操作系統(tǒng)的安全機(jī)制課件-參考

第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制1感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制2感謝你的欣賞2019-8-9概述什么是操作系統(tǒng)？操作系統(tǒng)的基本功能有哪些？從安全的角度上看，操作系統(tǒng)應(yīng)當(dāng)提供哪些安全服務(wù)？內(nèi)存保護(hù)文件保護(hù)普通實(shí)體保護(hù)存取鑒別等3感謝你的欣賞2019-8-9操作系統(tǒng)安全的主要目標(biāo)操作系統(tǒng)安全的主要目標(biāo)按系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行訪問控制，防止用戶對(duì)計(jì)算機(jī)資源的非法使用包括竊取、篡改和破壞標(biāo)識(shí)系統(tǒng)中的用戶，并對(duì)身份進(jìn)行鑒別監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全性和完整性4感謝你的欣賞2019-8-9安全機(jī)制的定義ISO：是一種技術(shù)、一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過程特殊的安全機(jī)制普遍的安全機(jī)制5感謝你的欣賞2019-8-9普遍的安全機(jī)制信任的功能性事件檢測(cè)審計(jì)跟蹤安全恢復(fù)6感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制7感謝你的欣賞2019-8-92.1.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)：用戶要向系統(tǒng)表明的身份用戶名、登錄ID、身份證號(hào)或智能卡應(yīng)當(dāng)具有唯一性不能被偽造鑒別，對(duì)用戶所宣稱的身份標(biāo)識(shí)的有效性進(jìn)行校驗(yàn)和測(cè)試的過程8感謝你的欣賞2019-8-9用戶聲明自己身份的4種方法證實(shí)自己所知道的例如密碼、身份證號(hào)碼、最喜歡的歌手、最愛的人的名字等等出示自己所擁有的例如智能卡證明自己是誰例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等等表現(xiàn)自己的動(dòng)作例如簽名、鍵入密碼的速度與力量、語速等等9感謝你的欣賞2019-8-92.1.2密碼口令機(jī)制是身份鑒別中最常用的手段口令機(jī)制簡單易行，但很脆弱容易記憶的內(nèi)容，很容易被猜到姓名、生日、身份證號(hào)難以記憶的內(nèi)容，用戶使用不方便，常常記錄在容易被發(fā)現(xiàn)的地方隨機(jī)算法遠(yuǎn)程鑒別中，口令容易在傳遞過程中被破解明文傳輸、容易破解的協(xié)議10感謝你的欣賞2019-8-9有很多其他手段可以獲得口令觀察、錄像等暴力破解簡單的密碼11感謝你的欣賞2019-8-9口令選取的注意點(diǎn)不要使用容易猜到的詞或短語不要使用字典中的詞、常用短語或行業(yè)縮寫等應(yīng)該使用非標(biāo)準(zhǔn)的大寫和拼寫方法應(yīng)該使用大小寫和數(shù)字混合的方法選取口令此外，口令質(zhì)量還取決于口令空間口令加密算法口令長度12感謝你的欣賞2019-8-9口令空間的大小口令空間的大小是字母表規(guī)模和口令長度的函數(shù)S：口令空間L：口令的最大有效期R：單位時(shí)間內(nèi)可能的口令猜測(cè)數(shù)P：口令有效期內(nèi)被猜出的可能性P＝（L×R）/S13感謝你的欣賞2019-8-9口令加密算法單向加密函數(shù)加密算法的安全性十分重要如果口令加密只依賴于口令或其他固定信息，有可能造成不同用戶加密后的口令是相同的即不同的密碼能打開多個(gè)賬戶為了減少這種可能性，要考慮使用一些其他因素來加密14感謝你的欣賞2019-8-9口令長度口令在有效期內(nèi)被猜出的可能性，決定口令的安全性可能性越小，口令越安全在其他條件相同的情況下，口令越長，安全性越大口令有效期越短，口令被猜出的可能性越小口令長度計(jì)算方法：M＝logASS：口令空間A：字母表大小15感謝你的欣賞2019-8-9為了計(jì)算合適的口令長度建立一個(gè)可以接受的口令猜出可能性P，例如10-20根據(jù)口令最大有效期L和單位時(shí)間內(nèi)可能的口令猜測(cè)數(shù)R，以及P反過來計(jì)算SS＝（L×R）/P然后根據(jù)口令空間計(jì)算出口令長度，取整16感謝你的欣賞2019-8-9破解口令的方法社會(huì)工程學(xué)方法字典程序口令文件竊取暴力破解17感謝你的欣賞2019-8-9口令管理當(dāng)用戶在系統(tǒng)注冊(cè)時(shí)，必須賦予用戶口令用戶口令必須定期更改系統(tǒng)必須維護(hù)一個(gè)口令數(shù)據(jù)庫用戶必須記憶自身的口令在系統(tǒng)認(rèn)證用戶時(shí)，用戶必須輸入口令18感謝你的欣賞2019-8-9口令的安全性維護(hù)口令的安全性應(yīng)該由系統(tǒng)管理員和用戶共同努力加以維護(hù)系統(tǒng)管理員初始化系統(tǒng)口令初始口令分配口令更改認(rèn)證用戶ID使用戶ID重新生效培訓(xùn)用戶用戶安全意識(shí)更改口令如何防止口令暴露給系統(tǒng)管理員？19感謝你的欣賞2019-8-9小結(jié)：口令機(jī)制的實(shí)現(xiàn)要點(diǎn)口令的存儲(chǔ)口令的傳輸賬戶封鎖賬戶管理用戶安全屬性審計(jì)實(shí)時(shí)通知系統(tǒng)管理員通知用戶20感謝你的欣賞2019-8-92.1.3生物鑒別方法“證明你是誰”；“表現(xiàn)你的動(dòng)作”提供用戶特有的行為或生理上的特點(diǎn)指紋、面容掃描、虹膜掃描、視網(wǎng)膜掃描、手掌掃描心跳或脈搏取樣、語音取樣、簽字力度、按鍵取樣等采用的技術(shù)稱為“生物測(cè)定學(xué)”采用一個(gè)生物測(cè)定學(xué)因素代替用戶名或賬戶ID作為身份標(biāo)識(shí)需要用生物測(cè)定學(xué)取樣對(duì)已存儲(chǔ)的取樣數(shù)據(jù)庫中的內(nèi)容進(jìn)行一對(duì)多的查找并且要在生物測(cè)定學(xué)取樣和已存儲(chǔ)的取樣之間保持主體身份的一一對(duì)應(yīng)21感謝你的欣賞2019-8-9使用生物鑒別方法應(yīng)該注意絕對(duì)唯一鑒別要準(zhǔn)確，鑒別設(shè)備要精確必須先取樣并存儲(chǔ)時(shí)間特性：隨時(shí)間變化的因素，要考慮定期重新進(jìn)行22感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制23感謝你的欣賞2019-8-92.2訪問控制訪問控制用來提供授權(quán)用戶在通過身份鑒別后，還需要通過授權(quán)，才能訪問資源或進(jìn)行操作使用訪問控制機(jī)制的目的保護(hù)存儲(chǔ)在計(jì)算機(jī)上的個(gè)人信息保護(hù)重要信息的機(jī)密性維護(hù)計(jì)算機(jī)內(nèi)信息的完整性減少病毒感染機(jī)會(huì)，從而延緩這種感染的傳播保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯24感謝你的欣賞2019-8-9訪問控制機(jī)制的實(shí)行確定要保護(hù)的資源授權(quán)確定訪問權(quán)限實(shí)施訪問權(quán)限25感謝你的欣賞2019-8-9系統(tǒng)內(nèi)主體對(duì)客體的訪問控制機(jī)制自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制26感謝你的欣賞2019-8-92.2.2自主訪問控制允許客體的所有者或建立者控制和定義主體對(duì)客體的訪問訪問控制矩陣的保存基于行的自主訪問控制機(jī)制基于列的自主訪問控制機(jī)制27感謝你的欣賞2019-8-9基于行的自主訪問控制機(jī)制在每個(gè)主體上都附加一個(gè)該主體可以訪問的客體的明細(xì)表三種形式權(quán)能表：決定用戶是否可以對(duì)客體進(jìn)行訪問，以及進(jìn)行何種模式的訪問。對(duì)每一個(gè)用戶，系統(tǒng)有一個(gè)權(quán)能表。前綴表：對(duì)每個(gè)主體賦予前綴表。前綴表包括受保護(hù)的客體名和主體對(duì)它的訪問權(quán)限?？诹睿好總€(gè)客體都相應(yīng)的有一個(gè)口令28感謝你的欣賞2019-8-9關(guān)于權(quán)能表用戶對(duì)自己所擁有的文件權(quán)能拷貝/回收權(quán)能的實(shí)現(xiàn)：權(quán)限字權(quán)限字是一個(gè)提供給主體對(duì)客體具有特定權(quán)限的不可偽造標(biāo)識(shí)主體可以建立新的客體，并指定在這些客體上允許的操作，每個(gè)權(quán)限字標(biāo)識(shí)可以允許的訪問轉(zhuǎn)移和傳播權(quán)限權(quán)限字的管理必須存放在內(nèi)存中不能被普通用戶訪問的地方，如

系統(tǒng)保留區(qū)、專用區(qū)、被保護(hù)區(qū)域29感謝你的欣賞2019-8-9基于列的自主訪問控制機(jī)制按客體附加一份可以訪問它的主體的明細(xì)表兩種方式保護(hù)位，UNIX訪問控制表ACL：按用戶，細(xì)粒度30感謝你的欣賞2019-8-9關(guān)于保護(hù)位保護(hù)位對(duì)客體的擁有者、及其他的主體、主體組（用戶、用戶組），規(guī)定了一個(gè)對(duì)該客體訪問的模式的集合。保護(hù)位的方式，不能完備的表達(dá)訪問控制矩陣用戶組：具有相似特點(diǎn)的用戶集合擁有者對(duì)客體的所有權(quán)，只能通過超級(jí)用戶特權(quán)來改變不考慮超級(jí)用戶的話，擁有者是唯一能夠改變客體保護(hù)位的主體一個(gè)用戶可能屬于多個(gè)用戶組，但任意時(shí)刻只有一個(gè)活動(dòng)的用戶組31感謝你的欣賞2019-8-9關(guān)于ACL訪問控制表ACL舉例File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x}))ACL的優(yōu)點(diǎn)：

表述直觀、易于理解

比較容易查出對(duì)一個(gè)特定資源擁有訪問權(quán)限的所有用戶，有效的實(shí)施授權(quán)管理32感謝你的欣賞2019-8-9基于列的自主訪問控制機(jī)制按客體附加一份可以訪問它的主體的明細(xì)表兩種方式保護(hù)位，UNIX訪問控制表ACL：按用戶，細(xì)粒度訪問控制表ACL舉例File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x}))ACL的優(yōu)點(diǎn)：表述直觀、易于理解33感謝你的欣賞2019-8-9訪問控制表方法的問題客體很多？用戶的職位、職責(zé)變化時(shí)?單純使用ACL，不易實(shí)現(xiàn)最小特權(quán)原則和復(fù)雜的安全策略授權(quán)管理費(fèi)力、繁瑣、容易出錯(cuò)34感謝你的欣賞2019-8-9在文件和目錄中常用的幾種訪問模式對(duì)文件設(shè)置的訪問模式讀拷貝（Read－copy）與單純的讀？？寫刪除（Write－delete）不同的系統(tǒng)可能有不同的寫模式，或復(fù)雜的組合（更細(xì)致）

寫附加、刪除、寫修改等執(zhí)行（Execute）通常需要同時(shí)具備讀權(quán)限無效（Null）：對(duì)客體不具備任何訪問權(quán)限35感謝你的欣賞2019-8-9考慮目錄對(duì)目錄及和目錄相對(duì)應(yīng)的文件的訪問操作對(duì)目錄而不對(duì)文件實(shí)施訪問控制對(duì)文件而不對(duì)目錄實(shí)施訪問控制對(duì)目錄及文件都實(shí)施訪問控制（最好）對(duì)目錄的訪問模式讀寫擴(kuò)展（write－expand）更細(xì)的：讀狀態(tài)、修改、附加36感謝你的欣賞2019-8-92.2.3強(qiáng)制訪問控制對(duì)于自主訪問授權(quán)，系統(tǒng)無法區(qū)分這是用戶的合法操作還是惡意攻擊的非法操作強(qiáng)制訪問控制通過強(qiáng)加一些不可逾越的訪問限制防止某些攻擊；還可以阻止某個(gè)進(jìn)程共享文件，并阻止通過一個(gè)共享文件向其他進(jìn)程傳遞信息37感謝你的欣賞2019-8-9強(qiáng)制訪問控制基于安全屬性每個(gè)進(jìn)程/文件/IPC客體都被賦予相應(yīng)的安全屬性賦予的安全屬性，通常不可變，由安全管理員或者OS自動(dòng)地按照嚴(yán)格的規(guī)則來設(shè)置訪問時(shí)，根據(jù)進(jìn)程的安全屬性和客體的安全屬性來判斷是否允許代表用戶的進(jìn)程不能改變自身或任何客體的安全屬性，也不能改變屬于該用戶的客體的安全屬性38感謝你的欣賞2019-8-9MAC和DAC通常結(jié)合在一起使用MAC，防止其他用戶非法入侵自己的文件DAC，是用戶不能通過意外事件和有意識(shí)的誤操作來逃避安全控制，常用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，適用于政府部門、軍事和金融等領(lǐng)域當(dāng)且僅當(dāng)主體能夠同時(shí)通過DAC和MAC檢查時(shí)，才能訪問一個(gè)客體39感謝你的欣賞2019-8-9強(qiáng)制訪問控制對(duì)專用的或簡單的系統(tǒng)是有效的，但對(duì)通用、大型系統(tǒng)并不那么有效一般強(qiáng)制訪問控制采用一下幾種方法：限制訪問控制限制：用戶要修改ACL的唯一途徑是請(qǐng)求一個(gè)特權(quán)系統(tǒng)調(diào)用；該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是依靠另一個(gè)程序提供的信息來修改訪問控制信息過程控制：對(duì)過程進(jìn)行控制。例如，警告用戶不要…/提醒；取決于用戶本身執(zhí)行與否。系統(tǒng)控制：對(duì)系統(tǒng)的功能實(shí)施一些限制。如限制共享文件；限制用戶編程等。40感謝你的欣賞2019-8-92.2.4基于角色的訪問控制20世紀(jì)90年代，

美國國家標(biāo)準(zhǔn)和技術(shù)研究院NIST，

基于角色的訪問控制：RBAC本質(zhì)上是強(qiáng)制訪問控制的一種，

區(qū)別在于：基于對(duì)工作的描述而不是主體的身份進(jìn)行訪問控制。系統(tǒng)通過主體的角色或任務(wù)定義主體訪問客體的能力適用于人員頻繁變動(dòng)的環(huán)境41感謝你的欣賞2019-8-9基本思想：根據(jù)用戶擔(dān)當(dāng)?shù)慕巧珌泶_定授權(quán)給用戶的訪問權(quán)限類比：銀行的出納員、會(huì)計(jì)師、貸款員類比：醫(yī)院中的醫(yī)生、護(hù)士42感謝你的欣賞2019-8-9用戶、角色、操作、主體、客體的關(guān)系用戶與角色：一個(gè)用戶可經(jīng)授權(quán)而擁有多個(gè)角色一個(gè)角色可由多個(gè)用戶構(gòu)成角色與操作：每個(gè)角色可執(zhí)行多個(gè)操作每個(gè)操作也可由不同的角色執(zhí)行用戶與主體：一個(gè)用戶可擁有多個(gè)主體（進(jìn)程）每個(gè)主體只對(duì)應(yīng)一個(gè)用戶操作與客體每個(gè)操作可施加于多個(gè)客體每個(gè)客體也可以接受多個(gè)操作43感謝你的欣賞2019-8-9用戶（主體）能夠?qū)σ豢腕w執(zhí)行訪問操作的必要條件是：該用戶被授權(quán)了一定的角色，其中有一個(gè)在當(dāng)前時(shí)刻處于活躍狀態(tài)，且這個(gè)角色對(duì)客體擁有相應(yīng)的訪問權(quán)限44感謝你的欣賞2019-8-9RBAC的特征訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限對(duì)事不對(duì)人角色繼承角色之間可能有互相重疊的職責(zé)和權(quán)力具有角色繼承概念的角色，有自己的屬性，但可能還繼承其他的角色的屬性及擁有的權(quán)限最小特權(quán)原則即用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限可以設(shè)計(jì)不同的角色，滿足最小特權(quán)原則45感謝你的欣賞2019-8-9職責(zé)分離靜態(tài)職責(zé)分離，StaticSeparationofDuty，SSD

一個(gè)用戶不能賦予多個(gè)角色動(dòng)態(tài)職責(zé)分離，DynamicSeparationofDuty，DSD

一個(gè)用戶可以賦予多個(gè)角色，但同一時(shí)刻只能有一個(gè)角色是活動(dòng)的角色容量在一個(gè)特定的時(shí)間段內(nèi)，有一些角色有人數(shù)限制在創(chuàng)建新的角色時(shí)，要指定角色的容量46感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制47感謝你的欣賞2019-8-92.3最小特權(quán)管理超級(jí)用戶VS.普通用戶主流多用戶操作系統(tǒng)中，超級(jí)用戶一般具有所有特權(quán)，而普通用戶不具有任何特權(quán)威脅：超級(jí)用戶口令丟失；被冒充；誤操作解決方法：實(shí)行最小特權(quán)管理原則參考：/developerworks/cn/security/se-limited/48感謝你的欣賞2019-8-9橘皮書關(guān)于最小特權(quán)的定義：要求賦予系統(tǒng)中每個(gè)使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可這個(gè)原則的應(yīng)用將限制因意外、錯(cuò)誤或未經(jīng)授權(quán)使用而造成的損害49感謝你的欣賞2019-8-9最小特權(quán)原則：必不可少的特權(quán)充分性：保證所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作必要性：在充分的前提下加以限制基本思想和出發(fā)點(diǎn)：系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)一種可能的方案：將特權(quán)用戶的特權(quán)加以劃分，形成一組細(xì)粒度的特權(quán)50感謝你的欣賞2019-8-9最小特權(quán)舉例1在系統(tǒng)中定義系統(tǒng)安全管理員審計(jì)員操作員安全操作員網(wǎng)絡(luò)管理員任何一個(gè)用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略為了保證系統(tǒng)的安全性，不應(yīng)賦予某人一個(gè)以上的職責(zé)51感謝你的欣賞2019-8-9系統(tǒng)安全管理員對(duì)系統(tǒng)資源和應(yīng)用定義安全級(jí)限制隱蔽通道活動(dòng)的機(jī)制定義用戶和自主訪問控制的組為所有用戶賦予安全級(jí)審計(jì)員設(shè)置審計(jì)參數(shù)修改和刪除審計(jì)系統(tǒng)產(chǎn)生的原始審計(jì)信息控制審計(jì)歸檔52感謝你的欣賞2019-8-9操作員啟動(dòng)和停止系統(tǒng)，以及完成磁盤一致性檢查等格式化新的存儲(chǔ)介質(zhì)設(shè)置終端參數(shù)允許或不允許登錄，但不能改變口令、用戶的安全紀(jì)和其他有關(guān)安全的登錄參數(shù)產(chǎn)生原始的系統(tǒng)記賬數(shù)據(jù)53感謝你的欣賞2019-8-9安全操作員：完成安全相關(guān)的日常例行活動(dòng)；相當(dāng)于具有特權(quán)能力的操作員。完成操作員的所有責(zé)任例行的備份和恢復(fù)安裝和拆卸可安裝介質(zhì)54感謝你的欣賞2019-8-9網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)軟件，如TCP/IP設(shè)置BUN文件，允許使用Uucp，Uuto等進(jìn)行網(wǎng)絡(luò)通信設(shè)置與連接服務(wù)器、CRI認(rèn)證機(jī)構(gòu)、ID映射機(jī)構(gòu)、地址映射機(jī)構(gòu)和網(wǎng)絡(luò)選擇有關(guān)的管理文件啟動(dòng)和停止RFS，通過RFS共享和安裝資源啟動(dòng)和停止NFS，通過NFS共享和安裝資源55感謝你的欣賞2019-8-9最小特權(quán)舉例2CAP_SETPLEVELCAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN將系統(tǒng)中能進(jìn)行敏感操作的能力分成26個(gè)特權(quán)CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIR由一些特權(quán)用戶分別掌握這些特權(quán)，哪一個(gè)特權(quán)用戶都不能獨(dú)立完成所有的敏感操作56感謝你的欣賞2019-8-9常見的最小特權(quán)管理機(jī)制基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制目前幾種安全OS的最小特權(quán)管理機(jī)制惠普的Presidum/VirtualVault根功能分成42中獨(dú)立的特權(quán)最小特權(quán)是惠普可信賴OSVirtualVault的基本特性紅旗安全操作系統(tǒng)RFSOS一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)，攻擊者破獲某個(gè)管理角色口令時(shí)，不會(huì)得到對(duì)系統(tǒng)的完全控制57感謝你的欣賞2019-8-9SELinux系統(tǒng)中不再有超級(jí)用戶，而被分解避免了超級(jí)用戶的誤操作或其身份被假冒而帶來的安全隱患58感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制59感謝你的欣賞2019-8-92.4可信通路可信通路是用戶能夠借以同可信計(jì)算基通信的一種機(jī)制能夠保證用戶確定是和安全核心通信防止不可信進(jìn)程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令最簡單的辦法：給每個(gè)用戶兩臺(tái)終端一臺(tái)用于處理日常工作；

一臺(tái)專門用于和內(nèi)核的硬連接昂貴另一種方法：使用通用終端，通過發(fā)信號(hào)給核心不可信軟件不能攔截、覆蓋或偽造的信號(hào)安全注意鍵60感謝你的欣賞2019-8-9Linux的安全注意鍵在x86平臺(tái)上是<Alt>+<Ctrl>+<SYSRq)61感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制62感謝你的欣賞2019-8-92.5安全審計(jì)機(jī)制審計(jì)是一種事后分析法，一般通過對(duì)日志的分析來完成日志：記錄的事件或統(tǒng)計(jì)數(shù)據(jù)提供關(guān)于系統(tǒng)使用及性能方面的信息審計(jì)：對(duì)日志記錄進(jìn)行分析以清晰的、能理解的方式表述系統(tǒng)信息安全審計(jì)：對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核認(rèn)定違反安全規(guī)則的行為63感謝你的欣賞2019-8-9審計(jì)機(jī)制的主要作用主要作用能詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，并對(duì)這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點(diǎn)、過程以及對(duì)應(yīng)的主體對(duì)于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評(píng)估和系統(tǒng)恢復(fù)安全操作系統(tǒng)一般都要求采用審計(jì)機(jī)制來監(jiān)視與安全相關(guān)的活動(dòng)橘皮書中有明確要求64感謝你的欣賞2019-8-92.5.1審計(jì)事件審計(jì)事件是系統(tǒng)審計(jì)用戶動(dòng)作的基本單位通常根據(jù)要審計(jì)行為的不同性質(zhì)加以分類主體：要記錄用戶進(jìn)行的所有活動(dòng)客體：要記錄關(guān)于某一客體的所有訪問活動(dòng)用戶事件標(biāo)準(zhǔn)每個(gè)用戶有自己的待審計(jì)事件集基本事件集在用戶事件標(biāo)準(zhǔn)中，每個(gè)用戶都要審計(jì)的公共部分橘皮書從C2級(jí)開始要求具有審計(jì)功能GB17859-1999從第二級(jí)開始就對(duì)審計(jì)有了明確的要求65感謝你的欣賞2019-8-92.5.2審計(jì)系統(tǒng)的實(shí)現(xiàn)日志記錄器：收集數(shù)據(jù)根據(jù)要審計(jì)的審計(jì)事件范圍記錄信息輸出：二進(jìn)制形式，或者可以直接讀取的形式或者直接傳送給數(shù)據(jù)分析機(jī)制分析器：分析數(shù)據(jù)輸入：日志分析日志數(shù)據(jù)，使用不同的分析方法來監(jiān)測(cè)日志數(shù)據(jù)中的異常行為通告器：通報(bào)結(jié)果輸入：分析器的分析結(jié)果把結(jié)果通知系統(tǒng)管理員或其他主體為這些主體提供系統(tǒng)的安全信息輔助他們對(duì)系統(tǒng)可能出現(xiàn)的問題進(jìn)行決策66感謝你的欣賞2019-8-9WindowsNT的日志文件系統(tǒng)日志跟蹤各種系統(tǒng)事件記錄由WindowsNT的系統(tǒng)組件產(chǎn)生的事件例如：啟動(dòng)過程中加載驅(qū)動(dòng)程序錯(cuò)誤又如：系統(tǒng)崩潰應(yīng)用程序日志記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件例如：應(yīng)用程序產(chǎn)生的狀態(tài)dll失敗又如：應(yīng)用程序的添加安全日志記錄安全相關(guān)的關(guān)鍵安全事件例如：登錄上網(wǎng)/下網(wǎng)，改變?cè)L問權(quán)限，系統(tǒng)啟動(dòng)和關(guān)閉，與創(chuàng)建/打開/刪除文件等資源使用相關(guān)聯(lián)的事件67感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制68感謝你的欣賞2019-8-92.6存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)存儲(chǔ)保護(hù)需求保護(hù)用戶存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)保護(hù)單元和保護(hù)精度：字/字塊/頁面/段單道系統(tǒng)VS多道系統(tǒng)VS多用戶系統(tǒng)存儲(chǔ)器管理和存儲(chǔ)保護(hù)之間的關(guān)系存儲(chǔ)基本概念：虛擬地址空間、段內(nèi)存管理的訪問控制：系統(tǒng)段與用戶段基于物理頁號(hào)的識(shí)別基于描述符的地址解釋機(jī)制69感謝你的欣賞2019-8-9基于物理頁號(hào)的識(shí)別每個(gè)物理頁號(hào)都被加上一個(gè)密鑰系統(tǒng)只允許擁有該密鑰的進(jìn)程訪問該物理頁每個(gè)進(jìn)程分配一個(gè)密鑰，裝入進(jìn)程的狀態(tài)字中每次訪問內(nèi)存時(shí)，由硬件對(duì)該密鑰進(jìn)行校驗(yàn)密鑰：要匹配訪問控制信息（讀寫權(quán)限）要匹配缺點(diǎn)：繁瑣70感謝你的欣賞2019-8-9基于描述符的地址解釋機(jī)制每個(gè)進(jìn)程有一個(gè)“私有”的地址描述符，描述進(jìn)程對(duì)內(nèi)存某頁或某段的訪問模式可以有兩類訪問模式集：用戶狀態(tài)下運(yùn)行的進(jìn)程系統(tǒng)模式下運(yùn)行的進(jìn)程優(yōu)點(diǎn)：開銷小71感謝你的欣賞2019-8-9基于保護(hù)環(huán)的運(yùn)行保護(hù)等級(jí)域保護(hù)機(jī)制應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入允許在某一環(huán)內(nèi)的進(jìn)程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)與進(jìn)程隔離機(jī)制不同在任意時(shí)刻，進(jìn)程可以在任何一個(gè)環(huán)內(nèi)運(yùn)行，并轉(zhuǎn)移到另一個(gè)環(huán)。保護(hù)進(jìn)程免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程的破壞72感謝你的欣賞2019-8-9I/O保護(hù)I/O操作一般是特權(quán)操作操作系統(tǒng)對(duì)IO操作進(jìn)行封裝，提供對(duì)應(yīng)的系統(tǒng)調(diào)用將設(shè)備看成一個(gè)客體，對(duì)其應(yīng)用相應(yīng)的訪問控制規(guī)則讀寫兩種針對(duì)從處理器到設(shè)備間的路徑73感謝你的欣賞2019-8-9第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識(shí)與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制74感謝你的欣賞2019-8-9主流OS的安全機(jī)制1：Linux2：MicrosoftWindows200075感謝你的欣賞2019-8-9Linux的安全機(jī)制PAM入侵檢測(cè)系統(tǒng)加密文件系統(tǒng)安全審計(jì)強(qiáng)制訪問控制防火墻76感謝你的欣賞2019-8-9PAMPluggableAuthenticationModules目的：提供一個(gè)框架和一套編程接口，將認(rèn)證工作由程序員交給管理員允許管理員在多種認(rèn)證方法之間做出選擇，能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序以共享庫的形式提供77感謝你的欣賞2019-8-9功能包括：加密口令（包括DES和其他加密算法）對(duì)用戶進(jìn)行資源限制，防止DOS攻擊允許隨意Shadow口令限制特定用戶在指定時(shí)間從指定地點(diǎn)登錄引入概念“clientplug-inagents”，使PAM支持C/S應(yīng)用中的機(jī)器78感謝你的欣賞2019-8-9入侵檢測(cè)系統(tǒng)目前比較流行的入侵檢測(cè)系統(tǒng)有

Snort，Portsentry，LIDS等利用Linux配備的工具和從Internet上download的工具，就可以使Linux具備高級(jí)的入侵檢測(cè)能力，包括：記錄入侵企圖當(dāng)攻擊發(fā)生時(shí)及時(shí)通知管理員在規(guī)定情況的攻擊發(fā)生時(shí)，采取實(shí)現(xiàn)規(guī)定的措施發(fā)送一些錯(cuò)誤信息，比如偽裝成其他操作系統(tǒng)，例如WindowsNT或者Solaris系統(tǒng)79感謝你的欣賞2019-8-9加密文件系統(tǒng)加密文件系統(tǒng)就是將加密服務(wù)引入文件系統(tǒng)，從而提高計(jì)算機(jī)系統(tǒng)的安全性防止硬盤被偷竊防止未經(jīng)授權(quán)的訪問目前，Linux已有多種加密文件系統(tǒng)，例如CFSTCFS，TransparentCryptographicFileSystemCRYPTFS80感謝你的欣賞2019-8-9TCFSTransparent：用戶感覺不到文件的加密過程將加密服務(wù)和文件系統(tǒng)緊密集成不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)備份與修復(fù)以及用戶訪問保密文件的語義也不變