第七章操作系统的安全与保护

第七章操作系统的安全与保护第七章操作系统的安全与保护7.1安全型概述7.2安全威胁及其类型7.3保护7.4入侵者7.5病毒（恶意软件）7.6保护的基本机制、策略与类型7.7实例研究：Windows2000/XP的安全机制7.1安全性概述(1)计算机安全性涉及内容：•物理方面环境、设施、设备、载体和人员•逻辑方面(1)操作系统安全性问题(2)网络安全性问题(3)数据库安全性问题安全性概述(2)•计算机系统的安全性：•计算机系统的可靠性：•可靠性是基础，安全性更为复杂。•操作系统安全性主要内容：安全策略：安全模型：安全机制：安全性概述(4)“计算机可信系统评价准则”安全级别：•D最低安全性•C1自主存取控制•C2较完善的自主存取控制、广泛的审计•B1强制存取控制，安全标识•B2良好的安全体系结构、形式化安全模型、抗渗透能力•B3全面的访问控制（安全内核）、可信恢复、高抗渗透能力•A1形式化认证、非形式化代码、一致性证明7.2安全威胁及其类型计算机系统和网络通信提出四项安全要求：•机密性（confidentiality）：•完整性（integrity）：•可用性（availability）：•真实性（authenticity）：计算机或网络系统四种威胁(b)切断(c)截取信息源端信息目的端(a)正常的信息流(b)切断(d)篡改(e)伪造计算机系统资源面临的威胁(1)•硬件，•软件，•数据，•通信线路与网络。计算机系统资源面临的威胁(2)可用性机密性完整性/可靠性硬件设备被偷或破坏，故拒绝服务软件程序被删除，故拒绝用户访问非授权的软件拷贝工作程序被更改，导致在执行期间出现故障，或执行一些非预期的任务数据文件被删除，故拒绝用户访问非授权读数据。通过对统计数据的分析揭示了潜在的数据现有的文件被修改，或伪造新的文件通讯线路消息被破坏或删除，通讯线路或网络不可用读消息；观察消息的流向规律消息被更改、延迟、重排序，伪造假消息主动和被动威胁(1)被动威胁主动威胁消息内容泄漏消息流量分析伪装修改消息流服务拒绝主动和被动威胁(2)•被动威胁是对传输过程进行窃听或截取，目的是非法获得正在传输的信息，了解其内容和数据性质。包括两种威胁：消息内容泄漏和消息流量分析。•主动威胁不但截获数据，还冒充用户对系统中的数据进行修改、删除或生成伪造数据，可分为伪装，修改信息流和服务拒绝。主动和被动威胁(3)防范网络主动威胁的手段防火墙防火墙技术主要有：•过滤型技术、•服务代理型技术、•监测型技术等。主动和被动威胁(4)过滤型防火墙基于网络分包传输技术，网络上以包为单位进行数据传输，数据包含有源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断数据包是否来自安全站点，一旦发现有问题，便将数据拒之门外；主动和被动威胁(5)代理型防火墙位于客户机与服务器之间，完全阻断了两者的数据交流，数据请求和获得先通过代理服务器，恶意侵害很难伤害内部网络系统，安全性高于过滤型产品；主动和被动威胁(6)监测型防火墙对各层数据进行主动和实时监测，对数据进行分析的基础上，有效地判断各层的非法侵入，同时它还带有分布式探测器，不仅检测来自网络外部的攻击，也对来自内部的恶意破坏有防范作用，具有安全性好及功能强的特点。7.3保护7.3.1操作系统保护层次7.3.2内存储器的保护7.3.3面向用户的访问控制7.3.4面向数据的访问控制7.3.1操作系统保护层次多道程序设计技术共享资源引起资源保护的需要和保护层次：•无保护：•隔离：•全部共享或不共享：•通过访问控制的共享：•通过权能的共享：•限制对象的使用：7.3.2内存储器的保护•多道程序设计环境中，主存储器保护的重要性。•进程的存储空间分离可通过虚存方法来实现，分段、分页，或两者的结合，提供了管理主存的一种有效的方法。7.3.3面向用户的访问控制•在数据处理系统中访问控制所采取的方法有两类：与用户有关的和与数据有关的。•用户访问控制普遍技术是用户登录，需要一个用户标识符（ID）和一个口令。•ID/口令文件容易遭到攻击。7.3.4面向数据的访问控制•成功登录后，对数据库中机密数据的访问，通过用户访问控制过程进行验证。•一个权限表与每个用户相关，指明用户被许可的合法操作和文件访问，系统基于用户权限表进行访问控制。•访问控制的通用模型是访问矩阵，模型的基本要素：主体(Subject)：客体(Object)：访问权(AccessAuthority)：7.4入侵者7.4.1入侵技术7.4.2口令保护7.4.3入侵检测7.4.1入侵技术(1)Anderson标识了三种类型的入侵者：•伪装者（masquerader）：•违法行为者（misfeasor）：•秘密的用户（clandestineuser）：入侵技术(2)•口令文件的保护可采取下列方式之一：单向加密：系统存储的仅仅是加密形式的用户口令。访问控制：对口令文件的访问被局限于一个或非常少的几个账号。入侵技术(3)入侵者获悉口令的技术1尝试标准描述使用的缺省口令试猜。2试遍所有短口令（1到3个字符）。3尝试系统联机字典中的单词或口令表中的词试猜。4收集用户信息，例如他们的全名，配偶和子女的名字，业余爱好等。5尝试用户的电话号码，身份证号和房间号。6尝试该地区的所有合法牌照号码。7使用特洛伊木马绕过对访问的限制。8窃听远程用户和主机系统间的线路。两种主要对策：预防与检测。7.4.2口令保护系统的第一条防线是口令系统，ID在下列情况中提供安全性：•ID用来确定用户是否有权获得访问系统。•ID确定用户权限。•ID可用于自由决定的访问控制。UNIX口令方案Crypt(3)Salt12位口令56位口令文件UseridSaltEpwd[salt,0]11个字符加载...(a)加载一个新的口令Crypt(3)比较Userid比较Salt口令已加密的口令(b)口令的校验口令文件UseridSaltEpwd[salt,0]图7-3　UNIX口令方案口令文件访问控制阻止口令攻击的一个方法是不让对手访问口令文件，口令文件中的口令密文只能被特权用户访问。用户选择口令可使用4种基本方法：•用户教育•计算机生成的口令•口令生效后检测•口令生效前检测7.4.3入侵检测(1)入侵预防失败后，系统第二道防线是入侵检测。•如果入侵被检测到，则可确定入侵者，并在他进行破坏前将他逐出系统。•有效的入侵检测系统具有威慑力，因而也可以防止入侵。•入侵检测能收集入侵攻击技巧的信息，用来加强入侵防范措施。•入侵检测基于的假设是入侵者的行为不同于合法用户的某些行为，当然，无法期望入侵者的攻击和授权用户正常使用资源之间存在着明显区别，相反两者之间存在着相同之处。入侵检测(2)Porras,P.Stat确定的入侵检测方法：•统计异常检测：•基于规则的检测：入侵检测的基本工具是审计记录，使用两种方法：•本地审计记录：•检测专用的审计记录：7.5病毒（恶意软件）7.5.1病毒及其威胁7.5.2病毒的特性7.5.3病毒的类型7.5.4反病毒的方法7.5.5电子邮件病毒7.5.1病毒及其威胁恶意软件分类恶意软件需要主机程序独立运行陷阱门逻辑炸弹特洛伊木马病毒蠕虫细菌僵尸7.5.2病毒的特性•病毒的执行过程：•病毒的生命周期：潜伏阶段传播阶段触发阶段执行阶段7.5.3病毒的类型•寄生病毒：•常驻内存病毒：•引导扇区病毒：•秘密病毒：•多形病毒：•宏病毒：7.5.4反病毒的方法(1)解决病毒威胁的办法：•一是预防。•另一个方法是：检测：清除：反病毒的方法(2)1、通用解密GD扫描器包含：•CPU仿真器：•病毒签名扫描器：•仿真控制模块：反病毒的方法(3)2、数字免疫系统•数字免疫系统原理：•数字免疫系统系统结构：•数字免疫系统操作步骤：7.5.5电子邮件病毒•新一代恶意软件通过电子邮件到达，或者使用电子邮件软件特征在Internet上复制自己。只要通过打开电子邮件附件，或者通过打开电子邮件激活病毒，就开始把自身传播到被感染的主机所知道的所有电子邮件地址中去。