操作系统安全测评方法

《操作系统安全测评方法》由会员分享，可在线阅读，更多相关《操作系统安全测评方法（10页珍藏版）》请在装配图网上搜索。

1、操作系统安全评测措施中文摘要 本文重要剖析了安全操作系统及其评测原则，一方面分析其测评原则的设计思想，给出了一般的测评原则，进而提出操作系统的安全测评方案，措施，另一方面以工作单元测评为例，针对该例子，具体分析并给出了其具体的测评措施，最后，提出系统整体测评。核心字 安全操作系统；操作系统安全测评；测评原则；测评措施ABSTRACT This paper mainly analyzes the safety operation system and its evaluation standards, this paper firstly analyzes the evaluation stan

2、dard design ideas, give the general evaluation standard, and puts forward the operating system security evaluation scheme, method, secondly with work unit as an example, this paper evaluates the example, specific analysis and gives the specific assessment methods, Finally, the overall assessment sys

3、tem is presented. Key words Safety operation system; Operating system security assessment;Assessment standards; Measuring methods;Fuzzy comprehensive evaluation一、 引 言随着技术进步的加快，特别是国际互联网的浮现和迅速发展，一种全球性的信息社会正在逐渐形成。在信息化的过程中，国家的安全与经济的安全越来越依赖十信息化基本设施的安全限度。保证电子信息的有效性、安全性成为突出问题。信息系统安全设计的核心是操作系统、网络系统与数据库管理系统的

4、安伞问题，没有系统的安全就没有信息的安全，作为系统软件中最基本的就是操作系统，其安全问题是核心中的核心。计算机作为信息时代的基本工具，在给各行各业带来巨大效益的同步，自身也存在着严重的不安全性、危险性和脆弱性。一种有效可靠的操作系统应当对其操控的资源具有良好的保护性能，即应提供必要的保护措施，避免因所用资源的的缺陷而损害系统。事实上，系统的安全机制已成为操作系统不可分割的一部分。操作系统是计算机资源的直接管理者，所有应用软件都是基于操作系统来运营的，可以说操作系统的安全是整个计算机系统安全的基本。操作系统安全性的测弹是实现安全操作系统的一种极为重要的环节，如果不测评、验证所开发操作系统的安全性

5、和该安全性的可信度，那么开发出的安全操作系统的安全性就没有任何保证，从而失去了它应有的应用价值。基于这个局面，我们首要的工作就是要研究开发具有自动知识产权的自动化安全测评系统。操作系统安全测评重要有形式化验证、代码功能块检查、渗入测试等措施。由于目前常用的操作系统体系都是非常庞大复杂的，致使前两种措施的实行有很大难度，因此我们进行操作系统安全测评重要使用渗入测试的措施。在此背景下，人们常用的对操作系统的测评重要依赖主机的或网络的扫描工具通过对系统安全漏洞的检测，根据获得的漏洞信息(例如漏洞的危险度，流行度等等)，综合计算，从而得到操作系统的风险值。二、 正文(一) 安全操作系统及评价原则1、

6、安全操作系统操作系统是唯一紧靠硬件的基本软件，其安全驯能是其她软件安全职能的根基，缺少这个安全的根基，构筑在其上的应用系统以及安垒系统的安全性就得不到主线的保障。单个操作系统以及其上的应用系统的安全是整个安全系统的主线，如果构成互联网的计算机自身系统安全均有问题，那么网络系统和数据库管理系统就同样会存在问题，应用软件信息解决的安全更无从谈起。安全操作系统是在操作系统的工作范畴内，提供尽量强的访问控制和审计机制，在顾客，应用程序和系统硬件资源之间进行符合安全政策调度，限制JE法访问。安全操作系统应具有的特性涉及最小特权原则、带冉AcL自主访问控制、强制访问控制、安全审计和审计管理、安全域隔离、可

7、信通路等。安全测试在设计安全操作系统的过程中是一种小可或缺的重要环节，对安全操作系统的测试一r以评测设计出的安全操作系统的安全性和该安全性的可信度与否达到预期的原则，安全测试的精确与否直接关系到设计的安全操作系统的性能及其应用价值。2、 设计细想安全测评是指由具有检查技术能力的第三方机构，根据有关原则或技术规范，按照严格程序对信息系统的安全保障能力进行的综合测试评估活动。原则是测评的灵魂。安全原则提供了每一种安全级别所相应的安全功能的技术规定, 但是, 由于各个操作系统具有不同的实现, 安全原则不也许制定出明确、具体的工程技术指标,而只能是一种综述性的阐明。同步, 由于操作系统构造复杂, 那种

8、根据安全原则进行对照检查式的侧评措施不可行, 安全测评的技术难度在于如何设计从原则到测试用例的映射关系。对操作系统的安全测评就是检查安全机制与否完整地实现了安全方略。操作系统自下而上分为几种层次, 每个层次体现不同的功能抽象限度。安全机制在操作系统每个层次上的制约作用均有不同的体现形式，因此安全测评要在各层次上展开) 先测试单个组件, 然后将这些组件集成到子系统中, 直到测试完整个系统。一方面是底层测试即单元级测试,目的是系统底层安全有关的某些单元,例如顾客命令、系统调用、系统库程序等, 目的是为了验证它们的功能实现与否符合安全方略, 如果发现其违背了安全机制, 则可以拟定系统存在安全漏洞。例

9、如顾客命令mail用于邮件管理􀀂 在强制访问控制机制下, 严禁信息从高安全级别流向低安全级别􀀂如果高安全级别的顾客进程使用该命令将邮件成功发给低安全级别的邮箱,就违背了安全方略, 导致了泄密。更高层次的测试在子系统级展开。操作系统由文献、网络、进程等几种子系统所构成, 各子系统实现不同的功能以满足不同的衡求, 并且各子系统互相配合以形成一种有机的整体,只有当所有子系统的测试都成功时,才干阐明操作系统通过了整个安全测评。子系统安全测试的目的是各子系统中常用的系统调用, 验证措施是检测它们的使用与否符合安全方略。此外, 预测试也是必要的。虽然安全测试只关注安全性

10、, 而不关怀可用性, 但是由于测试套件要在被测操作系统中运营, 每个测试用例的运营都裕要满足特定的条件。因此, 必须预先对操作系统的常用功能进行验证,以保证整个测试活动可以顺利进行。例如, 安全审计机制需要系统的记录命令的支持, 在测试审计机制之前就要对记录命令进行功能性测试。3、 安全操作系统测评原则在操作系统测评中，原则的作用重要有两个一是通过原则的规定。使得不同测试者对不同测试对象有统一的评价，有统一衡量的标度；二是通过原则的规定，使测试的范畴及限度更加全面。近年来TcSEc评估准则始终是人们用来设计安全操作系统的上要参照原则，因此它也始终是评估多顾客主机和小型操作系统的重要措施。按照T

11、csEc柴测试系统的安全性，重要涉及硬件和软件两部分。整个测试过程对生产厂商来说是很昂贵的，并且往往需几年才干完毕f21。橘皮书是目前国际上颇具权威的计算机系统安全原则之一，它将计算机系统的安全性能由高而低划分为A、B和C，D四大级别，较高级别的安全范畴涵盖较低档别的安全范畴，其中：D、 最低保护(Minimal Protection)，凡没有通过其她安全级别测试项曰的系统即属于该级，如lBMPc、Apple Macintosh等。C、自定式保护(Discretionary Protection)，该级别的安全特点在于系统的对象(如文献、目录)可由其主题(如系统管理员、顾客、应用程序)自定义访

12、问权。例如管理员可以决定某个文献仪容许某一特定顾客读取、另一顾客写入等，unix、windowsNT等系统属于该级别。B、一强制式保护(Mandatory Protection)，该级别的安全特点在于系统强制的安全保护，在强制式保护模式中，每个系统对象(如文献、目录等资源)及主题(如系统管理员、顾客、应用程序)均有自己的安全标签(security Label)，系统根据顾客的安垒级别赋予她对各对象的访问权限。A 、可验证保护(Vermed Protection)，其特点在于系统拥有正式的分析及数学式措施可完全证明该系统的安拿方略及安全规格的完整性与一致性。橘皮书对操作系统安全级别的划分只是给出

13、了一种最后的实现目的，并没有从实现措施上予以规定，这就导致了在安全操作系统的测试问题上的盲目性和不规范性，而国外的测试措施和备级别的测试原则又是保密的，因此，尽快摸索出一套自己的对于安全操作系统测试的措施和环节是有必要的。4、 设计思想(二) 操作系统安全评测方案及措施1、 安全操作系统评测方案系统调用是操作系统提供应顾客的唯一接口，顾客可运用它执行系统功能，进行设备管理、文献管理、进程控制、进程通信、存储管理和线程管理的相应操作，同样，顾客也可以运用系统调用的漏洞和不完善性对操作系统进行袭击和破坏”，因此，各个系统调用的安全性就直接关系到安垒操作系统的整体的安全性。由此可见，对安全操作系统的

14、测试一方面就是对安全操作系统中各个系统调用安全的测试。根据应用软件的测试原则，本文提出对系统调用的测试，分为如下5个环节：(1)明确测试对象，即要针对哪一种或几种系统调用进行测试，并看待测系统调用的运营机制和多种不同的运营成果力求以进一步r解；(2)明确测试日的，根据所选测试对象的小同，测试H的也会随之变化，在对单一的系统调用进行测试时，测试的目的一般是执行系统调用的某些操作，比较成果与否与预期相似，如果同步对几种系统调用进行测试，往往是看其能否协同工作；(3)根据具体的测试对象和测试目的编写测试用例，明确系统调用的初始化变量和参数、执行环节、预期的成果等；(4)进行具体的编码测试；(5)根据

15、成果来分析被测对象与否具有预期的安全性。2、 操作系统安全测评措施2.1 一般措施软件测试过程一般可以分为4个基本阶段，单元测试、集成测试，功能测试和系统测试。单元测试是对构成软件的每个单元进行测试，以确认各个单元能否正常工作。集成测试是在对每个单元的单元测试完毕后，按照设计时做出的构造图，在把软件单元逐渐组装的过程中，同步有序进行的测试。功能测试是检查集成测试中发现的软件接口缺陷与否己经纠正。系统测试是将软件、硬件和环境连在一起进行的垒面的测试，以检查被测软件与需求阐明与否相符。本文针对操作系统的工作单元进行安全测试探讨。2.2 工作单元测评工作单元是安全测评的基本工作单位，相应一组相对独立

16、和完整的测评内容。工作单元由测评项、测评对象测评方式、测评实行和成果鉴定构成，如下图：具体技术和管理规定测评项访谈/检查/测试测评方式人员/文档/机制/设备测评对象测评方式+对象+操作测评实行成果鉴定与否符合测评项规定测评项描述测评目的和测评内容，与操作系统安全级别保护规定的基本安全控制规定相一致。测评方式是指测评人员根据测评目的和测评内容应选用的、实行特定测评操作的方式措施，涉及三种基本测评方式：访谈、检查和测试。测评对象是测评实行过程中波及到的信息系统的构成成分，是客观存在的人员、文档、机制或者设备等。测评对象是根据该工作单元中的测评项规定提出的，与测评项的规定相适应。一般来说，实行测评时

17、，面临的具体测评对象可以是单个人员、文档、机制或者设备等，也也许是由多种人员、文档、机制或者设备等构成的集合，它们分别需要使用到某个特定安全控制的功能。测评实行是工作单元的重要构成部分，它是根据测评目的，针对具体测评内容开发出来的具体测评执行实行过程规定。测评实行描述测评过程中波及到的具体测评方式、内容以及需要实现的结论应当获得的测评成果。成果鉴定描述测评人员执行完测评实行过程，产生多种测评证据后，如何根据这次测评证据来鉴定被测系统与否满足测评项规定的措施和原则。在给出整个工作单元的测评结论前，需要先给出单项测评实行过程的结论。一般来说，单项测评实行过程的结论鉴定不是直接的，常常需要测评人员的

18、主观判断，一般觉得获得对的的、核心性证据，该单项测评实行过程就得到满足。某些安全控制也许在多种具体测评对象上实现(如主机系统的身份鉴别)，在测评时发现只有部分测评对象上的安全控制满足规定，它们的成果鉴定应根据实际状况给出。2.3 测评措施重要采用访谈、检查、测试等措施进行级别保护测评。1)访谈(interview)测评人员通过与信息系统有关人员(个人群体)进行交流、讨论等活动，获取证据以证明信息系统安全级别保护措施与否有效。可以使用各类调查问卷和访谈大纲实行访谈。2)检查(examine)不同于行政执法意义上的监督检查，而是指测评人员通过对测评对象进行观测、查验、分析等活动，获取证据以证明信息

19、系统安全级别保护措施与否有效。可以使用多种检查表和相应的安全调查上具体实行检查。3)测试(test)测评人员通过对测评对象按照预定的措施工具使其产生特定的行为等活动，查看、分析输出成果，获取证据以证明信息系统安全级别保护措施与否有效。涉及功能测试和渗入性测试、系统漏洞扫描等。渗入性测试：级别测评的一种重要内容是对测试目的进行脆弱性分析，探知产品或系统安全脆弱性的存在，其重要目的是拟定测试目的可以抵御具有不同级别袭击潜能的袭击者发起的渗入性袭击。因此，渗入性测试就是在测试目的预期使用环境下进行的测试，以拟定测试目的中潜在的脆弱性的可运用限度2盯。系统漏洞扫描：重要是运用扫描工具对系统进行自动检查

20、，根据漏洞库的描述对系统进行模拟袭击测试，如果系统被成功入侵，阐明存在漏洞。重要分为网络漏洞扫描和主机漏洞扫描等方式。2.4 系统整体测评系统整体测评波及到信息系统的整体拓扑、局部构造，也关系到信息系统的具体安全功能实现和安全控制配备，与特定信息系统的实际状况紧密有关内容复杂且布满系统个性。因此，全面地给出系统整体测评规定的完整内容具体实行措施和明确的成果鉴定措施一般来说是比较困难的。一方面测评人员应根据特定信息系统的具体状况，结合原则规定，拟定系统整体测评的具体内容。另一方面在安全控制测评的基本上，重点考虑安全控制间、层面间以及区域间的互相关联关系，测评安全控制间、层面间和区域间与否存在安全

21、功能上的增强、补充和削弱作用，最后才干得出测评结论。三、 结尾本文通过对安全操作系统及其评测原则的剖析，提出对于一种完整的安全操作系统，可以将其看作是若干个有机的功能模块的集合，并且对于安全操作系统的测试可以视为对安全操作系统每个模块的测试的观点，并将安全操作系统的测试方案归结为明确测试对象、拟定测试目的、编写测试用例、具体测试和分析测试成果5部分，根据测试方案选择适合的测试措施，此外，再针对操作系统的工作单元测试进行进一步地探究，并提出了具体的测试措施和系统整体测试。参照文献1 许友， 陈性元， 唐慧林， 高沛霖， XU YOU， CHEN XINGYUAN， TANG HUILIN， GA

22、O PEILIN，基于原则的系统安全测试指标体系的研究，450004,河南郑州,解放军信息工程大学电子技术学院，23(3)2 魏丕会， 卿斯汉， 黄建，安全操作系统级别评测系统，中国科学院软件研究所;中国科学院信息安全技术工程研究中心,北京,100080，29(22)3 陆幼骊，张红旗，操作系统安全测评系统设计，信息工程大学电子技术学院4 于海亮， 于双元， 马晶燕， YU Hai-liang， YU Shuang-yuan， MA Jing-yan，基于Linux的安全操作系统测试措施研究，北京交通大学,计算机与信息技术学院,北京,100044，15(4)5 林庆富，网络安全评测信息系统的开发与应用，长春理工大学6 沈昌祥，安全操作系统的战略意义J，信息安全与信息保密，(8)：17 林庆富，网络安全评测信息系统的开发与应用，长春理工大学8 陈晨，操作系统安全测评及安全测试自动化的研究，北京交通大学