三 安全操作系統

2.3安全操作系統
    信息系統的所有應用軟件都需要一個運行平臺，操作系統就是擔當此重任的。操作系
統的安全是整個信息系統軟件部分安全的基礎。目前市場上尚無任何一個大型操作系統可
以做到完全正確。實際上從來沒有一個操作系統的運行是完美無缺的，也沒有一個廠商敢
保證他們的操作系統不會出錯。工業界已經承認這樣一個事實：任何操作系統都是有缺陷
的。
“我們可以設計理想化的、證明是可靠的操作系統，但是我們卻不能真正建立這些系統，
讓他們在現實世界中安全的運行。現實世界涉及到設計中的折中、沒有遇見的變量以及不
完美的實施等。”
    但是，另一方面，我們可以說絕大部分操作系統是可靠的，可以基本完成其設計功能
。另外，從安全的角度看，操作系統軟件的配置是很困難的，配置時一個很小的錯誤就可
能導致一系列的安全漏洞,從而使系統的安全措施無用武之地。
2.3.1安全威脅
    對操作系統安全構成威脅的主要有病毒，木馬，隱蔽通道和天窗等。

計算機病毒
    病毒的危害已經無需多言，CIH病毒造成的破壞和引起的恐慌相信很多用戶還記憶猶新
。以最近一段時間非常流行的衝擊波、震盪波等病毒爲例，它們利用windows系列操作系統
本身的漏洞感染沒有防護的計算機，造成染毒系統不停重啓，無法正常連接網絡，而且大
量掃描其他有漏洞的計算機，伺機感染，佔用大量有效網絡帶寬。已知病毒數目龐大，No
rton反病毒軟件的最新病毒庫病毒種類已達到60000多種，這還不包括那些沒有引起反病毒
公司注意的病毒。互聯網上已經有很多專門蒐集，製作，甚至發佈病毒的組織。29A是其中
的佼佼者，常常在它的電子雜誌中公佈一些技術超前的概念性病毒。
    發展到今天，計算機病毒也已經向變形和多態方向發展，理論上已經提出了多維病毒
的概念。三維變形病毒，表現爲，病毒感染一個目標後，自身代碼與每一感染目標中的病
毒代碼幾乎沒有三個連續的字節是相同的；那些變化的代碼相互間的排列距離也是變化的
；能分裂後分別潛藏在幾處，隨便某一處的子病毒被激發後都能自我恢復成一個完整的病
毒；病毒在附着體上的空間位置是變化的。四維變形病毒則是在三維變形病毒的基礎上還
有所有三維變形病毒的變形特性隨時間動態變化，雖然目前還沒有四維變形病毒，不過預
計技術的發展會將四維變形病毒帶到世人面前。
    相應的反病毒技術也從最初的特徵代碼掃描法到現在的利用虛擬機的行爲檢測法，啓
髮式掃毒等。IBM公司開發的數字免疫系統是一種高級的綜合病毒防治方法。該系統利用硬
件仿真技術，提供一個用途廣泛的仿真系統和病毒檢測系統。該系統的目標是對病毒做出
快速反應，當有新病毒進入系統時，免疫系統會自動將其捕獲並對其分析，清除病毒後，
立即將有關信息發送到IBM的殺毒在線系統，使得該病毒再次出現時立刻被檢測出來。各種
高級反病毒技術希望能夠檢測未知病毒，這在很大程度上取決於反病毒軟件的人工智能程
度，當前反病毒軟件的人工智能水平還不夠理想，使得檢測未知病毒時誤報和漏報現象嚴
重。
   “問題的重點在於：病毒無法杜絕。已經從數學的角度證實，總是能編寫一個現有的任
何反病毒軟件都無法阻止的病毒（即使是BLP模型也無法阻止病毒的攻擊）。忽略證明的細
節，其基本要點是如果病毒編寫者知道反病毒軟件要找的東西，他總是能夠設計出不被注
意到的病毒。當然，反病毒軟件的程序員也總是能夠對其軟件進行更新，在病毒出現後檢
測出該病毒。”

特洛伊木馬
    特洛伊木馬錶面上是一段執行合法功能的計算機程序，實際上它能夠在用戶毫無防備
的情況下，監視用戶的鍵盤輸入，抓取用戶的屏幕顯示，然後把用戶的各種密碼和敏感信
息發送給攻擊者。特洛伊木馬需要具有以下特性：入侵者要寫一段程序進行非法操作，程
序的行爲方式不會引起用戶的懷疑；必須設計出某種策略使受騙者接受這段程序；必須使
受騙者運行該程序；入侵者必須有某種手段回收由特洛伊木馬發作爲他帶來的實際收益。
特洛伊木馬能夠盜取計算機的機密信息，對被控端進行文件讀寫操作，遠程控制被感染計
算機等。國內的木馬“冰河”相信很多人聽說過。木馬一般不具有自我複製能力，但它同
病毒一樣，具有潛伏性。特洛伊木馬也可能包含蠕蟲或者病毒程序。木馬對系統安全是致
命的威脅。比如，雖然用戶的郵件可以用PGP加密，但木馬可能在加密之前截獲明文，使得
再強的加密算法也形同虛設。
    作爲一個例子，一種高級的木馬如下所述。利用修改了的編譯程序向正被編譯的程序
中插入一些附加的程序代碼，如系統邏輯程序，那麼這種特洛伊木馬程序就很難被檢測出
來。設計者還在此邏輯程序中設計了一個陷門，使得他能夠通過某種特殊的途徑在網絡上
進行連接主機的操作，而我們不可能從邏輯程序的源代碼中找到該木馬程序。
    只盜取信息，不對被控端進行操作的木馬更加隱蔽，也有些木馬通過郵件發送竊取到
的機密信息。無論木馬多麼隱蔽，一個熟悉一般木馬知識的計算機用戶總是能夠發現系統
中存在木馬的蛛絲馬跡。問題好的一方面在於，通過審查應用程序對外的連接請求，有可
能使得即使木馬存在系統中，也不能接受控制或者向外發送信息，另外反病毒軟件一般對
於常見的木馬都能夠查殺；問題不好的一方面還是關於反病毒軟件，由於它們對於木馬程
序的監測大部分還是通過掃描特徵碼，所以簡單的對已有木馬加殼就可以騙過絕大多數反
病毒軟件。對於木馬，綜合反病毒軟件，防火牆，用戶觀測系統異常（如流量異常）、定
期察看日誌文件等等措施相結合是相對比較有效的。

隱蔽通道
    隱蔽通道定義爲系統中不受安全策略控制的，違反安全策略的信息泄露路徑，分爲存
儲隱蔽通道和時間隱蔽通道兩種，目前對隱蔽通道的分析存在現實的困難。隱蔽存儲通道
的識別技術主要有信息流分析方法、共享資源矩陣法、無干擾分析法、隱蔽流樹法等等。
而對於時間隱蔽通道，迄今爲止，沒有形式化的技術可以在系統中找到隱蔽時間通道，也
沒有什麼通用的方法可以檢測出它們的使用情況並加以審查。不過，對黑客而言，時間隱
蔽通道比隱蔽存儲通道更加難以實現，而且這種通道的噪音往往很大。
    國家標準GB17859對第四級及以上的系統，提出了分析和處理隱蔽通道的硬性要求，美
國的TCSEC，歐洲的IOS/IEC15408也把隱蔽通道分析作爲評估高等級安全信息系統的關鍵指
標。目前我國研發的安全信息系統最多隻能達到GB17859第三級水平（相當於TCSEC橘皮書
B1級），一個重要的原因就在於無法解決隱蔽通道問題。
    對抗隱蔽通道的唯一方法是對整個系統進行全局的信息流分析。目前美國通過橘皮書
B2以上級別認證的大型信息系統已經有10多個，從公開發表的文獻看，都是從分析信息流
入手。然而大型操作系統規模巨大，邏輯關係複雜，進行全面的信息流分析十分困難。另
外，僞非法流的存在，使得系統分析工作量呈指數增長，變得實際上不可能繼續進行。


天窗
    天窗是指嵌入在操作系統裏的一段非法代碼。滲透者利用該代碼提供的方法侵入操作
系統而不受檢查。天窗一般由專門的命令激活，不容易發現。而且，天窗所嵌入的軟件擁
有滲透者所沒有的特權。天窗可能是由操作系統生產廠家的一個不道德僱員裝入的，安裝
天窗的技術很像特洛伊木馬的安裝技術，但在操作系統中實現就更爲困難。與特洛伊木馬
和隱蔽通道不同，天窗只能利用操作系統的缺陷或者混入系統的開發隊伍中進行安裝。

    關於天窗的一個例子是在Multics操作系統的開發期間，美國空軍“老虎隊”（模擬的
敵手）使用了入侵檢測，所用到的一個策略就是向正在運行Multics的站點發送操作系統的
虛假更新，此更新含有一段能被激活並使老虎隊獲得訪問權的程序。這種威脅是如此的隱
蔽，使得Multics開發者很難發現它，即使獲悉該威脅的存在，他們也很難找出它。因此，
要實現操作系統對天窗的控制是困難的，安全的策略必須集中在操作系統的開發和更新活
動上。值得慶幸的是，利用開發安全操作系統的常規技術就可以避免天窗。

2.3.2安全模型及形式化
    一個操作系統是安全的，指它滿足某一給定的安全策略，同樣，進行安全操作系統的
設計和開發時，也要圍繞一個給定的安全策略進行。安全模型就是對安全策略所表達的安
全需求的簡單、抽象和無歧義的描述。安全模型的選擇對於安全操作系統的開發至關重要
。要開發安全系統，首先必須建立系統的安全模型。目前公認的安全模型主要有以下幾類
：狀態集模型、信息流模型、非干擾模型、不可推斷模型和完整性模型。比較重要和知名
的安全模型的例子包括BLP模型，Biba模型，RBAC模型，Clark Wilson模型，DTE模型等。

    形式方法包含兩個側面：一是形式規範，二是設計驗證。基於形式方法的方法學要求
，首先必須精確說明軟件片斷的行爲，並用形式規範語言進行書寫，稱此過程爲形式規範
過程；然後指明其實際實現是否滿足該規範，稱此過程爲設計驗證過程。形式規範語言試
圖爲軟件形式規範及形式驗證建立這種表示。目前較爲著名的軟件形式規範語言有Gypsy語
言和Z語言。這些語言能夠表示一個系統的規範和實現，並且通過使用形式的邏輯演繹方法
可以證明該系統規範與實現的重要特性。
    “當然，形式上的模型是供好的理論使用的，但在實踐中卻不是太有用。他們帶有理
論限制，僅僅有一個安全模型也不能說明你就可以證明系統具有特定的安全屬性。他們可
能會導致一個無用系統的產生；強行讓一個系統遵循一個模型會導致設計顯得很古怪。它
們會讓設計與建立工作永無止境。更糟的是，它們甚至無法證明安全。如果一個系統與某
個形式上的安全模型相符，至多能證明它可以阻止按照此模型行動的攻擊者。需要強調的
是，不按照設計者模型行動的攻擊者還是會破壞安全。”
    爲了達到設計的模塊化，一個具有良好模塊化結構的體系結構是有意義的。目前人們
已提出Flask、DTE、GFAC、RBAC等體系，他們都是一些架構性質的體系，具體實現時有很
多深刻的技術問題。1993年，美國國防部在TAFIM計劃中提出新的安全體系結構DGSA，強調
對多種安全策略的支持。但在支持多策略的安全體系結構中，一些本質的問題還沒有得到
解決，例如合成策略的安全性問題

2.3.3 評測標準
    1985年，美國國防部提出可信計算機系統評測標準TCSEC（習慣上稱橘皮書）。TCSEC
將系統分成ABCD四類7個安全級別。D級是安全級別最低的級別，如MS-DOS就屬於D級；C類
爲自主保護級別；B類爲強制保護級別；A類爲驗證保護類，包含一個嚴格的設計，控制和
驗證過程。A類系統的設計必須是從數學上經過驗證的，而且必須進行隱蔽通道和可信任分
布的分析，並且要求它具有系統形式化頂層設計說明（FTDS），並形式化驗證FTDS與形式
化模型的一致性，要求用形式化技術解決隱蔽通道問題等。波音公司的MLSLAN安全網絡服
務器已經通過美國國家計算機安全中心的A1級評測，而Boeing  Company的MLSLAN OS通過
美國國家安全局的A1級評測。
    當前主流的操作系統安全性遠遠不夠，如UNIX 系統，Windows NT都只能達到C2級，安
全性均有待提高。各種形式的安全增強操作系統在普通操作系統的基礎上增強其安全性，
使得系統的安全性能夠滿足系統實際應用的需要。這方面的例子如國內的安勝操作系統3.
0，作爲基於linux核心的安全增強操作系統，達到國標GB17859的第三級標準。國外安全操
作系統研究的一些新進展包括SELinux和EROS等安全操作系統項目。
   “事實上橘皮書僅適用於單機系統，而完全忽視了計算機聯網工作時會發生的情況。幾
年前，Microsoft爲Windows NT獲得C2安全等級大費周折。他們卻極少面對這樣的事實，即
只有在計算機未聯網、沒有網卡，將其軟驅關閉、並在Compaq386上運行時，這個評級才適
用。Solaris的C2等級也很可笑。橘皮書的最新修訂則準備處理與聯網計算機有關的問題。
”
    各個國家都試圖用現代方法改進橘皮書。加拿大提出了所謂的加拿大可置信計算機產
品評價準則。歐盟提出了信息技術安全評估標準，即ITSEC。另一個美國的提議稱爲聯邦標
準。ISO標準15408則希望能夠綜合其它準則中好的觀點與做法，提供一個能夠被用戶包括
在一個保護計劃方案中的安全概念分類目錄，由此可以根據該保護計劃方案對各種產品進
行測試。