商用计算机可信系统,可信计算机系统安全评价标准.ppt

可信计算机系统安全评价标准

安全操作系统 可信计算机系统安全评价标准 第一个计算机安全评价标准 TCSEC(Trusted Computer System Evaluation Criteria)，即： “可信计算机系统安全评价标准”，又称橙皮书。 人们以TCSEC 为蓝本研制安全操作系统。 TCSEC 为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略。 高度极权化的Linux (C1级) 普通Linux采用极权化的方式，设立一个root超级用户，root用户具有至高无上的权力，可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作，这种做法不符合安全系统的“最小特权”原则。攻击者只要破获root用户的口令，进入系统，便得到了对系统的完全控制，其后果是不言而喻的。 系统特权分化(C2级) 根据“最小特权”原则对系统管理员的特权进行分化，根据系统管理任务设立角色，依据角色划分特权。典型的系统管理角色有： 系统管理员 安全管理员 审计管理员等 系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等。安全管理员负责安全属性的设定与管理。审计管理员负责配置系统的审计行为和管理系统的审计信息。一个管理角色不拥有另一个管理角色的特权。攻击者破获某个管理角色的口令时不会得到对系统的完全控制。 自主访问控制功能(C1级) Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制，由资源(文件等)的所有者根据所有者、同组者、其他人等三类群体指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。这对资源的保护很不利。 强制访问控制功能(B级) 提供强制访问控制支持，采用Bell&LaPadula强制访问控制模型，为主体(用户、进程等)和客体(文件、目录、设备、IPC机制等)提供标签支持。 主体: 用户、进程等 客体: 文件、目录、设备、IPC机制等 主体和客体都有标签设置，系统根据主体和客体间标签的匹配关系强制实行访问控制，符合匹配规则的准许访问，否则拒绝访问，不管主体是普通用户还是特权用户。 Bell&LaPadula模型-1 Bell&LaPadula 模型，简称BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。 BLP 模型是一个状态机模型，它定义的系统包含一个初始状态Z0 和由一些三元组(请求，判定，状态)组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP={Z0,R,D,S} Bell&LaPadula模型-2 如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统。 BLP 模型定义的状态是一个四元组S=(b, M, f, H)， 其中， b 是当前访问的集合，当前访问由三元组(主体，客体，访问方式)表示，是当前状态下允许的访问； M 是访问控制矩阵； f 是安全级别函数，用于确定任意主体和客体的安全级别； H 是客体间的层次关系。 Bell&LaPadula模型-3 抽象出的访问方式有四种，分别是 只可读r、 只可写a、 可读写w 不可读写(可执行)e。 主体的安全级别包括 最大安全级别，通常简称为安全级别。 当前安全级别 Bell&LaPadula模型-4 以下特性和定理构成了BLP 模型的核心内容。 简单安全特性(ss-特性)： 如果当前访问是b=(主体，客体，可读)，那么一定有： level(主体) ≥ level(客体) 其中，level 表示安全级别。 星号安全特性(*-特性)： 在任意状态，如果(主体，客体，方式)是当前访问，那么一定有： (1)若方式是a，则：level(客体) ≥ current-level(主体) (2)若方式是w，则：level(客体) = current-level(主体) (3)若方式是r，则：current-level(主体) ≥ level(客体) 其中，current-level 表示当前安全级别。 Bell&LaPadula模型-5 自主安全特性(ds-特性)： 如果(主体-i，客体-j，方式-x)是当前访问， 那么，方式-x 一定在访问控制矩阵M 的元素Mij 中。 ds-特性处理自主访问控制，自主访问控制的权限由客体的属主自主确定 ss-特性和*-特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。 基本安全定理：如果系统状态的每一次变化都能满足ss-特性、*