搜索
四川交通职业技术学院第四章操作系统安全四川交通职业技术学院4.1Windows系统安全1Windows2003的安全环境2Windows2003的安全服务3Windows2003的安全模式4Windows2003Server的安全管理5基于Windows2003建立安全的Web站点6安全工具四川交通职业技术学院所有的安全服务并非均由操作系统完成,如:认证或者数字签名等均由网络中的应用层来完成。如何对Windows2003网络操作系统进行安全管理,一般是通过如下几个方面来进行的。·访问控制通过对特定的网段以服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标以前。·检查安全漏洞通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。·监控系统通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。四川交通职业技术学院·加密通讯主动的加密通讯,可使攻击者不能了解、修改敏感信息。·认证良好的认证体系可防止攻击者假冒合法用户。·备份和恢复良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。·多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。·隐藏内部信息使攻击者不能了解系统内的基本情况。·设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。四川交通职业技术学院§4.1.1Windows2003的安全环境一个安全的网络操作系统的安全性特征是贯穿于整个系统之中的,操作系统要安全就必须保证文件系统、用户帐户目录、用户确认系统、内存管理、环境子系统等的安全性。Windows2003的安全环境就是将保密性溶入每一个组件的创建过程中,并且它的设计达到了C2级认可的安全性系统的要求。Windows2003Server的设计还能保护存储在计算机内存中的数据,使未授权的进程无法访问这些数据。如:用户Tom必须登录并由系统验证后才能进行数据访问,这时系统将验证它的身份和权限进行确认,这就能保证信息被完全保护并且只有被授权用户才能访问。四川交通职业技术学院操作系统安全等级从20世纪80年代开始,国际上很多组织开始研究并发布计算机系统的安全性评价等级,最具影响的是美国国防部制定的《可信计算机系统安全评估标准》(TrustedComputerSystemEvaluationCriteria,简称TCSEC),它将评价准则划分为四类,每一类中又细分了不同的级别。D类:不细分级别;C类:C1级,C2级;B类:B1级,B2级,B3级;A类:A1级。其中,D类的安全级别最低,A类最高,高级别包括低级别的所有功能,同时又实现一些新的内容,实际工作中主要通过测试系统与安全的部分来确定这些系统的设计和实现是否正确与安全。四川交通职业技术学院1.安全等级D1级这是计算机安全的最低一级。整个计算机系统是不可信任的,硬件和操作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验证,也就是任何人都可以使用该计算机系统而不会有任何障碍。系统不要求用户进行登记(要求用户提供用户名)或口令保护(要求用户提供唯一字符串来进行访问)。任何人都可以坐在计算机前并开始使用它。D1级的计算机系统包括:MS-DosMS-Windows3.xe及Windows95(不在工作组方式中)Apple的System7.x四川交通职业技术学院2.安全等级C1级(自主安全保护)C1级系统要求硬件有一定的安全机制(如硬件带锁装置和需要钥匙才能使用计算机等),用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力,经应当允许系统管理员为一些程序或数据设立访问许可权限。C1级防护不足之处在于用户直接访问操作系统的根。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统的数据任意移走。常见的C1级兼容计算机系统如下所列:UNIX系统XENIXNovell3.x或更高版本WindowsNT四川交通职业技术学院3.安全等级C2级(可控访问保护)C2级在C1级的某些不足之处加强了几个特性,C2级引进了受控访问环境(用户权限级别)的增强特性。这一特性不仅以用户权限为基础,还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够分用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限以个人为单位授权用户对某一程序所在目录的访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”,如登录(成功和失败的),以及系统管理员的工作,如改变用户访问和口令。常见的C2级操作系统有:UNIX系统XENIXNovell3.x或更高版本WindowsNT四川交通职业技术学院4.安全等级B1级(表示安全保护)B1级系统支持多级安全,多级是指这一安全保护安装在不同级别的系统中(网络、应用程序、工作站等),它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别5.安全等级B2级(结构安全保护)B2级标准要求计算机系统中所有对象加标签,而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。如用户可以访问一台工作站,但可能不允许访问装有人员工资资料的磁盘子系统。四川交通职业技术学院6.安全等级B3级B3级(安全域保护)标准:B3级要求用户工作站或终端通过可信任途径连接网络系统,这一级必须采用硬件来保护安全系统的存储区。四川交通职业技术学院7.安全等级A1级A1级(验证安全保护)标准:这是橙皮书中的最高安全级别,与前面提到各级级别一样,这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求,合格的安全个体必须分析并通过这一设计。另外,必须采用严格的形式化方法来证明该系统的安全性。而且在A级,所有构成系统的部件的来源必须安全保证,这些安全措施还必须担保在销售过程中这些部件不受损害。例如,在A级设置中,一个磁带驱动器从生产厂房直至计算机房都被严密跟踪。一般认为A1级已经基本实现各种安全需求,更完美的系统就认为是超出A1级的系统。四川交通职业技术学院国内操作系统安全等级中国国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。本标准中计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。四川交通职业技术学院4.2.2Windows2003的安全服务所有的网络操作系统中的应用程序将被不同的用户进行访问(远程访问或本地访问),操作系统首先必须具有验证能力,才能知道这个用户是不是合法的用户。验证一般有以下四种:·某个具体内容如:用户名、/密码等。·某个具体的设备如:ATM卡、密钥等,这是一种需要对某个唯一设备进行物理处理以确认用户的验证机制。·某种特征如:指纹、视网膜扫描、声音检测等等。这是一种可以提供很高安全性的生物验证机制。·某个位置如:网络适配卡地址等。如:基于全球卫星定位的系统等。可以提供基于用户位置的的验证信息。操作系统的验证机制一般体现在如下几个方面:·支持的验证方法的数量。·方法的强度。·验证信息是否集成到所有安全操作中。1验证四川交通职业技术学院2访问控制当操作系统确认连接的用户是合法的用户,接下来就必须知道该用户的权限,也就是访问控制,即可以指定读,写,修改,或者复制特定的系统对象的权限。访问控制有不同的级别,从字节级别到系统级别,并且可以基于一组系统级别模型:·托管访问控制要求进行集中的授权以决定对某人什么是可以访问的-数据所有者和创建者不可以修改访问控制。·自由选择访问控制允许对象的所有者定义和修改分配给对象的访问控制。·基于角色的访问控制,允许给用户分配角色,然后对角色应用访问规则。这样可简化访问规则的管理并且可以提供更高的一致性。·操作系统支持的访问控制可以根据可使用的粒度,用来强化控制的机制强度,以及集成到系统管理机制的程度。四川交通职业技术学院3责任最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能中很重要的一点就是责任,它确保任何实体的动作将唯一用该实体标识。一个实体可以是一个人,一个操作系统资源,或者一个外部系统,例如计算机或者网络。操作系统的责任服务把所有的安全相关事件同一个标识联系起来。根据以下两个指标评估责任:·机制用来分配责任的强度。·操作系统基于这个信息进行决策的能力。Windows2003责任服务Windows2003紧密绑定一个安全ID(SID,SecurityID),SID唯一标识一个主机或者域上的用户。SID是同一次用户登录连接的进程相联系的访问记号的一部分。它自动成为系统产生的任何审核纪录的一部分。该服务提供了所有的用户可以进行的动作的完整的责任-从文件访问到应用程序使用。四川交通职业技术学院4审核从安全的观点看,审核是重现安全相关事件以支持对事件的原因和影响的检查。审核跟踪或者系统日志信息可以被用来判断是否有违反政策的事情发生或者是否有值得怀疑的事情。老练的侵入探测产品使用操作系统的审核踪迹作为分析的基础。审核踪迹还提供了跟踪复杂的安全性事故的来源和提供任何补救行动可能需要的证据的能力。可以根据下面的原则评估操作系统的安全审核能力:·支持的安全相关事件的宽度和深度。·可以用来保护审核踪迹的机制强度(黑客在闯入系统以后的第一步往往是关闭审核功能或者删除审核日志。)·对处理大量由操作系统产生的审核数据的支持。Windows2003审核服务Windows2003提供了事件日志(Eve2003Logging)。事件日志可以被配置在系统级别和对象级别纪录安全相关事件。系统事件包括登录和退出登录,文件和对象访问,用户权利的使用,用户和组管理,安全政策改变,重新启动和关机,系统错误,以及进程跟踪。文件和对象审核可以被控制在单个文件,目录,或者如果需要的话,也可以是驱动器。四川交通职业技术学院5安全分区从安全性的角度看,每一个系统实体(用户或者计算机资源)被分配一个安全分区,或者叫做域。一个安全域是一个逻辑结构,由实体被授权访问的所有对象组成。一个用户域也许包括存储空间,I/O设备,应用程序,以及其他元素。一个进程域只包含那些被授权使用的系统资源(数据,存储空间,I/O等等)。四川交通职业技术学院6完整性完整性是确保对象内容不会被未经授权的实体修改的能力。访问控制可以防止未授权修改,所有是一种完整性保护措施。其他的机制可以探测未授权修改而不是阻止它们这样做。检查和(Checksum)和轮询冗余检查是早期完整性探测机制的例子。完整性在电子消息和商务系统中起着至关重要的作用,在这种情况下,确保内容正确比保证消息的机密性更重要。在一个计算机系统中,完整性同时用于存储中的数据(系统文件,可执行文件,等等)和运动中的文件(消息,事务,等等)。保护操作系统的完整性是操作系统提供的一项基本服务。操作系统支持的完整性控制可以根据使用的机制强度,应用的粒度以及提供的报告能力的级别来评估。四川交通职业技术学院7机密性敏感信息在计算机中可能以几种形式存在:·存储在硬盘上或者其他永久存储介质上;·存储在移动式存储器或者别的临时存储装置上;·在网络上传输;·在系统总线上传输。机密性确保信息只透露给授权的用户,而不管装载信息的容器的所有者是谁。在计算机系统中最常用的机密性实现是利用加密来编码或者搞乱数据以确保只有知道解密钥匙的人才能读取这些数据。还有其他一些方法可以实现机密性:物理安全,不透露协定,贸易伙伴协定,等等。操作系统提供的加密机制可以根据下面指标进行评估:·保护机制的强度(通常是加密算法);·保护机制的透明度;·该机制和其他系统安全控制的集成;·机制对系统操作的影响。四川交通职业技术学院8可管理性很难管理的安全机制通常会降低系统安全性,不管底层机制实际上是多么安全。安全