第八章操作系统安全配置方案

第八章操作系统安全配置方案8内容提要本章介绍Windows2000服务器的安全配置。操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。操作系统概述目前服务器常用的操作系统有三类：UnixLinuxWindowsNT/2000/2003Server。这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。主要特色UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。（1）可靠性高（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持功能（5）开放性好Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intelx86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix（是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，也有好几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。Linux典型的优点有7个。（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台Windows系统WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows9X相比，WindowsNT的网络功能更加强大并且安全。WindowsNT系列操作系统安全全操操作作系系统统的的研研究究发发展展操作作系系统统的的安安全全性性在在计计算算机机信信息息系系统统的的整整体体安安全全性性中中具具有有至至关关重重要要的的作作用用没有有操操作作系系统统提提供供的的安安全全性性，，信信息息系系统统的的安安全全性性是是没没有有基基础础的的国外外安安全全操操作作系系统统的的发发展展Multics是开开发发安安全全操操作作系系统统最最早早期期的的尝尝试试。。1965年美美国国贝贝尔尔实实验验室室和和麻麻省省理理工工学学院院的的MAC课题题组组等等一一起起联联合合开开发发一一个个称称为为Multics的新新操操作作系系统统，，其目目标标是是要要向向大大的的用用户户团团体体提提供供对对计计算算机机的的并并发发访访问问，，支支持持强强大大的的计计算算能能力力和和数数据据存存储储，，并并具具有有很很高高的的安安全全性性。。贝尔尔实实验验室室中中后后来来参参加加UNIX早期期研研究究的的许许多多人人当当时时都都参参加加了了Multics的开开发发工工作作。。由于于Multics项目目目目标标的的理理想想性性和和开开发发中中所所遇遇到到的的远远超超预预期期的的复复杂杂性性使使得得结结果果不不是是很很理理想想。。事事实实上上连连他他们们自自己己也也不不清清楚楚什什么么时时候候，，开开发发到到什什么么程程度度才才算算达达到到设设计计的的目目标标。。虽虽然然Multics未能成功，但但它在安全操操作系统的研研究方面迈出出了重要的第第一步，Multics为后来的安全全操作系统研研究积累了大大量的经验，，其中Mitre公司的Bell和LaPadula合作设计的BLP安全模型首次次成功地用于于Multics，BLP安全模型后来来一直都作为为安全操作系系统开发所采采用的基础安安全模型。国外安全操作作系统的发展展Adept-50是一个分时安安全操作系统统，可以实际际投入使用，1969年C.Weissman发表了有关Adept-50的安全控制的的研究成果。。安全Adept-50运行于IBM/360硬件平台，它以一个形式式化的安全模模型——高水印模型（（High-Water-MarkModel）为基础，实实现了美国的的一个军事安安全系统模型型，为给定的的安全问题提提供了一个比比较形式化的的解决方案。。在该系统中可可以为客体标上敏敏感级别（SensitivityLevel）属性。系统支持的的基本安全条条件是，对于于读操作不允允许信息的敏敏感级别高于于用户的安全全级别（Clearance）；在授权情情况下，对于于写操作允许许信息从高敏敏感级别移向向低敏感级别别。国外安全操作作系统的发展展1969年B.W.Lampson通过形式化表表示方法运用用主体（Subject）、客体（Object）和访问矩阵阵（AccessMatrix）的思想第一一次对访问控控制问题进行行了抽象。主体是访问操操作中的主动动实体，客体体是访问操作作中被动实体体，主体对客客体进行访问问。访问矩阵阵以主体为行行索引、以客客体为列索引引，矩阵中的的每一个元素素表示一组访访问方式，是是若干访问方方式的集合。。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对对第j个客体Oj的访问方式，，比如Mij＝{Read，Write}表示Si可以对Oj进行读和写操操作。1972年，J.P.Anderson在一份研究报报告中提出了了访问监控器器（ReferenceMonitor）、引用验证证机制（ReferenceValidationMechanism）、安全内核核（SecurityKernel）和安全建模模等重要思想想。J.P.Anderson指出，要开发发安全系统，，首先必须建建立系统的安安全模型，完完成安全系统统的建模之后后，再进行安安全内核的设设计与实现。。国外安全操作作系统的发展展1973年，B.W.Lampson提出了隐蔽通道的概念，他发发现两个被限限制通信的实实体之间如果果共享某种资资源，那么它它们可以利用用隐蔽通道传传递信息。同同年，D.E.Bell和L.J.LaPadula提出了第一个可证明明的安全系统统的数学模型型，即BLP模型。1976年Bell和LaPadula完成的研究报报告给出了BLP模型的最完整整表述，其中中包含模型的的形式化描述述和非形式化化说明，以及及模型在Multics系统中实现的的解释。PSOS（ProvablySecureOperatingSystem）提供了一个层次结构构化的基于权权能的安全操操作系统设计计，1975年前后开始开开发。PSOS采用了层次式式开发方法，，通过形式化化技术实现对对安全操作系系统的描述和和验证，设计计中的每一个个层次管理一一个特定类型型的对象，系系统中的每一一个对象通过过该对象的权权能表示进行行访问。KSOS（KernelizedSecureoperatingSystem）是美国国防防部研究计划划局1977年发起的一个个安全操作系系统研制项目目，由Ford太空通讯公司司承担。KSOS采用了形式化化说明与验证证的方法，目目标是高安全全可信性。国外安全操作作系统的发展展UCLASecureUnix也是美国国防防部研究计划划局于1978年前后发起的的一个安全操操作系统研制制项目，由加加里福尼亚大大学承担。UCLASecureUnix的系统设计方方法及目标几几乎与KSOS相同。LINVSⅣⅣ是1984年开发的基于于UNIX的一个实验安安全操作系统统，系统的安安全性可达到到美国国防部部橘皮书的B2级。它以4.1BSDUnix为原型，实现了身份鉴鉴别、自主访访问控制、强强制访问控制制、安全审计计、特权用户户权限分隔等等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基础上开发发的一个安全全操作系统，，它最初是在在IBMPC/AT平台上实现的的。SecureXenix对Xenix进行了大量的的改造开发，，并采用了一一些形式化说说明与验证技技术。它的目标是TCSEC的B2到A1级。IBM公司的V.D.Gligor等在发表SecureXenix系统的设计与与开发成果中中，把Unix类的安全操作作系统开发方方法划分成仿仿真法和改造造/增强法两种方方式。SecureXenix系统采用的是是改造/增强法。另外值得指出出的是SecureXenix系统基于安全全注意键（SAK，SecureAttentionKey）实现了可信信通路（TrustedPath），并在安全全保证方面重重点考虑了3个目标：⑴系系统设计与BLP模型之间的一一致性；⑵实实现的安全功功能的测试；；⑶软件配置置管理工具的的开发。国外安全操作作系统的发展展1987年，美国TrustedInformationSystems公司以Mach操作系统为基基础开发了B3级的Tmach（TrustedMach）操作系统。。除了进行用用户标识和鉴鉴别及命名客客体的存取控控制外，它将将BLP模型加以改进进，运用到对对MACH核心的端口、、存储对象等等的管理当中中。通过对端端口间的消息息传送进行控控制和对端口口、存储对象象、任务等的的安全标识来来加强微核心心的安全机制制。1989年，加加拿大大多伦伦多大大学开开发了了与UNIX兼容的的安全全TUNIS操作系系统。。在实实现中中安全全TUNIS改进了了BLP模型,并用TuringPlus语言（而不不是C）重新新实现现了Unix内核，，模块块性相相当好好。TuringPlus是一种种强类类型高高级语语言，，其大大部分分语句句都具具有用用于正正确性性证明明的形形式语语义。在发发表安安全TUNIS设计开开发成成果中中，Gernier等指出出，如如果不不进行行系统统的重重新设设计，，以传传统Unix系统为为原型型，很很难开开发出出高于于TCSEC标准的的B2级安全全操作作系统统，这这一方方面是是因为为用于于编写写Unix系统的的C语言是是一个个非安安全的的语言言，另另一方方面是是因为为Unix系统内内部的的模块块化程程度不不够。。安全全TUNIS系统的的设计计目标标是B3-A1级，支持持这个个目标标的关关键也也在于于：第一其其采用用了TuringPlus语言，，第二二其采采用了了安全全策略略与安安全机机制相相分离离的方方法，，并提提供了了一个个简单单而结结构规规范的的TCB，从而而简化化了TCB的验证证工作作。国外安安全操操作系系统的的发展展ASOS（ArmySecureOperatingSystem）是针针对美美军的的战术术需要要而设设计的的军用用安全全操作作系统统，由由TRW公司1990年发布布完成成。ASOS由两类类系统统组成成，其其中一一类是是多级级安全全操作作系统统，设设计目目标是是TCSEC的A1级；另另一类类是专专用安安全操操作系系统，，设计计目标标是TCSEC的C2级。两两类系系统都都支持持Ada语言编编写的的实时时战术术应用用程序序，都都能根根据不不同的的战术术应用用需求求进行行配置置，都都可以以很容容易地地在不不同硬硬件平平台间间移植植，两两类系系统还还提供供了一一致的的用户户界面面。从从具体体实现现上来来看，，ASOS操作系系统还还具有有5个主要要特点点：⑴ASOS操作系系统本本身也也主要要是用用Ada语言实实现的的；⑵⑵ASOS采用访访问控控制列列表（（AccessControlList，ACL）实现现了细细粒度度的自自主访访问控控制；；⑶ASOS依据BLP模型实现了了防止止信息息泄露露的强强制访访问控控制，，依据据Biba模型实实现了了确保保数据据完整整性的的强制制访问问控制制；⑷ASOS在形式式化验验证中中建立立了两两个层层次的的规范范和证证明，，一个个层次次用于于抽象象的安安全模模型，，另一一个层层次用用于形形式化化顶层层规范范；⑸⑸用于于证明明系统统安全全性的的主要要工具具是Gypsy验证环环境（（GVE），ASOS开发了了一个个在GVE中工作作的流流分析析工具具，用用于分分析系系统设设计中中潜在在的隐隐蔽通通道。。国外安安全操操作系系统的的发展展OSF/1是开放放软件件基金金会于于1990年推出出的一一个安安全操操作系系统，，被美美国国国家计计算机机安全全中心心（NCSC）认可可为符符合TCSEC的B1级，其其主要要安全全性表表现4个方面面：⑴系统统标识识；⑵⑵口令令管理理；⑶⑶强制制存取取控制制和自自主存存取控控制；；⑷审审计。。UNIXSVR4.1ES是UI（UNIX国际组组织））于1991年推出出的一一个安安全操操作系系统，，被美美国国国家计计算机机安全全中心心（NCSC）认可可为符符合TCSEC的B2级，除除OSF/1外的安安全性性主要要表现现在4个方面面：⑴更更全面面的存存取控控制；；⑵最最小特特权管管理；；⑶可可信通通路；；⑷隐隐蔽通通道分分析和和处理理。1991年，在在欧洲洲共同同体的的赞助助下，，英、、德、、法、、荷四四国制制定了了拟为为欧共共体成成员国国使用用的共共同标标准——信息技术术安全评评定标准准（ITSEC）。随着着各种标标准的推推出和安安全技术术产品的的发展，，美国和和同加拿拿大及欧欧共体国国家一起起制定通通用安全全评价准准则（CommonCriteriaforITSecurityEvaluation，CC），1996年1月发布了了CC的1.0版。CC标准的2.0版已于1997年8月颁布，，并于1999年7月通过国国际标准准组织认认可，确确立为国国际标准准，即ISO/IEC15408。国外安全全操作系系统的发发展在1992到1993年之间，，美国国国家安全全局（NSA）和安全全计算公公司（SCC）的研究究人员在在TMach项目和LOCK项目的基基础上，，共同设设计和实实现了分布式可可信Mach系统（DistributedTrustedMach，DTMach）。DTMach项目的后后继项目目是分布式可可信操作作系统（DistributedTrustedOperatingSystem，DTOS）。DTOS项目改良良了早期期的设计计和实现现工作，，产生了了一些供供大学研研究的原原型系统统，例如如SecureTransactionalResources、DX等。此外外DTOS项目产生生了一些些学术报报告、系系统形式式化的需需求说明明书、安安全策略略和特性性的分析析、组合合技术的的研究和和对多种种微内核核系统安安全和保保证的研研究。当当DTOS项目快要要完成的的时候，，NSA、SCC和犹他州州大学的的Flux项目组联联合将DTOS安全结构构移植到到Fluke操作系统统研究中中去。在在将结构构移植到到Fluke的过程中中，他们们改良了了结构以以更好地地支持动动态安全全策略。。这个改改良后的的结构就就叫Flask。一些Flask的接口和和组件就就是从Fluke到OSKit中的接口口和组件件中继承承下来的的。国外安全全操作系系统的发发展2001年，Flask由NSA在Linux操作系统统上实现现，并且且不同寻寻常地向向开放源源码社区区发布了了一个安安全性增增强型版版本的Linux（SELinux）－－包包括代码码和所有有文档。。与传统的的基于TCSEC标准的开开发方法法不同，，1997年美国国国家安全全局和安安全计算算公司完完成的DTOS安全操作作系统采采用了基基于安全全威胁的的开发方方法。设计目标标包括3个方面：（1）策略灵灵活性：：DTOS内核应该该能够支支持一系系列的安安全策略略，包括括诸如国国防部的的强制存存取控制制多级安安全策略略；（2）与Mach兼容，现现有的Mach应用应能能在不做做任何改改变的情情况下运运行；（3）性能应应与Mach接近。国内安全全操作系系统的发发展国内也进进行了许许多有关关安全操操作系统统的开发发研制工工作，并并取得了了一些研研究成果果。1990年前后，，海军计计算技术术研究所所和解放放军电子子技术学学院分别别开始了了安全操操作系统统技术方方面的探探讨，他他们都是是参照美美国TCSEC标准的B2级安全要要求，基基于UNIXSystemV3.2进行安全全操作系系统的研研究与开开发。1993年，海军军计算技技术研究究所继续续按照美美国TCSEC标准的B2级安全要要求，围围绕UnixSVR4.2/SE，实现了了国产自主主的安全全增强包包。1995年，在国国家“八八五”科科技攻关关项目――“COSA国产系统统软件平平台”中中，围绕绕UNIX类国产操操作系统统COSIXV2.0的安全子子系统的的设计与与实现，，中国计计算机软软件与技技术服务务总公司司、海军军计算技技术研究究所和中中国科学学院软件件研究所所一起参参与了研研究工作作。COSIXV2.0安全子系系统的设设计目标标是介于于美国TCSEC的B1和B2级安全要要求之间间，当时时定义为为B1＋，主要要实现的的安全功功能包括括安全登登录、自自主访问问控制、、强制访访问控制制、特权权管理、、安全审审计和可可信通路路等。国内安全全操作系系统的发发展1996年，由中中国国防防科学技技术工业业委员会会发布了了军用计计算机安安全评估估准则GJB2646－96（一般简简称为军军标），，它与美美国TCSEC基本一致致。1998年，电子子工业部部十五所所基于UnixWareV2.1按照美国国TCSEC标准的B1级安全要要求，对对Unix操作系统统的内核核进行了了安全性性增强。。1999年10月19日，我国国国家技技术监督督局发布布了国家家标准GB17859－1999《计算机信信息系统统安全保保护等级级划分准准则》，为计算算机信息息系统安安全保护护能力划划分了等等级。该该标准已已于2001年起强制制执行。。Linux自由软件件的广泛泛流行对对我国安安全操作作系统的的研究与与开发具具有积极极的推进进作用。。2001年前后，，我国安安全操作作系统研研究人员员相继推推出了一一批基于于Linux的安全操操作系统统开发成成果。这这包括：：国内安全全操作系系统的发发展中国科学学院信息息安全技技术工程程研究中中心基于于Linux资源，开开发完成成了符合合我国GB17859－1999第三级（（相当于于美国TCSECB1）安全要要求的安安全操作作系统SecLinux。SecLinux系统提供供了身份份标识与与鉴别、、自主访访问控制制、强制制访问控控制、最最小特权权管理、、安全审审计、可可信通路路、密码码服务、、网络安安全服务务等方面面的安全全功能。。依托南京京大学的的江苏南南大苏富富特软件件股份有有限公司司开发完完成了基基于Linux的安全操操作系统统SoftOS，实现的的安全功功能包括括：强制制访问控控制、审审计、禁禁止客体体重用、、入侵检检测等。。信息产业业部30所控股的的三零盛盛安公司司推出的的强林Linux安全操作作系统，，达到了了我国GB17859－1999第三级的的安全要要求。国内安全全操作系系统的发发展中国科学学院软件件所开放放系统与与中文处处理中心心基于红红旗Linux操作系统统，实现现了符合合我国GB17859－1999第三级要要求的安安全功能能。中国国计算机机软件与与技术服服务总公公司以美美国TCSEC标准的B1级为安全全目标，，对其COSIXV2.0进行了安安全性增增强改造造。此外，国国防科技技大学、、总参56所等其他他单位也也开展了了安全操操作系统统的研究究与开发发工作。2001年3月8日，我国国国家技技术监督督局发布布了国家家标准GB/T18336－2001《信息技术术安全技技术信信息技术术安全性性评估准准则》，它基本本上等同同采用了了国际通通用安全全评价准准则CC。该标准已已于2001年12月1日起推荐荐执行，，这将对对我国安安全操作作系统研研究与开开发产生生进一步步的影响响。安全操作作系统的的基本概概念安全操作作系统涉涉及很多多概念：：主体和客客体安全策略略和安全全模型访问监控控器和安安全内核核以及可可信计算算基。主体和客客体操作系统统中的每每一个实实体组件件都必须须是主体体或者是是客体，，或者既既是主体体又是客客体。主主体是一一个主动动的实体体，它包包括用户户、用户户组、进进程等。。系统中中最基本本的主体体应该是是用户（（包括一一般用户户和系统统管理员员、系统统安全员员、系统统审计员员等特殊殊用户））。每个个进入系系统的用用户必须须是惟一一标识的的，并经经过鉴别别确定为为真实的的。系统统中的所所有事件件要求，，几乎全全是由用用户激发发的。进进程是系系统中最最活跃的的实体，，用户的的所有事事件要求求都要通通过进程程的运行行来处理理。在这这里，进进程作为为用户的的客体，，同时又又是其访访问对象象的主体体。客体是一个个被动的实实体。在操操作系统中中，客体可可以是按照照一定格式式存储在一一定记录介介质上的数数据信息（（通常以文文件系统格格式存储数数据），也也可以是操操作系统中中的进程。。操作系统统中的进程程（包括用用户进程和和系统进程程）一般有有着双重身身份。当一一个进程运运行时，它它必定为某某一用户服服务——直接或间接接的处理该该用户的事事件要求。。于是，该该进程成为为该用户的的客体，或或为另一进进程的客体体（这时另另一进程则则是该用户户的客体））安全策略和和安全模型型安全策略与与安全模型型是计算机机安全理论论中容易相相互混淆的的两个概念念。安全策略是是指有关管管理、保护护和发布敏敏感信息的的法律、规规定和实施施细则。例如，可以以将安全策策略定为：：系统中的的用户和信信息被划分分为不同的的层次，一一些级别比比另一些级级别高；而而且如果主主体能读访访问客体，，当且仅当当主体的级级别高于或或等于客体体的级别；；如果主体体能写访问问客体，当当且仅当主主体的级别别低于或等等于客体的的级别。安全模型则则是对安全全策略所表表达的安全全需求的简简单、抽象象和无歧义义的描述，，它为安全策策略和安全全策略实现现机制的关关联提供了了一种框架架。安全模模型描述了了对某个安安全策略需需要用哪种种机制来满满足；而模模型的实现现则描述了了如何把特特定的机制制应用于系系统中，从从而实现某某一特定安安全策略所所需的安全全保护。访问监控器器访问控制机机制的理论论基础是访访问监控器器（ReferenceMonitor），由J.P.Anderson首次提出。。访问监控控器是一个个抽象概念念，它表现现的是一种种思想。J.P.Anderson把访问监控控器的具体体实现称为为引用验证证机制，它它是实现访访问监控器器思想的硬硬件和软件件的组合安全内核安全内核是是实现访问问监控器概概念的一种种技术，在在一个大型型操作系统统中，只有有其中的一一小部分软软件用于安安全目的是是它的理论论依据。所所以在重新新生成操作作系统过程程中，可用用其中安全全相关的软软件来构成成操作系统统的一个可可信内核，，称之为安安全内核。。安全内核核必须予以以适当的保保护，不能能篡改。同同时绝不能能有任何绕绕过安全内内核存取控控制检查的的存取行为为存在。此此外安全内内核必须尽尽可能地小小，便于进进行正确性性验证。安安全内核由由硬件和介介于硬件和和操作系统统之间的一一层软件组组成可信计算基基操作系统的的安全依赖赖于一些具具体实施安安全策略的的可信的软软件和硬件件。这些软软件、硬件件和负责系系统安全管管理的人员员一起组成成了系统的的可信计算算基（TrustedComputingBase，TCB）。具体来来说可信计计算基由以以下7个部分组成成：1.操作系统的的安全内核核。2.具有特权的的程序和命命令。3.处理敏感信信息的程序序，如系统统管理命令令等。4.与TCB实施安全策策略有关的的文件。5.其它有关的的固件、硬硬件和设备备。6.负责系统管管理的人员员。7.保障固件和和硬件正确确的程序和和诊断软件件。安全操作系系统的机制制安全操作系系统的机制制包括：硬件安全机机制操作系统的的安全标识识与鉴别访问控制、、最小特权权管理可信通路和和安全审计计硬件安全机机制绝大多数实实现操作系系统安全的的硬件机制制也是传统统操作系统统所要求的的，优秀的的硬件保护护性能是高高效、可靠靠的操作系系统的基础础。计算机硬件件安全的目目标是，保保证其自身身的可靠性性和为系统统提供基本本安全机制制。其中基基本安全机机制包括存存储保护、、运行保护护、I/O保护等。标识与鉴别别标识与鉴别别是涉及系系统和用户户的一个过过程。标识识就是系统统要标识用用户的身份份，并为每每个用户取取一个系统统可以识别别的内部名名称——用户标识符符。用户标标识符必须须是惟一的的且不能被被伪造，防防止一个用用户冒充另另一个用户户。将用户标识识符与用户户联系的过过程称为鉴鉴别，鉴别别过程主要要用以识别别用户的真真实身份，，鉴别操作作总是要求求用户具有有能够证明明他的身份份的特殊信信息，并且且这个信息息是秘密的的，任何其其他用户都都不能拥有有它。访问控制在安全操作作系统领域域中，访问问控制一般般都涉及自主访问控控制（DiscretionaryAccessControl，DAC）强制访问控控制（MandatoryAccessControl，MAC）两种形式式自主访问控控制自主访问控控制是最常常用的一类类访问控制制机制，用用来决定一一个用户是是否有权访访问一些特特定客体的的一种访问问约束机制制。在自主主访问控制制机制下，，文件的拥拥有者可以以按照自己己的意愿精精确指定系系统中的其其他用户对对其文件的的访问权。。亦即使用自自主访问控控制机制，，一个用户户可以自主主地说明他他所拥有的的资源允许许系统中哪哪些用户以以何种权限限进行共享享。从这种种意义上讲讲，是“自自主”的。。另外自主主也指对其其他具有授授予某种访访问权力的的用户能够够自主地（（可能是间间接的）将将访问权或或访问权的的某个子集集授予另外外的用户。。强制访问控控制MAC在强制访问问控制机制制下，系统统中的每个个进程、每每个文件、、每个IPC客体(消息队列、、信号量集集合和共享享存贮区)都被赋予了了相应的安安全属性，，这些安全全属性是不不能改变的的，它由管管理部门（（如安全管管理员）或或由操作系系统自动地地按照严格格的规则来来设置，不不像访问控控制表那样样由用户或或他们的程程序直接或或间接地修修改。当一进程访访问一个客客体(如文件)时，调用强强制访问控控制机制，，根据进程程的安全属属性和访问问方式，比比较进程的的安全属性性和客体的的安全属性性，从而确确定是否允允许进程对对客体的访访问。代表表用户的进进程不能改改变自身的的或任何客客体的安全全属性，包包括不能改改变属于用用户的客体体的安全属属性，而且且进程也不不能通过授授予其他用用户客体存存取权限简简单地实现现客体共享享。如果系系统判定拥拥有某一安安全属性的的主体不能能访问某个个客体，那那么任何人人（包括客客体的拥有有者）也不不能使它访访问该客体体。从这种种意义上讲讲，是“强强制”的。。强制制访访问问控控制制和和自自主主访访问问控控制制强制制访访问问控控制制和和自自主主访访问问控控制制是是两两种种不不同同类类型型的的访访问问控控制制机机制制，，它它们们常常结结合合起起来来使使用用。。仅仅当当主主体体能能够够同同时时通通过过自自主主访访问问控控制制和和强强制制访访问问控控制制检检查查时时，，它它才才能能访访问问一一个个客客体体。。用户户使使用用自自主主访访问问控控制制防防止止其其他他用用户户非非法法入入侵侵自自己己的的文文件件，，强强制制访访问问控控制制则则作作为为更更强强有有力力的的安安全全保保护护方方式式，，使使用用户户不不能能通通过过意意外外事事件件和和有有意意识识的的误误操操作作逃逃避避安安全全控控制制。。因因此此强强制制访访问问控控制制用用于于将将系系统统中中的的信信息息分分密密级级和和类类进进行行管管理理，，适适用用于于政政府府部部门门、、军军事事和和金金融融等等领领域域。。最小小特特权权管管理理在现现有有一一般般多多用用户户操操作作系系统统（（如如UNIX、Linux等））的的版版本本中中，，超超级级用用户户具具有有所所有有特特权权，，普普通通用用户户不不具具有有任任何何特特权权。。一一个个进进程程要要么么具具有有所所有有特特权权(超级级用用户户进进程程)，要要么么不不具具有有任任何何特特权权(非超超级级用用户户进进程程)。这这种种特特权权管管理理方方式式便便于于系系统统维维护护和和配配置置，，但但不不利利于于系系统统的的安安全全性性。。一一旦旦超超级级用用户户的的口口令令丢丢失失或或超超级级用用户户被被冒冒充充，，将将会会对对系系统统造造成成极极大大的的损损失失。。另另外外超超级级用用户户的的误误操操作作也也是是系系统统极极大大的的潜潜在在安安全全隐隐患患。。因因此此必必须须实实行行最最小小特特权权管管理理机机制制。。最小特特权管管理的的思想想是系系统不不应给给用户户超过过执行行任务务所需需特权权以外外的特特权，，如将将超级级用户户的特特权划划分为为一组组细粒粒度的的特权权，分分别授授予不不同的的系统统操作作员/管理员员，使使各种种系统统操作作员/管理员员只具具有完完成其其任务务所需需的特特权，，从而而减少少由于于特权权用户户口令令丢失失或错错误软软件、、恶意意软件件、误误操作作所引引起的的损失失。比比如可可在系系统中中定义义5个特权权管理理职责责，任任何一一个用用户都都不能能获取取足够够的权权力破破坏系系统的的安全全策略略。可信通通路在计算算机系系统中中，用用户是是通过过不可可信的的中间间应用用层和和操作作系统统相互互作用用的。。但用用户登登录，，定义义用户户的安安全属属性，，改变变文件件的安安全级级等操操作，，用户户必须须确实实与安安全核核心通通信，，而不不是与与一个个特洛洛伊木木马打打交道道。系系统必必须防防止特特洛伊伊木马马模仿仿登录录过程程，窃窃取用用户的的口令令。特权用用户在在进行行特权权操作作时，，也要要有办办法证证实从从终端端上输输出的的信息息是正正确的的，而而不是是来自自于特特洛伊伊木马马。这这些都都需要要一个个机制制保障障用户户和内内核的的通信信，这这种机机制就就是由由可信信通路路提供供的。。安全审审计一个系系统的的安全全审计计就是是对系系统中中有关关安全全的活活动进进行记记录、、检查查及审审核。。它的的主要要目的的就是是检测测和阻阻止非非法用用户对对计算算机系系统的的入侵侵，并并显示示合法法用户户的误误操作作。审计作作为一一种事事后追追查的的手段段来保保证系系统的的安全全，它它对涉涉及系系统安安全的的操作作做一一个完完整的的记录录。审计为为系统统进行行事故故原因因的查查询、、定位位，事事故发发生前前的预预测、、报警警以及及事故故发生生之后后的实实时处处理提提供详详细、、可靠靠的依依据和和支持持，以以备有有违反反系统统安全全规则则的事事件发发生后后能够够有效效地追追查事事件发发生的的地点点和过过程以以及责责任人人。代表性性的安安全模模型安全模模型就就是对对安全全策略略所表表达的的安全全需求求的简简单、、抽象象和无无歧义义的描描述，，它为为安全全策略略和它它的实实现机机制之之间的的关联联提供供了一一种框框架。。安全模模型描描述了了对某某个安安全策策略需需要用用哪种种机制制来满满足；；而模模型的的实现现则描描述了了如何何把特特定的的机制制应用用于系系统中中，从从而实实现某某一特特定安安全策策略所所需的的安全全保护护。安全模模型的的特点点能否成成功地地获得得高安安全级级别的的系统统，取取决于于对安安全控控制机机制的的设计计和实实施投投入多多少精精力。。但是是如果果对系系统的的安全全需求求了解解的不不清楚楚，即即使运运用最最好的的软件件技术术，投投入最最大的的精力力，也也很难难达到到安全全要求求的目目的。。安全全模型型的目目的就就在于于明确确地表表达这这些需需求，，为设设计开开发安安全系系统提提供方方针。。安全全模型型有以以下4个特特点点：：它是是精精确确的的、、无无歧歧义义的的；；它是是简简易易和和抽抽象象的的，，所所以以容容易易理理解解；；它是是一一般般性性的的：：只只涉涉及及安安全全性性质质，，而而不不过过度度地地牵牵扯扯系系统统的的功功能能或或其其实实现现；；它是是安安全全策策略略的的明明显显表表现现。。安全全模模型型一一般般分分为为两两种种：：形形式式化化的的安安全全模模型型和和非非形形式式化化的的安安全全模模型型。。非非形形式式化化安安全全模模型型仅仅模模拟拟系系统统的的安安全全功功能能；；形形式式化化安安全全模模型型则则使使用用数数学学模模型型，，精精确确地地描描述述安安全全性性及及其其在在系系统统中中使使用用的的情情况况。。主要要安安全全模模型型介介绍绍主要要介介绍绍具具有有代代表表性性的的:BLP机密密性性安安全全模模型型、、Biba完整整性性安安全全模模型型和和Clark-Wilson完整整性性安安全全模模型型、、信信息息流流模模型型、、RBAC安全模型型、DTE安全模型型和无干干扰安全全模型等等。1.Bell-LaPadula（BLP）模模型Bell-LaPadula模型（简简称BLP模型）是是D.ElliottBell和LeonardJ.LaPadula于1973年提出的的一种适适用于军军事安全全策略的的计算机机操作系系统安全全模型，，它是最最早、也也是最常常用的一一种计算算机多级级安全模模型之一一。BLP模型是一一个状态态机模型型，它形形式化地地定义了了系统、、系统状状态以及及系统状状态间的的转换规规则；定定义了安安全概念念；制定定了一组组安全特特性，以以此对系系统状态态和状态态转换规规则进行行限制和和约束，，使得对对于一个个系统而而言，如如果它的的初始状状态是安安全的，，并且所所经过的的一系列列规则转转换都保保持安全全，那么么可以证证明该系系统的终终了也是是安全的的。2.Biba模型BLP模型通过过防止非非授权信信息的扩扩散保证证系统的的安全，，但它不不能防止止非授权权修改系系统信息息。于是是Biba等人在1977年提出了了第一个个完整性性安全模模型——Biba模型，其其主要应应用是保保护信息息的完整整性，而而BLP模型是保保护信息息机密性性。Biba模型也是是基于主主体、客客体以及及它们的的级别的的概念的的。模型型中主体体和客体体的概念念与BLP模型相同同，对系系统中的的每个主主体和每每个客体体均分配配一个级级别，称称为完整整级别。。3.Clark-Wilson完完整性模模型在商务环环境中，，1987年DavidClark和DavidWilson所提出的的完整性性模型具具有里程程碑的意意义，它它是完整整意义上上的完整整性目标标、策略略和机制制的起源源，在他他们的论论文中，，为了体体现用户户完整性性，他们们提出了了职责隔隔离目标标；为了了保证数数据完整整性，他他们提出出了应用用相关的的完整性性验证进进程；为为了建立立过程完完整性，，他们定定义了对对于转换换过程的的应用相相关验证证；为了了约束用用户、进进程和数数据之间间的关联联，他们们使用了了一个三三元组结结构。Clark-Wilson模型的核核心在于于以良构构事务(well-formaltransaction)为基础来来实现在在商务环环境中所所需的完完整性策策略。良良构事务务的概念念是指一一个用户户不能任任意操作作数据，，只能用用一种能能够确保保数据完完整性的的受控方方式来操操作数据据。为了了确保数数据项(dataitems)仅仅只能能被良构构事务来来操作，，首先得得确认一一个数据据项仅仅仅只能被被一组特特定的程程序来操操纵，而而且这些些程序都都能被验验证是经经过适当当构造，，并且被被正确安安装和修修改。4.信信息流模模型许多信息息泄露问问题（如如隐蔽通通道）并并非存取取控制机机制不完完善，而而是由于于缺乏对对信息流流的必要要保护。。例如遵遵守BLP模型的系系统，应应当遵守守“下读读上写””的规则则，即低低安全进进程程不不能读高高安全级级文件，，高安全全级进程程不能写写低安全全级文件件。然而在实实际系统统中，尽尽管不一一定能直直接为主主体所见见，许多多客体（（包括缓缓冲池、、定额变变量、全全程计数数器等等等）还是是可以被被所有不不同安全全级的主主体更改改和读取取，这样样入侵者者就可能能利用这这些客体体间接地地传递信信息。要要建立高高级别的的安全操操作系统统，必须须在建立立完善的的存取控控制机制制的同时时，依据据适当的的信息流流模型实实现对信信息流的的分析和和控制。。5.基基于角色色的访问问控制模模型基于角色色的访问问控制模模型（Role-BasedAccessControl，RBAC）提供了了一种强强制访问问控制机机制。在在一个采采用RBAC作为授权权访问控控制的系系统中，，根据公公司或组组织的业业务特征征或管理理需求，，一般要要求在系系统内设设置若干干个称之之为“角角色”的的客体，，用以支支撑RBAC授权存取取控制机机制的实实现。角色，就就是业务务系统中中的岗位位、职位位或者分分工。例例如在一一个公司司内，财财会主管管、会计计、出纳纳、核算算员等每每一种岗岗位都可可以设置置多个职职员具体体从事该该岗位的的工作，，因此它它们都可可以视为为角色。。6.DTE模模型DTE模型最初初由Boebert和Kain提出，经经修改后后在LOCK系统中得得到实现现。与其其它访问问控制机机制一样样，DTE将系统视视为一个个主动实实体（主主体）的的集合和和一个被被动实体体（客体体）的集集合。每每个主体体有一个个属性───域，，每个客客体有一一个属性性──类类型，这这样所有有的主体体被划分分到若干干个域中中，所有有的客体体被划分分到若干干个类型型中。DTE再建立一一个表““域定义义表”(DomainDefinitionTable)，描述各各个域对对不同类类型客体体的操作作权限。。同时建建立另一一张表““域交互互表”(DomainInteractionTable)，描述各各个域之之间的许许可访问问模式（（如创建建、发信信号、切切换）。。系统运运行时，，依据访访问的主主体域和和客体类类型，查查找域定定义表，，决定是是否允许许访问。。7.无无干扰模模型Goguen与Meseguer在1982年提出了一种种基于自动机机理论和域隔隔离的安全系系统事项方法法，这个方法法分为4个阶段：（1）判定一给定定机构的安全全需求；（2）用正式/形式化的安全全策略表示这这些需求；（3）把机构正在在（或将要））使用的系统统模型化；（4）验证此模型型满足策略的的需求。Goguen与Meseguer把安全策略与与安全模型明明确地区分开开来。一般来来说安全策略略是非常简单单的，而且很很容易用适当当的形式化方方法表示出来来。他们提出出了一种非常常简单的用来来表达安全策策略的需求语语言，该语言言是基于无干干扰概念的.操作系统安全全体系结构建立一个计算算机系统往往往需要满足许许多要求，如如安全性要求求，性能要求求，可扩展性性要求，容量量要求，使用用的方便性要要求和成本要要求等，这些些要求往往是是有冲突的，，为了把它们们协调地纳入入到一个系统统中并有效实实现，对所有有的要求都予予以最大可能能满足通常是是很困难的，，有时也是不不可能的。因此系统对各各种要求的满满足程度必须须在各种要求求之间进行全全局性地折衷衷考虑，并通通过恰当的实实现方式表达达出这些考虑虑，使系统在在实现时各项项要求有轻重重之分，这就就是体系结构构要完成的主主要任务。安全体系结构构的含义一个计算机系系统（特别是是安全操作系系统）的安全全体系结构，，主要包含如如下4方面的内容：：1.详细描述系统统中安全相关关的所有方面面。这包括系系统可能提供供的所有安全全服务及保护护系统自身安安全的所有安安全措施，描描述方式可以以用自然语言言，也可以用用形式语言。。2.在一定的抽象象层次上描述述各个安全相相关模块之间间的关系。这这可以用逻辑辑框图来表达达，主要用以以在抽象层次次上按满足安安全需求的方方式来描述系系统关键元素素之间的关系系。3.提出指导设计计的基本原理理。根据系统统设计的要求求及工程设计计的理论和方方法，明确系系统设计的各各方面的基本本原则。4.提出开发过程程的基本框架架及对应于该该框架体系的的层次结构。。它描述确保保系统忠实于于安全需求的的整个开发过过程的所有方方面。为达到到此目的，安安全体系总是是按一定的层层次结构进行行描述安全体系结构构的类型在美国国防部部的“目标安安全体系”中中，把安全体体系划分为四四种类型：1.抽象体系(AbstractArchitecture)。抽象体系从从描述需求开开始，定义执执行这些需求求的功能函数数。之后定义义指导如何选选用这些功能能函数及如何何把这些功能能有机组织成成为一个整体体的原理及相相关的基本概概念。2.通用体系(GenericArchitecture)。通用体系的的开发是基于于抽象体系的的决策来进行行的。它定义义了系统分量量的通用类型型(generaltype)及使用相关关行业标准准的情况，，它也明确确规定系统统应用中必必要的指导导原则。通通用安全体体系是在已已有的安全全功能和相相关安全服服务配置的的基础上，，定义系统统分量类型型及可得到到的实现这这些安全功功能的有关关安全机制制。3.逻辑体系(LogicalArchitecture)。逻辑体系系就是满足足某个假设设的需求集集合的一个个设计，它它显示了把把一个通用用体系应用用于具体环环境时的基基本情况。。逻辑体系系与下面将将描述的特特殊体系的的仅有的不不同之处在在于：特殊殊体系是使使用系统的的实际体系系，而逻辑辑体系是假假想的体系系，是为理理解或者其其它目的而而提出的。。4.特殊体系(SpecificArchitecture)。特殊安全全体系要表表达系统分分量、接口口、标准、、性能和开开销，它表表明如何把把所有被选选择的信息息安全分量量和机制结结合起来以以满足我们们正在考虑虑的特殊系系统的安全全需求。这这里信息安安全分量和和机制包括括基本原则则及支持安安全管理的的分量等。。Flask安全体系系结构Flask体系结构使使策略可变变通性的实实现成为可可能。通过过对Flask体系的微内内核操作系系统的原型型实现表明明，它成功功的克服了了策略可变变通性带来来的障碍。。这种安全全结构中机机制和策略略的清晰区区分，使得得系统可以以使用比以以前更少的的策略来支支持更多的的安全策略略集合。Flask包括一个安安全策略服服务器来制制定访问控控制决策，，一个微内内核和系统统其他客体体管理器框框架来执行行访问控制制决策。虽虽然原型系系统是基于于微内核的的，但是安安全机制并并不依赖微微内核结构构，意味着着这个安全全机制在非非内核的情情况下也能能很容易的的实现。Flask原型由一个个基于微内内核的操作作系统来实实现，支持持硬件强行行对进程地地址空间的的分离。但但也有一些些最近的努努力已经展展示了软件件强行进程程分离的效效果。对Flask结构而言，，这种区别别是基本不不相关的。。它认为所所提供的进进程分离的的形式才是是主要的，，但Flask结构并没有有强制要某某一种机制制。Flask结构为达到到其他系统统常见的可可适应性，，将通过采采用DTOS结构在SPIN中的安全框框架具体证证明。进一一步来讲，，Flask结构也可以以适用于除除操作系统统之外的其其它软件，，例如中间间件或分布布式系统，