红旗安全操作系统
功能服务器版
技术白皮书
中科红旗软件技术有限公司
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
1
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
2
目录
一概述述...........3
二身份标识与鉴别别.......................................................................5
用户身份标_5
用户身份鉴_5
用户口令强_6
用户与进程的关联...............................................................6
三自主访问控制制.......................................................................................8
自主访问控制原则..........................................................................................8
访问控制表ACL 原理....................................................................................9
ACL 信息的管理......................................................................................10
四强制访问控制制..........................................................................12
强制访问控制功能...............................................................................12
系统内外的数据交换.......................................................................14
五安全审计计.17
主体和客体的标识..............................................................17
审计事件的标识.................................................................................17
事件向量.....18
审计规则.....19
审计配置的设定................................................................................19
审计空间溢出策略............................................................................20
审计查看.....20
审计数据的安全.................................................................................21
六安全管理理.22
安全属性管理......................................................................................22
审计管理.....23
鉴别数据管理.................................................................................23
角色管理.....23
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
3
一概述
在计算机系统中从最底端的硬件层到最顶端的应用软件层 每个层次上的成分在安全性方面起着不同的作用安全操作系统中旨 在为上层软件提供基本的安全支持红旗安全操作系统的当前版本主 要从增强的身份标识与鉴别细化的自主访问控制特权用户职责划 分强制访问控制审计跟踪以及安全管理等方面增强基本安全功 能支持 增强的身份标识与鉴别通过强化的口令管理增强用户身份的 标识和鉴别更有效地防止攻击者通过破解口令的方法侵入系统细 化的自主访问控制把自主访问控制的控制权制约能力细化到单个用 户更有效地实行系统资源的自主访问控制保护特权用户职责划分 削弱超级用户的权力设立系统管理员系统安全员系统审计员 防止攻击者利用一个特权用户的身份获得对整个系统的控制强制访 问控制以Bell&LaPadula 安全模型为基础对信息流实施强制访问控 制支持系统客体和主体的等级分类和非等级类别划分提供具有不 同密级的信息和资源的保护审计跟踪以事件为驱动记录触发审计 事件发生的各种行为允许系统审计员设定需审计的事件提供灵活 的审计记录检索和查看功能安全管理以前面各项基本机制为基础 维护整个系统的安全性 红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
4
访问控制
强制访问控制
传统Linux权限控制
访问控制表控制
安全属性信息
审计记录信息
资源
用户进程
用
户
身
份
鉴
别
图1 红旗安全操作系统访问控制原理
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
5
二身份标识与鉴别
为确保系统的安全必须对系统中的每一用户进行有效的标识 与鉴别为此红旗安全操作系统系统给每个用户提供的与安全有关 的属性有用户身份标识用户名及其UID 组属关系用户所拥 有及所属的组鉴别数据用户口令用户的敏感标记包括安全 等级和非等级类别安全相关角色等
用户身份标识
红旗安全操作系统系统提供对用户进行身份标识的机制即系 统给每一用户分配一个唯一的标识此处为用户名和用户ID 此机 制实现了如下的功能 在用户的身份被标识之前系统允许用户从系统中获得身份标 识提示以帮助用户进行身份标识即输入用户名但此提示不会降 低系统的安全性在允许用户从事任何由系统仲裁的除身份标识之外 的其他活动之前系统要求每个用户必须成功地通过身份标识即是
系统中已经存在的用户否则不予处理
用户身份鉴别
在用户成功的通过系统的身份标识以后系统要鉴别此用户身 份的合法性即对注册用户输入的口令进行验证红旗安全操作系统 系统提供的用户身份鉴别机制实现了如下的功能 在用户被鉴别之前用户可以从系统中获得提示性的鉴别信息 红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
6
在鉴别的进行过程中系统只向用户提供模糊的反馈信息而这些提 示性的鉴别信息和模糊的反馈信息都不会降低系统的保密性在系
统允许用户从事任何由系统仲裁的除身份鉴别以外的其他活动之前 系统要求每个用户必须成功地通过鉴别否则不予处理这些活动
用户口令强度
红旗安全操作系统系统提供的用户口令的保护机制可以确保 用户口令的安全性达到以下要求 随机试探口令鉴别机制一次试探可能成功的概率小于百万分 之一如果在一分钟内的多次使用试探系统保证随机试探可能成功的概率小于十万分之一在口令鉴别机制被试探使用期间系统给出的任何反馈信息都不会导致试探成功的概率的高于上述尺度
用户与进程的关联
在系统中代表用户进行工作的是此用户产生的进程为保证系统的安全性可靠性保证用户行为的可审计性红旗安全操作系统系统把以下的用户安全属性与代表用户工作的进程关联起来与可审计事件关联的用户身份标识用于实施自主访问控制政 策的用户标识用于实施自主访问控制政策的组属关系用于实施强 制访问控制政策的敏感标记此敏感标记由等级分类和非等级类别构 成.当用户注册进系统时红旗安全操作系统系统提供的机制遵循 红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
7
以下规则来建立用户安全属性与代表用户工作的进程间的初始关联 与进程关联的敏感标记应在用户的敏感标记的范围内即不能
超越用户的敏感标记代表用户工作的进程在被创建时即用户登录 时与用户的安全属性进行初始关联关联方式如下
首先对于用户注册时创建的进程此进程产生的可审计事件
中用户标识必须等于产生此进程的注册用户的标识进程中对应的
用于实施自主访问控制政策的用户标识等于产生此进程的注册用户
的标识进程中对应的用于实施自主访问控制政策的组属关系由注册
用户指定指定的组必须是用户所属的组如果用户不指定则取缺
省值缺省值静态确定进程中对应的用于实施强制访问控制政策的
敏感标记由注册用户指定如果用户不指定则取缺省值缺省值静
态确定
其次非注册阶段一个进程创建另外一个进程时子进程继承
父进程所关联的安全属性
对于与代表用户工作的进程关联的用户安全属性的修改系统
用以下的规则加以限制
禁止修改与可审计事件关联的用户标识在得到目标用户许可
的情况下可把用于实施自主访问控制政策的用户标识改变为目标用
户的标识在得到目标组的用户许可的情况下可把用于实施自主访
问控制政策的组属关系改变为目标组用于实施强制访问控制政策的
敏感标记只能由被授权的安全管理员修改
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
8
三自主访问控制
在红旗安全操作系统中实施访问控制是为了保证系统资源受
控合法地使用访问控制是指控制系统中的主体如进程对系统
中的客体如文件目录等的访问如读写和执行等用户只
能根据自己的权限大小来访问系统资源不得越权访问红旗安全操
作系统实现的访问控制支持有2 种自主访问控制强制访问控制
自主访问控制DAC 是指主体对客体的访问权限是由客体的
属主或超级用户决定的而且此权限一旦确定将作为以后判断主体
对客体是否有以及有什么权限的唯一依据只有客体的属主或超级用
户才有权更改这些权限
传统Linux 系统提供DAC支持控制粒度为客体的拥有者属
组和其他人红旗安全操作系统引入了访问控制表ACL 把访问
控制的粒度细化到可以对任意指定的用户授权或禁止访问
自主访问控制原则
红旗安全操作系统依据如下因素实施自主访问控制政策
1 用户身份标识和组属关系,它们与主体关联
2 对客体的各类访问权限读写执行或空访问权限
这样以主体S 为列以客体O 为行以访问权限A
为元素就组成了实施自主访问的访问矩阵(S,O,A)
红旗安全操作系统依据如下规则实施自主访问控制
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
9
1 当主体的用户标识和客体的访问控制属性中指定的用户标识
相匹配并且所执行的操作包含在访问控制属性中时允许该操作
2 当主体的组属关系匹配客体的访问控制属性中指定的组标
识并且相应操作包含在访问控制属性中时允许该操作
3 如果用户身份和组属关系都不匹配当相应操作包含在客体
的缺省访问控制属性中时该操作允许进行
另外红旗安全操作系统根据以下附加规则进行明确授权和拒
绝
1 被授权的系统维护员可授权自己对客体的访问从而不受客
体访问控制属性的限制
2 置客体的某个访问控制属性为空即可以封锁主体对该客体
的相应访问
访问控制表ACL 原理
红旗安全操作系统的自主访问控制是在传统Linux 的自主访问
控制的基础之上对自主访问控制的进一步强化在传统Linux的自
主访问控制中对某一文件/目录及设备具有权限的用户只能是文件/
目录及设备属主与属主同组的用户以及其他组的用户而不能细化
到其他某一具体用户而且用户对文件/目录及设备的权限仅限于
读写和执行而不能进一步细化
在红旗安全操作系统中ACL的基本思想可用图2 的形式描述
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
10
在图2 中客体包括系统中的文件目录特殊设备文件IPC
等主体包括用户和用户组
从图中可以看到ACL 信息是以客体为索引把所有对某一客
体拥有访问权限的主体及其访问权限都组合在一起与此客体关联
如果要对某一访问请求进行判断的话则首先要找到被访问的客体
然后再在此客体所关联的主体中查找有无此请求所包含的主体最
后再在此主体的访问权限序列中检查有无此请求所需要的访问权
限如果有此权限则此请求是合法的
ACL信息的管理
红旗安全操作系统所提供的自主访问控制并没有影响传统
Linux 的自主访问控制传统Linux 的自主访问控制在红旗安全操作
系统的自主访问控制中继续其作用要让自主访问控制在红旗安全操
作系统系统中起作用需要协调配置传统Linux 的自主访问控制和红
旗安全操作系统中的自主访问控制如要决定用户对文件/目录及设
备是否拥有某种操作的权限首先要判断这种请求是否满足传统
Linux 的自主访问控制然后再判断是否满足红旗安全操作系统中的
自主访问控制只有两者都满足才能算该用户拥有对此文件进行这
图2 ACL的基本表示形式
客体客体客体
主体权限主体权限主体权限
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
11
种操作的权限
当然可以关闭红旗安全操作系统的自主访问控制功能仅让
传统Linux 的自主访问控制起作用但我们无法关闭传统Linux的自
主访问控制
对系统中的ACL信息系统采取特殊的措施加以保护只有客
体的属主和被授权的用户才有权对ACL 信息加以修改并且这种
修改同样是作为一种请求发出的要受到ACL 控制策略的控制即
只有那些具有修改客体的ACL信息权限的主体才能对此客体的ACL
信息进行修改
红旗安全操作系统系统提供专门的管理工具对ACL信息进行
管理客体的属主可以对其他用户对此客体的访问权限进行管理被
授权的用户可以管理被授权客体的ACL 信息系统的安全管理员可
以对所有的ACL信息进行管理
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
12
四强制访问控制
强制访问控制MAC 是由安全管理员按照安全政策将主体和
客体赋予不同的安全标记然后根据主体和客体的安全标记来决定访
问模式如可以分为绝密级机密极秘密级无密级等这样就可
以利用向下读向上写来保证数据的保密性并且通过这种梯度安全
标记实现信息的单向流通传统Linux 系统没有MAC 支持红旗安
全操作系统提供了MAC机制
红旗安全操作系统不仅考虑了对系统内的信息流动的访问控
制还考虑了对系统与外部系统间信息流动的访问控制
强制访问控制功能
红旗安全操作系统依据主体的敏感标记以及承载信息的客体的
敏感标记实施强制访问控制政策主体和客体的敏感标记由等级分类
和非等级类别构成
对于任意两个有效的敏感标记它们之间的关系必是以下情况
之一1 两个敏感标记相等2 一个敏感标记大于另一个敏感标
记3 两个敏感标记不可比较这些关系由以下规则确定
规则一如果两个敏感标记的等级分类相等且非等级类别集合
也相等则这两个敏感标记相等
规则二如果以下条件之一成立则敏感标记A 大于敏感标记
B
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
13
1 A的等级分类大于B的等级分类且A的非等级类别集合等于
B的非等级类别集合
2 A的等级分类等于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
3 A的等级分类大于B的等级分类且A的非等级类别集合是B
的非等级类别集合的真超集
规则三如果两个敏感标记不相等且哪一个敏感标记都不大于
另一个敏感标记则这两个敏感标记不可比较
红旗安全操作系统的强制访问控制机制根据以下原则实行强制
访问控制
1 如果主体的敏感标记大于或等于客体的敏感标记则允许读
操作
2 如果客体的敏感标记大于或等于主体的敏感标记则允许写
操作
3 如果主体A的敏感标记大于或等于主体B的敏感标记则允
许信息从主体B流向主体A 如管道操作
4 如果主体的敏感标记等于客体的敏感标记则主体可以在客
体中创建新的客体新客体的敏感标记不小于父客体的敏感标记
5 如果主体时客体的可信主体确定的信息流动可以得到授权
而不受以上所限
6 不满足以上规定的任何条件的信息流动必须禁止
7 信息流向的两端的敏感标记不可比时信息流动必须禁止
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
14
系统内外的数据交换
为实现强制访问控制红旗安全操作系统给数据增加了敏感标
记属性在红旗安全操作系统操作系统与外界交换数据时需要对相
应的敏感标记进行正确的处理把系统内的数据传到系统外称为数
据导出把系统外的数据传到系统内称为数据导入
导出非标记用户数据即不带敏感标记的用户数据时红旗
安全操作系统的MAC机制实施如下控制
1 保证不导出与该用户数据关联的安全属性
2 用于导出不带安全属性的数据的设备不能用于导出带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
导出标记用户数据即带敏感标记的用户数据时红旗安全
操作系统的MAC机制实施如下控制
1 同时导出与该用户数据关联的安全属性
2 当数据以用户可理解的格式即可打印的格式导出时
3 被授权的管理员应能够为那些与数据相关联的敏感标记指定
可打印的标记
4 每个打印作业的头部和尾部应该标上一个可打印的标记该
标记是在打印作业中导出的所有数据的敏感度的最小上界标记的
可打印形式每一个打印输出页上应该标上一个可打印的标记该标
记是导出到该页的所有数据的敏感度的最小上界标记的可打印形
式
5 用于导出带有安全属性的数据的设备不能用于导出不带安全
红旗安全操作系统V1.0 技术白皮书中科红旗软件技术有
15
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
6 用于导出带有安全属性的数据的程序应完整地把安全属性与
相应数据关联起来
导出非标记用户数据时红旗安全操作系统的MAC机制实施如
下控制
1 保证不会导入与该数据关联的任何安全属性
2 用于导入不带安全属性的数据的设备不能用于导入带有安全
属性的数据除非设备状态的变化是手工调整的并且是可以审计的
3 导入不关联MAC 标记的数据时给数据标上红旗安全操作
系统能处理的数据的最大MAC标记
4 导入不关联DAC 属性的数据时给数据标上数据导入者的
DAC属性
导出非标记用户数据时红旗安全操作系统的MAC机制实施如下控
制
1 导入与标记用户数据相关联的安全属性
2 用于导入带有安全属性的用户数据的设备不能用