CISP-UNIX操作系统安全

16:09:451UNIX操作系统安全中国信息安全测评中心2019年9月3日中国信息安全测评中心2课程目的一.了解UNIX系统的安全性二.增强安全意识三.提高UNIX系统安全性中国信息安全测评中心3主要内容一.操作系统安全二.UNIX系统原理三.UNIX系统安全机制四.UNIX系统安全问题五.如何加强UNIX系统安全性六.总结中国信息安全测评中心4一、操作系统安全1.安全性2.安全威胁3.安全特征中国信息安全测评中心5一、操作系统安全1.安全性2.安全威胁3.安全度量中国信息安全测评中心6安全性1.保密性2.完整性3.可用性中国信息安全测评中心7一、操作系统安全1.安全性2.安全威胁3.安全度量中国信息安全测评中心安全威胁y威胁：对安全的潜在破坏Ö泄露：对信息的非授权访问Ö欺骗：虚假数据被接收Ö破坏：中断或者妨碍正常操作Ö篡夺：对系统某些部分的非授权控制y攻击：导致破坏发生的行为8中国信息安全测评中心SOS安全威胁y安全威胁的来源Ö计算机结构上的安全缺陷Ö操作系统的不安全性Ö网络协议的不安全性Ö人的问题9中国信息安全测评中心安全威胁y操作系统面临的安全威胁Ö保密性威胁Ö完整性威胁Ö可用性威胁10中国信息安全测评中心保密性威胁y信息的保密性：信息的隐藏Ö目的是让信息对非授权的用户不可见y主要来源于计算机在敏感领域的使用Ö军事应用Ö企业应用y保密性也指保护数据的存在性Ö存在性有时候比数据本身更能暴露信息y保密性威胁主要是信息泄露11中国信息安全测评中心保密性威胁方式y嗅探（窃听）：Ö对信息的非法拦截，是某种形式的信息泄露y木马和后门Ö间谍软件y隐通道12中国信息安全测评中心完整性威胁y信息的完整性指的是信息的可信程度。y具有完整性的信息应该是没有经过非法的或者是未经授权的数据改变。y包括Ö信息内容的完整性Ö信息来源的完整性：如何获取信息和从何处获取信息y完整性被破坏的信息是不可信的Ö信息被非法改变了Ö信息的来源改变了13中国信息安全测评中心完整性威胁方式y破坏和欺骗。y破坏。数据遭到破坏后，其内容就可能会发生非正常改变，破坏了信息内容的完整性。数据被破坏后，会中断或妨碍正常操作。y病毒。Ö绝大部分病毒都会对信息内容的完整性产生危害。Ö安全操作系统设计过程中，要考虑如何有效地减少病毒对OS的安全威胁14中国信息安全测评中心完整性威胁方式y欺骗：接收到虚假的数据或信息。用户或程序可能会根据虚假的数据做错误的反应。有的用户可能会接收或发布不正确的信息。y例如，假冒的网站。特点：网址和页面均与真网站相似。常见假冒各种银行的网站。15中国信息安全测评中心可用性威胁y可用性是指对信息或资源的期望使用能力。是系统可靠性与系统设计中的一个重要方面。y一个不可用的系统还不如没有系统y拒绝服务攻击DoS（Denialofservice）企图破坏系统的可用性的攻击yDoS目的：使计算机或网络无法提供正常的服务y可能发生在服务器的源端y可能发生在服务器的目的端y可能发生在中间路径16中国信息安全测评中心可用性威胁方式y最常见的拒绝服务攻击Ö计算机网络带宽攻击以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过Ö连通性攻击用大量的链接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求17中国信息安全测评中心可用性威胁方式y计算机软件设计实现中的疏漏Ö操作系统功能越来越复杂，规模越来越庞大Ö每千行代码的bug，5～50个之间Linux从发布到2.4.17的源码行数变化18中国信息安全测评中心19一、操作系统安全1.安全性2.安全威胁3.安全度量中国信息安全测评中心安全度量y度量标准：TCSECÖTrustedComputerSystemEvaluationCriteria(1985)y历史上第一个计算机安全评价标准y在基于安全核技术的安全操作系统研究的基础上制定出来y系统安全程度的七个等级：(D1、C1、C2、B1、B2、B3、A1)20中国信息安全测评中心安全度量安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIXandHoneywellMULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如HoneywellXTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如HoneywellSCOMP中国信息安全测评中心安全度量yD级：用来标识那些不能达到其他6个等级中任意等级需求的产品y自主保护C1：只有身份识别、身份认证需求和自主访问控制需求；安全保障需求也只有测试需求和文档需求，1986年后，不再加以评估y受控访问保护C2：C1；客体重用；审计；严格的安全测试需求。是商业产品最常用的等级。22中国信息安全测评中心安全度量y标签安全保护B1：增加强制访问控制，可以限定在特定的一组客体中。标签支持MAC的实现，安全测试需求更严格；需要一个非形式化的安全策略模型，该模型与相关公理的一致性必须得到说明。大多数操作系统软件商都提供B1级的产品，但在技术上往往落后于主流产品23中国信息安全测评中心安全度量y结构化保护B2：某些政府应用程序可接受的等级。要求对所有客体进行MAC。扩展标签；引入登录可信路径；最小授权；安全保障中要包含隐通道分析、配置管理需求、更加严格的文档需求以及形式化的安全策略模型及其与相关公理的一致性证明24中国信息安全测评中心安全度量y安全域B3，实现了完整的参考验证机制。增强了可信路径需求，限制了代码的开发过程。更严格的测试需求、更多关于DTLS（描述性的高层规范）的需求、管理者指南以及设计文档y验证保护A：功能需求同B3，但安全保障需求不同。要求在隐通道分析、设计会犯以及验证过程中，有效的使用形式化方法，还要包括可信发布，更严格的测试和设计文档需求，还要求代码与FTLS（形式化的高层规范）保持一致。25中国信息安全测评中心UNIX系统的安全特征y按照可信计算机评价标准(TCSEC)达到C2级Ö访问控制Ö对象的可用性Ö个人身份标识与认证Ö审计记录Ö操作的可靠性26中国信息安全测评中心系统为什么不安全y网络建设非常迅猛,较少考虑安全问题y缺乏安全知识和意识，对安全不够重视y部分安全产品及工具不能完全自动处理安全漏洞和威胁y缺乏专门的安全管理人员y各种网络协议及应用方面的缺陷y其它原因27中国信息安全测评中心y绝对安全的OS是不存在的，只能尽可能地减少OS本身的漏洞y需要在设计时就以安全理论作指导，始终贯穿正确的安全原则y在使用时要正确使用安全配置，提高系统安全性28中国信息安全测评中心29二、UNIX系统原理1.UNIX系统发展历史2.UNIX系统启动过程3.UNIX系统结构中国信息安全测评中心30二、UNIX系统原理1.UNIX系统发展历史2.UNIX系统启动过程3.UNIX系统结构中国信息安全测评中心31UNIX后门1.19702.1983中国信息安全测评中心32UNIX系统发展历史KenThompson中国信息安全测评中心33UNIX系统发展历史yMulticsÖMULTiplexedInformationandComputingSystem：多路信息计算系统yUNICSÖUNiplexedInformationandComputingSystemyUNIXÖ后来做了一下改动，称为UNIX。Ö1969年到1970中国信息安全测评中心34UNIX系统发展历史DennisM.Ritchie中国信息安全测评中心35UNIX系统发展历史中国信息安全测评中心UNIX系统发展历史36中国信息安全测评中心37yLinux的官方定义：“Linux是一种UNIX操作系统的克隆，它（的内核）由LinusTorvalds以及网络上组织松散的黑客队伍一起从零开始编写而成。Linux的目标是保持和POSIX的兼容。”yLINUX是一个可独立运作的POSIX兼容操作系统，它也包含了SYSV和BSD的功能。它完全是独立发展的，其中没有包含任何有版权问题的代码。LINUX可以在符合GNUPublicLicense的情况下自由传播。Linux37中国信息安全测评中心Kernel+cmds/libs+apps+installer=aDISTROLinux38中国信息安全测评中心39UNIXMinixLinuxRichard.StallmanDennis.RitchieKen.ThompsonAndrews.TanenbaumLinux39中国信息安全测评中心40yMinix操作系统yGNU计划yPOSIX标准yLinux内核的诞生yLinuxLinux发展背景40中国信息安全测评中心41y内核版本Ö内核版本发展史：1.0—2.0—2.2—2.4—2.6y发行版本Ö如Ubuntu、Fedora、Redhat、TurboLinux、中科红旗等。Linux版本41中国信息安全测评中心42二、UNIX系统原理1.UNIX系统发展历史2.UNIX系统启动过程3.UNIX系统结构中国信息安全测评中心UNIX系统启动过程ySolaris的启动过程系统自检、显示系统信息、读取启动设备的0扇区、在启动设备寻找启动程序、加载启动程序、启动内核、当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给/sbin/init进程，也就是所有进程的父进程，然后由init读取/etc/inittab，依次执行/etc/rc1(2,3)启动脚本，最终到达inittab中指定的默认运行级别。43中国信息安全测评中心UNIX系统启动过程ysolaris系统在多用户模式下的启动过程Init0→Init1→Init2→Init3init0/openboot模式：引导内核，加载硬件驱动，此时可以选择从cdrom引导进入维护模式。init1/单用户模式：（加载/分区)登陆进入维护模式，或按Ctrl+D进入多用户模式init2/网络工作站模式：(连接网络，运行网络工作站服务)运行/etc/rc2脚本连接网络，启动S69inet服务,运行部分inetd网络服务init3/网络服务器模式：(运行各种网络服务)运行/etc/rc3脚本启动网络服务器44中国信息安全测评中心Linux启动过程45中国信息安全测评中心yinit的进程号是1，从这一点就能看出，init进程是系统所有进程的起点，Linux在完成核内引导以后，就开始运行init程序。yinit程序需要读取配置文件/etc/inittabyinittab是一个不可执行的文本文件，它有若干行指令所组成。Linux启动过程46中国信息安全测评中心/etc/inittab文件内容：y#TherunlevelsusedbyRHSare:#0-halt(DoNOTsetinitdefaulttothis)#1-Singleusermode#2-Multiuser,withoutNFS(Thesameas3,ifyoudonothavenetworking)#3-Fullmultiusermode#4-unused#5-X11#6-reboot(DoNOTsetinitdefaulttothis)##表示当前缺省运行级别为5(initdefault)；id:5:initdefault:Linux启动过程47中国信息安全测评中心#启动时自动执行/etc/rc.d/rc.sysinit脚本#Systeminitialization.si::sysinit:/etc/rc.d/rc.sysinityrc.sysinit是一个bashshell的脚