分布式OS2015-6.pptVIP

操作系统的安全性与安全操作系统 OS面临的安全性威胁可以分为保密性威胁、完整性威胁和可用性威胁 信息的保密性是指信息的隐藏性，即对非授权用户，这些信息是不可见的。保密性威胁包括信息的非法拦截（嗅探）、木马、后门、间谍软件（spyware）、隐藏通道等 信息的完整性是指信息的可信程度，包括信息内容的完整性和信息来源的完整性。若信息被非法改变，就破坏了信息内容的完整性，使其内容的可信程度受到质疑。信息的来源涉及来源地准确性、可信性，也涉及人们对此信息的信任感。绝大部分病毒都会对信息内容的完整性产生危害 信息的可用性是指对信息或资源的期望使用能力。企图破坏系统可用性的攻击称为拒绝服务攻击，拒绝服务攻击的目的是使计算机或网络无法提供正常的服务。OS可用性威胁的另一来源是软件设计实现中的疏漏。据统计，每千行代码就有5-50个bug 1972年，J.P.Anderson指出，要开发安全OS，首先要建立系统的安全模型。安全模型给出安全系统的形式化定义，正确综合系统的各种因素,包括：系统的使用方式，使用环境的授权定义，共享的信息和资源，共享的类型，以及受控共享的策略等。这些因素构成安全系统的形式化抽象描述，使系统可以被证明是完整的、反应真实环境的、逻辑上能够实现程序的受控执行的。 完成安全系统的建模之后，再进行安全核的设计与实现。安全核是系统中与安全性实现相关的部分，包括引用验证机制、访问控制机制、授权机制和授权管理策略等。 安全OS 的设计原则 1975年，J.H.Saltzer 和 M.D.Schroeder提出了安全OS 的八条设计原则： 1.最小特权原则：为使无意或恶意攻击所造成的危害降到最低程度，分配给系统中每个程序和每个用户的特权应该是它们为完成工作所必须享有特权的最小集合 2.机制的经济性原则：安全保护机制的设计应小型化、简单、明晰，以便安全保护系统可经过完备测试或严格验证 3.开放系统设计原则：安全保护机制应该是开放的，应该在公开的环境中设法增强安全保护机制的防御能力 4.完整的存取控制原则：对每个对象的每次访问都必须经过检查，以确认是否已经得到授权 5.失败-保险（fail-safe）默认原则：在默认情况下，凡未明确授权的访问方式都被视为不允许的访问方式。如果主体欲以该方式进行访问，结果将是失败的，而这对系统是保险的 6.权限分离原则：将一项权限划分成由多个因素决定，仅当所有因素均具备时，才能行使该权限。这使得企图入侵者不会轻易拥有资源的全部存取权 7.最少公共机制原则：把由两个以上用户共用和被多个用户依赖的公共机制的数量减到最少。每个共享机制都可能是一条潜在的用户间的信息通道，应谨慎设计，避免无意中破坏安全性。同时，应保证为所有用户服务的机制能满足每个用户的要求 8.方便使用原则：设计友好的用户接口，尽量方便用户使用 安全操作系统是一个比较新的用词，其定义及用词的使用尚未完全统一。一般称之为“可信操作系统”（Trusted OS）。这是根据1985年美国国防总局所制定的Trusted Computer System Evaluation Criteria (可信计算机系统安全评估准则-TCSEC)里达到B1级以上的操作系统而言 1983年美国国防总局发表了TCSEC第一版，1985年成为正式标准。按TCSEC的基准，如要达到B1级以上的级别，必须实现BLP模型的访问控制功能。也称为强制访问控制（Mandatory Access Control） BLP模型的核心思想是在不同的保密级信息之间，实行“信息不能流向下级”的访问控制。即属于“绝密”信息的用户可以读比自己低一级的“秘密”信息，但属于“秘密”信息的用户不能读比自己高一级的“绝密”文件；有权读“绝密”文件的用户不能对“秘密”以下级别的文件进行写操作。因为，如果允许写，就会发生“绝密”信息泄露到“秘密”的文件里。参见下图： 操作系统安全的级别划分 美国是最早对操作系统的安全进行系统研究并提出测评标准的国家。TCSEC就是基于对操作系统进行安全评估的标准 TCSEC将计算机系统的安全性分为D、C、B、A四等七级，依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级 D 级：无任何安全保护，最低安全级别 C1级：自主安全保护（无条件安全保护） C2级：自主访问保护（较完善的自主存取控制DAC） B1级：有标号的安全保护（强制存取控制MAC） B2级：结构化保护（良好的结构化设计、形式化安全模型） B3级：强制安全区域保护（全面的访问控制、可信恢复） A1级：验证设计安全保护 每一级均需评估7个功能类，即配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评估 根据TCSEC标准，达到B1级标准的操作系统即可称为