操作系统安全性

1第8章操作系统安全性•ISO信息技术安全评价通用准则•隔离•分级安全管理•通信网络安全管理•信息安全管理•预防、发现、消除计算机病毒•WINDOWS2000安全性•UnixWare2.1/ES的安全性2ISO信息技术安全评价通用准则•D最低安全性•C1自主存取控制•C2较完善的自主存取控制、审计•B1强制存取控制•B2良好的结构化设计、形式化安全模型•B3全面的访问控制、可信恢复•A1形式化认证3分级安全管理•系统级安全管理：不允许未经核准的用户进入系统–注册：系统纪录注册用户名/口令–登录：系统核对用户名/口令•用户级安全管理：为给用户文件分配文件“访问权限”而设计的；例如，Unix中，将用户分成三类：文件主、授权用户和一般用户•文件级安全管理：通过系统管理员或文件主对文件属性的设置，来控制用户对文件的访问；通常可对文件置以下属性：执行、隐含、修改、索引、只读、写、共享等4通信网络安全管理•对网络安全的主要威胁：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面•网络操作系统必须采用多种安全措施和手段：用户身份验证和对等实体鉴别；访问控制；数据完整性；加密；防抵赖；审计•网络系统安全保障的实现方法–以防火墙技术为代表的防卫型网络安全保障系统–建立在数据加密和用户授权确认机制上的开放型网络安全保障系统5信息安全管理•保护信息以防止未授权者对信息的恶意访问、泄漏、修改和破坏，从而导致信息的不可靠或被破坏–机密性Confidentiality:定义了哪些系统资源不能被未授权用户访问–完整性Integrity:决定了信息不能被未授权的来源所替代或遭到改变和破坏–可用性Availability:防止非法独占资源，每当用户需要并有权访问时，总能访问到所需的信息资源•信息系统的安全性可用4A的完善程度来衡量–用户身份验证Authentication：在用户获取信息、访问系统资源前对其身份标识进行确定和验证，以保证用户的合法性–授权Authorization：使不同的用户能用各自的权限合法地访问他们可使用的信息及系统资源–审计Audit：对各种安全性事件的检查、跟踪和记录–保证Assurance：在意外故障乃至灾难中信息资源不被破坏与丢失6预防、发现、消除计算机病毒•计算机病毒是一个能够通过修改程序，并把自身的复制品包括在内去“传染”其它程序的一种程序•计算机病毒的特性：破坏性、隐蔽性、传染性、表现性•计算机病毒按其寄生方式：源码病毒、入侵病毒、外壳病毒、系统病毒•计算机病毒的防治：–病毒的预防，指采取措施保护传染对象不受病毒的传染–病毒的发现，应该尽早根据种种蛛丝马迹发现病毒的存在，以便消除它–病毒的消除，有专门的杀毒工具，如Vsafe、MSAV、Kill等，使系统恢复正常。7安全性和保护的基本机制•安全策略定义了一组用于授权使用其计算机及信息资源的规则•保护机制是实施组织安全策略的工具•身份鉴别分为内部和外部身份鉴别两种–外部身份鉴别涉及验证某用户是否是其宣称的–内部身份鉴别机制确保某进程不能表现为除了它自身以外的进程•授权机制确认用户或进程只有在策略许可某种使用时才能够使用计算机的实体•加密是将信息编码成像密文一样难解形式的技术8授权的实现•状态隔离•例：VAX/VMS的四种处理器模式–内核(Kernel)态：执行VMS操作系统的内核，包括内存管理、中断处理、I/O操作等–执行(Executive)态：执行操作系统的各种系统调用，如文件操作等–监管(Supervisor)态：执行操作系统其余系统调用，如应答用户请求–用户(User)态：执行用户程序；执行诸如编译、编辑、连接、和排错等各种实用程序•空间隔离•访问矩阵的实现•内存锁与key、访问控制列表、权能9密码学•加密函数与解密函数•加密与解密机制的实现–机制的实现保密–密钥保密10Windows2000安全性系统组件•安全引用监视器(SRM)•本地安全权限(LSA)服务器•LSA策略数据库•安全账号管理器服务器•SAM数据库•默认身份认证包•登录进程•网络登录服务11Windows2000的保护对象•保护对象包括：文件、设备、邮件槽、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面、网络共享、服务、注册表键和打印机12Windows2000的保护对象•安全描述体和访问控制–每个保护对象都有一个安全描述体，用以控制哪些用户可以对访问的对象做什么，它包含下列主要属性：•所有者SID：所有者的安全ID•组SID：用于对象主要组的SID•谨慎访问控制列表DACL：指定谁可以对访问的对象做什么•系统访问控制列表SACL：指定哪些用户的哪些操作应登录到安全审核日志中13Windows2000的保护对象•安全描述体和访问控制–访问控制列表ACL包括一个ACL头和零个或多个“访问控制项”(ACE)结构•在DACL中，每个ACE都包含一个安全标识和访问掩码；DACL中可能存在两种类型的ACE：访问允许和访问拒绝•SACL只包含系统审核ACE，用来指明特定用户或组在对象上进行的应得到审核的操作14Windows2000的保护对象•访问令牌与模仿–访问令牌是一个包含进程或线程安全标识的数据结构：安全ID(SID)、用户所属组的列表以及启用和禁用的特权列表–每个进程都从它的创建进程继承了一个首选访问令牌–单个线程也可以有自己的访问令牌——如果它们在“模仿”客户–许多系统进程在名为SYSTEM的特殊访问令牌下运行15Windows2000的安全审核•对象管理器可以生成审核事件作为访问检查的结果，用户也可以直接生成审核事件•LSA的审核规控制对审核一个特殊类型安全事件的决定；LSA向SRM发送消息以通知它系统初始化时的审核规则和规则更改的时间；LSA负责接收来自SRM的审核记录，对它们进行编辑并将记录发送到事件日志中•SRM经连接到LSA的IPC发送这些审核事件，事件记录器将审核事件写入安全日志中•当接收到审核记录后，它们被放到队列中以被发送到LSA16Windows2000的登录过程•登录是通过登录进程、ISA、一个或多个身份验证包和SAM的相互作用发生的•身份验证包是执行身份验证检查的•登录进程是一个受托进程，负责管理与安全性相关的用户相互作用；它协调登录，在登录时启动用户外壳，处理注销和管理各种与安全性相关的其他操作，包括登录时输入口令、更改口令以及锁定和解锁工作站17Windows2000的活动目录•活动目录存储了有关网络上所有资源的信息，它使开发者、管理员和用户可以很容易地找到和使用这些信息•活动目录结构具有以下主要特性：灵活的分级结构、有效的多主机复制、粒状安全授权、新对象类和属性的可扩展存储、通过轻量目录访问协议(LDAP)版本3支持实现的基于标准的相互操作性、每一个存储中可达到上百万对象、集成动态域名系统(DNS)服务器、可编程类存储•活动目录也是改进分布式系统安全性的重要基础18Windows2000的分布式安全性扩充•活动目录对所有域安全策略和账号信息提供存储•对于用户、组和计算机账号信息，活动目录支持多级分层树状名称空间•创建和管理用户或组账号的管理员权限可以委派给组织单元级•包括以Internet标准安全协议为基础的新身份验证•安全通道安全协议的实施•支持用于相互作用登录的智能卡•支持X.509版本3证书、CryptoAPI证书•支持公用密钥证书•支持个人安全证书19Windows2000的文件加密•加密文件系统(EFS)允许NTFS卷上的加密文件的存储•EFS与NTFS紧密集成，EFS的驱动程序组件以核心态运行，使用非页交换区存储文件密钥，确保这些文件密钥不会将其变成页面调度文件•EFS的关键组件：Win32API、EFS驱动程序、FSRTIJ标注、EFS服务•文件加密可以使用任何加密算法；EFS第一版将采用DES(数据加密标准)作为加密算法；以后的版本将允许改变加密方案20Windows2000的安全配置编辑程序•新的安全配置编辑程序为以Windows2000为基础的单个站点提供系统安全管理，允许管理员配置和分析系统安全策略•安全配置编辑程序将提供在宏水平上的分析•安全配置编辑程序允许管理员定义很多配置设置，并使它们在后台生效，运用此工具，能使配置任务分组和自动化•安全配置编辑程序的设计目标在于通过定义一个能够解释标准配置模板并在后台自动执行所请求的操作的引擎来实现这些系统工具21UnixWare2.1/ES的安全性•标识与鉴别系统中的每个用户都识置了一个安全级范围，表示用户的安全等级，系统除进行身份和口令的判别外，还进行安全级判别，以保证进入系统的陶户具有合法的身份标识和安全级别•审计用于监视和记录系统中有关安全性的活动。可以有选择地设置哪些用户、哪些操作(或系统调用)、对哪些敏感资源的访问需要审计。这些事件的活动就会在系统中留下痕迹，事件的类型、用户的身份、操作的时间、参数和状态等构成一个审记记录记入审记日志。通过检查审记日志可以发现有无危害安全性的活动22UnixWare2.1/ES的安全性•自主存取控制：用于实现按用户意愿的存取控制。用户可以说明其私有资源允许系统中哪个或哪些用户以何种权限进行共享。系统中的每个文件、消息队列、信号量集、共享存储区、目录、和管道都可具有一个存取控制表，说明允许系统中的用户对该资源的存取方式•强制存取控制：提供基于信息机密性的存取控制方法，用于将系统中的用户和信息进行分级别、分类别管理，强制限制信息的共享和流动，使不同级别和类别的用户只能访问到与其相关的、指定范围的信息，从根本上防止信息的泄密和乱访问现象23UnixWare2.1/ES的安全性•设备安全性：周于控制文件卷、打印机、终端等设备I/O信息的安全级范围•特权管理：系统的每个用户和进程只具有完成其任务的最佳特权，没有超级用户，设若干系统管理员/操作员共同管理，他们只有部分特权且相互间有所约束•可信通路：提供一种可信的用户登录方式，防止窃取口令以登录到系统中•隐通道处理：用于堵塞隐通道或降低隐通道的带宽，并审记其使用情况•网络安全：实现安全系统之间及安全系统与非安全系统之间的网络互通，可进行网络身份认证、控制进入、防火墙、网络审计等功能