下载掌阅APP,畅读海量书库
立即打开
上一回讲道,分时系统在20世纪60年代得到广泛应用后,人们意识到,使用计算机会带来安全风险。为了解决这个问题,早期的计算机安全研究者们开始了漫长的探索之路。
最早的研究和尝试,仍然来自美国军方。
不过这个故事,要从一家知名的美国军事承包商谈起。这是一家飞机与导弹的制造商,名叫麦克唐纳飞行器公司(其标志见图2-1)。
图2-1 麦克唐纳飞行器公司的标志
麦克唐纳飞行器公司建造了用于美国第一次载人航天计划的水星太空舱,还设计并制作造了第一架能够降落在航空母舰上的喷气式飞机——FH-1“幻影”舰载机。
麦克唐纳飞行器公司在航天与飞机制造领域具有雄厚的实力,因此与美国军方关系非常密切。20世纪60年代,麦克唐纳飞行器公司花重金购买了一台电子计算机,主要用于处理与军方合作的一些保密项目。
但是,这台计算机除了处理军方保密项目,大部分时间是闲置的,无法产生任何经济效益。所以,麦克唐纳飞行器公司希望在这台计算机在没有承担军方任务的时候,能租给公司的一些商业客户,一方面可以收回一部分计算机的购买成本,另一方面还可以与客户建立更加密切的业务关系。
于是,麦克唐纳飞行器公司向美国国防部和美国空军提出了出租计算机的请求。
对于这个请求,美国国防部与美国空军都很重视,也有一点紧张,因为他们从来没有认真考虑过计算机安全方面的事情。
为此,美国国防部于1967年专门成立了一个委员会,用来调查多用户分时计算机系统的安全问题。该委员会的成员来自中央情报局、国家安全局等美国政府机构和洛克希德公司
等军事承包商,由兰德公司
的威利斯·威尔担任主席。经过近3年的调查,该委员会于1970年向美国国防部提交了一篇报告,史称《威尔报告》,如图2-2所示。这份报告十分重要,因为它首次提出了一系列关于计算机安全与对抗的重要观点。
《威尔报告》指出:第一,随着计算机变得越来越复杂,其安全风险也会增加,因为计算机变复杂了,系统就难免会出现一些漏洞;第二,计算机用户的操作能力越来越强,技术水平越来越高,约束、控制这些用户操作行为的难度会随之升高,而且一些计算机用户可能会因为各种原因转变为恶意的攻击者,这些攻击者可能会探测、利用这些漏洞,以达到不可告人的目的。
图2-2《威尔报告》
根据《威尔报告》的结论,美国国防部出于安全的考虑拒绝了麦克唐纳飞行器公司将涉密计算机对外出租的请求。
《威尔报告》在当时是很了不起的,它提出的主要观点,直到现在依然适用。此外,《威尔报告》还提出了一些以保护机密文件为目的的安全策略,不过这些策略过于严格,根本没有办法大范围推广应用。那么,在实际操作层面,应该如何合理、有效地实现信息安全管控呢?
1972年,美国空军组建了第二个委员会,专门研究计算机系统安全问题的解决方案。
该委员会由美国空军电子系统部的罗杰·谢尔少校牵头,他组建了一个由美国空军和美国国家安全局专家组成的团队,用了7个月的时间,撰写了一份研究报告,以主笔人詹姆斯·安德森的名字命名,称为《安德森报告》,如图2-3所示。
图2-3《安德森报告》
《安德森报告》重申了《威尔报告》关于计算机复杂性会增加安全风险的观点,给出了对策建议。
建议的核心观点是,在设计与实现计算机系统的阶段,就应该充分考虑安全问题,而不是等系统出现安全问题后再考虑如何弥补。
《安德森报告》认为,当前美国空军的计算机安全管控措施效率低下,耗费了大量人力物力,导致空军每年都要损失1亿美元。
为此,《安德森报告》建议创建一个安全的计算机操作系统来提升安全管控的效率,制造这样一个系统只需要800万美元。
《安德森报告》明确提出了“安全内核”的系统设计理念。具体内容是,为操作系统设计一个安全内核,这个安全内核在接收到用户访问计算机的请求时,能够自动评估这个请求是不是安全的,并做出允许用户访问或者拒绝用户访问的决定。同时,这个安全内核能够确保自身持续正常运转,并能够防范恶意用户对它进行篡改或绕过安全内核。
《安德森报告》提出的安全系统设计理念受到了广泛重视。当时,美国国防部正在出资赞助一个名为马提克斯(Multics)的操作系统,麻省理工学院、通用电气公司和贝尔实验室都是这个操作系统的合作设计方。
马提克斯操作系统(其标志见图2-4)充分吸收了《安德森报告》提出的理念,设计并实现了安全内核以及相应的安全功能,成为第一个高度重视信息安全的计算机操作系统。
图2-4 马提克斯操作系统的标志
在具体安全功能的实现上,马提克斯操作系统使用了一种圆环形的安全结构。这种结构有点像打靶用的靶标,上面有许多同心圆环,靶心的编号是0,然后由内向外依次编为1号、2号、3号、4号等。马提克斯操作系统规定,编号为0~3的(内环)只能由操作系统本身使用,而编号为4及以上的(外环)由用户程序使用。外环中的程序不能影响、损害内环中的程序,通过这样的机制,保证操作系统的安全。
然而,让美国军方和各家设计单位意外的是,虽然马提克斯操作系统一开始就内置了安全功能,又严格践行了“安全内核”理念,但这个操作系统的安全性,却没有达到他们期待的结果。
这里,不得不提到“老虎队”。在20世纪60年代,为了评估计算机系统的安全性,美国政府成立了一个名为“老虎队”(Tiger Team)的安全测试评估小组,专门从攻击者的角度来模拟攻击者的行为,对计算机系统进行360°无死角测试。
“老虎队”的工作目标是识别计算机系统中的漏洞,然后对其进行“修补”。“老虎队”的测试行为称为渗透测试,对漏洞进行修复的行为称为打补丁。
“老虎队”是世界上最早进行计算机系统安全评估的团队之一,他们曾经对许多知名的商业计算机系统进行过测试评估,积累了许多行之有效的攻击技术与方法。马提克斯操作系统要想证明自己的安全性能,就必须通过老虎队的“终极考验”。
1974年6月,美国空军发表了一篇论文,专门描述了对最新版马提克斯操作系统进行攻击性测试的评估结果。通过测试,“老虎队”发现马提克斯操作系统中的3个主要漏洞,其中有一个比较严重;通过这个漏洞,攻击者可以获取存储在系统中的所有密码。
美国空军的这篇论文,详细描述了这些漏洞及其被发现的过程,同时也宣称,发现这些漏洞其实并没有让“老虎队”付出太多的努力。
而对于马提克斯操作系统,“老虎队”给出的最终结论是:它虽然比当时其他的商业操作系统要更安全些,但仍然不是一个足够安全的系统,因为它没有办法有效防范攻击者的蓄意攻击。
客观地说,“老虎队”针对马提克斯操作系统的安全测试证明,想要构建一个理想的安全操作系统绝非易事。但这并未打击计算机安全研究者们的信心,反而大大激发了他们的研究热情。
在马提克斯操作系统遭遇“滑铁卢”后,早期计算机安全研究者们仍然在持续不断地努力尝试,他们试图提出更加科学严谨的设计理念,构建更加安全的系统模型,设计更加严密的安全防护措施。
那么,他们的这些努力,有没有取得预期的效果呢?
(1)随着计算机变得越来越复杂,安全风险也会增加;因为计算机变复杂了,系统难免就会出现一些漏洞。与此同时,计算机用户的操作能力会越来越强,技术水平会越来越高,约束、控制这些用户操作行为的难度也会随之升高。一些计算机用户可能会因为各种原因转变为恶意的攻击者,这些攻击者可能会探测、利用这些漏洞,以达到不可告人的目的。
(2)安全内核的系统设计理念是指为操作系统设计一个安全的内核,这个内核在收到用户访问计算机的请求时,能够自动评估这个请求是不是安全的,并作出允许用户访问或者拒绝用户访问的决定。同时,这个安全内核能够确保自身持续正常运转,并能够防范恶意用户对它进行篡改或绕过该内核。
(3)渗透测试是指从攻击者的角度模拟攻击者的行为,对系统进行360°无死角的测试。
[1]Willis H.Ware.Security controls for computer systems:report of defense science board task force on computer security[R].Santa Monica:Rand,1979.
[2]James P.Anderson.Computer security technology planning study[R].Gaithersburg:NIST,1998.
(1)马提克斯操作系统的主页。(Multics官网)
(2)渗透测试。(知乎)
1.判断题
马提克斯系统是一个安装在计算机上的安全软件。( )
2.判断题
随着计算机变得越来越复杂,安全风险也会增加;因为计算机变复杂了,系统难免会出现一些漏洞。( )
3.单选题
马提克斯系统使用了一种圆环形的安全结构,由内向外编号依次为是0号、1号、2号、3号、4号,其中不能由操作系统本身使用的是( )
(A)0号
(B)1号
(C)2号
(D)3号
(E)4号
4.多选题
《安德森报告》明确提出了“安全内核”的系统设计理念,“安全内核”理念的内容包括( )
(A)提供高效可靠的网络通信能力
(B)接收用户访问计算机的请求,并自动评估这个请求是不是安全
(C)确保自身持续正常运转,并防范恶意用户篡改或绕过“安全内核”
(D)必须使用圆环形的安全结构