信息系统安全第四讲操作系统安全

信息系统安全第四讲操作系统安全张焕国武汉大学计算机学院目录1、信息系统安全的基本概念2、密码学(1)3、密码学(2)4、操作系统安全(1)5、操作系统安全(2)6、数据库安全(1)7、数据库安全(2)8、可信计算(1)9、可信计算(2)一、操作系统安全的概念我们的学术观点：硬件结构的安全和操作系统的安全是信息系统安全的基础，密码、网络安全等是关键技术。一、操作系统安全的概念1、操作系统是信息系统安全的基础之一：①操作系统是软件系统的底层；②操作系统是系统资源的管理者；③操作系统是软硬件的接口。2、操作系统安全的困难性①操作系统的规模庞大，以至于不能保证完全正确。②理论上一般操作系统的安全是不可判定问题。3、我国必须拥有自己的操作系统①操作系统受治于人，不能从根本上确保信息安全；②立足国内，发展自己的操作系统。二、操作系统的安全评价1、操作系统安全要求一般对安全操作系统有以下要求：①安全策略：要有明确、严谨、文档齐全的安全策略②标识：每个实体必须标识其安全级别③认证：每个主体必须被认证④审计：对影响安全的事件，必须记录日志，并进行审计。⑤保证：系统必须确保上述4项要求被实施⑥连续性保护：实现安全的机制必须是不间断地发挥作用，并且未经许可不可改动。二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：①D级：最低的安全保护级D级是最低的安全保护级属于D级的系统是不安全的除了物理上的一些安全措施外，没有什幺其它安全用户只要开机后就可支配所有资源DOS,WINDOWS3.2,MOS二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：②C1级：自主安全保护级通过用户名和口令进行身份认证每个用户对属于他们自己的客体具有控制权划分属主、同组用户和其他用户3个层次。属主控制这3个层次的存储权限实体没有划分安全级别多数UNIX、LINUX，WindowsNT二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：③C2级：受控制的安全保护级系统记录日志，并进行审计。身份认证更强，口令以密文存储。采用以用户为单位的自主访问控制机制。部分UNIX、LINUX，VMS二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：④B1级：标记安全保护级采用多级安全策略采用强制访问控制强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。实体都划分安全级别属主也不能改变对自己客体的存储权限二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：⑤B2级：结构化的安全保护级要有形式化的安全模型更完善的强制访问控制隐通道分析与处理一般认为B2级以上的操作系统才是安全操作系统Honeywell公司的MULTICS、TIS公司的TrustedXENIX3.04.0二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：⑥B3级：安全域级把系统划分为一些安全域，用硬件把安全域互相分割开来，如存储器隔离保护等。提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。更全面的访问控制机制。更严格的系统结构化设计。更完善的隐通道分析。HFS公司的UNIXXTS-2000STOP3.1E二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：⑦A1级：验证安全设计级安全模型要经过数学证明对隐通道进行形式化分析Honeywell公司SCOMP、波音公司MLSLANOS注意：分级的顶端是无限的，还可加入A2、A3级等。每一级的安全性都包含前一级的安全性。二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：DC1C2B1B2B3A1二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：（GB117859－1999）根据中国国情、参照桔皮书，将其7的级别合并为5个级别①第一级：用户自主保护级；②第二级：系统审计保护级；③第三级：安全标记保护级；④第四级：结构化保护级；⑤第五级：访问验证保护级。二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：①第一级：用户自主保护级；通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。自主访问控制例如：访问控制表身份鉴别例如：口令数据完整性通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：②第二级：系统审计保护级；与用户自主保护级相比，本级的计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。自主访问控制访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。身份鉴别通过为用户提供唯一标识、计算机能够使用户对自己的行为负责。计算机还具备将身份标识与该用户所有可审计行为相关联的能力。阻止客体重用客体只有在释放且清除原信息后才让新主体使用审计计算机能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：③第三级：安全标记保护级；具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。强制访问控制计算机对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。标记计算机应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：④第四级：结构化保护级；建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。考虑隐蔽通道。必须结构化为关键保护元素和非关键保护元素。计算机的接口也必须明确定义，使其设计与实现能经受更充分的测试。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。二、操作系统的安全级别3、中国计算机信息系统安全保护等级划分准则：⑤第五级：访问验证保护级本级的计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。支持安全管理员职能，扩充审计机制，提供系统恢复机制。系统具有很高的抗渗透能力。隐蔽信道分析可信路径可信恢复二、操作系统的安全级别4、桔皮书和GB117859的局限性①桔皮书注意确保数据的秘密性，而没有注意确保数据的真实性和完整性。②忽略了防范诸如拒绝服务之类的攻击。③只给出了评测等级，没有给出达到这种等级所要采取的系统结构和技术路线。二、操作系统的安全级别5、CC标准：①美国国家安全局、国家技术标准研究所、法国、加拿大、英国、德国、荷兰六国七方，联合提出了新的“信息技术安全评价通用准则”（CCforITSEC），并于1999年5月正式被ISO颁布为国际标准，。②增强了对真实性和完整性的保护。③仍没有给出达到标准所要采取的系统结构和技术路线。三、操作系统的安全机制操作系统安全的目标：对用户进行身份识别；根据安全策略，进行访问控制，防止对计算机资源的非法存取；标识系统中的实体；监视系统的安全运行；确保自身的安全性和完整性。三、操作系统的安全机制1、实体保护多道程序的增长，使得许多实体需要保护。⑴需要受保护的实体：存储器；IO设备；程序；数据。三、操作系统的安全保护技术1、实体保护⑵保护方法：①隔离操作系统的一个基本安全方法是隔离，把一个客体与其它客体隔离起来。物理隔离：不同的处理使用不同的物理设备。如，不同安全级别的处理输出使用不同的打印机；三、操作系统的安全机制①隔离时间隔离：不同安全级别的处理在不同的时间执行；逻辑隔离：用户的操作在没有其它处理存在的情况下执行。操作系统限制程序的访问，以使该程序不能访问允许范围之外的客体。虚拟机是软件是运行在硬件之上、操作系统之下的支撑软件，可以使一套硬件运行多个操作系统，分别执行不同密级任务。密码隔离：用密码加密数据，以其它处理不能理解的形式隐藏数据三、操作系统的安全机制①隔离然而隔离仅仅是问题的一半。我们除了要对用户和客体进行隔离外，我们还希望能够提供共享。例如，不同安全级别的处理能调用同一个的算法或功能调用。我们希望既能够提供共享，而又不牺牲各自的安全性。三、操作系统的安全机制1、实体保护⑵保护方法：②隔绝当操作系统提供隔绝时，并发运行的不同处理不能察觉对方的存在。每个处理有自己的地址空间、文件和其它客体。操作系统限制每个处理，使其它处理的客体完全隐蔽。三、操作系统的安全机制1、实体保护⑶存储器的保护：多道程序的最重要问题是阻止一个程序影响另一个程序的存储器。这种保护可以作成硬件机制，以保护存储器的有效使用，而且成本很低。①固定地址界限设置地址界限，使操作系统在界限的一边，而用户程序在界限的另一边。主要是阻止用户程序破坏操作系统的程序。这种固定界限方式的限制是死扳的，因为给操作系统预留的存储空间是固定的，不管是否需要。三、操作系统的安全机制1、实体保护⑶存储器的保护：①固定地址界限操作系统操作系统硬件地址界限操作系统用户程序0n-1n高三、操作系统的安全机制1、实体保护⑶存储器的保护：②浮动地址界限界限寄存器（fenceregister）：它存储操作系统的端地址。与固定界限方式不同，这里的界限是可以变化的。每当用户程序要修改一个地址的数据时，则把该地址与界限地址进行比较，如果该地址在用户区则执行，如果该地址在操作系统区则产生错误信号、并拒绝执行。三、操作系统的安全机制1、客实体保护⑶存储器的保护：②浮动地址界限操作系统操作系统界限寄存器操作系统用户程序0n-1n高三、操作系统的安全机制1、实体保护⑶存储器的保护：②浮动地址界限一个界限寄存器的保护是单向的。换句话说，可保护用户不侵入操作系统区，但不能保护一个用户对另一用户区的侵入。类似地，用户也不能隔离保护程序的代码区和数据区。通常采用多对地址界限寄存器，其中一个为上界，另一个为下界（或一个为基址，另一个为界长）。把程序之间，数据之间，堆栈之间隔离保护起来。三、操作系统的安全机制1、实体保护⑶存储器的保护：②浮动地址界限操作系统程序2上界寄存器操作系统程序30n-1n高操作系统程序1下界寄存器mm+1基址寄存器界长寄存器三、操作系统的安全机制1、实体保护⑷运行保护：•安全操作系统采用分层设计；•运行域是进程运行的区域；•运行域保护机制：根据安全策略，把进程的运行区域划分为一些同心环，进行运行的安全保护。•最内环具有最小的环号，具有最高的安全级别；•最外环具有最大的环号，具有最低的安全级别；•内环不受外环的入侵，却可利用外环的资源，并控制外环。三、操作系统的安全机制1、实体保护⑷运行保护：R0R1Rn三、操作系统的安全机制1、实体保护⑸IO保护：IO保护是系统中最复杂的；大多数情况下，把IO设备视为文件，且规定IO是仅由操作系统完成的一个特权操作，对读写操作提供一个高层系统调用。在这一过程中，用户不控制IO操作的细节。三、操作系统的安全机制2、标识与认证⑴标识标识是系统为了正确识别、认证和管理实体而给实体的一种符号；用户名是一种标识，为的是进行身份认证；安全级别也是一种标识，为的是进行安全的访问控制。标识需要管理；标识活性化、智能化，是值得研究的新方向。⑵认证在操作系统中主要是用户的身份认证。三、操作系统的安全机制3、访问控制访问控制的目的：确保主体对客体的访问只能是授权的