安全操作系統(tǒng)課件

安全操作系統(tǒng)中國科學(xué)技術(shù)大學(xué)計(jì)算機(jī)系xx第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制2謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制3謝謝欣賞2019-9-15概述什么是操作系統(tǒng)？操作系統(tǒng)的基本功能有哪些？從安全的角度上看，操作系統(tǒng)應(yīng)當(dāng)提供哪些安全服務(wù)？內(nèi)存保護(hù)文件保護(hù)普通實(shí)體保護(hù)存取鑒別等4謝謝欣賞2019-9-15操作系統(tǒng)安全的主要目標(biāo)操作系統(tǒng)安全的主要目標(biāo)按系統(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶對計(jì)算機(jī)資源的非法使用包括竊取、篡改和破壞標(biāo)識系統(tǒng)中的用戶，并對身份進(jìn)行鑒別監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全性和完整性5謝謝欣賞2019-9-15安全機(jī)制的定義ISO：是一種技術(shù)、一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程特殊的安全機(jī)制普遍的安全機(jī)制6謝謝欣賞2019-9-15普遍的安全機(jī)制信任的功能性事件檢測審計(jì)跟蹤安全恢復(fù)7謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制8謝謝欣賞2019-9-152.1.1標(biāo)識與鑒別機(jī)制標(biāo)識：用戶要向系統(tǒng)表明的身份用戶名、登錄ID、身份證號或智能卡應(yīng)當(dāng)具有唯一性不能被偽造鑒別，對用戶所宣稱的身份標(biāo)識的有效性進(jìn)行校驗(yàn)和測試的過程9謝謝欣賞2019-9-15用戶聲明自己身份的4種方法證實(shí)自己所知道的例如密碼、身份證號碼、最喜歡的歌手、最愛的人的名字等等出示自己所擁有的例如智能卡證明自己是誰例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等等表現(xiàn)自己的動作例如簽名、鍵入密碼的速度與力量、語速等等10謝謝欣賞2019-9-152.1.2密碼口令機(jī)制是身份鑒別中最常用的手段口令機(jī)制簡單易行，但很脆弱容易記憶的內(nèi)容，很容易被猜到姓名、生日、身份證號難以記憶的內(nèi)容，用戶使用不方便，常常記錄在容易被發(fā)現(xiàn)的地方隨機(jī)算法遠(yuǎn)程鑒別中，口令容易在傳遞過程中被破解明文傳輸、容易破解的協(xié)議11謝謝欣賞2019-9-15有很多其他手段可以獲得口令觀察、錄像等暴力破解簡單的密碼12謝謝欣賞2019-9-15口令選取的注意點(diǎn)不要使用容易猜到的詞或短語不要使用字典中的詞、常用短語或行業(yè)縮寫等應(yīng)該使用非標(biāo)準(zhǔn)的大寫和拼寫方法應(yīng)該使用大小寫和數(shù)字混合的方法選取口令此外，口令質(zhì)量還取決于口令空間口令加密算法口令長度13謝謝欣賞2019-9-15口令空間的大小口令空間的大小是字母表規(guī)模和口令長度的函數(shù)S：口令空間L：口令的最大有效期R：單位時間內(nèi)可能的口令猜測數(shù)P：口令有效期內(nèi)被猜出的可能性P＝（L×R）/S14謝謝欣賞2019-9-15口令加密算法單向加密函數(shù)加密算法的安全性十分重要如果口令加密只依賴于口令或其他固定信息，有可能造成不同用戶加密后的口令是相同的即不同的密碼能打開多個賬戶為了減少這種可能性，要考慮使用一些其他因素來加密15謝謝欣賞2019-9-15口令長度口令在有效期內(nèi)被猜出的可能性，決定口令的安全性可能性越小，口令越安全在其他條件相同的情況下，口令越長，安全性越大口令有效期越短，口令被猜出的可能性越小口令長度計(jì)算方法：M＝logASS：口令空間A：字母表大小16謝謝欣賞2019-9-15為了計(jì)算合適的口令長度建立一個可以接受的口令猜出可能性P，例如10-20根據(jù)口令最大有效期L和單位時間內(nèi)可能的口令猜測數(shù)R，以及P反過來計(jì)算SS＝（L×R）/P然后根據(jù)口令空間計(jì)算出口令長度，取整17謝謝欣賞2019-9-15破解口令的方法社會工程學(xué)方法字典程序口令文件竊取暴力破解18謝謝欣賞2019-9-15口令管理當(dāng)用戶在系統(tǒng)注冊時，必須賦予用戶口令用戶口令必須定期更改系統(tǒng)必須維護(hù)一個口令數(shù)據(jù)庫用戶必須記憶自身的口令在系統(tǒng)認(rèn)證用戶時，用戶必須輸入口令19謝謝欣賞2019-9-15口令的安全性維護(hù)口令的安全性應(yīng)該由系統(tǒng)管理員和用戶共同努力加以維護(hù)系統(tǒng)管理員初始化系統(tǒng)口令初始口令分配口令更改認(rèn)證用戶ID使用戶ID重新生效培訓(xùn)用戶用戶安全意識更改口令如何防止口令暴露給系統(tǒng)管理員？20謝謝欣賞2019-9-15小結(jié)：口令機(jī)制的實(shí)現(xiàn)要點(diǎn)口令的存儲口令的傳輸賬戶封鎖賬戶管理用戶安全屬性審計(jì)實(shí)時通知系統(tǒng)管理員通知用戶21謝謝欣賞2019-9-152.1.3生物鑒別方法“證明你是誰”；“表現(xiàn)你的動作”提供用戶特有的行為或生理上的特點(diǎn)指紋、面容掃描、虹膜掃描、視網(wǎng)膜掃描、手掌掃描心跳或脈搏取樣、語音取樣、簽字力度、按鍵取樣等采用的技術(shù)稱為“生物測定學(xué)”采用一個生物測定學(xué)因素代替用戶名或賬戶ID作為身份標(biāo)識需要用生物測定學(xué)取樣對已存儲的取樣數(shù)據(jù)庫中的內(nèi)容進(jìn)行一對多的查找并且要在生物測定學(xué)取樣和已存儲的取樣之間保持主體身份的一一對應(yīng)22謝謝欣賞2019-9-15使用生物鑒別方法應(yīng)該注意絕對唯一鑒別要準(zhǔn)確，鑒別設(shè)備要精確必須先取樣并存儲時間特性：隨時間變化的因素，要考慮定期重新進(jìn)行23謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制24謝謝欣賞2019-9-152.2訪問控制訪問控制用來提供授權(quán)用戶在通過身份鑒別后，還需要通過授權(quán)，才能訪問資源或進(jìn)行操作使用訪問控制機(jī)制的目的保護(hù)存儲在計(jì)算機(jī)上的個人信息保護(hù)重要信息的機(jī)密性維護(hù)計(jì)算機(jī)內(nèi)信息的完整性減少病毒感染機(jī)會，從而延緩這種感染的傳播保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯25謝謝欣賞2019-9-15訪問控制機(jī)制的實(shí)行確定要保護(hù)的資源授權(quán)確定訪問權(quán)限實(shí)施訪問權(quán)限26謝謝欣賞2019-9-15系統(tǒng)內(nèi)主體對客體的訪問控制機(jī)制自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制27謝謝欣賞2019-9-152.2.2自主訪問控制允許客體的所有者或建立者控制和定義主體對客體的訪問訪問控制矩陣的保存基于行的自主訪問控制機(jī)制基于列的自主訪問控制機(jī)制28謝謝欣賞2019-9-15基于行的自主訪問控制機(jī)制在每個主體上都附加一個該主體可以訪問的客體的明細(xì)表三種形式權(quán)能表：決定用戶是否可以對客體進(jìn)行訪問，以及進(jìn)行何種模式的訪問。對每一個用戶，系統(tǒng)有一個權(quán)能表。前綴表：對每個主體賦予前綴表。前綴表包括受保護(hù)的客體名和主體對它的訪問權(quán)限?？诹睿好總€客體都相應(yīng)的有一個口令29謝謝欣賞2019-9-15關(guān)于權(quán)能表用戶對自己所擁有的文件權(quán)能拷貝/回收權(quán)能的實(shí)現(xiàn)：權(quán)限字權(quán)限字是一個提供給主體對客體具有特定權(quán)限的不可偽造標(biāo)識主體可以建立新的客體，并指定在這些客體上允許的操作，每個權(quán)限字標(biāo)識可以允許的訪問轉(zhuǎn)移和傳播權(quán)限權(quán)限字的管理必須存放在內(nèi)存中不能被普通用戶訪問的地方，如

系統(tǒng)保留區(qū)、專用區(qū)、被保護(hù)區(qū)域30謝謝欣賞2019-9-15基于列的自主訪問控制機(jī)制按客體附加一份可以訪問它的主體的明細(xì)表兩種方式保護(hù)位，UNIX訪問控制表ACL：按用戶，細(xì)粒度31謝謝欣賞2019-9-15關(guān)于保護(hù)位保護(hù)位對客體的擁有者、及其他的主體、主體組（用戶、用戶組），規(guī)定了一個對該客體訪問的模式的集合。保護(hù)位的方式，不能完備的表達(dá)訪問控制矩陣用戶組：具有相似特點(diǎn)的用戶集合擁有者對客體的所有權(quán)，只能通過超級用戶特權(quán)來改變不考慮超級用戶的話，擁有者是唯一能夠改變客體保護(hù)位的主體一個用戶可能屬于多個用戶組，但任意時刻只有一個活動的用戶組32謝謝欣賞2019-9-15關(guān)于ACL訪問控制表ACL舉例File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x}))ACL的優(yōu)點(diǎn)：

表述直觀、易于理解

比較容易查出對一個特定資源擁有訪問權(quán)限的所有用戶，有效的實(shí)施授權(quán)管理33謝謝欣賞2019-9-15基于列的自主訪問控制機(jī)制按客體附加一份可以訪問它的主體的明細(xì)表兩種方式保護(hù)位，UNIX訪問控制表ACL：按用戶，細(xì)粒度訪問控制表ACL舉例File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x}))ACL的優(yōu)點(diǎn)：表述直觀、易于理解34謝謝欣賞2019-9-15訪問控制表方法的問題客體很多？用戶的職位、職責(zé)變化時?單純使用ACL，不易實(shí)現(xiàn)最小特權(quán)原則和復(fù)雜的安全策略授權(quán)管理費(fèi)力、繁瑣、容易出錯35謝謝欣賞2019-9-15在文件和目錄中常用的幾種訪問模式對文件設(shè)置的訪問模式讀拷貝（Read－copy）與單純的讀？？寫刪除（Write－delete）不同的系統(tǒng)可能有不同的寫模式，或復(fù)雜的組合（更細(xì)致）

寫附加、刪除、寫修改等執(zhí)行（Execute）通常需要同時具備讀權(quán)限無效（Null）：對客體不具備任何訪問權(quán)限36謝謝欣賞2019-9-15考慮目錄對目錄及和目錄相對應(yīng)的文件的訪問操作對目錄而不對文件實(shí)施訪問控制對文件而不對目錄實(shí)施訪問控制對目錄及文件都實(shí)施訪問控制（最好）對目錄的訪問模式讀寫擴(kuò)展（write－expand）更細(xì)的：讀狀態(tài)、修改、附加37謝謝欣賞2019-9-152.2.3強(qiáng)制訪問控制對于自主訪問授權(quán)，系統(tǒng)無法區(qū)分這是用戶的合法操作還是惡意攻擊的非法操作強(qiáng)制訪問控制通過強(qiáng)加一些不可逾越的訪問限制防止某些攻擊；還可以阻止某個進(jìn)程共享文件，并阻止通過一個共享文件向其他進(jìn)程傳遞信息38謝謝欣賞2019-9-15強(qiáng)制訪問控制基于安全屬性每個進(jìn)程/文件/IPC客體都被賦予相應(yīng)的安全屬性賦予的安全屬性，通常不可變，由安全管理員或者OS自動地按照嚴(yán)格的規(guī)則來設(shè)置訪問時，根據(jù)進(jìn)程的安全屬性和客體的安全屬性來判斷是否允許代表用戶的進(jìn)程不能改變自身或任何客體的安全屬性，也不能改變屬于該用戶的客體的安全屬性39謝謝欣賞2019-9-15MAC和DAC通常結(jié)合在一起使用MAC，防止其他用戶非法入侵自己的文件DAC，是用戶不能通過意外事件和有意識的誤操作來逃避安全控制，常用于將系統(tǒng)中的信息分密級和類進(jìn)行管理，適用于政府部門、軍事和金融等領(lǐng)域當(dāng)且僅當(dāng)主體能夠同時通過DAC和MAC檢查時，才能訪問一個客體40謝謝欣賞2019-9-15強(qiáng)制訪問控制對專用的或簡單的系統(tǒng)是有效的，但對通用、大型系統(tǒng)并不那么有效一般強(qiáng)制訪問控制采用一下幾種方法：限制訪問控制限制：用戶要修改ACL的唯一途徑是請求一個特權(quán)系統(tǒng)調(diào)用；該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是依靠另一個程序提供的信息來修改訪問控制信息過程控制：對過程進(jìn)行控制。例如，警告用戶不要…/提醒；取決于用戶本身執(zhí)行與否。系統(tǒng)控制：對系統(tǒng)的功能實(shí)施一些限制。如限制共享文件；限制用戶編程等。41謝謝欣賞2019-9-152.2.4基于角色的訪問控制20世紀(jì)90年代，

美國國家標(biāo)準(zhǔn)和技術(shù)研究院NIST，

基于角色的訪問控制：RBAC本質(zhì)上是強(qiáng)制訪問控制的一種，

區(qū)別在于：基于對工作的描述而不是主體的身份進(jìn)行訪問控制。系統(tǒng)通過主體的角色或任務(wù)定義主體訪問客體的能力適用于人員頻繁變動的環(huán)境42謝謝欣賞2019-9-15基本思想：根據(jù)用戶擔(dān)當(dāng)?shù)慕巧珌泶_定授權(quán)給用戶的訪問權(quán)限類比：銀行的出納員、會計(jì)師、貸款員類比：醫(yī)院中的醫(yī)生、護(hù)士43謝謝欣賞2019-9-15用戶、角色、操作、主體、客體的關(guān)系用戶與角色：一個用戶可經(jīng)授權(quán)而擁有多個角色一個角色可由多個用戶構(gòu)成角色與操作：每個角色可執(zhí)行多個操作每個操作也可由不同的角色執(zhí)行用戶與主體：一個用戶可擁有多個主體（進(jìn)程）每個主體只對應(yīng)一個用戶操作與客體每個操作可施加于多個客體每個客體也可以接受多個操作44謝謝欣賞2019-9-15用戶（主體）能夠?qū)σ豢腕w執(zhí)行訪問操作的必要條件是：該用戶被授權(quán)了一定的角色，其中有一個在當(dāng)前時刻處于活躍狀態(tài)，且這個角色對客體擁有相應(yīng)的訪問權(quán)限45謝謝欣賞2019-9-15RBAC的特征訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限對事不對人角色繼承角色之間可能有互相重疊的職責(zé)和權(quán)力具有角色繼承概念的角色，有自己的屬性，但可能還繼承其他的角色的屬性及擁有的權(quán)限最小特權(quán)原則即用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限可以設(shè)計(jì)不同的角色，滿足最小特權(quán)原則46謝謝欣賞2019-9-15職責(zé)分離靜態(tài)職責(zé)分離，StaticSeparationofDuty，SSD

一個用戶不能賦予多個角色動態(tài)職責(zé)分離，DynamicSeparationofDuty，DSD

一個用戶可以賦予多個角色，但同一時刻只能有一個角色是活動的角色容量在一個特定的時間段內(nèi)，有一些角色有人數(shù)限制在創(chuàng)建新的角色時，要指定角色的容量47謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制48謝謝欣賞2019-9-152.3最小特權(quán)管理超級用戶VS.普通用戶主流多用戶操作系統(tǒng)中，超級用戶一般具有所有特權(quán)，而普通用戶不具有任何特權(quán)威脅：超級用戶口令丟失；被冒充；誤操作解決方法：實(shí)行最小特權(quán)管理原則參考：49謝謝欣賞2019-9-15橘皮書關(guān)于最小特權(quán)的定義：要求賦予系統(tǒng)中每個使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可這個原則的應(yīng)用將限制因意外、錯誤或未經(jīng)授權(quán)使用而造成的損害50謝謝欣賞2019-9-15最小特權(quán)原則：必不可少的特權(quán)充分性：保證所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作必要性：在充分的前提下加以限制基本思想和出發(fā)點(diǎn)：系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)一種可能的方案：將特權(quán)用戶的特權(quán)加以劃分，形成一組細(xì)粒度的特權(quán)51謝謝欣賞2019-9-15最小特權(quán)舉例1在系統(tǒng)中定義系統(tǒng)安全管理員審計(jì)員操作員安全操作員網(wǎng)絡(luò)管理員任何一個用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略為了保證系統(tǒng)的安全性，不應(yīng)賦予某人一個以上的職責(zé)52謝謝欣賞2019-9-15系統(tǒng)安全管理員對系統(tǒng)資源和應(yīng)用定義安全級限制隱蔽通道活動的機(jī)制定義用戶和自主訪問控制的組為所有用戶賦予安全級審計(jì)員設(shè)置審計(jì)參數(shù)修改和刪除審計(jì)系統(tǒng)產(chǎn)生的原始審計(jì)信息控制審計(jì)歸檔53謝謝欣賞2019-9-15操作員啟動和停止系統(tǒng)，以及完成磁盤一致性檢查等格式化新的存儲介質(zhì)設(shè)置終端參數(shù)允許或不允許登錄，但不能改變口令、用戶的安全紀(jì)和其他有關(guān)安全的登錄參數(shù)產(chǎn)生原始的系統(tǒng)記賬數(shù)據(jù)54謝謝欣賞2019-9-15安全操作員：完成安全相關(guān)的日常例行活動；相當(dāng)于具有特權(quán)能力的操作員。完成操作員的所有責(zé)任例行的備份和恢復(fù)安裝和拆卸可安裝介質(zhì)55謝謝欣賞2019-9-15網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)軟件，如TCP/IP設(shè)置BUN文件，允許使用Uucp，Uuto等進(jìn)行網(wǎng)絡(luò)通信設(shè)置與連接服務(wù)器、CRI認(rèn)證機(jī)構(gòu)、ID映射機(jī)構(gòu)、地址映射機(jī)構(gòu)和網(wǎng)絡(luò)選擇有關(guān)的管理文件啟動和停止RFS，通過RFS共享和安裝資源啟動和停止NFS，通過NFS共享和安裝資源56謝謝欣賞2019-9-15最小特權(quán)舉例2CAP_SETPLEVELCAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN將系統(tǒng)中能進(jìn)行敏感操作的能力分成26個特權(quán)CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIR由一些特權(quán)用戶分別掌握這些特權(quán)，哪一個特權(quán)用戶都不能獨(dú)立完成所有的敏感操作57謝謝欣賞2019-9-15常見的最小特權(quán)管理機(jī)制基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制目前幾種安全OS的最小特權(quán)管理機(jī)制惠普的Presidum/VirtualVault根功能分成42中獨(dú)立的特權(quán)最小特權(quán)是惠普可信賴OSVirtualVault的基本特性紅旗安全操作系統(tǒng)RFSOS一個管理角色不擁有另一個管理角色的特權(quán)，攻擊者破獲某個管理角色口令時，不會得到對系統(tǒng)的完全控制58謝謝欣賞2019-9-15SELinux系統(tǒng)中不再有超級用戶，而被分解避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患59謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制60謝謝欣賞2019-9-152.4可信通路可信通路是用戶能夠借以同可信計(jì)算基通信的一種機(jī)制能夠保證用戶確定是和安全核心通信防止不可信進(jìn)程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令最簡單的辦法：給每個用戶兩臺終端一臺用于處理日常工作；

一臺專門用于和內(nèi)核的硬連接昂貴另一種方法：使用通用終端，通過發(fā)信號給核心不可信軟件不能攔截、覆蓋或偽造的信號安全注意鍵61謝謝欣賞2019-9-15Linux的安全注意鍵在x86平臺上是<Alt>+<Ctrl>+<SYSRq)62謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制63謝謝欣賞2019-9-152.5安全審計(jì)機(jī)制審計(jì)是一種事后分析法，一般通過對日志的分析來完成日志：記錄的事件或統(tǒng)計(jì)數(shù)據(jù)提供關(guān)于系統(tǒng)使用及性能方面的信息審計(jì)：對日志記錄進(jìn)行分析以清晰的、能理解的方式表述系統(tǒng)信息安全審計(jì)：對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查及審核認(rèn)定違反安全規(guī)則的行為64謝謝欣賞2019-9-15審計(jì)機(jī)制的主要作用主要作用能詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，并對這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點(diǎn)、過程以及對應(yīng)的主體對于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評估和系統(tǒng)恢復(fù)安全操作系統(tǒng)一般都要求采用審計(jì)機(jī)制來監(jiān)視與安全相關(guān)的活動橘皮書中有明確要求65謝謝欣賞2019-9-152.5.1審計(jì)事件審計(jì)事件是系統(tǒng)審計(jì)用戶動作的基本單位通常根據(jù)要審計(jì)行為的不同性質(zhì)加以分類主體：要記錄用戶進(jìn)行的所有活動客體：要記錄關(guān)于某一客體的所有訪問活動用戶事件標(biāo)準(zhǔn)每個用戶有自己的待審計(jì)事件集基本事件集在用戶事件標(biāo)準(zhǔn)中，每個用戶都要審計(jì)的公共部分橘皮書從C2級開始要求具有審計(jì)功能GB17859-1999從第二級開始就對審計(jì)有了明確的要求66謝謝欣賞2019-9-152.5.2審計(jì)系統(tǒng)的實(shí)現(xiàn)日志記錄器：收集數(shù)據(jù)根據(jù)要審計(jì)的審計(jì)事件范圍記錄信息輸出：二進(jìn)制形式，或者可以直接讀取的形式或者直接傳送給數(shù)據(jù)分析機(jī)制分析器：分析數(shù)據(jù)輸入：日志分析日志數(shù)據(jù)，使用不同的分析方法來監(jiān)測日志數(shù)據(jù)中的異常行為通告器：通報結(jié)果輸入：分析器的分析結(jié)果把結(jié)果通知系統(tǒng)管理員或其他主體為這些主體提供系統(tǒng)的安全信息輔助他們對系統(tǒng)可能出現(xiàn)的問題進(jìn)行決策67謝謝欣賞2019-9-15WindowsNT的日志文件系統(tǒng)日志跟蹤各種系統(tǒng)事件記錄由WindowsNT的系統(tǒng)組件產(chǎn)生的事件例如：啟動過程中加載驅(qū)動程序錯誤又如：系統(tǒng)崩潰應(yīng)用程序日志記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件例如：應(yīng)用程序產(chǎn)生的狀態(tài)dll失敗又如：應(yīng)用程序的添加安全日志記錄安全相關(guān)的關(guān)鍵安全事件例如：登錄上網(wǎng)/下網(wǎng)，改變訪問權(quán)限，系統(tǒng)啟動和關(guān)閉，與創(chuàng)建/打開/刪除文件等資源使用相關(guān)聯(lián)的事件68謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制69謝謝欣賞2019-9-152.6存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲保護(hù)存儲保護(hù)需求保護(hù)用戶存儲在存儲器中的數(shù)據(jù)保護(hù)單元和保護(hù)精度：字/字塊/頁面/段單道系統(tǒng)VS多道系統(tǒng)VS多用戶系統(tǒng)存儲器管理和存儲保護(hù)之間的關(guān)系存儲基本概念：虛擬地址空間、段內(nèi)存管理的訪問控制：系統(tǒng)段與用戶段基于物理頁號的識別基于描述符的地址解釋機(jī)制70謝謝欣賞2019-9-15基于物理頁號的識別每個物理頁號都被加上一個密鑰系統(tǒng)只允許擁有該密鑰的進(jìn)程訪問該物理頁每個進(jìn)程分配一個密鑰，裝入進(jìn)程的狀態(tài)字中每次訪問內(nèi)存時，由硬件對該密鑰進(jìn)行校驗(yàn)密鑰：要匹配訪問控制信息（讀寫權(quán)限）要匹配缺點(diǎn)：繁瑣71謝謝欣賞2019-9-15基于描述符的地址解釋機(jī)制每個進(jìn)程有一個“私有”的地址描述符，描述進(jìn)程對內(nèi)存某頁或某段的訪問模式可以有兩類訪問模式集：用戶狀態(tài)下運(yùn)行的進(jìn)程系統(tǒng)模式下運(yùn)行的進(jìn)程優(yōu)點(diǎn)：開銷小72謝謝欣賞2019-9-15基于保護(hù)環(huán)的運(yùn)行保護(hù)等級域保護(hù)機(jī)制應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入允許在某一環(huán)內(nèi)的進(jìn)程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)與進(jìn)程隔離機(jī)制不同在任意時刻，進(jìn)程可以在任何一個環(huán)內(nèi)運(yùn)行，并轉(zhuǎn)移到另一個環(huán)。保護(hù)進(jìn)程免遭在同一環(huán)內(nèi)同時運(yùn)行的其他進(jìn)程的破壞73謝謝欣賞2019-9-15I/O保護(hù)I/O操作一般是特權(quán)操作操作系統(tǒng)對IO操作進(jìn)行封裝，提供對應(yīng)的系統(tǒng)調(diào)用將設(shè)備看成一個客體，對其應(yīng)用相應(yīng)的訪問控制規(guī)則讀寫兩種針對從處理器到設(shè)備間的路徑74謝謝欣賞2019-9-15第二章操作系統(tǒng)的安全機(jī)制概述標(biāo)識與鑒別機(jī)制訪問控制最小特權(quán)管理可信通路安全審計(jì)機(jī)制存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)主流OS的安全機(jī)制75謝謝欣賞2019-9-15主流OS的安全機(jī)制1：Linux2：MicrosoftWindows200076謝謝欣賞2019-9-15Linux的安全機(jī)制PAM入侵檢測系統(tǒng)加密文件系統(tǒng)安全審計(jì)強(qiáng)制訪問控制防火墻77謝謝欣賞2019-9-15PAMPluggableAuthenticationModules目的：提供一個框架和一套編程接口，將認(rèn)證工作由程序員交給管理員允許管理員在多種認(rèn)證方法之間做出選擇，能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序以共享庫的形式提供78謝謝欣賞2019-9-15功能包括：加密口令（包括DES和其他加密算法）對用戶進(jìn)行資源限制，防止DOS攻擊允許隨意Shadow口令限制特定用戶在指定時間從指定地點(diǎn)登錄引入概念“clientplug-inagents”，使PAM支持C/S應(yīng)用中的機(jī)器79謝謝欣賞2019-9-15入侵檢測系統(tǒng)目前比較流行的入侵檢測系統(tǒng)有

Snort，Portsentry，LIDS等利用Linux配備的工具和從Internet上download的工具，就可以使Linux具備高級的入侵檢測能力，包括：記錄入侵企圖當(dāng)攻擊發(fā)生時及時通知管理員在規(guī)定情況的攻擊發(fā)生時，采取實(shí)現(xiàn)規(guī)定的措施發(fā)送一些錯誤信息，比如偽裝成其他操作系統(tǒng)，例如WindowsNT或者Solaris系統(tǒng)80謝謝欣賞2019-9-15加密文件系統(tǒng)加密文件系統(tǒng)就是將加密服務(wù)引入文件系統(tǒng)，從而提高計(jì)算機(jī)系統(tǒng)的安全性防止硬盤被偷竊防止未經(jīng)授權(quán)的訪問目前，Linux已有多種加密文件系統(tǒng)，例如CFSTCFS，TransparentCryptographicFileSystemCRYPTFS81謝謝欣賞2019-9-15TCFSTransparent：用戶感覺不到文件的加密過程將加密服務(wù)和文件系統(tǒng)緊密集成不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)備份與修復(fù)以及用戶訪問保密文件的語義也不變加密