第8章 操作系統(tǒng)安全技術(shù)

網(wǎng)絡(luò)安全基礎(chǔ)及應(yīng)用張仕斌陳麟方睿編著北京：人民郵電出版社二00九年十一月2023/3/91主要內(nèi)容第1章緒論第2章密碼技術(shù)第3章信息隱藏技術(shù)第4章數(shù)字簽名技術(shù)第5章認(rèn)證技術(shù)第6章網(wǎng)絡(luò)入侵與攻擊技術(shù)第7章網(wǎng)絡(luò)安全防范技術(shù)第8章操作系統(tǒng)安全技術(shù)第9章數(shù)據(jù)與數(shù)據(jù)庫安全技術(shù)第10章軟件安全技術(shù)第11章Web安全技術(shù)第12章網(wǎng)絡(luò)互聯(lián)安全技術(shù)2023/3/92第8章操作系統(tǒng)安全技術(shù)2023/3/93知識(shí)點(diǎn)：

操作系統(tǒng)安全的概念

操作系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)

操作系統(tǒng)的安全配置與設(shè)計(jì)

操作系統(tǒng)的安全功能

Netware系統(tǒng)的安全性

Windows2000系統(tǒng)的安全性

Unix/Linux系統(tǒng)的安全性2023/3/948.1操作系統(tǒng)安全簡(jiǎn)介8.1.1操作系統(tǒng)安全的概念

操作系統(tǒng)安全包括了對(duì)系統(tǒng)重要資源（存儲(chǔ)器、文件系統(tǒng)等）的保護(hù)和控制，即只有經(jīng)過授權(quán)的用戶和代表該用戶運(yùn)行的進(jìn)程才能對(duì)計(jì)算機(jī)系統(tǒng)的信息進(jìn)行訪問。一般意義上講，所謂一個(gè)計(jì)算機(jī)系統(tǒng)是安全的，是指該系統(tǒng)能夠通過特定的安全功能控制外部對(duì)系統(tǒng)信息的訪問。

（1）操作系統(tǒng)及操作系統(tǒng)安全的概念2023/3/95（2）安全操作系統(tǒng)環(huán)境構(gòu)架

操作系統(tǒng)內(nèi)的一切活動(dòng)均可看作是主體對(duì)計(jì)算機(jī)內(nèi)部各客體的訪問活動(dòng)

。主體對(duì)客體的訪問策略是通過可信計(jì)算基（TrustedComputingBase，TCB）來實(shí)現(xiàn)的。通過安全策略來控制主體對(duì)客體的存取，達(dá)到保護(hù)客體安全的目的，一個(gè)TCB由一個(gè)或多個(gè)可信功能安全模塊（TCBSecurityFunction，TSF）組成，每個(gè)TSF模塊包含一種或多種安全功能策略（SecurityFunctionPolicy，SFP），所有的SFP構(gòu)成了一個(gè)完整的可信安全功能策略（TCBSecurityFunctionPolicy，TSP），即形成一個(gè)安全域。2023/3/96TCB構(gòu)成的安全操作系統(tǒng)環(huán)境構(gòu)架

安全域可以防止不可信主體的干擾和篡改，因而增強(qiáng)了操作系統(tǒng)的安全，起到了在操作系統(tǒng)內(nèi)部保護(hù)信息安全的積極作用。2023/3/978.1.2操作系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)

1．國外評(píng)估標(biāo)準(zhǔn)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)（ABCD類安全等級(jí)）歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)加拿大評(píng)價(jià)標(biāo)準(zhǔn)美國聯(lián)邦準(zhǔn)則

國際通用準(zhǔn)則2023/3/98

2．國內(nèi)評(píng)估標(biāo)準(zhǔn)我國的操作系統(tǒng)安全分為5個(gè)級(jí)別：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。第一級(jí)第二級(jí)第三級(jí)第四級(jí)第五級(jí)自主訪問控制◆◆◆◆◆身份鑒別◆◆◆◆◆數(shù)據(jù)完整性◆◆◆◆◆客體重用◆◆◆◆審計(jì)◆◆◆◆強(qiáng)制性訪問控制◆◆◆標(biāo)記◆◆◆隱蔽信道分析◆◆可信路徑◆◆可信恢復(fù)◆2023/3/998.1.3操作系統(tǒng)的安全配置

操作系統(tǒng)的安全配置主要有3個(gè)方面的問題：

操作系統(tǒng)的訪問權(quán)限的恰當(dāng)設(shè)置操作的及時(shí)更新如何利用操作系統(tǒng)提供的功能有效防范外界攻擊問題2023/3/9108.1.4操作系統(tǒng)的安全功能1.基本安全功能（1）自主訪問控制

自主訪問控制是由TCB定義和控制的系統(tǒng)內(nèi)命名用戶對(duì)命名客體的訪問形式。TCB通過建立訪問控制規(guī)則（如ACL）來允許命名用戶以用戶或用戶組的身份有限訪問客體，阻止非授權(quán)用戶讀取敏感信息，并控制訪問權(quán)限的擴(kuò)散。自主訪問控制機(jī)制根據(jù)用戶指定的方式或默認(rèn)方式，阻止非授權(quán)用戶和用戶組訪問客體。

（2）身份鑒別

TCB初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，并使用保護(hù)機(jī)制（如口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。然后，通過為用戶提供一個(gè)唯一標(biāo)識(shí)，限制用戶的操作行為，并使用戶對(duì)自己的各種行為負(fù)責(zé)。TCB不僅具有將用戶身份標(biāo)識(shí)與該用戶所有可審計(jì)行為相關(guān)聯(lián)的能力，還具有維護(hù)用戶身份識(shí)別的數(shù)據(jù)、確定用戶訪問權(quán)限和授權(quán)的數(shù)據(jù)的能力。身份鑒別主要包括鑒別客體（數(shù)據(jù)鑒別）、鑒別主體（用戶鑒別）及鑒別主體對(duì)客體操作的合法性內(nèi)容等。

2023/3/911

（3）數(shù)據(jù)完整性

系統(tǒng)中的數(shù)據(jù)主要有3種形式：一是存儲(chǔ)在存儲(chǔ)介質(zhì)上的數(shù)據(jù)；二是從源發(fā)地到目的地所傳輸?shù)臄?shù)據(jù)；三是正在被處理的數(shù)據(jù)。（4）客體的重用

在TCB的空閑存儲(chǔ)空間中，對(duì)客體初始指定、分配或再分配一個(gè)主體之前，撤消客體所含信息的所有權(quán)。（5）審計(jì)

TCB能夠創(chuàng)建和維護(hù)授權(quán)保護(hù)客體的訪問審計(jì)和跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它進(jìn)行訪問或破壞。對(duì)于每一個(gè)事件，其審計(jì)內(nèi)容包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功。2023/3/9122.高級(jí)安全功能（1）強(qiáng)制訪問控制TCB對(duì)所有主體及其所控制的客體（如進(jìn)程、文件、段、設(shè)備等）以及外部主體能夠直接或間接訪問的所有資源（如主體、存儲(chǔ)客體和輸入/輸出資源等）實(shí)施強(qiáng)制訪問控制。（2）標(biāo)記為了實(shí)施強(qiáng)制訪問控制，需要使用標(biāo)記為用戶和客體設(shè)定操作屬性，這就要求TSF能為用戶和客體進(jìn)行標(biāo)記，即為他們指定安全屬性（或稱為敏感標(biāo)記）。（3）隱蔽信道的分析系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲(chǔ)信道，并根據(jù)實(shí)際測(cè)量或估算確定每一個(gè)被標(biāo)識(shí)信道的最大帶寬。（4）可信路徑當(dāng)連接用戶時(shí)（如注冊(cè)、更改主體安全級(jí)等），TCB提供它與用戶之間的可信通信路徑。（5）可信恢復(fù)TCB提供過程和機(jī)制，保證計(jì)算機(jī)信息系統(tǒng)失效或中斷后，能夠進(jìn)行可信恢復(fù)，而不損害任何安全保護(hù)性能。2023/3/9138.2操作系統(tǒng)的安全設(shè)計(jì)實(shí)現(xiàn)安全操作系統(tǒng)設(shè)計(jì)的方法有兩種：一種是專門針對(duì)安全性來設(shè)計(jì)操作系統(tǒng)；另一種是將安全性加入到目前的操作系統(tǒng)中。8.2.1操作系統(tǒng)的安全模型

（1）單層模型：一種二元敏感性安全模型，用戶對(duì)實(shí)體的存取策略簡(jiǎn)單地設(shè)置為“允許”或者“禁止”（“是”與“非”)

。單層模型有一定的局限性，在現(xiàn)代操作系統(tǒng)的設(shè)計(jì)中，使用了多級(jí)安全模型，信息流模型在其中得到了深入的應(yīng)用，如著名的Bell-LaPadula模型和Biba模型。

安全模型用來描述計(jì)算機(jī)系統(tǒng)和用戶的安全性，是對(duì)計(jì)算機(jī)系統(tǒng)安全的一種抽象描述。研究安全模型時(shí)，主要從兩個(gè)方面進(jìn)行。一方面是研究為了確保系統(tǒng)的安全應(yīng)采取的策略以及為實(shí)現(xiàn)保密性和完整性應(yīng)滿足的條件；另一方面是研究被保護(hù)系統(tǒng)的特性，如可判定性和不可判定性等。2023/3/914（2）多層網(wǎng)格模型：為用戶和被保護(hù)實(shí)體設(shè)置了更多的敏感層次，這樣這種模型可適用于在不同敏感層次上處理信息的需求，其元素形成一種網(wǎng)格數(shù)學(xué)結(jié)構(gòu)，基于軍用安全和保密信息級(jí)別的處理。

多層網(wǎng)格安全模型的元素形成一種網(wǎng)格數(shù)學(xué)結(jié)構(gòu)，網(wǎng)格是指其元素在關(guān)系運(yùn)算符操作下的數(shù)學(xué)結(jié)構(gòu)，元素按半定序≤次序排列，具有傳遞性和非對(duì)稱性，即對(duì)任意元素a，b，c有如下特性：

（1）傳遞性：若a≤b且b≤c，則a≤c；

（2）非對(duì)稱性：若a≤b且b≤a，則a=b。這種安全模型同時(shí)強(qiáng)調(diào)了敏感性和需知性需求，前者是層次需求，而后者則實(shí)現(xiàn)同層次的安全需求。這種模型中的網(wǎng)格表達(dá)了自然的安全級(jí)別遞增，因此，許多的安全專家將其作為安全系統(tǒng)的基礎(chǔ)。2023/3/9158.2.2操作系統(tǒng)安全性設(shè)計(jì)方法及原則1．通用操作系統(tǒng)中的安全特性及設(shè)計(jì)原則在通用操作系統(tǒng)中，除了實(shí)現(xiàn)基本的內(nèi)存保護(hù)、文件保護(hù)、存取控制和用戶身份鑒別外，還需考慮諸如共享約束、公平服務(wù)、通信與同步等。安全特性：（1）共享約束；（2）公平服務(wù)；（3）通信與同步；通用操作系統(tǒng)的設(shè)計(jì)原則包括以下幾個(gè)方面：（1）最小權(quán)限原則；（2）最少通用原則；（3）安全機(jī)制的經(jīng)濟(jì)性原則；（4）開放式設(shè)計(jì)原則；（5）安全策略的完整性原則；（6）權(quán)限分離原則；2023/3/916為了實(shí)現(xiàn)上述六原則，在設(shè)計(jì)時(shí)可從以下3個(gè)方面進(jìn)行：隔離性：解決最少通用機(jī)制內(nèi)核化：解決最少權(quán)限及經(jīng)濟(jì)性分層結(jié)構(gòu)：解決開放式設(shè)計(jì)及整體策劃

2．隔離性

進(jìn)程間彼此隔離的方法有物理分離、時(shí)間分離、密碼分離和邏輯分離。一個(gè)安全系統(tǒng)可以使用所有這些形式的分離。常見的隔離方法有虛擬存儲(chǔ)和虛擬機(jī)方式。

3．內(nèi)核機(jī)制內(nèi)核（Nucleus或Core）是操作系統(tǒng)中完成最低層功能的部分。在通用操作系統(tǒng)中，內(nèi)核操作包含了進(jìn)程調(diào)度、同步、通信、消息傳遞及中斷處理。安全內(nèi)核則是負(fù)責(zé)實(shí)現(xiàn)整個(gè)操作系統(tǒng)安全機(jī)制的部分，提供硬件、操作系統(tǒng)及系統(tǒng)其他部件間的安全接口。2023/3/917安全內(nèi)核具有以下這樣一些特性：

（1）分離性：安全機(jī)制與操作系統(tǒng)其余部分及用戶空間分離，防止操作系統(tǒng)和用戶侵入；

（2）均一性：所有安全功能都可由單一的代碼集完成；

（3）靈活性：安全機(jī)制易于改變、易于測(cè)試；

（4）緊湊性：安全功能核心盡可能??；

（5）驗(yàn)證性：由于內(nèi)核相對(duì)較小，可進(jìn)行嚴(yán)格的形式化證明其正確性；

（6）覆蓋性：每次對(duì)被保護(hù)實(shí)體的存取都經(jīng)過安全內(nèi)核，可保證每次存取的檢查。

4．分層結(jié)構(gòu)分層結(jié)構(gòu)是一種較好的操作系統(tǒng)設(shè)計(jì)方法，每層設(shè)計(jì)為外層提供特定的功能和支持的核心服務(wù)，安全操作系統(tǒng)的設(shè)計(jì)也可采用這種方式，在各個(gè)層次中考慮系統(tǒng)的安全機(jī)制。2023/3/9188.2.3操作系統(tǒng)安全性認(rèn)證

對(duì)于操作系統(tǒng)安全性認(rèn)證問題，首先應(yīng)當(dāng)意識(shí)到，絕對(duì)安全的操作系統(tǒng)是不存在的。對(duì)安全操作系統(tǒng)的安全評(píng)估仍采用目前世界公認(rèn)的安全準(zhǔn)則。同時(shí)在進(jìn)行操作系統(tǒng)設(shè)計(jì)時(shí)，可以按評(píng)估準(zhǔn)則，將評(píng)估準(zhǔn)則中的各安全內(nèi)容分別在操作系統(tǒng)的各層上實(shí)現(xiàn)。2023/3/9198.3.1Netware系統(tǒng)的安全性

1．安全等級(jí)

NetWare的低版本（NetWare3.0以下）僅達(dá)到C1安全級(jí)，NetWare3.1.1及以上版本達(dá)到了C2安全級(jí)，被美國國家計(jì)算機(jī)安全中心NCSC認(rèn)證為信得過的網(wǎng)絡(luò)產(chǎn)品，從而成為符合C2安全標(biāo)準(zhǔn)的分布式網(wǎng)絡(luò)操作系統(tǒng)。

2．安全漏洞

獲取賬號(hào)查詢和列出合法賬號(hào)獲取系統(tǒng)管理員用戶賬號(hào)8.3典型操作系統(tǒng)的安全性2023/3/920

3．安全性

NetWare系統(tǒng)目錄服務(wù)的安全性權(quán)限設(shè)置安全性屬性設(shè)置安全性網(wǎng)絡(luò)接入安全性

2．可靠性

系統(tǒng)容錯(cuò)技術(shù)

事務(wù)跟蹤系統(tǒng)

UPS監(jiān)控技術(shù)

2023/3/9218.3.2Windows2000系統(tǒng)的安全性

1.系統(tǒng)結(jié)構(gòu)圖圖8-2Windows2000的系統(tǒng)結(jié)構(gòu)圖2023/3/922

2.安全體系圖8-3Windows2000系統(tǒng)的安全模型2023/3/923

3.Windows2000中的（公鑰基礎(chǔ)設(shè)施）PKIWindows2000系統(tǒng)中的PKI服務(wù)可以解決在Internet上的保密性、認(rèn)證、完整性和不可否認(rèn)性等問題，可以使用數(shù)字簽名、數(shù)字證書、加密和鑒別等技術(shù)保證信息處理的安全性。

圖8-5Windows2000PKI的基本組成2023/3/924

4.CAPI（加密應(yīng)用編程接口）體系結(jié)構(gòu)概述

CAPI提供了一組安全函數(shù)，可在開發(fā)Windows2000的安全應(yīng)用程序時(shí)調(diào)用。這組函數(shù)可分為證書函數(shù)、消息函數(shù)和加密函數(shù)3大類。CAPI接口中的安全函數(shù)被包含在操作系統(tǒng)的advapi32.dll和crypt32.dll文件中，有關(guān)函數(shù)的原形定義在wincrypt.h文件中描述。

圖8-6CAPI的應(yīng)用體系結(jié)構(gòu)2023/3/9258.3.3UNIX/Linux操作系統(tǒng)的安全性

自主訪問控制機(jī)制強(qiáng)制訪問控制機(jī)制1.PAM身份認(rèn)證機(jī)制2.訪問控制