工學(xué)操作系統(tǒng)安全講稿課件

操作系統(tǒng)安全

OperatingSystemSecurity中南大學(xué)信息科學(xué)與工程學(xué)院CentralSouthUniversityCollegeofInformationScienceandEngineering

2022/12/101操作系統(tǒng)安全

OperatingSystemSecuri目錄第一章緒論第二章操作系統(tǒng)安全機(jī)制第三章操作系統(tǒng)安全模型第四章操作系統(tǒng)安全體系結(jié)構(gòu)第五章安全操作系統(tǒng)設(shè)計(jì)2022/12/102目錄第一章緒論2022/12/102參考文獻(xiàn)賈春福鄭鵬操作系統(tǒng)安全武漢大學(xué)出版社2006卿斯?jié)h等操作系統(tǒng)安全清華大學(xué)出版社2004TrentJaegerOperatingSystemSecurityMORGAN&CLAYPOOLPUBLISHERSBruceSchneierSecrets&LiesandBeyondFearCrypto-gramnewsletter/crypto-gram.htmlRossAndersonSecurityEngineeringAvailableonlineat

http://www.cl.cam.ac.uk/users/rja14/book.html2022/12/103參考文獻(xiàn)賈春福鄭鵬操作系統(tǒng)安全武漢大學(xué)出版社2006前言課程形式

主課，習(xí)題課，作業(yè)，小論文及上機(jī)成績?cè)u(píng)定

作業(yè)，小論文及上機(jī)，期末考試比例：

作業(yè)10%

小論文及上機(jī)20%

期末考試70%2022/12/104前言課程形式

主課，習(xí)題課，作業(yè)，小論文及上機(jī)2022基本目的理解掌握操作系統(tǒng)中的安全問題及安全性掌握操作系統(tǒng)安全的基本概念掌握操作系統(tǒng)安全機(jī)制、安全模型、安全體系結(jié)構(gòu)了解安全操作系統(tǒng)的設(shè)計(jì)原則根據(jù)操作系統(tǒng)安全目標(biāo)能設(shè)計(jì)并評(píng)價(jià)安全操作系統(tǒng)2022/12/105基本目的理解掌握操作系統(tǒng)中的安全問題及安全性2022/12/第一章緒論1.1操作系統(tǒng)面臨的安全威脅1.2安全操作系統(tǒng)的研究發(fā)展1.3操作系統(tǒng)安全的基本概念2022/12/106第一章緒論1.1操作系統(tǒng)面臨的安全威脅2022/12/11.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）信息的隱藏——對(duì)非授權(quán)用戶不可見保護(hù)數(shù)據(jù)的存在性完整性威脅（integrity）信息的可信程度信息內(nèi)容的完整性、信息來源的完整性可用性威脅（availability）信息或資源的期望使用能力防止數(shù)據(jù)或服務(wù)的拒絕訪問2022/12/1071.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）2一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療（1）網(wǎng)絡(luò)本身不安全2022/12/108一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存在威脅2022/12/109信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存（3）多樣化的攻擊手段網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲2022/12/1010（3）多樣化的攻擊手段網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈二、安全威脅種類特洛伊木馬：Mellissa天窗：設(shè)置在操作系統(tǒng)內(nèi)部隱蔽通道：不受安全策略控制的、違反安全策略的信息泄露路徑。間諜軟件（Spyware）病毒和蠕蟲具有隱蔽性、傳染性、潛伏性、破壞性特點(diǎn)邏輯炸彈拒絕服務(wù)攻擊2022/12/1011二、安全威脅種類特洛伊木馬：Mellissa2022/12/SQLSlammer蠕蟲的能力

2022/12/1012SQLSlammer蠕蟲的能力2022/12/1012SQLSlammer蠕蟲的能力2022/12/1013SQLSlammer蠕蟲的能力2022/12/10131.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操作系統(tǒng)的發(fā)展分為奠基時(shí)期、食譜時(shí)期、多政策時(shí)期和動(dòng)態(tài)政策時(shí)期2004年卿斯?jié)h教授在《操作系統(tǒng)安全》中也對(duì)其發(fā)展進(jìn)行了概述。2022/12/10141.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操安全操作系統(tǒng)的發(fā)展（續(xù)）1969

年，C.Weissman研究的Adept-50是歷史上的第一個(gè)分時(shí)安全操作系統(tǒng)。同年，B.W.Lampson

通過形式化表示方法運(yùn)用主體（subject）、客體（object）和訪問矩陣（accessmatrix）的思想第一次對(duì)訪問控制問題進(jìn)行了抽象。1970

年，W.H.Ware

對(duì)多渠道訪問的資源共享的計(jì)算機(jī)系統(tǒng)引起的安全問題進(jìn)行了研究。2022/12/1015安全操作系統(tǒng)的發(fā)展（續(xù)）1969年，C.Weissman安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderson提出了參照監(jiān)視器（referencemonitor）、訪問驗(yàn)證機(jī)制（referencevalidationmechanism）、安全內(nèi)核（securitykernel）和安全建模（modeling）等重要思想。1973

年，B.W.Lampson

提出了隱通道（covertchannel）；同年，D.E.Bell

和L.J.LaPadula

提出了簡稱BLP

模型。2022/12/1016安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderso安全操作系統(tǒng)的發(fā)展（續(xù)）1975

年，J.H.Saltzer

和M.D.Schroeder

以保護(hù)機(jī)制的體系結(jié)構(gòu)為中心，重點(diǎn)考察了權(quán)能（capability）實(shí)現(xiàn)結(jié)構(gòu)和訪問控制表（accesscontrollist）實(shí)現(xiàn)結(jié)構(gòu)，給出了信息保護(hù)機(jī)制的八條設(shè)計(jì)原則。1976年，M.A.Harrison、W.L.Ruzzo

和J.D.Ullman

提出了操作系統(tǒng)保護(hù)的第一個(gè)基本理論——HRU理論。2022/12/1017安全操作系統(tǒng)的發(fā)展（續(xù)）1975年，J.H.Saltze安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系統(tǒng)研究有：MulticsMitre安全核UCLA

數(shù)據(jù)安全UnixKSOS（KernelizedSecureOperatingSystem）PSOS等這段時(shí)期可稱為奠基時(shí)期。2022/12/1018安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系安全操作系統(tǒng)的發(fā)展（續(xù)）1983

年，美國國防部頒布了歷史上第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)TCSEC橙皮書（TrustedComputerSystemEvaluationCriteria)。1984

年，AXIOM

技術(shù)公司的S.Kramer開發(fā)了基于Unix的實(shí)驗(yàn)型安全操作系統(tǒng)LINUSIV

，達(dá)到B2級(jí)；1986，IBM

公司的V.D.Gligor

等設(shè)計(jì)了基于SCOXenix的安全Xenix系統(tǒng)，基于安全注意鍵（secureattentionkey，SAK）實(shí)現(xiàn)了可信通路（Trustedpath）。2022/12/1019安全操作系統(tǒng)的發(fā)展（續(xù)）1983年，美國國防部頒布了歷史上安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInformation

Systems公司開發(fā)了B3級(jí)的Tmach(TrustedMach)；1988年，AT&TBell

實(shí)驗(yàn)室的SystemV/MLS；1989年，加拿大多倫多大學(xué)的安全TUNIS；1990

年，TRW公司的ASOS

系統(tǒng)；1991年，UNIX國際組織的UNIX

SVR4.1ES，符合B2級(jí)；2022/12/1020安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInf安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了信息技術(shù)安全評(píng)定標(biāo)準(zhǔn)ITSEC；1992～93年，美國國家安全局NSA和安全計(jì)算公司SCC設(shè)計(jì)實(shí)現(xiàn)了分布式可信Mach操作系統(tǒng)DTMach；1993年，美國國防部推出的新的安全體系結(jié)構(gòu)DGSA；其他：92

年訪問控制程序（ACP）和93年看守員（custodian）兩種范型思想；2022/12/1021安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（DistributedTrustedOperatingSystem）項(xiàng)目1999年，EROS(Extremelyreliableoperatingsystem），基于權(quán)能的高性能微內(nèi)核實(shí)時(shí)安全操作系統(tǒng)；2001年，F(xiàn)lask的實(shí)現(xiàn)，SELinux操作系統(tǒng)；其他在研項(xiàng)目Honeywell的STOP、Gemini的GEMSOS、DEC的VMM、HP和DataGeneral等公司的安全操作系統(tǒng)；2022/12/1022安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（Distrib國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學(xué)SUNIX

病毒防御模型；1999年，中科院軟件研究所從紅旗Linux；2000年，中科院計(jì)算技術(shù)研究所的LIDS，南京大學(xué)的SoftOS，中科院信息安全技術(shù)工程研究中心的SecLinux；2001年，海軍計(jì)算技術(shù)研究所安全增強(qiáng)系統(tǒng)UnixSVR4.2/SE；UNIX

類國產(chǎn)操作系統(tǒng)COSIXV2.0

的安全子系統(tǒng)；2022/12/1023國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學(xué)SUNIX國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB2646-96；99年，國家技術(shù)監(jiān)督局的國家標(biāo)準(zhǔn)GB17859-1999(計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則)，2001年強(qiáng)制執(zhí)行；2000年，安勝安全操作系統(tǒng)V1.0；2001年，GB/T18336-2001(信息技術(shù)安全性評(píng)估準(zhǔn)則)；2022/12/1024國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB21.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)，具有至關(guān)重要的作用。操作系統(tǒng)安全和安全操作系統(tǒng)操作系統(tǒng)安全是從各種不同角度分析操作系統(tǒng)安全性安全操作系統(tǒng)是按照特定安全目標(biāo)設(shè)計(jì)實(shí)現(xiàn)的操作系統(tǒng)，和相應(yīng)的安全等級(jí)掛鉤2022/12/10251.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)1.3操作系統(tǒng)安全基本概念安全功能與安全保證可信軟件和不可信軟件軟件的三大可信類別：可信的、良性的、惡意的可信軟件是可信計(jì)算基的軟件部分主體與客體主體（Subject）：一個(gè)主動(dòng)的實(shí)體，使信息在客體中間流動(dòng)或者改變系統(tǒng)狀態(tài)客體（Object）：一種包含或接受信息的被動(dòng)實(shí)體。2022/12/10261.3操作系統(tǒng)安全基本概念安全功能與安全保證2022/121.3操作系統(tǒng)安全基本概念安全策略與安全模型安全策略（SecurityPolicy）：規(guī)定機(jī)構(gòu)如何管理、保護(hù)與分發(fā)敏感信息的法規(guī)與條例的集合安全模型：對(duì)安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，是安全策略和安全策略實(shí)現(xiàn)機(jī)制關(guān)聯(lián)的一種框架。引用監(jiān)視器（ReferenceMonitor）為解決用戶程序的運(yùn)行控制問題引入的，目的是在用戶與系統(tǒng)資源之間實(shí)施一種授權(quán)訪問關(guān)系J.P.Anderson的定義：以主體（用戶等）所獲得的引用權(quán)限為基準(zhǔn)，驗(yàn)證運(yùn)行中的程序（對(duì)程序、數(shù)據(jù)、設(shè)備等）的所有引用2022/12/10271.3操作系統(tǒng)安全基本概念安全策略與安全模型2022/121.3操作系統(tǒng)安全基本概念安全內(nèi)核指系統(tǒng)中與安全性實(shí)現(xiàn)有關(guān)的部分引用驗(yàn)證機(jī)制、訪問控制機(jī)制、授權(quán)機(jī)制、授權(quán)管理機(jī)制可信計(jì)算基（TrustComputingBase）組成完成的工作2022/12/10281.3操作系統(tǒng)安全基本概念安全內(nèi)核2022/12/1028Problem什么是信息的完整性？隱蔽通道的工作方式？安全策略與安全模型的關(guān)系？2022/12/1029Problem什么是信息的完整性？2022/12/1029第二章安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：物理上分離時(shí)間上分離邏輯上分離密碼上分離2022/12/1030第二章安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：20操作系統(tǒng)安全的主要目標(biāo)：依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存?。粯?biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；監(jiān)督系統(tǒng)運(yùn)行的安全性；保證系統(tǒng)自身的安全性和完整性；2022/12/1031操作系統(tǒng)安全的主要目標(biāo)：2022/12/1031操作系統(tǒng)安全的相應(yīng)機(jī)制：硬件安全機(jī)制標(biāo)識(shí)與鑒別存取控制最小特權(quán)管理可信通路安全審計(jì)存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、I/O保護(hù)2022/12/1032操作系統(tǒng)安全的相應(yīng)機(jī)制：2022/12/1032理想的安全操作系統(tǒng)基礎(chǔ)保護(hù)系統(tǒng)（ProtectionSystem）保護(hù)系統(tǒng)包含一個(gè)保護(hù)狀態(tài)（protectionstate）和保護(hù)狀態(tài)操作（protectionstateoperations）保護(hù)狀態(tài)：描述系統(tǒng)主體在系統(tǒng)客體上能執(zhí)行的操作保護(hù)狀態(tài)操作：使?fàn)顟B(tài)能進(jìn)行改變的動(dòng)作，如增加新的系統(tǒng)主體或客體到保護(hù)狀態(tài)中等Lampson的訪問矩陣——保護(hù)狀態(tài)2022/12/1033理想的安全操作系統(tǒng)基礎(chǔ)保護(hù)系統(tǒng)（ProtectionSys理想的安全操作系統(tǒng)基礎(chǔ)Lampson的訪問矩陣——保護(hù)狀態(tài)保護(hù)域protectiondomain訪問控制列表Accesscontrollist（ACL）權(quán)能列表Capabilitylist（C_list）強(qiáng)制保護(hù)系統(tǒng)（MandatoryProtectionSystem）訪問矩陣——不信任的進(jìn)程能篡改保護(hù)系統(tǒng)——未授權(quán)訪問的安全問題強(qiáng)制保護(hù)系統(tǒng)是一個(gè)僅使可信管理員通過可信軟件來修改狀態(tài)的保護(hù)系統(tǒng)。包含的狀態(tài)：強(qiáng)制保護(hù)狀態(tài)Mandatoryprotectionstate標(biāo)記狀態(tài)labelingstateTransitionstate2022/12/1034理想的安全操作系統(tǒng)基礎(chǔ)Lampson的訪問矩陣——保護(hù)狀態(tài)2理想的安全操作系統(tǒng)基礎(chǔ)LabelingstateTransitionstateProtectionstateFile:newfileFile:acctProcess:newprocProcess:other2022/12/1035理想的安全操作系統(tǒng)基礎(chǔ)LabelingstateTrans理想的安全操作系統(tǒng)基礎(chǔ)引用監(jiān)視器ReferenceMonitor引用監(jiān)視器接口ReferenceMonitorInterface授權(quán)模塊AuthorizationModule策略存儲(chǔ)PolicyStore2022/12/1036理想的安全操作系統(tǒng)基礎(chǔ)引用監(jiān)視器ReferenceMoni理想的安全操作系統(tǒng)基礎(chǔ)ReferenceMonitorOperatingSystemAuthorizationModulePolicyStoreProtectionstateLabelingstateTransitionstateProcessReferenceMonitorInterfaceHooksProcessProcessProcess2022/12/1037理想的安全操作系統(tǒng)基礎(chǔ)ReferenceMonitorOp理想的安全操作系統(tǒng)基礎(chǔ)安全操作系統(tǒng)定義是一個(gè)其訪問執(zhí)行滿足引用監(jiān)視器概念的操作系統(tǒng)引用監(jiān)視器概念定義了任何系統(tǒng)能安全地執(zhí)行一個(gè)強(qiáng)制保護(hù)系統(tǒng)的充要屬性，包括：CompleteMediationTamperproofVerifiable2022/12/1038理想的安全操作系統(tǒng)基礎(chǔ)安全操作系統(tǒng)定義2022/12/1032.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)系統(tǒng)可以識(shí)別的用戶的內(nèi)部名稱鑒別：對(duì)用戶宣稱的身份標(biāo)識(shí)的有效性進(jìn)行校驗(yàn)和測(cè)試的過程。方法密碼驗(yàn)證生物鑒別方法可信計(jì)算基——與鑒別相關(guān)的認(rèn)證機(jī)制2022/12/10392.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)2022/12/10392.2訪問控制訪問控制的基本任務(wù)：防止用戶對(duì)系統(tǒng)資源的非法使用，保證對(duì)課題的所有直接訪問都是被認(rèn)可的。措施確定要保護(hù)的資源授權(quán)確定訪問權(quán)限實(shí)施訪問權(quán)限三種訪問控制技術(shù)：自主訪問控制DAC、強(qiáng)制訪問控制MAC、基于角色的訪問控制RBAC2022/12/10402.2訪問控制訪問控制的基本任務(wù)：防止用戶對(duì)系統(tǒng)資源的非法2.2訪問控制自主訪問控制DAC基于行的自主訪問控制機(jī)制能力表：權(quán)限字前綴表：包括受保護(hù)的客體名和主體對(duì)它的訪問權(quán)限口令：每個(gè)客體有一個(gè)基于列的自主訪問控制機(jī)制保護(hù)位：對(duì)客體的擁有者基其他主體、主體組，規(guī)定的對(duì)該客體訪問模式的集合訪問控制表：對(duì)某個(gè)特定資源制定任意用戶的訪問權(quán)限。2022/12/10412.2訪問控制自主訪問控制DAC2022/12/10412.2訪問控制強(qiáng)制訪問控制MAC限制訪問控制過程控制系統(tǒng)限制基于角色的訪問控制RBACNIST提出的訪問控制機(jī)制，實(shí)際是強(qiáng)制訪問控制機(jī)制的一種基本思想：授權(quán)給用戶的訪問權(quán)限，通常由用戶擔(dān)當(dāng)?shù)慕巧珌泶_定。特征訪問權(quán)限與角色相關(guān)聯(lián)角色繼承最小權(quán)限原則指責(zé)分離角色容量2022/12/10422.2訪問控制強(qiáng)制訪問控制MAC2022/12/10422.3最小特權(quán)管理是系統(tǒng)安全中最基本的原則之一要求賦予系統(tǒng)中每個(gè)使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可。26個(gè)特權(quán)常見的形式基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制實(shí)例惠普的Presidium/VirtualVault紅旗安全操作系統(tǒng)RFSOSSELinux安全操作系統(tǒng)2022/12/10432.3最小特權(quán)管理是系統(tǒng)安全中最基本的原則之一2022/12.4可信通路是用戶能借以直接同可信計(jì)算基（TCB）通信的一種機(jī)制建立可信通路的方法：安全注意鍵P352022/12/10442.4可信通路是用戶能借以直接同可信計(jì)算基（TCB）通信的2.5安全審計(jì)機(jī)制日志：記錄的事件或統(tǒng)計(jì)數(shù)據(jù)安全審計(jì)：對(duì)日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息，即對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核作用審計(jì)事件：主體、客體組成：日志記錄器：收集數(shù)據(jù)——系統(tǒng)日志、應(yīng)用程序日志、安全日志分析器：分析數(shù)據(jù)通告器：通報(bào)結(jié)果2022/12/10452.5安全審計(jì)機(jī)制日志：記錄的事件或統(tǒng)計(jì)數(shù)據(jù)2022/122.6存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)虛地址空間分段物理頁號(hào)上的秘密信息基于描述符的地址解釋機(jī)制運(yùn)行保護(hù)保護(hù)環(huán)——運(yùn)行域——等級(jí)域機(jī)制進(jìn)程隔離機(jī)制I/O保護(hù)I/O操作是操作系統(tǒng)完成的特權(quán)操作2022/12/10462.6存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)2022/12UNIX/Linux安全機(jī)制一、UNIX安全機(jī)制標(biāo)識(shí)/etc/passwd和/etc/shadow中保存了用戶標(biāo)識(shí)和口令；root用戶鑒別存取控制存取權(quán)限：可讀、可寫、可執(zhí)行；改變權(quán)限：特殊權(quán)限位：SUID和SGID；2022/12/1047UNIX/Linux安全機(jī)制一、UNIX安全機(jī)制2022/1UNIX/Linux安全機(jī)制（續(xù)）審計(jì)日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等審計(jì)服務(wù)程序：syslogd；網(wǎng)絡(luò)安全性：有選擇地允許用戶和主機(jī)與其他主機(jī)的連接；網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)：LIDS等；備份/恢復(fù)：實(shí)時(shí)備份、整體備份、增量備份；2022/12/1048UNIX/Linux安全機(jī)制（續(xù)）審計(jì)2022/12/104UNIX/Linux安全機(jī)制（續(xù)）二、Linux安全機(jī)制PAM機(jī)制入侵檢測(cè)系統(tǒng)

加密文件系統(tǒng)安全審計(jì)強(qiáng)制訪問控制防火墻2022/12/1049UNIX/Linux安全機(jī)制（續(xù)）二、Linux安全機(jī)制20Windows安全機(jī)制2022/12/1050Windows安全機(jī)制2022/12/1050Windows安全機(jī)制身份認(rèn)證交互式登錄(根據(jù)用戶的本地計(jì)算機(jī)或

Active

Directory

帳戶確認(rèn)用戶的身份)網(wǎng)絡(luò)身份驗(yàn)證（根據(jù)此用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份）Windows

2000

支持的身份驗(yàn)證類型有：Kerberos

V5

身份驗(yàn)證安全套接字層

(SSL)

和傳輸層安全性

(TLS)

的身份驗(yàn)證NTLM

身份驗(yàn)證2022/12/1051Windows安全機(jī)制身份認(rèn)證2022/12/1051Windows安全機(jī)制基于對(duì)象的訪問控制Windows

2000

通過允許管理員為存儲(chǔ)在

Active

Directory

中的對(duì)象分配安全描述符實(shí)現(xiàn)訪問控制。Active

Directory授權(quán)和審核2022/12/1052Windows安全機(jī)制基于對(duì)象的訪問控制2022/12/10Windows安全設(shè)置硬盤的分區(qū)至少建立兩個(gè)邏輯分區(qū)：一個(gè)用作系統(tǒng)分區(qū)，另一個(gè)用作應(yīng)用程序分區(qū)?，F(xiàn)在的硬盤是越來越大，一般最好分三個(gè)至四個(gè)分區(qū)，這樣就可以把自己的文件單獨(dú)放在一個(gè)分區(qū)中。所有的分區(qū)最好都是NTFS格式。用戶賬號(hào)的安全設(shè)置默認(rèn)安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表2022/12/1053Windows安全設(shè)置硬盤的分區(qū)2022/12/1053Windows安全設(shè)置文件和文件夾權(quán)限的設(shè)置訪問權(quán)限分為讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制在默認(rèn)的情況下，大多數(shù)的文件夾和文件對(duì)所有用戶(Everyone這個(gè)組)是完全控制的(FullControl)，這根本不能滿足不同網(wǎng)絡(luò)的權(quán)限設(shè)置需求，還需要根據(jù)應(yīng)用的需要進(jìn)行重新設(shè)置。配置IIS原則“最小的權(quán)限+最少的服務(wù)=最大的安全”2022/12/1054Windows安全設(shè)置文件和文件夾權(quán)限的設(shè)置2022/12/Windows安全設(shè)置檢查清單物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)監(jiān)視器要保留15天以上的攝像記錄另外機(jī)箱,鍵盤電腦桌抽屜要上鎖以確保旁人即使進(jìn)入房間也無法使用電腦鑰匙要放在另外的安全的地方停掉Guest帳號(hào)限制不必要的用戶數(shù)量創(chuàng)建2個(gè)管理員用帳號(hào)把系統(tǒng)administrator帳號(hào)改名創(chuàng)建一個(gè)陷阱帳號(hào)2022/12/1055Windows安全設(shè)置檢查清單2022/12/1055Windows安全設(shè)置檢查清單把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”使用安全密碼設(shè)置屏幕保護(hù)密碼使用NTFS格式分區(qū)運(yùn)行防毒軟件保障備份盤的安全2022/12/1056Windows安全設(shè)置檢查清單2022/12/1056Windows安全設(shè)置利用win2000的安全配置工具來配置策略關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口打開審核策略策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗2022/12/1057Windows安全設(shè)置利用win2000的安全配置工具來配Windows安全設(shè)置開啟密碼密碼策略策略設(shè)置密碼復(fù)雜性要求啟用密碼長度最小值6位強(qiáng)制密碼歷史5次強(qiáng)制密碼歷史42天開啟帳戶策略策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器20分鐘帳戶鎖定時(shí)間20分鐘帳戶鎖定閾值3次設(shè)定安全記錄的訪問權(quán)限安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問2022/12/1058Windows安全設(shè)置開啟密碼密碼策略2022/12/10Windows安全設(shè)置把敏感文件存放在另外的文件服務(wù)器中不讓系統(tǒng)顯示上次登陸的用戶名禁止建立空連接到微軟網(wǎng)站下載最新的補(bǔ)丁程序關(guān)閉DirectDraw關(guān)閉默認(rèn)共享禁止dumpfile的產(chǎn)生2022/12/1059Windows安全設(shè)置把敏感文件存放在另外的文件服務(wù)器中2Windows安全設(shè)置使用文件加密系統(tǒng)EFS加密temp文件夾鎖住注冊(cè)表關(guān)機(jī)時(shí)清除掉頁面文件禁止從軟盤和CDRom啟動(dòng)系統(tǒng)考慮使用智能卡來代替密碼考慮使用IPSec2022/12/1060Windows安全設(shè)置使用文件加密系統(tǒng)EFS2022/12習(xí)題二標(biāo)識(shí)與鑒別機(jī)制、訪問控制機(jī)制的關(guān)系自主訪問控制與強(qiáng)制訪問控制之間的異同點(diǎn)安全審計(jì)機(jī)制是事后分析機(jī)制，優(yōu)點(diǎn)？最小特權(quán)管理？2022/12/1061習(xí)題二標(biāo)識(shí)與鑒別機(jī)制、訪問控制機(jī)制的關(guān)系2022/12/10第三章操作系統(tǒng)安全模型安全需求：機(jī)密性、完整性、可追究性和可用性；訪問控制策略和訪問支持策略安全策略模型和安全模型安全模型的目標(biāo)——明確表達(dá)安全需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針；2022/12/1062第三章操作系統(tǒng)安全模型安全需求：機(jī)密性、完整性、可追究性和安全模型的特點(diǎn)精確、無歧義易理解一般性是安全策略的顯示表示安全模型分為形式化的安全模型和非形式化的安全模型；2022/12/1063安全模型的特點(diǎn)2022/12/1063主要安全模型介紹Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型無干擾模型2022/12/1064主要安全模型介紹2022/12/10643.1Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一個(gè)計(jì)算機(jī)多級(jí)安全模型之一，是對(duì)應(yīng)軍事類型安全密級(jí)分類的計(jì)算機(jī)操作系統(tǒng)模型是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型，實(shí)際上是一個(gè)形式化的狀態(tài)機(jī)模型；包括有兩部分安全策略：自主安全策略和強(qiáng)制安全策略；2022/12/10653.1Bell-LaPadula模型是1973年D.El一個(gè)基本安全等級(jí)分類系統(tǒng)（例），其中：S為主體，O為客體第3層絕密S1

O1（O1A，O1B，O1C）第2層機(jī)密S2

O2（O2A，O2B）第1層秘密S3

O3（O3A，O3B，O3C）第0層內(nèi)部S4

O4（O4A，O4B，O4C）則上述基本安全等級(jí)分類系統(tǒng)可以用以下的簡單安全條件、*-屬性以及基本安全定理描述簡單安全條件：當(dāng)且僅當(dāng)O所處層次<=S所處層次時(shí)，S可以讀O，即S對(duì)O具有自主型讀權(quán)限*-屬性：當(dāng)且僅當(dāng)O所處層次>=S所處層次時(shí)，S可以寫O，即S對(duì)O具有自主型寫權(quán)限基本安全定理：設(shè)系統(tǒng)的初始安全狀態(tài)為б0，T是狀態(tài)轉(zhuǎn)換集合，如果T中的每個(gè)元素都遵守簡單安全條件和*-屬性，那么，對(duì)于每個(gè)i>=0,狀態(tài)бi都是安全的。2022/12/1066一個(gè)基本安全等級(jí)分類系統(tǒng)（例），其中：S為主體，O為客體20Bell-LaPadula模型（續(xù)）形式化描述定義S為主體集合；O為客體集合；A={r,w,a,e}={a}為訪問權(quán)限集合,其中，r為讀、w為讀/寫，a為寫、e為執(zhí)行M為訪問控制矩陣集合，C為安全許可集合，K為類別集合F={(fs,fo,fc)}，為安全等級(jí)三元組集合，其中，fs表示主體的最高安全等級(jí)，fc表示主體的當(dāng)前安全等級(jí)，fo表示客體的安全等級(jí)H表示當(dāng)前客體的樹型結(jié)構(gòu)，V為系統(tǒng)狀態(tài)集合，R為訪問請(qǐng)求集合；D={y,n,i,o}為請(qǐng)求結(jié)果集合，其中y表示請(qǐng)求被允許，n表示請(qǐng)求被拒絕，i表示請(qǐng)求非法，o表示出錯(cuò)P表示狀態(tài)轉(zhuǎn)換規(guī)則WR×V×D×V,為系統(tǒng)行為集合。2022/12/1067Bell-LaPadula模型（續(xù)）形式化描述2022/12Bell-LaPadula模型（續(xù)）幾個(gè)重要公理：簡單安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定義了一系列的狀態(tài)轉(zhuǎn)換規(guī)則和10條重要定理；特點(diǎn)：支持的是信息的保密性；是通過防止非授權(quán)信息的擴(kuò)散來保證系統(tǒng)的安全；不能防止非授權(quán)修改系統(tǒng)信息。2022/12/1068Bell-LaPadula模型（續(xù)）幾個(gè)重要公理：2022/Biba模型1977年提出的第一個(gè)完整性安全模型；對(duì)系統(tǒng)每個(gè)主體和每個(gè)客體分配一個(gè)完整級(jí)別（包含兩部分——密級(jí)和范疇）；安全策略分為非自主策略與自主策略；優(yōu)點(diǎn)：簡單、可能可以和BLP模型相結(jié)合。不足之處：完整標(biāo)簽確定的困難性；在有效保護(hù)數(shù)據(jù)一致性方面是不充分的；不能抵御病毒攻擊，難以適應(yīng)復(fù)雜應(yīng)用；2022/12/1069Biba模型1977年提出的第一個(gè)完整性安全模型；2022/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構(gòu)事務(wù)（well-formaltransaction）優(yōu)點(diǎn)：能有效表達(dá)完整性的3個(gè)目標(biāo)；久經(jīng)考驗(yàn)的商業(yè)方法；局限性：性能問題；不利于把對(duì)數(shù)據(jù)的控制策略從數(shù)據(jù)項(xiàng)中分離；沒有形式化；2022/12/1070Clark－Wilson完整性模型1987年DavidCl中國墻模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構(gòu)事務(wù)（well-formaltransaction）優(yōu)點(diǎn)：能有效表達(dá)完整性的3個(gè)目標(biāo)；久經(jīng)考驗(yàn)的商業(yè)方法；局限性：性能問題；不利于把對(duì)數(shù)據(jù)的控制策略從數(shù)據(jù)項(xiàng)中分離；沒有形式化；2022/12/1071中國墻模型1987年DavidClark和DavidWi其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異很小，但是能識(shí)別隱蔽通道；基于角色的存取控制（RBAC）模型提供一種強(qiáng)制存取控制機(jī)制；經(jīng)過發(fā)展，已經(jīng)形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定義表和域交互表組成，依據(jù)主體域和客體類型來決定訪問權(quán)限；2022/12/1072其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.Meseguer提出的基于自動(dòng)機(jī)理論和域隔離的安全系統(tǒng)事項(xiàng)方法；總結(jié)：安全模型是建立安全操作系統(tǒng)的一個(gè)基本要求；多級(jí)安全系統(tǒng)中最廣泛的模型是BLP機(jī)密性安全模型等，這些模型都各具特點(diǎn)；2022/12/1073其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.2、安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：物理上分離時(shí)間上分離邏輯上分離密碼上分離2022/12/10742、安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：2022安全機(jī)制（續(xù)）操作系統(tǒng)安全的主要目標(biāo)：依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存取；標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；監(jiān)督系統(tǒng)運(yùn)行的安全性；保證系統(tǒng)自身的安全性和完整性；2022/12/1075安全機(jī)制（續(xù)）操作系統(tǒng)安全的主要目標(biāo)：2022/12/107安全機(jī)制（續(xù)）操作系統(tǒng)安全的相應(yīng)機(jī)制：硬件安全機(jī)制標(biāo)識(shí)與鑒別存取控制最小特權(quán)管理可信通路安全審計(jì)2022/12/1076安全機(jī)制（續(xù)）操作系統(tǒng)安全的相應(yīng)機(jī)制：2022/12/107UNIX/Linux安全機(jī)制標(biāo)識(shí)/etc/passwd和/etc/shadow中保存了用戶標(biāo)識(shí)和口令；root用戶鑒別存取控制存取權(quán)限：可讀、可寫、可執(zhí)行；改變權(quán)限：特殊權(quán)限位：SUID和SGID；2022/12/1077UNIX/Linux安全機(jī)制標(biāo)識(shí)2022/12/1077UNIX/Linux安全機(jī)制（續(xù)）審計(jì)日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等審計(jì)服務(wù)程序：syslogd；網(wǎng)絡(luò)安全性：有選擇地允許用戶和主機(jī)與其他主機(jī)的連接；網(wǎng)絡(luò)監(jiān)控和入侵檢測(cè)：LIDS等；備份/恢復(fù)：實(shí)時(shí)備份、整體備份、增量備份；2022/12/1078UNIX/Linux安全機(jī)制（續(xù)）審計(jì)2022/12/1073、安全模型安全需求：機(jī)密性、完整性、可追究性和可用性；訪問控制策略和訪問支持策略安全策略模型和安全模型安全模型的目標(biāo)——明確表達(dá)安全需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針；2022/12/10793、安全模型安全需求：機(jī)密性、完整性、可追究性和可用性；20安全模型（續(xù)）安全模型的特點(diǎn)精確、無歧義易理解一般性是安全策略的顯示表示安全模型分為形式化的安全模型和非形式化的安全模型；2022/12/1080安全模型（續(xù)）安全模型的特點(diǎn)2022/12/1080安全模型（續(xù)）主要安全模型介紹Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型無干擾模型2022/12/1081安全模型（續(xù)）主要安全模型介紹2022/12/1081Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一個(gè)計(jì)算機(jī)多級(jí)安全模型之一；是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型，實(shí)際上是一個(gè)形式化的狀態(tài)機(jī)模型；包括有兩部分安全策略：自主安全策略和強(qiáng)制安全策略；2022/12/1082Bell-LaPadula模型是1973年D.ElliotBell-LaPadula模型（續(xù)）幾個(gè)重要公理：簡單安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定義了一系列的狀態(tài)轉(zhuǎn)換規(guī)則和10條重要定理；特點(diǎn)：支持的是信息的保密性；是通過防止非授權(quán)信息的擴(kuò)散來保證系統(tǒng)的安全；不能防止非授權(quán)修改系統(tǒng)信息。2022/12/1083Bell-LaPadula模型（續(xù)）幾個(gè)重要公理：2022/Biba模型1977年提出的第一個(gè)完整性安全模型；對(duì)系統(tǒng)每個(gè)主體和每個(gè)客體分配一個(gè)完整級(jí)別（包含兩部分——密級(jí)和范疇）；安全策略分為非自主策略與自主策略；優(yōu)點(diǎn)：簡單、可能可以和BLP模型相結(jié)合。不足之處：完整標(biāo)簽確定的困難性；在有效保護(hù)數(shù)據(jù)一致性方面是不充分的；不能抵御病毒攻擊，難以適應(yīng)復(fù)雜應(yīng)用；2022/12/1084Biba模型1977年提出的第一個(gè)完整性安全模型；2022/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構(gòu)事務(wù)（well-formaltransaction）優(yōu)點(diǎn)：能有效表達(dá)完整性的3個(gè)目標(biāo)；久經(jīng)考驗(yàn)的商業(yè)方法；局限性：性能問題；不利于把對(duì)數(shù)據(jù)的控制策略從數(shù)據(jù)項(xiàng)中分離；沒有形式化；2022/12/1085Clark－Wilson完整性模型1987年DavidCl其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異很小，但是能識(shí)別隱蔽通道；基于角色的存取控制（RBAC）模型提供一種強(qiáng)制存取控制機(jī)制；經(jīng)過發(fā)展，已經(jīng)形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定義表和域交互表組成，依據(jù)主體域和客體類型來決定訪問權(quán)限；2022/12/1086其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.Meseguer提出的基于自動(dòng)機(jī)理論和域隔離的安全系統(tǒng)事項(xiàng)方法；總結(jié)：安全模型是建立安全操作系統(tǒng)的一個(gè)基本要求；多級(jí)安全系統(tǒng)中最廣泛的模型是BLP機(jī)密性安全模型等，這些模型都各具特點(diǎn)；2022/12/1087其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.3、安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)的含義：詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面；在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系；提出指導(dǎo)設(shè)計(jì)的基本原理；提出開發(fā)過程的基本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu)；兩個(gè)參考標(biāo)準(zhǔn)：TCSEC和CC兩個(gè)安全體系：Flask體系和權(quán)能體系2022/12/10883、安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)的含義：2022/12/1088安全體系結(jié)構(gòu)類型美國國防部的目標(biāo)安全體系（DoDGoalSecurityArchitecture）中把安全體系分為：抽象體系（AbstractArchitecture）通用體系（GenericArchitecture）邏輯體系（LogicalArchitecture）特殊體系（SpecificArchitecture）2022/12/1089安全體系結(jié)構(gòu)類型美國國防部的目標(biāo)安全體系（DoDGoal安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則從系統(tǒng)設(shè)計(jì)之初就考慮安全性；應(yīng)盡量考慮未來可能面臨的安全需求；隔離安全控制，并使其最小化；實(shí)施特權(quán)極小化；結(jié)構(gòu)化安全相關(guān)功能；使安全相關(guān)的界面友好；不要讓安全依賴于一些隱藏的東西；2022/12/1090安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則從系統(tǒng)設(shè)計(jì)之初就考慮安全性；2024、安全操作系統(tǒng)設(shè)計(jì)設(shè)計(jì)原則開發(fā)方法一般開發(fā)過程2022/12/10914、安全操作系統(tǒng)設(shè)計(jì)設(shè)計(jì)原則2022/12/1091安全操作系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則最小特權(quán)原則機(jī)制的經(jīng)濟(jì)性開放系統(tǒng)設(shè)計(jì)完整的存取控制機(jī)制基于“允許”的設(shè)計(jì)原則權(quán)限分離避免信息流的潛在通道方便使用2022/12/1092安全操作系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則2022/12/1092開發(fā)方法虛擬機(jī)法改進(jìn)/增強(qiáng)法仿真法2022/12/1093開發(fā)方法虛擬機(jī)法2022/12/1093一般開發(fā)過程階段一系統(tǒng)需求分析：描述各種不同需求抽象、歸納出安全策略建立安全模型及安全模型與系統(tǒng)的對(duì)應(yīng)性說明；階段二安全機(jī)制設(shè)計(jì)與實(shí)現(xiàn)安全功能測(cè)試；重復(fù)該兩部分工作；階段三：安全操作系統(tǒng)可信度認(rèn)證2022/12/1094一般開發(fā)過程階段一2022/12/1094安全內(nèi)核結(jié)構(gòu)（1）SecuveKernel(安全內(nèi)核)subjectObjectXO訪問訪問WebGriffin認(rèn)證基于數(shù)字簽名認(rèn)證的用戶身份驗(yàn)證程序文件設(shè)備等安全操作系統(tǒng)（SecureOS）SecuveKernel數(shù)據(jù)庫2022/12/1095安全內(nèi)核結(jié)構(gòu)（1）SecuveKernelsubjectO安全內(nèi)核結(jié)構(gòu)（2）

CurrentKernelProcess數(shù)字簽名及證書安全模塊Security

Lib.訪問控制列表安全內(nèi)核數(shù)字簽名認(rèn)證-訪問控制用戶級(jí)

SecurityKernelProcess

黑客可以通過獲得系統(tǒng)管理員權(quán)限進(jìn)入文件系統(tǒng)

如果應(yīng)用了基于數(shù)字簽名的安全內(nèi)核黑客即使獲得了系統(tǒng)管理員權(quán)限，他也不能夠訪問文件系統(tǒng)操作或命令系統(tǒng)訪問界面內(nèi)核

-文件系統(tǒng)

-過程控制

-內(nèi)存控制

-硬件界面操作或命令訪問系統(tǒng)界面內(nèi)核

-文件系統(tǒng)

-過程控制

-內(nèi)存控制

-硬件界面內(nèi)核級(jí)內(nèi)核級(jí)用戶級(jí)2022/12/1096安全內(nèi)核結(jié)構(gòu)（2）CurrentKernelProce安全內(nèi)核結(jié)構(gòu)（3）HardwareKernelSystemCallInterfacelsrmviviccdflpABCDE用戶(應(yīng)用程序)KernelModule1viKernelModule2KernelModuleNKernelModuleNKernelModuleKernelModuleLoad/Unload不可以(KernelSealing)2022/12/1097安全內(nèi)核結(jié)構(gòu)（3）HardwareKernelSystem程序自身保護(hù)功能(Self-Security)被黑客入侵時(shí)刪除安全功能。內(nèi)核密封功能(KernelSealing)防止內(nèi)核模塊的Loading/Uploading阻斷惡意的對(duì)內(nèi)核的攻擊。內(nèi)核隱藏功能(KernelStealth)隱藏安全內(nèi)核降低安全風(fēng)險(xiǎn)不顯示安全內(nèi)核程序，降低風(fēng)險(xiǎn)。自動(dòng)保護(hù)安全內(nèi)核

程序目錄防止刪除安全程序保持持續(xù)的安全功能.國內(nèi)唯一安全內(nèi)核結(jié)構(gòu)（4）2022/12/1098程序自身保護(hù)功能(Self-Security)國內(nèi)唯一安全內(nèi)基于安全內(nèi)核的應(yīng)用WebGriffin

主要對(duì)文件的寫權(quán)限進(jìn)行訪問控制FileGriffin

對(duì)文件的讀，寫，執(zhí)行進(jìn)行訪問控制共性

保護(hù)主要daemon

防止init2022/12/1099基于安全內(nèi)核的應(yīng)用WebGriffin2022/12/10謝謝！再見！2022/12/10100謝謝！再見！2022/12/10100操作系統(tǒng)安全

OperatingSystemSecurity中南大學(xué)信息科學(xué)與工程學(xué)院CentralSouthUniversityCollegeofInformationScienceandEngineering

2022/12/10101操作系統(tǒng)安全

OperatingSystemSecuri目錄第一章緒論第二章操作系統(tǒng)安全機(jī)制第三章操作系統(tǒng)安全模型第四章操作系統(tǒng)安全體系結(jié)構(gòu)第五章安全操作系統(tǒng)設(shè)計(jì)2022/12/10102目錄第一章緒論2022/12/102參考文獻(xiàn)賈春福鄭鵬操作系統(tǒng)安全武漢大學(xué)出版社2006卿斯?jié)h等操作系統(tǒng)安全清華大學(xué)出版社2004TrentJaegerOperatingSystemSecurityMORGAN&CLAYPOOLPUBLISHERSBruceSchneierSecrets&LiesandBeyondFearCrypto-gramnewsletter/crypto-gram.htmlRossAndersonSecurityEngineeringAvailableonlineat

http://www.cl.cam.ac.uk/users/rja14/book.html2022/12/10103參考文獻(xiàn)賈春福鄭鵬操作系統(tǒng)安全武漢大學(xué)出版社2006前言課程形式

主課，習(xí)題課，作業(yè)，小論文及上機(jī)成績?cè)u(píng)定

作業(yè)，小論文及上機(jī)，期末考試比例：

作業(yè)10%

小論文及上機(jī)20%

期末考試70%2022/12/10104前言課程形式

主課，習(xí)題課，作業(yè)，小論文及上機(jī)2022基本目的理解掌握操作系統(tǒng)中的安全問題及安全性掌握操作系統(tǒng)安全的基本概念掌握操作系統(tǒng)安全機(jī)制、安全模型、安全體系結(jié)構(gòu)了解安全操作系統(tǒng)的設(shè)計(jì)原則根據(jù)操作系統(tǒng)安全目標(biāo)能設(shè)計(jì)并評(píng)價(jià)安全操作系統(tǒng)2022/12/10105基本目的理解掌握操作系統(tǒng)中的安全問題及安全性2022/12/第一章緒論1.1操作系統(tǒng)面臨的安全威脅1.2安全操作系統(tǒng)的研究發(fā)展1.3操作系統(tǒng)安全的基本概念2022/12/10106第一章緒論1.1操作系統(tǒng)面臨的安全威脅2022/12/11.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）信息的隱藏——對(duì)非授權(quán)用戶不可見保護(hù)數(shù)據(jù)的存在性完整性威脅（integrity）信息的可信程度信息內(nèi)容的完整性、信息來源的完整性可用性威脅（availability）信息或資源的期望使用能力防止數(shù)據(jù)或服務(wù)的拒絕訪問2022/12/101071.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）2一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療（1）網(wǎng)絡(luò)本身不安全2022/12/10108一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存在威脅2022/12/10109信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存（3）多樣化的攻擊手段網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲2022/12/10110（3）多樣化的攻擊手段網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈二、安全威脅種類特洛伊木馬：Mellissa天窗：設(shè)置在操作系統(tǒng)內(nèi)部隱蔽通道：不受安全策略控制的、違反安全策略的信息泄露路徑。間諜軟件（Spyware）病毒和蠕蟲具有隱蔽性、傳染性、潛伏性、破壞性特點(diǎn)邏輯炸彈拒絕服務(wù)攻擊2022/12/10111二、安全威脅種類特洛伊木馬：Mellissa2022/12/SQLSlammer蠕蟲的能力

2022/12/10112SQLSlammer蠕蟲的能力2022/12/1012SQLSlammer蠕蟲的能力2022/12/10113SQLSlammer蠕蟲的能力2022/12/10131.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操作系統(tǒng)的發(fā)展分為奠基時(shí)期、食譜時(shí)期、多政策時(shí)期和動(dòng)態(tài)政策時(shí)期2004年卿斯?jié)h教授在《操作系統(tǒng)安全》中也對(duì)其發(fā)展進(jìn)行了概述。2022/12/101141.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操安全操作系統(tǒng)的發(fā)展（續(xù)）1969

年，C.Weissman研究的Adept-50是歷史上的第一個(gè)分時(shí)安全操作系統(tǒng)。同年，B.W.Lampson

通過形式化表示方法運(yùn)用主體（subject）、客體（object）和訪問矩陣（accessmatrix）的思想第一次對(duì)訪問控制問題進(jìn)行了抽象。1970

年，W.H.Ware

對(duì)多渠道訪問的資源共享的計(jì)算機(jī)系統(tǒng)引起的安全問題進(jìn)行了研究。2022/12/10115安全操作系統(tǒng)的發(fā)展（續(xù)）1969年，C.Weissman安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderson提出了參照監(jiān)視器（referencemonitor）、訪問驗(yàn)證機(jī)制（referencevalidationmechanism）、安全內(nèi)核（securitykernel）和安全建模（modeling）等重要思想。1973

年，B.W.Lampson

提出了隱通道（covertchannel）；同年，D.E.Bell

和L.J.LaPadula

提出了簡稱BLP

模型。2022/12/10116安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderso安全操作系統(tǒng)的發(fā)展（續(xù)）1975

年，J.H.Saltzer

和M.D.Schroeder

以保護(hù)機(jī)制的體系結(jié)構(gòu)為中心，重點(diǎn)考察了權(quán)能（capability）實(shí)現(xiàn)結(jié)構(gòu)和訪問控制表（accesscontrollist）實(shí)現(xiàn)結(jié)構(gòu)，給出了信息保護(hù)機(jī)制的八條設(shè)計(jì)原則。1976年，M.A.Harrison、W.L.Ruzzo

和J.D.Ullman

提出了操作系統(tǒng)保護(hù)的第一個(gè)基本理論——HRU理論。2022/12/10117安全操作系統(tǒng)的發(fā)展（續(xù)）1975年，J.H.Saltze安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系統(tǒng)研究有：MulticsMitre安全核UCLA

數(shù)據(jù)安全UnixKSOS（KernelizedSecureOperatingSystem）PSOS等這段時(shí)期可稱為奠基時(shí)期。2022/12/10118安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系安全操作系統(tǒng)的發(fā)展（續(xù)）1983

年，美國國防部頒布了歷史上第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)TCSEC橙皮書（TrustedComputerSystemEvaluationCriteria)。1984

年，AXIOM

技術(shù)公司的S.Kramer開發(fā)了基于Unix的實(shí)驗(yàn)型安全操作系統(tǒng)LINUSIV

，達(dá)到B2級(jí)；1986，IBM

公司的V.D.Gligor

等設(shè)計(jì)了基于SCOXenix的安全Xenix系統(tǒng)，基于安全注意鍵（secureattentionkey，SAK）實(shí)現(xiàn)了可信通路（Trustedpath）。2022/12/10119安全操作系統(tǒng)的發(fā)展（續(xù)）1983年，美國國防部頒布了歷史上安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInformation

Systems公司開發(fā)了B3級(jí)的Tmach(TrustedMach)；1988年，AT&TBell

實(shí)驗(yàn)室的SystemV/MLS；1989年，加拿大多倫多大學(xué)的安全TUNIS；1990

年，TRW公司的ASOS

系統(tǒng)；1991年，UNIX國際組織的UNIX

SVR4.1ES，符合B2級(jí)；2022/12/10120安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInf安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了信息技術(shù)安全評(píng)定標(biāo)準(zhǔn)ITSEC；1992～93年，美國國家安全局NSA和安全計(jì)算公司SCC設(shè)計(jì)實(shí)現(xiàn)了分布式可信Mach操作系統(tǒng)DTMach；1993年，美國國防部推出的新的安全體系結(jié)構(gòu)DGSA；其他：92

年訪問控制程序（ACP）和93年看守員（custodian）兩種范型思想；2022/12/10121安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（DistributedTrustedOperatingSystem）項(xiàng)目1999年，EROS(Extremelyreliableoperatingsystem），基于權(quán)能的高性能微內(nèi)核實(shí)時(shí)安全操作系統(tǒng)；2001年，F(xiàn)lask的實(shí)現(xiàn)，SELinux操作系統(tǒng)；其他在研項(xiàng)目Honeywell的STOP、Gemini的GEMSOS、DEC的VMM、HP和DataGeneral等公司的安全操作系統(tǒng)；2022/12/10122安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（Distrib國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學(xué)SUNIX

病毒防御模型；1999年，中科院軟件研究所從紅旗Linux；2000年，中科院計(jì)算技術(shù)研究所的LIDS，南京大學(xué)的SoftOS，中科院信息安全技術(shù)工程研究中心的SecLinux；2001年，海軍計(jì)算技術(shù)研究所安全增強(qiáng)系統(tǒng)UnixSVR4.2/SE；UNIX

類國產(chǎn)操作系統(tǒng)COSIXV2.0

的安全子系統(tǒng)；2022/12/10123國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學(xué)SUNIX國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB2646-96；99年，國家技術(shù)監(jiān)督局的國家標(biāo)準(zhǔn)GB17859-1999(計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則)，2001年強(qiáng)制執(zhí)行；2000年，安勝安全操作系統(tǒng)V1.0；2001年，GB/T18336-2001(信息技術(shù)安全性評(píng)估準(zhǔn)則)；2022/12/10124國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB21.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)，具有至關(guān)重要的作用。操作系統(tǒng)安全和安全操作系統(tǒng)操作系統(tǒng)安全是從各種不同角度分析操作系統(tǒng)安全性安全操作系統(tǒng)是按照特定安全目標(biāo)設(shè)計(jì)實(shí)現(xiàn)的操作系統(tǒng)，和相應(yīng)的安全等級(jí)掛鉤2022/12/101251.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ)1.3操作系統(tǒng)安全基本概念安全功能與安全保證可信軟件和不可信軟件軟件的三大可信類別：可信的、良性的、惡意的可信軟件是可信計(jì)算基的軟件部分主體與客體主體（Subject）：一個(gè)主動(dòng)的實(shí)體，使信息在客體中間流動(dòng)或者改變系統(tǒng)狀態(tài)客體（Object）：一種包含或接受信息的被動(dòng)實(shí)體。2022/12/101261.3操作系統(tǒng)安全基本概念安全功能與安全保證2022/121.3操作系統(tǒng)安全基本概念安全策略與安全模型安全策略（SecurityPolicy）：規(guī)定機(jī)構(gòu)如何管理、保護(hù)與分發(fā)敏感信息的法規(guī)與條例的集合安全模型：對(duì)安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，是安全策略和安全策略實(shí)現(xiàn)機(jī)制關(guān)聯(lián)的一種框架。引用監(jiān)視器（ReferenceMonitor）為解決用戶程序的運(yùn)行控制問題引入的，目的是在用戶與系統(tǒng)資源之間實(shí)施一種授權(quán)訪問關(guān)系J.P.Anderson的定義：以主體（用戶等）所獲得的引用權(quán)限為基準(zhǔn)，驗(yàn)證運(yùn)行中的程序（對(duì)程序、數(shù)據(jù)、設(shè)備等）的所有引用2022/12/101271.3操作系統(tǒng)安全基本概念安全策略與安全模型2022/121.3操作系統(tǒng)安全基本概念安全內(nèi)核指系統(tǒng)中與安全性實(shí)現(xiàn)有關(guān)的部分引用驗(yàn)證機(jī)制、訪問控制機(jī)制、授權(quán)機(jī)制、授權(quán)管理機(jī)制可信計(jì)算基（TrustComputingBase）組成完成的工作2022/12/101281.3操作系統(tǒng)安全基本概念安全內(nèi)核2022/12/1028Problem什么是信息的完整性？隱蔽通道的工作方式？安全策略與安全模型的關(guān)系？2022/12/10129Problem什么是信息的完整性？2022/12/1029第二章安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：物理上分離時(shí)間上分離邏輯上分離密碼上分離2022/12/10130第二章安全機(jī)制一個(gè)操作系統(tǒng)的安全性從以下幾個(gè)方面考慮：20操作系統(tǒng)安全的主要目標(biāo)：依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存??；標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；監(jiān)督系統(tǒng)運(yùn)行的安全性；保證系統(tǒng)自身的安全性和完整性；2022/12/10131操作系統(tǒng)安全的主要目標(biāo)：2022/12/1031操作系統(tǒng)安全的相應(yīng)機(jī)制：硬件安全機(jī)制標(biāo)識(shí)與鑒別存取控制最小特權(quán)管理可信通路安全審計(jì)存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、I/O保護(hù)2022/12/10132操作系統(tǒng)安全的相應(yīng)機(jī)制：2022/12/1032理想的安全操作系統(tǒng)基礎(chǔ)保護(hù)系統(tǒng)（ProtectionSystem）保護(hù)系統(tǒng)包含一個(gè)保護(hù)狀態(tài)（protectionstate）和保護(hù)狀態(tài)操作（protectionstateoperations）保護(hù)狀態(tài)：描述系統(tǒng)主體在系統(tǒng)客體上能執(zhí)行的操作保護(hù)狀態(tài)操作：使?fàn)顟B(tài)能進(jìn)行改變的動(dòng)作，如增加新的系統(tǒng)主體或客體到保護(hù)狀態(tài)中等Lampson的訪問矩陣——保護(hù)狀態(tài)2022/12/10133理想的安全操作系統(tǒng)基礎(chǔ)保護(hù)系統(tǒng)（ProtectionSys理想的安全操作系統(tǒng)基礎(chǔ)Lampson的訪問矩陣——保護(hù)狀態(tài)保護(hù)域protectiondomain訪問控制列表Accesscontrollist（ACL）權(quán)能列表Capabilitylist（C_list）強(qiáng)制保護(hù)系統(tǒng)（MandatoryProtectionSystem）訪問矩陣——不信任的進(jìn)程能篡改保護(hù)系統(tǒng)——未授權(quán)訪問的安全問題強(qiáng)制保護(hù)系統(tǒng)是一個(gè)僅使可信管理員通過可信軟件來修改狀態(tài)的保護(hù)系統(tǒng)。包含的狀態(tài)：強(qiáng)制保護(hù)狀態(tài)Mandatoryprotectionstate標(biāo)記狀態(tài)labelingstateTransitionstate2022/12/10134理想的安全操作系統(tǒng)基礎(chǔ)Lampson的訪問矩陣——保護(hù)狀態(tài)2理想的安全操作系統(tǒng)基礎(chǔ)LabelingstateTransitionstateProtectionstateFile:newfileFile:acctProcess:newprocProcess:other2022/12/10135理想的安全操作系統(tǒng)基礎(chǔ)LabelingstateTrans理想的安全操作系統(tǒng)基礎(chǔ)引用監(jiān)視器ReferenceMonitor引用監(jiān)視器接口ReferenceMonitorInterface授權(quán)模塊AuthorizationModule策略存儲(chǔ)PolicyStore2022/12/10136理想的安全操作系統(tǒng)基礎(chǔ)引用監(jiān)視器ReferenceMoni理想的安全操作系統(tǒng)基礎(chǔ)ReferenceMonitorOperatingSystemAuthorizationModulePolicyStoreProtectionstateLabelingstateTransitionstateProcessReferenceMonitorInterfaceHooksProcessProcessProcess2022/12/10137理想的安全操作系統(tǒng)基礎(chǔ)ReferenceMonitorOp理想的安全操作系統(tǒng)基礎(chǔ)安全操作系統(tǒng)定義是一個(gè)其訪問執(zhí)行滿足引用監(jiān)視器概念的操作系統(tǒng)引用監(jiān)視器概念定義了任何系統(tǒng)能安全地執(zhí)行一個(gè)強(qiáng)制保護(hù)系統(tǒng)的充要屬性，包括：CompleteMediationTamperproofVerifiable2022/12/10138理想的安全操作系統(tǒng)基礎(chǔ)安全操作系統(tǒng)定義2022/12/1032.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)系統(tǒng)可以識(shí)別的用戶的內(nèi)部名稱鑒別：對(duì)用戶宣稱的身份標(biāo)識(shí)的有效性進(jìn)行校驗(yàn)和測(cè)試的過程。方法密碼驗(yàn)證生物鑒別方法可信計(jì)算基——與鑒別相關(guān)的認(rèn)證機(jī)制2022/12/101392.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)2022/12/10392.2訪問控制訪問控制的基本任務(wù)：防止用戶對(duì)系統(tǒng)資源的非法使用，保證對(duì)課題的所有直接訪問都是被認(rèn)可的。措施確定要保護(hù)的資源授權(quán)確定訪問權(quán)限實(shí)施訪問權(quán)限三種訪問控制技術(shù)：自主訪問控制DAC、強(qiáng)制訪問控制MAC、基于角色的訪問控制RBAC2022/12/101402.2訪問控制訪問控制的基本任務(wù)：防止用戶對(duì)系統(tǒng)資源的非法2.2訪問控制自主訪問控制DAC基于行的自主訪問控制機(jī)制能力表：權(quán)限字前綴表：包括受保護(hù)的客體名和主體對(duì)它的訪問權(quán)限口令：每個(gè)客體有一個(gè)基于列的自主訪問控制機(jī)制保護(hù)位：對(duì)客體的擁有者基其他主體、主體組，規(guī)定的對(duì)該客體訪問模式的集合訪問控制表：對(duì)某個(gè)特定資源制定任意用戶的訪問權(quán)限。2022/12/101412.2訪問控制自主訪問控制DAC2022/12/10412.2訪問控制強(qiáng)制訪問控制MAC限制訪問控制過程控制系統(tǒng)限制基于角色的訪問控制RBACNIST提出的訪問控制機(jī)制，實(shí)際是強(qiáng)制訪問控制機(jī)制的一種基本思想：授權(quán)給用戶的訪問權(quán)限，通常由用戶擔(dān)當(dāng)?shù)慕巧珌泶_定。特征訪問權(quán)限與角色相關(guān)聯(lián)角色繼承最小權(quán)限原則指責(zé)分離角色容量2022/12/101422.2訪問控制強(qiáng)制訪問控制MAC2022/12/10422.3最小特權(quán)管理是系統(tǒng)安全中最基本的原則之一要求賦予系統(tǒng)中每個(gè)使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可。26個(gè)特權(quán)常見的形式基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制實(shí)例惠普的Presid