安全操作系統(tǒng)審計(jì)的設(shè)計(jì)與實(shí)現(xiàn)

1、第38卷第10期2001年10月計(jì)算機(jī)研究與發(fā)展JOURNAL OF COMPUTER RESEARCS DEVELOPMENTVOl. 38 NO. 10Oct. 2001原稿收到日期:2000-11-28; 修改稿收到日期:2001-03-13本課題得到國家自然科學(xué)基金項(xiàng)目(60083007D 和國家 九七三 重點(diǎn)基礎(chǔ)研究發(fā)展規(guī)劃項(xiàng)目(G 1999035810D 資助安全操作系統(tǒng)審計(jì)的設(shè)計(jì)與實(shí)現(xiàn)劉海峰卿斯?jié)h劉文清(中國科學(xué)院軟件研究所北京100080D (中國科學(xué)院信息安全技術(shù)工程研究中心北京100080D(liuhf ercist . iscas . ac . cn D摘要審計(jì)子系統(tǒng)作為

2、安全操作系統(tǒng)的一個(gè)重要組成部分 對(duì)于監(jiān)督系統(tǒng)的正常運(yùn)行保障安全策略的正確實(shí)施構(gòu)造計(jì)算機(jī)入侵檢測(cè)系統(tǒng)等都具有十分重要的意義. 給出了一個(gè)基于LinuX 資源 擁有自主版權(quán) 符合GB 17859-1999第三級(jí)安全標(biāo)記保護(hù)級(jí) 的審計(jì)子系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn). 在此審計(jì)系統(tǒng)中 通過在核內(nèi)及應(yīng)用程序中設(shè)置審計(jì)點(diǎn) 以全面地收集數(shù)據(jù); 通過在主體和客體兩方面設(shè)置審計(jì)標(biāo)準(zhǔn) 使審計(jì)標(biāo)準(zhǔn)的配置更加靈活全面; 通過優(yōu)化緩沖區(qū)的管理 提高了整個(gè)子系統(tǒng)的效率. 關(guān)鍵詞安全操作系統(tǒng) 審計(jì) 審計(jì)記錄 LinuX 資源中圖法分類號(hào)TP 316DESIGN AND REALIZATION OF AUDITING IN SECURE

3、 OSLIU ai-Feng OING Si -an and LIU Weng -Oing(1ns z / e of sof Uale Chznese academ y of sczences B ez j zn g 100080D(E n g zneelzn g R esealch Cen el fol 1nfolma zon sec/lz y T echno Z o gy Chznese academ y of sczences B ez j zn g 100080DA bstract As a v er y i mp Ortant cO mp Onent Of secure O p er

4、atiOn s y ste m audit su b s y ste m p la y s ak e y rOle in m OnitOring the s y ste m insuring p rO p er i mp le m enting Of securit y p Olic y and b uilding intrusiOn detectiOn s y ste m . The design and reali Z atiOn Of an audit su b s y ste m are p resented W hich is LinuX -b ased and cO py righ

5、ted and accOrds W ith the third le v el Securit y La b el PrOtectiOnGB 17859-1999. This audit su b s y ste m can cOllect data all -arOund by m Ounting audit p Oints in the k ernel and a pp licatiOns m a k e cOnfiguratiOn m Ore fleXi b le by cOnfiguring audit m as k in su bj ects and O bj ects and en

6、hance the su b s y ste m s p erfOr m ance by O p ti m i Z ing b uffer m anage m ent . Key wordssecure O p erating s y ste m audit audit trail LinuX1引言一個(gè)安全操作系統(tǒng)的審計(jì)系統(tǒng)就是對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄檢查及審核. 它的主要目的就是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵 并顯示合法用戶的誤操作1. 審計(jì)作為安全系統(tǒng)的重要組成部分 在DOD 的TCSEC (trusted cO mp uter s y ste m e v aluatiOn c

7、riteria D 中要求C 2級(jí)以上的安全操作系統(tǒng)必須包含審計(jì)功能2 在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999D 中也有相應(yīng)的要求3. 傳統(tǒng)的審計(jì)系統(tǒng)是效率和功能的折中 要么審計(jì)粒度比較細(xì) 但系統(tǒng)開銷比較大; 要么系統(tǒng)效率比較高 但審計(jì)記錄不夠詳細(xì) 只能記錄系統(tǒng)調(diào)用的名稱 對(duì)客體的記錄也不夠詳細(xì)46. 在本審計(jì)系統(tǒng)中 通過在各系統(tǒng)調(diào)用及特權(quán)命令處設(shè)置審計(jì)點(diǎn) 詳細(xì)全面地收集相關(guān)信息; 通過在主體和客體兩方面設(shè)置審計(jì)標(biāo)準(zhǔn) 使審計(jì)標(biāo)準(zhǔn)的配置更加靈活全面; 通過優(yōu)化緩沖區(qū)的管理 實(shí)現(xiàn)了審計(jì)信息的并行收集 提高了效率;通過對(duì)審計(jì)記錄結(jié)構(gòu)優(yōu)化壓縮 減少了系統(tǒng)的開銷.本審計(jì)系統(tǒng)是國

8、產(chǎn)安全操作系統(tǒng)SecLinux 的審計(jì)部分. SecLinux 是基于Linux 資源自主開發(fā)的符合第3級(jí)3安全功能要求的一個(gè)安全操作系統(tǒng). 作為SecLinux 重要組成部分的審計(jì)子系統(tǒng) 它對(duì)SecLinux 中標(biāo)識(shí)和鑒別客體引入到用戶地址空間(創(chuàng)建文件 啟動(dòng)程序 刪除客體特權(quán)用戶所執(zhí)行的操作用戶可讀輸出標(biāo)記的濫用等都進(jìn)行了審計(jì). 并且對(duì)審計(jì)命令審計(jì)配置文件審計(jì)記錄等進(jìn)行強(qiáng)制存取控制最小特權(quán)管理 只有具有審計(jì)特權(quán)的用戶才可對(duì)其訪問. 在用戶界面上 則建立相應(yīng)的操作命令 可以靈活地開啟/關(guān)閉審計(jì)機(jī)制 選擇和設(shè)置審計(jì)事件 查詢和檢索審計(jì)日志 并創(chuàng)建守時(shí)進(jìn)程定期自動(dòng)壓縮清除審計(jì)日志等.本文在第2節(jié)

9、簡要介紹了一下SecLinux 安全操作系統(tǒng); 第3節(jié)介紹了本系統(tǒng)在審計(jì)標(biāo)準(zhǔn)的建立緩沖區(qū)管理審計(jì)點(diǎn)的設(shè)置審計(jì)記錄結(jié)構(gòu)等方面有別于傳統(tǒng)審計(jì)系統(tǒng)的地方; 第4節(jié)討論了審計(jì)系統(tǒng)自身的安全保護(hù); 第5節(jié)總結(jié)全文.2Seclinux 安全操作系統(tǒng)體系結(jié)構(gòu)簡介SecLinux 安全操作系統(tǒng)主要由以下幾部分組成:(1 標(biāo)識(shí)與鑒別(identification S authentica -tion . 不僅檢查用戶的登錄名和口令賦予用戶唯一標(biāo)識(shí)zd gzd 還檢查用戶的安全級(jí)計(jì)算特權(quán)集 賦予用戶進(jìn)程安全級(jí)和特權(quán)集標(biāo)識(shí) 從而保證了只有合法用戶以系統(tǒng)允許的安全級(jí)和特權(quán)集存取系統(tǒng)資源.(2 自主存取控制(discr

10、etionary access con -tro1. 按用戶意愿進(jìn)行的一種存取控制機(jī)制. 使用該機(jī)制 屬主可以自由地決定其資源由系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行訪問 粒度可達(dá)到每個(gè)用戶. (3 強(qiáng)制存取控制(mandatory access con -tro1. 將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理. SecLinux 實(shí)現(xiàn)的強(qiáng)制存取控制對(duì)系統(tǒng)中的每個(gè)客體(進(jìn)程文件設(shè)備管道IPC 客體 都賦予了相應(yīng)的安全級(jí). 當(dāng)一進(jìn)程訪問一個(gè)客體時(shí) 依據(jù)相應(yīng)的安全規(guī)則 確定是否允許訪問.(4 最小特權(quán)管理(privi1ege access contro1. SecLinux 將原超級(jí)用戶的特權(quán)細(xì)化為32個(gè)特權(quán) 分別授

11、予4個(gè)不同的角色:系統(tǒng)安全管理員(SS0 安全審計(jì)員(AUD 安全操作員(S0P 和網(wǎng)絡(luò)管理員(NET . 每個(gè)角色只具有完成其任務(wù)所需的特權(quán) 從而滿足最小特權(quán)原理.(5 安全審計(jì)(security audit . 對(duì)系統(tǒng)中安全相關(guān)事件進(jìn)行記錄檢查及審查的過程.(6 可信通路(trusted path . 提供給用戶可信的登錄通道 以防止偽造的登錄序列.(7 密碼服務(wù)(cryptogram service . SecLinux 中內(nèi)含自主設(shè)計(jì)的密碼算法(GC 算法 并提供所需的API .(8 網(wǎng)絡(luò)安全(security network . SecLinux 的安全性在網(wǎng)絡(luò)上的拓展 是強(qiáng)制存取控

12、制機(jī)制和自主存取控制機(jī)制在網(wǎng)絡(luò)安全服務(wù)上的應(yīng)用.SecLinux 安全操作系統(tǒng)的總體結(jié)構(gòu)如圖1 所示:圖1SecLinux 安全操作系統(tǒng)結(jié)構(gòu)從圖1中看出 審計(jì)機(jī)制在整個(gè)系統(tǒng)結(jié)構(gòu)中處于很重要的地位 新增的安全機(jī)制 如標(biāo)識(shí)鑒別與可36211O 期劉海峰等:安全操作系統(tǒng)審計(jì)的設(shè)計(jì)與實(shí)現(xiàn)信通路自主存取控制強(qiáng)制存取控制最小特權(quán)管理等都要通過審計(jì)模塊 形成核內(nèi)安全策略實(shí)施情況的詳細(xì)記錄; 此外 核外的logzn 等安全相關(guān)命令和特權(quán)命令也要被審計(jì).3審計(jì)子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)3. 1審計(jì)機(jī)制簡介LinuX 系統(tǒng)運(yùn)行態(tài)分為用戶態(tài)和核心態(tài)兩種.用戶程序只能通過系統(tǒng)調(diào)用陷入核心 才能存取系統(tǒng)資源(文件目錄設(shè)備等D

13、運(yùn)行完系統(tǒng)調(diào)用 又返回用戶態(tài). 由此得到啟發(fā) 如果在此處(稱作審計(jì)點(diǎn)D 增加審計(jì)控制 就可以成功地審計(jì)系統(tǒng)調(diào)用 也就可以成功地審計(jì)與安全有關(guān)的事件. 另外 對(duì)于一些特權(quán)命令 如果只對(duì)其所調(diào)用的系統(tǒng)調(diào)用進(jìn)行審計(jì) 則審計(jì)記錄過于瑣碎 不便于后期的審計(jì)分析 所以 應(yīng)該對(duì)其建立相應(yīng)的審計(jì)事件 以便單獨(dú)審計(jì). 審計(jì)子系統(tǒng)的結(jié)構(gòu)圖如圖2 所示:圖2審計(jì)子系統(tǒng)結(jié)構(gòu)圖3. 2審計(jì)系統(tǒng)中的事件3. 2. 1審計(jì)事件及事件類待審計(jì)的用戶活動(dòng)按各自的性質(zhì)不同 被視為不同的審計(jì)事件 審計(jì)事件是系統(tǒng)審計(jì)用戶動(dòng)作的最基本單位. 常見的審計(jì)事件中有像open exeC 這樣的系統(tǒng)調(diào)用 它們跟系統(tǒng)的安全使用有關(guān) 所以要記錄它

14、們的執(zhí)行情況 還有一些與系統(tǒng)安全關(guān)系密切的系統(tǒng)命令和特權(quán)命令(如logzn s/ passwd 等D 也需要對(duì)其進(jìn)行審計(jì).為了配置管理的方便 系統(tǒng)根據(jù)審計(jì)事件自身的相關(guān)性 將它們劃分成若干審計(jì)事件類 下面是一些審計(jì)事件類的例子:pLzU 審計(jì)事件類包括審計(jì)事件fzle pLzU 和pm denzed ;fzle make 審計(jì)事件類包括審計(jì)事件CLeate lznk mk node /nlznk;zd a/th審計(jì)事件類包括審計(jì)事件bad a/th logzn passwd 等.通過系統(tǒng)文件/etC /seC/Lzt/TCB /a/dzt/Classes 我們一共定義了104個(gè)審計(jì)事件 新的審

15、計(jì)事件也能方便地添加進(jìn)來 審計(jì)事件類用這樣的形式表示:alzas <事件類X <事件的集合X . 3. 2. 2審計(jì)事件標(biāo)準(zhǔn)在對(duì)用戶實(shí)施審計(jì)之前 先要確立審計(jì)標(biāo)準(zhǔn) 即需要審計(jì)哪些事件. 這個(gè)問題可以從兩方面來看:(1D 從主體(用戶和代表用戶的進(jìn)程D 角度上看 系統(tǒng)要記錄用戶進(jìn)行的所有活動(dòng) 每個(gè)用戶有自己的待審計(jì)事件集 稱為用戶事件標(biāo)準(zhǔn) 一旦其行為落入用戶事件集 系統(tǒng)就會(huì)將事件信息記錄下來; (2D 從客體(文件消息信號(hào)量共享區(qū)等D 角度上看 系統(tǒng)要有能力記錄關(guān)于某一客體的所有存取活動(dòng). 為了有更好的針對(duì)性 在我們的實(shí)現(xiàn)中是先定義關(guān)于該對(duì)象的哪些操作事件要求被審計(jì) 即對(duì)象事件標(biāo)準(zhǔn)

16、再確定一個(gè)待審計(jì)的客體的MAC 安全級(jí)范圍(由一些連續(xù)的范圍和離散的點(diǎn)構(gòu)成D 只有屬于該范圍的客體的對(duì)象事件標(biāo)準(zhǔn)才被審計(jì).在用戶事件標(biāo)準(zhǔn)中 每個(gè)用戶都需審計(jì)的公共部分稱為基本事件集 它由審計(jì)管理員設(shè)定. 基本事件集和用戶的事件集作并集運(yùn)算 結(jié)果才是真實(shí)的用戶事件標(biāo)準(zhǔn).另外 有些事件與系統(tǒng)安全性關(guān)系非常大 任何時(shí)候都不應(yīng)免于審計(jì). 為此 SecLinuX 安全操作系統(tǒng)定義了一個(gè)固定的審計(jì)事件集 它是系統(tǒng)最基本的事件標(biāo)準(zhǔn) 在審計(jì)管理員設(shè)置或修改基本事件集時(shí) 固定事件集總是包含在系統(tǒng)基本事件集中. 為了保障安全 固定審計(jì)事件通過硬編碼固化在內(nèi)核中4621計(jì)算機(jī)研究與發(fā)展2001年管理員不能改變它 除

17、非修改內(nèi)核程序. 在我們的安全系統(tǒng)里 固定審計(jì)事件包括:有關(guān)審計(jì)系統(tǒng)自身運(yùn)行的一組事件(審計(jì)開關(guān)策略改變等 失敗的用戶登錄添加刪除用戶帳號(hào)分配MAC 安全級(jí)等.除了固定審計(jì)事件集 其它審計(jì)事件都是審計(jì)員可選的事件. 通過c/cltset系統(tǒng)命令 審計(jì)員可以設(shè)置系統(tǒng)基本事件標(biāo)準(zhǔn)用戶事件標(biāo)準(zhǔn)及用戶組事件標(biāo)準(zhǔn). 完整的審計(jì)事件標(biāo)準(zhǔn)如圖3 所示:圖3審計(jì)事件標(biāo)準(zhǔn)3. 3緩沖區(qū)管理審計(jì)數(shù)據(jù)來自于系統(tǒng)各處 在審計(jì)點(diǎn)搜集到的各種審計(jì)事件信息匯集到一起 等到信息量達(dá)到一定程度 就要將其寫入物理介質(zhì)(磁盤磁帶 以便永久保存.由于外部存儲(chǔ)介質(zhì)的I /0操作十分耗時(shí) 為了提高整體效率 很自然地要引入緩沖. 審計(jì)緩沖

18、區(qū)機(jī)制的總體示意圖如圖4 所示:圖4審計(jì)緩沖區(qū)機(jī)制的總體示意圖從圖4中看出 我們用多個(gè)相同大小的緩沖區(qū)構(gòu)成緩沖池以便提高并發(fā)度 這樣 當(dāng)某進(jìn)程寫某個(gè)緩沖區(qū)時(shí) 審計(jì)駐留進(jìn)程可以讀取其它已經(jīng)準(zhǔn)備好的緩沖區(qū).至于緩沖區(qū)大小和數(shù)目 可由審計(jì)管理員根據(jù)實(shí)際系統(tǒng)的運(yùn)行狀況和審計(jì)范圍靈活地調(diào)整.緩沖區(qū)作為系統(tǒng)中審計(jì)數(shù)據(jù)的集散地 各審計(jì)點(diǎn)獨(dú)立地將數(shù)據(jù)寫入其中 再由一個(gè)系統(tǒng)駐留服務(wù)進(jìn)程定期將緩沖區(qū)內(nèi)容傾倒到文件中. 緩沖區(qū)作為臨界區(qū) 需要協(xié)調(diào)進(jìn)程間的同步和互斥. 不難觀察 這是較常見的多個(gè)生產(chǎn)者和一個(gè)消費(fèi)者的關(guān)系 各審計(jì)點(diǎn)是審計(jì)信息的生產(chǎn)者 但在生產(chǎn)前先要獲得緩沖區(qū)資源 寫磁盤的審計(jì)駐留進(jìn)程是審計(jì)信息的消費(fèi)者

19、消費(fèi)完畢將釋放緩沖區(qū)資源. 我們利用Linux 內(nèi)核機(jī)制中的等待隊(duì)列和信號(hào)量就很好地解決了.多個(gè)生產(chǎn)者(cct lecwl 為審計(jì)點(diǎn)往循環(huán)緩沖區(qū)寫的進(jìn)程 要互斥使用當(dāng)前寫緩沖區(qū) 引入內(nèi)核semcp 0le 結(jié)構(gòu)的變量b/fwlltel0ck 作為互斥鎖 寫前先申請(qǐng)鎖 若已被別的進(jìn)程占據(jù)則睡眠等待 得到鎖才操作緩沖區(qū) 操作完畢再釋放鎖. 生產(chǎn)者和消費(fèi)者(cct b/fc/mp 為循環(huán)緩沖區(qū)往磁盤上寫的進(jìn)程 之間的同步通過兩個(gè)等待隊(duì)列wclt b/flecc wclt b/fwllte 進(jìn)行. cct lecwl 寫審計(jì)記錄時(shí) 先看當(dāng)前寫緩沖區(qū)是否足夠容納待寫數(shù)據(jù) 不夠則將緩沖區(qū)標(biāo)記為滿 并喚醒等

20、待在wclt b/flecc 上的寫磁盤進(jìn)程 寫指針下移 若下一個(gè)緩沖區(qū)標(biāo)記并不為空 表明寫磁盤的進(jìn)程操作已滯后 這時(shí)應(yīng)該等待在wclt b/fwllte 隊(duì)列上 等到有可用的空緩沖區(qū)時(shí) cct lecwl 被喚醒并開始寫入記錄數(shù)據(jù). 寫磁盤的進(jìn)程通常等待在wclt b/flecc 隊(duì)列上 某個(gè)緩沖區(qū)滿時(shí)被喚醒 它調(diào)用cct b/fc/mp將當(dāng)前讀指針開始的所有已滿緩沖區(qū)逐一寫入磁盤 并每次喚醒wclt b/fwllte 隊(duì)列 使cct lecwl 可以繼續(xù)寫562110期劉海峰等:安全操作系統(tǒng)審計(jì)的設(shè)計(jì)與實(shí)現(xiàn)審計(jì)記錄, 在該寫磁盤的緩沖區(qū)都已寫入后, 它再次睡眠在zait uf Tead 隊(duì)

21、列. 3. 4審計(jì)點(diǎn)的處理3. 4. 1對(duì)系統(tǒng)調(diào)用及客體安全級(jí)范圍的審計(jì)(1 在每個(gè)系統(tǒng)調(diào)用的入口處通過系統(tǒng)調(diào)用號(hào)索引N 系統(tǒng)檢查函數(shù)表H, 得到真正的檢查函數(shù)入口, 再根據(jù)系統(tǒng)調(diào)用參數(shù)決定它應(yīng)屬于哪個(gè)審計(jì)事件, 將事件號(hào)作為中間結(jié)果賦給進(jìn)程task 結(jié)構(gòu)的a ezent 備用(審計(jì)在task 結(jié)構(gòu)中添加的變量 , 接著檢查事件號(hào)是否屬于進(jìn)程審計(jì)標(biāo)準(zhǔn)a pTocemask (主體審計(jì)策略 , 是則對(duì)進(jìn)程task 結(jié)構(gòu)設(shè)審計(jì)本進(jìn)程標(biāo)記, 并且為進(jìn)程task 結(jié)構(gòu)有關(guān)審計(jì)的變量賦值; 不是則返回.(2 在每個(gè)系統(tǒng)調(diào)用的出口處檢查進(jìn)程task 結(jié)構(gòu)的審計(jì)本進(jìn)程標(biāo)記是否置位, 是則通過系統(tǒng)調(diào)用號(hào)索引N

22、 系統(tǒng)記錄函數(shù)表H, 得到真正的記錄函數(shù)入口, 調(diào)用它將審計(jì)到的數(shù)據(jù)寫入緩沖區(qū), 并清除審計(jì)本進(jìn)程標(biāo)記; 否則不做審計(jì)動(dòng)作.(3 在主體訪問客體的權(quán)限檢查處對(duì)于系統(tǒng)調(diào)用引發(fā)的客體訪問, 有可能要根據(jù)客體安全級(jí)決定是否審計(jì). 可以在客體訪問的必經(jīng)之地(如Zookup dentTy 作檢查, 若進(jìn)程task 結(jié)構(gòu)的審計(jì)本進(jìn)程標(biāo)記置位, 則說明該事件已經(jīng)屬于主體(進(jìn)程 審計(jì)范圍, 不必重復(fù)記錄, 返回即可; 否則, 根據(jù)已在系統(tǒng)調(diào)用入口判定的事件號(hào)a ezent , 檢查該事件是否屬于系統(tǒng)的對(duì)象審計(jì)標(biāo)準(zhǔn), 是則進(jìn)一步檢查當(dāng)前客體的安全級(jí)是否在待審計(jì)的系統(tǒng)安全級(jí)范圍中, 若是則置位審計(jì)本進(jìn)程標(biāo)記, 否

23、則返回. 真正的寫緩沖區(qū)動(dòng)作同樣是發(fā)生在系統(tǒng)調(diào)用的出口處. 3. 4. 2對(duì)安全相關(guān)的系統(tǒng)命令的審計(jì)和系統(tǒng)調(diào)用一樣, 每個(gè)安全相關(guān)的系統(tǒng)命令也分別對(duì)應(yīng)進(jìn)程審計(jì)屏蔽字的某一位, 這些審計(jì)點(diǎn)必須在命令對(duì)應(yīng)的系統(tǒng)程序中添加. 由于這些審計(jì)點(diǎn)處于用戶態(tài), 不能直接訪問內(nèi)核的數(shù)據(jù)結(jié)構(gòu)和過程, 所以只好借助新的系統(tǒng)調(diào)用. 我們引入auditdmp 系統(tǒng)調(diào)用, 在系統(tǒng)程序中將事件號(hào)和相關(guān)信息作為auditdmp 的參數(shù)傳到內(nèi)核, 在內(nèi)核中檢查該事件是否屬于進(jìn)程審計(jì)范圍, 是則根據(jù)事件號(hào)構(gòu)造不同的審計(jì)記錄, 寫入緩沖區(qū). 3. 5審計(jì)文件和審計(jì)記錄結(jié)構(gòu)審計(jì)文件是存放審計(jì)結(jié)果的二進(jìn)制結(jié)構(gòu)文件, 每次審計(jì)開啟,

24、都會(huì)按照設(shè)定的路徑和命名規(guī)則產(chǎn)生一個(gè)新的日志文件, 文件名的形式為MMDDi i i hhmmssnodename.其中, MM 表示月份, DD 表示日期, i i i 表示序號(hào), 編號(hào)從000到999, nodename 是一個(gè)可選的結(jié)點(diǎn)名, hhmmss 是文件創(chuàng)建時(shí)的時(shí)分秒, 以保證文件不重名.它有一個(gè)特殊的首記錄, 用以標(biāo)記系統(tǒng)版本信息和文件格式的幻數(shù)(magiC Humber , 其它的記錄則都對(duì)應(yīng)一個(gè)特定事件. 每條審計(jì)記錄包括公共數(shù)據(jù)和事件特有數(shù)據(jù)兩部分內(nèi)容, 其數(shù)據(jù)結(jié)構(gòu)如表1表2所示.表1公共數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)Cmn reCc Ttype 審計(jì)事件所屬類的類型c ezent 審計(jì)

25、事件類型c size 記錄大小c segnm 審計(jì)序列號(hào)c auid 審計(jì)uid c pid 進(jìn)程idc time 審計(jì)事件發(fā)生的時(shí)間c status成功失敗標(biāo)志事件特有數(shù)據(jù)對(duì)于每個(gè)事件各不相同, 比如OpeH 系統(tǒng)調(diào)用所用的數(shù)據(jù)結(jié)構(gòu)如表2所示,表2open 系統(tǒng)調(diào)用的事件特有數(shù)據(jù)cmn 公共數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)cmn Tec f fd 返回值(文件描述符fd f fname 文件名f fZags flagS f mode mOdef mac文件的MAC 安全級(jí)這樣, 有關(guān)某一事件重要信息都被記錄, 從中我們可以了解, 誰在什么時(shí)間和地點(diǎn)做了什么動(dòng)作, 動(dòng)作的具體細(xì)節(jié), 結(jié)果如何. 圖5是利用審計(jì)管

26、理命令顯示審計(jì)到的有關(guān)信息. 3. 6異常處理審計(jì)數(shù)據(jù)可能會(huì)增長得很快, 必須限制審計(jì)文件占用的文件系統(tǒng)空間. 審計(jì)管理員可以配置文件系統(tǒng)的預(yù)留空間(如10% , 在寫磁盤時(shí)檢查文件系統(tǒng)超級(jí)塊中指示的可用空間, 若低于預(yù)留值, 則視為異常情況, 需要緊急處理. 在我們的實(shí)現(xiàn)中提供了3種處理方法,(1 切換到審計(jì)文件控制結(jié)構(gòu)中設(shè)定的備用文件系統(tǒng), 繼續(xù)審計(jì). 但這時(shí)應(yīng)該通告審計(jì)管理員做進(jìn)一步處理. 審計(jì)文件控制結(jié)構(gòu)的a pTogp 定義了一6621計(jì)算機(jī)研究與發(fā)展2001年10 期 劉海峰等 , 安全操作系統(tǒng)審計(jì)的設(shè)計(jì)與實(shí)現(xiàn) 1267 個(gè)外部程序 ( 命令或 Shell 腳本 , 它在切換文件系

27、統(tǒng) 時(shí) 自動(dòng)執(zhí) 行 , 可 以 寫 控 制 臺(tái) 消 息 給 管 理 員 發(fā) 郵 件 發(fā)出 聲 音報(bào)警 自 動(dòng) 轉(zhuǎn) 儲(chǔ) 刪 除 老 的 審 計(jì) 文 件 以 釋 放 出 磁盤空間等 . 這 個(gè) 外 部 程 序 由 管 理 員 視 具 體 應(yīng) 用 環(huán)境而定 . ( 2 關(guān)閉審計(jì)系統(tǒng) . ( 3 關(guān)閉整個(gè)系統(tǒng) . 審 計(jì) 系 統(tǒng) 運(yùn) 行 過 程 中 的 出 錯(cuò) 有 多 種 可 能, 如 內(nèi) 核空間分配失敗 文件創(chuàng)建和讀寫操作失敗等 , 這些 錯(cuò)誤 往往難 以令 人 滿 意 地 得 到 恢 復(fù) . 所 以 我 們 只 提 供了 兩種簡 單的 出 錯(cuò) 處 理 , 關(guān) 閉 審 計(jì) 系 統(tǒng) 或 關(guān) 閉 整 個(gè)

28、系統(tǒng) . 圖5 審計(jì)記錄查看 檢索 員才 能查看 和修 改 配 置 . 審 計(jì) 文 件 則 是 在 運(yùn) 行 的 過 4 審計(jì)系統(tǒng)的安全保護(hù) 審 計(jì) 是 安 全 操 作 系 統(tǒng) 的 重 要 組 成 部 分, 它 監(jiān) 督 程 中 生 成 , 它 的 安 全 級(jí) 由 審 計(jì) 進(jìn) 程 ka/dztd 在 創(chuàng) 建 文件 的同 時(shí)指定 . 根 據(jù) 進(jìn) 程 創(chuàng) 建 對(duì) 象 的 安 全 級(jí) 等 于 進(jìn)程安全級(jí)的原則 , 創(chuàng)建的文件也是系統(tǒng)審計(jì)級(jí) . 此 外 , 密碼子系統(tǒng)對(duì)于審計(jì)記錄進(jìn)行管理 , 以保證即使 審計(jì)記錄泄露出去也不會(huì)被別人看到 . 另外 , 系統(tǒng)應(yīng)能夠監(jiān)督審計(jì)管理員 , 防止其權(quán)力 過大可以為所

29、欲為 ( 例如 , 審計(jì)管理員關(guān)審計(jì)后執(zhí)行 危險(xiǎn)操作再開審計(jì) , 篡改審計(jì)數(shù)據(jù) , 或冒充他人做違 規(guī) 動(dòng)作 . PAC 的引入提供了角色分配機(jī)制 , 使 特權(quán) 分離 , 從而限制審計(jì)管理員的權(quán)力 . 一個(gè)可行的方案 是 , 增加一個(gè)系統(tǒng)安全管理員角色 , 賦予他開審計(jì)特 權(quán) , 而 審計(jì) 管 理 員 只 擁 有 關(guān) 審 計(jì) 特 權(quán) , 這 樣 , 即 使 審 計(jì)管理員可以隨時(shí)關(guān)閉審計(jì) , 卻無法再次打開審計(jì) , 而且他的關(guān)審計(jì)動(dòng)作也在審計(jì)文件中被記錄 . 當(dāng)然 , 也可以分配多個(gè)審計(jì)員角色 , 達(dá)到相互制約 . 著 系 統(tǒng)中各安全 特 性 的 實(shí) 施 . 如 果 審 計(jì) 系 統(tǒng) 自 身 的

30、安全被突破 , 審計(jì)數(shù)據(jù)的可靠性就無從保障 , 就不能 提 供 準(zhǔn)確的事后 分 析 和 追 蹤 , 也 就 無 法 估 計(jì) 安 全 突 破對(duì)系統(tǒng)造成的影響 . 在審計(jì)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)中, 充分結(jié)合了 Seclinux 中的安全特性, 保證 審計(jì)的 自身 安全 . 審計(jì) 的 安 全包 括以下兩個(gè)方面 , ( 1 程序 和 代 碼 的 安 全 . 審 計(jì) 數(shù) 據(jù) 的 采 集 記 錄 部 分集成到安全 內(nèi) 核 , 審 計(jì) 進(jìn) 程 的 執(zhí) 行 不 受 外 界 影 響 , 核外的應(yīng)用程序 ( 審計(jì)管理員配置程序和審計(jì)數(shù) 據(jù) 顯 示 分 析 程 序 則 嚴(yán) 格 遵 循 強(qiáng) 制 訪 問 控 制 AC 和最小特

31、權(quán)控制 PAC, 保證只有審計(jì)管理 員 才 能使 用這些程序 . ( 2 系統(tǒng) 配 置 和 審 計(jì) 數(shù) 據(jù) 的 安 全 . 配 置 文 件 包 括系統(tǒng)和用戶審計(jì)標(biāo)準(zhǔn) 審計(jì)系統(tǒng)的運(yùn)行參數(shù) 審計(jì) 事件的定義等 , 這些文件也必須施加 AC 控制 . 審 計(jì) 配 置文件的安 全 級(jí) 為 系 統(tǒng) 審 計(jì) 級(jí) , 確 保 只 有 審 計(jì) 5 結(jié)束語 本審計(jì)系統(tǒng)是受國家自然科學(xué)基金項(xiàng)目和國家 九 七三 重點(diǎn)基 礎(chǔ)研 究 發(fā) 展 規(guī) 劃 項(xiàng) 目 共 同 支 持 , 在 linux 核心 2- 2- 15 基礎(chǔ)上開發(fā)的 , 是國 內(nèi)首 創(chuàng)的安 1268 計(jì) 算 機(jī) 研 究 與 發(fā) 展 6 2001 年 Ulf

32、 Lindgvist Ulf Gustaf son. An approach Proc of the 21st National Arlington 全標(biāo) 記 保護(hù)級(jí)安 全 操 作 系 統(tǒng) 的 重 要 組 成 部 分 . 本 系 統(tǒng)產(chǎn)生的審計(jì)記錄符合標(biāo)準(zhǔn) Unix 審計(jì)記錄 7 Stef an Axelsson 這為 to Unix security logging. In, VA USA 1998. 62 75 7 以后審計(jì)分析及入侵檢測(cè)的開發(fā)打下了良好的基 礎(chǔ) . 通過模擬程序的運(yùn)行比較 與原 Linux 系統(tǒng)相比 效 率 下降少于 5% . 該系統(tǒng) 充分利 用 了 SecLinux 的

33、MAC PAC 域間隔離及密碼服務(wù)等安全特性 使自 身的安全得到保障 . 參 1 2 3 Inf ormation Systems Security Conf . Crystal City Matt Bishop. A standard audit trail f ormat. In, Proc of the 18th National Inf ormation Systems Security Conf . Baltimore Maryland USA 1995. 136 145 劉海峰 術(shù). 男 1975 年生 博士研究生 考 文 獻(xiàn) 主要研究方向?yàn)樾畔⑾到y(tǒng)安全理論與技 A Guide t

34、o Understanding Audit in Trusted Systems. NCSCTG-001 ver 2. National Computer Security Center 1988 Trusted Computer System Evaluation Criteria. DoD 5200. 28STD. U S Department of Def ense. 1985 GB 17859-1999. 中 華 人 民 共 和 國 國 家 標(biāo) 準(zhǔn) , 計(jì) 算 機(jī) 信 息 系 統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 1999 ( GB 17859-1999. National Criteria of People s Republic of China, Classif ied criteria f or security protection of computer inf ormation systems( in Chinese . 1999 劉霞 丁紅兵. 網(wǎng) 絡(luò) 安 全 審 查 與 控 制 安全性專輯 . 北京 , 學(xué)苑出版社 ( Liu Xi