1、第章 操作系统的安全性第8章 操作系统的安全性8.1 安全操作系统的必要性安全操作系统的必要性8.2 我国安全操作系统所面临的问题我国安全操作系统所面临的问题 8.3 恶意程序防御机制恶意程序防御机制8.4 安全操作系统设计安全操作系统设计8.5 安全操作系统的关键问题安全操作系统的关键问题8.6 安全发展对策安全发展对策8.7 Linux系统下安全机制的管理系统下安全机制的管理 习题八习题八第章 操作系统的安全性8.1 安全操作系统的必要性安全操作系统的必要性随着互联网的普及,当前的计算机系统受到各种严重的威胁,对抗各种威胁的手段也进入实用化阶段。但是,这些手段并不完善,有些是治标不治本的。
2、下面仅以普通的操作系统难以对抗的典型威胁,分析现在所利用的防护工具的不可靠性,从而说明安全操作系统的必要性和有效性。第章 操作系统的安全性8.1.1 针对操作系统的典型威胁针对操作系统的典型威胁1)木马所谓木马,是潜伏在计算机内,进行破坏数据、窃取文件等活动的伪装程序。由于木马像正常的程序,一般的用户很难觉察到木马的活动。下面,以在办公软件里潜伏木马的情况,从泄露信息的角度来分析木马的强大威胁性。第章 操作系统的安全性假如用户A建立属“秘密”信息的文件X,并具有读、写权。用户B建立属“普通”信息的文件Y,并具有读、写权。用户B不能访问文件X,但用户A对文件Y具有读、写权。通常,只要实现任意访问
3、控制(DAC),由于用户B不能访问文件X,也就不会泄露信息。但是,如果办公软件被植入木马,用户A在读文件X时,由于用户A对文件X和Y都有写权限,木马就趁机把文件X复制到文件Y里去。本来用户B不能访问秘密信息,但可以访问文件Y,这样,用户B也可以访问秘密信息,导致信息的泄密。这就是19世纪70年代美军最担心的事态。第章 操作系统的安全性2)缓冲器溢出(提升权限,夺取管理员权限)在程序里,经常有“Bug”的安全漏洞。而大部分这些“Bug”最容易在主要OS程序设计语言C和C+里出现。通常在程序运行时,有必要在存储器准备缓冲区存放程序实行时的临时数据。因此,程序员根据程序的大小准备缓冲器的容量。但是,
4、由于其他原因,进入缓冲器的数据超过缓冲器的容量时,就会造成缓冲器溢出,溢出的数据就会被写到其他的缓冲器里,程序就无法控制。这种现象称为缓冲器溢出。不怀好意的第三者利用这种现象进行攻击的叫缓冲器溢出攻击。第章 操作系统的安全性攻击者利用溢出改写数据,并编写非法程序,可代替原来的程序,变成恶意程序。假如原程序是在管理员权限下实行的,攻击者编制的程序也可在管理员权限下实行,于是,计算机就处于被持劫的状态。第章 操作系统的安全性3)内部人员威胁信息的泄密大多数是来自内部的用户。因为在一般的操作系统里,拥有超级用户权限的雇员可以不受限制地访问系统里最机密、最有价值的数据。一般用户也可以在授予他的访问范围
5、内进行不法操作。一般来说,内部用户比较容易掌握系统内的信息和数据,甚至可轻易地把恶意程序代码放进系统里。因此,就算没有外部入侵,来自内部对公司不满的员工或正准备离职的员工就有可能改变程序的实行权限和夺取系统超级用户权限。另外,在一般的操作系统里,只要有管理员权限,就可通过修改系统的日志文件以达到消除内部犯罪证据的目的。第章 操作系统的安全性8.1.2 现有防护方法及其不足现有防护方法及其不足1)防火墙防火墙是为了防止利用网络从外部入侵的系统。它检查来自外部的通信源和通信目的地的IP地址以及端口,决定是否允许访问。它可以把不必要的通信屏蔽,但不知道被允许访问的通信内容是什么。例如,来自对外部公开
6、的WEB服务器的HTTP访问被允许后,就无法防止第三方利用该服务进行攻击。第章 操作系统的安全性2)入侵检测系统(IDS)IDS是对网络中的通信包以及服务器的日志进行监视,检测是否有入侵行为的系统。它分为利用已知的非法访问模式进行非法检测和利用以往的记录进行异常检测。虽然入侵检测系统有一定的作用,但免不了误检和漏检,而且其对未知的入侵方式不能检测。因此只靠IDS来防护是不够的。第章 操作系统的安全性3)加密为防止通信内容被偷听,从古时候开始人们就已经利用了密码技术。在近代,如Windows XP等采用的NTFS文件系统里,可以对文件及目录加密后保存在硬盘里。这样,重要的信息万一被传到系统外,由
7、于经过加密,可以防止被其他人看见。但是,加密并非是万全之策。因为无论是加密还是解密都是由程序来实现的,程序同样存在被修改和破解的风险,而且就算文件和目录加密后别人看不到,但也不能防止其对该文件和目录的改动和删除。第章 操作系统的安全性4)补丁所谓补丁,是指把修改程序内容集中在一起的文件。通过对原程序打补丁可以修正原来程序的错误。一般软件发现有错误或存在安全漏洞后才开始开发,而其开发和发行又需要一定时间,因此若在此时利用安全漏洞进行攻击,系统就无法受到保护。第章 操作系统的安全性从上述分析可知,一般的操作系统和现有的防护技术不能防止不法访问,也不能阻止内部具有管理权限的用户的犯罪行为。如果采用上
8、述BLP模式的强制访问控制,尽管用户A对文件X有读写权,只要把文件X定为“秘密”,把文件Y定为“普通”,文件X就不可能被复制到文件Y去,被植入的木马就不能达到其目的。第章 操作系统的安全性在安全操作系统里,由于管理员的权限是分散的,万一某管理员的权限被黑客夺取,受害可以控制在小范围内。另外,由于限制各种程序或软件的权限,就算某程序存在安全漏洞,受害也是有限的。在安全操作系统里,对用户分配相应的角色并授予必要的最小权限,可以减少来自内部人员的威胁。因此,采用万一被入侵也不受损失或可以把损失减到最小的、具有细粒度访问控制的安全操作系统是必要的,而且是有效的。第章 操作系统的安全性8.2 我国安全操
9、作系统所面临的问题我国安全操作系统所面临的问题信息安全框架的构造如果只停留在网络防护的层面上,而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。第章 操作系统的安全性长期以来,我国广泛应用的主流操作系统都是从国外引进直接使用的产品。从国外引进的操作系统,其安全性难以令人放心。Windows中存在着漏洞和陷门,不断引起世界性的“冲击波”和“振荡波”等安全事件,如果在电子政务等要害部门使用,将存在极大风险。以Linux为代表的国际自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇。但并不是说,Linux等开源操作系统就可以解决我国目前对于安全操作系统
10、的要求。第章 操作系统的安全性我国在安全操作系统方面已经开展了一些工作,但是缺乏理论基础,也就是缺乏对安全模型和安全评估准则的深入研究,使得安全操作系统方案缺乏整体性。目前国内基本上都是利用国外的技术甚至是部分源代码,根据市场需要自己组合成的操作系统,这种系统不具有我们的自主版权。第章 操作系统的安全性以Linux为代表的国际自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇。但是Linux的内核设计缺乏模块化,从而导致基于Linux平台研制安全操作系统的做法缺乏科学的安全模型支持。同时,根据自由软件协议(GPL),任何基于自由软件的源代码必须公开。就安全性而言,非开放源码的操作系
11、统是个黑盒子,而一个源代码公开的系统像是一个玻璃盒子,这恐怕也没法让人安心。第章 操作系统的安全性8.2.1 目前常见的攻击者目前常见的攻击者当今的数字世界,各种违背安全原则的情况随处可见,泄密、破坏等犯罪事件对信息安全、经济安全甚至国家安全产生越来越严重的影响。随着信息化的深入,安全问题已从以前的高深理论变成了摆到普通公务员或公司职员面前的一个问题。目前攻击者主要分以下几类:个人猎奇者;电脑黑客;恶意的内部人员;商业间谍;第章 操作系统的安全性 集团犯罪;恐怖分子;国家情报及军事机构。这些攻击者利用各种攻击手段和工具,对信息安全造成了非常大也非常实际的威胁和破坏。对各式各样的数字威胁和攻击,
12、我们必须采取有力的安全机制进行保护、防御和反应(反击),但目前信息安全工作集中在应用层及传输通信层,可以说,IT业界尚未重视操作系统对安全的重要作用。没有操作系统的安全,信息的安全是“沙地上的城堡”。因此,采用国产的安全操作系统已成为电子信息安全工程的必然选择。第章 操作系统的安全性8.2.2 病毒常见的攻击目标及对象病毒常见的攻击目标及对象从第一个病毒出现开始,Windows操作系统就一直成为病毒攻击的目标,病毒的编写技术也一直在更新。现在的病毒攻击性和发作性强,病毒和垃圾邮件编写者还进行了合作,对网络安全以及用户电脑造成了更大的威胁。病毒的特征主要如下:(1)传染性:通过各种介质和渠道,对
13、已感染的电脑不停进行破坏,同时对和电脑相连的其他电脑也进行感染,尤其在网络上感染速度更快。第章 操作系统的安全性(2)可执行性:病毒也是一段代码组成的程序,同样可以单独执行。当病毒发作,也就是病毒运行的时候,就会对电脑的相关程序或者目标进行攻击。(3)可触发性:病毒也是程序,可以自动触发或者是手动触发,可定期执行或者在某一时间执行,并且会感染正常的程序,在运行程序的时候同时执行。(4)潜伏性:电脑病毒有时候并不是很明显的,病毒会寻找一些比较深层的目录或者文件夹,并且会隐藏在合法的文件夹内,用户可能并不会很快察觉,隐蔽性强。第章 操作系统的安全性(5)针对性:病毒所攻击的目标都是有针对性的,都是
14、针对某一漏洞或者某一程序进行感染。正因为这样,病毒文件的大小才会很小。针对Windows操作系统,病毒所攻击的目标通常包括以下方面:(1)系统文件和可执行文件。这类病毒属于系统病毒,由于对系统文件进行破坏,所以这类病毒的前缀多命名为Win32、PE、Win95、W32、W95等。此类病毒主要感染Windows的exe文件、dll文件以及其他类型的运行程序。因为系统文件以及可执行文件使用频繁,所以病毒传播很快。杀毒软件依然是对此类病毒防范的最好工具。第章 操作系统的安全性(2)电子邮件。电子邮件传播的蠕虫病毒是大家听得最多的病毒了,病毒前缀多为Worm。蠕虫顾名思义就是能够不停进行感染,所以,这
15、类病毒具有非常可怕的攻击效果。其攻击范围比较广泛,通过电子邮件传播,同时,也感染系统文件和可执行文件,并向外发送大量的垃圾邮件,使网络阻塞。只要平时及时更新杀毒软件的病毒库,就不会轻易感染蠕虫病毒。第章 操作系统的安全性(3)访问网络的程序。访问网络的程序提法比较笼统。但是,这些程序所感染的病毒也很广泛,其中有木马病毒和黑客病毒,木马病毒其前缀是Trojan,黑客病毒前缀名一般为Hack。这类病毒和蠕虫病毒一样,传播的时候先把本机感染,然后再传播到网络,感染别的电脑。我们常使用的OICQ软件和网络游戏就可能成为这两个病毒的传播者。OICQ软件可以在通讯聊天的时候传播不健康网站或者恶意网站,而对
16、于网络游戏,则可能造成游戏账号的丢失。对于木马病毒和黑客病毒,最好的防范工具是木马监视工具,比如木马克星等软件。第章 操作系统的安全性(4)脚本程序。脚本程序多使用在网页中,其中,Java小程序以及Active X这两个是使用最广泛的。它通过网页进行传播,这类脚本病毒的前缀是Script。由于在访问网页时脚本语言使用非常频繁,因此,此类病毒传播性很强,也很泛滥。(5)宏病毒。宏病毒也属于脚本病毒,但是因为它所感染的目标主要针对Office软件,所以另外分出类来。宏病毒的前缀是Macro、Word、Word97、Excel、Excel97等。这类病毒主要感染Office系列的文档,包括Word、
17、Excel等。为了保护数据的安全,建议尽量把宏安全性提高到最高。另外,杀毒软件里都有宏病毒的检测,建议打开监控。第章 操作系统的安全性(6)后门病毒。后门病毒其实并不是利用攻击来达到目的的,主要是潜入系统,在适当的时候开启某个端口或者服务,然后再利用其他工具进行攻击。后门病毒的前缀是Backdoor。在平时的使用过程中,我们应该始终把防火墙打开,对端口进行编辑,以便在访问的时候,更清楚的知道自己电脑内有哪些端口已被访问。第章 操作系统的安全性(7)病毒种植传播。种植的意思是利用一个程序来生成更多的程序,这类病毒就是这样传播的。在程序被打开的情况下,在内存中自动复制程序,并且拷贝到其他文件目录下
18、,感染更多的程序以及文件。后门病毒的前缀是Backdoor。这类病毒也属于内存病毒,不仅传播病毒,而且占用很多的电脑资源,因此时常对内存以及进程文件进行检查也是个防毒的好方法。第章 操作系统的安全性(8)破坏性病毒。破坏性病毒所针对的攻击目标,主要是电脑的系统、硬盘或者其他硬件设备,而且会破坏系统文件,造成系统无法正常使用。如果是硬盘的话,会删除文件、格式化硬盘。对于其他硬件设备,可能还会造成超频,导致电脑硬件过热而损坏电脑。破坏性程序病毒的前缀是Harm。这类病毒会造成很严重的后果。(9)玩笑性病毒。玩笑性病毒只是一段开玩笑的代码,它会出其不意地在用户的电脑里运行,并且和用户开个玩笑,还可能
19、会装做破坏一些软件或者程序来和用户开玩笑,对电脑没有实质性破坏,只会开玩笑和影响正常的工作学习。玩笑病毒的前缀是Joke。第章 操作系统的安全性(10)程序捆绑病毒。把病毒和程序捆绑并不需要多大难度,只需要使用一个文件捆绑器,就可以把病毒文件和正常程序捆绑在一起,然后在运行程序的时候就会不知不觉地运行。程序捆绑病毒的前缀是Binder。程序所捆绑的病毒的文件都是很小的,这样程序文件变化不会很大,所以一般是不会被发觉的。这种病毒经常与常用软件进行捆绑,比如OICQ软件、IE软件等。第章 操作系统的安全性8.2.3 计算机网络攻击的常见手法计算机网络攻击的常见手法1)利用网络系统漏洞进行攻击许多网
20、络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁。另外,网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。第章 操作系统的安全性2)通过电子邮件进行攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反应缓慢,甚至瘫痪,这一点和后面
21、要讲到的“拒绝服务攻击”比较相似。对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。第章 操作系统的安全性3)解密攻击在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的合法用户,因此,取得密码也是黑客进行攻击的一重要手法。第章 操作系统的安全性黑客获取密码有好几种方法。一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而
22、黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又增加了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。第章 操作系统的安全性另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件会尝试所有可能字符组成的密码,但这项工作十分费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可完成解密。为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂些,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话号
23、码甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外,应该经常更换密码,这样会使其被破解的可能性得到下降。第章 操作系统的安全性4)后门软件攻击后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登录已安装好服务器端程序的电脑,这些服务器端程序都比较小,一
24、般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。第章 操作系统的安全性当用户在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。第章 操作系统的安全性5)拒绝服务攻击互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降
25、低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,使邮件服务器无法承担如此庞大的数据处理量而瘫痪。第章 操作系统的安全性对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作,所以用户在上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏IP地址的程序,这样能大大降低受到攻击的可能性。第章 操作系统的安全性8.3 恶意程序防御机制恶意程序防御机制恶意程序防御机制是一类新的、在原操作系统设计时并未考虑的安全机制。恶意程序是所有含有特殊目的
26、,非法进入计算机系统并待机运行,能给系统或者网络带来严重干扰和破坏的程序的总称。一般它可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。第章 操作系统的安全性计算机病毒的出现突破了计算机安全早期的防御策略,许多早期的安全模型在进行深入研究后发现有问题,尤其当计算机病毒和某些恶意程序以“合法”程序的机制交叉融合后,产生了变异性、多形性和隐蔽性,使得操作系统在防御恶意程序和计算机病毒方面处于一个十分严峻的形式。恶意程序高度依赖于它们所运行的操作系统,因此防御措施也因系统不同而异。目前,各类新型操作系统都增加了对计算机病毒的防御措施,但并没有统一的标准,总体上包含三个部分,即计算机病
27、毒的防御、检测和消除。第章 操作系统的安全性8.3.1 病毒防御机制病毒防御机制病毒防御机制是针对病毒的运行特征而采取的层层设防、级级设防措施。1病毒的运行特征和过程病毒的运行特征和过程病毒运行的过程为入侵、运行、驻留(潜伏)、感染(传播)、激活和破坏。在这几项过程中的任何一处采取措施,均可进行防御。病毒防御机制的实施通常与系统的存取控制、实体保护等安全机制配合,由专门的防御程序模块完成。防御的重点在操作系统敏感数据结构、文件系统、数据存储结构、I/O设备驱动结构上。第章 操作系统的安全性2病毒针对病毒针对OS的敏感数据结构的敏感数据结构OS在内存中的映像:系统进程表、关键缓冲区、共享数据段、
28、系统记录、中断矢量表和指针表等关键数据结构。OS在磁盘中的映像:文件系统、文件指针、文件表、目录表等数据存储结构。文件也是病毒的宿主之一。当病毒侵入文件时,将病毒体附着于文件上,修改文件长度、篡改文件指针,当文件执行时激发病毒体继续传染或破坏。病毒会改动磁盘结构、修改数据记录、破坏文件系统在磁盘上的存取结构。病毒篡改设备驱动程序、修改指针、破坏设备操作。第章 操作系统的安全性针对上述攻击,病毒防御机制采用了存储映像、数据备份、修改许可、区域保护、动态检疫等方式。(1)存储映像:保存操作系统关键数据结构在内存中的映像,以防病毒破坏或便于系统恢复。(2)数据备份:类似于映像,但主要针对文件和存储结
29、构,将系统文件、操作系统内核、磁盘主结构表、文件主目录及分配表等建立副本,保存在磁盘上以作后备。(3)修改许可:一种认证机制,在用户操作环境下,每当出现对文件或关键结构的写操作时,提示用户确认。第章 操作系统的安全性(4)区域保护:借助禁止许可机制,对关键数据区、系统参数区、系统内核禁止写操作。(5)动态检疫:系统运行的每时每刻,都监视某些敏感的操作或者操作企图,一但发现则给出提示并予以记录,它可以与病毒检测软件配合,发现病毒的随机攻击。上述的机制嵌入到操作系统模块中或者以系统驻留程序实现,起到一种打“补丁”的效果。第章 操作系统的安全性8.3.2 病毒检测与消除病毒检测与消除为什么目前的操作
30、系统本身并不提供病毒检测和消除功能,而把它留给与操作系统配套的软件去实现呢?理论证明:不存在通用的检测计算机病毒的方法和程序,而且大多数计算机病毒不能被精确检测。计算机病毒的检测与消除与所运行的操作系统有密切的关系,由于操作系统的复杂性,病毒被发现和消除后的系统恢复是一项非常困难的工作,对感染病毒或者病毒清除后的系统的可信度的验证,也是正待解决的问题。以独立软件套件出现的病毒检测消除软件,在一个方面保证了系统的安全性。第章 操作系统的安全性病毒检测分为系统静态检测和动态检测。(1)静态检测:系统处于待机状态或联网状态,利用病毒检测软件检查和扫描系统主存空间和外存(磁盘)空间,查找可能驻留在内存
31、或者隐藏在磁盘区域和磁盘文件中的病毒程序、带毒文件等。这种检查多基于病毒特征码扫描方式,也针对系统文件、数据结构、指针指向等关键数据是否被改动等因素检测病毒。(2)动态检测:在系统运行过程中,利用防御机制和病毒检测软件,当病毒试图攻击系统、感染系统文件、修改系统数据时给出报警。第章 操作系统的安全性病毒检测的关键是如何区别正常的、合法的操作和病毒的非法的、不正常的操作,需要解决漏报、误报和错报的问题。检测的正确才是清除的基础,否则,病毒的清除会产生一系列的副作用。轻者使被清除病毒的文件破坏,程序失效,重者使系统关键数据丢失,或者未完整恢复,造成系统崩溃。第章 操作系统的安全性8.4 安全操作系
32、统设计安全操作系统设计确定操作系统提供的安全服务,如何实现和由谁提供这些服务成为安全操作系统开发设计的主要问题。安全操作系统的开发一般分为四个阶段,即建立模型、系统设计、可信度检测和系统实现。设计者必须了解系统的安全性,建立一个保密环境下的模型,并研究达到安全性的不同方法,选择一种实现该模型的方法。保证从设计者自身到用户都相信设计准确地表达了模型,代码准确地表达了设计,并确认这些设计或实现是可信的。第章 操作系统的安全性安全操作系统的实现目前有两种方法:(1)专门针对安全性而设计操作系统。(2)将安全特性加到目前的操作系统中。目前,已有多种安全操作系统问世,更多的正在开发中。8.4.1 建立安
33、全模型建立安全模型安全模型(Security Model)用来描述计算系统和用户的安全特性,是对现实社会中一种系统安全需求的抽象描述。建立安全模型的过程是:首先用自然语言描述应用环境的安全需求特性,再用数学工具进行形式化描述。第章 操作系统的安全性建立安全模型的基础是:由于存取(访问)是计算系统安全需求的核心,存取控制则是这些模型的基础。存取控制策略决定了某个用户是否被允许存取某个特定实体,而模型则是实现策略的机制。建立安全模型的动机为:一方面确定一个保密系统应采取的策略,如何达到保密性和完整性应采取的特定条件;另一方面通过对抽象模型的研究,了解保护系统的特性,如可判定性或不可判定性。第章 操
34、作系统的安全性1单层模型单层模型单层模型是一种二元敏感性安全模型,用户对实体的存取策略简单地设置为“允许”或者“禁止”(“是”与“非”)。实现这种存取控制的最简单模型是监督程序,它是用户和实体间的通道,监督程序对每个被监督的存取进行检查,决定是否准许存取。由于监督程序进程被频繁地调用,它将成为系统的一个瓶颈。而且,它仅对直接的存取进行控制,无法控制间接存取。第章 操作系统的安全性信息流模型是为了弥补监督程序方式的不足,即信息的流向控制。该模型的作用类似于一个筛选程序,它控制允许存取的实体的信息发送。2多层网格模型多层网格模型多层网格模型是一种广义的操作系统安全模型,它突破了二元敏感性,为实体和
35、用户考虑了更大范围的敏感层次,适应那些在不同敏感层次上并行处理信息的系统。其元素形成一种网格数学结构,基于军用安全和保密信息级别的处理。保密信息级别分为无密、秘密、机密和绝密级,这些级别描述了信息的敏感性。第章 操作系统的安全性敏感信息的安全原则是最少权限原则,主体只存取完成其工作所需的最少实体。信息的存取由“需知(need to know)”准则限制,仅允许需要用此数据来完成其工作的主体存取某一敏感数据。每一密级的信息都与一个或者多个隔离组有关,隔离组描述了信息的主体对象,信息与隔离组相互间关联。因此,一个主体可以存取位于不同隔离组中的某个密级的信息。对敏感信息的存取必须获得批准,通常采用存
36、取权限中的许可证机制。它表示某个用户可以存取特定敏感级别(密级)以上的信息,以及该信息所属的特定类别(组),在操作系统中可将许可证按照组合方式设定。第章 操作系统的安全性若引入符号O代表实体,S代表主体,代表敏感实体与主体的关系,则有:OS(当且仅当密级O密级S并且隔离组O隔离组S)小于等于关系限制了敏感性及主体能够存取的信息内容,只有当主体的许可证级别至少与该信息的级别一样高,且主体必须知道信息分类的所有隔离组时才能够存取,即信息可以被具有合法许可证的用户存取。第章 操作系统的安全性8.4.2 安全操作系统设计安全操作系统设计1通用操作系统中的安全特性通用操作系统中的安全特性在通用操作系统中
37、,除了内存保护、文件保护、存取控制和用户身份鉴别外,还需考虑共享约束、公平服务、通信与同步等。(1)共享约束:系统资源必须对相应的用户开放,具有完整性和一致性要求。(2)公平服务:通过硬件时钟和调度分配保证所有用户都能得到相应服务,没有用户永久等待。(3)通信与同步:当进程通信和资源共享时提供协调,推动进程并发运行。第章 操作系统的安全性这样,从存取控制的基点出发,就在常规操作系统中建立了基本的安全机制。设计原则如下:(1)最小权限:每个用户和程序使用尽可能少的权限工作,可将由入侵或者恶意攻击所造成的损失降至最低。(2)最少通用:可共享实体提供了信息流的潜在通道,要防止共享威胁,可采取物理或逻
38、辑分离方法。(3)安全机制的经济性:保护系统设计应小型化,简单明确,易于使用,使用户愿意使用并且能够被完全测试、验证并可信。第章 操作系统的安全性(4)开放式设计:保护机制必须独立设计而且具有开放性,仅依赖极少数关键内容,能防止所有潜在攻击。(5)安全策略的完整性:每个存取必须被检查,并标记许可条件。(6)权限分离:对实体的存取应当基于多个条件,这样入侵者就不能对全部资源进行存取。2安全设计的三个方面安全设计的三个方面1)隔离性进程间彼此隔离方法有物理分离、时间分离、密码分离和逻辑分离,一个安全系统可以使用所有这些形式的分离。常用的方法有虚拟存储空间和虚拟机。第章 操作系统的安全性虚存最初是为
39、提供编址和内存管理的灵活性而设计的,但它同时也提供了一种安全机制,即提供逻辑分离。每个用户的逻辑地址空间通过存储映像机制与其他用户的分隔开,用户程序看似运行在一个单用户的机器上。系统通过给用户提供逻辑设备、逻辑文件等多种逻辑资源,就形成了虚拟机的隔离方式。第章 操作系统的安全性2)内核机制(nucleus 或 core)内核是操作系统中完成最低层功能的部分。通用操作系统中,内核操作包含了进程调度、同步、通信、消息传递及中断处理。安全内核负责实现整个操作系统安全机制的部分,提供硬件、操作系统及系统其他部分间的安全接口。安全内核通常包含在系统内核中,而又与系统内核逻辑分离。安全内核在系统内核中增加
40、了用户程序和操作系统资源间的一个接口层,它的实现会在某种程度上降低系统性能,且不能保证内核包含所有安全功能。第章 操作系统的安全性安全内核的特性如下。分离性:安全机制与操作系统其余部分及用户空间分离,防止操作系统和用户侵入。均一性:所有安全功能都可由单一的代码集完成。灵活性:安全机制易于改变,易于测试。紧凑性:安全功能核心尽可能小。可验证性:由于内核相对较小,可进行严格的形式化证明其正确性。覆盖性:每次对被保护实体的存取都经过安全内核,可保证每次存取的检查。第章 操作系统的安全性3)分层结构分层结构是一种较好的操作系统设计方法,每层使用几个作为服务的中心层,每层为外层提供特定的功能服务和支持。
41、安全操作系统的设计也可采用这种方式,在各个层次中考虑系统的安全机制。安全分层结构中,最敏感的操作位于最内层,进程的可信度及存取权限由其临近中心裁定,更可信的进程更接近中心。用户认证等在安全内核之外实现,这些可信模块必须能提供很高的可信度。可信度和存取权限是分层的基础,单个安全功能可在不同层的模块中实现,每层上的模块完成具有特定敏感度的操作。第章 操作系统的安全性8.4.3 安全操作系统的可信度验证安全操作系统的可信度验证在完成系统中一个部分的安全机制后,必须检查或者验证它所强制或者提供的安全性尺度,即评估操作系统的可信度和在什么样的可信级别上评估操作系统。由于操作系统可用于不同的环境,因此,不
42、同操作系统间可接受的安全层次是不同的。验证(Certification)是对已经完成的测试的定量评估,并且给系统的正确性赋予一个可信尺度。验证操作系统安全性的方法通常采用形式化验证、非形式化确认和系统入侵分析三种,这些方法是独立使用的,并综合起来评估操作系统的安全性。第章 操作系统的安全性1验证的实施方法验证的实施方法形式化验证是分析安全性的最精确的方法,但正确性证明极其复杂,实施费时,对某些大型系统,描述和验证很困难。非形式化验证证明系统可信的过程如下。(1)需求检查:通过运行表现的功能检查操作系统的每个需求,确认系统所做的每件事是否都在功能需求表中,但它不能保证系统不做它不应做的事。第章
43、操作系统的安全性(2)设计及代码检查:检查系统设计或代码以发现错误,如不正确的假设、不一致的动作或错误的逻辑等。(3)模块及系统测试:精心地组织和选择数据,检查系统的正确性,检查每条运行线路、条件转移通道、变量替换与更改以及各种报表输出等。第章 操作系统的安全性2认证的标准认证的标准绝对安全的操作系统是不存在的。1983年,美国国防部颁布了历史上第一个计算机安全评价标准,这就是著名的可信计算机系统评价标准DOD1983,简称TCSEC,又称橙皮书。后来,美国国防部又颁布了可信网络系统评估准则(红皮书),主要针对商务系统的MSFR、综合通信网的SDNS、管理系统的SMFA、数据库的TCSEC/T
44、DI等。第章 操作系统的安全性TCSEC在操作系统级上提出了一个可信计算基础TCB,它包含的安全内容有:操作系统内核;具有特权的程序与命令;具有处理敏感信息的程序(如系统管理命令);与实施安全策略有关的文档资料;保障硬件正确运行的程序和诊断程序;构成系统的可信硬件;负责管理系统的人员。在安全操作系统设计过程中,上述内容分别在各个层次中解决。第章 操作系统的安全性8.5 安全操作系统的关键问题安全操作系统的关键问题安全操作系统的特点是其安全职能目前还无法清楚确定,在安全操作系统的总体安全职能中,有些是已知的,有些是未知的。随着新的安全威胁的不断出现,不可避免地可能需要设计必要的新的安全职能来提供
45、应对支持。当前我国实施等级保护制度,迫切需要高等级的安全操作系统,这是发展安全操作系统的大好机遇。开发一个安全操作系统,关键的问题是:第章 操作系统的安全性(1)建立安全理论与模型。在整个安全操作系统开发中,建立适合的安全理论和模型是整个过程的基础与依据。当前安全操作系统开发所依据的模型多数为传统的BLP模型。该模型偏重于信息的保密性,同时在具体实施中存在着若干的诸如隐通道等安全隐患,难以适应安全操作系统的发展要求,这就需要我们重点进行安全模型的研究及相应的策略制定,加强评估准则与方法的研究,将保密性和完整性有机结合。第章 操作系统的安全性(2)确定安全体系结构。高安全等级不是安全功能的简单叠
46、加,必须要有严密科学的结构加以保证。加强安全操作系统体系结构的研究,提供符合安全标准的安全核心体系结构,需要从形式化描述与验证上下功夫,为解决操作系统安全提供一个整体的理论指导和基础构件的支撑,并为工程实现奠定坚实的基础。可信计算基(TCB)是操作系统安全的基础,其内部要结构化,模块间相互独立,要用硬件资源隔离关键和非关键部件。第章 操作系统的安全性(3)按需分级。以对专用安全操作系统的研究和设计作为工程切入点,针对安全性要求高的应用环境配置特定的安全策略,提供灵活、有效的安全机制,设计符合相应安全目标的专用安全系统,以满足国家等级保护的急需。第章 操作系统的安全性(4)以密码技术重构内核。要
47、想具有完全的安全操作系统自主知识产权,必须重构内核,要以密码技术核心,充分利用所提供的可信功能构建具有自我免疫能力的高安全等级的内核。密码技术在内核中可以实现以下主要功能:确保用户唯一身份、权限、工作空间的完整性/可用性;确保存储、处理、传输的机密性/完整性;确保硬件环境配置、操作系统内核、服务及应用程序的完整性;确保密钥操作和存储的安全;确保系统具有免疫能力,从根本上阻止病毒和黑客等软件攻击。第章 操作系统的安全性8.6 安全发展对策安全发展对策1加强安全操作系统体系结构的研究加强安全操作系统体系结构的研究当前面对分布式的开放环境,出现了新的安全问题,因此要结合当前已经显示出来的和将来有可能
48、产生的安全问题和应用需要,加强安全操作系统体系结构的研究,以提供符合安全国际标准的安全核心体系结构,从而解决原有体系结构无法解决的问题。2安全模型与评估方法研究安全模型与评估方法研究进行安全模型的研究及其形式化的描述与证明,进行评估准则与方法的研究,为操作系统安全研究的进一步工作提供有价值的参考。第章 操作系统的安全性3设计具有中国自主版权的操作系统设计具有中国自主版权的操作系统工程上应该从系统内核做起。我们可以把专用安全操作系统的研究和设计作为工程切入点,针对安全性要求高的应用环境配置特定的安全策略,提供灵活、有效的安全机制,设计实现基于安全国际标准、符合相应安全目标的专用安全核心系统,并尽
49、可能少地影响系统性能,提高系统效率。第章 操作系统的安全性4安全加固安全加固对于当前无法从内核进行改造的系统,则可以进行安全加固。例如对微软的Windows这样庞大的操作系统,有3500万行源代码,而它的源码不公开,无法对其进行分析,不能排除其中存在着人为“陷阱”。现已发现,Windows95和Windows98都存在着将用户信息发送到微软网站的“后门”。在没有源码的情形下,很难再加强操作系统内核的安全性,而我国用户使用的操作系统95%以上是Windows,占据着国内操作系统市场的大半壁江山,从保障我国网络及信息安全的角度考虑,第章 操作系统的安全性必须增强它的安全性,因此只能采用设计安全隔离
50、层中间件的方式,增加安全模块,以解燃眉之急。5系统安全结构体系研究系统安全结构体系研究在解决操作系统安全问题的方法和策略中,填堵安全漏洞的这种“打补丁”做法只能是权宜之计,无法从根本上解决问题。要真正获得具有较高安全可信度的系统,必须从系统核心的安全结构体系着手,进行全局的设计。第章 操作系统的安全性8.7 Linux系统下安全机制的管理系统下安全机制的管理经过十多年的发展,Linux的功能在不断增强,其安全机制亦在逐步完善。按照TCSEC评估标准,目前Linux的安全级基本达到了C2,更高安全级别的Linux系统正在开发之中。下面我们来看一看Linux已有的安全机制,这些机制有些已被标准的L
