访问验证保护级安全操作系统审计机制的研究.docVIP

访问验证保护级安全操作系统审计机制的研究 　　摘要：论述了基于B3级安全操作系统审计报警模块增强策略与方法。在审计面扩展方面，通过分析系统进程通信与资源使用特征，增加隐蔽通道审计；在报警决策方面，根据应用场景，提出了一种以具有丰富语义的审计事件为出发点的报警决策方案。通过审计事件多角度分析、安全字段参数控制、审计序列关联分析、由时间戳控制隐蔽通道阈值、引入干扰等阻止信息传递策略，增强了系统的安全性能。?? 　　关键词：B3级；安全策略；审计事件；报警?? 　　中图分类号：TP393文献标志码：A 　　文章编号：1001－3695(2007)05－0101－04 　　 　　操作系统的安全是整个计算机系统安全的基础，而审计是保障操作系统安全的重要手段。因此各国的安全操作系统评估标准[tcsec][cc][gb17859][gb18336]普遍都要求用审计方法监视安全相关的活动。随着对系统安全评估要求的提升，对审计的要求相应提高：一方面需要审计事件的扩充；一方面对安全事件的处理要求的提高。美国TCSEC对系统审计要求分为四个层次。对于B3级，在审计事件扩充方面，要求在B2级基础上增加对隐蔽定时通道事件的审计；在安全事件处理方面，需增加报警策略的支持[1]。我国的《计算机系统安全性评估标准》（GB17859－1999）的最高保护级――访问验证保护级对安全审计的要求相当于B3的要求（用B3代表该评估级）。目前世界上已开发出的B3级系统寥寥无几，极少见到研究成果的公开报告。国内对B3系统的研究尚未展开，该级别的审计技术研究尚属空白。?? 　　通过分析设定的安全策略研究B3级系统安全审计模块的设计机制：根据系统分析确定审计点、增加隐蔽通道审计并通过时间戳控制阈值解决审计难点；在报警检测方面，目前IDS研究主要集中在使用系统调用方面；检测方法存在一定的不足，如特征考虑不全面、误报率高等[2~4]；而且由于应用场景不同,与安全操作系统审计机制不太吻合。在前人研究的基础上[3,5,6]，揉合系统调用参数以及安全信息字段，通过改进Forrest、Kruegel的设计方案[2,7]提出了基于具有丰富语义的审计事件报警决策方案。该方案以审计事件为出发点，增加安全信息字段控制检测，由单个记录扩展到审计序列分析信息关联实施报警决策。为了印证该项研究，在本文自主研发的达到B2要求的安胜4.0安全操作系统[8]上开发了审计报警模块使之达到B3级安全操作系统对审计模块的要求。?? 　　 　　1审计关键点分析?? 　　 　　构建B3级安全操作系统审计报警机制的主要意义有三点：①全面了解系统使用情况与用户的行为，监督系统资源的正常、有效使用；②提供数据用于追查入侵，形成威慑；③实时中止违反安全策略的事件，提供保护机制。?? 　　B3级安全操作系统TCB需记录的事件主要包括：使用身份鉴别机制，将客户引入地址空间，删除客体，使用隐蔽通道时的事件，由操作员、系统管理员、系统安全管理员实施的动作以及其他与系统安全相关的事件。其分为隐蔽通道事件、系统调用类事件、安全命令相关事件。?? 　　根据安全操作系统的特点，从安全模型与策略、顶层规范、源代码来分析系统中可能存在的安全风险，以及发生风险时系统的使用情况。结合理论分析与工程实践，确定审计报警的机制与相关阈值。?? 　　 　　1．1隐蔽通道事件?? 　　B3级对审计最引人注目的要求就是对隐蔽通道事件的审计要求[1] 。隐蔽通道是允许进程以危害系统安全策略的方式传输信息的信道[gb17859] ，利用隐蔽通道技术可绕过安全操作系统的MAC机制。给定一个强制安全策略模型M及其在一个操作系统中的解释I(M)。I(M)中的两个主体I(Sh)和??I(Sl)之间的通信是隐蔽的，当且仅当模型M中的对应主体Sh和Sl之间的任何通信都是非法的。隐蔽通道分为两类，即隐蔽存储通道和隐蔽定时通道。隐蔽存储信道涉及到一个进程直接或者间接写入一个共享存储资源，而另外一个进程直接或间接读这个存储资源。隐蔽定时信道涉及到一个进程采用调节自己对系统资源（如CPU）的使用，从而影响另外一个进程观察到的真实响应时间的方式发送信号。一般说来，所有未被安全模型控制的信息传递方式均属于隐蔽通道范畴。GB17859对第四级只要求初步审计隐蔽存储通道事件，而第五级要求审计全部隐蔽通道事件。?? 　　设计隐蔽通道审计机制的关键是明确审计机制应该记录什么事件、审计工具应该维护什么数据。为保证使用隐蔽通道的事件全部被审计，必须记录足够的数据，确保能够标志每次隐蔽通道的使用事件，并且能够识别通道的发送者和接收者。审计隐蔽存储通道与审计隐蔽定时通道采用的方法有所不同。?? 　　通过提取隐蔽存储通道特征，并将这些特征列入审计事件，就能做到审计所有