第9篇 操作系统安全测评.ppt

操作系统安全 第九章 操作系统安全测评 引言 安全功能作为安全操作系统所应提供的一个重要功能组成部分，业界对于它和其他功能的要求是不同的。安全操作系统的一个安全漏洞，可能致使整个系统所有的安全控制变得毫无价值，并且一旦这个漏洞如果被蓄意入侵者发现，就会产生巨大危害，所以要求能及时发现这些安全漏洞并且对这些漏洞作出响应。 引言 1. 入侵测试 在这种方法中，“老虎”小组成员试图“摧毁”正在测试中的安全操作系统。“老虎”小组成员应当掌握操作系统典型的安全漏洞，并试图发现并利用系统中的这些安全缺陷。 操作系统在某一次入侵测试中失效，则说明它内部有错。相反地，操作系统在某一次入侵测试中不失效，并不能保证系统中没有任何错误。入侵测试在确定错误存在方面是非常有用的。 一般来说，评价一个计算机系统安全性能的高低，应从如下两个方面进行。 (1) 安全功能: 系统具有哪些安全功能。 (2) 可信性: 安全功能在系统中得以实现的可被信任的程度。通常通过文档规范、系统测试、形式化验证等安全保证来说明。 2. 形式化验证 分析操作系统安全性最精确的方法是形式化验证。在形式化验证中，安全操作系统被简化为一个要证明的“定理”。定理断言该安全操作系统是正确的，即它提供了所应提供的安全特性。但是证明整个安全操作系统正确性的工作量是巨大的。 另外，形式化验证也是一个复杂的过程，对于某些大的实用系统，试图描述及验证它都是十分困难的，特别是那些在设计时并未考虑形式化验证的系统更是如此。 3. 非形式化确认 确认是比验证更为普遍的术语。它包括验证，但它也包括其他一些不太严格的让人们相信程序正确性的方法。完成一个安全操作系统的确认有如下几种不同的方法。 (1) 安全需求检查：通过源代码或系统运行时所表现的安全功能，交叉检查操作系统的每个安全需求。其目标是认证系统所做的每件事是否都在功能需求表中列出，这一过程有助于说明系统仅作了它应该做的每件事。但是这一过程并不能保证系统没有做它不应该做的事情。 3. 非形式化确认 (2) 设计及代码检查：设计者及程序员在系统开发时通过仔细检查系统设计或代码，试图发现设计或编程错误。例如不正确的假设、不一致的动作或错误的逻辑等。这种检查的有效性依赖于检查的严格程度。 (3) 模块及系统测试：在程序开发期间，程序员或独立测试小组挑选数据检查操作系统的安全性。必须组织测试数据以便检查每条运行路线、每个条件语句、所产生的每种类型的报表、每个变量的更改等。在这个测试过程中要求以一种有条不紊的方式检查所有的实体。 C1安全等级 又称自主安全保护（discretionary security protection）系统，实际上描述了一个典型的UNIX系统上可用的安全评测级别。 对硬件来说，存在某种程度的保护。用户必须通过用户注册名和口令系统识别，这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。具体地说，这些访问权限是文件和目录的许可权限（permission）。 存在一定的自主存取控制机制（DAC），这些自主存取控制使得文件和目录的拥有者或者系统管理员，能够阻止某个人或几组人访问哪些程序或信息。UNIX的“owner/group/other”存取控制机制，即是一种典型的事例。 C1安全等级 但是这一级别没有提供阻止系统管理账户行为的方法，结果是不审慎的系统管理员可能在无意中损害了系统的安全。 另外，在这一级别中，许多日常系统管理任务只能通过超级用户执行。由于系统无法区分哪个用户以root身份注册系统执行了超级用户命令，因而容易引发信息安全问题，且出了问题以后难以追究责任。 C2安全等级 又称受控制的存取控制系统。它具有以用户为单位的DAC机制，且引入了审计机制。 除C1包含的安全特征外，C2级还包含其他受控访问环境（controlled-access environment）的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。 另外，这种安全级别要求对系统加以审计，包括为系统中发生的每个事件编写一个审计记录。审计用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动。 B1安全等级 B1级或标记安全保护（labeled security protection）级：B1级要求具有C2级的全部功能，并引入强制型存取控制（MAC）机制，以及相应的主体、客体安全级标记和标记管理。 B1级是支持多级安全（比如秘密和绝密）的第一个级别，这一级别说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其存取许可权限。 B2安全等级 B2级或结构保护（structured protection）级：B2级要求具有形式化的安全模型、描述式顶层设计说明（DTDS）、更完善