第五章 操作系统安全
目录
5.1 安全操作系统概述
5.1.1 定义及术语
可信计算基(Trusted Computing Base,TCB):
计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
自主访问控制(Discretionary Access Control,DAC):
用来决定一个用户是否有权限访问此客体的一种访问约束机制,该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。
敏感标记(Sensitivity Label):
用以表示客体安全级别并描述客体数据敏感性的一组信息,在可信计算基中把敏感标记作为强制访问控制决策的依据。
强制访问控制(Mandatory Access Control,MAC):
用于将系统中的信息分密级和类进行管理,以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。
角色(Role):
系统中一类访问权限的集合。
隐蔽信道(Convert Channel):
允许进程以危害系统安全策略的方式传输信息的通信信道。
客体重用(Object Reuse):
对曾经包含一个或几个客体的存贮介质重新分配和重用。
可信通路(Trusted Path):
终端人员能借以直接同可信计算基的一种机制。
多级安全(MultiLevel Secure,MLS):
一类包含不同等级敏感信息的系统,它既可供具有不同安全许可的用户同时进行合法访问,又能阻止用户去访问其未被授权的信息。
安全操作系统(Secure Operating System):
能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能地操作系统。
多级操作操作系统(Multilevel Secure Operating System):
实现了多级安全策略地安全操作系统。
5.1.2 安全操作系统
一般来说操作系统安全与安全操作系统的含义不尽相同,操作系统的安全性是必需的,而安全操作系统的安全性则是其特色。
5.2 安全策略与安全模型
5.2.1 安全策略
安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。
- 如果主体能读访问客体,当且仅当主体的级别高于或等于客体的级别;
- 如果主体能写访问客体,当且仅当主体的级别低于或等于客体的级别。
说一个操作系统是安全的,是指它满足某一给定的安全策略。
1. 军事安全策略:
- 是基于保护机密信息的策略。
- 每条信息被标识为一个特定的等级,如公开、受限制、秘密、机密和绝密。
- 须知原则:只有那些在工作中需要知道某些数据的主体才允许访问相应的数据。
- 每条机密信息都与一个或更多的项目相关,这些项目被称为分割项(Compartment),它描述了信息的相关内容。
- 一个用户必须得到许可(Clearance)才能够访问相关信息。
军事安全同时实施了安全等级要求和须知要求:
- 安全等级要求是层次化的要求,因为它们反映了安全等级的层级结构;
- 须知限制是非层次化的,因为分割项不需要表现为一个层次结构。
2. 商业安全策略
中国墙安全策略(注重完整性):
建立在三个抽象等级上:
- 对象(Object):位于最低等级,例如文件。
- 公司群体(Company Group):位于第二个等级,由与一家特定公司相关的所有对象组成。
- 冲突类(Conflict Class):位于最高等级,相互竞争的公司的所有对象集合。
引导出一个简单的访问控制策略:只要一个人至多访问过一个冲突类中某一个公司的信息,那么他就可以访问该冲突类中的任何信息。
5.2.2 安全模型
安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略的实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足;而模型的实现则描述了如何把特定的机制应用于系统中,从而实现某一特定安全策略所需的安全保护。
开发安全系统首先必须**建立系统的安全模型**。
安全模型有以下几个特点:
- 精确的、无歧义的;
- 简易和抽象的;
- 一般性的:只涉及安全性质,而不过度地牵扯系统的功能或其实现;
- 安全策略的明显表现。
安全模型一般分为两种:形式化的安全模型和非形式化地安全模型。
- 非形式化安全模型仅模拟系统的安全功能;
- 形式化安全模型使用数学模型,精确地描述安全性及其在系统中使用的情况。
形式化的安全模型是设计开发高级别安全系统的前提。
模型仅仅只需模拟系统中与安全相关的功能,同时可以省略掉系统中的其他安全无关的功能,这也是系统安全模型和形式化功能规范之间的差别。
1. 形式化安全模型设计
要开发安全系统首先必须建立系统的安全模型,完成安全系统的建模之后,再进行安全内核的设计和实现。
- Bell把安全策略划分为四个层次,说明策略在系统设计的不同阶段的不同表现形式,强调策略发展的逻