红旗安全操作系统技术白皮书.docx
《红旗安全操作系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《红旗安全操作系统技术白皮书.docx(32页珍藏版)》请在冰点文库上搜索。
红旗安全操作系统技术白皮书
红旗安全操作系统功能服务器版技术白皮书中科红旗软件技术有限公司红旗安全操作系统V1.0技术白皮书中科红旗软件技术有1红旗安全操作系统V1.0技术白皮书中科红旗软件技术有2目录一概述述...........3二身份标识与鉴别别.......................................................................5用户身
红旗安全操作系统
功能服务器版
技术白皮书
中科红旗软件技术有限公司
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
1
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
2
目录
一概述述...........3
二身份标识与鉴别别.......................................................................5
用户身份标_5
用户身份鉴_5
用户口令强_6
用户与进程的关联...............................................................6
三自主访问控制制.......................................................................................8
自主访问控制原则..........................................................................................8
访问控制表ACL原理....................................................................................9
ACL信息的管理......................................................................................10
四强制访问控制制..........................................................................12
强制访问控制功能...............................................................................12
系统内外的数据交换.......................................................................14
五安全审计计.17
主体和客体的标识..............................................................17
审计事件的标识.................................................................................17
事件向量.....18
审计规则.....19
审计配置的设定................................................................................19
审计空间溢出策略............................................................................20
审计查看.....20
审计数据的安全.................................................................................21
六安全管理理.22
安全属性管理......................................................................................22
审计管理.....23
鉴别数据管理.................................................................................23
角色管理.....23
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
3
一概述
在计算机系统中从最底端的硬件层到最顶端的应用软件层每个层次上的成分在安全性方面起着不同的作用安全操作系统中旨在为上层软件提供基本的安全支持红旗安全操作系统的当前版本主要从增强的身份标识与鉴别细化的自主访问控制特权用户职责划分强制访问控制审计跟踪以及安全管理等方面增强基本安全功能支持增强的身份标识与鉴别通过强化的口令管理增强用户身份的标识和鉴别更有效地防止攻击者通过破解口令的方法侵入系统细化的自主访问控制把自主访问控制的控制权制约能力细化到单个用户更有效地实行系统资源的自主访问控制保护特权用户职责划分削弱超级用户的权力设立系统管理员系统安全员系统审计员防止攻击者利用一个特权用户的身份获得对整个系统的控制强制访问控制以Bell&LaPadula安全模型为基础对信息流实施强制访问控制支持系统客体和主体的等级分类和非等级类别划分提供具有不同密级的信息和资源的保护审计跟踪以事件为驱动记录触发审计事件发生的各种行为允许系统审计员设定需审计的事件提供灵活的审计记录检索和查看功能安全管理以前面各项基本机制为基础维护整个系统的安全性红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
4
访问控制
强制访问控制
传统Linux权限控制
访问控制表控制
安全属性信息
审计记录信息
资源
用户进程
用
户
身
份
鉴
别
图1红旗安全操作系统访问控制原理
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
5
二身份标识与鉴别
为确保系统的安全必须对系统中的每一用户进行有效的标识与鉴别为此红旗安全操作系统系统给每个用户提供的与安全有关的属性有用户身份标识用户名及其UID组属关系用户所拥有及所属的组鉴别数据用户口令用户的敏感标记包括安全等级和非等级类别安全相关角色等
用户身份标识
红旗安全操作系统系统提供对用户进行身份标识的机制即系统给每一用户分配一个唯一的标识此处为用户名和用户ID此机制实现了如下的功能在用户的身份被标识之前系统允许用户从系统中获得身份标识提示以帮助用户进行身份标识即输入用户名但此提示不会降低系统的安全性在允许用户从事任何由系统仲裁的除身份标识之外的其他活动之前系统要求每个用户必须成功地通过身份标识即是
系统中已经存在的用户否则不予处理
用户身份鉴别
在用户成功的通过系统的身份标识以后系统要鉴别此用户身份的合法性即对注册用户输入的口令进行验证红旗安全操作系统系统提供的用户身份鉴别机制实现了如下的功能在用户被鉴别之前用户可以从系统中获得提示性的鉴别信息红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
6
在鉴别的进行过程中系统只向用户提供模糊的反馈信息而这些提示性的鉴别信息和模糊的反馈信息都不会降低系统的保密性在系
统允许用户从事任何由系统仲裁的除身份鉴别以外的其他活动之前系统要求每个用户必须成功地通过鉴别否则不予处理这些活动
用户口令强度
红旗安全操作系统系统提供的用户口令的保护机制可以确保用户口令的安全性达到以下要求随机试探口令鉴别机制一次试探可能成功的概率小于百万分之一如果在一分钟内的多次使用试探系统保证随机试探可能成功的概率小于十万分之一在口令鉴别机制被试探使用期间系统给出的任何反馈信息都不会导致试探成功的概率的高于上述尺度
用户与进程的关联
在系统中代表用户进行工作的是此用户产生的进程为保证系统的安全性可靠性保证用户行为的可审计性红旗安全操作系统系统把以下的用户安全属性与代表用户工作的进程关联起来与可审计事件关联的用户身份标识用于实施自主访问控制政策的用户标识用于实施自主访问控制政策的组属关系用于实施强制访问控制政策的敏感标记此敏感标记由等级分类和非等级类别构成.当用户注册进系统时红旗安全操作系统系统提供的机制遵循红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
7
以下规则来建立用户安全属性与代表用户工作的进程间的初始关联与进程关联的敏感标记应在用户的敏感标记的范围内即不能
超越用户的敏感标记代表用户工作的进程在被创建时即用户登录时与用户的安全属性进行初始关联关联方式如下
首先对于用户注册时创建的进程此进程产生的可审计事件
中用户标识必须等于产生此进程的注册用户的标识进程中对应的
用于实施自主访问控制政策的用户标识等于产生此进程的注册用户
的标识进程中对应的用于实施自主访问控制政策的组属关系由注册
用户指定指定的组必须是用户所属的组如果用户不指定则取缺
省值缺省值静态确定进程中对应的用于实施强制访问控制政策的
敏感标记由注册用户指定如果用户不指定则取缺省值缺省值静
态确定
其次非注册阶段一个进程创建另外一个进程时子进程继承
父进程所关联的安全属性
对于与代表用户工作的进程关联的用户安全属性的修改系统
用以下的规则加以限制
禁止修改与可审计事件关联的用户标识在得到目标用户许可
的情况下可把用于实施自主访问控制政策的用户标识改变为目标用
户的标识在得到目标组的用户许可的情况下可把用于实施自主访
问控制政策的组属关系改变为目标组用于实施强制访问控制政策的
敏感标记只能由被授权的安全管理员修改
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
8
三自主访问控制
在红旗安全操作系统中实施访问控制是为了保证系统资源受
控合法地使用访问控制是指控制系统中的主体如进程对系统
中的客体如文件目录等的访问如读写和执行等用户只
能根据自己的权限大小来访问系统资源不得越权访问红旗安全操
作系统实现的访问控制支持有2种自主访问控制强制访问控制
自主访问控制DAC是指主体对客体的访问权限是由客体的
属主或超级用户决定的而且此权限一旦确定将作为以后判断主体
对客体是否有以及有什么权限的唯一依据只有客体的属主或超级用
户才有权更改这些权限
传统Linux系统提供DAC支持控制粒度为客体的拥有者属
组和其他人红旗安全操作系统引入了访问控制表ACL把访问
控制的粒度细化到可以对任意指定的用户授权或禁止访问
自主访问控制原则
红旗安全操作系统依据如下因素实施自主访问控制政策
1用户身份标识和组属关系,它们与主体关联
2对客体的各类访问权限读写执行或空访问权限
这样以主体S为列以客体O为行以访问权限A
为元素就组成了实施自主访问的访问矩阵(S,O,A)
红旗安全操作系统依据如下规则实施自主访问控制
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
9
1当主体的用户标识和客体的访问控制属性中指定的用户标识
相匹配并且所执行的操作包含在访问控制属性中时允许该操作
2当主体的组属关系匹配客体的访问控制属性中指定的组标
识并且相应操作包含在访问控制属性中时允许该操作
3如果用户身份和组属关系都不匹配当相应操作包含在客体
的缺省访问控制属性中时该操作允许进行
另外红旗安全操作系统根据以下附加规则进行明确授权和拒
绝
1被授权的系统维护员可授权自己对客体的访问从而不受客
体访问控制属性的限制
2置客体的某个访问控制属性为空即可以封锁主体对该客体
的相应访问
访问控制表ACL原理
红旗安全操作系统的自主访问控制是在传统Linux的自主访问
控制的基础之上对自主访问控制的进一步强化在传统Linux的自
主访问控制中对某一文件/目录及设备具有权限的用户只能是文件/
目录及设备属主与属主同组的用户以及其他组的用户而不能细化
到其他某一具体用户而且用户对文件/目录及设备的权限仅限于
读写和执行而不能进一步细化
在红旗安全操作系统中ACL的基本思想可用图2的形式描述
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
10
在图2中客体包括系统中的文件目录特殊设备文件IPC
等主体包括用户和用户组
从图中可以看到ACL信息是以客体为索引把所有对某一客
体拥有访问权限的主体及其访问权限都组合在一起与此客体关联
如果要对某一访问请求进行判断的话则首先要找到被访问的客体
然后再在此客体所关联的主体中查找有无此请求所包含的主体最
后再在此主体的访问权限序列中检查有无此请求所需要的访问权
限如果有此权限则此请求是合法的
ACL信息的管理
红旗安全操作系统所提供的自主访问控制并没有影响传统
Linux的自主访问控制传统Linux的自主访问控制在红旗安全操作
系统的自主访问控制中继续其作用要让自主访问控制在红旗安全操
作系统系统中起作用需要协调配置传统Linux的自主访问控制和红
旗安全操作系统中的自主访问控制如要决定用户对文件/目录及设
备是否拥有某种操作的权限首先要判断这种请求是否满足传统
Linux的自主访问控制然后再判断是否满足红旗安全操作系统中的
自主访问控制只有两者都满足才能算该用户拥有对此文件进行这
图2ACL的基本表示形式
客体客体客体
主体权限主体权限主体权限
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
11
种操作的权限
当然可以关闭红旗安全操作系统的自主访问控制功能仅让
传统Linux的自主访问控制起作用但我们无法关闭传统Linux的自
主访问控制
对系统中的ACL信息系统采取特殊的措施加以保护只有客
体的属主和被授权的用户才有权对ACL信息加以修改并且这种
修改同样是作为一种请求发出的要受到ACL控制策略的控制即
只有那些具有修改客体的ACL信息权限的主体才能对此客体的ACL
信息进行修改
红旗安全操作系统系统提供专门的管理工具对ACL信息进行
管理客体的属主可以对其他用户对此客体的访问权限进行管理被
授权的用户可以管理被授权客体的ACL信息系统的安全管理员可
以对所有的ACL信息进行管理
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
12
四强制访问控制
强制访问控制MAC是由安全管理员按照安全政策将主体和
客体赋予不同的安全标记然后根据主体和客体的安全标记来决定访
问模式如可以分为绝密级机密极秘密级无密级等这样就可
以利用向下读向上写来保证数据的保密性并且通过这种梯度安全
标记实现信息的单向流通传统Linux系统没有MAC支持红旗安
全操作系统提供了MAC机制
红旗安全操作系统不仅考虑了对系统内的信息流动的访问控
制还考虑了对系统与外部系统间信息流动的访问控制
强制访问控制功能
红旗安全操作系统依据主体的敏感标记以及承载信息的客体的
敏感标记实施强制访问控制政策主体和客体的敏感标记由等级分类
和非等级类别构成
对于任意两个有效的敏感标记它们之间的关系必是以下情况
之一1两个敏感标记相等2一个敏感标记大于另一个敏感标
记3两个敏感标记不可比较这些关系由以下规则确定
规则一如果两个敏感标记的等级分类相等且非等级类别集合
也相等则这两个敏感标记相等
规则二如果以下条件之一成立则敏感标记A大于敏感标记
B
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
13
1A的等级分类大于B的等级分类且A的非等级类别集合等于
B的非等级类别集合
2A的等级分类等于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
3A的等级分类大于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
规则三如果两个敏感标记不相等且哪一个敏感标记都不大于
另一个敏感标记则这两个敏感标记不可比较
红旗安全操作系统的强制访问控制机制根据以下原则实行强制
访问控制
1如果主体的敏感标记大于或等于客体的敏感标记则允许读
操作
2如果客体的敏感标记大于或等于主体的敏感标记则允许写
操作
3如果主体A的敏感标记大于或等于主体B的敏感标记则允
许信息从主体B流向主体A如管道操作
4如果主体的敏感标记等于客体的敏感标记则主体可以在客
体中创建新的客体新客体的敏感标记不小于父客体的敏感标记
5如果主体时客体的可信主体确定的信息流动可以得到授权
而不受以上所限
6不满足以上规定的任何条件的信息流动必须禁止
7信息流向的两端的敏感标记不可比时信息流动必须禁止
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
14
系统内外的数据交换
为实现强制访问控制红旗安全操作系统给数据增加了敏感标
记属性在红旗安全操作系统操作系统与外界交换数据时需要对相
应的敏感标记进行正确的处理把系统内的数据传到系统外称为数
据导出把系统外的数据传到系统内称为数据导入
导出非标记用户数据即不带敏感标记的用户数据时红旗
安全操作系统的MAC机制实施如下控制
1保证不导出与该用户数据关联的安全属性
2用于导出不带安全属性的数据的设备不能用于导出带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
导出标记用户数据即带敏感标记的用户数据时红旗安全
操作系统的MAC机制实施如下控制
1同时导出与该用户数据关联的安全属性
2当数据以用户可理解的格式即可打印的格式导出时
3被授权的管理员应能够为那些与数据相关联的敏感标记指定
可打印的标记
4每个打印作业的头部和尾部应该标上一个可打印的标记该
标记是在打印作业中导出的所有数据的敏感度的最小上界标记的
可打印形式每一个打印输出页上应该标上一个可打印的标记该标
记是导出到该页的所有数据的敏感度的最小上界标记的可打印形
式
5用于导出带有安全属性的数据的设备不能用于导出不带安全
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
15
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
6用于导出带有安全属性的数据的程序应完整地把安全属性与
相应数据关联起来
导出非标记用户数据时红旗安全操作系统的MAC机制实施如
下控制
1保证不会导入与该数据关联的任何安全属性
2用于导入不带安全属性的数据的设备不能用于导入带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
3导入不关联MAC标记的数据时给数据标上红旗安全操作
系统能处理的数据的最大MAC标记
4导入不关联DAC属性的数据时给数据标上数据导入者的
DAC属性
导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控
制
1导入与标记用户数据相关联的安全属性
2用于导入带有安全属性的用户数据的设备不能用于导入不带
安全属性的数据除非设备状态的改变是手工进行的并且是可以审计
的
3基于标识的安全属性与红旗安全操作系统使用的安全属性一
致
4如果数据含有红旗安全操作系统无法理解的敏感标记但红
旗安全操作系统知道数据导入源使用的标记设置系统则红旗安全操
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
16
作系统以自己的表示形式给数据置以等同的敏感标记
5如果数据含有红旗安全操作系统无法理解的敏感标记而且
红旗安全操作系统不知道数据导入源使用的标记设置系统则该数据
被当作没有敏感标记的数据处理
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
17
五安全审计
主体和客体的标识
主体指用户或代表用户进行操作的进程每个用户以其用户标
识号表示用户进程含有进程属主号即运行此进程的用户标识号
这样可以把主体标识统一到用户标识用户也可以被增删但增删用
户这种行为也被审计在审计记录中详细登记用户及其参数的变化情
况这样可以保证审计记录中的事件与事件的发起者的正确关联
客体因类型不同有不同的标识方法审计子系统现只处理三种
客体文件或目录设备用户设备使用主设备号和次设备号标识
同时附加设备的属性数据以指出设备的类型块设备或字符设备
文件和目录可以使用相同的标识方法可以使用他们所在的设备的标
识和在此设备上节点号标识同时也附加属性数据以标志文件或目
录作为客体的用户也使用与主体相同的标识方法
审计事件的标识
所有的审计事件构成的集合称为事件全集在审计子系统中
为每一个审计事件分配一个标识号一个正整数事件标识号的范
围为[1AU_MAX_EVENT_IDAU_EVENT_NONE=0不是一
个有效的事件标识事件标识号小于0的审计记录是其事件标识号的
绝对值对应审计记录的后续记录
审计子系统给出了每一个事件标识号的符号定义同时为方便
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
18
使用还定义了相应的事件名称字符串管理员可以随意使用二
者之一
审计子系统为主体和不同类型的客体分别定义了不同的事件集
合主体的事件集合等于事件全集客体的审计事件集合是事件全集
中可以作用于该类客体的事件子集为方便使用在客体的审计事件
集中对事件进行了重新标识包括标识符和事件名称
发行文件中包含了所有事件在各个事件集中的标识号和名称
事件向量
在审计子系统中一个主体或客体可能关联一组需要审计的事
件主体关联的事件组成此主体发出的且需要审计的事件集合客体
关联的事件构成发生在此客体上的且需审计的事件集合
在审计配置中事件集合用位示图表示此位示图称为向量
向量中的所有位bit按由低到高的顺序从0开始编号称为位号
向量中的某一位对应于事件集合中标识号等于该位位号的那个事件
当向量的某位为1时表示对应的事件需要审计否则无需审计因
为没有标识号为0的事件故向量的最低位没有意义可以为任意值
主体的事件集合与客体的事件集合不同主体事件集合等于审
计子系统所定义的可审计事件全集用256位的向量表示客体的事
件集合只包含可能发生在该类客体上的事件是事件全集的子集文
件和目录的事件集合用16位的向量表示设备和用户作为客体
的事件集合都表示为8位的向量
红旗安全操作系统V1.0技术白皮书中科红旗软件技术有
19
审计规则
审计子系统定义了无条件审计全局审计主体审计安全范
围审计和客体审计等五种审计规则并顺序编号称为规则号优
先级按所列顺序由高降到低这五种规则取逻辑或的关系即某一事
件只要满足其一就应审计
无条件审计的事件内嵌于审计子系统内部审计员不能设定
审计员应设定需要全局性审计的事件集合设定一个安全标记范围以
审计发生在此范围内的所有客体上的事件并有选择地为某些客主体
和客体单独设定审计事件集
审计配置的设定
审计配置工具有文本配