SELINUX的研究與改進(jìn).pdf

1、人類社會正邁向一個(gè)高度信息化、數(shù)字化的時(shí)代。在這種形勢下,大量的信息被數(shù)字化并由信息系統(tǒng)統(tǒng)一維護(hù)和管理。隨著信息系統(tǒng)的不斷完善,信息系統(tǒng)管理著越來越多重要的數(shù)據(jù),信息系統(tǒng)的安全性已成為信息系統(tǒng)設(shè)計(jì)中十分重要的問題。由于操作系統(tǒng)處于信息系統(tǒng)最底層,具有基礎(chǔ)和核心地位,操作系統(tǒng)的安全成為了整個(gè)信息系統(tǒng)安全的前提和根本保證,因此對操作系統(tǒng)層級的安全機(jī)制的研究是十分必要的。
　　 信息系統(tǒng)安全的重要內(nèi)容是保證系統(tǒng)中數(shù)據(jù)的安全,而數(shù)據(jù)的安

2、全性可通過存取訪問控制來實(shí)現(xiàn)。目前,Linux操作系統(tǒng)以其優(yōu)越、穩(wěn)定的系統(tǒng)性能贏得了越來越多用戶的青睞。面對不斷提升的安全需求,Linux操作系統(tǒng)的存取訪問控制機(jī)制也在不斷發(fā)展和完善。例如,最新的Linux2.6內(nèi)核中集成了支持強(qiáng)制訪問控制的SELinux安全子系統(tǒng)用于滿足高等級安全需求。但是這些機(jī)制仍存在許多不足之處。
　　 本文首先介紹和詳細(xì)分析了SELinux強(qiáng)制訪問控制機(jī)制相關(guān)方面的內(nèi)容(主要包括操作系統(tǒng)的安全體系結(jié)構(gòu)和

3、安全模型,SELinux介紹、SELinux訪問控制機(jī)制和SELinux中安全服務(wù)器的實(shí)現(xiàn)等)。
　　 同時(shí),一個(gè)安全操作系統(tǒng)的審計(jì)子系統(tǒng)需要對系統(tǒng)中的安全相關(guān)活動進(jìn)行記錄、檢查和審核,從底層的具體操作抽象出用戶行為意圖。它的主要目的是檢測和制止非法用戶對信息系統(tǒng)的入侵,并顯示合法用戶的誤操作及記錄系統(tǒng)出現(xiàn)錯(cuò)誤前的狀態(tài)。內(nèi)核是與硬件接觸最緊密的操作系統(tǒng)構(gòu)件,將審計(jì)系統(tǒng)置于內(nèi)核之中能直接從底層得到原始的審計(jì)數(shù)據(jù)。在此基礎(chǔ)上,主要進(jìn)

4、行了如下工作:
　　 1.將Linux用戶進(jìn)行歸類,將用戶分類的概念引入SELinux,對SELinux的用戶管理進(jìn)行了改進(jìn)與實(shí)現(xiàn)。解決了SELinux中用戶間分配相同角色集的分配方式不靈活及用戶在不同角色集之間的轉(zhuǎn)渙方式不靈活且容易產(chǎn)生不安全因素的問題。
　　 2.深入研究了SELinux的強(qiáng)制訪問控制機(jī)制和訪問控制策略,提出了一套利用SELinux的訪問控制機(jī)制和策略來加強(qiáng)審計(jì)系統(tǒng)自身安全的辦法。綜合應(yīng)用安全審計(jì)理論