操作系统安全测评方法

《操作系统安全测评方法》由会员分享，可在线阅读，更多相关《操作系统安全测评方法（12页珍藏版）》请在装配图网上搜索。

1、操作系统统安全评评测方法法中文摘要要本文主主要剖析析了安全操作系系统及其其评测标标准，首首先分析析其测评评标准的的设计思思想，给给出了一一般的测测评标准准，进而而提出操操作系统统的安全全测评方方案，方方法，其其次以工工作单元元测评为为例，针针对该例例子，具具体分析析并给出出了其具具体的测测评方法法，最后，提提出系统统整体测测评。关键字安安全操作作系统；操作系系统安全全测评；测评标标准；测测评方法法ABSTTRACCTThhis papper maiinlyy annalyyzess thhe ssafeety opeerattionn syysteem aand itss evvaluuati

2、ion staandaardss, tthiss paaperr fiirsttly anaalyzzes thee evvaluuatiion staandaard dessignn iddeass, ggivee thhe ggeneerall evvaluuatiion staandaard, annd pputss foorwaard thee opperaatinng ssysttem seccuriity evaaluaatioon sscheeme, meethood, secconddly witth wworkk unnit as an exaamplle, thiis pp

3、apeer eevalluattes thee exxampple, sppeciificc annalyysiss annd ggivees tthe speeciffic asssesssmennt mmethhodss, FFinaallyy, tthe oveeralll aasseessmmentt syysteem iis ppressentted. Key worrdsSaffetyy opperaatioon ssysttem; Opperaatinng ssysttem seccuriity asssesssmennt;Asssesssmenntsttanddardds; M

4、eaasurringgmetthodds;FFuzzzy ccompprehhenssivee evvaluuatiion一、 引言随着技术术进步的的加快，尤尤其是国国际互联联网的出出现和迅迅速发展展，一个个全球性性的信息息社会正正在逐步步形成。在在信息化化的过程程中，国国家的安安全与经经济的安安全越来来越依赖赖十信息息化基础础设施的的安全程程度。保保证电子子信息的的有效性性、安全全性成为为突出问问题。信息系统统安全设设计的核核心是操操作系统统、网络络系统与与数据库库管理系系统的安安伞问题题，没有有系统的的安全就就没有信信息的安安全，作作为系统统软件中中最基本本的就是是操作系系统，其其安全问问

5、题是关关键中的的关键。计算机作作为信息息时代的的基本工工具，在在给各行行各业带带来巨大大效益的的同时，本本身也存存在着严严重的不不安全性性、危险险性和脆脆弱性。一一个有效效可靠的的操作系系统应该该对其操操控的资资源具有有良好的的保护性性能，即即应提供供必要的的保护措措施，防防止因所所用资源源的的缺缺陷而损损害系统统。实际际上，系系统的安安全机制制已成为为操作系系统不可可分割的的一部分分。操作系统统是计算机资资源的直直接管理理者，所所有应用用软件都都是基于于操作系系统来运运行的，可可以说操操作系统统的安全全是整个个计算机机系统安安全的基基础。操操作系统统安全性性的测弹弹是实现现安全操操作系统统的

6、一个极为为重要的的环节，如如果不测测评、验验证所开开发操作作系统的的安全性性和该安安全性的的可信度度，那么么开发出出的安全全操作系系统的安安全性就就没有任任何保证证，从而而失去了了它应有有的应用用价值。基于这个个局面，我我们首要要的工作作就是要要研究开开发具有有自动知知识产权权的自动动化安全全测评系系统。操操作系统统安全测测评主要要有形式式化验证证、代码码功能块块检查、渗渗透测试试等方法法。由于于当前常常用的操操作系统统体系都都是非常常庞大复复杂的，致致使前两两种方法法的实施施有很大大难度，所所以我们们进行操操作系统统安全测测评主要要使用渗渗透测试试的方法法。在此此背景下下，大家家常见的的对操

7、作作系统的的测评主主要依赖赖主机的的或网络络的扫描描工具通过对对系统安安全漏洞洞的检测测，依据据获得的的漏洞信信息(比如漏漏洞的危危险度，流流行度等等等)，综合合计算，从从而得到到操作系系统的风风险值。二、 正文(一) 安全操作作系统及及评价标标准1、 安全操作作系统操作系统统是唯一一紧靠硬硬件的基基本软件件，其安安全驯能能是其他他软件安安全职能能的根基基，缺乏乏这个安安全的根根基，构构筑在其其上的应应用系统统以及安安垒系统统的安全全性就得得不到根根本的保保障。单单个操作作系统以以及其上上的应用用系统的的安全是是整个安安全系统统的根本本，如果果构成互互联网的的计算机机本身系系统安全全都有问问题

8、，那那么网络络系统和和数据库库管理系系统就同同样会存存在问题题，应用用软件信信息处理理的安全全更无从从谈起。安全操作作系统是是在操作作系统的的工作范范围内，提提供尽可可能强的的访问控控制和审审计机制制，在用用户，应应用程序序和系统统硬件资源之之间进行行符合安安全政策策调度，限限制JEE法访问问。安全全操作系系统应具具有的特特征包括括最小特特权原则则、带冉冉AcLL自主访访问控制制、强制制访问控控制、安安全审计和和审计管管理、安安全域隔隔离、可可信通路路等。安全测试试在设计计安全操操作系统统的过程程中是一一个小可可或缺的的重要环环节，对对安全操操作系统统的测试试一r以评测测设计出出的安全全操作系

9、系统的安安全性和和该安全全性的可可信度是是否达到到预期的的标准，安安全测试试的准确确与否直直接关系系到设计计的安全全操作系系统的性性能及其其应用价价值。2、 设计细想想安全测评评是指由由具备检检验技术术能力的的第三方方机构，依依据相关关标准或或技术规规范，按按照严格格程序对对信息系系统的安安全保障障能力进进行的综综合测试试评估活活动。标准是测测评的灵灵魂。安安全标准准提供了了每一个个安全等等级所对对应的安安全功能能的技术术要求, 但是是, 由于于各个操操作系统统具有不不同的实实现, 安全标标准不可可能制订订出明确确、详细细的工程程技术指指标,而只能能是一个个综述性性的说明明。同时时, 由于于操

10、作系系统结构构复杂, 那种种根据安安全标准准进行对对照检查查式的侧侧评方法法不可行行, 安全全测评的的技术难难度在于于如何设设计从标标准到测测试用例例的映射射关系。对操作系系统的安安全测评评就是检检查安全全机制是是否完整整地实现现了安全全策略。操操作系统统自下而而上分为为几个层层次, 每个层层次体现现不同的的功能抽抽象程度度。安全全机制在在操作系系统每个个层次上上的制约约作用都都有不同同的表现现形式，因此安安全测评评要在各各层次上上展开) 先测测试单个个组件, 然后后将这些些组件集集成到子子系统中中, 直到到测试完完整个系系统。首先是底底层测试试即单元元级测试试,目标是是系统底底层安全全相关的

11、的一些单单元,例如用用户命令令、系统统调用、系系统库程程序等, 目的的是为了了验证它它们的功功能实现现是否符符合安全全策略, 如果果发现其其违反了了安全机机制, 则可以以确定系系统存在在安全漏漏洞。例例如用户户命令mmaill用于邮邮件管理理􀀂在强强制访问问控制机机制下, 禁止止信息从从高安全全等级流流向低安安全等级级􀀂如果果高安全全等级的的用户进进程使用用该命令令将邮件件成功发发给低安安全等级级的邮箱箱,就违反反了安全全策略, 造成成了泄密密。更高层次次的测试试在子系系统级展展开。操操作系统统由文件件、网络络、进程程等几个个子系统统所组成成, 各子子系统实

12、实现不同同的功能能以满足足不同的的衡求, 并且且各子系系统相互互配合以以形成一一个有机机的整体体,只有当当所有子子系统的的测试都都成功时时,才能说说明操作作系统通通过了整整个安全全测评。子子系统安安全测试试的目标标是各子子系统中中常用的的系统调调用, 验证方方法是检检测它们们的使用用是否符符合安全全策略。此此外, 预测试试也是必必要的。虽虽然安全全测试只只关注安安全性, 而不不关心可可用性, 但是是由于测测试套件件要在被被测操作作系统中中运行, 每个个测试用用例的运运行都裕裕要满足足特定的的条件。因因此, 必须预预先对操操作系统统的常用用功能进进行验证证,以确保保整个测测试活动动能够顺顺利进行

13、行。例如如, 安全全审计机机制需要要系统的的统计命命令的支支持, 在测试试审计机机制之前前就要对对统计命命令进行行功能性性测试。3、 安全操作作系统测测评标准准在操作系系统测评评中，标标准的作作用主要要有两个个一是是通过标标准的规规定。使使得不同同测试者者对不同同测试对对象有统统一的评评价，有有统一衡衡量的标标度；二二是通过过标准的的规定，使使测试的的范围及及程度更更加全面面。多年来TTcSEEc评估估准则一一直是人人们用来来设计安安全操作作系统的的上要参参考标准准，因此此它也一一直是评评估多用用户主机机和小型型操作系系统的主主要方法法。按照照TcssEc柴柴测试系系统的安安全性，主主要包括括

14、硬件和和软件两两部分。整整个测试试过程对对生产厂厂商来说说是很昂昂贵的，而而且往往往需几年年才能完完成f221。橘皮书是是目前国国际上颇颇具权威威的计算算机系统统安全标标准之一一，它将将计算机机系统的的安全性性能由高高而低划划分为AA、B和C，D四大等级级，较高高等级的的安全范范围涵盖盖较低等等级的安安全范围围，其中中：D、最低保保护(MMiniimall Prroteectiion)，凡没没有通过过其他安安全等级级测试项项曰的系系统即属属于该级级，如llBMPc、Appple Maccinttoshh等。C、自定式式保护(Disscreetioonarry PProttecttionn)，该

15、该等级的的安全特特点在于于系统的的对象(如文件件、目录录)可由其其主题(如系统统管理员员、用户户、应用用程序)自定义义访问权权。例如如管理员员可以决决定某个个文件仪仪允许某某一特定定用户读读取、另另一用户户写入等等，unnix、winndowwsNTT等系统统属于该该级别。B、一强制式保护(Mandatory Protection)，该等级的安全特点在于系统强制的安全保护，在强制式保护模式中，每个系统对象(如文件、目录等资源)及主题(如系统管理员、用户、应用程序)都有自己的安全标签(security Label)，系统依据用户的安垒等级赋予他对各对象的访问权限。A 、可验证保护(Vermed

16、Protection)，其特点在于系统拥有正式的分析及数学式方法可完全证明该系统的安拿策略及安全规格的完整性与一致性。橘皮书对操作系统安全等级的划分只是给出了一个最终的实现目标，并没有从实现方法上给予规定，这就导致了在安全操作系统的测试问题上的盲目性和不规范性，而国外的测试方法和备等级的测试标准又是保密的，因此，尽快探索出一套自己的对于安全操作系统测试的方法和步骤是有必要的。4、 设计思想想(二) 操作系统统安全评评测方案案及方法法1、 安全操作作系统评评测方案案系统调用用是操作作系统提提供给用用户的唯唯一接口口，用户户可利用用它执行行系统功功能，进进行设备备管理、文文件管理理、进程程控制、进

17、进程通信信、存储储管理和和线程管管理的相相应操作作，同样样，用户户也可以以利用系系统调用用的漏洞洞和不完完善性对对操作系系统进行行攻击和和破坏”，因此此，各个个系统调调用的安安全性就就直接关关系到安安垒操作作系统的的整体的的安全性性。由此此可见，对对安全操操作系统统的测试试首先就就是对安安全操作作系统中中各个系系统调用用安全的的测试。依据应用用软件的的测试原原则，本文提出对系统统调用的的测试，分分为以下下5个步骤骤：(1)明明确测试试对象，即即要针对对哪一个个或几个个系统调调用进行行测试，并并对待测测系统调调用的运运行机制制和各种种不同的的运行结结果力求求以深入入r解；(2)明明确测试试日的，

18、根根据所选选测试对对象的小小同，测测试H的也会会随之变变化，在在对单一一的系统统调用进进行测试试时，测测试的目目的通常常是执行行系统调调用的某某些操作作，比较较结果是是否与预预期相同同，如果果同时对对几个系系统调用用进行测测试，往往往是看看其能否否协同工工作；(3)根根据具体体的测试试对象和和测试目目的编写写测试用用例，明明确系统统调用的的初始化化变量和和参数、执执行步骤骤、预期期的结果果等；(4)进进行具体体的编码码测试；(5)根根据结果果来分析析被测对对象是否否具有预预期的安安全性。2、 操作系统统安全测测评方法法2.1 一般方法法软件测试试过程一一般可以以分为44个基本本阶段，单单元测试

19、试、集成成测试，功功能测试试和系统统测试。单单元测试试是对组组成软件件的每个个单元进进行测试试，以确确认各个个单元能能否正常常工作。集集成测试试是在对对每个单单元的单单元测试试完成后后，按照照设计时时做出的的结构图图，在把把软件单单元逐步步组装的的过程中中，同时时有序进进行的测测试。功功能测试试是检验验集成测测试中发发现的软软件接口口缺陷是是否己经经纠正。系系统测试试是将软软件、硬硬件和环环境连在在一起进进行的垒垒面的测测试，以以检查被被测软件件与需求求说明是是否相符符。本文文针对操操作系统统的工作作单元进进行安全全测试探探讨。2.2 工作单元元测评工作单元元是安全全测评的的基本工工作单位位，

20、对应应一组相相对独立立和完整整的测评评内容。工工作单元元由测评评项、测测评对象象测评方方式、测测评实施施和结果果判定组组成，如如下图：具体技术和管理要求测评项访谈/检查/测试测评方式人员/文档/机制/设备测评对象测评方式+对象+操作测评实施结果判定是否符合测评项要求测评项描描述测评评目的和和测评内内容，与与操作系系统安全全等级保保护要求求的基本本安全控控制要求求相一致致。测评方式式是指测测评人员员依据测测评目的的和测评评内容应应选取的的、实施施特定测测评操作作的方式式方法，包包括三种种基本测测评方式式：访谈谈、检查查和测试试。测评对象象是测评评实施过过程中涉涉及到的的信息系系统的构构成成分分，

21、是客客观存在在的人员员、文档档、机制制或者设设备等。测测评对象象是根据据该工作作单元中中的测评评项要求求提出的的，与测测评项的的要求相相适应。一一般来说说，实施施测评时时，面临临的具体体测评对对象可以以是单个个人员、文文档、机机制或者者设备等等，也可可能是由由多个人人员、文文档、机机制或者者设备等等构成的的集合，它它们分别别需要使使用到某某个特定定安全控控制的功功能。测评实施施是工作作单元的的主要组组成部分分，它是是依据测测评目的的，针对对具体测测评内容容开发出出来的具具体测评评执行实实施过程程要求。测测评实施施描述测测评过程程中涉及及到的具具体测评评方式、内内容以及及需要实实现的结结论应该该

22、取得的的测评结结果。结果判定定描述测测评人员员执行完完测评实实施过程程，产生生各种测测评证据据后，如如何依据据这次测测评证据据来判定定被测系系统是否否满足测测评项要要求的方方法和原原则。在在给出整整个工作作单元的的测评结结论前，需需要先给给出单项项测评实实施过程程的结论论。一般般来说，单单项测评评实施过过程的结结论判定定不是直直接的，常常常需要要测评人人员的主主观判断断，通常常认为取取得正确确的、关关键性证证据，该该单项测测评实施施过程就就得到满满足。某某些安全全控制可可能在多多个具体体测评对对象上实实现(如主机机系统的的身份鉴鉴别)，在测测评时发发现只有有部分测测评对象象上的安安全控制制满足

23、要要求，它它们的结结果判定定应根据据实际情情况给出出。2.3 测评方法法主要采用用访谈、检检查、测测试等方方法进行行等级保保护测评评。1)访谈谈(innterrvieew)测评人员员通过与与信息系系统相关关人员(个人群群体)进行交交流、讨讨论等活活动，获获取证据据以证明明信息系系统安全全等级保保护措施施是否有有效。可可以使用用各类调调查问卷卷和访谈谈大纲实实施访谈谈。2)检查查(exxamiine)不同于行行政执法法意义上上的监督督检查，而而是指测测评人员员通过对对测评对对象进行行观察、查查验、分分析等活活动，获获取证据据以证明明信息系系统安全全等级保保护措施施是否有有效。可可以使用用各种检检

24、查表和和相应的的安全调调查上具具体实施施检查。3)测试试(teest)测评人员员通过对对测评对对象按照照预定的的方法工工具使其其产生特特定的行行为等活活动，查查看、分分析输出出结果，获获取证据据以证明明信息系系统安全全等级保保护措施施是否有有效。包包括功能能测试和和渗透性性测试、系系统漏洞洞扫描等等。渗透性测测试：等等级测评评的一个个重要内内容是对对测试目目标进行行脆弱性性分析，探探知产品品或系统统安全脆脆弱性的的存在，其其主要目目的是确确定测试试目标能能够抵抗抗具有不不同等级级攻击潜潜能的攻攻击者发发起的渗渗透性攻攻击。因因此，渗渗透性测测试就是是在测试试目标预预期使用用环境下下进行的的测试

25、，以以确定测测试目标标中潜在在的脆弱弱性的可可利用程程度2盯。系统漏洞洞扫描：主要是是利用扫扫描工具具对系统统进行自自动检查查，根据据漏洞库库的描述述对系统统进行模模拟攻击击测试，如如果系统统被成功功入侵，说说明存在在漏洞。主主要分为为网络漏漏洞扫描描和主机机漏洞扫扫描等方方式。2.4 系统整体体测评系统整体体测评涉涉及到信信息系统统的整体体拓扑、局局部结构构，也关关系到信信息系统统的具体体安全功功能实现现和安全全控制配配置，与与特定信信息系统统的实际际情况紧紧密相关关内容复复杂且充充满系统统个性。因因此，全全面地给给出系统统整体测测评要求求的完整整内容具具体实施施方法和和明确的的结果判判定方

26、法法一般来来说是比比较困难难的。首先测评评人员应应根据特特定信息息系统的的具体情情况，结结合标准准要求，确确定系统统整体测测评的具具体内容容。其次次在安全全控制测测评的基基础上，重重点考虑虑安全控控制间、层层面间以以及区域域间的相相互关联联关系，测测评安全全控制间间、层面面间和区区域间是是否存在在安全功功能上的的增强、补补充和削削弱作用用，最后后才能得得出测评评结论。三、 结尾本文通过过对安全全操作系系统及其评测测标准的的剖析，提提出对于于一个完完整的安安全操作系系统，可可以将其其看作是是若干个个有机的的功能模模块的集集合，并并且对于于安全操操作系统统的测试试可以视视为对安安全操作作系统每每个

27、模块块的测试试的观点点，并将将安全操操作系统统的测试试方案归归结为明明确测试试对象、确确定测试试目的、编编写测试试用例、具具体测试试和分析析测试结结果5部分，根根据测试试方案选选择适合合的测试试方法，另外，再针对操作系统的工作单元测试进行深入地探究，并提出了具体的测试方法和系统整体测试。参考文献献1 许友，陈陈性元，唐慧林，高沛霖， XU YOU， CHEN XINGYUAN， TANG HUILIN， GAO PEILIN，基于标准的系统安全测试指标体系的研究，450004,河南郑州,解放军信息工程大学电子技术学院，2007，23(3)2 魏丕会会，卿斯斯汉，黄黄建，安安全操作作系统等等级评

28、测测系统，中国科学院软件研究所;中国科学院信息安全技术工程研究中心,北京,100080，2003，29(22)3 陆幼骊骊，张红旗旗，操作系系统安全全测评系系统设计计，信息工工程大学学电子技技术学院院4 于海亮亮，于双双元，马马晶燕， YU Hai-liang， YU Shuang-yuan， MA Jing-yan，基于Linux的安全操作系统测试方法研究，北京交通大学,计算机与信息技术学院,北京,100044，2006，15(4)5 林庆富富，网络络安全评评测信息息系统的的开发与与应用，长长春理工工大学6 沈昌祥祥，安全操操作系统统的战略略意义J，信息安安全与信信息保密密，20003(8)：17 林庆富富，网络络安全评评测信息息系统的的开发与与应用，长长春理工工大学8 陈晨，操操作系统统安全测测评及安安全测试试自动化化的研究究，北京京交通大大学12