操作系统1-2安全操作系统简介.ppt

安全操作系统的重要性 内容提纲 可信计算机系统安全评价标准 第一个计算机安全评价标准 TCSEC (Trusted Computer System Evaluation Criteria)，即： “可信计算机系统安全评价标准”，又称橙皮书 人们以TCSEC 为蓝本研制安全操作系统 TCSEC 为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略 主要考虑军队的环境，对于机密性非常重视，对于完整性和可用性考虑不足。不同的安全环境有不同的安全需求，需要制定不同的安全策略，采用不同的安全模型，使用不同的安全功能 操作系统安全级别举例 DOS D级 Linux C1级 Windows NT C2级 Solaris C2级 Unix B1级 自主访问控制功能（C1级） Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制，由资源（文件等）的所有者根据三类群体,即：所有者、同组者、其他人等指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。 高度极权化的Linux （C1级） 普通Linux采用极权化的方式，设立一个root超级用户，root用户可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作 攻击者只要破获root用户的口令，便可进入系统并完全控制系统 系统特权分化（C2级） 根据“最小特权”原则对系统管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有： 系统管理员 安全管理员 审计管理员等 系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。 安全管理员负责安全属性的设定与管理。 审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。 强制访问控制功能（B级） 提供强制访问控制支持，采用BellLaPadula强制访问控制模型，为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。 主体: 用户、进程等(实施操作方) 客体: 文件、目录、设备、IPC机制等 （受操作方） 主体和客体都有标签设置，系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特权用户。 例如：标签为秘密，{国防部}，则可以查看“国防部”不超过“秘密”级的信息。（比如还会有“非密”、“机密”、“绝密”等等级别） BellLaPadula模型（一） Bell LaPadula 模型，简称BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。 BLP 模型是一个状态机模型，它定义的系统包含一个初始状态Z0 和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP={Z0,R,D,S} BellLaPadula模型（二） 如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统 BLP 模型定义的状态是一个四元组S ? （b, M, f, H） 其中， b 是当前访问的集合，当前访问由三元组: （主体，客体，访问方式）表示，是当前状态下允许的访问 M 是访问控制矩阵； f 是安全级别函数，用于确定任意主体和客体的安全级别 H 是客体间的层次关系 BellLaPadula模型（三） 抽象出的访问方式有四种，分别是: 只可读r 只可写a 可读写w 不可读写（可执行）e 主体的安全级别包括 最大安全级别，通常简称为安全级别 当前安全级别 BellLaPadula模型（四） 以下特性和定理构成了BLP模型的核心内容。 简单安全特性（ss-特性）： 如果当前访问是b ? （主体，客体，可读），那么一定有： level(主体) ? level(客体) 其中，level 表示安全级别。 星号安全特性（*-特性）： 在任意状态，如果（主体，客体，方式）是当前访问，那么一定有： (1)若方式是a，则：current_level(主体) ? level(客体) (2)若方式是w，则：current_level(主体) ? level(客体) (3)若方式是r，则：current_level(主体) ? level(客体) 其中，current_level 表示当前