网络安全技术知识第3章操作系统安全.ppt

;　　　　3.1 安全操作系统概述　　由于计算机操作系统是网络信息系统的核心，其安全性占据着十分重要的地位，因此，网络环境的计算机操作系统的安全检测和评估是非常重要的。国际上建立了计算机系统安全评估标准。评估标准是一种技术性法规，安全操作系统必须符合评估标准的安全规定。在信息安全这一特殊领域，如果没有可遵循的计算机系统安全评估标准，则与此相关的立法、执法就难以建立健全，就会给国家的信息安全带来严重的后果。;　　国际上已经在操作系统的检测和评估方面做了大量的工作。此外，国际标准化组织和国际电工委也已经制定了上百项安全标准，其中包括专门针对银行业务制定的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。;3.1.1 可信计算机安全评估准则　　可信计算机安全评估准则(TCSEC)于1970年由美国国防部提出，是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC将计算机系统的安全划分为4个等级(D、C、B、A)、8个级别(D1、C1、C2、B1、B2、B3、A1、超A1)，从D1开始，等级不断提高，可信度也随之增加，风险也逐渐减少。;　　1. ?D类安全等级　　D类安全等级又叫无保护级，它只包括D1一个级别。D1的安全等级最低，任何人无需经过身份验证就可以进入计算机使用系统中的任何资源，也没有任何硬件保护措施，因此，硬件系统和操作系统非常容易被攻破。常见的D1级操作系统有DOS、Windows 3.x、Windows 95/98(工作在非网络环境下)、Apple的Macintosh System7.1。;　　(2) ?C2级。C2级称为控制访问保护级，它除了具有C1系统中所有的安全性特征外，还完善了C1系统的自主存取控制，增加了用户权限级别，系统管理员可以按照用户的职能对用户进行分组，统一为用户组指派一定的权限。除此之外，C2级还增加了可靠的审计控制。系统通过登录过程、安全事件和资源隔离来增强这种控制。常见的C2级操作系统有Unix、Xenix、Novell 3.x或更高版本、Windows NT等。;　　3. ?B类安全等级　　B类安全等级称为强制保护级，要求TCB维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。B类系统中的主要???据结构必须携带敏感标记，可信计算机利用它去实施强制访问控制。B类安全等级可分为B1、B2和B3三类。　　(1) ?B1级。B1级称为标记安全保护级。B1级除了具有C1系统中所有的安全性特征之外，还要对网络控制下的每个对象都进行灵敏度标记，系统使用灵敏度标记来决定强制访问控制的结果，并且不允许文件的拥有者改变其对象的许可权限。;　　(2) B2级。B2系统称为结构化保护级，它必须满足B1系统的所有要求。同时，要求自主和强制访问控制扩展到所有的主体与客体，只有用户能够在可信任通信路径中进行初始化通信，并且可信任运算基础体制能够支持独立的操作者和管理员。;　　(3) B3级。B3级称为安全区域保护级，系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统专设有安全管理员，将系统操作员和安全管理员的职能分离，将人为因素对计算机安全的威胁减少到最小。B3系统除了控制对个别对象的访问外，还提供对对象没有访问权的用户列表，并且扩充了审计机制，能够验证每个用户，为每一个被命名的对象建立安全审计跟踪。当发生与安全相关的事件时，系统能够发出信号并提供系统恢复机制。;　　4. ?A类安全等级　　A类安全等级称为验证保护级，它的安全级别最高。A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息。为证明可信计算基(Trusted Computing Base，TCB)满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息。目前，A类安全等级包含A1级和超A1级两类。;　　(1) ?A1级。A1级与B3级相似，对系统的结构和策略没有增加特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。　　(2) 超A1级。超A1级在A1级基础上增加的许多安全措施超出了目前的技术发展，目前没有明确的要求，今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析。;3.1.2 安全操作系统特征　　安全操作系统的含义是在操作系统的工作范围内，对整个软件信息系统的最底层进行保护，提供尽可能强的访问控制和审计机制，在用户和应用程序之间、系统硬件和资源之间进行符合安全政策的调度，限制非法的访问。按照有关信息系统安全标准的定义，安全的操作系统至少要有如下的特征：