信息系統(tǒng)安全第四講操作系統(tǒng)安全課件

1、目 錄1、信息系統(tǒng)安全的基本概念2、密碼學(1)3、密碼學(2)4、操作系統(tǒng)安全(1)5、操作系統(tǒng)安全(2)6、數(shù)據(jù)庫安全(1)7、數(shù)據(jù)庫安全(2)8、可信計算(1)9、可信計算(2)目 錄1、信息系統(tǒng)安全的基本概念一、操作系統(tǒng)安全的概念我們的學術觀點： 硬件結(jié)構的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎，密碼、網(wǎng)絡安全等是關鍵技術。 一、操作系統(tǒng)安全的概念我們的學術觀點：一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎之一： 操作系統(tǒng)是軟件系統(tǒng)的底層； 操作系統(tǒng)是系統(tǒng)資源的管理者； 操作系統(tǒng)是軟硬件的接口。 2、操作系統(tǒng)安全的困難性 操作系統(tǒng)的規(guī)模龐大，以至于不能保證完全正確。 理論上

2、一般操作系統(tǒng)的安全是不可判定問題。 3、我國必須擁有自己的操作系統(tǒng) 操作系統(tǒng)受治于人，不能從根本上確保信息安全； 立足國內(nèi)，發(fā)展自己的操作系統(tǒng)。一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎之一：二、操作系統(tǒng)的安全評價1、操作系統(tǒng)安全要求一般對安全操作系統(tǒng)有以下要求： 安全策略：要有明確、嚴謹、文檔齊全的安全策略 標識：每個實體必須標識其安全級別 認證： 每個主體必須被認證 審計：對影響安全的事件，必須記錄日志，并進行 審計。 保證：系統(tǒng)必須確保上述4項要求被實施 連續(xù)性保護：實現(xiàn)安全的機制必須是不間斷地發(fā)揮作 用，并且未經(jīng)許可不可改動。 二、操作系統(tǒng)的安全評價1、操作系統(tǒng)安全要求二、

3、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： D級：最低的安全保護級 D級是最低的安全保護級屬于D級的系統(tǒng)是不安全的除了物理上的一些安全措施外，沒有什幺其它安全用戶只要開機后就可支配所有資源DOS,WINDOWS 3.2,MOS二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： C1級：自主安全保護級 通過用戶名和口令進行身份認證每個用戶對屬于他們自己的客體具有控制權劃分屬主、同組用戶和其他用戶3個層次。屬主控制這3個層次的存儲權限實體沒有劃分安全級別多數(shù)UNIX 、 LINUX ，Windows NT 二、操作

4、系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： C2級：受控制的安全保護級系統(tǒng)記錄日志，并進行審計。身份認證更強，口令以密文存儲。采用以用戶為單位的自主訪問控制機制。部分UNIX 、LINUX ，VMS 二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： B1級：標記安全保護級采用多級安全策略采用強制訪問控制強制訪問控制并不取消原來的自主訪問控制，而是在此之外另加的。實體都劃分安全級別屬主也不能改變對自己客體的存儲權限二、操作系統(tǒng)的安全評價2、美國國防部的桔皮

5、書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： B2級：結(jié)構化的安全保護級要有形式化的安全模型更完善的強制訪問控制隱通道分析與處理一般認為B2級以上的操作系統(tǒng)才是安全操作系統(tǒng)Honeywell公司的MULTICS 、TIS公司的Trusted XENIX 3.0 4.0 二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： B3級：安全域級把系統(tǒng)劃分為一些安全域，用硬件把安全域互相分割開來，如存儲器隔離保護等。提供可信路徑機制，確保用戶與可信軟件是連接的，防止假冒進程。更全面的訪問控制機制。更嚴

6、格的系統(tǒng)結(jié)構化設計。更完善的隱通道分析。HFS公司的UNIX XTS-2000 STOP3.1E二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）： A1級：驗證安全設計級安全模型要經(jīng)過數(shù)學證明對隱通道進行形式化分析Honeywell公司 SCOMP、波音公司MLS LAN OS注意：分級的頂端是無限的，還可加入A2、A3級等。每一級的安全性都包含前一級的安全性。二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全評價2、美國國防部的桔皮書（TCSEC）：DC1C2B1B2B3A1二、操作系統(tǒng)的安全評

7、價2、美國國防部的桔皮書（TCSEC）：二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則： （GB1178591999） 根據(jù)中國國情、參照桔皮書，將其7的級別合并為5個級別 第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標記保護級； 第四級：結(jié)構化保護級； 第五級：訪問驗證保護級。二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則：第一級：用戶自主保護級；通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用

8、戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。 自主訪問控制 例如：訪問控制表 身份鑒別 例如：口令數(shù)據(jù)完整性 通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息。 二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則：第二級：系統(tǒng)審計保護級；與用戶自主保護級相比，本級的計算機實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。 自主訪問控制訪問控制機制根據(jù)用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的

9、訪問權。身份鑒別 通過為用戶提供唯一標識、計算機能夠使用戶對自己的行為負責。計算機還具備將身份標識與該用戶所有可審計行為相關聯(lián)的能力。 阻止客體重用 客體只有在釋放且清除原信息后才讓新主體使用審計 計算機能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權的用戶對它訪問或破壞。 二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則：第三級：安全標記保護級；具有系統(tǒng)審計保護級所有功能。此外，還提供有關安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯誤。

10、 強制訪問控制計算機對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據(jù)。 標記 計算機應維護與主體及其控制的存儲客體（例如：進程、文件、段、設備）相關的敏感標記。這些標記是實施強制訪問的基礎。二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則：第四級：結(jié)構化保護級；建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體?？紤]隱蔽通道。必須結(jié)構化為關鍵保護

11、元素和非關鍵保護元素。計算機的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試。加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。 二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別3、中國計算機信息系統(tǒng)安全保護等級劃分準則：第五級：訪問驗證保護級本級的計算機滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。支持安全管理員職能，擴充審計機制，提供系統(tǒng)恢復機制。系統(tǒng)具有很高的抗?jié)B透能力。 隱蔽信道分析可信路徑 可信恢復 二、操作系統(tǒng)的安全級別

12、3、中國計算機信息系統(tǒng)安全保護等級劃分二、操作系統(tǒng)的安全級別4、桔皮書和GB117859的局限性 桔皮書注意確保數(shù)據(jù)的秘密性，而沒有注意確保數(shù)據(jù)的真實性和完整性。 忽略了防范諸如拒絕服務之類的攻擊。 只給出了評測等級，沒有給出達到這種等級所要采取的系統(tǒng)結(jié)構和技術路線。二、操作系統(tǒng)的安全級別4、桔皮書和GB117859的局限性二、操作系統(tǒng)的安全級別5、CC標準： 美國國家安全局、國家技術標準研究所、法國、加拿大、英國、德國、荷蘭六國七方，聯(lián)合提出了新的“ 信息技術安全評價通用準則”（CC for ITSEC），并于1999年5月正式被ISO頒布為國際標準，。 增強了對真實性和完整性的保護。 仍沒

13、有給出達到標準所要采取的系統(tǒng)結(jié)構和技術路線。二、操作系統(tǒng)的安全級別5、CC標準：三、操作系統(tǒng)的安全機制操作系統(tǒng)安全的目標：對用戶進行身份識別；根據(jù)安全策略，進行訪問控制，防止對計算機資源的非法存??；標識系統(tǒng)中的實體；監(jiān)視系統(tǒng)的安全運行；確保自身的安全性和完整性。三、操作系統(tǒng)的安全機制操作系統(tǒng)安全的目標：三、操作系統(tǒng)的安全機制1、實體保護多道程序的增長，使得許多實體需要保護。 需要受保護的實體：存儲器；IO設備；程序；數(shù)據(jù)。三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全保護技術1、實體保護 保護方法：隔離 操作系統(tǒng)的一個基本安全方法是隔離，把一個客體與其它客體隔離起來。物理隔離：不同的處理

14、使用不同的物理設備。如，不同安全級別的處理輸出使用不同的打印機；三、操作系統(tǒng)的安全保護技術1、實體保護三、操作系統(tǒng)的安全機制隔離時間隔離：不同安全級別的處理在不同的時間執(zhí)行；邏輯隔離：用戶的操作在沒有其它處理存在的情況下執(zhí)行。操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。虛擬機是軟件是運行在硬件之上、操作系統(tǒng)之下的支撐軟件，可以使一套硬件運行多個操作系統(tǒng)，分別執(zhí)行不同密級任務。密碼隔離：用密碼加密數(shù)據(jù)，以其它處理不能理解的形式隱藏數(shù)據(jù)三、操作系統(tǒng)的安全機制隔離三、操作系統(tǒng)的安全機制隔離然而隔離僅僅是問題的一半。我們除了要對用戶和客體進行隔離外，我們還希望能夠提供共享。例如，不同

15、安全級別的處理能調(diào)用同一個的算法或功能調(diào)用。我們希望既能夠提供共享，而又不犧牲各自的安全性。三、操作系統(tǒng)的安全機制隔離三、操作系統(tǒng)的安全機制1、實體保護 保護方法：隔絕當操作系統(tǒng)提供隔絕時，并發(fā)運行的不同處理不能察覺對方的存在。每個處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個處理，使其它處理的客體完全隱蔽。 三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全機制1、實體保護 存儲器的保護：多道程序的最重要問題是阻止一個程序影響另一個程序的存儲器。這種保護可以作成硬件機制，以保護存儲器的有效使用，而且成本很低。固定地址界限設置地址界限，使操作系統(tǒng)在界限的一邊，而用戶程序在界限的另一邊

16、。主要是阻止用戶程序破壞操作系統(tǒng)的程序。這種固定界限方式的限制是死扳的，因為給操作系統(tǒng)預留的存儲空間是固定的，不管是否需要。 三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全機制1、實體保護存儲器的保護：固定地址界限操作系統(tǒng)操作系統(tǒng)硬件地址界限操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機制1、實體保護硬件地址界限0n-1n高三、操作系統(tǒng)的安全機制1、實體保護 存儲器的保護：浮動地址界限界限寄存器（fence register）：它存儲操作系統(tǒng)的端地址。與固定界限方式不同，這里的界限是可以變化的。每當用戶程序要修改一個地址的數(shù)據(jù)時，則把該地址與界限地址進行比較，如果該地址在用戶區(qū)則執(zhí)行，

17、如果該地址在操作系統(tǒng)區(qū)則產(chǎn)生錯誤信號、并拒絕執(zhí)行。三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全機制1、客實體保護 存儲器的保護：浮動地址界限操作系統(tǒng)操作系統(tǒng)界限寄存器操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機制1、客實體保護界限寄存器0n-1n高三、操作系統(tǒng)的安全機制1、實體保護 存儲器的保護：浮動地址界限一個界限寄存器的保護是單向的。換句話說，可保護用戶不侵入操作系統(tǒng)區(qū)，但不能保護一個用戶對另一用戶區(qū)的侵入。類似地，用戶也不能隔離保護程序的代碼區(qū)和數(shù)據(jù)區(qū)。 通常采用多對地址界限寄存器，其中一個為上界，另一個為下界（或一個為基址，另一個為界長）。把程序之間，數(shù)據(jù)之間，堆棧之間隔離

18、保護起來。三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全機制1、實體保護 存儲器的保護：浮動地址界限操作系統(tǒng)程序2上界寄存器操作系統(tǒng)程序30n-1n高操作系統(tǒng)程序1下界寄存器mm+1基址寄存器界長寄存器三、操作系統(tǒng)的安全機制1、實體保護上界寄存器0n-1n高下界三、操作系統(tǒng)的安全機制1、實體保護 運行保護：安全操作系統(tǒng)采用分層設計；運行域是進程運行的區(qū)域；運行域保護機制：根據(jù)安全策略，把進程的運行區(qū)域劃分為一些同心環(huán)，進行運行的安全保護。最內(nèi)環(huán)具有最小的環(huán)號，具有最高的安全級別；最外環(huán)具有最大的環(huán)號，具有最低的安全級別； 內(nèi)環(huán)不受外環(huán)的入侵，卻可利用外環(huán)的資源，并控制外環(huán)。三、操作系統(tǒng)的

19、安全機制1、實體保護三、操作系統(tǒng)的安全機制1、實體保護 運行保護：R0R1Rn三、操作系統(tǒng)的安全機制1、實體保護R0R1Rn三、操作系統(tǒng)的安全機制1、實體保護 IO保護：IO保護是系統(tǒng)中最復雜的；大多數(shù)情況下，把IO設備視為文件，且規(guī)定IO是僅由操作系統(tǒng)完成的一個特權操作，對讀寫操作提供一個高層系統(tǒng)調(diào)用。在這一過程中，用戶不控制IO操作的細節(jié)。三、操作系統(tǒng)的安全機制1、實體保護三、操作系統(tǒng)的安全機制2、標識與認證標識標識是系統(tǒng)為了正確識別、認證和管理實體而給實體的一種符號；用戶名是一種標識，為的是進行身份認證；安全級別也是一種標識，為的是進行安全的訪問控制。標識需要管理；標識活性化、智能化，是

20、值得研究的新方向。認證在操作系統(tǒng)中主要是用戶的身份認證。三、操作系統(tǒng)的安全機制2、標識與認證三、操作系統(tǒng)的安全機制3、訪問控制訪問控制的目的：確保主體對客體的訪問只能是授權的，而未授權的訪問是不能進行的，而且授權策略是安全的。自主訪問控制（DAC）；強制訪問控制（MAC）；有多種訪問控制模型。三、操作系統(tǒng)的安全機制3、訪問控制三、操作系統(tǒng)的安全機制3、訪問控制區(qū)分安全策略和機制是重要的：策略著重原則指導，而不著重具體實現(xiàn)。機制是實現(xiàn)策略的技術機構和方法。沒有好的安全策略，再好的機制也不能確保安全。相反，沒有好的機制，再好的策略也沒有實際意義。通常策略是原則的、簡單的、確切的，而機制是具體的、復雜的、煩瑣的。三、操作系統(tǒng)的安全機制3、訪問控制謝 謝！ 謝 謝！每一次的加油，每一次的努力都是為了下一次更好的自己。10月-2210月-22Tuesday, October 11, 2022天生我材必有用，千金散盡還復來。01:39:4801:39:4801:3910/11/2022 1:39:48 AM