第八章操作系统安全配置方案1

第八章操作系统安全配置方案内容提要本章介绍Windows2000服务器的安全配置。操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。操作系统概述目前服务器常用的操作系统有三类：UnixLinuxWindowsNT/2000/2003Server。这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。主要特色UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。（1）可靠性高（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持功能（5）开放性好Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intelx86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix（是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，也有好几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。Linux典型的优点有7个。（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台Windows系统WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows9X相比，WindowsNT的网络功能更加强大并且安全。WindowsNT系列操作系统WindowsNT系列操作系统具有以下三方面的优点。（1）支持多种网络协议由于在网络中可能存在多种客户机，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议、IPX/SPX等。WindowsNT系列操作支持几乎所有常见的网络协议。（2）内置Internet功能随着Internet的流行和TCP/IP协议组的标准化，WindowsNT内置了IIS（InternetInformationServer），可以使网络管理员轻松的配置等服务。（3）支持NTFS文件系统Windows9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。安全操作系统的研究发展操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性，信息系统的安全性是没有基础的国外安全操作系统的发展Multics是开发安全操作系统最早期的尝试。1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统，其目标是要向大的用户团体提供对计算机的并发访问，支持强大的计算能力和数据存储，并具有很高的安全性。贝尔实验室中后来参加UNIX早期研究的许多人当时都参加了Multics的开发工作。由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想。事实上连他们自己也不清楚什么时候，开发到什么程度才算达到设计的目标。虽然Multics未能成功，但它在安全操作系统的研究方面迈出了重要的第一步，Multics为后来的安全操作系统研究积累了大量的经验，其中Mitre公司的Bell和LaPadula合作设计的BLP安全模型首次成功地用于Multics，BLP安全模型后来一直都作为安全操作系统开发所采用的基础安全模型。国外安全操作系统的发展Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50的安全控制的研究成果。安全Adept-50运行于IBM/360硬件平台，它以一个形式化的安全模型——高水印模型（High-Water-MarkModel）为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。在该系统中可以为客体标上敏感级别（SensitivityLevel）属性。系统支持的基本安全条件是，对于读操作不允许信息的敏感级别高于用户的安全级别（Clearance）；在授权情况下，对于写操作允许信息从高敏感级别移向低敏感级别。国外安全操作系统的发展1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（AccessMatrix）的思想第一次对访问控制问题进行了抽象。主体是访问操作中的主动实体，客体是访问操作中被动实体，主体对客体进行访问。访问矩阵以主体为行索引、以客体为列索引，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第j个客体Oj的访问方式，比如Mij＝{Read，Write}表示Si可以对Oj进行读和写操作。1972年，J.P.Anderson在一份研究报告中提出了访问监控器（ReferenceMonitor）、引用验证机制（ReferenceValidationMechanism）、安全内核（SecurityKernel）和安全建模等重要思想。J.P.Anderson指出，要开发安全系统，首先必须建立系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计与实现。国外安全操作系统的发展1973年，B.W.Lampson提出了隐蔽通道的概念，他发现两个被限制通信的实体之间如果共享某种资源，那么它们可以利用隐蔽通道传递信息。同年，D.E.Bell和L.J.LaPadula提出了第一个可证明的安全系统的数学模型，即BLP模型。1976年Bell和LaPadula完成的研究报告给出了BLP模型的最完整表述，其中包含模型的形式化描述和非形式化说明，以及模型在Multics系统中实现的解释。PSOS（ProvablySecureOperatingSystem）提供了一个层次结构化的基于权能的安全操作系统设计，1975年前后开始开发。PSOS采用了层次式开发方法，通过形式化技术实现对安全操作系统的描述和验证，设计中的每一个层次管理一个特定类型的对象，系统中的每一个对象通过该对象的权能表示进行访问。KSOS（KernelizedSecureoperatingSystem）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，由Ford太空通讯公司承担。KSOS采用了形式化说明与验证的方法，目标是高安全可信性。国外安全操作系统的发展UCLASecureUnix也是美国国防部研究计划局于1978年前后发起的一个安全操作系统研制项目，由加里福尼亚大学承担。UCLASecureUnix的系统设计方法及目标几乎与KSOS相同。LINVSⅣ是1984年开发的基于UNIX的一个实验安全操作系统，系统的安全性可达到美国国防部橘皮书的B2级。它以4.1BSDUnix为原型，实现了身份鉴别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统，它最初是在IBMPC/AT平台上实现的。SecureXenix对Xenix进行了大量的改造开发，并采用了一些形式化说明与验证技术。它的目标是TCSEC的B2到A1级。IBM公司的V.D.Gligor等在发表SecureXenix系统的设计与开发成果中，把Unix类的安全操作系统开发方法划分成仿真法和改造/增强法两种方式。SecureXenix系统采用的是改造/增强法。另外值得指出的是SecureXenix系统基于安全注意键（SAK，SecureAttentionKey）实现了可信通路（TrustedPath），并在安全保证方面重点考虑了3个目标：⑴系统设计与BLP模型之间的一致性；⑵实现的安全功能的测试；⑶软件配置管理工具的开发。国外安全操作系统的发展1987年，美国TrustedInformationSystems公司以Mach操作系统为基础开发了B3级的Tmach（TrustedMach）操作系统。除了进行用户标识和鉴别及命名客体的存取控制外，它将BLP模型加以改进，运用到对MACH核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制和对端口、存储对象、任务等的安全标识来加强微核心的安全机制。1989年，加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。在实现中安全TUNIS改进了BLP模型,并用TuringPlus语言（而不是C）重新实现了Unix内核，模块性相当好。TuringPlus是一种强类型高级语言，其大部分语句都具有用于正确性证明的形式语义。在发表安全TUNIS设计开发成果中，Gernier等指出，如果不进行系统的重新设计，以传统Unix系统为原型，很难开发出高于TCSEC标准的B2级安全操作系统，这一方面是因为用于编写Unix系统的C语言是一个非安全的语言，另一方面是因为Unix系统内部的模块化程度不够。安全TUNIS系统的设计目标是B3-A1级，支持这个目标的关键也在于：第一其采用了TuringPlus语言，第二其采用了安全策略与安全机制相分离的方法，并提供了一个简单而结构规范的TCB，从而简化了TCB的验证工作。国外安全操作系统的发展ASOS（ArmySecureOperatingSystem）是针对美军的战术需要而设计的军用安全操作系统，由TRW公司1990年发布完成。ASOS由两类系统组成，其中一类是多级安全操作系统，设计目标是TCSEC的A1级；另一类是专用安全操作系统，设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序，都能根据不同的战术应用需求进行配置，都可以很容易地在不同硬件平台间移植，两类系统还提供了一致的用户界面。从具体实现上来看，ASOS操作系统还具有