紅旗安全操作系統
功能服務器版
技術白皮書
中科紅旗軟件技術有限公司
紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
1
紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
2
目錄
一概述述...........3
二身份標識與鑒別別.......................................................................5
用戶身份標_5
用戶身份鑒_5
用戶口令強_6
用戶與進程的關聯...............................................................6
三自主訪問控制制.......................................................................................8
自主訪問控制原則..........................................................................................8
訪問控制表ACL 原理....................................................................................9
ACL 信息的管理......................................................................................10
四強制訪問控制制..........................................................................12
強制訪問控制功能...............................................................................12
系統內外的數據交換.......................................................................14
五安全審計計.17
主體和客體的標識..............................................................17
審計事件的標識.................................................................................17
事件向量.....18
審計規則.....19
審計配置的設定................................................................................19
審計空間溢出策略............................................................................20
審計查看.....20
審計數據的安全.................................................................................21
六安全管理理.22
安全屬性管理......................................................................................22
審計管理.....23
鑒別數據管理.................................................................................23
角色管理.....23
紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
3
一概述
在計算機系統中從最底端的硬件層到最頂端的應用軟件層 每個層次上的成分在安全性方面起著不同的作用安全操作系統中旨 在為上層軟件提供基本的安全支持紅旗安全操作系統的當前版本主 要從增強的身份標識與鑒別細化的自主訪問控制特權用戶職責劃 分強制訪問控制審計跟蹤以及安全管理等方面增強基本安全功 能支持 增強的身份標識與鑒別通過強化的口令管理增強用戶身份的 標識和鑒別更有效地防止攻擊者通過破解口令的方法侵入系統細 化的自主訪問控制把自主訪問控制的控制權制約能力細化到單個用 戶更有效地實行系統資源的自主訪問控制保護特權用戶職責劃分 削弱超級用戶的權力設立系統管理員系統安全員系統審計員 防止攻擊者利用一個特權用戶的身份獲得對整個系統的控制強制訪 問控制以Bell&LaPadula 安全模型為基礎對信息流實施強制訪問控 制支持系統客體和主體的等級分類和非等級類別劃分提供具有不 同密級的信息和資源的保護審計跟蹤以事件為驅動記錄觸發審計 事件發生的各種行為允許系統審計員設定需審計的事件提供靈活 的審計記錄檢索和查看功能安全管理以前面各項基本機制為基礎 維護整個系統的安全性 紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
4
訪問控制
強制訪問控制
傳統Linux權限控制
訪問控制表控制
安全屬性信息
審計記錄信息
資源
用戶進程
用
戶
身
份
鑒
別
圖1 紅旗安全操作系統訪問控制原理
紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
5
二身份標識與鑒別
為確保系統的安全必須對系統中的每一用戶進行有效的標識 與鑒別為此紅旗安全操作系統系統給每個用戶提供的與安全有關 的屬性有用戶身份標識用戶名及其UID 組屬關系用戶所擁 有及所屬的組鑒別數據用戶口令用戶的敏感標記包括安全 等級和非等級類別安全相關角色等
用戶身份標識
紅旗安全操作系統系統提供對用戶進行身份標識的機制即系 統給每一用戶分配一個唯一的標識此處為用戶名和用戶ID 此機 制實現了如下的功能 在用戶的身份被標識之前系統允許用戶從系統中獲得身份標 識提示以幫助用戶進行身份標識即輸入用戶名但此提示不會降 低系統的安全性在允許用戶從事任何由系統仲裁的除身份標識之外 的其他活動之前系統要求每個用戶必須成功地通過身份標識即是
系統中已經存在的用戶否則不予處理
用戶身份鑒別
在用戶成功的通過系統的身份標識以後系統要鑒別此用戶身 份的合法性即對注冊用戶輸入的口令進行驗證紅旗安全操作系統 系統提供的用戶身份鑒別機制實現了如下的功能 在用戶被鑒別之前用戶可以從系統中獲得提示性的鑒別信息 紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
6
在鑒別的進行過程中系統只向用戶提供模糊的反饋信息而這些提 示性的鑒別信息和模糊的反饋信息都不會降低系統的保密性在系
統允許用戶從事任何由系統仲裁的除身份鑒別以外的其他活動之前 系統要求每個用戶必須成功地通過鑒別否則不予處理這些活動
用戶口令強度
紅旗安全操作系統系統提供的用戶口令的保護機制可以確保 用戶口令的安全性達到以下要求 隨機試探口令鑒別機制一次試探可能成功的概率小於百萬分 之一如果在一分鐘內的多次使用試探系統保證隨機試探可能成功的概率小於十萬分之一在口令鑒別機制被試探使用期間系統給出的任何反饋信息都不會導致試探成功的概率的高於上述尺度
用戶與進程的關聯
在系統中代表用戶進行工作的是此用戶產生的進程為保證系統的安全性可靠性保證用戶行為的可審計性紅旗安全操作系統系統把以下的用戶安全屬性與代表用戶工作的進程關聯起來與可審計事件關聯的用戶身份標識用於實施自主訪問控制政 策的用戶標識用於實施自主訪問控制政策的組屬關系用於實施強 制訪問控制政策的敏感標記此敏感標記由等級分類和非等級類別構 成.當用戶注冊進系統時紅旗安全操作系統系統提供的機制遵循 紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
7
以下規則來建立用戶安全屬性與代表用戶工作的進程間的初始關聯 與進程關聯的敏感標記應在用戶的敏感標記的范圍內即不能
超越用戶的敏感標記代表用戶工作的進程在被創建時即用戶登錄 時與用戶的安全屬性進行初始關聯關聯方式如下
首先對於用戶注冊時創建的進程此進程產生的可審計事件
中用戶標識必須等於產生此進程的注冊用戶的標識進程中對應的
用於實施自主訪問控制政策的用戶標識等於產生此進程的注冊用戶
的標識進程中對應的用於實施自主訪問控制政策的組屬關系由注冊
用戶指定指定的組必須是用戶所屬的組如果用戶不指定則取缺
省值缺省值靜態確定進程中對應的用於實施強制訪問控制政策的
敏感標記由注冊用戶指定如果用戶不指定則取缺省值缺省值靜
態確定
其次非注冊階段一個進程創建另外一個進程時子進程繼承
父進程所關聯的安全屬性
對於與代表用戶工作的進程關聯的用戶安全屬性的修改系統
用以下的規則加以限制
禁止修改與可審計事件關聯的用戶標識在得到目標用戶許可
的情況下可把用於實施自主訪問控制政策的用戶標識改變為目標用
戶的標識在得到目標組的用戶許可的情況下可把用於實施自主訪
問控制政策的組屬關系改變為目標組用於實施強制訪問控制政策的
敏感標記只能由被授權的安全管理員修改
紅旗安全操作系統V1.0 技術白皮書中科紅旗軟件技術有
8
三自主訪問控制
在紅旗安全操作系統中實施訪問控制是為了保證系統資源受
控合法地使用訪問控制是指控制系統中的主體如進程對系統
中的客體如文件目錄等的訪問如讀寫和執行等用戶只
能根據自己的權限大小來訪問系統資源不得越權訪問紅旗安全操
作系統實現的訪問控制支持有2 種自主訪問控制強制訪問控制
自主訪問控制DAC 是指主體對客體的訪問權限是由客體的
屬主或超級用戶決定的而且此權限一旦確定將作為以後判斷主體
對客體是否有以及有什麼權限的唯一依據只有客體的屬主或超級用
戶才有權更改這些權限
傳統Linux 系統提供DAC支持控制粒度為客體的擁有者屬
組和其他人紅旗安全操作系統引入了訪問控制表ACL 把訪問
控制的粒度細化到可以對任意指定的用戶授權或禁止訪問
自主訪問控制原則
紅旗安全操作系統依據如下因素實施自主訪問控制政策
1 用戶身份標識和組屬關系,它們與主體關聯
2 對客體的各類訪問權限讀寫執行或空訪問權限
這樣以主體S 為列以客體O 為行以訪問權限A
為元素就組成了實施自主訪問的訪問矩陣(S,O,A)