操作系統(tǒng)安全性

1、1 isoiso信息技術安全評價通用準則信息技術安全評價通用準則 隔離隔離 分級安全管理分級安全管理 通信網絡安全管理通信網絡安全管理 信息安全管理信息安全管理 預防、發(fā)現、消除計算機病毒預防、發(fā)現、消除計算機病毒 windows2000 windows2000安全性安全性 unixware 2.1/es unixware 2.1/es 的安全性的安全性2 d d 最低安全性最低安全性 c1 c1 自主存取控制自主存取控制 c2 c2 較完善的自主存取控制、審計較完善的自主存取控制、審計 b1 b1 強制存取控制強制存取控制 b2 b2 良好的結構化設計、形式化安全模型良好的結構化設計、形式化

2、安全模型 b3 b3 全面的訪問控制、可信恢復全面的訪問控制、可信恢復 a1 a1 形式化認證形式化認證3 系統(tǒng)級安全管理：不允許未經核準的用戶進入系系統(tǒng)級安全管理：不允許未經核準的用戶進入系統(tǒng)統(tǒng)注冊：系統(tǒng)紀錄注冊用戶名注冊：系統(tǒng)紀錄注冊用戶名/ /口令口令登錄：系統(tǒng)核對用戶名登錄：系統(tǒng)核對用戶名/ /口令口令 用戶級安全管理：為給用戶文件分配文件用戶級安全管理：為給用戶文件分配文件“訪問訪問權限權限”而設計的；例如，而設計的；例如，unixunix中，將用戶分成三中，將用戶分成三類：文件主、授權用戶和一般用戶類：文件主、授權用戶和一般用戶 文件級安全管理：通過系統(tǒng)管理員或文件主對文文件級安全

3、管理：通過系統(tǒng)管理員或文件主對文件屬性的設置，來控制用戶對文件的訪問；通常件屬性的設置，來控制用戶對文件的訪問；通?？蓪ξ募靡韵聦傩裕簣?zhí)行、隱含、修改、索引可對文件置以下屬性：執(zhí)行、隱含、修改、索引、只讀、寫、只讀、寫 、共享等、共享等4 對網絡安全的主要威脅：非授權訪問、冒充對網絡安全的主要威脅：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統(tǒng)正常合法用戶、破壞數據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒、線路竊聽等方面運行、利用網絡傳播病毒、線路竊聽等方面 網絡操作系統(tǒng)必須采用多種安全措施和手段網絡操作系統(tǒng)必須采用多種安全措施和手段：用戶身份驗證和對等實體鑒別；訪問控制：用戶身份驗證

4、和對等實體鑒別；訪問控制；數據完整性；加密；防抵賴；審計；數據完整性；加密；防抵賴；審計 網絡系統(tǒng)安全保障的實現方法網絡系統(tǒng)安全保障的實現方法 以防火墻技術為代表的防衛(wèi)型網絡安全保障系統(tǒng)以防火墻技術為代表的防衛(wèi)型網絡安全保障系統(tǒng) 建立在數據加密和用戶授權確認機制上的開放型建立在數據加密和用戶授權確認機制上的開放型網絡安全保障系統(tǒng)網絡安全保障系統(tǒng)5 保護信息以防止未授權者對信息的惡意訪問、泄漏、修改和保護信息以防止未授權者對信息的惡意訪問、泄漏、修改和破壞，從而導致信息的不可靠或被破壞破壞，從而導致信息的不可靠或被破壞機密性機密性confidentiality:confidentiality:定

5、義了哪些系統(tǒng)資源不能被未授定義了哪些系統(tǒng)資源不能被未授權用戶訪問權用戶訪問完整性完整性integrity:integrity:決定了信息不能被未授權的來源所替代決定了信息不能被未授權的來源所替代或遭到改變和破壞或遭到改變和破壞可用性可用性availability:availability:防止非法獨占資源，每當用戶需要防止非法獨占資源，每當用戶需要并有權訪問時，總能訪問到所需的信息資源并有權訪問時，總能訪問到所需的信息資源 信息系統(tǒng)的安全性可用信息系統(tǒng)的安全性可用4 4a a的完善程度來衡量的完善程度來衡量用戶身份驗證用戶身份驗證authenticationauthentication：在用戶

6、獲取信息、訪問系在用戶獲取信息、訪問系統(tǒng)資源前對其身份標識進行確定和驗證，以保證用戶的合統(tǒng)資源前對其身份標識進行確定和驗證，以保證用戶的合法性法性授權授權authorizationauthorization：使不同的用戶能用各自的權限合法使不同的用戶能用各自的權限合法地訪問他們可使用的信息及系統(tǒng)資源地訪問他們可使用的信息及系統(tǒng)資源審計審計auditaudit：對各種安全性事件的檢查、跟蹤和記錄對各種安全性事件的檢查、跟蹤和記錄保證保證assuranceassurance：在意外故障乃至災難中信息資源不被破在意外故障乃至災難中信息資源不被破壞與丟失壞與丟失6 計算機病毒是一個能夠通過修改程序，并

7、把自身的計算機病毒是一個能夠通過修改程序，并把自身的復制品包括在內去復制品包括在內去“傳染傳染” ” 其它程序的一種程序其它程序的一種程序 計算機病毒的特性：破壞性、隱蔽性、傳染性、表計算機病毒的特性：破壞性、隱蔽性、傳染性、表現性現性 計算機病毒按其寄生方式：源碼病毒、入侵病毒、計算機病毒按其寄生方式：源碼病毒、入侵病毒、外殼病毒、系統(tǒng)病毒外殼病毒、系統(tǒng)病毒 計算機病毒的防治：計算機病毒的防治：病毒的預防，指采取措施保護傳染對象不受病毒的傳染病毒的預防，指采取措施保護傳染對象不受病毒的傳染病毒的發(fā)現，應該盡早根據種種蛛絲馬跡發(fā)現病毒的存病毒的發(fā)現，應該盡早根據種種蛛絲馬跡發(fā)現病毒的存在，以便

8、消除它在，以便消除它病毒的消除，有專門的殺毒工具，如病毒的消除，有專門的殺毒工具，如vsafevsafe、msavmsav、killkill等，使系統(tǒng)恢復正常。等，使系統(tǒng)恢復正常。 7 安全策略定義了一組用于授權使用其計算機安全策略定義了一組用于授權使用其計算機及信息資源的規(guī)則及信息資源的規(guī)則 保護機制是實施組織安全策略的工具保護機制是實施組織安全策略的工具 身份鑒別分為內部和外部身份鑒別兩種身份鑒別分為內部和外部身份鑒別兩種外部身份鑒別涉及驗證某用戶是否是其宣稱的外部身份鑒別涉及驗證某用戶是否是其宣稱的 內部身份鑒別機制確保某進程不能表現為除了內部身份鑒別機制確保某進程不能表現為除了它自身以

9、外的進程它自身以外的進程 授權機制確認用戶或進程只有在策略許可某授權機制確認用戶或進程只有在策略許可某種使用時才能夠使用計算機的實體種使用時才能夠使用計算機的實體 加密是將信息編碼成像密文一樣難解形式的加密是將信息編碼成像密文一樣難解形式的技術技術 8 狀態(tài)隔離狀態(tài)隔離 例：例：vax/vmsvax/vms的四種處理器模式的四種處理器模式內核內核( (kernel)kernel)態(tài)：執(zhí)行態(tài)：執(zhí)行vmsvms操作系統(tǒng)的內核，包括內存操作系統(tǒng)的內核，包括內存管理、中斷處理、管理、中斷處理、i/oi/o操作等操作等執(zhí)行執(zhí)行( (executive)executive)態(tài)：執(zhí)行操作系統(tǒng)的各種系統(tǒng)調用，

10、態(tài)：執(zhí)行操作系統(tǒng)的各種系統(tǒng)調用，如文件操作等如文件操作等監(jiān)管監(jiān)管( (supervisor)supervisor)態(tài)：執(zhí)行操作系統(tǒng)其余系統(tǒng)調用，態(tài)：執(zhí)行操作系統(tǒng)其余系統(tǒng)調用，如應答用戶請求如應答用戶請求用戶用戶( (user)user)態(tài)：執(zhí)行用戶程序；執(zhí)行諸如編譯、編輯態(tài)：執(zhí)行用戶程序；執(zhí)行諸如編譯、編輯、連接、和排錯等各種實用程序、連接、和排錯等各種實用程序 空間隔離空間隔離 訪問矩陣的實現訪問矩陣的實現 內存鎖與內存鎖與keykey、訪問控制列表、權能訪問控制列表、權能9 加密函數與解密函數加密函數與解密函數 加密與解密機制的實現加密與解密機制的實現機制的實現保密機制的實現保密密鑰保密密

11、鑰保密10 安全引用監(jiān)視器安全引用監(jiān)視器( (srm)srm) 本地安全權限本地安全權限( (lsa)lsa)服務器服務器 lsa lsa策略數據庫策略數據庫 安全賬號管理器服務器安全賬號管理器服務器 sam sam數據庫數據庫 默認身份認證包默認身份認證包 登錄進程登錄進程 網絡登錄服務網絡登錄服務11 保護對象包括：文件、設備、郵件槽保護對象包括：文件、設備、郵件槽、己命名的和未命名的管道、進程、己命名的和未命名的管道、進程、線程、事件、互斥體、信號量、可等線程、事件、互斥體、信號量、可等待定時器、訪問令牌、窗口站、桌面待定時器、訪問令牌、窗口站、桌面、網絡共享、服務、注冊表鍵和打印、網絡

12、共享、服務、注冊表鍵和打印機機 12 安全描述體和訪問控制安全描述體和訪問控制每個保護對象都有一個安全描述體，用每個保護對象都有一個安全描述體，用以控制哪些用戶可以對訪問的對象做什么以控制哪些用戶可以對訪問的對象做什么，它包含下列主要屬性：，它包含下列主要屬性：所有者所有者sidsid：所有者的安全所有者的安全idid組組sidsid：用于對象主要組的用于對象主要組的sidsid謹慎訪問控制列表謹慎訪問控制列表dacldacl：指定誰可以對指定誰可以對訪問的對象做什么訪問的對象做什么系統(tǒng)訪問控制列表系統(tǒng)訪問控制列表saclsacl：指定哪些用戶指定哪些用戶的哪些操作應登錄到安全審核日志中的哪些

13、操作應登錄到安全審核日志中13 安全描述體和訪問控制安全描述體和訪問控制訪問控制列表訪問控制列表aclacl包括一個包括一個aclacl頭和零個頭和零個或多個或多個“訪問控制項訪問控制項”(”(ace)ace)結構結構在在dacldacl中，每個中，每個aceace都包含一個安全標都包含一個安全標識和訪問掩碼；識和訪問掩碼；dacldacl中可能存在兩種中可能存在兩種類型的類型的aceace：訪問允許和訪問拒絕訪問允許和訪問拒絕saclsacl只包含系統(tǒng)審核只包含系統(tǒng)審核aceace，用來指明特用來指明特定用戶或組在對象上進行的應得到審定用戶或組在對象上進行的應得到審核的操作核的操作14 訪問

14、令牌與模仿訪問令牌與模仿訪問令牌是一個包含進程或線程安全標識的訪問令牌是一個包含進程或線程安全標識的數據結構：安全數據結構：安全id(sid)id(sid)、用戶所屬組的列用戶所屬組的列表以及啟用和禁用的特權列表表以及啟用和禁用的特權列表每個進程都從它的創(chuàng)建進程繼承了一個首選每個進程都從它的創(chuàng)建進程繼承了一個首選訪問令牌訪問令牌單個線程也可以有自己的訪問令牌單個線程也可以有自己的訪問令牌如果如果它們在它們在“模仿模仿”客戶客戶許多系統(tǒng)進程在名為許多系統(tǒng)進程在名為systemsystem的特殊訪問令牌的特殊訪問令牌下運行下運行15 對象管理器可以生成審核事件作為訪問檢查對象管理器可以生成審核事件

15、作為訪問檢查的結果，用戶也可以直接生成審核事件的結果，用戶也可以直接生成審核事件 lsalsa的審核規(guī)控制對審核一個特殊類型安全事的審核規(guī)控制對審核一個特殊類型安全事件的決定；件的決定；lsalsa向向srmsrm發(fā)送消息以通知它系統(tǒng)發(fā)送消息以通知它系統(tǒng)初始化時的審核規(guī)則和規(guī)則更改的時間；初始化時的審核規(guī)則和規(guī)則更改的時間；lsalsa負責接收來自負責接收來自srmsrm的審核記錄，對它們進行編的審核記錄，對它們進行編輯并將記錄發(fā)送到事件日志中輯并將記錄發(fā)送到事件日志中 srmsrm經連接到經連接到lsalsa的的ipcipc發(fā)送這些審核事件，事發(fā)送這些審核事件，事件記錄器將審核事件寫入安全日

16、志中件記錄器將審核事件寫入安全日志中 當接收到審核記錄后，它們被放到隊列中以當接收到審核記錄后，它們被放到隊列中以被發(fā)送到被發(fā)送到lsalsa16 登錄是通過登錄進程登錄是通過登錄進程、isaisa、一個或多個身一個或多個身份驗證包和份驗證包和samsam的相互作用發(fā)生的的相互作用發(fā)生的 身份驗證包是執(zhí)行身份驗證檢查的身份驗證包是執(zhí)行身份驗證檢查的 登錄進程是一個受托進程，負責管理與安登錄進程是一個受托進程，負責管理與安全性相關的用戶相互作用；它協調登錄，全性相關的用戶相互作用；它協調登錄，在登錄時啟動用戶外殼，處理注銷和管理在登錄時啟動用戶外殼，處理注銷和管理各種與安全性相關的其他操作，包括

17、登錄各種與安全性相關的其他操作，包括登錄時輸入口令、更改口令以及鎖定和解鎖工時輸入口令、更改口令以及鎖定和解鎖工作站作站17 活動目錄存儲了有關網絡上所有資源的信息，它活動目錄存儲了有關網絡上所有資源的信息，它使開發(fā)者、管理員和用戶可以很容易地找到和使使開發(fā)者、管理員和用戶可以很容易地找到和使用這些信息用這些信息 活動目錄結構具有以下主要特性：靈活的分級結活動目錄結構具有以下主要特性：靈活的分級結構、有效的多主機復制、粒狀安全授權、新對象構、有效的多主機復制、粒狀安全授權、新對象類和屬性的可擴展存儲、通過輕量目錄訪問協議類和屬性的可擴展存儲、通過輕量目錄訪問協議( (ldap)ldap)版本版

18、本3 3支持實現的基于標準的相互操作性、支持實現的基于標準的相互操作性、每一個存儲中可達到上百萬對象、集成動態(tài)域名每一個存儲中可達到上百萬對象、集成動態(tài)域名系統(tǒng)系統(tǒng)( (dns)dns)服務器、可編程類存儲服務器、可編程類存儲 活動目錄也是改進分布式系統(tǒng)安全性的重要基礎活動目錄也是改進分布式系統(tǒng)安全性的重要基礎18 活動目錄對所有域安全策略和賬號信息提供存儲活動目錄對所有域安全策略和賬號信息提供存儲 對于用戶、組和計算機賬號信息，活動目錄支持對于用戶、組和計算機賬號信息，活動目錄支持多級分層樹狀名稱空間多級分層樹狀名稱空間 創(chuàng)建和管理用戶或組賬號的管理員權限可以委派創(chuàng)建和管理用戶或組賬號的管理

19、員權限可以委派給組織單元級給組織單元級 包括以包括以internetinternet標準安全協議為基礎的新身份驗標準安全協議為基礎的新身份驗證證 安全通道安全協議的實施安全通道安全協議的實施 支持用于相互作用登錄的智能卡支持用于相互作用登錄的智能卡 支持支持x.509x.509版本版本3 3證書、證書、cryptoapicryptoapi證書證書 支持公用密鑰證書支持公用密鑰證書 支持個人安全證書支持個人安全證書19 加密文件系統(tǒng)加密文件系統(tǒng)( (efs)efs)允許允許ntfsntfs卷上的加密文卷上的加密文件的存儲件的存儲 efsefs與與ntfsntfs緊密集成，緊密集成，efsefs的

20、驅動程序組件的驅動程序組件以核心態(tài)運行，使用非頁交換區(qū)存儲文件以核心態(tài)運行，使用非頁交換區(qū)存儲文件密鑰，確保這些文件密鑰不會將其變成頁密鑰，確保這些文件密鑰不會將其變成頁面調度文件面調度文件 efsefs的關鍵組件：的關鍵組件：win32apiwin32api、efsefs驅動程序驅動程序、fsrtijfsrtij標注、標注、efsefs服務服務 文件加密可以使用任何加密算法；文件加密可以使用任何加密算法；efsefs第一第一版將采用版將采用des(des(數據加密標準數據加密標準) )作為加密算法作為加密算法；以后的版本將允許改變加密方案；以后的版本將允許改變加密方案20 新的安全配置編輯程

21、序為以新的安全配置編輯程序為以windows2000windows2000為為基礎的單個站點提供系統(tǒng)安全管理，允許基礎的單個站點提供系統(tǒng)安全管理，允許管理員配置和分析系統(tǒng)安全策略管理員配置和分析系統(tǒng)安全策略 安全配置編輯程序將提供在宏水平上的分安全配置編輯程序將提供在宏水平上的分析析 安全配置編輯程序允許管理員定義很多配安全配置編輯程序允許管理員定義很多配置設置，并使它們在后臺生效，運用此工置設置，并使它們在后臺生效，運用此工具，能使配置任務分組和自動化具，能使配置任務分組和自動化 安全配置編輯程序的設計目標在于通過定安全配置編輯程序的設計目標在于通過定義一個能夠解釋標準配置模板并在后臺自義一

22、個能夠解釋標準配置模板并在后臺自動執(zhí)行所請求的操作的引擎來實現這些系動執(zhí)行所請求的操作的引擎來實現這些系統(tǒng)工具統(tǒng)工具21 標識與鑒別標識與鑒別 系統(tǒng)中的每個用戶都識置了一個安全級范圍，表系統(tǒng)中的每個用戶都識置了一個安全級范圍，表示用戶的安全等級，系統(tǒng)除進行身份和口令的判示用戶的安全等級，系統(tǒng)除進行身份和口令的判別外，還進行安全級判別，以保證進入系統(tǒng)的陶別外，還進行安全級判別，以保證進入系統(tǒng)的陶戶具有合法的身份標識和安全級別戶具有合法的身份標識和安全級別 審計審計 用于監(jiān)視和記錄系統(tǒng)中有關安全性的活動?？梢杂糜诒O(jiān)視和記錄系統(tǒng)中有關安全性的活動?？梢杂羞x擇地設置哪些用戶、哪些操作有選擇地設置哪些用

23、戶、哪些操作( (或系統(tǒng)調用或系統(tǒng)調用) ) 、對哪些敏感資源的訪問需要審計。這些事件的、對哪些敏感資源的訪問需要審計。這些事件的活動就會在系統(tǒng)中留下痕跡，事件的類型、用戶活動就會在系統(tǒng)中留下痕跡，事件的類型、用戶的身份、操作的時間、參數和狀態(tài)等構成一個審的身份、操作的時間、參數和狀態(tài)等構成一個審記記錄記入審記日志。通過檢查審記日志可以發(fā)記記錄記入審記日志。通過檢查審記日志可以發(fā)現有無危害安全性的活動現有無危害安全性的活動22 自主存取控制：用于實現按用戶意愿的存取控制。自主存取控制：用于實現按用戶意愿的存取控制。用戶可以說明其私有資源允許系統(tǒng)中哪個或哪些用用戶可以說明其私有資源允許系統(tǒng)中哪個或哪些用戶以何種權限進行共享。系統(tǒng)中的每個文件、消息戶以何種權限進行共享。系統(tǒng)中的每個文件、消息隊列、