第三章安全機(jī)制

操作系統(tǒng)安全

OperatingSystemSecurity2023/2/62第三章安全機(jī)制一個操作系統(tǒng)的安全性從以下幾個方面考慮：物理上分離時間上分離邏輯上分離密碼上分離2023/2/63操作系統(tǒng)安全的主要目標(biāo)：依據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行存取控制，防止用戶對計算機(jī)資源的非法存??；標(biāo)識系統(tǒng)中的用戶并進(jìn)行身份鑒別；監(jiān)督系統(tǒng)運行的安全性；保證系統(tǒng)自身的安全性和完整性；2023/2/64操作系統(tǒng)安全的相應(yīng)機(jī)制：硬件安全機(jī)制標(biāo)識與鑒別存取控制最小特權(quán)管理可信通路安全審計2023/2/65理想的安全操作系統(tǒng)基礎(chǔ)安全操作系統(tǒng)定義是一個其訪問執(zhí)行滿足引用監(jiān)視器概念的操作系統(tǒng)引用監(jiān)視器概念定義了任何系統(tǒng)能安全地執(zhí)行一個強(qiáng)制保護(hù)系統(tǒng)的充要屬性，包括：CompleteMediationTamperproofVerifiable2023/2/662.1標(biāo)識與鑒別機(jī)制標(biāo)識系統(tǒng)可以識別的用戶的內(nèi)部名稱用戶名、登陸ID、身份證號或智能卡具有唯一性不能被偽造鑒別：對用戶宣稱的身份標(biāo)識的有效性進(jìn)行校驗和測試的過程。方法密碼驗證生物鑒別方法可信計算基——與鑒別相關(guān)的認(rèn)證機(jī)制2.1標(biāo)識與鑒別機(jī)制用戶申明自己身份的四種方法證實自己所知道的密碼、身份證號碼、最喜歡的歌手、最愛的人的名字等出示自己所擁有的智能卡證明自己是誰指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等表現(xiàn)自己的動作簽名、鍵入密碼的速度與力量、語速等等2023/2/682.2訪問控制訪問控制的基本任務(wù)：防止用戶對系統(tǒng)資源的非法使用，保證對課題的所有直接訪問都是被認(rèn)可的。措施確定要保護(hù)的資源授權(quán)確定訪問權(quán)限實施訪問權(quán)限三種訪問控制技術(shù)：自主訪問控制DAC、強(qiáng)制訪問控制MAC、基于角色的訪問控制RBAC2023/2/692.2訪問控制自主訪問控制DAC定義:在自主訪問控制機(jī)制下,文件的擁有者可以按照自己的意愿精確的制定系統(tǒng)中地其他用戶對其文件的訪問權(quán)?！白灾鳌钡暮x：

第一，一個用戶可以自主地說明他所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享；

第二，其他具有授予某種訪問權(quán)力的用戶能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予另外的用戶。2023/2/6102.2訪問控制自主訪問控制DAC確定受保護(hù)的客體：一般為文件、目錄、IPC、設(shè)備

為了實現(xiàn)完備的自主訪問控制機(jī)制，系統(tǒng)需要將訪問控制矩陣的相應(yīng)信息以某種形式保存在系統(tǒng)中，目前，操作系統(tǒng)的實現(xiàn)很難將矩陣整個保存下來，因此具有兩種保存方式：基于行基于列2023/2/6112.2訪問控制自主訪問控制DAC基于行的自主訪問控制機(jī)制實現(xiàn)：在每個主體上都附加一個該主體可訪問的客體的明細(xì)表，根據(jù)表中信息的不同，可分為三種形式：能力表：權(quán)限字前綴表：包括受保護(hù)的客體名和主體對它的訪問權(quán)限口令：每個客體有一個2023/2/6122.2訪問控制自主訪問控制DAC基于列的自主訪問控制機(jī)制實現(xiàn)：每一個客體都附加一個可訪問它的主體的明細(xì)表，他有兩種形式，即保護(hù)位和訪問控制表。保護(hù)位：對客體的擁有者基其他主體、主體組，規(guī)定的對該客體訪問模式的集合訪問控制表：對某個特定資源制定任意用戶的訪問權(quán)限。2023/2/6132.2訪問控制自主訪問控制DAC基于列的自主訪問控制機(jī)制訪問控制表:在每一個客體上都附加一個主體明細(xì)表，表示訪問控制矩陣?？蓪δ硞€特定資源制定任意用戶的訪問權(quán)限。缺點：當(dāng)對某個客體可訪問的主體很多時，訪問控制表將會變得很長。而在一個大系統(tǒng)中，客體和主體都非常多，這會在使用這個表時占用很多CPU時間。2023/2/6142.2訪問控制自主訪問控制DAC基于列的自主訪問控制機(jī)制訪問控制表簡化：將用戶按其所屬或者工作性質(zhì)進(jìn)行分類，構(gòu)成相應(yīng)的組（group），并設(shè)置一個通配符“*”，代表任何組名或主體標(biāo)識符，如圖3-5所示。2023/2/6152.2訪問控制自主訪問控制的實現(xiàn)舉例1)擁有者/同組用戶/其他用戶在unix\linux\vmx等系統(tǒng)中,實現(xiàn)了一種很簡單的自主訪問控制模式,就是在文件的屬性中添加一段有關(guān)訪問控制信息的二進(jìn)制位,就像文件的大小、文件創(chuàng)建時間、文件的修改時間等信息一樣。如圖3-6所示。2023/2/6162.2訪問控制自主訪問控制的實現(xiàn)舉例1)擁有者/同組用戶/其他用戶缺點：客體的擁有者不能精確的控制某個用戶對其客體的訪問權(quán)。例如，不能指定同組用戶A具有讀、寫、可執(zhí)行的權(quán)限，而同組的B不能具有任何權(quán)限。同組用戶，要么都有，要么都沒有。2023/2/6172.2訪問控制自主訪問控制的實現(xiàn)舉例2）訪問控制表和“擁有者/同組用戶/其他用戶”相結(jié)合模式針對“擁有者/同組用戶/其他用戶”的缺點，采用訪問控制表和“擁有者/同組用戶/其他用戶”相結(jié)合模式，在UNIXSVR4.1ES系統(tǒng)中的訪問控制表只對“擁有者/同組用戶/其他用戶”無法分組的用戶才使用。2023/2/6182.2訪問控制自主訪問控制的實現(xiàn)舉例在UNIXSVR4.1ES文件系統(tǒng)中，針對文件的索引結(jié)構(gòu)開發(fā)了ACL項及相關(guān)信息項，使每個文件對應(yīng)一個ACL。在IPC的索引結(jié)構(gòu)中開發(fā)了ACL項及相關(guān)信息項，使每一個消息隊列、信號量集合、共享存儲區(qū)都對應(yīng)一個ACL。2023/2/6192.2訪問控制自主訪問控制的實現(xiàn)舉例（1）ACL語義：<type,id,perm>type:描述id是用戶ID，還是用戶組IDid：用戶或用戶組perm：允許id所代表的用戶或用戶組對該客體具有的訪問權(quán)限2023/2/6202.2訪問控制自主訪問控制的實現(xiàn)舉例（2）對ACL的操作：授權(quán)、取消、查閱授權(quán)：將一個指定用戶的標(biāo)識符和對應(yīng)的訪問權(quán)限加入一個ACL中。取消：將指定標(biāo)識符項的訪問權(quán)限中取消某些訪問權(quán)限查閱：讀取ACL內(nèi)容2023/2/6212.2訪問控制自主訪問控制的實現(xiàn)舉例（3）DAC安全檢查策略若進(jìn)行以X權(quán)限訪問客體，X必須在客體相應(yīng)的ACL項中；若進(jìn)程搜索一路徑path，進(jìn)程必須具有路徑名中每一目錄分量的搜索權(quán)。2023/2/6222.2訪問控制強(qiáng)制訪問控制MAC定義：在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個進(jìn)程、每個文件、每個IPC客體都被賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的，它由管理部門（安全管理員）或由操作系統(tǒng)自動地按照嚴(yán)格的規(guī)則來設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。當(dāng)一個進(jìn)程訪問客體時，調(diào)用強(qiáng)制訪問控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對客體的訪問。2023/2/6232.2訪問控制強(qiáng)制訪問控制MAC對比：自主訪問控制：防止其他用戶非法入侵自己的文件強(qiáng)制訪問控制：采用更強(qiáng)有力的安全保護(hù)方式，使用戶不能通過意外事件和有意識的誤操作逃避安全控制。2023/2/6242.2訪問控制強(qiáng)制訪問控制MAC聯(lián)系：強(qiáng)制訪問控制與多級安全（MLS）體系相提并論。多級安全（MLS）：是軍事安全策略的數(shù)學(xué)描述，是計算機(jī)能實現(xiàn)的形式定義。2023/2/6252.2訪問控制強(qiáng)制訪問控制MAC1）軍事安全策略計算機(jī)內(nèi)所有信息都有相應(yīng)的密級，每個人都有一個許可證。確定是否允許某人閱讀一個文件，要把該人的許可證同文件的密級進(jìn)行比較，當(dāng)且僅當(dāng)用戶的許可證大于或等于文件的密級時，他才可以合法的獲得文件的信息。2023/2/6262.2訪問控制強(qiáng)制訪問控制MAC1）軍事安全策略目的：防止用戶取得他不應(yīng)得到的密級較高的信息。安全級：保密級別\范疇集表示形式：{機(jī)密：人事處、財務(wù)處、科技處}關(guān)系：支配、被支配、等于、無關(guān)2023/2/6272.2訪問控制強(qiáng)制訪問控制MAC2)多級安全規(guī)則與BLP模型多級安全計算機(jī)系統(tǒng)的第一個數(shù)學(xué)模型：Bell-LaPudula模型BLP模型的兩條基本規(guī)則：（1）簡單安全特性：主體只能向下讀客體，不能向上讀客體

（2）*特性：主體只能向上寫客體，不能向下寫客體2023/2/6282.2訪問控制強(qiáng)制訪問控制MAC2)多級安全規(guī)則與BLP模型2023/2/6292.2訪問控制2.強(qiáng)制訪問控制的實現(xiàn)舉例：P39-P41UnixSVR4.1ES1）安全級賦值：主體、客體2）強(qiáng)制訪問控制規(guī)則：IfCLASS（S）>=CLASS（O）thenRead（S，O）orExecute(S,O)IfCLASS（S）=CLASS（O）thenWrite（S，O）orAppend(S,O)Class:密級和類別2023/2/6302.2訪問控制3.使用強(qiáng)制訪問控制防止特洛伊木馬

強(qiáng)制訪問控制機(jī)制可以防止特洛伊木馬竊取信息。因此，常用于軍事、政治等對保密性要求較高的部門。2023/2/6312.2訪問控制基于角色的訪問控制RBACNIST提出的訪問控制機(jī)制，實際是強(qiáng)制訪問控制機(jī)制的一種基本思想：授權(quán)給用戶的訪問權(quán)限，通常由用戶擔(dān)當(dāng)?shù)慕巧珌泶_定。特征訪問權(quán)限與角色相關(guān)聯(lián)角色繼承最小權(quán)限原則指責(zé)分離角色容量2023/2/6322.3最小特權(quán)管理是系統(tǒng)安全中最基本的原則之一要求賦予系統(tǒng)中每個使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可。26個特權(quán)常見的形式基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制實例惠普的Presidium/VirtualVault紅旗安全操作系統(tǒng)RFSOSSELinux安全操作系統(tǒng)2023/2/6332.4可信通路是用戶能借以直接同可信計算基（TCB）通信的一種機(jī)制建立可信通路的方法：安全注意鍵P492023/2/6342.5安全審計機(jī)制日志：記錄的事件或統(tǒng)計數(shù)據(jù)安全審計：對日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息，即對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查及審核作用審計事件：主體、客體組成：日志記錄器：收集數(shù)據(jù)——系統(tǒng)日志、應(yīng)用程序日志、安全日志分析器：分析數(shù)據(jù)通告器：通報結(jié)果2023/2/6352.6存儲保護(hù)、運行保護(hù)和I/O保護(hù)存儲保護(hù)虛地址空間分段物理頁號上的秘密信息基于描述符的地址解釋機(jī)制運行保護(hù)保護(hù)環(huán)——運行域——等級域機(jī)制進(jìn)程隔離機(jī)制I/O保護(hù)I/O操作是操作系統(tǒng)完成的特權(quán)操作2023/2/636UNIX/Linux安全機(jī)制一、UNIX安全機(jī)制標(biāo)識/etc/passwd和/etc/shadow中保存了用戶標(biāo)識和口令；root用戶鑒別存取控制存取權(quán)限：可讀、可寫、可執(zhí)行；改變權(quán)限：特殊權(quán)限位：SUID和SGID；2023/2/637UNIX/Linux安全機(jī)制（續(xù)）審計日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等審計服務(wù)程序：syslogd；網(wǎng)絡(luò)安全性：有選擇地允許用戶和主機(jī)與其他主機(jī)的連接；網(wǎng)絡(luò)監(jiān)控和入侵檢測：LIDS等；備份/恢復(fù)：實時備份、整體備份、增量備份；2023/2/638UNIX/Linux安全機(jī)制（續(xù)）二、Linux安全機(jī)制PAM機(jī)制入侵檢測系統(tǒng)

加密文件系統(tǒng)安全審計強(qiáng)制訪問控制防火墻2023/2/639Windows安全機(jī)制2023/2/640Windows安全機(jī)制身份認(rèn)證交互式登錄(根據(jù)用戶的本地計算機(jī)或

Active

Directory

帳戶確認(rèn)用戶的身份)網(wǎng)絡(luò)身份驗證（根據(jù)此用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份）Windows

2000

支持的身份驗證類型有：Kerberos

V5

身份驗證安全套接字層

(SSL)

和傳輸層安全性

(TLS)

的身份驗證NTLM

身份驗證2023/2/641Windows安全機(jī)制基于對象的訪問控制Windows

2000

通過允許管理員為存儲在

Active

Directory

中的對象分配安全描述符實現(xiàn)訪問控制。Active

Directory授權(quán)和審核2023/2/642Windows安全設(shè)置硬盤的分區(qū)至少建立兩個邏輯分區(qū)：一個用作系統(tǒng)分區(qū)，另一個用作應(yīng)用程序分區(qū)?，F(xiàn)在的硬盤是越來越大，一般最好分三個至四個分區(qū)，這樣就可以把自己的文件單獨放在一個分區(qū)中。所有的分區(qū)最好都是NTFS格式。用戶賬號的安全設(shè)置默認(rèn)安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號和共享列表2023/2/643Windows安全設(shè)置文件和文件夾權(quán)限的設(shè)置訪問權(quán)限分為讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制在默認(rèn)的情況下，大多數(shù)的文件夾和文件對所有用戶(Everyone這個組)是完全控制的(FullControl)，這根本不能滿足不同網(wǎng)絡(luò)的權(quán)限設(shè)置需求，還需要根據(jù)應(yīng)用的需要進(jìn)行重新設(shè)置。配置IIS原則“最小的權(quán)限+最少的服務(wù)=最大的安全”2023/2/644Windows安全設(shè)置檢查清單物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)監(jiān)視器要保留15天以上的攝像記錄另外機(jī)箱,鍵盤電腦桌抽屜要上鎖以確保旁人即使進(jìn)入房間也無法使用電腦鑰匙要放在另外的安全的地方停掉Guest帳號限制不必要的用戶數(shù)量創(chuàng)建2個管理員用帳號把系統(tǒng)administrator帳號改名創(chuàng)建一個陷阱帳號2023/2/645Windows安全設(shè)置檢查清單把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”使用安全密碼設(shè)置屏幕保護(hù)密碼使用NTFS格式分區(qū)運行防毒軟件保障備份盤的安全2023/2/646Windows安全設(shè)置利用win2000的安全配置工具來配置策略關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口打開審核策略策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改