操作系统安全 第一章..
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其他还有一些安全操作系统开发项目,如 Honeywell的STOP、Gemini的GEMSOS、DEC的 VMM(virtual machine monitor),以及HP和Data General等公司开发的安全操作系统。
在我国,也进行了许多有关安全操作系统的开发研 制工作,并取得了一些研究成果。
UCLA Secure UNIX也是美国国防部研究计划局于 1978年前后发起的一个安全操作系统研制项目,由 加利福尼亚大学承担。UCLA Secure UNIX的系统 设计方法及目标几乎与KSOS相同。
1983年,美国国防部出版了历史上第一个计算机安 全评价标准——《可信计算机系统评价准则 (TCSEC)》, 1985年,美国国防部对TCSEC进 行了修订。
一个有效的特洛伊木马对程序的预期结果无明显影 响,也许永远看不出它的破坏性。特洛伊木马需要 具备以下条件才能成功地入侵计算机系统:
● 入侵者要写一段程序进行非法操作,程序的行 为方式不会引起用户的怀疑;
● 必须设计出某种策略诱使受骗者接受这段程序;
● 必须使受骗者运行该程序;
● 入侵者必须有某种手段回收由特洛伊木马程序 提供的信息。
第1章 引言
1.1 操作系统面临的安全威胁 1.2 操作系统安全和信息系统安全 1.3 安全操作系统的研究发展 1.4 基本定义及术语 1.5 本章小结
1.1 操作系统面临的安全威胁
可以说,信息安全技术的发展将会从根本上影响和 制约信息技术的进一步发展。 人们认识信息安全问题通常是从对系统所遭到的各 种成功或者未成功的入侵攻击的威胁开始的,这些 威胁大多是通过挖掘操作系统和应用程序的弱点或 者缺陷来实现的。下面首先介绍针对操作系统安全 的主要威胁。
1.3 安全操作系统的研究发展
Multics是开发安全操作系统最早期的尝试。
Adept-50是一个分时安全操作系统,可以实际投入 使用,1969年C.Weissman发表了有关Adept-50安 全控制的研究成果。
1969年B.W.Lampson通过形式化表示方法运用主体 (subject)、客体(object)和访问矩阵(access matrix)的思想第一次对访问控制问题进行了抽象。
1.1.1 病毒和蠕虫
病毒是能够自我复制的一组计算机百度文库令或者程序代 码。通过编制或者在计算机程序中插入这段代码, 以达到破坏计算机功能、毁坏数据从而影响计算机 使用的目的。病毒具有以下基本特点: ● 隐蔽性。 ● 传染性。 ● 潜伏性。 ● 破坏性。
1.1.2 逻辑炸弹
逻辑炸弹是加在现有应用程序上的程序。一般逻辑 炸弹都被添加在被感染应用程序的起始处,每当该 应用程序运行时就会运行逻辑炸弹。它通常要检查 各种条件,看是否满足运行炸弹的条件。如果逻辑 炸弹没有取得控制权就将控制权归还给主应用程序, 逻辑炸弹仍然安静地等待。当设定的爆炸条件被满 足后,逻辑炸弹的其余代码就会执行。逻辑炸弹不 能复制自身,不能感染其他程序,但这些攻击已经 使它成为了一种极具破坏性的恶意代码类型。
UNIX SVR4.1ES是UI(UNIX国际组织)于1991年 推出的一个安全操作系统,被美国国家计算机安全 中心(NCSC)认可为符合TCSEC的B2级。
1991年,在欧洲共同体的赞助下,英、德、法、荷 4国制定了拟为欧共体成员国使用的共同标准—— 信息技术安全评定标准(ITSEC)。随着各种标准 的推出和安全技术产品的发展,美国和加拿大及欧 共体国家一起制定了通用安全评价准则(Common Criteria for IT Security Evaluation,CC),1996 年1月发布了CC的1.0版。CC标准的2.0版已于1997 年8月颁布,并于1999年7月通过国际标准组织认可, 确立为国际标准,即ISO/IEC 15408。
逻辑炸弹具有多种触发方式。
1.1.3 特洛伊木马
特洛伊木马是一段计算机程序,表面上在执行合法 任务,实际上却具有用户不曾料到的非法功能。它 们伪装成友好程序,由可信用户在合法工作中不知 不觉地运行。一旦这些程序被执行,一个病毒、蠕 虫或其他隐藏在特洛伊木马程序中的恶意代码就会 被释放出来,攻击个人用户工作站,随后就是攻击 网络。
特洛伊木马通常以包含恶意代码的电子邮件消息的 形式存在,也可以由Internet数据流携带。
1.1.4 天窗
天窗是嵌在操作系统里的一段非法代码,渗透者利 用该代码提供的方法侵入操作系统而不受检查。天 窗由专门的命令激活,一般不容易发现。而且天窗 所嵌入的软件拥有渗透者所没有的特权。通常天窗 设置在操作系统内部,而不在应用程序中,天窗很 像是操作系统里可供渗透的一个缺陷。安装天窗就 是为了渗透,它可能是由操作系统生产厂家的一个 不道德的雇员装入的,安装天窗的技术很像特洛伊 木马的安装技术,但在操作系统中实现更为困难。 天窗只能利用操作系统的缺陷或者混入系统的开发 队伍中进行安装。因此开发安全操作系统的常规技 术就可以避免天窗。
LINVS Ⅳ是1984年开发的基于UNIX的一个实验安 全操作系统,系统的安全性可达到美国国防部橘皮 书的B2级。
Secure Xenix是IBM公司于1986年在SCO Xenix的 基础上开发的一个安全操作系统,它最初是在IBM PC/AT平台上实现的。
1987年,美国Trusted Information Systems公司以 Mach操作系统为基础开发了B3级的Tmach (Trusted Mach)操作系统。
1999年10月19日,我国国家技术监督局发布了国家 标准GB17859-1999《计算机信息系统安全保护等 级划分准则》,为计算机信息系统安全保护能力划 分了等级。该标准已于2001年起强制执行。
2001年前后,我国安全操作系统研究人员相继推出 了一批基于Linux的安全操作系统开发成果。
2000年11月18日,公安部计算机信息系统安全产品 质量监督检验中心,在网站http://www.mctc.gov.cn 上发布公告: “国内首家安全操作系统通过检测”。
1.1.5 隐蔽通道
隐蔽通道可定义为系统中不受安全策略控制的、违 反安全策略的信息泄露路径。按信息传递的方式和 方法区分,隐蔽通道分为隐蔽存储通道和隐蔽定时 通道。隐蔽存储通道在系统中通过两个进程利用不 受安全策略控制的存储单元传递信息。隐蔽定时通 道在系统中通过两个进程利用一个不受安全策略控 制的广义存储单元传递信息。判别一个隐蔽通道是 否是隐蔽定时通道,关键是看它有没有一个实时时 钟、间隔定时器或其他计时装置,不需要时钟或定 时器的隐蔽通道是隐蔽存储通道。
CC本身由两个部分组成,一部分是一组信息技术 产品的安全功能需求的定义,另一部分是对安全保 证需求的定义。CC标准吸收了各国对信息系统安 全标准的经验与知识,将对信息安全的研究与应用 带来重大影响。
在1992到1993年之间,美国国家安全局(NSA)和 安全计算公司(SCC)的研究人员在TMach项目和 LOCK项目的基础上,共同设计和实现了分布式可 信Mach系统(distributed trusted Mach, DTMach)。
特洛伊木马通常继承了用户程序相同的用户ID、存 取权、优先权甚至特权。因此,特洛伊木马能在不 破坏系统的任何安全规则的情况下进行非法操作, 这也使它成为系统最难防御的一种危害。特洛伊木 马程序与病毒程序不同,它是一个独立的应用程序, 不具备自我复制能力。但它同病毒程序一样具有潜 伏性,且常常具有更大的欺骗性和危害性。
与传统的基于TCSEC标准的开发方法不同,1997 年美国国家安全局和安全计算公司完成的DTOS安 全操作系统采用了基于安全威胁的开发方法。
SELinux以Flask安全体系结构为指导,通过安全判 定与安全实施的分离实现了安全策略的独立性,借 助访问向量缓存(AVC)实现了对动态策略的支 持。
极可靠操作系统(extremely reliable operating system,EROS)是一种基于权能(capability,又称 能力)的高性能微内核实时安全操作系统,是 GNOSIS(后命名为KeyKOS)体系结构的第三代。
1972年,J.P.Anderson在一份研究报告中提出了引 用监视器(reference monitor)、访问验证机制 (reference validation mechanism)、安全内核 (security kernel)和安全建模(modeling)等重 要思想。
1973年,B.W.Lampson提出了隐蔽通道的概念,他 发现两个被限制通信的实体之间如果共享某种资源, 那么它们可以利用隐蔽通道传递信息。
1.2 操作系统安全和信息系统安全
实际上从来没有一个操作系统的运行是完美无缺的, 也没有一个厂商敢保证自己的操作系统不会出错。
在信息系统中与安全相关的每一个漏洞都会使整个 系统的安全控制机制变得毫无价值。这个漏洞如果 被入侵者发现,后果将是十分严重的。
从计算机信息系统的角度分析,可以看出在信息系 统安全所涉及的众多内容中,操作系统、网络系统 与数据库管理系统的安全问题是核心。
一个有效可靠的操作系统应具有很强的安全性,必 须具有相应的保护措施,消除或限制如病毒、逻辑 炸弹、特洛伊木马、天窗、隐蔽通道等对系统构成 的安全威胁。
总而言之,在过去的数十年里,恶意代码(通常也 称为计算机病毒)已经从学术上的好奇论题发展成 为一个持久的、世界范围的问题。无论计算机病毒、 蠕虫、逻辑炸弹、特洛伊木马、天窗,还是隐蔽通 道都对操作系统安全构成了威胁。
操作系统安全
• 什么是操作系统安全和安全操作系统? • 安全操作系统的设计思路? • 希望从这门课中学到什么?
总目录
第1章 引言 第2章 操作系统安全机制 第3章 操作系统安全模型 第4章 操作系统安全体系结构 第5章 操作系统安全设计与验证 第6章 操作系统安全评测 第7章 Windows操作系统安全技术 第8章 Linux操作系统安全技术
同年,D.E.Bell和L.J.LaPadula提出了第一个可证 明的安全系统的数学模型,即BLP模型。
可验证安全操作系统(provably secure operating system,PSOS)提供了一个层次结构化的基于权 能的安全操作系统设计,1975年前后开始开发。
安全内核操作系统(kernelized secure operating system,KSOS)是美国国防部研究计划局1977年发 起的一个安全操作系统研制项目,由Ford太空通讯 公司承担。
1.4 基本定义及术语
以下列举一些重要的有关操作系统安全的定义和术 语。
● 计算机信息系统(computer information system): 由计算机及其相关的和配套的设备、设 施(含网络)构成的,按照一定的应用目标和规则 对信息进行采集、加工、存储、传输、检索等处理 的人机系统。
操作系统的安全性在计算机信息系统的整体安全性 中具有至关重要的作用。
一般来说,操作系统安全与安全操作系统的含义不 尽相同。从各种不同的角度分析操作系统的安全性, 既可以对主流操作系统进行安全性增强,也可以按 照特定目标设计实现专门的或通用的安全操作系统。 安全操作系统通常与相应的安全等级相对应,例如, 根据TCSEC标准,通常称B1级以上的操作系统为 安全操作系统。
1989年,加拿大多伦多大学开发了与UNIX兼容的 安全TUNIS操作系统。
ASOS(army secure operating system)是针对美 军的战术需要而设计的军用安全操作系统,由 TRW公司1990年开发完成。
OSF/1是开放软件基金会于1990年推出的一个安全 操作系统,被美国国家计算机安全中心(NCSC) 认可为符合TCSEC的B1级。
安胜安全操作系统v1.0于2001年2月20日首家通过 了中国国家信息安全产品测评认证中心的测评认证, 获得国家信息安全产品型号认证。
2001年3月8日,我国国家技术监督局发布了国家标 准GB/T18336-2001《信息技术安全技术 信息技术 安全性评估准则》,它基本上等同于国际通用安全 评价准则(CC)。
在我国,也进行了许多有关安全操作系统的开发研 制工作,并取得了一些研究成果。
UCLA Secure UNIX也是美国国防部研究计划局于 1978年前后发起的一个安全操作系统研制项目,由 加利福尼亚大学承担。UCLA Secure UNIX的系统 设计方法及目标几乎与KSOS相同。
1983年,美国国防部出版了历史上第一个计算机安 全评价标准——《可信计算机系统评价准则 (TCSEC)》, 1985年,美国国防部对TCSEC进 行了修订。
一个有效的特洛伊木马对程序的预期结果无明显影 响,也许永远看不出它的破坏性。特洛伊木马需要 具备以下条件才能成功地入侵计算机系统:
● 入侵者要写一段程序进行非法操作,程序的行 为方式不会引起用户的怀疑;
● 必须设计出某种策略诱使受骗者接受这段程序;
● 必须使受骗者运行该程序;
● 入侵者必须有某种手段回收由特洛伊木马程序 提供的信息。
第1章 引言
1.1 操作系统面临的安全威胁 1.2 操作系统安全和信息系统安全 1.3 安全操作系统的研究发展 1.4 基本定义及术语 1.5 本章小结
1.1 操作系统面临的安全威胁
可以说,信息安全技术的发展将会从根本上影响和 制约信息技术的进一步发展。 人们认识信息安全问题通常是从对系统所遭到的各 种成功或者未成功的入侵攻击的威胁开始的,这些 威胁大多是通过挖掘操作系统和应用程序的弱点或 者缺陷来实现的。下面首先介绍针对操作系统安全 的主要威胁。
1.3 安全操作系统的研究发展
Multics是开发安全操作系统最早期的尝试。
Adept-50是一个分时安全操作系统,可以实际投入 使用,1969年C.Weissman发表了有关Adept-50安 全控制的研究成果。
1969年B.W.Lampson通过形式化表示方法运用主体 (subject)、客体(object)和访问矩阵(access matrix)的思想第一次对访问控制问题进行了抽象。
1.1.1 病毒和蠕虫
病毒是能够自我复制的一组计算机百度文库令或者程序代 码。通过编制或者在计算机程序中插入这段代码, 以达到破坏计算机功能、毁坏数据从而影响计算机 使用的目的。病毒具有以下基本特点: ● 隐蔽性。 ● 传染性。 ● 潜伏性。 ● 破坏性。
1.1.2 逻辑炸弹
逻辑炸弹是加在现有应用程序上的程序。一般逻辑 炸弹都被添加在被感染应用程序的起始处,每当该 应用程序运行时就会运行逻辑炸弹。它通常要检查 各种条件,看是否满足运行炸弹的条件。如果逻辑 炸弹没有取得控制权就将控制权归还给主应用程序, 逻辑炸弹仍然安静地等待。当设定的爆炸条件被满 足后,逻辑炸弹的其余代码就会执行。逻辑炸弹不 能复制自身,不能感染其他程序,但这些攻击已经 使它成为了一种极具破坏性的恶意代码类型。
UNIX SVR4.1ES是UI(UNIX国际组织)于1991年 推出的一个安全操作系统,被美国国家计算机安全 中心(NCSC)认可为符合TCSEC的B2级。
1991年,在欧洲共同体的赞助下,英、德、法、荷 4国制定了拟为欧共体成员国使用的共同标准—— 信息技术安全评定标准(ITSEC)。随着各种标准 的推出和安全技术产品的发展,美国和加拿大及欧 共体国家一起制定了通用安全评价准则(Common Criteria for IT Security Evaluation,CC),1996 年1月发布了CC的1.0版。CC标准的2.0版已于1997 年8月颁布,并于1999年7月通过国际标准组织认可, 确立为国际标准,即ISO/IEC 15408。
逻辑炸弹具有多种触发方式。
1.1.3 特洛伊木马
特洛伊木马是一段计算机程序,表面上在执行合法 任务,实际上却具有用户不曾料到的非法功能。它 们伪装成友好程序,由可信用户在合法工作中不知 不觉地运行。一旦这些程序被执行,一个病毒、蠕 虫或其他隐藏在特洛伊木马程序中的恶意代码就会 被释放出来,攻击个人用户工作站,随后就是攻击 网络。
特洛伊木马通常以包含恶意代码的电子邮件消息的 形式存在,也可以由Internet数据流携带。
1.1.4 天窗
天窗是嵌在操作系统里的一段非法代码,渗透者利 用该代码提供的方法侵入操作系统而不受检查。天 窗由专门的命令激活,一般不容易发现。而且天窗 所嵌入的软件拥有渗透者所没有的特权。通常天窗 设置在操作系统内部,而不在应用程序中,天窗很 像是操作系统里可供渗透的一个缺陷。安装天窗就 是为了渗透,它可能是由操作系统生产厂家的一个 不道德的雇员装入的,安装天窗的技术很像特洛伊 木马的安装技术,但在操作系统中实现更为困难。 天窗只能利用操作系统的缺陷或者混入系统的开发 队伍中进行安装。因此开发安全操作系统的常规技 术就可以避免天窗。
LINVS Ⅳ是1984年开发的基于UNIX的一个实验安 全操作系统,系统的安全性可达到美国国防部橘皮 书的B2级。
Secure Xenix是IBM公司于1986年在SCO Xenix的 基础上开发的一个安全操作系统,它最初是在IBM PC/AT平台上实现的。
1987年,美国Trusted Information Systems公司以 Mach操作系统为基础开发了B3级的Tmach (Trusted Mach)操作系统。
1999年10月19日,我国国家技术监督局发布了国家 标准GB17859-1999《计算机信息系统安全保护等 级划分准则》,为计算机信息系统安全保护能力划 分了等级。该标准已于2001年起强制执行。
2001年前后,我国安全操作系统研究人员相继推出 了一批基于Linux的安全操作系统开发成果。
2000年11月18日,公安部计算机信息系统安全产品 质量监督检验中心,在网站http://www.mctc.gov.cn 上发布公告: “国内首家安全操作系统通过检测”。
1.1.5 隐蔽通道
隐蔽通道可定义为系统中不受安全策略控制的、违 反安全策略的信息泄露路径。按信息传递的方式和 方法区分,隐蔽通道分为隐蔽存储通道和隐蔽定时 通道。隐蔽存储通道在系统中通过两个进程利用不 受安全策略控制的存储单元传递信息。隐蔽定时通 道在系统中通过两个进程利用一个不受安全策略控 制的广义存储单元传递信息。判别一个隐蔽通道是 否是隐蔽定时通道,关键是看它有没有一个实时时 钟、间隔定时器或其他计时装置,不需要时钟或定 时器的隐蔽通道是隐蔽存储通道。
CC本身由两个部分组成,一部分是一组信息技术 产品的安全功能需求的定义,另一部分是对安全保 证需求的定义。CC标准吸收了各国对信息系统安 全标准的经验与知识,将对信息安全的研究与应用 带来重大影响。
在1992到1993年之间,美国国家安全局(NSA)和 安全计算公司(SCC)的研究人员在TMach项目和 LOCK项目的基础上,共同设计和实现了分布式可 信Mach系统(distributed trusted Mach, DTMach)。
特洛伊木马通常继承了用户程序相同的用户ID、存 取权、优先权甚至特权。因此,特洛伊木马能在不 破坏系统的任何安全规则的情况下进行非法操作, 这也使它成为系统最难防御的一种危害。特洛伊木 马程序与病毒程序不同,它是一个独立的应用程序, 不具备自我复制能力。但它同病毒程序一样具有潜 伏性,且常常具有更大的欺骗性和危害性。
与传统的基于TCSEC标准的开发方法不同,1997 年美国国家安全局和安全计算公司完成的DTOS安 全操作系统采用了基于安全威胁的开发方法。
SELinux以Flask安全体系结构为指导,通过安全判 定与安全实施的分离实现了安全策略的独立性,借 助访问向量缓存(AVC)实现了对动态策略的支 持。
极可靠操作系统(extremely reliable operating system,EROS)是一种基于权能(capability,又称 能力)的高性能微内核实时安全操作系统,是 GNOSIS(后命名为KeyKOS)体系结构的第三代。
1972年,J.P.Anderson在一份研究报告中提出了引 用监视器(reference monitor)、访问验证机制 (reference validation mechanism)、安全内核 (security kernel)和安全建模(modeling)等重 要思想。
1973年,B.W.Lampson提出了隐蔽通道的概念,他 发现两个被限制通信的实体之间如果共享某种资源, 那么它们可以利用隐蔽通道传递信息。
1.2 操作系统安全和信息系统安全
实际上从来没有一个操作系统的运行是完美无缺的, 也没有一个厂商敢保证自己的操作系统不会出错。
在信息系统中与安全相关的每一个漏洞都会使整个 系统的安全控制机制变得毫无价值。这个漏洞如果 被入侵者发现,后果将是十分严重的。
从计算机信息系统的角度分析,可以看出在信息系 统安全所涉及的众多内容中,操作系统、网络系统 与数据库管理系统的安全问题是核心。
一个有效可靠的操作系统应具有很强的安全性,必 须具有相应的保护措施,消除或限制如病毒、逻辑 炸弹、特洛伊木马、天窗、隐蔽通道等对系统构成 的安全威胁。
总而言之,在过去的数十年里,恶意代码(通常也 称为计算机病毒)已经从学术上的好奇论题发展成 为一个持久的、世界范围的问题。无论计算机病毒、 蠕虫、逻辑炸弹、特洛伊木马、天窗,还是隐蔽通 道都对操作系统安全构成了威胁。
操作系统安全
• 什么是操作系统安全和安全操作系统? • 安全操作系统的设计思路? • 希望从这门课中学到什么?
总目录
第1章 引言 第2章 操作系统安全机制 第3章 操作系统安全模型 第4章 操作系统安全体系结构 第5章 操作系统安全设计与验证 第6章 操作系统安全评测 第7章 Windows操作系统安全技术 第8章 Linux操作系统安全技术
同年,D.E.Bell和L.J.LaPadula提出了第一个可证 明的安全系统的数学模型,即BLP模型。
可验证安全操作系统(provably secure operating system,PSOS)提供了一个层次结构化的基于权 能的安全操作系统设计,1975年前后开始开发。
安全内核操作系统(kernelized secure operating system,KSOS)是美国国防部研究计划局1977年发 起的一个安全操作系统研制项目,由Ford太空通讯 公司承担。
1.4 基本定义及术语
以下列举一些重要的有关操作系统安全的定义和术 语。
● 计算机信息系统(computer information system): 由计算机及其相关的和配套的设备、设 施(含网络)构成的,按照一定的应用目标和规则 对信息进行采集、加工、存储、传输、检索等处理 的人机系统。
操作系统的安全性在计算机信息系统的整体安全性 中具有至关重要的作用。
一般来说,操作系统安全与安全操作系统的含义不 尽相同。从各种不同的角度分析操作系统的安全性, 既可以对主流操作系统进行安全性增强,也可以按 照特定目标设计实现专门的或通用的安全操作系统。 安全操作系统通常与相应的安全等级相对应,例如, 根据TCSEC标准,通常称B1级以上的操作系统为 安全操作系统。
1989年,加拿大多伦多大学开发了与UNIX兼容的 安全TUNIS操作系统。
ASOS(army secure operating system)是针对美 军的战术需要而设计的军用安全操作系统,由 TRW公司1990年开发完成。
OSF/1是开放软件基金会于1990年推出的一个安全 操作系统,被美国国家计算机安全中心(NCSC) 认可为符合TCSEC的B1级。
安胜安全操作系统v1.0于2001年2月20日首家通过 了中国国家信息安全产品测评认证中心的测评认证, 获得国家信息安全产品型号认证。
2001年3月8日,我国国家技术监督局发布了国家标 准GB/T18336-2001《信息技术安全技术 信息技术 安全性评估准则》,它基本上等同于国际通用安全 评价准则(CC)。