操作系统安全_第6章_Windows_操作系统安全评测案例.ppt

6.2 操作系统安全评测 美国国家计算机中心于1983年发表了著名的“可信任计算机标准评价准则”（Trusted Computer Standards Evaluation Criteria，简称TCSEC），指出了可信任计算机系统的六项基本需求，其中四项涉及信息的访问控制，两项涉及安全保障。 6.2 操作系统安全评测 该六项基本需求为： 1）安全策略：系统必须提供一个明确和良好定义的安全策略。对于识别出的主体和客体，系统必须有一个规则集决定指定的主体是否能访问指定的客体。计算机系统必须实施强制访问控制，有效地实现对敏感信息（如分级信息等）访问规则的处理。此外，还需建立自主访问控制机制，确保只有选中的用户或组才能访问指定数据。 2）标记：访问控制标签必须与对应的客体相联系。为了控制对存储在计算机中信息的访问，必须按强制访问控制规则，合理地为每个客体加一个标签，可靠地标识该对象的敏感级别，以及与可能访问该客体的主体相符的访问方式。 6.2 操作系统安全评测 3）标识：每个主体都必须被标识。每次访问信息，都必须确定是谁在访问，以及授权访问信息的级别。身份和授权信息必须由计算机系统安全地维护。 4）审计：必须记录和保存审计信息，以便在影响安全的行为发生时，能追踪到责任人。一个可信任的系统必须有能力将与安全有关的事件记录到审计记录中。必须有能力选择所记录的审计事件，减少审计开销。必须保护审计数据，以免遭到修改、破坏或非法访问。 5）保证：计算机系统软件机制，能提供充分的保证正确实施以上必须包含硬件项基本需求。这些机制在典型情况下，被嵌入在操作系统中，并被设计成以安全方式执行所赋予的任务。 6）持续保护：实现这些基本需求的可信任机制必须得到持续保护，避免篡改和非授权改变。如果实现安全策略的基本硬件和软件机制本身受到非授权的修改或破坏，则这样的计算机系统不能被认为是真正安全的。持续保护需要在整个计算机系统生命周期中均有意义。 6.2 操作系统安全评测 6.2.1 可信系统评价标准（TCSEC） TCSEC标准将计算机系统的安全性分为以下四个等级（A、B、C、D）八个级别，其结构如下图所示。 图6.3 TCSEC的构成与等级结构 D类安全等级 D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。 C类安全等级 该类安全等级能够提供审记的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。 C1系统的可信任运算基础体制（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。 C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。 B类安全等级 B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 B1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别；当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工改变指定；单级设备并不保持传输信息的灵敏度级别；所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度；系统必须使用用户的口令或证明来决定用户的安全访问级别；系统必须通过审计来记录未授权访问的企图。 B2系统必须满足B1系统的所有要求。另外，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。 B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外， B3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前，要求用户进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消