（信號(hào)與信息處理專業(yè)論文）安全操作系統(tǒng)數(shù)據(jù)完整性與mac功能測(cè)評(píng).pdf

摘要 摘要 本文對(duì)安全操作系統(tǒng)的數(shù)據(jù)完整性、標(biāo)記和強(qiáng)制訪問控制功能的測(cè)評(píng)進(jìn)行了 研究。首先，對(duì)安全操作系統(tǒng)測(cè)評(píng)的研究背景、意義和發(fā)展現(xiàn)狀進(jìn)行了介紹；接 著針對(duì)安全操作系統(tǒng)的基本概念以及安全測(cè)評(píng)方法、安全標(biāo)準(zhǔn)進(jìn)行了詳細(xì)的介 紹；并在安全操作系統(tǒng)開發(fā)模型的基礎(chǔ)上建立了安全測(cè)評(píng)模型，模型將測(cè)試分為 三個(gè)部分：安全功能測(cè)試、安全保證測(cè)試和滲透測(cè)試：最后，對(duì)于安全操作系統(tǒng) 中的數(shù)據(jù)完整性、標(biāo)記和強(qiáng)制訪問控制安全功能進(jìn)行了測(cè)試方法和測(cè)試工具的設(shè) 計(jì)與實(shí)現(xiàn)，并在f e d o r ac o r e5 操作系統(tǒng)上對(duì)上述三項(xiàng)安全功能進(jìn)行了測(cè)試和分 析。 本文所作的主要工作如下： 1 在安全操作系統(tǒng)開發(fā)模型的基礎(chǔ)上建立了安全測(cè)評(píng)模型，測(cè)評(píng)模型將測(cè) 評(píng)分為三個(gè)部分：安全功能測(cè)試、安全保證測(cè)試和滲透測(cè)試。 2 詳細(xì)分析了操作系統(tǒng)數(shù)據(jù)完整性安全功能要求，抽象出了需要測(cè)評(píng)的安全 指標(biāo)，并給出了它們的測(cè)試方法，設(shè)計(jì)并實(shí)現(xiàn)了測(cè)試工具，并在f e d o r ac o r e5 操作系統(tǒng)上對(duì)數(shù)據(jù)完整性安全功能進(jìn)行了測(cè)試和分析。 3 詳細(xì)分析了操作系統(tǒng)標(biāo)記安全功能要求，抽象出了需要測(cè)評(píng)的安全指標(biāo)， 并給出了它們的測(cè)試方法，設(shè)計(jì)并實(shí)現(xiàn)了測(cè)試工具，并在f e d o r ac o r e5 操作系 統(tǒng)上對(duì)標(biāo)記安全功能進(jìn)行了測(cè)試和分析。 4 詳細(xì)分析了操作系統(tǒng)強(qiáng)制訪問控制安全功能要求，抽象出了需要測(cè)評(píng)的安 全指標(biāo)，并給出了它們的測(cè)試方法，設(shè)計(jì)并實(shí)現(xiàn)了測(cè)試工具，并在f e d o r ac o r e5 操作系統(tǒng)上對(duì)強(qiáng)制訪問控制安全功能進(jìn)行了測(cè)試和分析。 關(guān)鍵詞：安全操作系統(tǒng)：安全測(cè)評(píng)：數(shù)據(jù)完整性；安全標(biāo)記；強(qiáng)制訪問控制 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 a b s t r a c t t h i sp a p e rp r e s e n t e ds o m er e s e a r c hr e s u l t si nt e s t i n ga n de v a l u a t i n go f $ e c u l - e o p e r a t i n gs y s t e m sd a t ai n t e g r i t y , l a b e la n dm a n d a t o r yb c c e s sc o n 舡0 1 f i r s t l y , t h i s p a p e ri n t r o d u c e st h er e s e a r c hb a c k g r o u n d ，s i g n i f i c a n c ea n dt h ea c t u a l i t yo fr e s e a r c h a b o u te v a l u a t i n go fo p e r a t i n gs y s t e m s e c o n d l y , t h i sp a p e rg i v e sab r i e fi n t r o d u c t i o n o fs e c u r eo p e r a t i n gs y s t e m ，m e t h o d so fs e c u r i t ye v a l u a t i n ga n de v a l u a t i o nc r i t e r i a b a s e do nt h em o d e lo fs e c u r eo p e r a t i n gs y s t e md e v e l o p m e n t ，w eg i v et h em o d e lo f s e c u r i t ye v a l u a t i n g , t h i sm o d e li n c l u d e st h r e ep a r t s ：s e c u r i t yf u n c t i o n s e v a l u a t i n g , s e c u r i t ya s s u r a n c e s e v a l u a t i n ga n dp e n e t r a t i o nt e s t i n g f i n a l l y , w es t u d yt h e e v a l u a t i n gm e t h o d sa n dd e v e l o p t h et o o l so f d a t ai n t e g r i t y , l a b e la n dm a n d a t o r ya c c e s s c o n t r o l ，a n dw eu s et h e s et o o l st oh a v ea ne v a l u a t i o no nt h ef e d o r ac o r e5o p e r a t i n g s y s t e ma n dh a v ea l la n a l y s i so f t h ee v a l u a t i n gr e s u l t s t h em a i nc o n t r i b u t i o n so f t h i sp a p e ra r e - 1 b a s e do nt h em o d e lo fs e c u l - eo p e r a t i n gs y s t e md e v e l o p m e n t ，w eg i v et h e m o d e lo fs e c u r i t ye v a l u a t i n g , t h i sm o d e li n c l u d e st h r e ep a r t s ：s e c u r i t yf u n c t i o n s e v a l u a t i n g ，s e c u r i t ya s s u r a n c e s e v a l u a t i n ga n dp e n e t r a t i o nt e s t i n g ，t h e nw eg i v et h e e v a l u a t i n gm e t h o d so ft h e m 2 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h ed a t ei n t e g r i t y ss e c u r i t yf u n c t i o n , w ee x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ，d e v e l o pa n d i m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w en s et h e s et o o l st oh a v ea ne v a l u a t i o no n t h ef e d o r ac o r e5o p e r a t i n gs y s t e ma n dh a v ea na n a l y s i so f t h ee v a l u a t i n gr e s u l t s 3 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h el a b e l ss e c u r i t yf u n c t i o n , w e e x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ，d e v e l o pa n d i m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w eu s et h e s et o o l st oh a v ea ne v a l u a t i o no n t h ef e d o r ac o r e5o p e r a t i n gs y s t e ma n dh a v ea na n a l y s i so f t h ee v a l u a t i n gr e s u l t s 4 b a s e do nh a v i n gap a r t i c u l a ra n a l y s i so ft h em a n d a t o r ya c c e s sc o n t r o l s s e c u r i t yf u n c t i o n , w ee x t r a c t i v et h es e c u r i t yi n d e x e sa n dg i v et h e i re v a l u a t i n gm e t h o d s ， d e v e l o pa n di m p l e m e n tt h ee v a l u a t i n gt o o l s ，f i n a l l y , w eu s et h e s et o o l st oh a v ea n e v a l u a t i o no nt h ef e d o r ac o r e5o p c r m i n gs y s t e ma n dh a v ea l la n a l y s i so ft h e e v a l u a t i n gr e s u l t s k e yw o r d s ：s e c u r eo p e r a t i n gs y s t e m ；s e c u r et e s t i n ga n de v a l u a t i n g ； d a t ei n t e g r i t y ；s e n s i t i v i t yl a b e l ；m a n d a t o r ya c c e s sc o n t r o l 一一 獨(dú)創(chuàng)性聲明 本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研 究成果。盡我所知，除了文中特別加以標(biāo)注和致謝的地方外，論文中不包含其他 人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得j e 塞王些太堂或其它教育機(jī)構(gòu) 的學(xué)位或證書而使用過的材料。與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均 已在論文中作了明確的說明并表示了謝意。 魏盈盤生隰歸 關(guān)于論文使用授權(quán)的說明 本人完全了解j e 塞王些太堂有關(guān)保留、使用學(xué)位論文的規(guī)定，即：學(xué)校有權(quán) 保留送交論文的復(fù)印件，允許論文被查閱和借閱；學(xué)?？梢怨颊撐牡娜炕虿?分內(nèi)容，可以采用影印、縮印或其他復(fù)制手段保存論文。 ( 保密的論文在解密后應(yīng)遵守此規(guī)定) 簽名：( 盞! 趁皇導(dǎo)師簽名：乏基魚 日期： 厶：蓋 第1 章緒論 1 1 課題背景 第1 章緒論 在當(dāng)前的信息化社會(huì)中，信息系統(tǒng)扮演著越來(lái)越重要的角色，它的安全不僅 事關(guān)國(guó)家和軍隊(duì)的安全利益，而且還全方位地影響著我國(guó)的政治、軍事、經(jīng)濟(jì)、 文化、社會(huì)生活的各個(gè)方面，使國(guó)家處于高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)和信息戰(zhàn)的威脅之中， 因?yàn)椋瑯?gòu)筑牢固的安全屏障是刻不容緩的戰(zhàn)略任務(wù)。 目前，對(duì)信息系統(tǒng)的常規(guī)安全防護(hù)手段主要是在網(wǎng)絡(luò)層( i p ) 設(shè)防，并從外圍 對(duì)非法用戶和越權(quán)訪問進(jìn)行封堵，從而防止黑客和病毒傳播，但操作系統(tǒng)本身并 不安全，這導(dǎo)致信息系統(tǒng)的各種漏洞層出不窮而無(wú)法從根本上解決。隨著攻擊者 的手段越來(lái)越高明，防護(hù)者只能隨之把防火墻越砌越高、入侵檢測(cè)越做越復(fù)雜、 惡意代碼庫(kù)越做越大，但是誤報(bào)率也隨之增多，從而使安全的投入不斷增加，對(duì) 信息系統(tǒng)的維護(hù)與管理變得更加復(fù)雜且難以實(shí)施，使信息系統(tǒng)的使用效率大大降 低。 根據(jù)計(jì)算機(jī)軟件系統(tǒng)的組成，軟件安全可劃分為：應(yīng)用軟件安全、數(shù)據(jù)庫(kù)安 全、操作系統(tǒng)安全和網(wǎng)絡(luò)安全。數(shù)據(jù)庫(kù)通常是建立在操作系統(tǒng)之上的，沒有操作 系統(tǒng)所提供的安全機(jī)制，數(shù)據(jù)庫(kù)也就沒有安全可信的存取控制。網(wǎng)絡(luò)環(huán)境中，網(wǎng) 絡(luò)的安全可信依賴于各主機(jī)的安全，而各主機(jī)的安全又依賴于其操作系統(tǒng)的安全 性。所以，只有保證操作系統(tǒng)的安全性，才能保證各主機(jī)的安全，從而保證了網(wǎng) 絡(luò)的安全性。所有的應(yīng)用軟件都是在操作系統(tǒng)的應(yīng)用平臺(tái)上運(yùn)行的，應(yīng)用軟件通 過操作系統(tǒng)來(lái)完成對(duì)系統(tǒng)中信息的存取和處理，因此，沒有安全操作系統(tǒng)的保護(hù)， 就不可能有網(wǎng)絡(luò)系統(tǒng)的安全，也不可能有應(yīng)用軟件信息處理的安全性。 對(duì)計(jì)算機(jī)安全而言，一個(gè)操作系統(tǒng)僅僅能完成其大部分的設(shè)計(jì)功能是遠(yuǎn)遠(yuǎn)不 夠的。如果在操作系統(tǒng)的某個(gè)功能模塊上只有一個(gè)不太重要的故障時(shí)，可以忽略 它，這對(duì)整個(gè)操作系統(tǒng)的功能影響甚微，一般而言，只有若干種故障的某種特定 組合才可能會(huì)對(duì)操作系統(tǒng)造成致命的影響。但是在安全領(lǐng)域，情況就并非如此。 在信息系統(tǒng)中與安全相關(guān)的每一個(gè)漏洞都會(huì)使整個(gè)系統(tǒng)的安全控制機(jī)制變得毫 無(wú)價(jià)值。這個(gè)漏洞如果被入侵者發(fā)現(xiàn)，后果將使十分嚴(yán)重的。 因此，操作系統(tǒng)的安全性在計(jì)算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的 作用，沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)和其它應(yīng)用系統(tǒng)就好比“建筑在沙 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 h i 曼| 曼鼉量曼! 曼曼曼量量置曼曼e 皇皇巴曼皇曼章曼曼曼量曼曼曼曼! 曼曼毫曼曼! 曼皇曼曼! 曼曼皇曼曼皇皇! 蔓皇皇! ，目鼉 灘上的城堡”1 1 - 5 1 。 長(zhǎng)期以來(lái)，在國(guó)內(nèi)廣泛使用的主流操作系統(tǒng)大多從國(guó)外進(jìn)口，出于技術(shù)封鎖 的原因，對(duì)操作系統(tǒng)安全可信度的了解僅僅是國(guó)外廠商所提供的產(chǎn)品規(guī)格說明， 無(wú)法對(duì)操作系統(tǒng)內(nèi)部有深入的了解。在不了解源碼的情形下，只能以“打補(bǔ)丁” 的方式來(lái)填堵安全漏洞，而不能從操作系統(tǒng)的內(nèi)核上來(lái)加強(qiáng)安全性，這種做法只 能做權(quán)宜之計(jì)，不能從根本上解決安全問題。雖然目前國(guó)外已經(jīng)研制過包括達(dá)到 a i 級(jí)( t c s e c 標(biāo)準(zhǔn)) 在內(nèi)的高等級(jí)的安全操作系統(tǒng)，但是這些高等級(jí)產(chǎn)品被嚴(yán) 格控制，國(guó)內(nèi)能夠購(gòu)買到的都是低等級(jí)的產(chǎn)品，并且所引進(jìn)設(shè)備中的核心芯片和 系統(tǒng)內(nèi)核邏輯編程技術(shù)也都掌握在他人之手。同時(shí)，值得注意的是，研究表觀這 些進(jìn)口的安全產(chǎn)品中存在著許多安全缺陷，不排除國(guó)外情報(bào)機(jī)構(gòu)在這些安全產(chǎn)品 中有意埋設(shè)安全陷阱的可能。 目前國(guó)內(nèi)基本上都是利用國(guó)外的技術(shù)甚至是部分源代碼，根據(jù)市場(chǎng)需要自己 組合成的操作系統(tǒng)，這種操作系統(tǒng)不具有自主知識(shí)產(chǎn)權(quán)。以l i n u x 為代表的國(guó)際 自由軟件的發(fā)展為我國(guó)發(fā)展具有自主版權(quán)的系統(tǒng)軟件提供了良好的機(jī)遇。但是 l i n u x 的內(nèi)核設(shè)計(jì)缺乏模塊化，導(dǎo)致基于l i n u x 平臺(tái)研制安全操作系統(tǒng)的做法缺 乏科學(xué)的安全模塊支持。就安全性而言，非開放源代碼的操作系統(tǒng)是個(gè)黑盒子， 而一個(gè)源代碼公開的系統(tǒng)更像是一個(gè)玻璃盒子，這也沒法讓人安心。 目前，國(guó)內(nèi)對(duì)于安全操作系統(tǒng)的研究主要從兩方面入手： 一方面，加強(qiáng)安全操作系統(tǒng)體系結(jié)構(gòu)的研究，以提供符合安全國(guó)際標(biāo)準(zhǔn)的安 全核心體系結(jié)構(gòu)，從而解決原有體系結(jié)構(gòu)無(wú)法解決的問題，為解決操作系統(tǒng)安全 提供一個(gè)整體的理論指導(dǎo)和基礎(chǔ)構(gòu)建的支撐，并為工程實(shí)現(xiàn)奠定堅(jiān)實(shí)的基礎(chǔ)。要 真正設(shè)計(jì)出有中國(guó)特色的自主知識(shí)產(chǎn)權(quán)的系統(tǒng)，工程上應(yīng)該從系統(tǒng)內(nèi)核做起。以 對(duì)專用安全操作系統(tǒng)的研究和設(shè)計(jì)作為工程契入點(diǎn)，針對(duì)安全性要求高的應(yīng)用環(huán) 境配置特定的安全策略，提供靈活、有效的安全機(jī)制，設(shè)計(jì)實(shí)現(xiàn)基于安全國(guó)際標(biāo) 準(zhǔn)、符合相應(yīng)安全目標(biāo)的專用安全核心系統(tǒng)，并盡可能少地影響系統(tǒng)性能，提高 系統(tǒng)效率。 另一方面，在國(guó)產(chǎn)操作系統(tǒng)安全性能不高、進(jìn)口操作系統(tǒng)的安全性能也同樣 難以令人放心的局面下，包括政府部門、軍隊(duì)在內(nèi)的國(guó)內(nèi)各個(gè)行業(yè)要求對(duì)操作系 統(tǒng)安全可信度進(jìn)行評(píng)估認(rèn)證的呼聲越來(lái)越高。通過對(duì)操作系統(tǒng)進(jìn)行安全測(cè)評(píng)。能 夠確定其可應(yīng)用環(huán)境和場(chǎng)所的最高安全級(jí)別，并將之作為選購(gòu)和投入使用的決策 依據(jù)。通過安全測(cè)評(píng)還可以了解這些產(chǎn)品存在的安全漏洞和缺陷，以便于采取對(duì) 策。因此。安全測(cè)評(píng)擔(dān)當(dāng)著維護(hù)信息安全的頭道防線并起到了預(yù)警作用。要重點(diǎn) 進(jìn)行安全模型的研究及其形式化描述與證明，評(píng)估準(zhǔn)則與方法的研究，為操作系 統(tǒng)安全研究的進(jìn)一步工作提供有價(jià)值的參考。 一2 一 第1 章緒論 1 2 研究現(xiàn)狀 一般來(lái)說，操作系統(tǒng)安全和安全操系統(tǒng)的含義不盡相同。從各種不同的角度 分析操作系統(tǒng)的安全性，既可以對(duì)主流的操作系統(tǒng)進(jìn)行安全性增強(qiáng)，可以按照特 定的目標(biāo)來(lái)設(shè)計(jì)實(shí)現(xiàn)專門的或通用的安全操作系統(tǒng)。安全操作系統(tǒng)通常與相應(yīng)的 安全等級(jí)相對(duì)應(yīng)，例如，根據(jù)t c s e c 標(biāo)準(zhǔn)，通常稱b l 級(jí)以上的操作系統(tǒng)為安全 操作系統(tǒng)。 信息安全測(cè)評(píng)認(rèn)證工作開始于2 0 世紀(jì)7 0 年代，真正發(fā)展則是在2 0 世紀(jì)9 0 年代。美國(guó)是信息安全鋇4 評(píng)認(rèn)證的發(fā)源地，在信息技術(shù)方面一直處于世界領(lǐng)先地 位。1 9 8 5 年，美國(guó)國(guó)防部正式公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則，這是國(guó)際公 認(rèn)的第一個(gè)計(jì)算機(jī)安全系統(tǒng)評(píng)估標(biāo)準(zhǔn)，其評(píng)估目標(biāo)僅限于政府部門和軍隊(duì)的計(jì)算 機(jī)系統(tǒng)。1 9 8 9 年，美國(guó)國(guó)家安全局n s a 與國(guó)家標(biāo)準(zhǔn)局l o s t 聯(lián)合實(shí)施國(guó)家信息 安全認(rèn)證。此后，英國(guó)、德國(guó)、法國(guó)、意大利、加拿大等歐美國(guó)家和日本、韓國(guó) 等亞洲國(guó)家也紛紛效仿，積極開展信息安全測(cè)評(píng)認(rèn)證工作。 進(jìn)入9 0 年代以后，隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，以計(jì)算機(jī)系統(tǒng)為基礎(chǔ)的產(chǎn)品不 僅在政府部門及各行各業(yè)得到廣泛應(yīng)用，而且深入到社會(huì)生活的方方面面。現(xiàn)在， 安全性測(cè)評(píng)與認(rèn)證己成為信息化時(shí)代的客觀需求。目前世界一些主要大國(guó)都建立 了比較完善的信息安全測(cè)評(píng)認(rèn)證體系，并開展了國(guó)際之間的相互認(rèn)可。1 9 9 8 年， 美國(guó)、加拿大、法國(guó)、德國(guó)和英國(guó)的政府組織簽署了測(cè)評(píng)認(rèn)證互認(rèn)協(xié)議。 從1 9 9 9 年起通用準(zhǔn)n ( c c ) 獲得了國(guó)際上的廣泛承認(rèn)并逐漸取代舊的國(guó)家或 地區(qū)級(jí)的評(píng)估準(zhǔn)則。當(dāng)前，國(guó)外在信息安全測(cè)評(píng)與認(rèn)證領(lǐng)域的發(fā)展趨勢(shì)主要表現(xiàn) 在五個(gè)方面： ( 1 ) 認(rèn)證體制從過去政府專門機(jī)構(gòu)獨(dú)立實(shí)施轉(zhuǎn)向與商業(yè)性評(píng)估機(jī)構(gòu)結(jié)合。 ( 2 ) 測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)趨于統(tǒng)一，逐步轉(zhuǎn)向c c ( i s 0 1 5 4 0 8 ) 。 ( 3 ) 實(shí)施評(píng)估的國(guó)家一改過去美國(guó)獨(dú)樹一幟的局面，向多元化方向發(fā)展。 ( 4 ) 中等保證級(jí)別的產(chǎn)品占已認(rèn)證產(chǎn)品的多數(shù)。 ( 5 ) 已認(rèn)證的產(chǎn)品類型由過去單一的通用操作系統(tǒng)轉(zhuǎn)向?qū)I(yè)化安全產(chǎn)品( 如 防火墻) 等。 中國(guó)的信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)始建于1 9 9 7 年，經(jīng)過1 年多的籌建和試運(yùn)行， 1 9 9 8 年1 0 月2 7 日，國(guó)家質(zhì)量技術(shù)監(jiān)督局艱式批準(zhǔn)成立“中國(guó)國(guó)家信息安全測(cè)評(píng) 認(rèn)證中心”，該中心作為中國(guó)信息安全認(rèn)證的國(guó)家認(rèn)證實(shí)體，負(fù)責(zé)對(duì)在中國(guó)境內(nèi) 使用的國(guó)內(nèi)外信息安全產(chǎn)品和信息系統(tǒng)的安全性能、信息安全服務(wù)等的測(cè)評(píng)認(rèn) 證。1 9 9 9 年2 月9 日，國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布1 9 9 9 年第4 號(hào)公告，公布由中 國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心依據(jù)中華人民共和國(guó)產(chǎn)品質(zhì)量認(rèn)證管理?xiàng)l例和 一3 一 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 信息產(chǎn)品安全測(cè)評(píng)認(rèn)證管理辦法，對(duì)訪問控制產(chǎn)品、鑒別產(chǎn)品、安全審計(jì)產(chǎn) 品、安全管理產(chǎn)品、信息系統(tǒng)、信息安全服務(wù)等l l 類產(chǎn)品或?qū)ο髮?shí)施國(guó)家信息 安全認(rèn)證。 總的來(lái)說，我國(guó)的信息安全測(cè)評(píng)認(rèn)證工作已初具雛形，主要體現(xiàn)在以下幾個(gè) 方面：測(cè)評(píng)認(rèn)證的技術(shù)支撐體系基本建立；標(biāo)準(zhǔn)體系建設(shè)取得了較好成果；獨(dú)立 的第三方信息安全認(rèn)證體制基本形成：測(cè)評(píng)認(rèn)證體系在我國(guó)初現(xiàn)端倪；認(rèn)證的信 息安全產(chǎn)品從單一安全機(jī)制向多種安全機(jī)制復(fù)合型方向發(fā)展，測(cè)評(píng)認(rèn)證服務(wù)基本 走上正軌。 通過上述分析，可以得出以下結(jié)論： ( 1 ) 操作系統(tǒng)安全是整個(gè)信息系統(tǒng)安全的基石。 ( 2 ) 無(wú)論是進(jìn)口的還是國(guó)產(chǎn)的操作系統(tǒng)，其安全性能都難以令人放心。 ( 3 ) 對(duì)操作系統(tǒng)進(jìn)行安全測(cè)評(píng)是項(xiàng)很重要、很迫切的工作。 ( 4 ) 國(guó)內(nèi)信息系統(tǒng)安全測(cè)評(píng)領(lǐng)域的發(fā)展相對(duì)落后，尚不能完全滿足需求。 因此，進(jìn)行安全測(cè)評(píng)技術(shù)的研究是一項(xiàng)很有意義的工作。信息安全測(cè)評(píng)認(rèn)證 在中國(guó)還剛剛起步，雖然發(fā)展較快，但由于其不夠成熟，還存在一些缺陷，相對(duì) 于國(guó)際先進(jìn)水平有一定差距。特別是我國(guó)在信息技術(shù)安全性測(cè)試方面剛剛起步， 現(xiàn)有的測(cè)試方法和手段尚不能滿足要求，缺乏自主研發(fā)的自動(dòng)化測(cè)評(píng)工具，大量 工作只能依靠測(cè)評(píng)人員手工完成或從國(guó)外進(jìn)口測(cè)評(píng)工具。因此在目前形勢(shì)下，加 強(qiáng)對(duì)安全測(cè)評(píng)技術(shù)的研究、設(shè)計(jì)國(guó)產(chǎn)自動(dòng)化安全測(cè)評(píng)工具是很迫切的任務(wù)，它是 我國(guó)信息系統(tǒng)建設(shè)的重要環(huán)節(jié)。 1 3 本文的組織結(jié)構(gòu) 本文在對(duì)安全操作系統(tǒng)和測(cè)評(píng)標(biāo)準(zhǔn)的分析基礎(chǔ)上，建立了一個(gè)安全操作系統(tǒng) 的測(cè)評(píng)模型，并對(duì)數(shù)據(jù)完整性、標(biāo)記和強(qiáng)制訪問控制安全功能進(jìn)行了測(cè)試工具的 設(shè)計(jì)與實(shí)現(xiàn)，在f e d o r a c o r e5 操作系統(tǒng)上進(jìn)行了測(cè)試并對(duì)測(cè)試結(jié)果進(jìn)行了分析。 第二章是安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ)。本章主要介紹與安全測(cè)評(píng)相關(guān)的重要理 論。首先介紹了安全操作系統(tǒng)的一些基本理論，包括安全需求、安全策略、安全 模型，然后介紹了操作系統(tǒng)的相關(guān)安全測(cè)評(píng)方法，最后介紹了國(guó)內(nèi)外重要的安全 標(biāo)準(zhǔn)。 第三章是安全測(cè)評(píng)模型。本章在分析安全操作系統(tǒng)開發(fā)模型基礎(chǔ)上建立了安 全測(cè)評(píng)模型，模型將操作系統(tǒng)的安全測(cè)評(píng)分為安全功能測(cè)試、安全保證測(cè)試、滲 透測(cè)試三個(gè)部分展開。 第四章是數(shù)據(jù)完整性功能測(cè)評(píng)。本章首先介紹了測(cè)試腳本編寫語(yǔ)言s h e l l ，然 第l 章緒論 后介紹了預(yù)測(cè)試的設(shè)計(jì)，并重點(diǎn)闡述了數(shù)據(jù)完整性安全功能測(cè)試方法及測(cè)試工具 的設(shè)計(jì)與實(shí)現(xiàn)，并在f e d o r ac o r e5 操作系統(tǒng)上進(jìn)行了測(cè)試和分析。 第五章是標(biāo)記與強(qiáng)制訪問控制功能測(cè)評(píng)。本章重點(diǎn)闡述了標(biāo)記與強(qiáng)制訪問控 制安全功能測(cè)試方法及測(cè)試工具的設(shè)計(jì)與實(shí)現(xiàn)，并在f e d o r ac o r e5 操作系統(tǒng)上進(jìn) 行了測(cè)試和分析。 一5 一 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 第2 章安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ) 2 1 安全操作系統(tǒng) 2 1 1 概述 所謂的安全操作系統(tǒng)是指操作系統(tǒng)對(duì)所管理的數(shù)據(jù)和資源提供適當(dāng)?shù)谋Ｗo(hù) 級(jí)，有效地控制硬件和軟件功能的操作系統(tǒng)。開發(fā)安全操作性有兩種方法，一種 是從開始設(shè)計(jì)時(shí)就充分考慮到系統(tǒng)的安全性，一種是基于一個(gè)通用的操作系統(tǒng)， 專門的進(jìn)行安全性改進(jìn)或增強(qiáng)，并通過相應(yīng)的安全性測(cè)評(píng)。 安全操作系統(tǒng)與操作系統(tǒng)安全的含義不盡相同，但二者又是統(tǒng)一的和密不可 分的，因?yàn)樗鼈兯P(guān)注的都是操作系統(tǒng)的安全性。操作系統(tǒng)安全表達(dá)的是對(duì)操作 系統(tǒng)的安全需求。而安全操作系統(tǒng)的特色則是其安全性。安全操作系統(tǒng)通常與一 定的安全等級(jí)相對(duì)應(yīng)，例如，根據(jù)g b l 7 8 5 9 1 9 9 9 ，通常稱第三級(jí)安全標(biāo)記保護(hù) 級(jí)以上的操作系統(tǒng)為安全操作系統(tǒng)。 普通操作系統(tǒng)所考慮的是靈活性、方便性、性能、開發(fā)費(fèi)用等因素，而安全 操作系統(tǒng)的設(shè)計(jì)優(yōu)先考慮的是機(jī)密性、完整性和可記賬性三個(gè)基本原則。安全操 作系統(tǒng)應(yīng)具備的功能包括用戶的識(shí)別與判定、強(qiáng)制訪問控制m a c 功能、自主訪 問控制d a c 功能、客體的重用、數(shù)據(jù)完整性、日志審計(jì)、可信路徑、入侵檢測(cè) 等。 系統(tǒng)外部 與安全無(wú)關(guān)的 安全周界外部 與安全相關(guān)的 安全周界內(nèi)部 用戶 慮_ i j 程序 操作系統(tǒng) 安全內(nèi)核 硬件 系統(tǒng)接口 操作系統(tǒng)接口 內(nèi)核接口 硬件接口 圖2 - l 安全操作系統(tǒng)結(jié)構(gòu) f i r u r e 2 一lt h es t r u c t u r eo f s e c u r eo s 安全操作系統(tǒng)的一般結(jié)構(gòu)如圖2 - 1 所示，其中，安全內(nèi)核用來(lái)控制整個(gè)操作 系統(tǒng)的安全操作。安全內(nèi)核是指系統(tǒng)中與安全性實(shí)現(xiàn)有關(guān)的部分，包括應(yīng)用驗(yàn)證 。6 - r，、，lr，lr，l 第2 章安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ) 機(jī)制、訪問控制機(jī)制、授權(quán)機(jī)制和授權(quán)管理機(jī)制等部分。安全內(nèi)核要設(shè)計(jì)得足夠 小，以便能夠進(jìn)行嚴(yán)格的安全性驗(yàn)證，從而可用這一小部分軟件的安全可信性來(lái) 保證整個(gè)操作系統(tǒng)的安全可信性。 2 1 2 安全需求 安全性是安全操作系統(tǒng)的特色。所謂安全需求就是在設(shè)計(jì)一個(gè)安全系統(tǒng)時(shí)期 望得到的安全保障。安全操作系統(tǒng)必須要對(duì)數(shù)據(jù)和資源提供保護(hù)，以滿足安全需 求。一般情況下，安全需求包括以下幾個(gè)種類： ( 1 ) 機(jī)密性需求：防止非授權(quán)用戶訪問敏感信息。一般來(lái)說，系統(tǒng)中總是 存在某些重要的敏感信息，對(duì)這些敏感信息來(lái)說，任何非授權(quán)用戶的訪問都會(huì)給 用戶帶來(lái)不可估量的損失。 ( 2 ) 完整性需求：防止未授權(quán)用戶非法修改信息。信息完整性是為了維護(hù) 系統(tǒng)資源在一個(gè)有效的、預(yù)期的狀態(tài)，防止資源被不正確、不適當(dāng)?shù)男薷模S護(hù) 系統(tǒng)的不同部分的一致性。完整性需求的主要目的是防止在涉及記帳( 審計(jì)) 的事 件中舞弊行為的發(fā)生。 ( 3 ) 可記帳性( 審計(jì)) 需求：防止用戶對(duì)訪問過某信息或執(zhí)行過某一操作以 否認(rèn)。為杜絕安全事件的再次發(fā)生，系統(tǒng)有必要知曉例如用戶對(duì)系統(tǒng)中敏感文件 的操作、導(dǎo)致系統(tǒng)紊亂或數(shù)據(jù)丟失的用戶錯(cuò)誤操作、系統(tǒng)本身設(shè)計(jì)的缺陷導(dǎo)致系 統(tǒng)被攻擊等所有這些信息。 ( 4 ) 可用性需求：保證授權(quán)用戶對(duì)系統(tǒng)信息的可訪問性。可用性需求是為 了保證系統(tǒng)的順利工作，即保證授權(quán)用戶的任何正確的輸入，系統(tǒng)都會(huì)有相應(yīng)的 正確輸出。盡管保證可用性有時(shí)會(huì)損害系統(tǒng)的安全性，但它仍是信息安全的一個(gè) 有機(jī)組成部分。 2 1 3 安全策略 一個(gè)安全操作系統(tǒng)是否安全，取決于它能否滿足所制訂的安全策略。所謂安 全策略，是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則，就是針 對(duì)所面臨的安全威脅決定采用何種對(duì)策的方法。在不同的應(yīng)用環(huán)境下，對(duì)機(jī)密性、 完整性、可記帳性( 審計(jì)) 和可用性這四種安全需求的強(qiáng)調(diào)程度各不相同，安全操 作系統(tǒng)在設(shè)計(jì)的初始階段會(huì)進(jìn)行安全需求的分析。以此為依據(jù)決定采用的安全策 略，并且整個(gè)設(shè)計(jì)和開發(fā)過程中都要圍繞給定的安全策略進(jìn)行。 信息系統(tǒng)的安全策略分為訪問控制策略和訪問支持策略。訪問控制策略反映 系統(tǒng)的機(jī)密性和完整性需求，它確立相應(yīng)的訪問控制規(guī)則，以控制對(duì)系統(tǒng)資源的 訪問。訪問控制策略又分為自主訪問控制策略和強(qiáng)制訪問控制策略。自主訪問控 一7 一 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 制策略允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰(shuí)可以以何種訪問模式 去訪問該客體。自主訪河控制策略能夠提供一種精細(xì)的訪問控制粒度，它能夠?qū)?所設(shè)的訪問控制策略細(xì)化到具體的某個(gè)用戶。一般來(lái)說，自主訪問控制策略是基 于系統(tǒng)內(nèi)用戶加上訪問授權(quán)或者客體的訪問屬性來(lái)決定該用戶是否有相應(yīng)的權(quán) 限訪問該客體。強(qiáng)制訪問控制策略中要求每個(gè)主體和客體分別被賦予安全級(jí)，系 統(tǒng)內(nèi)的訪問監(jiān)控器通過比較主、客體的安全級(jí)別來(lái)決定是否授予一個(gè)主體對(duì)客體 的訪問請(qǐng)求。強(qiáng)制訪問控制策略既可以用來(lái)防止對(duì)信息的非授權(quán)篡改，又可以防 止未授權(quán)的信息泄露，在一個(gè)特定的強(qiáng)制訪問控制策略中，安全級(jí)別可以以不同 的形式來(lái)實(shí)現(xiàn)信息的完整性和機(jī)密性。 訪問支持策略反映系統(tǒng)的可記帳性( 審計(jì)1 和可用性需求，以支持訪問控制策 略的面貌出現(xiàn)。訪問支持策略分為標(biāo)識(shí)與鑒別、可記帳性( 審計(jì)) 、確切保證、連 續(xù)保護(hù)、客體重用和隱蔽通道等六類。 ( 1 ) 標(biāo)識(shí)與鑒別策略要求以一個(gè)身份來(lái)標(biāo)識(shí)用戶，并且此身份必須經(jīng)過系 統(tǒng)的認(rèn)證和鑒別。用戶在執(zhí)行任何由t c b ( 可信計(jì)算基) 提供的操作前必須首 先經(jīng)過身份認(rèn)證，大多數(shù)情況下，這一過程是在用戶登錄系統(tǒng)時(shí)完成的，同時(shí)， t c b 會(huì)保留用戶相應(yīng)的認(rèn)證信息并以此來(lái)驗(yàn)證用戶的信息。 ( 2 ) 可記帳性，又稱為審計(jì)，該策略要求任何影響系統(tǒng)安全性的行為都要 被跟蹤并記錄下來(lái)，t c b 必須擁有將用戶i d 號(hào)與它被跟蹤、審計(jì)下來(lái)的行為聯(lián) 系起來(lái)的能力。 ( 3 ) 確切保證指系統(tǒng)制訂的安全策略能夠得到正確執(zhí)行并且系統(tǒng)保護(hù)相關(guān) 的元素能夠真正精確可靠地實(shí)施安全策略的意圖。確切保證策略要求可信計(jì)算機(jī) 系統(tǒng)中的硬件、固件、軟件安全機(jī)制能夠被獨(dú)立的評(píng)估以充分保證安全策略的實(shí) 施和支持。 ( 4 ) 連續(xù)保護(hù)策略要求可信機(jī)制的實(shí)施必須連續(xù)不問斷地保護(hù)系統(tǒng)免遭篡 改和非授權(quán)的改變。如果用于實(shí)現(xiàn)安全策略基礎(chǔ)的硬件、固件、軟件安全機(jī)制自 身容易受到篡改和顛覆。也就不能實(shí)現(xiàn)連續(xù)保護(hù)。 ( 5 ) 客體重用策略要求系統(tǒng)中的存儲(chǔ)介質(zhì)在被重新分配時(shí)，確保曾經(jīng)在介 質(zhì)中存放過的信息( 包括以加密形式存在的信息) 不會(huì)泄露給新的主體。 ( 6 ) 隱蔽通道包含存儲(chǔ)和時(shí)間兩類，低帶寬的隱蔽通道相對(duì)比高帶寬的隱 蔽通道意味著更小的威脅，由于降低隱蔽通道帶寬到一定程度后會(huì)影響系統(tǒng)的性 能，因此隱蔽通道策略要求在系統(tǒng)的性能和隱蔽通道帶寬間作出一定程度的折 衷。 一8 一 第2 章安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ) 2 1 4 安全模型 安全模型是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象、無(wú)歧義的描述，它 為安全策略與安全策略的實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架。安全模型描述了 對(duì)某個(gè)安全策略需要用哪種機(jī)制來(lái)滿足，安全模型的實(shí)現(xiàn)描述了如何把特定的機(jī) 制應(yīng)用到系統(tǒng)中，從而實(shí)現(xiàn)某一特別的安全策略所需的安全保護(hù)。安全模型的目 的在于明確地表達(dá)安全需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針。安全模型有以下幾 個(gè)特點(diǎn)：精確、無(wú)歧義；簡(jiǎn)易和抽象；只涉及安全性質(zhì)，而不過多地牽扯系統(tǒng)的 功能或?qū)崿F(xiàn)；它是安全策略的顯式表示。 j e a n d c r s o n 指出要開發(fā)安全系統(tǒng)首先必須建立系統(tǒng)的安全模型。安全模型 給出了安全系統(tǒng)的形式化定義，并且正確地綜合系統(tǒng)的各類因素。這些因素包括 系統(tǒng)的使用方式、使用環(huán)境類型、授權(quán)的定義、共享的客體( 系統(tǒng)資源) 、共享 的類型和受控共享思想等。構(gòu)成安全系統(tǒng)的形式化抽象描述，使得系統(tǒng)可以被證 明是完整的、反映真實(shí)環(huán)境的、邏輯上能夠?qū)崿F(xiàn)且受控執(zhí)行的。 安全模型包括狀態(tài)機(jī)、信息流、非干擾、不可推斷、完整性等分類，狀態(tài)機(jī) 是最常用的安全模型。其中，狀態(tài)機(jī)模型b l p 是最早、最常用的一種計(jì)算機(jī)多 級(jí)安全模型。b l p 模型將主體定義為能夠發(fā)起行為的實(shí)體，將客體定義為被動(dòng)的 主體行為承擔(dān)者，將主體對(duì)客體的訪問分為只讀、只寫、讀寫、執(zhí)行、控制等幾 種訪問模式。b l p 模型形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及系統(tǒng)狀態(tài)之間的轉(zhuǎn)換 規(guī)則，定義了安全概念，制定了一組安全特性，以此對(duì)系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則 進(jìn)行限制和約束，使得對(duì)于一個(gè)系統(tǒng)，如果它的初始狀態(tài)是安全的，并且所經(jīng)過 的一系列規(guī)則轉(zhuǎn)換都保持安全，那么可以證明系統(tǒng)是安全的。 2 2 操作系統(tǒng)安全測(cè)評(píng) 2 2 1 概述 安全功能作為安全操作系統(tǒng)所應(yīng)提供的一個(gè)重要功能組成部分，它和其他功 能對(duì)于安全操作系統(tǒng)來(lái)說意義是完全不同的。安全操作系統(tǒng)開發(fā)過程中使用嚴(yán)格 質(zhì)量控制后若仍能發(fā)現(xiàn)某個(gè)功能模塊存在一個(gè)故障，只要這個(gè)故障不會(huì)對(duì)操作系 統(tǒng)造成致命的影響，通?？梢匀萑唐浯嬖?，這是因?yàn)榻^大部分非安全功能故障對(duì) 整個(gè)操作系統(tǒng)正常運(yùn)行影響甚微。但是對(duì)于安全漏洞而言則情形完全不同，這是 由于安全操作系統(tǒng)的一個(gè)安全漏洞，可能會(huì)造成整個(gè)系統(tǒng)的所有安全控制變得毫 無(wú)價(jià)值，并且一旦這個(gè)漏洞被蓄意入侵者發(fā)現(xiàn)，就會(huì)產(chǎn)生巨大的危害，所以要求 對(duì)操作系統(tǒng)進(jìn)行安全測(cè)評(píng)，以及時(shí)發(fā)現(xiàn)這些安全漏洞并且做出響應(yīng)。 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 安全測(cè)評(píng)解決的是對(duì)信息產(chǎn)品自身的基本安全防護(hù)性能的評(píng)價(jià)問題，以及從 產(chǎn)品的設(shè)計(jì)角度和實(shí)現(xiàn)角度分析產(chǎn)品中存在的安全隱患、安全漏洞，并適當(dāng)考慮 采取安全防護(hù)和抵御攻擊的方法。安全測(cè)評(píng)包括安全測(cè)試與安全評(píng)估兩個(gè)技術(shù)過 程。與一般意義上的軟件測(cè)試不同的是，安全測(cè)試的著眼點(diǎn)在于系統(tǒng)中安全相關(guān) 的部分( 安全內(nèi)核) ，即數(shù)據(jù)處理和存儲(chǔ)時(shí)進(jìn)行數(shù)據(jù)保護(hù)的部分，以及預(yù)防、檢測(cè) 和減小授權(quán)用戶、未授權(quán)用戶執(zhí)行的未授權(quán)活動(dòng)所造成后果的部分，而對(duì)于系統(tǒng) 應(yīng)該具備的常用功能則不過多關(guān)注。安全測(cè)評(píng)則是對(duì)安全測(cè)試產(chǎn)生的數(shù)據(jù)進(jìn)行分 析、形成結(jié)論的技術(shù)活動(dòng)。 為了保證操作系統(tǒng)的安全性，通常采用的是漏洞掃描評(píng)估和系統(tǒng)性安全測(cè)評(píng) 兩種手段。 2 2 2 操作系統(tǒng)安全漏洞掃描 操作系統(tǒng)安全漏洞掃描的主要目的是：自動(dòng)評(píng)估由于操作系統(tǒng)的固有缺陷或 配_ 置方式不當(dāng)所導(dǎo)致的安全漏洞。掃描軟件在被測(cè)操作系統(tǒng)中運(yùn)行，通過一系列 測(cè)試手段來(lái)探查、發(fā)現(xiàn)其潛在的安全缺陷。它從操作系統(tǒng)的角度評(píng)估單機(jī)的安全 環(huán)境并生成所發(fā)現(xiàn)的安全漏洞的詳細(xì)報(bào)告。操作系統(tǒng)安全掃描就像一位安全顧 問，檢查系統(tǒng)以尋找漏洞，提供問題報(bào)告，并提出解決辦法?？梢允褂脪呙柢浖?對(duì)安全策略和實(shí)踐實(shí)施進(jìn)行比較，并給出建議以采取相應(yīng)措施來(lái)堵塞安全漏洞。 操作系統(tǒng)安全漏洞掃描的主要內(nèi)容包括以下四項(xiàng)： ( 1 ) 設(shè)置錯(cuò)誤：從安全角度來(lái)說，操作系統(tǒng)軟件的設(shè)置是很困難的，設(shè)置 時(shí)一個(gè)小的失誤就可能導(dǎo)致一系列的安全漏洞。掃描工具應(yīng)該可以檢查系統(tǒng)配 置，搜索安全漏洞，判斷是否符合安全策略。 ( 2 ) 黑客蹤跡：黑客留下的蹤跡通常是可以檢測(cè)的，例如掃描軟件可以檢 查網(wǎng)絡(luò)是否處于“雜收”模式，如果是，則表明可能有黑客正從那臺(tái)機(jī)器窺探并 在網(wǎng)絡(luò)上盜取數(shù)據(jù)。黑客也常在某些目錄下放置文件，掃描軟件檢查這些目錄下 是否有可疑的文件。 ( 3 ) 木馬程序：黑客經(jīng)常在系統(tǒng)文件中設(shè)置有特殊意圖的應(yīng)用程序，對(duì)安 全構(gòu)成很大威脅，掃描工具要檢查這種惡意應(yīng)用程序的存在。 ( 4 ) 關(guān)鍵系統(tǒng)文件完整性的威脅：掃描工具要能夠檢查關(guān)鍵系統(tǒng)文件的非 授權(quán)修改和不合適的版本，這種檢查不但提供了一種檢測(cè)漏洞的手段，也有助于 版本控制。 2 2 ，3 系統(tǒng)性測(cè)評(píng) 雖然進(jìn)行操作系統(tǒng)安全漏洞掃描的做法可以從一定程度上避免操作系統(tǒng)帶 一l o 第2 章安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ) 來(lái)安全風(fēng)險(xiǎn)，但這些掃描工具是零碎的、基于經(jīng)驗(yàn)的、沒有系統(tǒng)性的，所以一個(gè) 安全操作系統(tǒng)沒有發(fā)現(xiàn)其存在安全漏洞并不能代表它是安全的。因此，更有價(jià)值 的做法是采用系統(tǒng)性的安全操作系統(tǒng)測(cè)評(píng)技術(shù)對(duì)操作系統(tǒng)的安全性進(jìn)行評(píng)價(jià)和 測(cè)試。兩者在機(jī)理和應(yīng)用效果上是不同的。系統(tǒng)性安全測(cè)評(píng)是與安全操作系統(tǒng)的 安全功能及其設(shè)計(jì)過程密切相關(guān)的，是安全系統(tǒng)的安全性保障手段的高級(jí)形式， 也是當(dāng)前使用的主要手段。 說一個(gè)操作系統(tǒng)是安全的，是指它滿足某一給定的安全策略。一個(gè)操作系統(tǒng) 的安全性是與設(shè)計(jì)密切相關(guān)的，只有有效保證從設(shè)計(jì)者到用戶都相信設(shè)計(jì)準(zhǔn)確地 表達(dá)了模型，而代碼準(zhǔn)確的表達(dá)了設(shè)計(jì)時(shí)，該操作系統(tǒng)才可以說是安全的，這也 是安全操作系統(tǒng)測(cè)評(píng)的主要內(nèi)容。測(cè)評(píng)操作系統(tǒng)安全性的方法主要有3 種：形式 化驗(yàn)證、非形式化確認(rèn)和“老虎”小組入侵測(cè)試三種； 1 。形式化驗(yàn)證 形式化驗(yàn)證是分析操作系統(tǒng)安全性的最精確的辦法。在形式化驗(yàn)證中，安全 操作系統(tǒng)被簡(jiǎn)化為一個(gè)要證明的“定理”。定理斷言該安全操作系統(tǒng)是正確的， 即它提供了所應(yīng)提供的安全特性。但是證明整個(gè)安全操作系統(tǒng)正確性的工作量是 巨大的。另外，形式化驗(yàn)證也是一個(gè)復(fù)雜的過程，對(duì)于某些大的實(shí)用系統(tǒng)，試圖 描述及驗(yàn)證它都是十分困難的，特別是那些在設(shè)計(jì)時(shí)沒有考慮形式化驗(yàn)證的系統(tǒng) 更是如此。 2 非形式化確認(rèn) 確認(rèn)是比驗(yàn)證更為普遍的術(shù)語(yǔ)。它包括驗(yàn)證，但它也包括其他一些不太嚴(yán)格 的讓人們相信程序正確性的方法。完成一個(gè)安全操作系統(tǒng)的確認(rèn)有如下幾種不同 的方法。 ( 1 ) 按需求檢查：通過源代碼或系統(tǒng)運(yùn)行時(shí)所表現(xiàn)的安全功能，交叉檢查 操作系統(tǒng)的每個(gè)安全需求。其目標(biāo)是認(rèn)證系統(tǒng)所做的每件事是否都在功能需求表 中列出，這一過程有助于說明系統(tǒng)僅作了它應(yīng)該做的每件事。但是這一過程并不 能保證系統(tǒng)沒有做它不應(yīng)該做的事情。 ( 2 ) 設(shè)計(jì)及代碼檢查：設(shè)計(jì)者及程序員在系統(tǒng)開發(fā)時(shí)通過仔細(xì)檢查系統(tǒng)設(shè) 計(jì)或代碼，試圖發(fā)現(xiàn)設(shè)計(jì)或編程錯(cuò)誤。例如不正確的假設(shè)、不一致的動(dòng)作或錯(cuò)誤 的邏輯等。這種檢查的有效性依賴于檢查的嚴(yán)格程度。 ( 3 ) 模塊及系統(tǒng)測(cè)試：在程序開發(fā)期間，程序員或獨(dú)立測(cè)試小組挑選數(shù)據(jù) 檢查操作系統(tǒng)的安全性。必須組織測(cè)試數(shù)據(jù)以便檢查每條運(yùn)行路線，每個(gè)條件語(yǔ) 句、所產(chǎn)生的每種類型的報(bào)表、每個(gè)變量的更改等。在這個(gè)測(cè)試過程中要求以一 種有條不紊的方式檢查所有的實(shí)體。 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 3 “老虎”小組入侵測(cè)試 在這種方法中，“老虎”小組試圖“摧毀”正在測(cè)試中的安全操作系統(tǒng)?！袄?虎”小組成員應(yīng)當(dāng)掌握操作系統(tǒng)典型的安全漏洞，并試圖發(fā)現(xiàn)和利用系統(tǒng)中的這 些安全漏洞。 操作系統(tǒng)在某一次入侵測(cè)試中失效，則說明它內(nèi)部有錯(cuò)。相反地，操作系統(tǒng) 在某一次入侵測(cè)試中不失效，并不能保證系統(tǒng)中沒有任何錯(cuò)誤。入侵鍘試在確定 錯(cuò)誤存在方面是非常有用的。 一般來(lái)說，評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)安全性的高低，應(yīng)從如下兩個(gè)方面進(jìn)行： ( 1 ) 安全功能：系統(tǒng)具有哪些安全功能。 ( 2 ) 可信度：安全功能在系統(tǒng)中得以實(shí)現(xiàn)的可信任的程度。通常通過文檔 規(guī)范、系統(tǒng)測(cè)試、形式化驗(yàn)證等安全保證來(lái)說明。 2 3 測(cè)評(píng)標(biāo)準(zhǔn) 2 3 1 相關(guān)概念 為了對(duì)現(xiàn)有計(jì)算機(jī)系統(tǒng)的安全性進(jìn)行統(tǒng)一的評(píng)價(jià)，為計(jì)算機(jī)系統(tǒng)制造商提供 一個(gè)有權(quán)威的系統(tǒng)安全性標(biāo)準(zhǔn)，需要有一個(gè)計(jì)算機(jī)系統(tǒng)安全測(cè)評(píng)標(biāo)準(zhǔn)。 表2 - 1 國(guó)內(nèi)外計(jì)算機(jī)測(cè)評(píng)標(biāo)準(zhǔn)概況 t a b l e 2 1t h es u w c yo f c o m p u t e re v a l u a t i o nc r i l e r i a s 標(biāo)準(zhǔn)名稱頒布的國(guó)家或組織頒布年份 美國(guó)t c s e c美國(guó)國(guó)防部 1 9 8 3 美國(guó)t c s e c ( 修訂版)美國(guó)國(guó)防部 1 9 8 5 歐洲i t s e c 標(biāo)準(zhǔn)西歐四國(guó)( 英、法、荷、德) 1 9 9 1 聯(lián)邦標(biāo)準(zhǔn)草案( f c )美國(guó)1 9 9 2 加拿大標(biāo)準(zhǔn)v 3 加拿大 1 9 9 3 c c v l 0 美、荷，法、德、英，加 1 9 9 6 c c v 2 o美、荷、法、德、英、加 1 9 9 7 i s 0 i e c l 5 4 0 8國(guó)際標(biāo)準(zhǔn)化組織1 9 9 9 中國(guó)g b l 7 8 5 9 1 9 9 9中國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局 1 9 9 9 中國(guó)g b t 1 8 3 3 6 2 0 0 1 中國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局 2 0 0 i 表2 1 給出了國(guó)內(nèi)外計(jì)算機(jī)測(cè)評(píng)標(biāo)準(zhǔn)的概況1 6 - 1 7 1 。美國(guó)國(guó)防部于1 9 8 3 年推 出了歷史上第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則( t r u s t e a c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a , t c s e c ) ) ) ，又稱桔皮書。t c s e c 帶動(dòng)了國(guó)際 一1 2 第2 章安全操作系統(tǒng)測(cè)評(píng)基礎(chǔ) 上計(jì)算機(jī)安全測(cè)評(píng)的研究，此后，德國(guó)、英國(guó)、加拿大、西歐四國(guó)等紛紛制定各 自計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)。近年來(lái)，我國(guó)也制定了相應(yīng)的強(qiáng)制性的國(guó)家標(biāo)準(zhǔn) g b l 7 8 5 9 1 9 9 9 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則和推薦標(biāo)準(zhǔn) 0 b 廠r 1 8 3 3 6 2 0 0 1 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則。 2 3 2t c s e c 標(biāo)準(zhǔn) 1 9 8 3 年美國(guó)國(guó)防部推出了可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)( 1 s e c ) ，亦稱為 桔皮書，并于1 9 8 5 年進(jìn)行了修改。 桔皮書是計(jì)算機(jī)安全保密的權(quán)威著作，它已經(jīng)成為計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃 分標(biāo)準(zhǔn)。雖然桔皮書并不是具體的設(shè)計(jì)說明書，但其思想和準(zhǔn)則己成為安全操作 系統(tǒng)的設(shè)計(jì)指南。 t c s e c 將安全保護(hù)分成四等，每等級(jí)包含一個(gè)或多個(gè)級(jí)別，安全級(jí)別按d 、 c 1 、c 2 、b 1 、b 2 、b 3 、a 1 、a 2 依次增強(qiáng)。 不滿足任何較高級(jí)別安全可信性條件的系統(tǒng)劃入d 類。 c 類為自主型保護(hù)，由兩個(gè)級(jí)別組成： c l 級(jí)：具有一定的自主訪問控制機(jī)制( d a c ) ，譬如u n i x 的o w n e r g r o u p o t h e r 存取控制。 c 2 級(jí)：具有更細(xì)粒度( 到每一個(gè)單獨(dú)用戶) 的自主訪問控制機(jī)制( d a c ) ， 而且引入了審計(jì)機(jī)制。 b 類為強(qiáng)制型保護(hù)，由三個(gè)級(jí)別組成： b l 級(jí)：滿足c 2 級(jí)所有的要求，而且，需具有所用安全策略模型的非形式化 描述，實(shí)施了強(qiáng)制訪問控制( m a c ) b 2 級(jí)：系統(tǒng)的t c b 是基于明確定義的形式化模型，并對(duì)系統(tǒng)中所有的主體 和客體實(shí)施了自主訪問控制( d a c ) 和強(qiáng)制訪問控制( m a c ) 。另外，具有可信 通路機(jī)制、系統(tǒng)結(jié)構(gòu)化設(shè)罱、最小特權(quán)管理以及對(duì)隱通道的分析和處理等。 b 3 級(jí)：系統(tǒng)的t c b 設(shè)計(jì)要滿足能對(duì)系統(tǒng)中所有的主體對(duì)客體的訪問進(jìn)行控 制，t c b 不會(huì)被非法篡改，且t c b 設(shè)計(jì)一要非常的小巧和結(jié)構(gòu)化以便于分析和 測(cè)試其正確性。支持安全管理員的實(shí)現(xiàn)，審計(jì)機(jī)制能實(shí)時(shí)報(bào)告系統(tǒng)的安全性事件， 支持系統(tǒng)恢復(fù)。除了滿足b 2 級(jí)的所有要求外，還要求禁止客體重用以及提供可 信通路。 a 類為驗(yàn)證型保護(hù)，只有一個(gè)安全等級(jí)，即a 1 級(jí)。 a 1 級(jí)：從實(shí)現(xiàn)的功能上看，它等同于b 3 級(jí)。它要求系統(tǒng)的安全模型的正 確性可通過形式化的數(shù)學(xué)證明，同時(shí)要求對(duì)隱通道做形式化的分析，以及對(duì)最高 級(jí)別的形式化說明，最后還要求有可信的發(fā)行方式?？尚诺陌l(fā)行方式是指系統(tǒng)的 一1 3 北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 軟件、硬件在裝運(yùn)過程中受到保護(hù)，以防系統(tǒng)受到損壞。 許多安全產(chǎn)品的購(gòu)買者采用桔皮書所規(guī)定的等級(jí)選購(gòu)安全產(chǎn)品。例如，在非 機(jī)密的、但比較敏感的政府應(yīng)用環(huán)境中，要求所用的安全產(chǎn)品至少為c 2 級(jí)。 2 3 3i t s e c 標(biāo)準(zhǔn) 1 9 9 1 年，西歐各國(guó)制定了信息技術(shù)安全評(píng)價(jià)規(guī)則( i n f o r m a t i o nt e c h n o l o g y s e c u r i t ye v a l u a t i o nc r i t e r i a 。i t s e c ) ，i t s e c 首次提出了信息安全的保密性、完整 性、可用性概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí)。 i t s e c 是歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。 該標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分。功能準(zhǔn)則從f i f i o 共分1 0 級(jí)。f 6 至f 1 0 級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù) 據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)安全。 與1 s e c 不同，它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系，而是只敘述 技術(shù)安全的要求，把保密作為安全增強(qiáng)功能。另外，t c s e c 把保密作為安全的 重點(diǎn)，而i t s e c 則把完整性、可用性與保密性作為同等重要的因素。i t s e c 定 義了從e 0 級(jí)( 不滿足品質(zhì)) 到e 6 級(jí)( 形式化驗(yàn)證) 的7 個(gè)安全等級(jí)，對(duì)于每 個(gè)系統(tǒng)安全功能可分別定義。 2 3 4 c c 標(biāo)準(zhǔn) 近