第9章操作系统安全测评ppt课件.ppt

操作系统安全操作系统安全 第九章 操作系统安全测评计算机科学与工程系引言引言安全功能作为安全操作系统所应提供的一个重要功能组成部分，业界对于它和其他功能的要求是不同的。安全操作系统的一个安全漏洞，可能致使整个系统所有的安全控制变得毫无价值，并且一旦这个漏洞如果被蓄意入侵者发现，就会产生巨大危害，所以要求能及时发现这些安全漏洞并且对这些漏洞作出响应。计算机科学与工程系引言引言计算机科学与工程系 9.1 操作系统漏洞扫描与安全评测操作系统漏洞扫描与安全评测操作系统安全漏洞扫描的主要目的是：自动评估由于操作系统的固有缺陷或配置方式不当所导致的安全漏洞。扫描软件在每台机器上运行，通过一系列测试手段来探查每一台机器，发现潜在的安全缺陷。它从操作系统的角度评估单机的安全环境并生成所发现的安全漏洞的详细报告。我们可以使用扫描软件对安全策略和实际实施进行比较，并给出建议采取相应措施来堵塞安全漏洞。计算机科学与工程系 9.1.1 操作系统漏洞扫描四个方面操作系统漏洞扫描四个方面 1 关键系统文件完整性的威胁扫描软件可以检查关键系统文件是否在非授权的情况下被修改，这种检查提供了检测漏洞的一种手段。2 木马程序黑客入侵电脑后经常会在系统文件中内嵌木马程序，这种程序潜伏在电脑中，受外部用户控制以窃取本机信息，占用系统资源，降低电脑效能，给计算机的安全构成很大威胁。扫描软件可以检查操作系统中是否存在这种应用程序。计算机科学与工程系 9.1.1 操作系统漏洞扫描四个方面操作系统漏洞扫描四个方面3 可疑文件黑客入侵电脑后会留下踪迹，扫描软件能够检测到这些踪迹。4 系统设置错误文件系统常常被设置成没有安全性，由于设置不正确导致存在潜在的安全漏洞。扫描软件能够检查系统设置是否正确，检测安全漏洞。计算机科学与工程系9.1.2 操作系统安全性评测操作系统安全性评测（1）需求1：安全策略 必须有一个明确的、确定的和良好定义的由系统实施的安全策略。（2）需求2：识别 系统必须唯一可靠的识别每一个主体（3）需求3：标记 为指明每一个客体的安全级别，系统按照强制存取控制规则，必须给每一个客体加一个标签。计算机科学与工程系9.1.2 操作系统安全性评测操作系统安全性评测（4）需求4：审计 系统对影响安全的事件必须维持完全和安全的记录（5）需求5：保证 系统必须包含某些硬件和软件的安全机制，以便保证以上四项基本要求被正确实施。（6）需求6：连续保护 实现这些基本需求的安全性机制必须受到连续保护以防止篡改和未经批准的改变。计算机科学与工程系9.2 评测技术评测技术我们说一个操作系统是安全的，是指它满足某一给定的安全策略。一个操作系统的安全性是与设计密切相关的，只有有效保证从设计者到用户都相信设计准确地表达了模型，而代码准确地表达了设计时，该操作系统才可以说是安全的，这也是安全操作系统评测的主要内容。评测操作系统安全性的技术有三种：入侵测试形式化验证非形式化确认计算机科学与工程系1.入侵测试入侵测试在这种方法中，“老虎”小组成员试图“摧毁”正在测试中的安全操作系统。“老虎”小组成员应当掌握操作系统典型的安全漏洞，并试图发现并利用系统中的这些安全缺陷。操作系统在某一次入侵测试中失效，则说明它内部有错。相反地，操作系统在某一次入侵测试中不失效，并不能保证系统中没有任何错误。入侵测试在确定错误存在方面是非常有用的。一般来说，评价一个计算机系统安全性能的高低，应从如下两个方面进行。(1)安全功能:系统具有哪些安全功能。(2)可信性:安全功能在系统中得以实现的可被信任的程度。通常通过文档规范、系统测试、形式化验证等安全保证来说明。计算机科学与工程系2.形式化验证形式化验证分析操作系统安全性最精确的方法是形式化验证。在形式化验证中，安全操作系统被简化为一个要证明的“定理”。定理断言该安全操作系统是正确的，即它提供了所应提供的安全特性。但是证明整个安全操作系统正确性的工作量是巨大的。另外，形式化验证也是一个复杂的过程，对于某些大的实用系统，试图描述及验证它都是十分困难的，特别是那些在设计时并未考虑形式化验证的系统更是如此。计算机科学与工程系3.非形式化确认非形式化确认确认是比验证更为普遍的术语。它包括验证，但它也包括其他一些不太严格的让人们相信程序正确性的方法。完成一个安全操作系统的确认有如下几种不同的方法。(1)安全需求检查：通过源代码或系统运行时所表现的安全功能，交叉检查操作系统的每个安全需求。其目标是认证系统所做的每件事是否都在功能需求表中列出，这一过程有助于说明系统仅作了它应该做的每件事。但是这一过程并不能保证系统没有做它不应该做的事情。计算机科学与工程系3.非形式化确认非形式化确认(2)设计及代码检查：设计者及程序员在系统开发时通过仔细检查系统设计或代码，试图发现设计或编程错误。例如不正确的假设、不一致的动作或错误的逻辑等。这种检查的有效性依赖于检查的严格程度。(3)模块及系统测试：在程序开发期间，程序员或独立测试小组挑选数据检查操作系统的安全性。必须组织测试数据以便检查每条运行路线、每个条件语句、所产生的每种类型的报表、每个变量的更改等。在这个测试过程中要求以一种有条不紊的方式检查所有的实体。计算机科学与工程系9.3操作系统安全级别操作系统安全级别为了对现有计算机系统的安全性进行统一的评价，为计算机系统制造商提供一个有权威的系统安全性标准，需要有一个计算机系统安全评测准则。美国国防部于1983年推出了历史上第一个计算机安全评价标准可信计算机系统评测准则（Trusted Computer System Evaluation Criteria，TCSEC），又称橘皮书。TCSEC将计算机操作系统安全分为四大类（A、B、C、D），D、C1、C2、B1、B2、B3和A1七个级别。计算机科学与工程系1 操作系统安全级别操作系统安全级别D类：无保护类：无保护最低安全性，无任何安全保护，不再分级。不满足任何较高安全可信性的系统全部划入D级。该级别说明整个系统都是不可信任的，对硬件来说，没有任何保护作用，操作系统容易受到损害，不提供身份验证和访问控制。例如，MS-DOS、Macintosh System 7.x等操作系统属于这个级别。计算机科学与工程系1 操作系统安全级别操作系统安全级别C类：自定式保护类：自定式保护该等级具有一定的保护能力，该等级具有一定的保护能力，采用自主访问控制和审采用自主访问控制和审计跟踪的措施计跟踪的措施。该类的安全特点在于系统的对象（如。该类的安全特点在于系统的对象（如文件、目录）可由其主体（如系统管理员、用户、应文件、目录）可由其主体（如系统管理员、用户、应用程序）自定义访问权。自主保护类依据安全从低到用程序）自定义访问权。自主保护类依据安全从低到高又分为高又分为C1、C2两个安全等级。两个安全等级。（1）C1：自主安全保护，主存取控制。（2）C2：自主访问保护，较完善的自主存取控制（DAC）、审计。计算机科学与工程系C1安全等级安全等级又称自主安全保护（discretionary security protection）系统，实际上描述了一个典型的UNIX系统上可用的安全评测级别。对硬件来说，存在某种程度的保护。用户必须通过用户注册名和口令系统识别，这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。具体地说，这些访问权限是文件和目录的许可权限（permission）。存在一定的自主存取控制机制（DAC），这些自主存取控制使得文件和目录的拥有者或者系统管理员，能够阻止某个人或几组人访问哪些程序或信息。UNIX的“owner/group/other”存取控制机制，即是一种典型的事例。计算机科学与工程系C1安全等级安全等级但是这一级别没有提供阻止系统管理账户行为的方法，结果是不审慎的系统管理员可能在无意中损害了系统的安全。另外，在这一级别中，许多日常系统管理任务只能通过超级用户执行。由于系统无法区分哪个用户以root身份注册系统执行了超级用户命令，因而容易引发信息安全问题，且出了问题以后难以追究责任。计算机科学与工程系C2安全等级安全等级又称受控制的存取控制系统。它具有以用户为单位的DAC机制，且引入了审计机制。除C1包含的安全特征外，C2级还包含其他受控访问环境（controlled-access environment）的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审计，包括为系统中发生的每个事件编写一个审计记录。审计用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动。计算机科学与工程系1 操作系统安全级别操作系统安全级别B类：强制式保护类：强制式保护 B类为强制保护类（mandatory protection)。该类的安全特点在于由系统强制的安全保护，在强制保护模式中，每个系统对象（如文件、目录等资源）及主体（如系统管理员、用户、应用程序）都有自己的安全标签（security label），系统则依据主体和对象的安全标签赋予访问者对访问对象的存取权限。强制保护类依据安全从低到高又分为B1、B2、B3这3个安全等级。计算机科学与工程系B1安全等级安全等级B1级或标记安全保护（labeled security protection）级：B1级要求具有C2级的全部功能，并引入强制型存取控制（MAC）机制，以及相应的主体、客体安全级标记和标记管理。B1级是支持多级安全（比如秘密和绝密）的第一个级别，这一级别说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其存取许可权限。计算机科学与工程系B2安全等级安全等级B2级或结构保护（structured protection）级：B2级要求具有形式化的安全模型、描述式顶层设计说明（DTDS）、更完善的MAC机制、可信通路机制、系统结构化设计、最小特权管理、隐蔽通道分析和处理等安全特征。B2级要求计算机系统中所有的对象都加标记，而且给设备（如磁盘、磁带或终端）分配单个或多个安全级别。计算机科学与工程系B3安全等级安全等级B3级或安全域（security domain）级：B3级要求具有全面的存取控制（访问监控）机制、严格的系统结构化设计及TCB最小复杂性设计、审计实时报告机制、更好地分析和解决隐蔽通道问题等安全特征。B3使用安装硬件的办法增强域的安全性，例如，内存管理硬件用于保护安全域以避免无授权访问或对其他安全域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上。计算机科学与工程系A1安全等级安全等级A类为验证保护类（verify design）：A类是当前橘皮书中最高的安全级别，它包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样。这一级包含了较低级别的所有特性。设计必须是从数学上经过验证的，而且必须进行隐蔽通道和可信任分布的分析。可信任分布（trusted distribution）的含义是，硬件和软件在传输过程中已经受到保护，不可能破坏安全系统。验证保护类只有一个安全等级，即A1级。A1级要求具有系统形式化顶层设计说明（FTDS），并形式化验证FTDS与形式化模型的一致性，以及用形式化技术解决隐蔽通道问题等。计算机科学与工程系中国国标中国国标GB178591999我国于1999年10月19日发布了计算机信息系统安全保护等级划分准则GB17859-1999（Classified criteria for security protection of Computer information system），规定了计算机信息系统安全保护能力的五个等级：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级计算机科学与工程系中国国标中国国标GB178591999美国国防部采购的系统要求其安全级别至少达到B类，商业用途的系统也追求达到C类安全级别。但是，国外厂商向我国推销安全功能符合TCSEC B类和以上级别的计算机系统是限制的。因此，自主开发符合TCSEC中B类安全功能的安全操作系统一直是我国近几年来研究的热点。TCSEC从B1到B2的升级，在美国被认为是安全操作系统设计开发中，单级增强最为困难的一个阶段。我国国标基本上是参照美国TCSEC制定的，但将计算机信息系统安全保护能力划分为5个等级，第五级是最高安全等级。一般认为我国GB178591999的第四级对应于TCSEC B2级，第五级对应于TCSEC B3级。计算机科学与工程系1.第一级：用户自主保护级第一级：用户自主保护级每个用户对属于自己的客体具有控制权，如不允许其他用户写他的文件而允许其他用户读他的文件。存取控制的权限可基于3个层次：客体的属主、同组用户、其他任何用户。系统中的用户必须用一个注册名和一个口令验证其身份，目的在于标明主体是以某个用户的身份进行工作的，避免非授权用户登录系统。确保非授权用户不能访问和修改“用来控制客体存取的敏感信息”和“用来进行用户身份鉴别的数据”。计算机科学与工程系2.第二级：系统审计保护级第二级：系统审计保护级(1)自主存取控制的粒度更细。(2)审计机制。审计系统中受保护客体被访问的情况（包括增加、删除等），用户身份鉴别机制的使用，系统管理员、系统安全管理员、操作员的对系统的操作，以及其他与系统安全有关的事件。要确保审计日志不被非授权用户访问和破坏。(3)TCB对系统中的所有用户进行惟一标识（如id号），系统能通过用户标识号确认相应的用户。(4)客体重用。释放一个客体时，将释放其目前所保存的信息；当它再次分配时，新主体将不能据此获得其原主体的任何信息。计算机科学与工程系3.第三级：安全标记保护级第三级：安全标记保护级(1)强制存取控制机制。(2)在网络环境中，要使用完整性敏感标记确保信息在传送过程中没有受损。(3)系统要提供有关安全策略模型的非形式化描述。(4)在系统中，主体对客体的访问要同时满足强制访问控制检查和自主访问控制检查。(5)在审计记录的内容中，对客体增加和删除事件要包括客体的安全级别。另外，TCB对可读输出记号（如输出文件的安全级标记等）的更改要能审计。计算机科学与工程系4.第四级：结构化保护级第四级：结构化保护级(1)可信计算基建立于一个明确定义的形式化安全策略模型之上。(2)对系统中的所有主体和客体实行自主访问控制和强制访问控制。(3)进行隐蔽存储信道分析。(4)为用户注册建立可信通路机制。(5)TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口定义必须明确，其设计和实现要能经受更充分的测试和更完整的复审。(6)支持系统管理员和操作员的职能划分，提供了可信功能管理。计算机科学与工程系4.第四级：结构化保护级第四级：结构化保护级具体内容如下所示。自主访问控制。同第三级“安全标记保护级”。强制访问控制。TCB对外部主体能够直接或间接访问的所有资源实施强制访问控制。身份鉴别。同第三级“安全标记保护级”。客体重用。同第三级“安全标记保护级”。审计。同第三级“安全标记保护级”，但增加了审计隐蔽存储信道事件。隐蔽通道分析。系统开发者应彻底搜索隐蔽存储信道，并确定每一个被标识信道的最大带宽。可信路径。对用户的初始登录（如login），TCB在它与用户之间提供可信通信路径，使用户确信与TCB进行通信。计算机科学与工程系5.第五级：访问验证保护级第五级：访问验证保护级(1)TCB满足参照监视器需求，它仲裁主体对客体的全部访问，其本身足够小，能够分析和测试。在构建TCB时，要清除那些对实施安全策略不必要的代码，在设计和实现时，从系统工程角度将其复杂性降低到最小程度。(2)扩充审计机制，当发生与安全相关的事件时能发出信号。(3)系统具有很强的抗渗透能力。计算机科学与工程系9.3.1安全评测发展过程安全评测发展过程计算机科学与工程系9.3.2 美国橘皮书美国橘皮书TCSEC计算机科学与工程系9.3.2 美国橘皮书美国橘皮书TCSEC计算机科学与工程系9.3.2 美国橘皮书美国橘皮书TCSEC计算机科学与工程系9.3.2 美国橘皮书美国橘皮书TCSEC计算机科学与工程系加拿大标准加拿大标准加拿大政府设计开发了自己的可信任计算机标准加拿大可信计算机产品评估标准（Canadian Trusted Computer Product Evaluation Criteria,CTCPEC）。CTCPEC提出了在开发或评估过程中产品的功能（functionality）和保证（assurance）。功能包括机密（confidentiality）、完整性（integrity）、可用性（availability）和可追究性（accountability）。保证说明安全产品实现安全策略的可信程度。计算机科学与工程系9.3.4 通用安全评价准则通用安全评价准则CC美国联合荷、法、德、英、加等国，于1991年1月宣布了制定通用安全评价准则（Common Criteria for IT Security Evaluation，CC）的计划。1996年1月发布了CC的1.0版。它的基础是欧洲的ITSEC、美国的TCSEC、加拿大的CTCPEC，以及国际标准化组织ISO SC27 WG3的安全评价标准。1999年7月，国际标准化组织ISO将CC 2.0作为国际标准ISO/IEC 15408公布。CC标准提出了“保护轮廓”，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息技术安全评估标准。计算机科学与工程系1.CC的目标读者的目标读者CC的目标读者主要包括TOE用户、TOE开发者和TOE评估者。其他读者包括系统管理员和安全管理员、内部和外部审计员、安全规划和设计者、评估发起人和评估机构。用户可以利用评估结果，判断一个系统和产品是否满足他们的安全需求，可以通过评估结果比较不同的系统和产品。CC用保护轮廓为用户提供了一个独立于实现的框架，用户在保护轮廓中可提出对评估对象的特殊IT安全要求。开发者遵照CC对系统和产品进行设计和开发，可以通过安全功能和保证证明TOE实现了特定的安全要求，每个安全要求都包含在安全目标（ST）中。评估者遵照CC对TOE进行评估，判断TOE与安全要求的一致性，可以得到可重复的、客观的评估结果。计算机科学与工程系2.CC准则结构准则结构第一部分:简介和一般模型。它定义了IT安全评估的通用概念和原理，提出了评估的通用模型。它还提出了一些概念，这些概念可用来表达IT安全目的，用于选择和定义IT安全要求、书写系统与产品的高层规范。第二部分:安全功能要求。它建立了一系列功能组件，作为表示TOE功能要求的标准方法。第三部分:安全保证要求。它建立了一系列保证组件，作为表示TOE保证要求的标准方法。它也定义了保护轮廓（PP）和安全目标（ST）的评估准则，提出了评估保证级别，即评估TOE保证的CC预定义等级。计算机科学与工程系缩略语缩略语EAL:评估保证级（evaluation assurance level）。IT:信息技术（information technology）。TOE:评估对象（target of evaluation）。PP:保护轮廓（protection profile）。TSP:TOE安全策略（TOE security policy）。SF:安全功能（security function）。SFP:安全功能策略（security function policy）。SOF:功能强度（strength of function）。ST:安全目标（security target）。TSC:TSF控制范围（TSF scope of control）。