操作系统与计算机安全介绍
操作系统与计算机安全介绍
一、基本概述
一个完整意义上的计算机系统由计算机硬件和计算机软件组成。计算机硬件包括中央处理器、存储器、输入设备和输出设备四个部分组成,也就是通常看到的CPU、显示器、鼠标、键盘、打印机等配件和设备,它构成了系统本身和用户作业赖以活动的物质基础和工作平台。
计算机软件通常简称为软件,是指为运行、维护、管理和应用计算机所编制的所有程序和数据的总称,通常按照功能分为系统软件和应用软件两类。系统软件是为了管理和使用计算机而编制的软件,应用软件是为了实现某一个功能或目的而有针对性地特意编制的软件。
操作系统是运行在计算机硬件上的最基本的系统软件,位于所有的软件的最底层,为计算机使用者提供了一种良好的操作环境,也为各种应用软件提供了基本的支持环境。
操作系统在计算机系统中占据了特殊而又重要的地位,其他所有的软件如汇编程序、编译程序、数据库管理系统等系统软件以及大量的应用软件,都将依赖于操作系统的支持,取得它的服务。从系统管理人员的观点来看,操作系统是计算机资源的管理者。而从用户的观点来看,引入操作系统是为了给用户使用计算机提供一个良好的界面,以使用户无需了解许多育关硬件和系统软件的细节,就能方便灵活地使用计算机。
因此,我们可以将计算机操作系统定义为:操作系统( Operating Sys-tem)是计算机系统中的一个系统软件,它是这样一些程序模块的集合——它们管理和控制计算机系统中的硬件及软件资源,合理地组织计算机工作流程以便有效地利用这些资源为用户提供一个功能强大、使用方便和可扩展的工作环境,从而在计算机与其用户之间起到接口的作用。
目前比较常见的操作系统有:DOS、Windows、UNIX、Linux等。
二、普通操作系统
操作系统在现代计算机中具有很重要的作用,普通的操作系统涉及的与计算机安全有关的几种功能为:
用户鉴别。操作系统必须对每个请求访问的用户进行识别并确定此用户真正是所声称的用户,最常用的鉴别机制是口令比较。
内存保护。每一个程序必须在内存储器中某一部分运行,以防止非授权存取。
内存保护防止外来者对数据的存取,可以将用户的存取严格地限制在其存储空间内。
文件}日输入/输出设备的访问控制。操作系统必须保护用户和系统文件,防止非
授权用户的访问。同样,I/O设备的使用也必须受到保护。数据保护通常通过访问控制表来实现。
普通客体分配和访问控制。用户需要普通客体(如构成物)以容许并发和允许同步。然而,对这些客体的访问必须受到控制,以使
一个用户所作所为不会对其他用户产生负面影响,常用方法仍然是通过访问控制表来实现保护。
实行共享。资源必须对所有合法的用户都是可用的。对共享的要求是保证数据的完整性和一致性。
保证公平服务。所有用户都希望得到使用CPU和其他服务的适当保证,不应该出现某些用户完全得不到服务的情况。硬件时钟与调度规则相组合可以提供公平性,硬件设施和数据表组合则提供控制功能。
进程间通信和同步。正在执行的进程有时需要同其他的进程进行通信,或使它们对被共享资源的访问得到同步。搡作系统对进程发出的与其他进程进行异步或同步通信的请求予以响应,并提供这些服务。进程间的通信由访问控制表来实现。
三、可信操作系统
可信操作系统(rllmsted Operating Systems)也称安全操作系统,是指安全等级较高,具有较强的安全保护能力的操作系统,通常是指经过认证的安全级别达到或相当于TCSEC Bl级以上的操作系统。可信操作系统不但具有安全特性,还具有自我安全保障能力。可信操作系统与普通操作系统是有区别的,可信操作系统的客体被访问控制机制包围着或环绕着,因而比普通操作系统提供更多的保护和隔离。此外,可信操作系统的内存被分隔,而数据和程序库具有受控的共享和分离。
可信操作系统一般具有下述关键的安全特征:
1.用户识别和鉴别
识别是计算机安全的基础。必须能够辨别谁在请求访问一个对象,且必须能够证实这个主体的身份。大部分访问控制,无论是强制的还是自主的,都基于准确的识别。可信操作系统需要安全的个体识别机制,并且所有个体都必须是独一无二的。
2.强制访问控制
强制访问控制是指访问控制策略的判决不受一个对象的单个拥有者的控制。中央授权系统决定哪些信息可被哪些用户访问,而用户自己不能够改变访问杈。强制访问控制是一种多级访问控制策略,它的主要特点是系统对访问主体和客体实行强制访问控制,系统事先给访问主体和客体分配不同的安全级别属性。在实施访问控制时,系统先对访问主体和客体的安全级别属性进行比较,再决定访问主体能否访问该客体。普通的操作系统采用任意访问控制,系统管理员可以访问任何目录与文件。在可信操作系统里,访问控制策略由安全管理员制定,系统管理员无权干预。
普通操作系统
系统管理员拥有系统所有权限,只有安全管理员能设定访问控制
3.自主访问控制
留下一些访问控制让对象的拥有者来自主决定,或者给那些已被授权控制对象访问的人。拥有者能够决定谁应该拥有对其对象的访问权及其内容。在商业环境中,常用DAC来允许指定群体中的所有人(有时是其他的命名个体)改变访问权。
4全面调节
为了让强制或者自主访问控制有效,所有的访问必须受到控制。如果攻击者通过内存、外部端口、网络或者隐蔽通道请求访问,那么仅仅对文件的访问进行控制是不够的。由于需要控制更多的访问路径,可信操作系统的设计和实现难度就大大增加了。使用高可信操作系绕执行全面调节,意味着所有的访问都必须经过检查。
5.对象重用保护
对象重用是计算机保持效率的一种方法。计算机系统控制着资源分配,当一个资源被释放后,操作系统将允许下一个用户或者程序访问这个资源。但是,必须小心控制可重用的对象,以免它们产生严重的缺陷。
6.可信路径
恶意用户获得不合法访问的一种途径就是“欺骗”用户,使他们认为自己正和一个合法的安全系统在通信,而实际上这时候他们键入的内容以及命令已经被截获且分析了。因此,对于关键的操作,如设置口令或者更改访问许可,用户希望能进行无误的通信(称为可信路径),以确保他们只向合法的接收者提供这些重要的、受保护的信息。
7.可确认性
可确认性通常涉及维护与安全相关的、已发生的事件日志,即列出每一个事件和所有执行过添加、删除或改变操作的用户。显然,需要保护日志记录不被外界访问,并且记录下所有与安全相关的事件。
8.审计日志归并
理论上说,审计日志的概念是吸引人的,因为它允许对影响系统的保护元素的所有活动进行记录和评估。但在实际应用中,由于其数据量很大且需要进行分析,对审计日志的处理是非常困难的。在极端的情况下(如涉及的数据会影响一个公司的生存或者一个国家的安全),每次修改或甚至从文件中读人一个字符都存在潜在的安全隐患,因为修改会影响数据的完整性,单个字符有可能泄漏整个文件的敏感部分。同时,由于程序的控制路径会受到数据的影响,程序流程和单个指令的执行顺序也存在潜在的安全隐患。
9.入侵检测
与审计精简紧密联系的是系统检测安全漏洞的能力,理想情况是在安全漏洞产生的时候就被检测出来。但是,在审计日志中有太多的信息需要系统管理员去分析,通过计算机辅助管理有助于系统管理员将这些独立的数据联系起来。由入侵检测软件构造的正常系统使用的模式,一旦在使用中出现异常就会发出警告,大大减少了系统管理员的工作量,
四、操作系统安全等级和评价标准
绝对安全的操作系统是不存在的,当前安全无漏洞的操作系统,会随着软件的增加、后台编码的更迭、攻击技术的发展以及其他各种原因,原来安全的地方也会变成漏洞攻击点。因此,操作系统安全只能是当前情况下某个时间段的相对安全。要评价一个操作系统是否安全,是通过对操作系统的安全评估来体现的。按照世界公认的安全准
则通过了安全评估,那么这个操作系统就是安全的。反之,这个操作系统就是不安全的。目前公认的操作系统安全准则是1985年美国国防部提出的可信计算机系统评测标准TCSEC(习惯上称橘皮书)。
TCSEC( Trusted Computer System Evaluation Criteria)标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。TCSEC将系统分成ABCD四类7个安全级别,这几个安全等级从低到高分别是:D类——最小的保护等级。D类是安全级别最低的级别,是那些通过评测但达不到较高级别安全要求的系统。D级只有一个Dl类别。
C类——任意保护级。C类为自主保护级别,该类安全级别能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为Cl和C2两类。
C类系统的可信任运算基础体制(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。
B类——必需的、强制保护的级别。B类安全等级可分为Bl、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
A类——被核实的验证保护级别。A系统的安全级别最高。目前,A类安全等级只包含Al -个安全类别,包含有一个严格的设计、控制和验证过程。A类系统的设计必须是从数学上经过验证的,而且必须进行隐蔽通道和可信任分布的分析,并且要求它具有系统形式化顶层设计说明( FTDS),并实现形式化验证FrDS与形式化模型的一致性,
要求用形式化技术解决隐蔽通道问题等。
我国目前使用的有两个国家标准-GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2001《信息技术、安全技术、信息技术安全性评估准则》,可用于对操作系统安全级别的划分和评判。根据这两个国家标准,我国将操作系统安全分为五个级别:用户自主保护级、系统审计保护级、安全栎记保护级、结构化保护级和访问验证保护级。五个级别对操作系统具备的安全功能有不同的要求。
五、操作系统的安全机制
操作系统的安全机制包括硬件安全机制、操作系统的安全标识和鉴别、访问控制、最小特权管理和可信通路等。
1.硬件安全机制
安全操作系统的硬件安全机制,实质上也是普通操作系统所要求的,汁算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。优秀的硬件保护性能是高效、可靠的操作系统的基础。硬件安全机制通常包括存储保护、运行保护、I/O保护等。
2.操作系统的安全标识和鉴别
用户标识和鉴别是操作系统提供的最外层安全保护措施。标识就是系统对每一个用户的身份都有一个特定的系统内部可以识别的标记,这个标记就是用户标识符。用户标识符必须是全系统内唯一的,且不能被伪造的,以免被别的用户冒充。将用户标识符与用户联系起来的过程就是鉴别,鉴别过程主要是用来辨别用户的身份是否与系统
内记录的信息相符。鉴别操作总是要求用户具有能够证实他的身份的特殊信息,并且这个信息是秘密的,任何其他用户都不能拥有它。
3.访问控制
操作系统的访问控制涉及自主访问控制和强制访问控制两种形式。前面已经提过,自主访问控制和强制访问控制都是可信操作系统的安全特征,它们常常结合起来使用。
(1)自主访问控制。
自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问。自主是指主体能够自主地(也可能是间接酌)将访问权或访问权的某个子集并授予其他主体。为实现完备的自主访问控制,由一个访问控制矩阵提供的信息必须以某种形式保存在系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体。矩阵中的元素表示主体可对客体的访问模式。目前在操作系统中实现的自主访问控制都不是将矩阵整个保存起来,因为那样做效率很低。实际的方法是基于矩阵的行或列来表达访问控制信息。
(2)强制访问控制。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自
己及任何其他客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
访问控制是一个消极的过程,它只能由操作系统来调用才对用户的访问操作作出相应的响应:可以或者不可以。当主体能够通过自主访问控制和强制访问控制的
检查时,它才能访问一个客体。用户使用自主访问控制防止其他用户非法入侵自己的文件,用强制访问控制来保证其他用户不能通过意外事件和有意识的误操作来逃避安全控制。
4.最小特权管理
所谓最小特权( Least Phyilege),指的是“在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权”。最小特权原则,则是指“应限定网络中每个主体所必需的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
最小特权原则一方面给予主体“必不可少”的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体“必不可少”的特权,这就限制了每个主体所能进行的操作。
最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色允许主体以参与某特定工作所需要的最小特权去侵入系统。被授权拥有强力角色的主体,不需要动辄运用到其所有的特权,只有在那些特权有实际需求时,主体才去运用它们。
如此一来,将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生,限制了事故、错误或攻击带来的危害。它还减
少了特权程序之间潜在的相互作用,从而使对特权元意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部:只有程序中需要那些特权的最小部分才拥有特权。
5.可信通路
可信通路也就是可信路径,是终端人员能借以直接同可信计算机通信的一种机制,该机制只能由有关终端人员或可信计算机启动,并且不能被不可信软件所模仿。在计算机系统中,用户是通过不可信的中间应用层和操作系统相互联系和作用的。但用户登录、定义用户的安全等级、存储文件、修改文件等操作,用户必须确定是与安全核心通信而不是与一个特洛伊木马在交换信息。系统必须防止特洛伊木马模仿登陆过程来窃取用户的口令。
特权用户在进行特权操作时,也要有办法证实这是从终端输送出来的正确信息,不是来自特洛伊木马的模拟信息。这些都需要一个机制保障用户和内核的通信,这样的机制就是由可信通路提供的。