安全操作系统简介任爱华版.pptx

1、可信计算机系统安全评价标准可信计算机系统安全评价标准 l第一个计算机安全评价标准第一个计算机安全评价标准 TCSEC(Trusted Computer System Evaluation Criteria)，即：即：“可可信计算机系统安全评价标准信计算机系统安全评价标准”，又称橙皮书。，又称橙皮书。l人们以人们以TCSEC TCSEC 为蓝本研制安全操作系统。为蓝本研制安全操作系统。lTCSEC TCSEC 为安全系统指定的是一个统一的系统安全为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些

2、子策略紧密和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略。地结合在一起形成一个单一的系统安全策略。保障需求安全特性需求图1-15 TCSEC 的构成与等级结构D：最小保护C1：自主安全保护C2：受控访问保护B1：标记安全保护B2：结构化保护B3：安全域A1：经过验证的保护高度极权化的高度极权化的LinuxLinux （C1C1级）级）普通普通Linux采用采用极权化的极权化的方式，设立一个方式，设立一个root超级用超级用户，户，root用户具有至高无上的权力，可以不受系统访用户具有至高无上的权力，可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行问

3、控制规则的任何制约，可对系统及其中的信息执行任何操作，这种做法不符合安全系统的任何操作，这种做法不符合安全系统的“最小特权最小特权”原则。攻击者只要破获原则。攻击者只要破获root用户的口令，进入系统，用户的口令，进入系统，便得到了对系统的完全控制，其后果是不言而喻的。便得到了对系统的完全控制，其后果是不言而喻的。系统特权分化（系统特权分化（C2级）级）根据根据“最小特权最小特权”原则对系统管理员的特权进行分化，原则对系统管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有：型的系统管理角色有：+系统管理员系统管理

4、员+安全管理员安全管理员+审计管理员等审计管理员等系统管理员负责系统的安装、管理和日常维护，如安系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。安全管理员负装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。色的口令时不会得到对系统的完全控制。自主访问控制功能（

5、自主访问控制功能（C1级）级）lLinux的自主访问控制的自主访问控制普通普通Linux只支持简单形式的自主访问控制，由资只支持简单形式的自主访问控制，由资源（文件等）的所有者根据所有者、同组者、其他源（文件等）的所有者根据所有者、同组者、其他人等三类群体指定用户对资源的访问权。而超级用人等三类群体指定用户对资源的访问权。而超级用户户root实际可以不受访问权的限制。这对资源的保实际可以不受访问权的限制。这对资源的保护很不利。护很不利。强制访问控制功能（强制访问控制功能（B级）级）提供强制访问控制支持，采用提供强制访问控制支持，采用Bell&LaPadula强制访强制访问控制模型，为主体问控制

6、模型，为主体(用户、进程等用户、进程等)和客体和客体(文件、文件、目录、设备、目录、设备、IPC机制等机制等)提供标签支持。提供标签支持。主体主体:用户、进程等用户、进程等客体客体:文件、目录、设备、文件、目录、设备、IPC机制等机制等 主体和客体都有标签设置主体和客体都有标签设置，系统根据主体和客体间标系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特许访问，否则拒绝访问，不管主体是普通用户还是特权用户。权用户。Bell&LaPadulaBell&LaPadula模型模型-1-1lB

7、ell&LaPadula Bell&LaPadula 模型，简称模型，简称BLP BLP 模型，由模型，由D.E.Bell D.E.Bell 和和L.J.LaPadula L.J.LaPadula 在在19731973年提出，是第一个可证明的年提出，是第一个可证明的安全系统的数学模型安全系统的数学模型lBLP BLP 模型是根据军方的安全政策设计的，它要解决的模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。本质问题是对具有密级划分的信息的访问进行控制。BLP BLP 模型是一个状态机模型，它定义的系统包含一个模型是一个状态机模型，它定义的系统包含一个初始

8、状态初始状态Z Z0 0 和由一些三元组（请求，判定，状态）和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关组成的序列，三元组序列中相邻状态之间满足某种关系系W W。BLP=ZBLP=Z0 0,R,D,S,R,D,SBell&LaPadulaBell&LaPadula模型模型-2-2l如果一个系统的初始状态是安全的，并且三元组序列中的所有如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统。状态都是安全的，那么这样的系统就是一个安全系统。lBLP BLP 模型定义的状态是一个四元组模型定义的状态是一个四元组S=S=

9、b,M,f,Hb,M,f,H），），其中，其中，b b 是当前访问的集合，当前访问由三元组（主体，客体，访问是当前访问的集合，当前访问由三元组（主体，客体，访问方式）表示，是当前状态下允许的访问；方式）表示，是当前状态下允许的访问；M M 是访问控制矩阵；是访问控制矩阵；f f 是安全级别函数，用于确定任意主体和客体的安全级别；是安全级别函数，用于确定任意主体和客体的安全级别；H H 是客体间的层次关系。是客体间的层次关系。Bell&LaPadulaBell&LaPadula模型模型-3-3l抽象出的访问方式有四种，分别是抽象出的访问方式有四种，分别是+只可读只可读r r、+只可写只可写a

10、a、+可读写可读写w w +不可读写（可执行）不可读写（可执行）e e。l主体的安全级别包括主体的安全级别包括+最大安全级别，通常简称为安全级别。最大安全级别，通常简称为安全级别。+当前安全级别当前安全级别Bell&LaPadulaBell&LaPadula模型模型-4-4l以下特性和定理构成了以下特性和定理构成了BLP BLP 模型的核心内容。模型的核心内容。+简单安全特性（简单安全特性（ss-ss-特性）：特性）：如果当前访问是如果当前访问是b=b=（主体，客体，可读），那么一定有：主体，客体，可读），那么一定有：levellevel(主体主体)levellevel(客体客体)其中，其中，

11、level level 表示安全级别。表示安全级别。+星号安全特性（星号安全特性（*-*-特性）：特性）：在任意状态，如果（主体，客体，方式）是当前访问，那在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：么一定有：(1)(1)若方式是若方式是a a，则：则：levellevel(客体客体)current-levelcurrent-level(主体主体)(2)(2)若方式是若方式是w w，则：则：levellevel(客体客体)=)=current-levelcurrent-level(主体主体)(3)(3)若方式是若方式是r r，则：则：current-levelcurrent-l

12、evel(主体主体)levellevel(客体客体)其中，其中，current-level current-level 表示当前安全级别。表示当前安全级别。Bell&LaPadulaBell&LaPadula模型模型-5-5+自主安全特性（自主安全特性（ds-ds-特性）：特性）：如果（主体如果（主体-i i，客体客体-j j，方式方式-x x）是当前访问，是当前访问，那么，方式那么，方式-x x 一定在访问控制矩阵一定在访问控制矩阵M M 的元素的元素Mij Mij 中。中。vds-ds-特性处理自主访问控制，自主访问控制的权限由客体的特性处理自主访问控制，自主访问控制的权限由客体的属主自主

13、确定属主自主确定vss-ss-特性和特性和*-*-特性处理的是强制访问控制。强制访问控制的特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。权限由特定的安全管理员确定，由系统强制实施。+基本安全定理：如果系统状态的每一次变化都能满足基本安全定理：如果系统状态的每一次变化都能满足ss-ss-特性、特性、*-*-特性和特性和ds-ds-特性的要求，那么，在系统的整特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。个状态变化过程中，系统的安全性是不会被破坏的。lBLP BLP 模型支持的是信息的保密性。模型支持的是信息的保密性。标签标签l标签

14、有等级分类和非等级类别：标签有等级分类和非等级类别：+等级分类与整数相当，可以比较大小；等级分类与整数相当，可以比较大小；可设置为：非密、秘密、机密、绝密等，可设置为：非密、秘密、机密、绝密等，+非等级类别与集合相当，不能比较大小，但存在包含非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。与非包含关系。可设置为：国防部、外交部、财政部等级可设置为：国防部、外交部、财政部等级当一个用户的标签为当一个用户的标签为 时，他可以查看时，他可以查看“国防部国防部”的不超过的不超过“秘密秘密”级的信息。任何用户级的信息。任何用户（包括特权用户），只要标签不符合要求，不管他原（包括特权用户），只

15、要标签不符合要求，不管他原来的权利有多大（比如系统管理员），都不能对指定来的权利有多大（比如系统管理员），都不能对指定信息进行访问。这为信息的保护提供了强有力的措施，信息进行访问。这为信息的保护提供了强有力的措施，普通普通Linux无法做到这一点。无法做到这一点。小结小结-1-1l安全操作系统是安全计算机系统的根基安全操作系统是安全计算机系统的根基l评价安全操作系统的标准评价安全操作系统的标准TCSECl安全模型安全模型BLPl参考文献：参考文献：“安全操作系统研究的发展”石文昌，中国科学院软件研究所计算机科学Vol.29 No.6和Vol.29 No.7标准化机构在信息安全方面的标准化机构在

16、信息安全方面的工作工作-1-1l19851985年，年，DoD5200DoD52002828STDSTD，即可信计算机系统评测即可信计算机系统评测标准（标准（TCSECTCSEC）（）（美国国防部桔皮书，以下简称美国国防部桔皮书，以下简称DOD85DOD85评测标准）评测标准）l19871987年，美国国家计算机安全中心（年，美国国家计算机安全中心（NCSCNCSC）为为TCSECTCSEC桔皮书提出可依赖网络解释（桔皮书提出可依赖网络解释（TNITNI），），通常被称作红通常被称作红皮书。皮书。l19911991年，美国国家计算机安全中心（年，美国国家计算机安全中心（NCSCNCSC）为为T

17、CSECTCSEC桔皮书提出可依赖数据库管理系统解释（桔皮书提出可依赖数据库管理系统解释（TDITDI）。）。l19961996年在上述标准的基础上，美国、加拿大和欧洲联年在上述标准的基础上，美国、加拿大和欧洲联合研制合研制CCCC（信息技术安全评测公共标准），颁布了信息技术安全评测公共标准），颁布了CC CC 1.01.0版。版。标准化机构在信息安全方面的工作标准化机构在信息安全方面的工作-2-2l在欧洲，由英国、荷兰和法国带头，开始联合研制欧在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准洲共同的安全评测标准l19911991年颁布欧洲的年颁布欧洲的ITSECITSEC（

18、信息技术安全标准）。信息技术安全标准）。l19931993年，加拿大颁布年，加拿大颁布CTCPECCTCPEC（加拿大可信计算机产品加拿大可信计算机产品评测标准）。评测标准）。l19971997年年5 5月，由月，由VisaVisa、MasterCardMasterCard等联合推出的安全等联合推出的安全电子交易（电子交易（SETSET）规范为在规范为在InternetInternet上进行安全的电上进行安全的电子商务提供了一个开放的标准。子商务提供了一个开放的标准。SETSET主要使用电子认证技术，其认证过程使用主要使用电子认证技术，其认证过程使用RSARSA和和DESDES算法，因此，可以为电子商务提供很强的安全保算法，因此，可以为电子商务提供很强的安全保护。可以说，护。可以说，SETSET规范是目前电子商务中最重要的协规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展。议，它的推出必将大大促进电子商务的繁荣和发展。