安全操作系統(tǒng)審計的設(shè)計與實現(xiàn)

1、第38卷第10期2001年10月計算機(jī)研究與發(fā)展JOURNAL OF COMPUTER RESEARCS DEVELOPMENTVOl. 38 NO. 10Oct. 2001原稿收到日期:2000-11-28; 修改稿收到日期:2001-03-13本課題得到國家自然科學(xué)基金項目(60083007D 和國家 九七三 重點基礎(chǔ)研究發(fā)展規(guī)劃項目(G 1999035810D 資助安全操作系統(tǒng)審計的設(shè)計與實現(xiàn)劉海峰卿斯?jié)h劉文清(中國科學(xué)院軟件研究所北京100080D (中國科學(xué)院信息安全技術(shù)工程研究中心北京100080D(liuhf ercist . iscas . ac . cn D摘要審計子系統(tǒng)作為

2、安全操作系統(tǒng)的一個重要組成部分 對于監(jiān)督系統(tǒng)的正常運行保障安全策略的正確實施構(gòu)造計算機(jī)入侵檢測系統(tǒng)等都具有十分重要的意義. 給出了一個基于LinuX 資源 擁有自主版權(quán) 符合GB 17859-1999第三級安全標(biāo)記保護(hù)級 的審計子系統(tǒng)的設(shè)計和實現(xiàn). 在此審計系統(tǒng)中 通過在核內(nèi)及應(yīng)用程序中設(shè)置審計點 以全面地收集數(shù)據(jù); 通過在主體和客體兩方面設(shè)置審計標(biāo)準(zhǔn) 使審計標(biāo)準(zhǔn)的配置更加靈活全面; 通過優(yōu)化緩沖區(qū)的管理 提高了整個子系統(tǒng)的效率. 關(guān)鍵詞安全操作系統(tǒng) 審計 審計記錄 LinuX 資源中圖法分類號TP 316DESIGN AND REALIZATION OF AUDITING IN SECURE

3、 OSLIU ai-Feng OING Si -an and LIU Weng -Oing(1ns z / e of sof Uale Chznese academ y of sczences B ez j zn g 100080D(E n g zneelzn g R esealch Cen el fol 1nfolma zon sec/lz y T echno Z o gy Chznese academ y of sczences B ez j zn g 100080DA bstract As a v er y i mp Ortant cO mp Onent Of secure O p er

4、atiOn s y ste m audit su b s y ste m p la y s ak e y rOle in m OnitOring the s y ste m insuring p rO p er i mp le m enting Of securit y p Olic y and b uilding intrusiOn detectiOn s y ste m . The design and reali Z atiOn Of an audit su b s y ste m are p resented W hich is LinuX -b ased and cO py righ

5、ted and accOrds W ith the third le v el Securit y La b el PrOtectiOnGB 17859-1999. This audit su b s y ste m can cOllect data all -arOund by m Ounting audit p Oints in the k ernel and a pp licatiOns m a k e cOnfiguratiOn m Ore fleXi b le by cOnfiguring audit m as k in su bj ects and O bj ects and en

6、hance the su b s y ste m s p erfOr m ance by O p ti m i Z ing b uffer m anage m ent . Key wordssecure O p erating s y ste m audit audit trail LinuX1引言一個安全操作系統(tǒng)的審計系統(tǒng)就是對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄檢查及審核. 它的主要目的就是檢測和阻止非法用戶對計算機(jī)系統(tǒng)的入侵 并顯示合法用戶的誤操作1. 審計作為安全系統(tǒng)的重要組成部分 在DOD 的TCSEC (trusted cO mp uter s y ste m e v aluatiOn c

7、riteria D 中要求C 2級以上的安全操作系統(tǒng)必須包含審計功能2 在計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859-1999D 中也有相應(yīng)的要求3. 傳統(tǒng)的審計系統(tǒng)是效率和功能的折中 要么審計粒度比較細(xì) 但系統(tǒng)開銷比較大; 要么系統(tǒng)效率比較高 但審計記錄不夠詳細(xì) 只能記錄系統(tǒng)調(diào)用的名稱 對客體的記錄也不夠詳細(xì)46. 在本審計系統(tǒng)中 通過在各系統(tǒng)調(diào)用及特權(quán)命令處設(shè)置審計點 詳細(xì)全面地收集相關(guān)信息; 通過在主體和客體兩方面設(shè)置審計標(biāo)準(zhǔn) 使審計標(biāo)準(zhǔn)的配置更加靈活全面; 通過優(yōu)化緩沖區(qū)的管理 實現(xiàn)了審計信息的并行收集 提高了效率;通過對審計記錄結(jié)構(gòu)優(yōu)化壓縮 減少了系統(tǒng)的開銷.本審計系統(tǒng)是國

8、產(chǎn)安全操作系統(tǒng)SecLinux 的審計部分. SecLinux 是基于Linux 資源自主開發(fā)的符合第3級3安全功能要求的一個安全操作系統(tǒng). 作為SecLinux 重要組成部分的審計子系統(tǒng) 它對SecLinux 中標(biāo)識和鑒別客體引入到用戶地址空間(創(chuàng)建文件 啟動程序 刪除客體特權(quán)用戶所執(zhí)行的操作用戶可讀輸出標(biāo)記的濫用等都進(jìn)行了審計. 并且對審計命令審計配置文件審計記錄等進(jìn)行強(qiáng)制存取控制最小特權(quán)管理 只有具有審計特權(quán)的用戶才可對其訪問. 在用戶界面上 則建立相應(yīng)的操作命令 可以靈活地開啟/關(guān)閉審計機(jī)制 選擇和設(shè)置審計事件 查詢和檢索審計日志 并創(chuàng)建守時進(jìn)程定期自動壓縮清除審計日志等.本文在第2節(jié)

9、簡要介紹了一下SecLinux 安全操作系統(tǒng); 第3節(jié)介紹了本系統(tǒng)在審計標(biāo)準(zhǔn)的建立緩沖區(qū)管理審計點的設(shè)置審計記錄結(jié)構(gòu)等方面有別于傳統(tǒng)審計系統(tǒng)的地方; 第4節(jié)討論了審計系統(tǒng)自身的安全保護(hù); 第5節(jié)總結(jié)全文.2Seclinux 安全操作系統(tǒng)體系結(jié)構(gòu)簡介SecLinux 安全操作系統(tǒng)主要由以下幾部分組成:(1 標(biāo)識與鑒別(identification S authentica -tion . 不僅檢查用戶的登錄名和口令賦予用戶唯一標(biāo)識zd gzd 還檢查用戶的安全級計算特權(quán)集 賦予用戶進(jìn)程安全級和特權(quán)集標(biāo)識 從而保證了只有合法用戶以系統(tǒng)允許的安全級和特權(quán)集存取系統(tǒng)資源.(2 自主存取控制(discr

10、etionary access con -tro1. 按用戶意愿進(jìn)行的一種存取控制機(jī)制. 使用該機(jī)制 屬主可以自由地決定其資源由系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行訪問 粒度可達(dá)到每個用戶. (3 強(qiáng)制存取控制(mandatory access con -tro1. 將系統(tǒng)中的信息分密級和類進(jìn)行管理. SecLinux 實現(xiàn)的強(qiáng)制存取控制對系統(tǒng)中的每個客體(進(jìn)程文件設(shè)備管道IPC 客體 都賦予了相應(yīng)的安全級. 當(dāng)一進(jìn)程訪問一個客體時 依據(jù)相應(yīng)的安全規(guī)則 確定是否允許訪問.(4 最小特權(quán)管理(privi1ege access contro1. SecLinux 將原超級用戶的特權(quán)細(xì)化為32個特權(quán) 分別授

11、予4個不同的角色:系統(tǒng)安全管理員(SS0 安全審計員(AUD 安全操作員(S0P 和網(wǎng)絡(luò)管理員(NET . 每個角色只具有完成其任務(wù)所需的特權(quán) 從而滿足最小特權(quán)原理.(5 安全審計(security audit . 對系統(tǒng)中安全相關(guān)事件進(jìn)行記錄檢查及審查的過程.(6 可信通路(trusted path . 提供給用戶可信的登錄通道 以防止偽造的登錄序列.(7 密碼服務(wù)(cryptogram service . SecLinux 中內(nèi)含自主設(shè)計的密碼算法(GC 算法 并提供所需的API .(8 網(wǎng)絡(luò)安全(security network . SecLinux 的安全性在網(wǎng)絡(luò)上的拓展 是強(qiáng)制存取控

12、制機(jī)制和自主存取控制機(jī)制在網(wǎng)絡(luò)安全服務(wù)上的應(yīng)用.SecLinux 安全操作系統(tǒng)的總體結(jié)構(gòu)如圖1 所示:圖1SecLinux 安全操作系統(tǒng)結(jié)構(gòu)從圖1中看出 審計機(jī)制在整個系統(tǒng)結(jié)構(gòu)中處于很重要的地位 新增的安全機(jī)制 如標(biāo)識鑒別與可36211O 期劉海峰等:安全操作系統(tǒng)審計的設(shè)計與實現(xiàn)信通路自主存取控制強(qiáng)制存取控制最小特權(quán)管理等都要通過審計模塊 形成核內(nèi)安全策略實施情況的詳細(xì)記錄; 此外 核外的logzn 等安全相關(guān)命令和特權(quán)命令也要被審計.3審計子系統(tǒng)的設(shè)計與實現(xiàn)3. 1審計機(jī)制簡介LinuX 系統(tǒng)運行態(tài)分為用戶態(tài)和核心態(tài)兩種.用戶程序只能通過系統(tǒng)調(diào)用陷入核心 才能存取系統(tǒng)資源(文件目錄設(shè)備等D

13、運行完系統(tǒng)調(diào)用 又返回用戶態(tài). 由此得到啟發(fā) 如果在此處(稱作審計點D 增加審計控制 就可以成功地審計系統(tǒng)調(diào)用 也就可以成功地審計與安全有關(guān)的事件. 另外 對于一些特權(quán)命令 如果只對其所調(diào)用的系統(tǒng)調(diào)用進(jìn)行審計 則審計記錄過于瑣碎 不便于后期的審計分析 所以 應(yīng)該對其建立相應(yīng)的審計事件 以便單獨審計. 審計子系統(tǒng)的結(jié)構(gòu)圖如圖2 所示:圖2審計子系統(tǒng)結(jié)構(gòu)圖3. 2審計系統(tǒng)中的事件3. 2. 1審計事件及事件類待審計的用戶活動按各自的性質(zhì)不同 被視為不同的審計事件 審計事件是系統(tǒng)審計用戶動作的最基本單位. 常見的審計事件中有像open exeC 這樣的系統(tǒng)調(diào)用 它們跟系統(tǒng)的安全使用有關(guān) 所以要記錄它

14、們的執(zhí)行情況 還有一些與系統(tǒng)安全關(guān)系密切的系統(tǒng)命令和特權(quán)命令(如logzn s/ passwd 等D 也需要對其進(jìn)行審計.為了配置管理的方便 系統(tǒng)根據(jù)審計事件自身的相關(guān)性 將它們劃分成若干審計事件類 下面是一些審計事件類的例子:pLzU 審計事件類包括審計事件fzle pLzU 和pm denzed ;fzle make 審計事件類包括審計事件CLeate lznk mk node /nlznk;zd a/th審計事件類包括審計事件bad a/th logzn passwd 等.通過系統(tǒng)文件/etC /seC/Lzt/TCB /a/dzt/Classes 我們一共定義了104個審計事件 新的審

15、計事件也能方便地添加進(jìn)來 審計事件類用這樣的形式表示:alzas <事件類X <事件的集合X . 3. 2. 2審計事件標(biāo)準(zhǔn)在對用戶實施審計之前 先要確立審計標(biāo)準(zhǔn) 即需要審計哪些事件. 這個問題可以從兩方面來看:(1D 從主體(用戶和代表用戶的進(jìn)程D 角度上看 系統(tǒng)要記錄用戶進(jìn)行的所有活動 每個用戶有自己的待審計事件集 稱為用戶事件標(biāo)準(zhǔn) 一旦其行為落入用戶事件集 系統(tǒng)就會將事件信息記錄下來; (2D 從客體(文件消息信號量共享區(qū)等D 角度上看 系統(tǒng)要有能力記錄關(guān)于某一客體的所有存取活動. 為了有更好的針對性 在我們的實現(xiàn)中是先定義關(guān)于該對象的哪些操作事件要求被審計 即對象事件標(biāo)準(zhǔn)

16、再確定一個待審計的客體的MAC 安全級范圍(由一些連續(xù)的范圍和離散的點構(gòu)成D 只有屬于該范圍的客體的對象事件標(biāo)準(zhǔn)才被審計.在用戶事件標(biāo)準(zhǔn)中 每個用戶都需審計的公共部分稱為基本事件集 它由審計管理員設(shè)定. 基本事件集和用戶的事件集作并集運算 結(jié)果才是真實的用戶事件標(biāo)準(zhǔn).另外 有些事件與系統(tǒng)安全性關(guān)系非常大 任何時候都不應(yīng)免于審計. 為此 SecLinuX 安全操作系統(tǒng)定義了一個固定的審計事件集 它是系統(tǒng)最基本的事件標(biāo)準(zhǔn) 在審計管理員設(shè)置或修改基本事件集時 固定事件集總是包含在系統(tǒng)基本事件集中. 為了保障安全 固定審計事件通過硬編碼固化在內(nèi)核中4621計算機(jī)研究與發(fā)展2001年管理員不能改變它 除

17、非修改內(nèi)核程序. 在我們的安全系統(tǒng)里 固定審計事件包括:有關(guān)審計系統(tǒng)自身運行的一組事件(審計開關(guān)策略改變等 失敗的用戶登錄添加刪除用戶帳號分配MAC 安全級等.除了固定審計事件集 其它審計事件都是審計員可選的事件. 通過c/cltset系統(tǒng)命令 審計員可以設(shè)置系統(tǒng)基本事件標(biāo)準(zhǔn)用戶事件標(biāo)準(zhǔn)及用戶組事件標(biāo)準(zhǔn). 完整的審計事件標(biāo)準(zhǔn)如圖3 所示:圖3審計事件標(biāo)準(zhǔn)3. 3緩沖區(qū)管理審計數(shù)據(jù)來自于系統(tǒng)各處 在審計點搜集到的各種審計事件信息匯集到一起 等到信息量達(dá)到一定程度 就要將其寫入物理介質(zhì)(磁盤磁帶 以便永久保存.由于外部存儲介質(zhì)的I /0操作十分耗時 為了提高整體效率 很自然地要引入緩沖. 審計緩沖

18、區(qū)機(jī)制的總體示意圖如圖4 所示:圖4審計緩沖區(qū)機(jī)制的總體示意圖從圖4中看出 我們用多個相同大小的緩沖區(qū)構(gòu)成緩沖池以便提高并發(fā)度 這樣 當(dāng)某進(jìn)程寫某個緩沖區(qū)時 審計駐留進(jìn)程可以讀取其它已經(jīng)準(zhǔn)備好的緩沖區(qū).至于緩沖區(qū)大小和數(shù)目 可由審計管理員根據(jù)實際系統(tǒng)的運行狀況和審計范圍靈活地調(diào)整.緩沖區(qū)作為系統(tǒng)中審計數(shù)據(jù)的集散地 各審計點獨立地將數(shù)據(jù)寫入其中 再由一個系統(tǒng)駐留服務(wù)進(jìn)程定期將緩沖區(qū)內(nèi)容傾倒到文件中. 緩沖區(qū)作為臨界區(qū) 需要協(xié)調(diào)進(jìn)程間的同步和互斥. 不難觀察 這是較常見的多個生產(chǎn)者和一個消費者的關(guān)系 各審計點是審計信息的生產(chǎn)者 但在生產(chǎn)前先要獲得緩沖區(qū)資源 寫磁盤的審計駐留進(jìn)程是審計信息的消費者

19、消費完畢將釋放緩沖區(qū)資源. 我們利用Linux 內(nèi)核機(jī)制中的等待隊列和信號量就很好地解決了.多個生產(chǎn)者(cct lecwl 為審計點往循環(huán)緩沖區(qū)寫的進(jìn)程 要互斥使用當(dāng)前寫緩沖區(qū) 引入內(nèi)核semcp 0le 結(jié)構(gòu)的變量b/fwlltel0ck 作為互斥鎖 寫前先申請鎖 若已被別的進(jìn)程占據(jù)則睡眠等待 得到鎖才操作緩沖區(qū) 操作完畢再釋放鎖. 生產(chǎn)者和消費者(cct b/fc/mp 為循環(huán)緩沖區(qū)往磁盤上寫的進(jìn)程 之間的同步通過兩個等待隊列wclt b/flecc wclt b/fwllte 進(jìn)行. cct lecwl 寫審計記錄時 先看當(dāng)前寫緩沖區(qū)是否足夠容納待寫數(shù)據(jù) 不夠則將緩沖區(qū)標(biāo)記為滿 并喚醒等

20、待在wclt b/flecc 上的寫磁盤進(jìn)程 寫指針下移 若下一個緩沖區(qū)標(biāo)記并不為空 表明寫磁盤的進(jìn)程操作已滯后 這時應(yīng)該等待在wclt b/fwllte 隊列上 等到有可用的空緩沖區(qū)時 cct lecwl 被喚醒并開始寫入記錄數(shù)據(jù). 寫磁盤的進(jìn)程通常等待在wclt b/flecc 隊列上 某個緩沖區(qū)滿時被喚醒 它調(diào)用cct b/fc/mp將當(dāng)前讀指針開始的所有已滿緩沖區(qū)逐一寫入磁盤 并每次喚醒wclt b/fwllte 隊列 使cct lecwl 可以繼續(xù)寫562110期劉海峰等:安全操作系統(tǒng)審計的設(shè)計與實現(xiàn)審計記錄, 在該寫磁盤的緩沖區(qū)都已寫入后, 它再次睡眠在zait uf Tead 隊

21、列. 3. 4審計點的處理3. 4. 1對系統(tǒng)調(diào)用及客體安全級范圍的審計(1 在每個系統(tǒng)調(diào)用的入口處通過系統(tǒng)調(diào)用號索引N 系統(tǒng)檢查函數(shù)表H, 得到真正的檢查函數(shù)入口, 再根據(jù)系統(tǒng)調(diào)用參數(shù)決定它應(yīng)屬于哪個審計事件, 將事件號作為中間結(jié)果賦給進(jìn)程task 結(jié)構(gòu)的a ezent 備用(審計在task 結(jié)構(gòu)中添加的變量 , 接著檢查事件號是否屬于進(jìn)程審計標(biāo)準(zhǔn)a pTocemask (主體審計策略 , 是則對進(jìn)程task 結(jié)構(gòu)設(shè)審計本進(jìn)程標(biāo)記, 并且為進(jìn)程task 結(jié)構(gòu)有關(guān)審計的變量賦值; 不是則返回.(2 在每個系統(tǒng)調(diào)用的出口處檢查進(jìn)程task 結(jié)構(gòu)的審計本進(jìn)程標(biāo)記是否置位, 是則通過系統(tǒng)調(diào)用號索引N

22、 系統(tǒng)記錄函數(shù)表H, 得到真正的記錄函數(shù)入口, 調(diào)用它將審計到的數(shù)據(jù)寫入緩沖區(qū), 并清除審計本進(jìn)程標(biāo)記; 否則不做審計動作.(3 在主體訪問客體的權(quán)限檢查處對于系統(tǒng)調(diào)用引發(fā)的客體訪問, 有可能要根據(jù)客體安全級決定是否審計. 可以在客體訪問的必經(jīng)之地(如Zookup dentTy 作檢查, 若進(jìn)程task 結(jié)構(gòu)的審計本進(jìn)程標(biāo)記置位, 則說明該事件已經(jīng)屬于主體(進(jìn)程 審計范圍, 不必重復(fù)記錄, 返回即可; 否則, 根據(jù)已在系統(tǒng)調(diào)用入口判定的事件號a ezent , 檢查該事件是否屬于系統(tǒng)的對象審計標(biāo)準(zhǔn), 是則進(jìn)一步檢查當(dāng)前客體的安全級是否在待審計的系統(tǒng)安全級范圍中, 若是則置位審計本進(jìn)程標(biāo)記, 否

23、則返回. 真正的寫緩沖區(qū)動作同樣是發(fā)生在系統(tǒng)調(diào)用的出口處. 3. 4. 2對安全相關(guān)的系統(tǒng)命令的審計和系統(tǒng)調(diào)用一樣, 每個安全相關(guān)的系統(tǒng)命令也分別對應(yīng)進(jìn)程審計屏蔽字的某一位, 這些審計點必須在命令對應(yīng)的系統(tǒng)程序中添加. 由于這些審計點處于用戶態(tài), 不能直接訪問內(nèi)核的數(shù)據(jù)結(jié)構(gòu)和過程, 所以只好借助新的系統(tǒng)調(diào)用. 我們引入auditdmp 系統(tǒng)調(diào)用, 在系統(tǒng)程序中將事件號和相關(guān)信息作為auditdmp 的參數(shù)傳到內(nèi)核, 在內(nèi)核中檢查該事件是否屬于進(jìn)程審計范圍, 是則根據(jù)事件號構(gòu)造不同的審計記錄, 寫入緩沖區(qū). 3. 5審計文件和審計記錄結(jié)構(gòu)審計文件是存放審計結(jié)果的二進(jìn)制結(jié)構(gòu)文件, 每次審計開啟,

24、都會按照設(shè)定的路徑和命名規(guī)則產(chǎn)生一個新的日志文件, 文件名的形式為MMDDi i i hhmmssnodename.其中, MM 表示月份, DD 表示日期, i i i 表示序號, 編號從000到999, nodename 是一個可選的結(jié)點名, hhmmss 是文件創(chuàng)建時的時分秒, 以保證文件不重名.它有一個特殊的首記錄, 用以標(biāo)記系統(tǒng)版本信息和文件格式的幻數(shù)(magiC Humber , 其它的記錄則都對應(yīng)一個特定事件. 每條審計記錄包括公共數(shù)據(jù)和事件特有數(shù)據(jù)兩部分內(nèi)容, 其數(shù)據(jù)結(jié)構(gòu)如表1表2所示.表1公共數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)Cmn reCc Ttype 審計事件所屬類的類型c ezent 審計

25、事件類型c size 記錄大小c segnm 審計序列號c auid 審計uid c pid 進(jìn)程idc time 審計事件發(fā)生的時間c status成功失敗標(biāo)志事件特有數(shù)據(jù)對于每個事件各不相同, 比如OpeH 系統(tǒng)調(diào)用所用的數(shù)據(jù)結(jié)構(gòu)如表2所示,表2open 系統(tǒng)調(diào)用的事件特有數(shù)據(jù)cmn 公共數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)cmn Tec f fd 返回值(文件描述符fd f fname 文件名f fZags flagS f mode mOdef mac文件的MAC 安全級這樣, 有關(guān)某一事件重要信息都被記錄, 從中我們可以了解, 誰在什么時間和地點做了什么動作, 動作的具體細(xì)節(jié), 結(jié)果如何. 圖5是利用審計管

26、理命令顯示審計到的有關(guān)信息. 3. 6異常處理審計數(shù)據(jù)可能會增長得很快, 必須限制審計文件占用的文件系統(tǒng)空間. 審計管理員可以配置文件系統(tǒng)的預(yù)留空間(如10% , 在寫磁盤時檢查文件系統(tǒng)超級塊中指示的可用空間, 若低于預(yù)留值, 則視為異常情況, 需要緊急處理. 在我們的實現(xiàn)中提供了3種處理方法,(1 切換到審計文件控制結(jié)構(gòu)中設(shè)定的備用文件系統(tǒng), 繼續(xù)審計. 但這時應(yīng)該通告審計管理員做進(jìn)一步處理. 審計文件控制結(jié)構(gòu)的a pTogp 定義了一6621計算機(jī)研究與發(fā)展2001年10 期 劉海峰等 , 安全操作系統(tǒng)審計的設(shè)計與實現(xiàn) 1267 個外部程序 ( 命令或 Shell 腳本 , 它在切換文件系

27、統(tǒng) 時 自動執(zhí) 行 , 可 以 寫 控 制 臺 消 息 給 管 理 員 發(fā) 郵 件 發(fā)出 聲 音報警 自 動 轉(zhuǎn) 儲 刪 除 老 的 審 計 文 件 以 釋 放 出 磁盤空間等 . 這 個 外 部 程 序 由 管 理 員 視 具 體 應(yīng) 用 環(huán)境而定 . ( 2 關(guān)閉審計系統(tǒng) . ( 3 關(guān)閉整個系統(tǒng) . 審 計 系 統(tǒng) 運 行 過 程 中 的 出 錯 有 多 種 可 能, 如 內(nèi) 核空間分配失敗 文件創(chuàng)建和讀寫操作失敗等 , 這些 錯誤 往往難 以令 人 滿 意 地 得 到 恢 復(fù) . 所 以 我 們 只 提 供了 兩種簡 單的 出 錯 處 理 , 關(guān) 閉 審 計 系 統(tǒng) 或 關(guān) 閉 整 個

28、系統(tǒng) . 圖5 審計記錄查看 檢索 員才 能查看 和修 改 配 置 . 審 計 文 件 則 是 在 運 行 的 過 4 審計系統(tǒng)的安全保護(hù) 審 計 是 安 全 操 作 系 統(tǒng) 的 重 要 組 成 部 分, 它 監(jiān) 督 程 中 生 成 , 它 的 安 全 級 由 審 計 進(jìn) 程 ka/dztd 在 創(chuàng) 建 文件 的同 時指定 . 根 據(jù) 進(jìn) 程 創(chuàng) 建 對 象 的 安 全 級 等 于 進(jìn)程安全級的原則 , 創(chuàng)建的文件也是系統(tǒng)審計級 . 此 外 , 密碼子系統(tǒng)對于審計記錄進(jìn)行管理 , 以保證即使 審計記錄泄露出去也不會被別人看到 . 另外 , 系統(tǒng)應(yīng)能夠監(jiān)督審計管理員 , 防止其權(quán)力 過大可以為所

29、欲為 ( 例如 , 審計管理員關(guān)審計后執(zhí)行 危險操作再開審計 , 篡改審計數(shù)據(jù) , 或冒充他人做違 規(guī) 動作 . PAC 的引入提供了角色分配機(jī)制 , 使 特權(quán) 分離 , 從而限制審計管理員的權(quán)力 . 一個可行的方案 是 , 增加一個系統(tǒng)安全管理員角色 , 賦予他開審計特 權(quán) , 而 審計 管 理 員 只 擁 有 關(guān) 審 計 特 權(quán) , 這 樣 , 即 使 審 計管理員可以隨時關(guān)閉審計 , 卻無法再次打開審計 , 而且他的關(guān)審計動作也在審計文件中被記錄 . 當(dāng)然 , 也可以分配多個審計員角色 , 達(dá)到相互制約 . 著 系 統(tǒng)中各安全 特 性 的 實 施 . 如 果 審 計 系 統(tǒng) 自 身 的

30、安全被突破 , 審計數(shù)據(jù)的可靠性就無從保障 , 就不能 提 供 準(zhǔn)確的事后 分 析 和 追 蹤 , 也 就 無 法 估 計 安 全 突 破對系統(tǒng)造成的影響 . 在審計系統(tǒng)的設(shè)計實現(xiàn)中, 充分結(jié)合了 Seclinux 中的安全特性, 保證 審計的 自身 安全 . 審計 的 安 全包 括以下兩個方面 , ( 1 程序 和 代 碼 的 安 全 . 審 計 數(shù) 據(jù) 的 采 集 記 錄 部 分集成到安全 內(nèi) 核 , 審 計 進(jìn) 程 的 執(zhí) 行 不 受 外 界 影 響 , 核外的應(yīng)用程序 ( 審計管理員配置程序和審計數(shù) 據(jù) 顯 示 分 析 程 序 則 嚴(yán) 格 遵 循 強(qiáng) 制 訪 問 控 制 AC 和最小特

31、權(quán)控制 PAC, 保證只有審計管理 員 才 能使 用這些程序 . ( 2 系統(tǒng) 配 置 和 審 計 數(shù) 據(jù) 的 安 全 . 配 置 文 件 包 括系統(tǒng)和用戶審計標(biāo)準(zhǔn) 審計系統(tǒng)的運行參數(shù) 審計 事件的定義等 , 這些文件也必須施加 AC 控制 . 審 計 配 置文件的安 全 級 為 系 統(tǒng) 審 計 級 , 確 保 只 有 審 計 5 結(jié)束語 本審計系統(tǒng)是受國家自然科學(xué)基金項目和國家 九 七三 重點基 礎(chǔ)研 究 發(fā) 展 規(guī) 劃 項 目 共 同 支 持 , 在 linux 核心 2- 2- 15 基礎(chǔ)上開發(fā)的 , 是國 內(nèi)首 創(chuàng)的安 1268 計 算 機(jī) 研 究 與 發(fā) 展 6 2001 年 Ulf

32、 Lindgvist Ulf Gustaf son. An approach Proc of the 21st National Arlington 全標(biāo) 記 保護(hù)級安 全 操 作 系 統(tǒng) 的 重 要 組 成 部 分 . 本 系 統(tǒng)產(chǎn)生的審計記錄符合標(biāo)準(zhǔn) Unix 審計記錄 7 Stef an Axelsson 這為 to Unix security logging. In, VA USA 1998. 62 75 7 以后審計分析及入侵檢測的開發(fā)打下了良好的基 礎(chǔ) . 通過模擬程序的運行比較 與原 Linux 系統(tǒng)相比 效 率 下降少于 5% . 該系統(tǒng) 充分利 用 了 SecLinux 的

33、MAC PAC 域間隔離及密碼服務(wù)等安全特性 使自 身的安全得到保障 . 參 1 2 3 Inf ormation Systems Security Conf . Crystal City Matt Bishop. A standard audit trail f ormat. In, Proc of the 18th National Inf ormation Systems Security Conf . Baltimore Maryland USA 1995. 136 145 劉海峰 術(shù). 男 1975 年生 博士研究生 考 文 獻(xiàn) 主要研究方向為信息系統(tǒng)安全理論與技 A Guide t

34、o Understanding Audit in Trusted Systems. NCSCTG-001 ver 2. National Computer Security Center 1988 Trusted Computer System Evaluation Criteria. DoD 5200. 28STD. U S Department of Def ense. 1985 GB 17859-1999. 中 華 人 民 共 和 國 國 家 標(biāo) 準(zhǔn) , 計 算 機(jī) 信 息 系 統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則 1999 ( GB 17859-1999. National Criteria of People s Republic of China, Classif ied criteria f or security protection of computer inf ormation systems( in Chinese . 1999 劉霞 丁紅兵. 網(wǎng) 絡(luò) 安 全 審 查 與 控 制 安全性專輯 . 北京 , 學(xué)苑出版社 ( Liu Xi