CSDN博客

img Nsun

三 安全操作系统

发表于2004/10/23 13:06:00  1739人阅读

2.3安全操作系统
    信息系统的所有应用软件都需要一个运行平台,操作系统就是担当此重任的。操作系
统的安全是整个信息系统软件部分安全的基础。目前市场上尚无任何一个大型操作系统可
以做到完全正确。实际上从来没有一个操作系统的运行是完美无缺的,也没有一个厂商敢
保证他们的操作系统不会出错。工业界已经承认这样一个事实:任何操作系统都是有缺陷
的。
“我们可以设计理想化的、证明是可靠的操作系统,但是我们却不能真正建立这些系统,
让他们在现实世界中安全的运行。现实世界涉及到设计中的折中、没有遇见的变量以及不
完美的实施等。”
    但是,另一方面,我们可以说绝大部分操作系统是可靠的,可以基本完成其设计功能
。另外,从安全的角度看,操作系统软件的配置是很困难的,配置时一个很小的错误就可
能导致一系列的安全漏洞,从而使系统的安全措施无用武之地。
2.3.1安全威胁
    对操作系统安全构成威胁的主要有病毒,木马,隐蔽通道和天窗等。

计算机病毒
    病毒的危害已经无需多言,CIH病毒造成的破坏和引起的恐慌相信很多用户还记忆犹新
。以最近一段时间非常流行的冲击波、震荡波等病毒为例,它们利用windows系列操作系统
本身的漏洞感染没有防护的计算机,造成染毒系统不停重启,无法正常连接网络,而且大
量扫描其他有漏洞的计算机,伺机感染,占用大量有效网络带宽。已知病毒数目庞大,No
rton反病毒软件的最新病毒库病毒种类已达到60000多种,这还不包括那些没有引起反病毒
公司注意的病毒。互联网上已经有很多专门搜集,制作,甚至发布病毒的组织。29A是其中
的佼佼者,常常在它的电子杂志中公布一些技术超前的概念性病毒。
    发展到今天,计算机病毒也已经向变形和多态方向发展,理论上已经提出了多维病毒
的概念。三维变形病毒,表现为,病毒感染一个目标后,自身代码与每一感染目标中的病
毒代码几乎没有三个连续的字节是相同的;那些变化的代码相互间的排列距离也是变化的
;能分裂后分别潜藏在几处,随便某一处的子病毒被激发后都能自我恢复成一个完整的病
毒;病毒在附着体上的空间位置是变化的。四维变形病毒则是在三维变形病毒的基础上还
有所有三维变形病毒的变形特性随时间动态变化,虽然目前还没有四维变形病毒,不过预
计技术的发展会将四维变形病毒带到世人面前。
    相应的反病毒技术也从最初的特征代码扫描法到现在的利用虚拟机的行为检测法,启
发式扫毒等。IBM公司开发的数字免疫系统是一种高级的综合病毒防治方法。该系统利用硬
件仿真技术,提供一个用途广泛的仿真系统和病毒检测系统。该系统的目标是对病毒做出
快速反应,当有新病毒进入系统时,免疫系统会自动将其捕获并对其分析,清除病毒后,
立即将有关信息发送到IBM的杀毒在线系统,使得该病毒再次出现时立刻被检测出来。各种
高级反病毒技术希望能够检测未知病毒,这在很大程度上取决于反病毒软件的人工智能程
度,当前反病毒软件的人工智能水平还不够理想,使得检测未知病毒时误报和漏报现象严
重。
   “问题的重点在于:病毒无法杜绝。已经从数学的角度证实,总是能编写一个现有的任
何反病毒软件都无法阻止的病毒(即使是BLP模型也无法阻止病毒的攻击)。忽略证明的细
节,其基本要点是如果病毒编写者知道反病毒软件要找的东西,他总是能够设计出不被注
意到的病毒。当然,反病毒软件的程序员也总是能够对其软件进行更新,在病毒出现后检
测出该病毒。”

特洛伊木马
    特洛伊木马表面上是一段执行合法功能的计算机程序,实际上它能够在用户毫无防备
的情况下,监视用户的键盘输入,抓取用户的屏幕显示,然后把用户的各种密码和敏感信
息发送给攻击者。特洛伊木马需要具有以下特性:入侵者要写一段程序进行非法操作,程
序的行为方式不会引起用户的怀疑;必须设计出某种策略使受骗者接受这段程序;必须使
受骗者运行该程序;入侵者必须有某种手段回收由特洛伊木马发作为他带来的实际收益。
特洛伊木马能够盗取计算机的机密信息,对被控端进行文件读写操作,远程控制被感染计
算机等。国内的木马“冰河”相信很多人听说过。木马一般不具有自我复制能力,但它同
病毒一样,具有潜伏性。特洛伊木马也可能包含蠕虫或者病毒程序。木马对系统安全是致
命的威胁。比如,虽然用户的邮件可以用PGP加密,但木马可能在加密之前截获明文,使得
再强的加密算法也形同虚设。
    作为一个例子,一种高级的木马如下所述。利用修改了的编译程序向正被编译的程序
中插入一些附加的程序代码,如系统逻辑程序,那么这种特洛伊木马程序就很难被检测出
来。设计者还在此逻辑程序中设计了一个陷门,使得他能够通过某种特殊的途径在网络上
进行连接主机的操作,而我们不可能从逻辑程序的源代码中找到该木马程序。
    只盗取信息,不对被控端进行操作的木马更加隐蔽,也有些木马通过邮件发送窃取到
的机密信息。无论木马多么隐蔽,一个熟悉一般木马知识的计算机用户总是能够发现系统
中存在木马的蛛丝马迹。问题好的一方面在于,通过审查应用程序对外的连接请求,有可
能使得即使木马存在系统中,也不能接受控制或者向外发送信息,另外反病毒软件一般对
于常见的木马都能够查杀;问题不好的一方面还是关于反病毒软件,由于它们对于木马程
序的监测大部分还是通过扫描特征码,所以简单的对已有木马加壳就可以骗过绝大多数反
病毒软件。对于木马,综合反病毒软件,防火墙,用户观测系统异常(如流量异常)、定
期察看日志文件等等措施相结合是相对比较有效的。

隐蔽通道
    隐蔽通道定义为系统中不受安全策略控制的,违反安全策略的信息泄露路径,分为存
储隐蔽通道和时间隐蔽通道两种,目前对隐蔽通道的分析存在现实的困难。隐蔽存储通道
的识别技术主要有信息流分析方法、共享资源矩阵法、无干扰分析法、隐蔽流树法等等。
而对于时间隐蔽通道,迄今为止,没有形式化的技术可以在系统中找到隐蔽时间通道,也
没有什么通用的方法可以检测出它们的使用情况并加以审查。不过,对黑客而言,时间隐
蔽通道比隐蔽存储通道更加难以实现,而且这种通道的噪音往往很大。
    国家标准GB17859对第四级及以上的系统,提出了分析和处理隐蔽通道的硬性要求,美
国的TCSEC,欧洲的IOS/IEC15408也把隐蔽通道分析作为评估高等级安全信息系统的关键指
标。目前我国研发的安全信息系统最多只能达到GB17859第三级水平(相当于TCSEC橘皮书
B1级),一个重要的原因就在于无法解决隐蔽通道问题。
    对抗隐蔽通道的唯一方法是对整个系统进行全局的信息流分析。目前美国通过橘皮书
B2以上级别认证的大型信息系统已经有10多个,从公开发表的文献看,都是从分析信息流
入手。然而大型操作系统规模巨大,逻辑关系复杂,进行全面的信息流分析十分困难。另
外,伪非法流的存在,使得系统分析工作量呈指数增长,变得实际上不可能继续进行。


天窗
    天窗是指嵌入在操作系统里的一段非法代码。渗透者利用该代码提供的方法侵入操作
系统而不受检查。天窗一般由专门的命令激活,不容易发现。而且,天窗所嵌入的软件拥
有渗透者所没有的特权。天窗可能是由操作系统生产厂家的一个不道德雇员装入的,安装
天窗的技术很像特洛伊木马的安装技术,但在操作系统中实现就更为困难。与特洛伊木马
和隐蔽通道不同,天窗只能利用操作系统的缺陷或者混入系统的开发队伍中进行安装。

    关于天窗的一个例子是在Multics操作系统的开发期间,美国空军“老虎队”(模拟的
敌手)使用了入侵检测,所用到的一个策略就是向正在运行Multics的站点发送操作系统的
虚假更新,此更新含有一段能被激活并使老虎队获得访问权的程序。这种威胁是如此的隐
蔽,使得Multics开发者很难发现它,即使获悉该威胁的存在,他们也很难找出它。因此,
要实现操作系统对天窗的控制是困难的,安全的策略必须集中在操作系统的开发和更新活
动上。值得庆幸的是,利用开发安全操作系统的常规技术就可以避免天窗。

2.3.2安全模型及形式化
    一个操作系统是安全的,指它满足某一给定的安全策略,同样,进行安全操作系统的
设计和开发时,也要围绕一个给定的安全策略进行。安全模型就是对安全策略所表达的安
全需求的简单、抽象和无歧义的描述。安全模型的选择对于安全操作系统的开发至关重要
。要开发安全系统,首先必须建立系统的安全模型。目前公认的安全模型主要有以下几类
:状态集模型、信息流模型、非干扰模型、不可推断模型和完整性模型。比较重要和知名
的安全模型的例子包括BLP模型,Biba模型,RBAC模型,Clark Wilson模型,DTE模型等。

    形式方法包含两个侧面:一是形式规范,二是设计验证。基于形式方法的方法学要求
,首先必须精确说明软件片断的行为,并用形式规范语言进行书写,称此过程为形式规范
过程;然后指明其实际实现是否满足该规范,称此过程为设计验证过程。形式规范语言试
图为软件形式规范及形式验证建立这种表示。目前较为著名的软件形式规范语言有Gypsy语
言和Z语言。这些语言能够表示一个系统的规范和实现,并且通过使用形式的逻辑演绎方法
可以证明该系统规范与实现的重要特性。
    “当然,形式上的模型是供好的理论使用的,但在实践中却不是太有用。他们带有理
论限制,仅仅有一个安全模型也不能说明你就可以证明系统具有特定的安全属性。他们可
能会导致一个无用系统的产生;强行让一个系统遵循一个模型会导致设计显得很古怪。它
们会让设计与建立工作永无止境。更糟的是,它们甚至无法证明安全。如果一个系统与某
个形式上的安全模型相符,至多能证明它可以阻止按照此模型行动的攻击者。需要强调的
是,不按照设计者模型行动的攻击者还是会破坏安全。”
    为了达到设计的模块化,一个具有良好模块化结构的体系结构是有意义的。目前人们
已提出Flask、DTE、GFAC、RBAC等体系,他们都是一些架构性质的体系,具体实现时有很
多深刻的技术问题。1993年,美国国防部在TAFIM计划中提出新的安全体系结构DGSA,强调
对多种安全策略的支持。但在支持多策略的安全体系结构中,一些本质的问题还没有得到
解决,例如合成策略的安全性问题

2.3.3 评测标准
    1985年,美国国防部提出可信计算机系统评测标准TCSEC(习惯上称橘皮书)。TCSEC
将系统分成ABCD四类7个安全级别。D级是安全级别最低的级别,如MS-DOS就属于D级;C类
为自主保护级别;B类为强制保护级别;A类为验证保护类,包含一个严格的设计,控制和
验证过程。A类系统的设计必须是从数学上经过验证的,而且必须进行隐蔽通道和可信任分
布的分析,并且要求它具有系统形式化顶层设计说明(FTDS),并形式化验证FTDS与形式
化模型的一致性,要求用形式化技术解决隐蔽通道问题等。波音公司的MLSLAN安全网络服
务器已经通过美国国家计算机安全中心的A1级评测,而Boeing  Company的MLSLAN OS通过
美国国家安全局的A1级评测。
    当前主流的操作系统安全性远远不够,如UNIX 系统,Windows NT都只能达到C2级,安
全性均有待提高。各种形式的安全增强操作系统在普通操作系统的基础上增强其安全性,
使得系统的安全性能够满足系统实际应用的需要。这方面的例子如国内的安胜操作系统3.
0,作为基于linux核心的安全增强操作系统,达到国标GB17859的第三级标准。国外安全操
作系统研究的一些新进展包括SELinux和EROS等安全操作系统项目。
   “事实上橘皮书仅适用于单机系统,而完全忽视了计算机联网工作时会发生的情况。几
年前,Microsoft为Windows NT获得C2安全等级大费周折。他们却极少面对这样的事实,即
只有在计算机未联网、没有网卡,将其软驱关闭、并在Compaq386上运行时,这个评级才适
用。Solaris的C2等级也很可笑。橘皮书的最新修订则准备处理与联网计算机有关的问题。

    各个国家都试图用现代方法改进橘皮书。加拿大提出了所谓的加拿大可置信计算机产
品评价准则。欧盟提出了信息技术安全评估标准,即ITSEC。另一个美国的提议称为联邦标
准。ISO标准15408则希望能够综合其它准则中好的观点与做法,提供一个能够被用户包括
在一个保护计划方案中的安全概念分类目录,由此可以根据该保护计划方案对各种产品进
行测试。
阅读全文
0 0

相关文章推荐

img
取 消
img