以检测的，例如扫描软件可以检 查网络是否处于“杂收”模式，如果是，则表明可能有黑客正从那台机器窥探并 在网络上盗取数据。黑客也常在某些目录下放置文件，扫描软件检查这些目录下 是否有可疑的文件。 ( 3 ) 木马程序：黑客经常在系统文件中设置有特殊意图的应用程序，对安 全构成很大威胁，扫描工具要检查这种恶意应用程序的存在。 ( 4 ) 关键系统文件完整性的威胁：扫描工具要能够检查关键系统文件的非 授权修改和不合适的版本，这种检查不但提供了一种检测漏洞的手段，也有助于 版本控制。 2 2 ，3 系统性测评 虽然进行操作系统安全漏洞扫描的做法可以从一定程度上避免操作系统带 一l o 第2 章安全操作系统测评基础 来安全风险，但这些扫描工具是零碎的、基于经验的、没有系统性的，所以一个 安全操作系统没有发现其存在安全漏洞并不能代表它是安全的。因此，更有价值 的做法是采用系统性的安全操作系统测评技术对操作系统的安全性进行评价和 测试。两者在机理和应用效果上是不同的。系统性安全测评是与安全操作系统的 安全功能及其设计过程密切相关的，是安全系统的安全性保障手段的高级形式， 也是当前使用的主要手段。 说一个操作系统是安全的，是指它满足某一给定的安全策略。一个操作系统 的安全性是与设计密切相关的，只有有效保证从设计者到用户都相信设计准确地 表达了模型，而代码准确的表达了设计时，该操作系统才可以说是安全的，这也 是安全操作系统测评的主要内容。测评操作系统安全性的方法主要有3 种：形式 化验证、非形式化确认和“老虎”小组入侵测试三种； 1 。形式化验证 形式化验证是分析操作系统安全性的最精确的办法。在形式化验证中，安全 操作系统被简化为一个要证明的“定理”。定理断言该安全操作系统是正确的， 即它提供了所应提供的安全特性。但是证明整个安全操作系统正确性的工作量是 巨大的。另外，形式化验证也是一个复杂的过程，对于某些大的实用系统，试图 描述及验证它都是十分困难的，特别是那些在设计时没有考虑形式化验证的系统 更是如此。 2 非形式化确认 确认是比验证更为普遍的术语。它包括验证，但它也包括其他一些不太严格 的让人们相信程序正确性的方法。完成一个安全操作系统的确认有如下几种不同 的方法。 ( 1 ) 按需求检查：通过源代码或系统运行时所表现的安全功能，交叉检查 操作系统的每个安全需求。其目标是认证系统所做的每件事是否都在功能需求表 中列出，这一过程有助于说明系统仅作了它应该做的每件事。但是这一过程并不 能保证系统没有做它不应该做的事情。 ( 2 ) 设计及代码检查：设计者及程序员在系统开发时通过仔细检查系统设 计或代码，试图发现设计或编程错误。例如不正确的假设、不一致的动作或错误 的逻辑等。这种检查的有效性依赖于检查的严格程度。 ( 3 ) 模块及系统测试：在程序开发期间，程序员或独立测试小组挑选数据 检查操作系统的安全性。必须组织测试数据以便检查每条运行路线，每个条件语 句、所产生的每种类型的报表、每个变量的更改等。在这个测试过程中要求以一 种有条不紊的方式检查所有的实体。 北京工业大学工学硕士学位论文 3 “老虎”小组入侵测试 在这种方法中，“老虎”小组试图“摧毁”正在测试中的安全操作系统。“老 虎”小组成员应当掌握操作系统典型的安全漏洞，并试图发现和利用系统中的这 些安全漏洞。 操作系统在某一次入侵测试中失效，则说明它内部有错。相反地，操作系统 在某一次入侵测试中不失效，并不能保证系统中没有任何错误。入侵铡试在确定 错误存在方面是非常有用的。 一般来说，评价一个计算机系统安全性的高低，应从如下两个方面进行： ( 1 ) 安全功能：系统具有哪些安全功能。 ( 2 ) 可信度：安全功能在系统中得以实现的可信任的程度。通常通过文档 规范、系统测试、形式化验证等安全保证来说明。 2 3 测评标准 2 3 1 相关概念 为了对现有计算机系统的安全性进行统一的评价，为计算机系统制造商提供 一个有权威的系统安全性标准，需要有一个计算机系统安全测评标准。 表2 - 1 国内外计算机测评标准概况 t a b l e 2 1t h es u w c yo f c o m p u t e re v a l u a t i o nc r i l e r i a s 标准名称颁布的国家或组织颁布年份 美国t c s e c美国国防部 1 9 8 3 美国t c s e c ( 修订版)美国国防部 1 9 8 5 欧洲i t s e c 标准西欧四国( 英、法、荷、德) 1 9 9 1 联邦标准草案( f c )美国1 9 9 2 加拿大标准v 3 加拿大 1 9 9 3 c c v l 0 美、荷，法、德、英，加 1 9 9 6 c c v 2 o美、荷、法、德、英、加 1 9 9 7 i s 0 i e c l 5 4 0 8国际标准化组织1 9 9 9 中国g b l 7 8 5 9 1 9 9 9中国国家质量技术监督局 1 9 9 9 中国g b t 1 8 3 3 6 2 0 0 1 中国国家质量技术监督局 2 0 0 i 表2 1 给出了国内外计算机测评标准的概况1 6 - 1 7 1 。美国国防部于1 9 8 3 年推 出了历史上第一个计算机安全评价标准可信计算机系统评价准则( t r u s t e a c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a , t c s e c ) ) ) ，又称桔皮书。t c s e c 带动了国际 一1 2 第2 章安全操作系统测评基础 上计算机安全测评的研究，此后，德国、英国、加拿大、西欧四国等纷纷制定各 自计算机系统评价标准。近年来，我国也制定了相应的强制性的国家标准 g b l 7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分准则和推荐标准 0 b 厂r 1 8 3 3 6 2 0 0 1 信息技术安全技术信息技术安全性评估准则。 2 3 2t c s e c 标准 1 9 8 3 年美国国防部推出了可信计算机系统评价标准( 1 s e c ) ，亦称为 桔皮书，并于1 9 8 5 年进行了修改。 桔皮书是计算机安全保密的权威著作，它已经成为计算机系统安全级别的划 分标准。虽然桔皮书并不是具体的设计说明书，但其思想和准则己成为安全操作 系统的设计指南。 t c s e c 将安全保护分成四等，每等级包含一个或多个级别，安全级别按d 、 c 1 、c 2 、b 1 、b 2 、b 3 、a 1 、a 2 依次增强。 不满足任何较高级别安全可信性条件的系统划入d 类。 c 类为自主型保护，由两个级别组成： c l 级：具有一定的自主访问控制机制( d a c ) ，譬如u n i x 的o w n e r g r o u p o t h e r 存取控制。 c 2 级：具有更细粒度( 到每一个单独用户) 的自主访问控制机制( d a c ) ， 而且引入了审计机制。 b 类为强制型保护，由三个级别组成： b l 级：满足c 2 级所有的要求，而且，需具有所用安全策略模型的非形式化 描述，实施了强制访问控制( m a c ) b 2 级：系统的t c b 是基于明确定义的形式化模型，并对系统中所有的主体 和客体实施了自主访问控制( d a c ) 和强制访问控制( m a c ) 。另外，具有可信 通路机制、系统结构化设罱、最小特权管理以及对隐通道的分析和处理等。 b 3 级：系统的t c b 设计要满足能对系统中所有的主体对客体的访问进行控 制，t c b 不会被非法篡改，且t c b 设计一要非常的小巧和结构化以便于分析和 测试其正确性。支持安全管理员的实现，审计机制能实时报告系统的安全性事件， 支持系统恢复。除了满足b 2 级的所有要求外，还要求禁止客体重用以及提供可 信通路。 a 类为验证型保护，只有一个安全等级，即a 1 级。 a 1 级：从实现的功能上看，它等同于b 3 级。它要求系统的安全模型的正 确性可通过形式化的数学证明，同时要求对隐通道做形式化的分析，以及对最高 级别的形式化说明，最后还要求有可信的发行方式。可信的发行方式是指系统的 一1 3 北京工业大学工学硕士学位论文 软件、硬件在装运过程中受到保护，以防系统受到损坏。 许多安全产品的购买者采用桔皮书所规定的等级选购安全产品。例如，在非 机密的、但比较敏感的政府应用环境中，要求所用的安全产品至少为c 2 级。 2 3 3i t s e c 标准 1 9 9 1 年，西欧各国制定了信息技术安全评价规则( i n f o r m a t i o nt e c h n o l o g y s e c u r i t ye v a l u a t i o nc r i t e r i a 。i t s e c ) ，i t s e c 首次提出了信息安全的保密性、完整 性、可用性概念，把可信计算机的概念提高到可信信息技术的高度上来认识。 i t s e c 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。 该标准将安全概念分为功能与评估两部分。功能准则从f i f i o 共分1 0 级。f 6 至f 1 0 级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数 据通信的保密性以及机密性和完整性的网络安全。 与1 s e c 不同，它并不把保密措施直接与计算机功能相联系，而是只叙述 技术安全的要求，把保密作为安全增强功能。另外，t c s e c 把保密作为安全的 重点，而i t s e c 则把完整性、可用性与保密性作为同等重要的因素。i t s e c 定 义了从e 0 级( 不满足品质) 到e 6 级( 形式化验证) 的7 个安全等级，对于每 个系统安全功能可分别定义。 2 3 4 c c 标准 近