《操作系統(tǒng)安全技術(shù)》

操作系統(tǒng)平安技術(shù)第6講.本章要點操作系統(tǒng)是信息平安技術(shù)體系中重要的組成局部，針對GB17859-1999關于信息系統(tǒng)平安保護的要求，本章介紹操作系統(tǒng)應該具有的平安技術(shù)措施。GB/T20272-2006信息平安技術(shù)操作系統(tǒng)平安技術(shù)要求2.一、操作系統(tǒng)平安概述1、操作系統(tǒng)平安的含義計算機操作系統(tǒng)的主要功能是進行計算機資源管理和提供用戶使用計算機的界面。用戶資源可以歸結(jié)為以文件形式表示的數(shù)據(jù)信息資源，系統(tǒng)資源包括系統(tǒng)程序和系統(tǒng)數(shù)據(jù)以及為管理計算機硬件資源而設置的各種表格。對操作系統(tǒng)中資源的保護，實際上是對操作系統(tǒng)中文件的保護。操作系統(tǒng)的平安保護的功能要求，需要從操作系統(tǒng)的平安運行和操作系統(tǒng)數(shù)據(jù)的平安保護兩方面。操作系統(tǒng)的平安主要通過身份鑒別、自主訪問控制、標記和強制訪問控制、數(shù)據(jù)流控制、審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等幾方面來實現(xiàn)系統(tǒng)的平安需要〔GB17859和GB/T20271〕。實現(xiàn)各種類型的操作系統(tǒng)平安需要的所有平安技術(shù)稱為操作系統(tǒng)平安技術(shù)。操作系統(tǒng)平安子系統(tǒng)〔SSOOS，SecuritySubsystemOfOperatingSystem〕，是操作系統(tǒng)的可信計算基〔TCB〕，指把操作系統(tǒng)中硬件、固件、軟件和負責執(zhí)行平安策略的所有相關的平安保護裝置。3.一、操作系統(tǒng)平安概述2、操作系統(tǒng)平安的組成操作系統(tǒng)的平安，應該從平安功能和平安保證兩方面綜合考慮。每一等級的信息系統(tǒng)，都有不同的平安功能要求和平安保證措施。圖6.1表示了操作系統(tǒng)平安技術(shù)要求的組成及相互關系。4.一、操作系統(tǒng)平安概述3、操作系統(tǒng)的主體與客體在操作系統(tǒng)中，每一個實體成分都必須是主體或客體，或者既是主體又是客體。主體是一個主動的實體，它包括用戶、用戶組、進程等。系統(tǒng)中最根本的主體是用戶，系統(tǒng)中的所有事件，幾乎都是由用戶激發(fā)的。用戶的所有事件都要通過運行進程來處理。進程是用戶的客體，但又是訪問對象的主體。客體是一個被動的實體。在操作系統(tǒng)中，客體可以是按一定格式存儲在記錄介質(zhì)中的數(shù)據(jù)信息〔文件〕，也可以是操作系統(tǒng)中的進程。訪問控制等平安措施都是由主體對客體實施操作完成的。5.二、操作系統(tǒng)平安的技術(shù)要求身份鑒別訪問控制平安審計用戶數(shù)據(jù)的完整性和保密性可信路徑6.1、身份鑒別身份鑒別包括對用戶的身份進行標識和鑒別。用戶標識〔1〕凡需進入操作系統(tǒng)的用戶，應先進行標識，即建立賬號；〔2〕操作系統(tǒng)用戶標識一般使用用戶名和用戶標識符〔UID〕。用戶鑒別〔1〕采用口令進行鑒別，并在每次用戶登錄系統(tǒng)時進行鑒別；〔2〕通過對不成功的鑒別嘗試的值進行預先定義，并明確規(guī)定到達該值時應該采取的措施公平實現(xiàn)鑒別失敗的處理。用戶主體行為綁定〔1〕用戶進程與所有者相關聯(lián)，進程行為可追溯到進程的所有者；〔2〕進程與當前效勞要求者相關聯(lián)，系統(tǒng)進程行為可追溯到效勞的要求者。二、操作系統(tǒng)平安的技術(shù)要求7.2、訪問控制訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的平安機制。訪問控制也是信息平安理論根底的重要組成局部。本章講述訪問控制的原理、作用、分類和研究前沿，重點介紹較典型的自主訪問控制、強制訪問控制和基于角色的訪問控制。〔1〕訪問控制原理訪問控制機制將根據(jù)預先設定的規(guī)那么對用戶訪問某項資源〔目標〕進行控制，只有規(guī)那么允許時才能訪問，違反預定的平安規(guī)那么的訪問行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫或者執(zhí)行。二、操作系統(tǒng)平安的技術(shù)要求8.2、訪問控制〔2〕自主訪問控制〔〔DiscretionaryAccessControl，DAC〕自主訪問控制就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。主體、客體以及相應的權(quán)限組成系統(tǒng)的訪問控制矩陣。在訪問控制矩陣中，每一行表示一個主體的所有權(quán)限；每一列那么是關于一個客體的所有權(quán)限；矩陣中的元素是該元素所在行對應的主體對該元素所在列對應的客體的訪問權(quán)限。訪問控制表〔AccessControlList，ACL〕是基于訪問控制矩陣中列的自主訪問控制。它在一個客體上附加一個主體明晰表，來表示各個主體對這個客體的訪問權(quán)限。訪問能力表〔AccessCapabilitiesList〕是最常用的基于行的自主訪問控制。能力〔capability〕是為主體提供的、對客體具有特定訪問權(quán)限的不可偽造的標志，它決定主體是否可以訪問客體以及以什么方式訪問客體。二、操作系統(tǒng)平安的技術(shù)要求9.2、訪問控制〔3〕強制訪問控制〔MandatoryAccessControl，MAC〕強制訪問控制系統(tǒng)為所有的主體和客體指定平安級別，比方絕密級、機密級、秘密級和無密級。不同級別標記了不同重要程度和能力的實體。不同級別的主體對不同級別的客體的訪問是在強制的平安策略下實現(xiàn)的。實體的平安級別是由敏感標記〔SensitivityLabel〕來表示，是表示實體平安級別的一組信息，在平安機制中把敏感標記作為強制訪問控制決策的依據(jù)。〔4〕基于角色的訪問控制〔RoleBasedAccessControl，RBAC〕在基于角色的訪問控制模式中，用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限。系統(tǒng)按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。一個主體可以同時擔任多個角色?；诮巧脑L問控制就是通過各種角色的不同搭配授權(quán)來盡可能實現(xiàn)主體的最小權(quán)限〔最小授權(quán)指主體在能夠完成所有必需的訪問工作根底上的最小權(quán)限〕。授權(quán)管理的控制途徑：改變客體的訪問權(quán)限改變角色的訪問權(quán)限改變主體所擔任的角色。二、操作系統(tǒng)平安的技術(shù)要求10.3、平安審計平安審計是指在一個信息系統(tǒng)中以維護系統(tǒng)平安為目的的審計，即為了保障系統(tǒng)、網(wǎng)絡和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控系統(tǒng)中每一個組成局部的狀態(tài)、平安事件，以便集中報警、分析、處理的一種技術(shù)手段。平安審計功能應與身份鑒別、自主訪問控制、標記和強制訪問控制及完整性控制等平安功能緊密結(jié)合。提供對受保護客體訪問的審計跟蹤功能，保護審計記錄不被未授權(quán)訪問、修改和破壞。提供可選擇的審計事件，生成的審計日志可管理。二、操作系統(tǒng)平安的技術(shù)要求11.4、用戶數(shù)據(jù)的完整性和保密性在平安功能控制范圍內(nèi)。為主體和客體設置完整性標簽，并建立完整性保護策略模型，保護用戶數(shù)據(jù)在存儲、傳輸和處理過程中的完整性。提供硬盤數(shù)據(jù)的備份和修復功能，可將硬盤中的數(shù)據(jù)壓縮和備份，并在必要時恢復。確保硬盤數(shù)據(jù)的授權(quán)使用，保證系統(tǒng)內(nèi)各個用戶之間互不干擾。5、可信路徑在第四級和第五級平安系統(tǒng)中，要求提供用戶初始登錄/鑒別時的可信路徑，在SSOOS與用戶間建立一條平安的信息傳輸通路。二、操作系統(tǒng)平安的技術(shù)要求12.1、Windows的平安模型與根本概念〔1〕平安模型Windows的平安模型由以下幾個關鍵局部構(gòu)成：1〕登錄過程〔LogonProcess，LP〕。接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。2〕本地平安授權(quán)機構(gòu)〔LocalSecurityAuthority，LSA〕。根據(jù)平安賬號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個平安子系統(tǒng)的核心。3〕平安賬號管理器〔SecurityAccountManager，SAM〕。維護賬號的平安性管理數(shù)據(jù)庫〔SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫〕。4〕平安引用監(jiān)視器〔SecurityReferenceMonitor，SRM〕。檢查存取合法性，防止非法存取和修改。三、Windows2003的訪問控制13.1、Windows的平安模型與根本概念〔2〕平安概念1〕平安標識〔SecurityIdentifier，SID〕：是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創(chuàng)立該帳戶時，將給網(wǎng)絡上的每一個帳戶發(fā)布一個唯一的SID。平安標識和賬號唯一對應，在賬號創(chuàng)立時創(chuàng)立，賬號刪除時刪除，而且永不再用。平安標識與對應的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。2〕訪問令牌〔AccessToken〕。當用戶登錄時，本地平安授權(quán)機構(gòu)為用戶創(chuàng)立一個訪問令牌，包括用戶名、所在組、平安標識等信息。以后，用戶的所有程序都將擁有訪問令牌的拷貝。3〕主體。用戶登錄到系統(tǒng)之后，本地平安授權(quán)機構(gòu)為用戶構(gòu)造一個訪問令牌，這個令牌與該用戶所有的操作相聯(lián)系，用戶進行的操作和訪問令牌一起構(gòu)成一個主體。4〕對象、資源、共享資源。對象的實質(zhì)是封裝了數(shù)據(jù)和處理過程的一系列信息集合體。資源是用于網(wǎng)絡環(huán)境的對象。共享資源是在網(wǎng)絡上共享的對象。5〕平安描述符〔SecurityDescript〕。Windows系統(tǒng)中共享資源的平安特性描述，包含了該對象的一組平安屬性，分為所有者平安標識、組平安標識〔GroupSecurity〕、自主訪問控制表〔DiscretionaryAccessControlList，DAC〕、系統(tǒng)訪問控制表〔ACL〕四個局部。三、Windows2003的訪問控制14.2、Windows的訪問控制過程當一個賬號被創(chuàng)立時，Windows系統(tǒng)為它分配一個SID，并與其他賬號信息一起存入SAM數(shù)據(jù)庫。用戶登錄管理。登錄主機〔通常為工作站〕的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的效勞器／域信息送給平安賬號管理器，平安賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進行比較，如果匹配，效勞器發(fā)給工作站允許訪問的信息，并返回用戶的平安標識和用戶所在組的平安標識，工作站系統(tǒng)為用戶生成一個進程。效勞器還要記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息。本地平安授權(quán)機構(gòu)為用戶創(chuàng)立訪問令牌，包括用戶名、所在組、平安標識等信息。此后用戶每新建一個進程，都將訪問令牌復制作為該進程的訪問令牌。用戶訪問進程管理。平安引用監(jiān)視器將用戶/進程的訪問令牌中的SID與對象平安描述符中的自主訪問控制表進行比較，從而決定用戶是否有權(quán)訪問對象。三、Windows2003的訪問控制15.2、Windows的訪問控制過程權(quán)限〔Permission〕：精確定制用戶對資源的訪問控制能力。權(quán)限管理原那么〔1〕拒絕優(yōu)于允許原那么〔2〕權(quán)限最小化原那么〔3〕權(quán)限繼承性原那么〔4〕累加原那么“拒絕優(yōu)于允許〞原那么是用于解決權(quán)限設置上的沖突問題；“權(quán)限最小化〞原那么是用于保障資源平安；“權(quán)限繼承性〞原那么是用于“自動化〞執(zhí)行權(quán)限設置的；而“累加原那么〞那么是讓權(quán)限的設置更加靈活多變。資源權(quán)限的應用：依據(jù)是否被共享到網(wǎng)絡，其權(quán)限可以分為NTFS權(quán)限〔本地權(quán)限〕與共享權(quán)限兩種。NTFS的標準訪問權(quán)限：“套餐型〞的權(quán)限，即：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入。圖6.5NTFS的“特別權(quán)限〞〔“高級〞選項〕，允許用戶進行細化權(quán)限選擇。圖6.6三種共享權(quán)限：完全控制、更改、讀取。三、Windows2003的訪問控制資源復制或移動時權(quán)限的變化在權(quán)限的應用中，設置了權(quán)限后的資源需要復制或者是移動，資源的權(quán)限會發(fā)生變化：〔1〕復制資源在復制資源時，原資源的權(quán)限不會發(fā)生變化，而新生成的資源，將繼承其目標位置父級資源的權(quán)限?！?〕移動資源在移動資源時，如果資源的移動發(fā)生在同一驅(qū)動器內(nèi)，那么對象將保存本身原有的權(quán)限不變〔包括資源本身權(quán)限及從父級資源中繼承的權(quán)限〕；假設資源的移動發(fā)生在不相同的驅(qū)動器之間，那么不僅對象本身的權(quán)限會喪失，而且原先從父級資源中繼承的權(quán)限也會被從目標位置的父級資源繼承的權(quán)限所替代。實際上，移動操作就是進行資源的復制、然后從原有位置徹底刪除資源的操作?！?〕非NTFS分區(qū)復制或移動資源時，如果將資源復制或移動到非NTFS分區(qū)上，那么所有的權(quán)限均會自動全部喪失。16.3、Windows的加密文件系統(tǒng)概念及功能：Windows的加密文件系統(tǒng)〔EncryptingFileSystem，EFS〕提供一種核心文件加密技術(shù)，該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲基于指定用戶SID等信息加密的文件。對加密該文件的用戶，加密是透明的。使用要求：〔1〕只有NTFS卷上的文件或文件夾才能被加密?！?〕被壓縮的文件或文件夾不可以加密。〔3〕如果將加密的文件復制或移動到非NTFS格式的卷上，該文件將會自動解密?！?〕如果將非加密文件移動到加密文件夾中，那么這些文件將在新文件夾中自動加密?！?〕無法加密標記為“系統(tǒng)〞屬性的文件，并且位于%systemroot%目錄結(jié)構(gòu)中的文件也無法加密?！?〕加密文件夾或文件不能防止刪除或列出文件或文件夾表?！?〕WebDAV基于HTTP1.1，可在本地加密文件并采用加密格式發(fā)送。三、Windows2003的訪問控制17.1、平安審計概述審計是對訪問控制的必要補充，是訪問控制的一個重要內(nèi)容。審計會對用戶使用何種信息資源、使用的時間，以及如何使用〔執(zhí)行何種操作〕進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)平安的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責任追查和數(shù)據(jù)恢復非常有必要。審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。審計跟蹤可以發(fā)現(xiàn)違反平安策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，同時還能幫助恢復數(shù)據(jù)。四、平安審計技術(shù)18.2、平安審計的內(nèi)容審計跟蹤可以實現(xiàn)多種平安相關目標，包括個人職能、事件重建、入侵檢測和故障分析。1〕個人職能〔individualaccountability〕審計跟蹤是管理人員用來維護個人職能的技術(shù)手段。如果用戶被知道他們的行為活動被記錄在審計日志中，相應的人員需要為自己的行為負責，他們就不太會違反平安策略和繞過平安控制措施。2〕事件重建〔reconstructionofevents〕在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復。3〕入侵檢測〔intrusiondetection〕審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預防入侵檢測活動。4〕故障分析〔problemanalysis〕審計跟蹤可以用于實時審計或監(jiān)控。四、平安審計技術(shù)19.3、平安審計的目標計算機平安審計機制的目標如下：1)應為平安人員提供足夠多的信息，使他們能夠定位問題所在；但另一方面，提供的信息應缺乏以使他們自己也能夠進行攻擊。2)應優(yōu)化審計追蹤的內(nèi)容，以檢測發(fā)現(xiàn)的問題，而且必須能從不同的系統(tǒng)資源收集信息。3)應能夠?qū)σ粋€給定的資源(其他用戶也被視為資源)進行審計分析，分辨看似正常的活動，以發(fā)現(xiàn)內(nèi)部計算機系統(tǒng)的不正當使用；4)設計審計機制時，應將系統(tǒng)攻擊者的策略也考慮在內(nèi)。概括而言，審計系統(tǒng)的目標至少包括：確定和保持系統(tǒng)活動中每個人的責任；確認重建事件的發(fā)生；評估損失；臨測系統(tǒng)問題區(qū)；提供有效的災難恢復依據(jù)；提供阻止不正當使用系統(tǒng)行為的依據(jù)；提供案件偵破證據(jù)。四、平安審計技術(shù)20.4、平安審計的系統(tǒng)審計通過對所關心的事件進行記錄和分析來實現(xiàn)，含以下幾局部。1〕日志的內(nèi)容日志應包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)、事件和源和目的的位置、事件類型、事件成敗等。2)平安審計的記錄機制不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。3〕平安審計分析通過對日志進行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是平安審計的根本目的。主要內(nèi)容有：潛在侵害分析、基于異常檢測的輪廓、攻擊探測。4〕審計事件查閱由于審計系統(tǒng)是追蹤、恢復的直接依據(jù)，甚至是司法依據(jù)，因此其自身的平安性十分重要。審計系統(tǒng)的平安主要是查閱和存儲的平安。審計事件的查閱應該受到嚴格的限制，不能篡改日志。5〕審計事件存儲審計事件的存儲也有平安要求，主要有審計數(shù)據(jù)的可用性保證和防止喪失。四、平安審計技術(shù)21.5、Windows2003平安審計實例〔1〕翻開平安審核Windows2003的平安審計功能在默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等。配置步驟如下：“開始〞“設置〞“控制面板〞“管理工具〞“本地平安策略〞，選擇“本地策略〞中的“審核策略〞。四、平安審計技術(shù)22.5、Windows2003平安審計實例〔2〕審計子系統(tǒng)結(jié)構(gòu)Windows系統(tǒng)中的每一項事務都可以在一定程度上被審計，可以在“資源管理器〞和“管理工具〞“本地平安策略〞翻開審計功能。在“資源管理器〞中，選擇右鍵菜單中的屬性平安高級，再選擇“審核〞以激活目錄審核對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。左圖在“本地平安策略〞中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略。左圖四、平安審計技術(shù)23.5、Windows2003平安審計實例〔3〕查看日志W(wǎng)indows的日志文件很多，但主要是系統(tǒng)日志、應用程序日志和平安日志三個。這三個審計日志是審計一個Windows系統(tǒng)的核心，所有可被審計的事件都存入了其中的一個日志。使用事件查看器的查看日志。1〕系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比方跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。2〕應用程序日志。跟蹤應用程序關聯(lián)的事件，比方應用程序產(chǎn)生的象裝載dll〔動態(tài)鏈接庫〕失敗的信息將出現(xiàn)在日志中。3〕平安日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關閉。注意：平安日志的默認狀態(tài)是關閉的。四、平安審計技術(shù)24.5、Windows2003平安審計實例〔4〕審計日志和記錄格式Windows的審計日志由一系列的事件記錄組成。每一個事件記