操作系統(tǒng)安全講稿課件

操作系統(tǒng)安全

OperatingSystemSecurity中南大學信息科學與工程學院CentralSouthUniversityCollegeofInformationScienceandEngineering

2023/9/111操作系統(tǒng)安全

OperatingSystemSecuri目錄第一章緒論第二章操作系統(tǒng)安全機制第三章操作系統(tǒng)安全模型第四章操作系統(tǒng)安全體系結構第五章安全操作系統(tǒng)設計2023/9/112目錄第一章緒論2023/8/32參考文獻賈春福鄭鵬操作系統(tǒng)安全武漢大學出版社2006卿斯?jié)h等操作系統(tǒng)安全清華大學出版社2004TrentJaegerOperatingSystemSecurityMORGAN&CLAYPOOLPUBLISHERSBruceSchneierSecrets&LiesandBeyondFearCrypto-gramnewsletter/crypto-gram.htmlRossAndersonSecurityEngineeringAvailableonlineat

http://www.cl.cam.ac.uk/users/rja14/book.html2023/9/113參考文獻賈春福鄭鵬操作系統(tǒng)安全武漢大學出版社2006前言課程形式

主課，習題課，作業(yè)，小論文及上機成績評定

作業(yè)，小論文及上機，期末考試比例：

作業(yè)10%

小論文及上機20%

期末考試70%2023/9/114前言課程形式

主課，習題課，作業(yè)，小論文及上機2023基本目的理解掌握操作系統(tǒng)中的安全問題及安全性掌握操作系統(tǒng)安全的基本概念掌握操作系統(tǒng)安全機制、安全模型、安全體系結構了解安全操作系統(tǒng)的設計原則根據(jù)操作系統(tǒng)安全目標能設計并評價安全操作系統(tǒng)2023/9/115基本目的理解掌握操作系統(tǒng)中的安全問題及安全性2023/8/3第一章緒論1.1操作系統(tǒng)面臨的安全威脅1.2安全操作系統(tǒng)的研究發(fā)展1.3操作系統(tǒng)安全的基本概念2023/9/116第一章緒論1.1操作系統(tǒng)面臨的安全威脅2023/8/361.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）信息的隱藏——對非授權用戶不可見保護數(shù)據(jù)的存在性完整性威脅（integrity）信息的可信程度信息內(nèi)容的完整性、信息來源的完整性可用性威脅（availability）信息或資源的期望使用能力防止數(shù)據(jù)或服務的拒絕訪問2023/9/1171.1操作系統(tǒng)面臨的安全威脅保密性威脅（secrecy）2一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的威脅在增加因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療（1）網(wǎng)絡本身不安全2023/9/118一、安全現(xiàn)狀因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存在威脅2023/9/119信息竊取信息傳遞信息冒充信息篡改信息抵賴（2）信息傳遞過程存（3）多樣化的攻擊手段網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲2023/9/1110（3）多樣化的攻擊手段網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈二、安全威脅種類特洛伊木馬：Mellissa天窗：設置在操作系統(tǒng)內(nèi)部隱蔽通道：不受安全策略控制的、違反安全策略的信息泄露路徑。間諜軟件（Spyware）病毒和蠕蟲具有隱蔽性、傳染性、潛伏性、破壞性特點邏輯炸彈拒絕服務攻擊2023/9/1111二、安全威脅種類特洛伊木馬：Mellissa2023/8/3SQLSlammer蠕蟲的能力

2023/9/1112SQLSlammer蠕蟲的能力2023/8/312SQLSlammer蠕蟲的能力2023/9/1113SQLSlammer蠕蟲的能力2023/8/3131.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操作系統(tǒng)的發(fā)展分為奠基時期、食譜時期、多政策時期和動態(tài)政策時期2004年卿斯?jié)h教授在《操作系統(tǒng)安全》中也對其發(fā)展進行了概述。2023/9/11141.2安全操作系統(tǒng)的發(fā)展2001年中科院石文昌博士將安全操安全操作系統(tǒng)的發(fā)展（續(xù)）1969

年，C.Weissman研究的Adept-50是歷史上的第一個分時安全操作系統(tǒng)。同年，B.W.Lampson

通過形式化表示方法運用主體（subject）、客體（object）和訪問矩陣（accessmatrix）的思想第一次對訪問控制問題進行了抽象。1970

年，W.H.Ware

對多渠道訪問的資源共享的計算機系統(tǒng)引起的安全問題進行了研究。2023/9/1115安全操作系統(tǒng)的發(fā)展（續(xù)）1969年，C.Weissman安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderson提出了參照監(jiān)視器（referencemonitor）、訪問驗證機制（referencevalidationmechanism）、安全內(nèi)核（securitykernel）和安全建模（modeling）等重要思想。1973

年，B.W.Lampson

提出了隱通道（covertchannel）；同年，D.E.Bell

和L.J.LaPadula

提出了簡稱BLP

模型。2023/9/1116安全操作系統(tǒng)的發(fā)展（續(xù)）1972年，J.P.Anderso安全操作系統(tǒng)的發(fā)展（續(xù)）1975

年，J.H.Saltzer

和M.D.Schroeder

以保護機制的體系結構為中心，重點考察了權能（capability）實現(xiàn)結構和訪問控制表（accesscontrollist）實現(xiàn)結構，給出了信息保護機制的八條設計原則。1976年，M.A.Harrison、W.L.Ruzzo

和J.D.Ullman

提出了操作系統(tǒng)保護的第一個基本理論——HRU理論。2023/9/1117安全操作系統(tǒng)的發(fā)展（續(xù)）1975年，J.H.Saltze安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系統(tǒng)研究有：MulticsMitre安全核UCLA

數(shù)據(jù)安全UnixKSOS（KernelizedSecureOperatingSystem）PSOS等這段時期可稱為奠基時期。2023/9/1118安全操作系統(tǒng)的發(fā)展（續(xù)）1967-1979年典型的安全操作系安全操作系統(tǒng)的發(fā)展（續(xù)）1983

年，美國國防部頒布了歷史上第一個計算機安全評價標準TCSEC橙皮書（TrustedComputerSystemEvaluationCriteria)。1984

年，AXIOM

技術公司的S.Kramer開發(fā)了基于Unix的實驗型安全操作系統(tǒng)LINUSIV

，達到B2級；1986，IBM

公司的V.D.Gligor

等設計了基于SCOXenix的安全Xenix系統(tǒng)，基于安全注意鍵（secureattentionkey，SAK）實現(xiàn)了可信通路（Trustedpath）。2023/9/1119安全操作系統(tǒng)的發(fā)展（續(xù)）1983年，美國國防部頒布了歷史上安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInformation

Systems公司開發(fā)了B3級的Tmach(TrustedMach)；1988年，AT&TBell

實驗室的SystemV/MLS；1989年，加拿大多倫多大學的安全TUNIS；1990

年，TRW公司的ASOS

系統(tǒng)；1991年，UNIX國際組織的UNIX

SVR4.1ES，符合B2級；2023/9/1120安全操作系統(tǒng)的發(fā)展（續(xù)）1987年美國TrustedInf安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了信息技術安全評定標準ITSEC；1992～93年，美國國家安全局NSA和安全計算公司SCC設計實現(xiàn)了分布式可信Mach操作系統(tǒng)DTMach；1993年，美國國防部推出的新的安全體系結構DGSA；其他：92

年訪問控制程序（ACP）和93年看守員（custodian）兩種范型思想；2023/9/1121安全操作系統(tǒng)的發(fā)展（續(xù)）1991年，英、德、法、荷四國制定了安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（DistributedTrustedOperatingSystem）項目1999年，EROS(Extremelyreliableoperatingsystem），基于權能的高性能微內(nèi)核實時安全操作系統(tǒng)；2001年，F(xiàn)lask的實現(xiàn)，SELinux操作系統(tǒng)；其他在研項目Honeywell的STOP、Gemini的GEMSOS、DEC的VMM、HP和DataGeneral等公司的安全操作系統(tǒng)；2023/9/1122安全操作系統(tǒng)的發(fā)展（續(xù)）1997年，DTOS（Distrib國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學SUNIX

病毒防御模型；1999年，中科院軟件研究所從紅旗Linux；2000年，中科院計算技術研究所的LIDS，南京大學的SoftOS，中科院信息安全技術工程研究中心的SecLinux；2001年，海軍計算技術研究所安全增強系統(tǒng)UnixSVR4.2/SE；UNIX

類國產(chǎn)操作系統(tǒng)COSIXV2.0

的安全子系統(tǒng)；2023/9/1123國內(nèi)安全操作系統(tǒng)的發(fā)展1993年，國防科技大學SUNIX國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計算機安全評估準則GJB2646-96；99年，國家技術監(jiān)督局的國家標準GB17859-1999(計算機信息系統(tǒng)安全保護等級劃分準則)，2001年強制執(zhí)行；2000年，安勝安全操作系統(tǒng)V1.0；2001年，GB/T18336-2001(信息技術安全性評估準則)；2023/9/1124國內(nèi)安全操作系統(tǒng)的發(fā)展96年，軍用計算機安全評估準則GJB21.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎，具有至關重要的作用。操作系統(tǒng)安全和安全操作系統(tǒng)操作系統(tǒng)安全是從各種不同角度分析操作系統(tǒng)安全性安全操作系統(tǒng)是按照特定安全目標設計實現(xiàn)的操作系統(tǒng)，和相應的安全等級掛鉤2023/9/11251.3操作系統(tǒng)安全基本概念操作系統(tǒng)安全是信息系統(tǒng)安全的基礎1.3操作系統(tǒng)安全基本概念安全功能與安全保證可信軟件和不可信軟件軟件的三大可信類別：可信的、良性的、惡意的可信軟件是可信計算基的軟件部分主體與客體主體（Subject）：一個主動的實體，使信息在客體中間流動或者改變系統(tǒng)狀態(tài)客體（Object）：一種包含或接受信息的被動實體。2023/9/11261.3操作系統(tǒng)安全基本概念安全功能與安全保證2023/8/1.3操作系統(tǒng)安全基本概念安全策略與安全模型安全策略（SecurityPolicy）：規(guī)定機構如何管理、保護與分發(fā)敏感信息的法規(guī)與條例的集合安全模型：對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，是安全策略和安全策略實現(xiàn)機制關聯(lián)的一種框架。引用監(jiān)視器（ReferenceMonitor）為解決用戶程序的運行控制問題引入的，目的是在用戶與系統(tǒng)資源之間實施一種授權訪問關系J.P.Anderson的定義：以主體（用戶等）所獲得的引用權限為基準，驗證運行中的程序（對程序、數(shù)據(jù)、設備等）的所有引用2023/9/11271.3操作系統(tǒng)安全基本概念安全策略與安全模型2023/8/1.3操作系統(tǒng)安全基本概念安全內(nèi)核指系統(tǒng)中與安全性實現(xiàn)有關的部分引用驗證機制、訪問控制機制、授權機制、授權管理機制可信計算基（TrustComputingBase）組成完成的工作2023/9/11281.3操作系統(tǒng)安全基本概念安全內(nèi)核2023/8/328Problem什么是信息的完整性？隱蔽通道的工作方式？安全策略與安全模型的關系？2023/9/1129Problem什么是信息的完整性？2023/8/329第二章安全機制一個操作系統(tǒng)的安全性從以下幾個方面考慮：物理上分離時間上分離邏輯上分離密碼上分離2023/9/1130第二章安全機制一個操作系統(tǒng)的安全性從以下幾個方面考慮：20操作系統(tǒng)安全的主要目標：依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存?。粯俗R系統(tǒng)中的用戶并進行身份鑒別；監(jiān)督系統(tǒng)運行的安全性；保證系統(tǒng)自身的安全性和完整性；2023/9/1131操作系統(tǒng)安全的主要目標：2023/8/331操作系統(tǒng)安全的相應機制：硬件安全機制標識與鑒別存取控制最小特權管理可信通路安全審計存儲保護、運行保護、I/O保護2023/9/1132操作系統(tǒng)安全的相應機制：2023/8/332理想的安全操作系統(tǒng)基礎保護系統(tǒng)（ProtectionSystem）保護系統(tǒng)包含一個保護狀態(tài)（protectionstate）和保護狀態(tài)操作（protectionstateoperations）保護狀態(tài)：描述系統(tǒng)主體在系統(tǒng)客體上能執(zhí)行的操作保護狀態(tài)操作：使狀態(tài)能進行改變的動作，如增加新的系統(tǒng)主體或客體到保護狀態(tài)中等Lampson的訪問矩陣——保護狀態(tài)2023/9/1133理想的安全操作系統(tǒng)基礎保護系統(tǒng)（ProtectionSys理想的安全操作系統(tǒng)基礎Lampson的訪問矩陣——保護狀態(tài)保護域protectiondomain訪問控制列表Accesscontrollist（ACL）權能列表Capabilitylist（C_list）強制保護系統(tǒng)（MandatoryProtectionSystem）訪問矩陣——不信任的進程能篡改保護系統(tǒng)——未授權訪問的安全問題強制保護系統(tǒng)是一個僅使可信管理員通過可信軟件來修改狀態(tài)的保護系統(tǒng)。包含的狀態(tài)：強制保護狀態(tài)Mandatoryprotectionstate標記狀態(tài)labelingstateTransitionstate2023/9/1134理想的安全操作系統(tǒng)基礎Lampson的訪問矩陣——保護狀態(tài)2理想的安全操作系統(tǒng)基礎LabelingstateTransitionstateProtectionstateFile:newfileFile:acctProcess:newprocProcess:other2023/9/1135理想的安全操作系統(tǒng)基礎LabelingstateTrans理想的安全操作系統(tǒng)基礎引用監(jiān)視器ReferenceMonitor引用監(jiān)視器接口ReferenceMonitorInterface授權模塊AuthorizationModule策略存儲PolicyStore2023/9/1136理想的安全操作系統(tǒng)基礎引用監(jiān)視器ReferenceMoni理想的安全操作系統(tǒng)基礎ReferenceMonitorOperatingSystemAuthorizationModulePolicyStoreProtectionstateLabelingstateTransitionstateProcessReferenceMonitorInterfaceHooksProcessProcessProcess2023/9/1137理想的安全操作系統(tǒng)基礎ReferenceMonitorOp理想的安全操作系統(tǒng)基礎安全操作系統(tǒng)定義是一個其訪問執(zhí)行滿足引用監(jiān)視器概念的操作系統(tǒng)引用監(jiān)視器概念定義了任何系統(tǒng)能安全地執(zhí)行一個強制保護系統(tǒng)的充要屬性，包括：CompleteMediationTamperproofVerifiable2023/9/1138理想的安全操作系統(tǒng)基礎安全操作系統(tǒng)定義2023/8/3382.1標識與鑒別機制標識系統(tǒng)可以識別的用戶的內(nèi)部名稱鑒別：對用戶宣稱的身份標識的有效性進行校驗和測試的過程。方法密碼驗證生物鑒別方法可信計算基——與鑒別相關的認證機制2023/9/11392.1標識與鑒別機制標識2023/8/3392.2訪問控制訪問控制的基本任務：防止用戶對系統(tǒng)資源的非法使用，保證對課題的所有直接訪問都是被認可的。措施確定要保護的資源授權確定訪問權限實施訪問權限三種訪問控制技術：自主訪問控制DAC、強制訪問控制MAC、基于角色的訪問控制RBAC2023/9/11402.2訪問控制訪問控制的基本任務：防止用戶對系統(tǒng)資源的非法2.2訪問控制自主訪問控制DAC基于行的自主訪問控制機制能力表：權限字前綴表：包括受保護的客體名和主體對它的訪問權限口令：每個客體有一個基于列的自主訪問控制機制保護位：對客體的擁有者基其他主體、主體組，規(guī)定的對該客體訪問模式的集合訪問控制表：對某個特定資源制定任意用戶的訪問權限。2023/9/11412.2訪問控制自主訪問控制DAC2023/8/3412.2訪問控制強制訪問控制MAC限制訪問控制過程控制系統(tǒng)限制基于角色的訪問控制RBACNIST提出的訪問控制機制，實際是強制訪問控制機制的一種基本思想：授權給用戶的訪問權限，通常由用戶擔當?shù)慕巧珌泶_定。特征訪問權限與角色相關聯(lián)角色繼承最小權限原則指責分離角色容量2023/9/11422.2訪問控制強制訪問控制MAC2023/8/3422.3最小特權管理是系統(tǒng)安全中最基本的原則之一要求賦予系統(tǒng)中每個使用者執(zhí)行授權任務所需的限制性最強的一組特權，即最低許可。26個特權常見的形式基于文件的特權機制基于進程的特權機制實例惠普的Presidium/VirtualVault紅旗安全操作系統(tǒng)RFSOSSELinux安全操作系統(tǒng)2023/9/11432.3最小特權管理是系統(tǒng)安全中最基本的原則之一2023/82.4可信通路是用戶能借以直接同可信計算基（TCB）通信的一種機制建立可信通路的方法：安全注意鍵P352023/9/11442.4可信通路是用戶能借以直接同可信計算基（TCB）通信的2.5安全審計機制日志：記錄的事件或統(tǒng)計數(shù)據(jù)安全審計：對日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息，即對系統(tǒng)中有關安全的活動進行記錄、檢查及審核作用審計事件：主體、客體組成：日志記錄器：收集數(shù)據(jù)——系統(tǒng)日志、應用程序日志、安全日志分析器：分析數(shù)據(jù)通告器：通報結果2023/9/11452.5安全審計機制日志：記錄的事件或統(tǒng)計數(shù)據(jù)2023/8/2.6存儲保護、運行保護和I/O保護存儲保護虛地址空間分段物理頁號上的秘密信息基于描述符的地址解釋機制運行保護保護環(huán)——運行域——等級域機制進程隔離機制I/O保護I/O操作是操作系統(tǒng)完成的特權操作2023/9/11462.6存儲保護、運行保護和I/O保護存儲保護2023/8/UNIX/Linux安全機制一、UNIX安全機制標識/etc/passwd和/etc/shadow中保存了用戶標識和口令；root用戶鑒別存取控制存取權限：可讀、可寫、可執(zhí)行；改變權限：特殊權限位：SUID和SGID；2023/9/1147UNIX/Linux安全機制一、UNIX安全機制2023/8UNIX/Linux安全機制（續(xù)）審計日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等審計服務程序：syslogd；網(wǎng)絡安全性：有選擇地允許用戶和主機與其他主機的連接；網(wǎng)絡監(jiān)控和入侵檢測：LIDS等；備份/恢復：實時備份、整體備份、增量備份；2023/9/1148UNIX/Linux安全機制（續(xù)）審計2023/8/348UNIX/Linux安全機制（續(xù)）二、Linux安全機制PAM機制入侵檢測系統(tǒng)

加密文件系統(tǒng)安全審計強制訪問控制防火墻2023/9/1149UNIX/Linux安全機制（續(xù)）二、Linux安全機制20Windows安全機制2023/9/1150Windows安全機制2023/8/350Windows安全機制身份認證交互式登錄(根據(jù)用戶的本地計算機或

Active

Directory

帳戶確認用戶的身份)網(wǎng)絡身份驗證（根據(jù)此用戶試圖訪問的任何網(wǎng)絡服務確認用戶的身份）Windows

2000

支持的身份驗證類型有：Kerberos

V5

身份驗證安全套接字層

(SSL)

和傳輸層安全性

(TLS)

的身份驗證NTLM

身份驗證2023/9/1151Windows安全機制身份認證2023/8/351Windows安全機制基于對象的訪問控制Windows

2000

通過允許管理員為存儲在

Active

Directory

中的對象分配安全描述符實現(xiàn)訪問控制。Active

Directory授權和審核2023/9/1152Windows安全機制基于對象的訪問控制2023/8/352Windows安全設置硬盤的分區(qū)至少建立兩個邏輯分區(qū)：一個用作系統(tǒng)分區(qū)，另一個用作應用程序分區(qū)?，F(xiàn)在的硬盤是越來越大，一般最好分三個至四個分區(qū)，這樣就可以把自己的文件單獨放在一個分區(qū)中。所有的分區(qū)最好都是NTFS格式。用戶賬號的安全設置默認安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號和共享列表2023/9/1153Windows安全設置硬盤的分區(qū)2023/8/353Windows安全設置文件和文件夾權限的設置訪問權限分為讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制在默認的情況下，大多數(shù)的文件夾和文件對所有用戶(Everyone這個組)是完全控制的(FullControl)，這根本不能滿足不同網(wǎng)絡的權限設置需求，還需要根據(jù)應用的需要進行重新設置。配置IIS原則“最小的權限+最少的服務=最大的安全”2023/9/1154Windows安全設置文件和文件夾權限的設置2023/8/3Windows安全設置檢查清單物理安全服務器應該安放在安裝了監(jiān)視器的隔離房間內(nèi)監(jiān)視器要保留15天以上的攝像記錄另外機箱,鍵盤電腦桌抽屜要上鎖以確保旁人即使進入房間也無法使用電腦鑰匙要放在另外的安全的地方停掉Guest帳號限制不必要的用戶數(shù)量創(chuàng)建2個管理員用帳號把系統(tǒng)administrator帳號改名創(chuàng)建一個陷阱帳號2023/9/1155Windows安全設置檢查清單2023/8/355Windows安全設置檢查清單把共享文件的權限從”everyone”組改成“授權用戶”使用安全密碼設置屏幕保護密碼使用NTFS格式分區(qū)運行防毒軟件保障備份盤的安全2023/9/1156Windows安全設置檢查清單2023/8/356Windows安全設置利用win2000的安全配置工具來配置策略關閉不必要的服務關閉不必要的端口打開審核策略策略設置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權使用成功，失敗審核系統(tǒng)事件成功，失敗2023/9/1157Windows安全設置利用win2000的安全配置工具來配Windows安全設置開啟密碼密碼策略策略設置密碼復雜性要求啟用密碼長度最小值6位強制密碼歷史5次強制密碼歷史42天開啟帳戶策略策略設置復位帳戶鎖定計數(shù)器20分鐘帳戶鎖定時間20分鐘帳戶鎖定閾值3次設定安全記錄的訪問權限安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統(tǒng)帳戶才有權訪問2023/9/1158Windows安全設置開啟密碼密碼策略2023/8/358Windows安全設置把敏感文件存放在另外的文件服務器中不讓系統(tǒng)顯示上次登陸的用戶名禁止建立空連接到微軟網(wǎng)站下載最新的補丁程序關閉DirectDraw關閉默認共享禁止dumpfile的產(chǎn)生2023/9/1159Windows安全設置把敏感文件存放在另外的文件服務器中2Windows安全設置使用文件加密系統(tǒng)EFS加密temp文件夾鎖住注冊表關機時清除掉頁面文件禁止從軟盤和CDRom啟動系統(tǒng)考慮使用智能卡來代替密碼考慮使用IPSec2023/9/1160Windows安全設置使用文件加密系統(tǒng)EFS2023/8/習題二標識與鑒別機制、訪問控制機制的關系自主訪問控制與強制訪問控制之間的異同點安全審計機制是事后分析機制，優(yōu)點？最小特權管理？2023/9/1161習題二標識與鑒別機制、訪問控制機制的關系2023/8/361第三章操作系統(tǒng)安全模型安全需求：機密性、完整性、可追究性和可用性；訪問控制策略和訪問支持策略安全策略模型和安全模型安全模型的目標——明確表達安全需求，為設計開發(fā)安全系統(tǒng)提供方針；2023/9/1162第三章操作系統(tǒng)安全模型安全需求：機密性、完整性、可追究性和安全模型的特點精確、無歧義易理解一般性是安全策略的顯示表示安全模型分為形式化的安全模型和非形式化的安全模型；2023/9/1163安全模型的特點2023/8/363主要安全模型介紹Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型無干擾模型2023/9/1164主要安全模型介紹2023/8/3643.1Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一個計算機多級安全模型之一，是對應軍事類型安全密級分類的計算機操作系統(tǒng)模型是第一個可證明的安全系統(tǒng)的數(shù)學模型，實際上是一個形式化的狀態(tài)機模型；包括有兩部分安全策略：自主安全策略和強制安全策略；2023/9/11653.1Bell-LaPadula模型是1973年D.El一個基本安全等級分類系統(tǒng)（例），其中：S為主體，O為客體第3層絕密S1

O1（O1A，O1B，O1C）第2層機密S2

O2（O2A，O2B）第1層秘密S3

O3（O3A，O3B，O3C）第0層內(nèi)部S4

O4（O4A，O4B，O4C）則上述基本安全等級分類系統(tǒng)可以用以下的簡單安全條件、*-屬性以及基本安全定理描述簡單安全條件：當且僅當O所處層次<=S所處層次時，S可以讀O，即S對O具有自主型讀權限*-屬性：當且僅當O所處層次>=S所處層次時，S可以寫O，即S對O具有自主型寫權限基本安全定理：設系統(tǒng)的初始安全狀態(tài)為б0，T是狀態(tài)轉(zhuǎn)換集合，如果T中的每個元素都遵守簡單安全條件和*-屬性，那么，對于每個i>=0,狀態(tài)бi都是安全的。2023/9/1166一個基本安全等級分類系統(tǒng)（例），其中：S為主體，O為客體20Bell-LaPadula模型（續(xù)）形式化描述定義S為主體集合；O為客體集合；A={r,w,a,e}={a}為訪問權限集合,其中，r為讀、w為讀/寫，a為寫、e為執(zhí)行M為訪問控制矩陣集合，C為安全許可集合，K為類別集合F={(fs,fo,fc)}，為安全等級三元組集合，其中，fs表示主體的最高安全等級，fc表示主體的當前安全等級，fo表示客體的安全等級H表示當前客體的樹型結構，V為系統(tǒng)狀態(tài)集合，R為訪問請求集合；D={y,n,i,o}為請求結果集合，其中y表示請求被允許，n表示請求被拒絕，i表示請求非法，o表示出錯P表示狀態(tài)轉(zhuǎn)換規(guī)則WR×V×D×V,為系統(tǒng)行為集合。2023/9/1167Bell-LaPadula模型（續(xù)）形式化描述2023/8/Bell-LaPadula模型（續(xù)）幾個重要公理：簡單安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定義了一系列的狀態(tài)轉(zhuǎn)換規(guī)則和10條重要定理；特點：支持的是信息的保密性；是通過防止非授權信息的擴散來保證系統(tǒng)的安全；不能防止非授權修改系統(tǒng)信息。2023/9/1168Bell-LaPadula模型（續(xù)）幾個重要公理：2023/Biba模型1977年提出的第一個完整性安全模型；對系統(tǒng)每個主體和每個客體分配一個完整級別（包含兩部分——密級和范疇）；安全策略分為非自主策略與自主策略；優(yōu)點：簡單、可能可以和BLP模型相結合。不足之處：完整標簽確定的困難性；在有效保護數(shù)據(jù)一致性方面是不充分的；不能抵御病毒攻擊，難以適應復雜應用；2023/9/1169Biba模型1977年提出的第一個完整性安全模型；2023/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構事務（well-formaltransaction）優(yōu)點：能有效表達完整性的3個目標；久經(jīng)考驗的商業(yè)方法；局限性：性能問題；不利于把對數(shù)據(jù)的控制策略從數(shù)據(jù)項中分離；沒有形式化；2023/9/1170Clark－Wilson完整性模型1987年DavidCl中國墻模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構事務（well-formaltransaction）優(yōu)點：能有效表達完整性的3個目標；久經(jīng)考驗的商業(yè)方法；局限性：性能問題；不利于把對數(shù)據(jù)的控制策略從數(shù)據(jù)項中分離；沒有形式化；2023/9/1171中國墻模型1987年DavidClark和DavidWi其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異很小，但是能識別隱蔽通道；基于角色的存取控制（RBAC）模型提供一種強制存取控制機制；經(jīng)過發(fā)展，已經(jīng)形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定義表和域交互表組成，依據(jù)主體域和客體類型來決定訪問權限；2023/9/1172其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.Meseguer提出的基于自動機理論和域隔離的安全系統(tǒng)事項方法；總結：安全模型是建立安全操作系統(tǒng)的一個基本要求；多級安全系統(tǒng)中最廣泛的模型是BLP機密性安全模型等，這些模型都各具特點；2023/9/1173其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.2、安全機制一個操作系統(tǒng)的安全性從以下幾個方面考慮：物理上分離時間上分離邏輯上分離密碼上分離2023/9/11742、安全機制一個操作系統(tǒng)的安全性從以下幾個方面考慮：2023安全機制（續(xù)）操作系統(tǒng)安全的主要目標：依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存??；標識系統(tǒng)中的用戶并進行身份鑒別；監(jiān)督系統(tǒng)運行的安全性；保證系統(tǒng)自身的安全性和完整性；2023/9/1175安全機制（續(xù)）操作系統(tǒng)安全的主要目標：2023/8/375安全機制（續(xù)）操作系統(tǒng)安全的相應機制：硬件安全機制標識與鑒別存取控制最小特權管理可信通路安全審計2023/9/1176安全機制（續(xù)）操作系統(tǒng)安全的相應機制：2023/8/376UNIX/Linux安全機制標識/etc/passwd和/etc/shadow中保存了用戶標識和口令；root用戶鑒別存取控制存取權限：可讀、可寫、可執(zhí)行；改變權限：特殊權限位：SUID和SGID；2023/9/1177UNIX/Linux安全機制標識2023/8/377UNIX/Linux安全機制（續(xù)）審計日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等審計服務程序：syslogd；網(wǎng)絡安全性：有選擇地允許用戶和主機與其他主機的連接；網(wǎng)絡監(jiān)控和入侵檢測：LIDS等；備份/恢復：實時備份、整體備份、增量備份；2023/9/1178UNIX/Linux安全機制（續(xù)）審計2023/8/3783、安全模型安全需求：機密性、完整性、可追究性和可用性；訪問控制策略和訪問支持策略安全策略模型和安全模型安全模型的目標——明確表達安全需求，為設計開發(fā)安全系統(tǒng)提供方針；2023/9/11793、安全模型安全需求：機密性、完整性、可追究性和可用性；20安全模型（續(xù)）安全模型的特點精確、無歧義易理解一般性是安全策略的顯示表示安全模型分為形式化的安全模型和非形式化的安全模型；2023/9/1180安全模型（續(xù)）安全模型的特點2023/8/380安全模型（續(xù)）主要安全模型介紹Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型無干擾模型2023/9/1181安全模型（續(xù)）主要安全模型介紹2023/8/381Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一個計算機多級安全模型之一；是第一個可證明的安全系統(tǒng)的數(shù)學模型，實際上是一個形式化的狀態(tài)機模型；包括有兩部分安全策略：自主安全策略和強制安全策略；2023/9/1182Bell-LaPadula模型是1973年D.ElliotBell-LaPadula模型（續(xù)）幾個重要公理：簡單安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定義了一系列的狀態(tài)轉(zhuǎn)換規(guī)則和10條重要定理；特點：支持的是信息的保密性；是通過防止非授權信息的擴散來保證系統(tǒng)的安全；不能防止非授權修改系統(tǒng)信息。2023/9/1183Bell-LaPadula模型（續(xù)）幾個重要公理：2023/Biba模型1977年提出的第一個完整性安全模型；對系統(tǒng)每個主體和每個客體分配一個完整級別（包含兩部分——密級和范疇）；安全策略分為非自主策略與自主策略；優(yōu)點：簡單、可能可以和BLP模型相結合。不足之處：完整標簽確定的困難性；在有效保護數(shù)據(jù)一致性方面是不充分的；不能抵御病毒攻擊，難以適應復雜應用；2023/9/1184Biba模型1977年提出的第一個完整性安全模型；2023/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意義的完整性模型；核心：良構事務（well-formaltransaction）優(yōu)點：能有效表達完整性的3個目標；久經(jīng)考驗的商業(yè)方法；局限性：性能問題；不利于把對數(shù)據(jù)的控制策略從數(shù)據(jù)項中分離；沒有形式化；2023/9/1185Clark－Wilson完整性模型1987年DavidCl其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異很小，但是能識別隱蔽通道；基于角色的存取控制（RBAC）模型提供一種強制存取控制機制；經(jīng)過發(fā)展，已經(jīng)形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定義表和域交互表組成，依據(jù)主體域和客體類型來決定訪問權限；2023/9/1186其他模型信息流模型是存取控制模型的變形，與存取控制模型的差異其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.Meseguer提出的基于自動機理論和域隔離的安全系統(tǒng)事項方法；總結：安全模型是建立安全操作系統(tǒng)的一個基本要求；多級安全系統(tǒng)中最廣泛的模型是BLP機密性安全模型等，這些模型都各具特點；2023/9/1187其他模型（續(xù)）無干擾模型是1982年J.Goguen和J.3、安全體系結構安全體系結構的含義：詳細描述系統(tǒng)中安全相關的所有方面；在一定的抽象層次上描述各個安全相關模塊之間的關系；提出指導設計的基本原理；提出開發(fā)過程的基本框架及對應于該框架體系的層次結構；兩個參考標準：TCSEC和CC兩個安全體系：Flask體系和權能體系2023/9/11883、安全體系結構安全體系結構的含義：2023/8/388安全體系結構類型美國國防部的目標安全體系（DoDGoalSecurityArchitecture）中把安全體系分為：抽象體系（AbstractArchitecture）通用體系（GenericArchitecture）邏輯體系（LogicalArc