计算机系统安全

第2讲 计算机系统安全杨 明紫金学院计算机系网络信息安全2021-11-24内容n操作系统的访问控制n操作系统的安全级别nWindows NT的安全机制计算机系统安全n操作系统n运行于裸机之上的第一层系统软件n提供人机接口n管理和控制计算机资源操作系统提供哪些安全服务？n操作系统的安全措施n标识系统中的用户，并对身份进行鉴别n资源的访问控制n事件跟踪与安全审计n日志：记录的事件或统计数据n审计是一种事后分析法，一般通过对日志的分析来完成n安全审计对系统中有关安全的活动进行记录、检查及审核，认定违反安全规则的行为用户标识与账号n标识标识：用户要向系统表明的身份n用户名、登录ID、身份证号或智能卡n应当具有唯一性，不能被伪造身份认证的方法n证实自己所知道的n例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等n出示自己所拥有的n例如智能卡n证明自己是谁n例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等n表现自己的动作n例如签名、键入密码的速度与力量、语速等等系统的访问控制机制n访问控制的概念n身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式访问。n访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。n访问控制是建立在身份认证之上的操作权限控制。访问控制的基本概念n访问控制模型n主体使用某种特定的访问操作去访问一个被动的客体，所使用的特定的访问操作受访问监视器控制。身份认证身份认证 访问监视器访问监视器 访问请求访问请求 权限权限 授权服务器授权服务器 审计审计 主体主体客体客体 访问权限的概念nBell-LaPadula安全模型n在基本层面上， BLP模型定义了两种访问方式：n 观察（Observe）：查看客体的内容。 n 改变（Alter）：改变客体的内容。 n在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。 执行执行添加添加读读写写查查 看看 改改 变变 Unix系统的访问权限nUnix的访问控制权限n读（read）、写（write）、执行（execute）。 用于文件用于文件用于目录用于目录读读从一个文件读从一个文件读列出目录内容列出目录内容写写写进一个文件写进一个文件创建或重命名目录中的一个文创建或重命名目录中的一个文件件执行执行执行一个（程序）文件执行一个（程序）文件搜索目录搜索目录访问控制的实施策略n目的n访问权限的组织和授权方式n确保主体对客体的访问是经过授权的n拒绝非授权的访问n主要的访问控制机制n自主访问控制（DAC）n强制访问控制（MAC）自主访问控制n基本机制n拥有资源的一定访问权限的主体，在其拥有的资源范围内，可以自主地直接或间接地将权限传给其他主体，或者收回访问权限。n这是目前计算机系统中应用最广泛的一种策略，Unix和Windows系统都是采用自主型的访问控制策略。nDAC的优点是应用灵活。缺点是权限传递很容易造成漏洞，所以其安全级别比较低，不太适合网络环境。 强制访问控制n基本机制n系统（系统管理员）给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性。n主体和客体被赋予一定的安全级别n当用户提出访问请求时，系统对主、客体的安全属性进行比较，来决定该主体是否可以对所请求的客体进行访问。n MAC主要用于多层次安全级别的系统（如军事系统）中。强制访问控制n在典型的应用中，MAC使用两种访问控制关系n下读原则：主体安全级别客体安全级别可读n上写原则：主体安全级别客体安全级别可写n下读/上写用来保证数据机密性。n上级领导可以看下级的资料；n而下级不能看上级的资料，但可以向上级写资料。 n MAC特点n比DAC具有更强的访问控制能力。n实现的工作量大，管理不便，不够灵活。 操作系统评估标准n可信计算机评估准则n1983年美国“可信计算机标准评价准则”(TCSEC)n1991年，欧洲国家联合提出欧洲“信息技术安全评估准则”（ITSEM）n1996年，信息技术安全评价通用准则19931993年加拿大可年加拿大可信计算机产品评信计算机产品评估准则估准则19911991年欧洲信息年欧洲信息技术安全评测估技术安全评测估准则准则19911991年美国联邦年美国联邦政府评测标准政府评测标准19831983年美国国防年美国国防部可信计算机评部可信计算机评估准则估准则19961996年国际通用年国际通用准则（准则（CCCC）19991999年年CCCC成为成为国际标准国际标准 操作系统的安全等级 n美国国防部的“可信计算机系统评估准则（TCSEC）”操作系统的安全级别D级C级B级A级C1级C2级B1级 B2级 B3级安全级别低高D级n特征n最低的安全保护等级n没有系统访问限制和数据访问限制n计算机系统是不可信的n例nDOSnWindowsnMacintosh system 7.1C级nC级：选择性安全保护系统n有两个安全子级别：C1和C2。nC1级n对硬件有某种程度的保护：用户拥有注册账号和口令n系统通过账户和口令控制用户对系统和数据的访问n设置超级用户或系统管理员，具有完全的系统控制权nC1级用户能直接访问超级用户nC1级不能控制进入用户的访问级别C级nC2级n包含C1级特性n有控制的存取保护，能限制用户执行某些命令或访问某些文件的权限。n增加了身份验证级别，非超级用户可执行系统管理任务n事件日志和审计n授权n例nUNIX，Novell3.x，Lixnux，Windows NT，Windows 2000 serverB级nB级n属强制保护n要求数据中带有标记，提供对数据流的监视n分为B1，B2，B3三个级别nB1级n标识安全保护n支持多级安全（秘密和绝密）的第一个级别n系统不允许拥有者改变其许可权限n例： AT&T System V，SolarisB级nB2级n结构保护n要求计算机系统中所有的对象都加标签n给设备（磁盘、磁带）分配安全级别n提供高安全级别与低安全级别的相互通信nB3级n安全域n使用安装硬件的方式来加强安全区保护n提供可信设备的管理与恢复A级n最高安全级别n包括一个严格的设计、控制和验证过程n包括较低级别的所有特性n设计必须从数学角度经过验证n还必须经过秘密通道和可信分布的分析它的安全保护机制使用户具备自主安全保护的能它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。力，保护用户的信息免受非法的读写破坏。我国安全标准简介我国安全标准简介除具备第一级所有的安全保护功能外，要求创建除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。己的行为的合法性负责。我国安全标准简介除继承前一个级别的安全功能外，还要求以访问除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护现对访问对象的强制保护我国安全标准简介在继承前面安全级别安全功能的基础上，将安全保护机在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力访问者对访问对象的存取，从而加强系统的抗渗透能力我国安全标准简介这一个级别特别增设了访问验证功能，负责仲裁访问者这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动对访问对象的所有访问活动Windows 系统的安全架构v 账号v 指纹v 视网膜v IC卡v 证书根据获得的标识信息验证客户的身份设置不同对象的访问权限（ACL）根据用户标识和对象的ACL进行访问控制对整个过程（标识鉴别、对象授权、访问控制）进行审核Ctrl+Del+AltWindows 系统的强制登录Windows文件权限特性文件权限特性n只有管理员可以设置文件系统权限n可以添加/修改/删除/需要设置的用户n可以修改用户的权限n拒绝的优先级别高于允许Windows的拒绝访问Windows文件数据加密特性数据加密特性Windows系统的审计特性审计特性 小结n 操作系统的安全措施n标识系统中的用户，并对身份进行鉴别n资源的访问控制n事件跟踪与安全审计n可信计算机系统评估准则（TCSEC）nDCBAnWindows NT的安全机制