Solaris 10的安全评估

2006年12月18日

操作系统的安全是用户不易知道是否可以去信任该操作系统，CC（Common Criteria）安全评估标准，最初由美国National Institute of Standards and Technology（NIST）和National Security Agency（NSA）、加拿大Communications Security Establishment（CSE）、法国SCSSI、德国BSI、英国Communications Electronics Security Group（CESG）等组织发起，于1999年被批准为国际标准，它取代了原来较老的安全评估标准，包括美国可信计算机系统评估标准（Trusted Computer System Evaluation Criteria，TCSEC），欧洲信息技术安全评估标准（European Information technology Security Evaluation Criteria，ITSEC）等，CC标准已经被国际标准化组织采纳为ISO15408，其安全评估采用Evaluation Assurance Level（EAL）等级，EAL安全评估认证等级越高，操作系统安全的可信度越高，用户可以在统一的安全性标准下确定所需的安全性等级，很多厂家也公布自己的认证的产品：

http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4

Sun Solaris 9 8/03于2005年1月通过CC安全评估标准的EAL4+认证

SuSE Linux Enterprise Server 9 IBM版于2005年3月通过CC安全评估标准的EAL4+认证， SP2版于2005年10月通过CC安全评估标准的EAL3+认证

IBM AIX 5L V5.2于2006年5月通过CC安全评估标准的EAL4+认证

HP-UX 11iv2于2006年5月通过CC安全评估标准的EAL4+认证

Red Hat Enterprise Linux 4 Update 1 AS/WS于2006年1月通过CC安全评估标准的EAL4+认证， AS Update 4于2006年9月通过CC安全评估标准的EAL3+

微软 Windows Server 2003标准版/企业版/数据中心版于2006年9月通过CC安全评估标准的EAL4+及增强ALC_FLR.3（保证生命期缺陷补救措施）的认证

....等，EAL有7个等级：

EAL 1 – function tested，功能检查，产品与文档是否相符
EAL 2 – structurally tesed，结构性检查，包括设计历史和测试等评估过程
EAL 3 – methodically tested，and checked，测试评估设计和开发，包括开发环节检查
EAL 4 – methodically designed， tested，and reviewed对设计开发和实现做更深的分析
EAL 5到7 ...略，因在美国，此级评估不由第3方完成，而由政府完成。

Solaris 10 Trusted Extensions面向CC安全评估标准的EAL4+及增强受控访问保护配置（Controlled Access Protection Porfile，CAPP）、基于角色的访问控制（Role Based Access Control PP，RBACPP）和基于标签的安全认证（Labeled Security PP，LSPP）认证等，原美国TCSEC C2认证对应于现在的CAPP认证，原美国TCSEC B1认证对应于现在的LSPP认证，Sun原有单独的B1安全级别的Trusted Solaris 8，现Solaris 10同样认证，具有所谓 Trusted操作系统的特点：

1。不影响正常的使用功能的情况下应易于配置，

2。Mandatory Access Control（MAC）强制型访问控制，数据的访问基于labels，操作系统中所有的objects（如文件/目录/内存/设备等）和subjects（包括命令/程序/进程等）被labeled，如一subject（程序）访问一object（设备）,比较subject和object的label，以决定访问允许还是被禁止，即文件从指定打印机上打印，如不采用MAC访问控制，那无论Solaris和MS Windows都可实现打印，因此时只检查用户权限，如用户有权限，则打印机当然可打印出文件，但如该系统采用MAC访问控制，用户登录到系统中，可能会发现，该文件就是不能从该打印机上打印出，因安全级别不同而文件和打印机设备的label不同，所谓拥有大炮的士兵不一定就能开炮，此为军用级系统所需的安全控制，但我们看到电视剧《垂直打击》和《突出重围》等中常有美女电子战专家冲到敌指挥部里就猜口令，获得用户名就改变了红蓝两军的胜负，这一定是没采用MAC功能的非CC EAL+增强安全认证的电脑，而Label属于数据就分unclassified、confidential、secret、和top secret几种，在Solaris中用户一旦创建，就不能改变object的label，无授权也不可改变MAC访问控制，Sun的Solaris用户有条件时下载一下最新操作系统，体验一下。

3。Clearances，包括分级和隔离，操作系统访问授权基于need-to-know。

4。Labels分级，包括敏感和解密分级，以决定什么信息可访问。

5。Role角色，传统Unix中的root超级用户不再存在，可用root进行系统的安装，其它由角色，按适当授权，其行为可被审计。

6。Least Privileges最小权限，分开原Unix中的root超级用户的权限，保证严格控制访问权限。

7。Trusted Path可信路径，区别真实的访问路径和欺骗程序等，保证访问敏感信息路径的可信。

8。Trusted File System可信文件系统，专用文件系统，包括文件/目录的label。

9。Trusted Networking可信网络，网络包带识别label，可被网络上同样安全设置的操作系统所识别，其它低安全认证的操作系统因无功能识别网络包label而丢掉通过，所以即便在电视剧《突出重围》中有人拿普通PC/Windwos接入网络，因Trusted网络包被丢掉，所以也不可能看到什么有用的，相关信息可跨TCP/IP网。

10。 Trusted Windows系统，在图形界面各因应用窗口都有label设置，用户只能由自己所对应的label操作相同label的窗口，即只能用同样安全级别的窗口应用。

Solaris 10据说是实现了原Trusted Solaris的85％的功能，已于今年6月份开始CC安全评估认证，预计在2007年夏完成，感兴趣OpenSolaris相关进展和原码的，可访问：

http://www.opensolaris.org/os/community/security/projects/tx/