红旗安全操作系统技术白皮书.docx

红旗安全操作系统技术白皮书.docx

《红旗安全操作系统技术白皮书.docx》由会员分享，可在线阅读，更多相关《红旗安全操作系统技术白皮书.docx（32页珍藏版）》请在冰点文库上搜索。

红旗安全操作系统技术白皮书

红旗安全操作系统功能服务器版技术白皮书中科红旗软件技术有限公司红旗安全操作系统V1.0技术白皮书中科红旗软件技术有1红旗安全操作系统V1.0技术白皮书中科红旗软件技术有2目录一概述述...........3二身份标识与鉴别别.......................................................................5用户身

红旗安全操作系统

功能服务器版

技术白皮书

中科红旗软件技术有限公司

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

1

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

2

目录

一概述述...........3

二身份标识与鉴别别.......................................................................5

用户身份标_5

用户身份鉴_5

用户口令强_6

用户与进程的关联...............................................................6

三自主访问控制制.......................................................................................8

自主访问控制原则..........................................................................................8

访问控制表ACL原理....................................................................................9

ACL信息的管理......................................................................................10

四强制访问控制制..........................................................................12

强制访问控制功能...............................................................................12

系统内外的数据交换.......................................................................14

五安全审计计.17

主体和客体的标识..............................................................17

审计事件的标识.................................................................................17

事件向量.....18

审计规则.....19

审计配置的设定................................................................................19

审计空间溢出策略............................................................................20

审计查看.....20

审计数据的安全.................................................................................21

六安全管理理.22

安全属性管理......................................................................................22

审计管理.....23

鉴别数据管理.................................................................................23

角色管理.....23

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

3

一概述

在计算机系统中从最底端的硬件层到最顶端的应用软件层每个层次上的成分在安全性方面起着不同的作用安全操作系统中旨在为上层软件提供基本的安全支持红旗安全操作系统的当前版本主要从增强的身份标识与鉴别细化的自主访问控制特权用户职责划分强制访问控制审计跟踪以及安全管理等方面增强基本安全功能支持增强的身份标识与鉴别通过强化的口令管理增强用户身份的标识和鉴别更有效地防止攻击者通过破解口令的方法侵入系统细化的自主访问控制把自主访问控制的控制权制约能力细化到单个用户更有效地实行系统资源的自主访问控制保护特权用户职责划分削弱超级用户的权力设立系统管理员系统安全员系统审计员防止攻击者利用一个特权用户的身份获得对整个系统的控制强制访问控制以Bell&LaPadula安全模型为基础对信息流实施强制访问控制支持系统客体和主体的等级分类和非等级类别划分提供具有不同密级的信息和资源的保护审计跟踪以事件为驱动记录触发审计事件发生的各种行为允许系统审计员设定需审计的事件提供灵活的审计记录检索和查看功能安全管理以前面各项基本机制为基础维护整个系统的安全性红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

4

访问控制

强制访问控制

传统Linux权限控制

访问控制表控制

安全属性信息

审计记录信息

资源

用户进程

用

户

身

份

鉴

别

图1红旗安全操作系统访问控制原理

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

5

二身份标识与鉴别

为确保系统的安全必须对系统中的每一用户进行有效的标识与鉴别为此红旗安全操作系统系统给每个用户提供的与安全有关的属性有用户身份标识用户名及其UID组属关系用户所拥有及所属的组鉴别数据用户口令用户的敏感标记包括安全等级和非等级类别安全相关角色等

用户身份标识

红旗安全操作系统系统提供对用户进行身份标识的机制即系统给每一用户分配一个唯一的标识此处为用户名和用户ID此机制实现了如下的功能在用户的身份被标识之前系统允许用户从系统中获得身份标识提示以帮助用户进行身份标识即输入用户名但此提示不会降低系统的安全性在允许用户从事任何由系统仲裁的除身份标识之外的其他活动之前系统要求每个用户必须成功地通过身份标识即是

系统中已经存在的用户否则不予处理

用户身份鉴别

在用户成功的通过系统的身份标识以后系统要鉴别此用户身份的合法性即对注册用户输入的口令进行验证红旗安全操作系统系统提供的用户身份鉴别机制实现了如下的功能在用户被鉴别之前用户可以从系统中获得提示性的鉴别信息红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

6

在鉴别的进行过程中系统只向用户提供模糊的反馈信息而这些提示性的鉴别信息和模糊的反馈信息都不会降低系统的保密性在系

统允许用户从事任何由系统仲裁的除身份鉴别以外的其他活动之前系统要求每个用户必须成功地通过鉴别否则不予处理这些活动

用户口令强度

红旗安全操作系统系统提供的用户口令的保护机制可以确保用户口令的安全性达到以下要求随机试探口令鉴别机制一次试探可能成功的概率小于百万分之一如果在一分钟内的多次使用试探系统保证随机试探可能成功的概率小于十万分之一在口令鉴别机制被试探使用期间系统给出的任何反馈信息都不会导致试探成功的概率的高于上述尺度

用户与进程的关联

在系统中代表用户进行工作的是此用户产生的进程为保证系统的安全性可靠性保证用户行为的可审计性红旗安全操作系统系统把以下的用户安全属性与代表用户工作的进程关联起来与可审计事件关联的用户身份标识用于实施自主访问控制政策的用户标识用于实施自主访问控制政策的组属关系用于实施强制访问控制政策的敏感标记此敏感标记由等级分类和非等级类别构成.当用户注册进系统时红旗安全操作系统系统提供的机制遵循红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

7

以下规则来建立用户安全属性与代表用户工作的进程间的初始关联与进程关联的敏感标记应在用户的敏感标记的范围内即不能

超越用户的敏感标记代表用户工作的进程在被创建时即用户登录时与用户的安全属性进行初始关联关联方式如下

首先对于用户注册时创建的进程此进程产生的可审计事件

中用户标识必须等于产生此进程的注册用户的标识进程中对应的

用于实施自主访问控制政策的用户标识等于产生此进程的注册用户

的标识进程中对应的用于实施自主访问控制政策的组属关系由注册

用户指定指定的组必须是用户所属的组如果用户不指定则取缺

省值缺省值静态确定进程中对应的用于实施强制访问控制政策的

敏感标记由注册用户指定如果用户不指定则取缺省值缺省值静

态确定

其次非注册阶段一个进程创建另外一个进程时子进程继承

父进程所关联的安全属性

对于与代表用户工作的进程关联的用户安全属性的修改系统

用以下的规则加以限制

禁止修改与可审计事件关联的用户标识在得到目标用户许可

的情况下可把用于实施自主访问控制政策的用户标识改变为目标用

户的标识在得到目标组的用户许可的情况下可把用于实施自主访

问控制政策的组属关系改变为目标组用于实施强制访问控制政策的

敏感标记只能由被授权的安全管理员修改

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

8

三自主访问控制

在红旗安全操作系统中实施访问控制是为了保证系统资源受

控合法地使用访问控制是指控制系统中的主体如进程对系统

中的客体如文件目录等的访问如读写和执行等用户只

能根据自己的权限大小来访问系统资源不得越权访问红旗安全操

作系统实现的访问控制支持有2种自主访问控制强制访问控制

自主访问控制DAC是指主体对客体的访问权限是由客体的

属主或超级用户决定的而且此权限一旦确定将作为以后判断主体

对客体是否有以及有什么权限的唯一依据只有客体的属主或超级用

户才有权更改这些权限

传统Linux系统提供DAC支持控制粒度为客体的拥有者属

组和其他人红旗安全操作系统引入了访问控制表ACL把访问

控制的粒度细化到可以对任意指定的用户授权或禁止访问

自主访问控制原则

红旗安全操作系统依据如下因素实施自主访问控制政策

1用户身份标识和组属关系,它们与主体关联

2对客体的各类访问权限读写执行或空访问权限

这样以主体S为列以客体O为行以访问权限A

为元素就组成了实施自主访问的访问矩阵（S,O,A）

红旗安全操作系统依据如下规则实施自主访问控制

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

9

1当主体的用户标识和客体的访问控制属性中指定的用户标识

相匹配并且所执行的操作包含在访问控制属性中时允许该操作

2当主体的组属关系匹配客体的访问控制属性中指定的组标

识并且相应操作包含在访问控制属性中时允许该操作

3如果用户身份和组属关系都不匹配当相应操作包含在客体

的缺省访问控制属性中时该操作允许进行

另外红旗安全操作系统根据以下附加规则进行明确授权和拒

绝

1被授权的系统维护员可授权自己对客体的访问从而不受客

体访问控制属性的限制

2置客体的某个访问控制属性为空即可以封锁主体对该客体

的相应访问

访问控制表ACL原理

红旗安全操作系统的自主访问控制是在传统Linux的自主访问

控制的基础之上对自主访问控制的进一步强化在传统Linux的自

主访问控制中对某一文件/目录及设备具有权限的用户只能是文件/

目录及设备属主与属主同组的用户以及其他组的用户而不能细化

到其他某一具体用户而且用户对文件/目录及设备的权限仅限于

读写和执行而不能进一步细化

在红旗安全操作系统中ACL的基本思想可用图2的形式描述

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

10

在图2中客体包括系统中的文件目录特殊设备文件IPC

等主体包括用户和用户组

从图中可以看到ACL信息是以客体为索引把所有对某一客

体拥有访问权限的主体及其访问权限都组合在一起与此客体关联

如果要对某一访问请求进行判断的话则首先要找到被访问的客体

然后再在此客体所关联的主体中查找有无此请求所包含的主体最

后再在此主体的访问权限序列中检查有无此请求所需要的访问权

限如果有此权限则此请求是合法的

ACL信息的管理

红旗安全操作系统所提供的自主访问控制并没有影响传统

Linux的自主访问控制传统Linux的自主访问控制在红旗安全操作

系统的自主访问控制中继续其作用要让自主访问控制在红旗安全操

作系统系统中起作用需要协调配置传统Linux的自主访问控制和红

旗安全操作系统中的自主访问控制如要决定用户对文件/目录及设

备是否拥有某种操作的权限首先要判断这种请求是否满足传统

Linux的自主访问控制然后再判断是否满足红旗安全操作系统中的

自主访问控制只有两者都满足才能算该用户拥有对此文件进行这

图2ACL的基本表示形式

客体客体客体

主体权限主体权限主体权限

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

11

种操作的权限

当然可以关闭红旗安全操作系统的自主访问控制功能仅让

传统Linux的自主访问控制起作用但我们无法关闭传统Linux的自

主访问控制

对系统中的ACL信息系统采取特殊的措施加以保护只有客

体的属主和被授权的用户才有权对ACL信息加以修改并且这种

修改同样是作为一种请求发出的要受到ACL控制策略的控制即

只有那些具有修改客体的ACL信息权限的主体才能对此客体的ACL

信息进行修改

红旗安全操作系统系统提供专门的管理工具对ACL信息进行

管理客体的属主可以对其他用户对此客体的访问权限进行管理被

授权的用户可以管理被授权客体的ACL信息系统的安全管理员可

以对所有的ACL信息进行管理

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

12

四强制访问控制

强制访问控制MAC是由安全管理员按照安全政策将主体和

客体赋予不同的安全标记然后根据主体和客体的安全标记来决定访

问模式如可以分为绝密级机密极秘密级无密级等这样就可

以利用向下读向上写来保证数据的保密性并且通过这种梯度安全

标记实现信息的单向流通传统Linux系统没有MAC支持红旗安

全操作系统提供了MAC机制

红旗安全操作系统不仅考虑了对系统内的信息流动的访问控

制还考虑了对系统与外部系统间信息流动的访问控制

强制访问控制功能

红旗安全操作系统依据主体的敏感标记以及承载信息的客体的

敏感标记实施强制访问控制政策主体和客体的敏感标记由等级分类

和非等级类别构成

对于任意两个有效的敏感标记它们之间的关系必是以下情况

之一1两个敏感标记相等2一个敏感标记大于另一个敏感标

记3两个敏感标记不可比较这些关系由以下规则确定

规则一如果两个敏感标记的等级分类相等且非等级类别集合

也相等则这两个敏感标记相等

规则二如果以下条件之一成立则敏感标记A大于敏感标记

B

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

13

1A的等级分类大于B的等级分类且A的非等级类别集合等于

B的非等级类别集合

2A的等级分类等于B的等级分类且A的非等级类别集合是B

的非等级类别集合的真超集

3A的等级分类大于B的等级分类且A的非等级类别集合是B

的非等级类别集合的真超集

规则三如果两个敏感标记不相等且哪一个敏感标记都不大于

另一个敏感标记则这两个敏感标记不可比较

红旗安全操作系统的强制访问控制机制根据以下原则实行强制

访问控制

1如果主体的敏感标记大于或等于客体的敏感标记则允许读

操作

2如果客体的敏感标记大于或等于主体的敏感标记则允许写

操作

3如果主体A的敏感标记大于或等于主体B的敏感标记则允

许信息从主体B流向主体A如管道操作

4如果主体的敏感标记等于客体的敏感标记则主体可以在客

体中创建新的客体新客体的敏感标记不小于父客体的敏感标记

5如果主体时客体的可信主体确定的信息流动可以得到授权

而不受以上所限

6不满足以上规定的任何条件的信息流动必须禁止

7信息流向的两端的敏感标记不可比时信息流动必须禁止

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

14

系统内外的数据交换

为实现强制访问控制红旗安全操作系统给数据增加了敏感标

记属性在红旗安全操作系统操作系统与外界交换数据时需要对相

应的敏感标记进行正确的处理把系统内的数据传到系统外称为数

据导出把系统外的数据传到系统内称为数据导入

导出非标记用户数据即不带敏感标记的用户数据时红旗

安全操作系统的MAC机制实施如下控制

1保证不导出与该用户数据关联的安全属性

2用于导出不带安全属性的数据的设备不能用于导出带有安全

属性的数据除非设备状态的变化是手工调整的并且是可以审计的

导出标记用户数据即带敏感标记的用户数据时红旗安全

操作系统的MAC机制实施如下控制

1同时导出与该用户数据关联的安全属性

2当数据以用户可理解的格式即可打印的格式导出时

3被授权的管理员应能够为那些与数据相关联的敏感标记指定

可打印的标记

4每个打印作业的头部和尾部应该标上一个可打印的标记该

标记是在打印作业中导出的所有数据的敏感度的最小上界标记的

可打印形式每一个打印输出页上应该标上一个可打印的标记该标

记是导出到该页的所有数据的敏感度的最小上界标记的可打印形

式

5用于导出带有安全属性的数据的设备不能用于导出不带安全

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

15

属性的数据除非设备状态的变化是手工调整的并且是可以审计的

6用于导出带有安全属性的数据的程序应完整地把安全属性与

相应数据关联起来

导出非标记用户数据时红旗安全操作系统的MAC机制实施如

下控制

1保证不会导入与该数据关联的任何安全属性

2用于导入不带安全属性的数据的设备不能用于导入带有安全

属性的数据除非设备状态的变化是手工调整的并且是可以审计的

3导入不关联MAC标记的数据时给数据标上红旗安全操作

系统能处理的数据的最大MAC标记

4导入不关联DAC属性的数据时给数据标上数据导入者的

DAC属性

导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控

制

1导入与标记用户数据相关联的安全属性

2用于导入带有安全属性的用户数据的设备不能用于导入不带

安全属性的数据除非设备状态的改变是手工进行的并且是可以审计

的

3基于标识的安全属性与红旗安全操作系统使用的安全属性一

致

4如果数据含有红旗安全操作系统无法理解的敏感标记但红

旗安全操作系统知道数据导入源使用的标记设置系统则红旗安全操

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

16

作系统以自己的表示形式给数据置以等同的敏感标记

5如果数据含有红旗安全操作系统无法理解的敏感标记而且

红旗安全操作系统不知道数据导入源使用的标记设置系统则该数据

被当作没有敏感标记的数据处理

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

17

五安全审计

主体和客体的标识

主体指用户或代表用户进行操作的进程每个用户以其用户标

识号表示用户进程含有进程属主号即运行此进程的用户标识号

这样可以把主体标识统一到用户标识用户也可以被增删但增删用

户这种行为也被审计在审计记录中详细登记用户及其参数的变化情

况这样可以保证审计记录中的事件与事件的发起者的正确关联

客体因类型不同有不同的标识方法审计子系统现只处理三种

客体文件或目录设备用户设备使用主设备号和次设备号标识

同时附加设备的属性数据以指出设备的类型块设备或字符设备

文件和目录可以使用相同的标识方法可以使用他们所在的设备的标

识和在此设备上节点号标识同时也附加属性数据以标志文件或目

录作为客体的用户也使用与主体相同的标识方法

审计事件的标识

所有的审计事件构成的集合称为事件全集在审计子系统中

为每一个审计事件分配一个标识号一个正整数事件标识号的范

围为[1AU_MAX_EVENT_IDAU_EVENT_NONE=0不是一

个有效的事件标识事件标识号小于0的审计记录是其事件标识号的

绝对值对应审计记录的后续记录

审计子系统给出了每一个事件标识号的符号定义同时为方便

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

18

使用还定义了相应的事件名称字符串管理员可以随意使用二

者之一

审计子系统为主体和不同类型的客体分别定义了不同的事件集

合主体的事件集合等于事件全集客体的审计事件集合是事件全集

中可以作用于该类客体的事件子集为方便使用在客体的审计事件

集中对事件进行了重新标识包括标识符和事件名称

发行文件中包含了所有事件在各个事件集中的标识号和名称

事件向量

在审计子系统中一个主体或客体可能关联一组需要审计的事

件主体关联的事件组成此主体发出的且需要审计的事件集合客体

关联的事件构成发生在此客体上的且需审计的事件集合

在审计配置中事件集合用位示图表示此位示图称为向量

向量中的所有位bit按由低到高的顺序从0开始编号称为位号

向量中的某一位对应于事件集合中标识号等于该位位号的那个事件

当向量的某位为1时表示对应的事件需要审计否则无需审计因

为没有标识号为0的事件故向量的最低位没有意义可以为任意值

主体的事件集合与客体的事件集合不同主体事件集合等于审

计子系统所定义的可审计事件全集用256位的向量表示客体的事

件集合只包含可能发生在该类客体上的事件是事件全集的子集文

件和目录的事件集合用16位的向量表示设备和用户作为客体

的事件集合都表示为8位的向量

红旗安全操作系统V1.0技术白皮书中科红旗软件技术有

19

审计规则

审计子系统定义了无条件审计全局审计主体审计安全范

围审计和客体审计等五种审计规则并顺序编号称为规则号优

先级按所列顺序由高降到低这五种规则取逻辑或的关系即某一事

件只要满足其一就应审计

无条件审计的事件内嵌于审计子系统内部审计员不能设定

审计员应设定需要全局性审计的事件集合设定一个安全标记范围以

审计发生在此范围内的所有客体上的事件并有选择地为某些客主体

和客体单独设定审计事件集

审计配置的设定

审计配置工具有文本配