第十一章-操作系统的安全性

1第11章操作系统的安全性2第11章操作系统的安全性黑客入侵盗版电子战信息战….3第11章操作系统的安全性11.1安全性概述11.2安全保护机制11.3恶意程序及其防御11.4加密技术11.5安全操作系统的设计411.1安全性概述11.1.1安全性的内涵11.1.2操作系统的安全性11.1.3操作系统的安全性级别511.1.1安全性的内涵系统的安全性包括以下几方面的内容：①保护系统内的各种资源免遭自然与人为的破坏；②估计到操作系统存在的各种威胁，以及它存在的特殊问题；③开发与实施卓有成效的安全策略，尽可能减少系统所面临的各种风险；④准备适当的应急措施，使系统在遭到破坏或攻击时能尽快恢复正常；⑤定期检查各种安全管理措施的实施情况。6信息安全(InformationSecurity)计算机安全(ComputerSecurity)计算机本身及存储在其内部的软件及数据的安全网络安全(NetworkSecurity)在用户端与计算机、计算机与计算机之间通过通信线路交换数据时，对数据传输实施的保护7计算机系统中的实体硬件（Hardware）软件（Software）数据（Data）通信线路和网络（CommunicationLinesandNetworks）8硬件安全例子：突然掉电硬盘损坏设备被偷设备失效拒绝服务安全措施：物理上管理上如：加防盗门、雇用保安、安装闭路监视系统9软件安全软件的删除软件的更改/破坏软件被篡改病毒及相关攻击软件的非法复制……10数据安全文件或其他形式的数据如：删除文件/DB中的记录读取未经授权的数据通过分析统计数据以找出隐藏的信息更改已存在文件或伪造文件……11通信线路和网络安全如：破坏或删除报文读取报文，观看报文及其传输模式更改、延滞、重新排序或复制、伪造报文12系统安全的三个特性不同的计算机操作系统有不同的安全要求，但总的来说系统应具有如下特性：(1)保密性(Security)(2)完整性(Integrity)(3)可用性(Availability)13安全威胁—威胁源自然的硬件的软件的人为失误恶意攻击….14对计算机系统安全性的主要威胁对计算机系统安全性的威胁主要来自以下3个方面：(1)偶然无意(2)自然灾害(3)人为攻击主动性威胁15安全威胁的种类信息流动：InformationSourceInformationDestination16中断（Interrupt）InformationSourceInformationDestination17截取、窃听（Interception）InformationSourceInformationDestination18篡改（Modification）InformationSourceInformationDestination19伪造（Fabrication）InformationSourceInformationDestination2011.1.2操作系统的安全操作系统是软硬件资源的掌管者操作系统的安全是整个计算机系统安全的基石21针对操作系统的威胁系统设计缺陷，如后门外部入侵开放性、标准化目的：防止OS本身被破坏，禁止对未授权资源的访问22操作系统安全涉及的功能①用户身份鉴别。②内存保护。③文件及I/O设备存取控制。④对一般实体进行分配与存取控制，并对其实行一定的控制与保护。⑤共享约束。⑥在考虑操作系统安全机制的同时，也要确保系统用户享有公平的服务，而不出现永久的等待服务；还要确保操作系统为进程同步与异步通信提供及时的响应。23传统操作系统中的安全机制24保密安全操作系统设计原则Saltzer,J.和Schroeder,M.曾提出了保密安全操作系统设计的原则：①最小权限。②机制的经济性。③开放式设计。④完整的策划。⑤权限分离。⑥最少通用机制。25操作系统安全方法隔离分层内核26Rushby和Randel隔离策略物理上分离：进程使用不同的物理实体时间上分离：不同安全要求的进程于不同时间运行逻辑上分离：用户操作不受其他进程影响密码上分离：进程以一种其他进程不了解的方式隐藏数据和计算27操作系统的安全性一个操作系统可以在任何层次上提供如下保护：①无保护。②隔离。③完全共享和无共享。④存取权限的保护。⑤权能共享的保护。⑥实体的使用限制。2811.1.3操作系统的安全性级别美国国防部把计算机系统的安全从低到高分为4等和8级A(A1、A2)B(B1、B2、B3)C(C1、C3)D(D1)2911.1.3操作系统的安全性级别1.D等——最低保护等级只有一个级别D1安全保护欠缺级整个系统都是不可信任的3011.1.3操作系统的安全性级别2.C等——自主保护等级C1级:自主安全保护级。它支持用户标识与验证、自主型的访问控制和系统安全测试；它要求硬件本身具备一定的安全保护能力，并且要求用户在使用系统之前一定要先通过身份验证。C2级:受控安全保护级，它更加完善了自主型存取控制和审计功能。3111.1.3操作系统的安全性级别3.B等——强制保护等级检查对象的所有访问并执行安全策略，因此要求客体必须保留敏感标记，可信计算机利用它去施加强制访问控制保护。B1级:标记安全保护级。B2级:结构化保护级。B3级:安全域级。3211.1.3操作系统的安全性级别4.A等——验证保护等级它使用形式化安全验证方法，保证使用强制访问控制和自主访问控制的系统，能有效地保护该系统存储和处理秘密信息和其他敏感信息。A等又分为两级(A1、A2)。3311.2安全保护机制11.2.1进程支持11.2.2内存及地址保护11.2.3存取控制11.2.4文件保护11.2.5用户身份鉴别3411.2.1进程支持一个进程代理一个用户进程转换开销-多用户复用一个进程PCB3511.2.2内存及地址保护存储保护机制（ProtectionofMemory）界址、重定位与限界特征位分段、分页、段页式3611.2.2内存及地址保护1.界址将系统所用的存储空间和用户空间分开。界址则是将用户限制在地址范围的一侧的方法。3711.2.2内存及地址保护2.重定位(Relocation)。界址寄存器可以作为硬件重定位设备。3811.2.3存取控制在计算机系统中，安全机制的主要目的是存取控制，它包含3个方面的内容：授权，即确定可给予哪些主体存取实体的权力；确定存取权限；实施存取权限。3911.2.5用户身份鉴别口令（password）一个用户身份的确认符号串口令的安全性：使穷举攻击不可行限制明文系统口令表的存取加密口令文件40口令的非法获取穷举经验尝试搜索系统口令表询问用户编程截取字典式/概率式搜索41口令的加密对口令/口令文件进行加密传统加密法单向加密法42传统加密法口令文件明文口令解密比较43单向加密法口令文件密文口令比较口令密文加密4411.3恶意程序(MaliciousPrograms)及其防御MaliciousProgramsNeedsHostProgramIndependentTrapdoorsLoginbombsTrojanHorsesVirusesBacteriaWormsReplicateTaxonomyofMaliciousPrograms4511.3.1后门(Trapdoor)程序的秘密进入点激活：某些特定输入串某个特殊用户ID一些不太可能的事件激活安全措施：程序开发和软件更新活动中的安全质量检查4611.3.2逻辑炸弹(LogicBomb)嵌入在程序中的一段代码，在设定的条件满足时运行例子：MontgomeryCounty,Maryland图书馆系统4711.3.3特洛伊木马(TrojanHorses)TrojanWar嵌在有用程序中的秘密子程序，常用于间接完成某些功能，这些功能对非授权用户而言是不能直接完成的。4811.3.4蠕虫(Worms)网络蠕虫，通过网络连接从一个系统扩散到另一个系统蠕虫完成自身复制使用的网络机制电子邮件机制远程执行能力远程登录能力4911.3.5细菌(Bacteria)不明显破坏任何文件，其唯一目的是自我复制5011.3.6计算机病毒(Viruses)生物学上病毒的概念小的DNA或RNA基因段计算机病毒51计算机病毒根据统计，到2000.11为止，共有55,000多种病毒病毒的特征病毒的分类反病毒方法52病毒的特点计算机病毒(简称病毒)是一种可传染其他程序的程序，病毒主要有如下的特点：①病毒具有依附性。②病毒具有传染性。③病毒具有潜伏性。④病毒具有破坏性。⑤病毒具有针对性。53病毒的结构引导模块负责将病毒引导到内存，对相应的存储空间实施保护，以防止被其他程序覆盖，并且修改一些必要的系统参数，为激活病毒做准备。传染模块负责将病毒传染给其他计算机程序。它是整个病毒程序的核心，由两部分组成：一部分判断是否具备传染条件，另一部分具体实施传染。表现模块病毒触发条件判断部分病毒的具体表现部分。54病毒的生命周期潜伏阶段(Adormantphase)繁殖阶段(Apropagationphase)激活阶段(Thetriggeringphase)执行阶段(Theexecutionphase)55病毒的种类(TypesofViruses)寄生型病毒(Parasiticvirus)驻留内存型病毒(Memory-residentvirus)引导区病毒(Bootsectorvirus)自我隐藏型病毒(Stealthvirus)压缩技术磁盘I/O截取判断变形病毒(Polymorphicvirus)插入多余指令、改变指令顺序加密技术56病毒的工作过程实施感染实施表现激活感染条件满足否?是是否触发条件满足否?执行正常程序否病毒57反病毒方法(AntivirusApproaches)检测(Detection)识别(Identification)消除(Removal)58反病毒软件发展过程第一代：简单扫描(SimpleScanners)第二代：启发式扫描(HeuristicScanners)第三代：行为捕捉(ActivityTraps)第四代：全面保护(Full-featuredProtection)5911.4加密技术11.4.1传统加密方法11.4.2公开密钥加密方法11.4.3密钥的管理6011.4.1传统加密方法1．传统加密过程传统加密过程就是把明文信息利用某种加密算法加以编码以防止未授权的访问，从而实现其保密的过程。密钥明文用户A加密算法密文解密算法明文用户B6111.4.1传统加密方法2．数据加密标准(DES)DES是由美国国家标准局(NBS)在1977年研制的一种数据加密、解密的标准方法。6211.4.2公开密钥加密方法传统加密的一个主要困难是要以一种保密的方式来分配密钥。对这一点最彻底的解决方法就是不分配密钥，也就是采用公开密钥加密,它是在1976年被首次提出的。B的公开密钥明文用户A加密算法密文解密算法明文用户BB的私有密钥6311.4.3密钥的管理加密系统的强度与密钥分配技术有关。密钥分配是指在两个交换数据的主体间传送密钥而不让其他人知道的方法。6411.5安全操作系统的设计从设计者的角度来看，安全操作系统的开发要经历如下3个阶段：第一是模型化阶段；第二是设计阶段；第三是实现阶段。65目前实现安全OS的两种方法1.专门针对安全性而设计的OS2.将安全特性加到已有的OS中66安全操作系统开发四步骤1.建立模型2.系统设计3.可信度检测4.系统实现6711.5安全操作系统的设计11.5.1安全模型11.5.2安全操作系统的设计策略11.5.3可信系统6811.5.1安全模型安全模型用来描述计算机系统和用户的安全特