第六章--操作系统安全评测

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第六章操作系统安全评测江苏大学计算机学院评测的基础:需求说明,即把一个计算机系统称为“安全的”真实含义是什么。基本目标:安全系统规定安全特性,控制对信息的存取,使得只有授权的用户或代表他们工作的进程才有读、写、建立或删除信息的存取权。操作系统的安全评测的基础美国国防部早在1983年就基于这个基本的目标,给出了可信任计算机信息系统的6项基本需求:其中4项涉及信息的存取控制;2项涉及安全保障。需求1:安全策略需求2:标记需求3:标识需求4:审计需求5:保证需求6:连续保护操作系统安全评测方法安全的含义:系指它满足某一给定的安全策略。要证明一个操作系统的安全性是与设计密切相关的,必须保证从设计者到用户都相信设计准确地表达了模型,而代码准确地表达了设计。(1)形式化验证:(2)非形式化确认:(3)入侵测试:操作系统安全漏洞扫描为了确保安全操作系统的安全性,人们首先想到采用专用工具扫描操作系统的安全漏洞,以达到发现漏洞和采取补救措施。操作系统安全漏洞扫描的主要内容有:(1)设置错误:设置是很困难的,设置错误可能导致一系列安全漏洞,可以检查系统设置,搜索安全漏洞,判断是否符合安全策略。(2)黑客踪迹:黑客留下的踪迹常常可以检测到,软件能检查是否有黑客侵入系统、盗取口令,也可检查某些关键目录下是否有黑客放置的可疑文件。(3)特洛伊木马:黑客常常在系统内嵌入这类程序,软件软件能够检查系统文件的非授权修改和不合适的版本,既检测了漏洞,也有利于版本控制。操作系统安全测评准则美国国防部于1983年推出了历史上第一个计算机系统安全评测准则TCSEC(TrustedComputerSystemEvaluationCriteria),又称桔皮书,从而,带动了国际正计算机系统安全评测的研究,德国、英国、加拿大、西欧等纷纷制定了各自的计算机系统安全评价标准。近年来,我国也制定了相应的国家标准GB17859-1999和GB/T18336-2001等标准。TCSEC的主要内容对可信任计算机信息系统有6项基本需求,基中,4项涉及存取控制,2项涉及安全保障:需求1-安全策略、需求2-标记、需求3-标识、需求4-审计、需求5-保证、需求6-连续保护。根据6项基本需求,TCSEC在用户登录、授权管理、访问控制、审计跟踪、隐蔽信道分析、可信通路建立、安全检测、生命周期保证、文档写作等各方面,均提出了规范性要求,并根据所采用的安全策略、系统所具有的安全功能把系统分为4类7个安全等级D类—D级,安全性最低级,整个系统不可信任。C类—自主保护类,C1级—自主安全保护。C2级—受控制的存取控制系统,引入DAC和审计机制。B类—强制保护类,B1级—标记安全保护级,引入MAC、标记和标记管理。B2级—结构保护级,具有形式化安全模型,完善的MAC,可信通路、系统结构化设计、最小特权管理、隐蔽信道分析。B3级—安全域级,访问监控机制、TCB最小复杂性设计、审计实时报告和对硬件的要求。A类—A1级(仅一个级别),验证保护类,严格的设计、控制和验证过程。标准名称颁布的国家或组织颁布年代美国TCSEC美国国防部1983美国TCSEC修订版美国国防部1985德国标准前西德1988英国标准英国1989加拿大标准V1加拿大1989欧洲ITSEC西欧四国(英、法、荷、德)1990联邦标准草案(FC)美国1992加拿大标准V3加拿大1993CCV1美、英、法、荷、德、加1996中国军标GJB2646-96中国国防科学技术委员1996国际CC美、英、法、荷、德、加1999中国GB17859-1999中国国家质量技术监督局1999中国GB/T18336-2001中国国家质量技术监督局2001国内外计算机评价安全标准的概况TCSECITSECCCGB17859DE0————EAL1—C1E1EAL2L1C2E2EAL3L2B1E3EAL4L3B2E4EAL5L4B3E5EAL6L5A1E6EAL7—TCSEC、ITSEC、CC和中国GB17859的评价级别的对应关系常用服务器操作系统UNIXLinuxWindows常用服务器操作系统-UNIXUNIX系统自1969年KenThompson与DennisRitchie在美国贝尔电话实验室(BellTelephoneLaboratories)开放出雏形系统。1973年,D.M.Ritchie研制出系统描述语言-C语言,并应用新的C语言来改写原来用汇编语言编写的UNIX,这就是UNIX的V5版本。1974年美国电话电报公司(AT&T)开始发行UNIX的非商业许可证,允许非赢利的教育机构免费使用UNIX源码。常用服务器操作系统-UNIXUNIXV6版本并附有完整的程序原始码在1976年正式从贝尔实验室内部传播到各大学及研究机构。UCBerkeley依据V6版本开始研究并加以发展,在1977年发表1BSD(1stBerkeleySoftwareDistribution)版本的UNIXOS。从70年代末开始在市场上出现了不同的UNIX商品化版本,比较有影响的版本包括:IBM公司的AIX操作系统;HP公司的HP-UX操作系统;SUN公司的Solaris操作系统;UnixHistory常用服务器操作系统-LinuxAndrewTanenbaum开发的Minix操作系统,一个教学实例程序,具有UNIX操作系统的所有功能;RichardStallman的GNU项目,致力于推出自由、高质量软件的运动。GNU项目已经开发出了众多的工具软件,比如GNUC编译器(gcc),但唯独没用开发出自由操作系统。在这个背景下,芬兰赫尔辛基大学的年轻人LinusTorvalds购买了一台486微机,但是他发现Minix的功能还很不完善,于是他决心自己写一个保护模式下的操作系统。1991年8月LinusTorvalds,对外发布了一套全新的操作系统。借助网络,Linux的开发得到了飞速的发展,不断有人对Linux进行改进。最后,Linux不再只是个黑客的玩具,配合上GNU项目开发出的众多优秀软件,Linux已经可以走向市场,并最终在GNU公共许可证下发布,这保证任何人都可以自由获得它的源代码,可以自由复制、学习和修改它。常用服务器操作系统-Linux最后,软件商们也来了,由于Linux是自由的操作系统,仅仅提供了一个操作系统的内核。软件商们需要做的只是把各种各样的软件在Linux平台上编译,然后把它们组织成一种可以安装的发布版本。各种Linux的发布版本:RedHatLinuxSUSELinuxDebianGNU/LinuxUbuntuLinuxSlackwareLinuxFreeBSDLinuxTurboLinuxRedFlagLinux常用服务器操作系统-Windows1985年11月,微软的第一个图形用户界面操作系统Windows1.0发布,由于涉及到和苹果的版权问题,此时的Windows系统还不能拥有例如重叠窗口和回收站的功能。Windows1.0更多的是一个MS-DOS的扩展,而不是一个单独的操作系统。常用服务器操作系统-WindowsWindows3.0于1990年发布,并取得了巨大的成功。同时微软又开发了WindowsNT3.0,使用了完全重写的纯32内核,主要是用于商用服务器操作系统;Windows95,98都是Windows3.0的升级产品;NT4.0,Windows2000(NT5.0)是WindowsNT的升级产品;WindowsXP(5.1内核)2001年推出,XP将NT架构,和从95/98/ME上传承而来的用户界面,融合在一起,极大的提高了系统的稳定性,并且中止了商业服务器(WinNT)和家用(Win9X)操作系统并行发展的历史;WindowsServer2003(5.2内核)-WindowsXP对应的服务器版本操作系统;WindowsVista-采用了全新的6.0的内核;WindowsServer2008-WindowsVista对应的服务器版本操作系统;深入理解Windows操作系统深入解析Windows操作系统第4版MicrosoftWindowsInternals,FourthEdition2008年全球黑客大赛主办方提供了三款运行不同操作系统的笔记本电脑,分别是Linux、MacOSX和Vista,供参赛的各路黑客实施攻击。第一天的规则:只能实施基于系统本身的网络攻击,而不能借助用户的互动行为;由于难度较大,均未被攻破;攻击操作系统本身的漏洞;2008年全球黑客大赛第二天比赛规则也会有相应调整,允许选手实施要求用户进行某种操作的攻击行为,比如访问嵌入恶意代码的网站或打开邮件等。攻击应用软件的漏洞,重点是浏览器;由独立安全评估公司的研究人员查理·米勒(CharlieMiller)、杰克·霍诺罗夫(JakeHonoroff)、马克·丹尼尔(MarkDaniel)组成的黑客小组利用事先准备好的恶意代码,成功攻破了MacBookAir笔记本。据悉,该小组是利用苹果Safari浏览器中存在的一个漏洞成功实施了攻击。最后一天,参赛黑客谢恩·麦考莱(ShaneMacaulay)在同事协助下,一举攻破了微软Vista系统,利用了AdobeFlash插件的一个漏洞取得了系统的控制权。2009年全球黑客大赛查理·米勒(CharlieMiller)利用苹果Safari浏览器存在的一个漏洞,在不到两分钟时间内取得了相应笔记本系统控制权;随后微软IE8、Mozilla的火狐(Firefox)3浏览器也被另一位参赛者相继攻破;谷歌Chrome浏览器也是此次大会参赛者攻击目标之一,但是没有参赛者能够攻破Chrome;

1 / 21
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功