要点概要.pdf

系统安全基础 计算机设备安全：机密性、完整性、抗否认性可用性可审计性可靠性 基础理论研究包括密码研究、安全理论研究:应用技术研究包括安全实现技术、安 全平台技术研究:安全管理研究包括安全标准、安全策略、安全测评等。计算机及其外部设备内的信息，可以通过两种途径泄露:一种是以电磁波的形式辐 射出去.称为辐射泄露;另一种是通过各种线路和金属管道传导出去，称为传导泄露。电磁、泄露的解决方法主要有以下几种:1.低 世射产品，电磁干扰器 处理涉密信息的电磁屏蔽室的技术 其他的防泄露技术 物理安全 场地安全 为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据 GB9361-1988，计算机机房的安全等级分为 类、类、类三个基本类别。级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于 级之间。级机房:对计算机机房的安全有基本的要求，有基本的计算机计算机安全措施，级机房具有最低限度的安全性和可靠性。在实际的应用中，可根据使用的具体情(2)设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等。参见 GB4943-1995(信息技术设备(包括电气事务设备)的 安全 IEC950)GB9254-1988 信息技求设备的无线电干扰极限值和测量方法)。(3)媒体安全:包括媒体的数据的安全及媒体本身的安全。计算机的可靠性技术 硬件容错 软件容错 数据容错：增量备份是指只对上次备份后系统中变化过的数据对象的备份 差分备份是指对上次完全备份以来系统中所有变化过的数据对象的备份 操作系统安全 操作系统安全性的主要目标是标识系统中的用户，对用户身份进行认证，对用户的 操作进行控制，防止恶意用户对计算机资源进行窃取，篡改，破坏等非法存取，防止正 当用户操作不当雨危害系统安全，从而既保证系统运行的安全性，又保证系统自身的安 全性。具体包括如下几个方面:身份认证机制 实施强认证方法，比如口令、数字证书等:访问控制机制:实施细粒度的用户访问控制，细化访问权限等;数据保密性:对关键信息，数据要严加保密:数据完整性:防止数据系统被恶意代码破坏，对关键信息进行数字签名技术保护:系统的可用性:操作系统要加强应对攻击的能力，比如防病毒，防缓冲区溢出攻击 等;审计:审计是一种有效的保护措施，它可以在一定程度上阻止对计算机系统的威胁，并对系统检测，故障恢复方面发挥重要作用。安全模型)状态机模型 信息流模型()无干扰模型 不可推断模型 完整性模型 BLP 模型 Bell-LaPadula 模型(简称 BLP 模型是 D.Elliott Bell Leonard J.LaPadula 1973 年提出的对应于军事类型安全密级分类的计算机操作系统模型。BLP 模型是最早的一种 计算机多级安全模望，也是受到公认最著名的状态机模望。BLP 模型采用线性排列安全许可的分类形式来保证信息的保密性。每个主体都有一 个安全许可级别，等级越高，可访问的信息就越敏感。每个客体也都有个安全密级，密 级越高，客体信息越敏感。信息只能从低级流向高级 基本原理:系统自主体(进程)和客体(数据、文件)组成，主体对客 体的访问分为只读(r)、读写(w)、只写(a)、执行(e)、控制(c)几种访闰模式，控制(c)指主体授予或撤消另一主体对某一客体访问权限的能力。第一个完整性安全模型一-Bba 模型 操作系统的安全机制 4.2.4.1 析、识与鉴别机制 用户名/口令鉴别技术是最简单、最普遍的身份识别技术 2、标记方式鉴别 3、基于生物特征的身份鉴别，也称为主体特征鉴别 3、形体动作鉴别 身份鉴别系统架构包含三项主要组成元件:鉴别服务器(Authentication Server)，负责进行使用者身份鉴别的工作，服务器 上存放使用者的私有密钥、鉴别方式及其他使用者鉴别的信息。的工作，服务器 上存放使用者的私有密钥、鉴别方式及其他使用者鉴别的信息。鉴别系统用户端软件(Authentication Client So ware)，鉴别系统用户端通常都 是需要进行登录。ogin)的设备或系统，在这些设备及系统中必须具备可以与鉴别服务 器协同运作的鉴别协定。鉴别设备(Authenticator)，鉴别设备是使用者用来产生或计算密码的软硬件 设备。访闰控制机制 访问是使信息在主体和对象间流动的一种交互方式。访问控制是对信息系统资源进 行保护的重要措施，适当的访问控制能够坦止未经允许的商户有意或无意地获取数据。.访问控制策略和机制 访问控制涉及到三个基本概念，即主体、客体和授权访问。主体:一个主动的实体，该实体造成了信息的流动和系统状态的改变，它包括商户、用户组、终端、主机或一个应用，主体可议访问客体。客体 指一个包含或接受信息的被动实体，对客体的访问要受控。它可以是一个宇 节、字段、记录、程序、文件，或者是一个处理器、存储器、网络节点等。授权访问:指主体访问客体的允许，授权访问对每一对主体和客体来说是给定的，决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。例如，授权访 问有读写、执行，读写客体是直接进行的，而执行是搜索文件、执行文件。对用户的授 权访问是由系统的安全策略决定的。在计算机系统中，访问控制包括以下三个任务:授权，即确定可给予哪些主体 访问控制矩阵(Access Contro 1 Ma回到是最初实现访问控制机制的概念模型，它利 用二维矩阵规定了任意主体和任意客体间的访问权眼。矩辞中的行代表主体的访问权限 属性，矩阵中的列代表客体的访问权限属性，矩阵中的每一格表示所在行的主体对所在 列的客体的访问授权，如图 4-1 所示。访问控制的任务就是确保系统的操作是按照访问 控制矩阵授权的访问来执行的，它是通过引用监控器协调客体对主体的每次访问而实现，这种方法清晰地实现认证与访问控制的相互分离。)访问控制表(Access Control Lists)。访问控制矩阵按列分解，生成访问控制列 表，如图 4-2 所示。访问控制表是以文件为中心建立访问权限表，一个文件可以被哪些用户访问。表中登记了该文件的 访问用户名及访问权隶属关系。利用访问控制表，能够很容易地判断出对于特定客体的 授权访问，哪些主体可以访问并有哪些访问权限。同样很容易撤消特定客体的授权访问，只要捏该客体的访问控制表量为空。权能表(Capabilities Lists)。权能表与访问控制表相反，是访问控制矩阵按行 分解，以用户为中心建立权能表，一个用户可以访问哪些文件 基于访问控制表的系统所不具有的如下安全特性:最小特权。在访问控制表系统中，进程根据用户身份获得权限，同一用户发起的所 有进程都有相同的权限，因此最小特权无法在访问控制表系统上真正实现。选择性授权访问。访问控制表系统中，父进程创建子进程后，不能有选择的指定子 进程拥有哪些权限。责任分离。访问控制表不能解决责任分离问题，会导致责任混淆。自验证性。访问控制表系统无法控制权限和信息的流动，因雨其自身无法验证所有 的安全策略是否得到了遵守和执仔。有利于分布式环境。由于分布式系统中很难确定特定客体的潜在主体集，因此访问 控制表一般用于集中式系统，而分布式系统采用访问能力表。自主访问控制 又称为任意访问控制 自主访问控制(Discretionary Access Control,DAC)是最常用的一类访问控制机制，是用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。强制访问控制 强制访问控制(Mandatory Access Control)是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。强制访问控制包括基于规则 (Rule-Based)访问控制和管理指定型(Administratively-Based)访问控制。安全级别一般有四级:绝密级 CTop Secret)，秘密级 CSecret)，机密级 CCon dentiaD 和无级别级 CUnc1assified)，其中 TSCU 则用户与访问的信息的读写关系将有 种，即:下读 Cread down)用户级别高于文件级别的读操作。上写 Cwrite up)用户级别低于文件级别的写操作。下写 write down)用户级别高于文件级别的写操作。上读 Cread up)用户级别低于文件级别的读操作。上述读写方式都保证了信息流的单向性，显然上读一下写方式保证了数据的完整性 CIntegrity)，上写一下读方式则保证了信息的秘密性。基于角色访问控制 基于角色的访问控制 CRole-Based Access ControD 是目前国际上流行的先进的安全 访问控制方法。即访问 权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的 用户到场方能操作，从而保证了安全性:便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权 就可由财务人员这个角色来区分:便于赋予最小特权，如即使用户被赋予高级身份时也未必一定要使用，以便减少损 失。只有必要时方能拥有特权:便于任务分担，不同的角色完成不同的任务;便于文件分级管理，文件本身也可分为不罚的角色，如信件、账单等，由不同角色 的用户拥有。2.4.7 文件保护机制 文件备份 文件恢复 文件加密，加密是透明的。这表明不必在使用前手动解密己加密的文件。就可以正常打开和更改文件。目前，已经有很多成熟的加密文件系统被广泛地应用，如基于 ux 系统的 CFS (Cryptographic Fi1e System)TCFS(Transparent Cryptographic File System)AFS(Andrew File System)，基于 Windows 系统的 EFS CEncrypting File System)等。安全审计机制 审计系统需要三大功能模块:审计事件的收集及过滤功能模块，审计事件的记录及查询功能模块，审计事件分析及响应报警功能模块。所谓审计事件，就是系统审计用户操作的最基本单位。系统将所有要 操作系统安全增强的实现方法 操作系统安全的可信性主要依赖于安全功能在系统中实现的完整性、文档系统的清 晰性、系统测试的完备性和形式化验证所达到的程度。操作系统可以看成是由内核程序 和应用程序组成的一个大型软件，其中内核直接和硬件打交道，应用程序为用户提供使 用命令和接口。验证这样一个大型软件的安全性是十分困难的，因此要求在设计中要用 尽量小的操作系统部分控制整个操作系统的安全性，并且使得这一小部分软件便于验证 或测试，从而可用这一小部分软件的安全可信性来保证整个操作系统的安全可信性。用户软件 l 可信应用软件 安全内核 硬件 4-4 安全操作系统一般结构示意图 安全操作系统的一般结构如图 4-4 所示，其中，由安全内核用来控制整个操作系统 的安全操作。可信应用软件由两个部分组成，即系统管理员和操作员进行安全管理所需 的应用程序，以及运行具有特权操作的、保障系统正常工作所需的应用程序。用户软件 由可信软件以外的应用程序组成。操作系统的可信应用软件和安全内核组成了系统的可 信软件，它们是可信计算基的一部分，系统必须保护可信软件不被修改和破坏。萨尔泽(Saltzer)和施罗德(Schroder)提出了下列安全操作系统的设计原则:最小特权:为使无意或恶意的攻击所造成的损失达到最低限度，每个用户和程 序必须按照需要原则，尽可能地使用最小特权。机制的经济性:保护系统的设计应小型化、简单、明确。保护系统应该是经过 完备测试或严格验证的。章信息系统安全基础 441 开放系统设计:保护机制应该是公开的，因为安全性不依赖于保密。完整的存取控制机制J:对每个存取访问系统必须进行检查。基于允许的设计原则:应当标识什么资源是应该是可存取的，而非标识什 么资源是不可存取的，也就意味着许可是基于否定背景的，即没有被显式许可标识的都 是不允许存取的。权限分离:在理想情况下对实体的存取应该受到多个安全条件的约束，如用户 身份鉴别和密钥等。这样使得侵入保护系统的人将不会轻易拥有对全部资源的存取权限。避免信息流的潜在通道:信息流的潜在通道一般是由可共享实体的存在所引起 的，系统为防止这种潜在通道应采取物理或逻辑分离的方法。方便使用:友好的用户接口。在现有操作系统上实现安全增强是目 前提高操作系统安全性普遍采用的方式，一般有三种具体方法:(1)虚拟机法。在现有操作系统与硬件之间增加一个新的分层作为安全内核，操作 系统几乎不变地作为虚拟机来运行。安全内核的接口几乎与原有硬件编程接口等价，操 作系统本身并未意识到己被安全内核控制，仍像在裸机上一样执行它自己的进程和内存442 系:信息安全工程师教程 管理功能，因此它可以不变地支持现有的应用程序，且能很好地兼容原来操作系统的将 来版本。采用虚拟机法增强操作系统的安全性时，硬件特性对虚拟机的实现非常关键，它要求原系统的硬件和结构都要支持虚拟机。(2)改进/增强法。在现有操作系统的基础上对其内核和应用程序进行面向安全策略 的分析，然后加入安全机制，经改造、开发后的安全操作系统基本上保持了原来操作系 统的用户接口界面。由于改进/增强法是在现有系统的基础上开发增强安全性的，受其体 系结构和现有应用程序的眼制，所以很难达到很高(如 B2 级以上)的安全级别。但这 种方法不破坏原系统的体系结构，开发代价小，且能很好地保持原来操作系统的用户接 口和系统效率。(3)仿真法。对现有操作系统的内核进行面向安全策略的分析和修改以形成安全内 核，然后在安全内核与原来操作系统用户接口界面中间再编写一层仿真程序。这样做的 好处在于在建立安全内核时，可以不必受现有应用程序的限制，且可以完全自由地定义 原来操作系统仿真程序与安全内核之阔的接口。但采用这种方法要同时设计仿真程序和 安全内核，还要受顶层原来操作系统接口的限制。另外根据安全策略，有些原来操作系 统的接口功能不安全，从而不能仿真 安全操作系统的一般开发过程 首先建立一个安全模墅。对一个现有操作系统的非安全版本进行安全性增强之前，要进行安全需求分析。也就是根据所面临的风险、己有的操作系统版本，明确哪些安全 功能是原系统己具有的，哪些安全功能是要开发的。只有明确了安全需求，才能给出相 应的安全策略。计算机安全模型是实现安全策略的机制，它描述了计算机系统和用户的 安全特性。建立安全模型有利于正确地评价模型与实际系统 町的对应关系，帮助我的尽 可能精确地描述系统安全相关功能。另外，还要将模型与系统进行对应性分析，并考虑 如何将模望用于系统开发之中，并且说明所建安全模型与安全策略是一致的。然后是安全机制的设计与实现。建立了安全模型之后，结合系统的特点选择一种实 现该模型的方法。使得开发后的安全操作系统具有最佳安全/开发代价比。最后是安全操作系统的可信度认证。安全操作系统设计完成后，要进行反复的测试 和安全性分析，并提交权威评测部门进行安全可信度认证。4.2.5.4 操作系统近年来受到重视的安全增强技术 1.增强对用户身份的鉴别 自前，一些主流的操作系统通过简单的口令来确认用户身份。这种鉴别是单向的和 不安全的。对于一些安全计算机，在开机和用户登录方面加强了鉴别力度，采患了双因 子鉴别，包括智能卡、USB-Key，甚至还采用了指纹、虹膜等鉴别方式。2.增强对访问的控制 传统的访问控制理论表现为 3.审计增强 审计是一种通过事后追查增强系统安全性的安全技术。它要求对涉及系统安全的操 作息的保密性和完整性。4.安全管理增强 安全管理在操作系统安全中占有非常重要的地位。很多安全事件的发生都存在一定 的管理根源，这其中既有操作系统管理机制上的因素，也有用户管理配置上的菌素。操 作系统安全管理方面的增强主要针对以下两个方面:改进原有操作系统中管理方菌的缺 陷和开发自动化或半自动化的辅助管理技术或工具。5.多管理员增强 目前，管理员方面的安全增强主要体现为两种形式:通过多个管理员共同实现对系 统的管理，每个管理员负责不同的管理职责，彼此之间既相互协助，又相互制约:通过 一定的机制限制管理员程序的权限，减少因这些特权程序被非法控制带来的危害。6.自动化辅助管理 用户管理配置引起的安