第6章操作系统的安全.ppt

6 1操作系统的安全问题 对操作系统安全的威胁 1 以OS为手段 获得授权以外的或未授权的信息 它危害信息系统的保密性和完整性 2 以OS为手段 阻碍计算机系统的正常运行或用户的正常使用 它危害了计算机系统的可用性 3 以OS为对象 破坏系统完成指定的功能 除了电脑病毒破坏系统正常运行和用户正常使用外 还有一些人为因素或自然因素 如干扰 设备故障和误操作也会影响软件的正常运行 4 以软件为对象 非法复制或非法使用 6 2操作系统的安全控制 设计一个安全的操作系统 从技术上讲有四种安全方法 如隔离控制 访问控制 信息加密和审计跟踪 操作系统采用的安全控制方法主要是隔离控制和访问控制 1 隔离控制 物理隔离 时间隔离 加密隔离 逻辑隔离 2 访问控制访问控制是操作系统的安全控制核心 访问控制是确定谁能访问系统 能访问系统何种资源以及在何种程度上使用这些资源 访问控制包括对系统各种资源的存取控制 6 2操作系统的安全控制 存取控制解决两个基本问题 一是访问控制策略 二是访问控制机构 访问控制策略是根据系统安全保密需求及实际可能而提出的一系列安全控制方法和策略 如 最小特权 策略 访问控制策略有多种 最常用的是对用户进行授权 访问控制机构则是系统具体实施访问控制策略的硬件 软件或固件 访问控制的三项基本任务 授权 确定访问权限 实施访问控制的权限 6 2操作系统的安全控制 从访问控制方式来说 访问控制可分为以下四种 1 自主访问控制 自主访问控制是一种普遍采用的访问控制手段 它使用户可以按自己的意愿对系统参数作适当修改 以决定哪些用户可以访问他们的系统资源 2 强制访问控制 强制访问控制是一种强有力的访问控制手段 它使用户与文件都有一个固定的安全属性 系统利用安全属性来决定一个用户是否可以访问某种资源 3 有限型访问控制 它对用户和资源进一步区分 只有授权的用户才能访问指定的资源 4 共享 独占型访问控制 它把资源分成 共享 和 独占 两种 共享 可以使资源为所有用户使用 独占 只能被资源所有者使用 6 2操作系统的安全控制 访问控制的重要内容之一是用户身份识别 而口令字验证又是是用户身份识别的主要内容 口令字验证应注意 在系统的问答题中尽量少透露系统 用户和口令字的信息 用户可以加上附加的约束 如限制使用的时间和地点 对口令字文件加密 口令字要有一定的范围和长度 并由操作系统随机地产生 应定期改变口令字 使用动态口令字 要选择容易记忆 但又难猜的口令 6 3自主访问控制 不要使用常用单词或名字 不要选用有特殊意义的口令 如生日 电话号码 银行帐号等 不要在不同的机器上使用相同的口令 不要将口令告诉他人或随便将口令手写在终端上 自主访问控制是指基于对主体及主体所属主体组的访问来控制对客体的访问 它是操作系统的基本特征之一 这种控制是自主的 自主是指具有授予某种访问权力的主体能够自主地将访问权或访问权的某个子集授予其它主体 6 3自主访问控制 6 3 l自主访问控制方法目前 操作系统实现自主访问控制不是利用整个访问控制矩阵 而是基于矩阵的行或列来表达访问控制信息 1 基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表 按照表内信息的不同 可以分为三种形式 1 权力表 也叫权能 它是实现访问控制的一种方法 2 前缀表 包括受保护的客体名以及主体对它的访问权 3 口令 口令机制是按行表示访问控制矩阵的 6 3自主访问控制 2 基于列的自主访问控制基于列的自主访问控制是对每个客体附加一份可访问它的主体的明细表 它有两种形式 1 保护位 保护位机制不能完备地表达访问控制矩阵 2 访问控制表 每个客体 对象 有一张访问控制表 记录该客体可被哪些主体访问以及访问的形式 6 3 2自主访问控制的访问类型自主访问控制机制中 有三种基本的控制模式 1 等级型2 有主型3 自由型 6 3自主访问控制 6 3 3自主访问控制的访问模式在自主访问控制机制的系统中 可使用的保护客体基本有两类 文件和目录 1 文件对文件常设置以下几种访问模式 1 Read Copy 允许主体对客体进行读与拷贝的访问操作 2 Write delete 允许主体用任何方式修改一个客体 3 Execute 允许主体将客体作为一种可执行文件而运行之 4 Null 表示主体对客体不具有任何访问权 6 3自主访问控制 2 目录每个主体 用户 有一个访问目录 该目录用于记录该主体可访问的客体 对象 以及访问的权限 然而用户本身却不能接触目录 目录常作为结构化文件或结构化段来实现 是否对目录设置访问模式 取决于系统是怎样利用树结构来控制访问操作的 对目录的访问模式可以分为读和写 扩展 1 Read 读 该模式允许主体看到目录实体 包括目录名 访问控制表以及该目录下的文件与目录的相应信息 2 Write EXpand 写 扩展 该访问模式允许主体在该目录下增加一个新的客体 也就是说 允许主体在该目录下生成与删除文件或子目录 6 4强制访问控制 1 特洛伊木马 的威胁一个 特洛伊木马 要进行攻击 一般需要以下条件 必须编写一段程序或修改一个已存在的程序来进行非法操作 而且这种非法操作不能令程序的使用者起任何怀疑 这个程序对使用者来说必须具有吸收力 必须使受害者能以某种方式访问到或得到这个程序 如将这个程序放在系统的根目录或公共目录中 必须使受害者运行这个程序 一般利用这个程序代替某个受害者常用的程序来使受害者不知不觉地使用它 受害者在系统中有一个合法的帐号 6 4强制访问控制 2 防止 特洛伊木马 的非法访问强制访问控制一般与自主访问控制结合使用 并实施一些附加的 更强的访问限制 一个主体只有通过了自主与强制访问控制检查后 才能访问某个客体 由于用户不能直接改变强制访问的控制属性 因此用户可以利用自主访问控制来防范其他用户对自己客体的攻击 强制访问控制则提供一个不可逾越的 更强的安全防护层 以防止其他用户偶然或故意滥用自主访问控制 要防止 特洛伊木马 偷窃某个文件 就必须采用强制访问控制手段 减少 特洛伊木马 攻击成功的可能性方法 1 限制访问控制的灵活性 2 过程控制 6 5存储器的保护 存储器保护负责保证系统内各任务之间互不干扰 存储器管理是为了更有效地利用存储空间 6 5 1存储器的保护方法首先要对存储单元的地址进行保护 使得非法用户不能访问那些受到保护的存储单元 其次要对被保护的存储单元提供各种类型的保护 最基本的保护类型是 读 写 和 只读 所谓 只读 就是规定用户只能对那些被保护的存储单元中的内容进行读取 而不能进行其它操作 复杂一些的保护类型还包括 只执行 不能存取 等操作 不能存取的存储单元 若被用户存取时 系统要及时发出警报或中断程序执行 6 5存储器的保护 操作系统对内存的保护主要采用了逻辑隔离方法 1 界地址寄存器保护法2 内存标志法3 锁保护法 锁 是指为存储区设置的特定数字 使用锁保护方式具有以下优点 因为不同的存储区可以分配相同的锁 因此用户可以用同一钥匙打开不连续的若干区域 只要锁和钥匙定义不同的对应方案 就可以使钥匙具有不同的优先级 4 特征位保护法即在每一个存储单元的前面 设置一组特征位 特征位 数据指令代码 6 5存储器的保护 6 5 2存储器的管理1 虚拟地址空间的物理定位可变 每次调度该进程时 它的物理地址可能不同 在运行一个访问存储器的指令时 硬件设备首先根据指令中的某一数值或偏移量以及索引寄存器的值对虚拟地址进行某种运算 以识别出欲访问目标的物理地址 其运算的结果就是一个虚拟地址映射成一个物理地址 2 虚存映射在一个大系统内 将物理存储器分成固定大小的页 各个进程根据需要占用不同页数的物理存储器 设置一组映射寄存器 每个寄存器指出一个页的物理首地址 这样 进程就可以通过这些映射寄存器来访问物理地址空间 6 5存储器的保护 3 请求调页一个进程占有比机器内存还大的虚拟存储空间 需采用请求调页机制 该机制将根据需要在辅存与内存之间移动某些页 它保证了进程所需的某些页没有驻留在内存时仍能正常运行 操作系统可以为进程构造一个页描述表 该表记录了进程所需的全部虚拟存储空间 表中可以设置一个 磁盘驻留 的标志 指明该页不在物理内存中而是驻留在磁盘上 当某一进程运行过程中所需的页不在内存中时 操作系统将中止该进程的运行 直至内存中有空闲的页腾出时 再将所需页从磁盘中调入内存中的空闲页 并将页表中相应的项置为该空闲页 然后重新启动被中止的进程从断点处继续运行 6 5存储器的保护 4 分段管理在绝大部分系统中 一个进程的虚拟地址空间至少要被分成两部分或两个段 一个用于用户程序与数据 称为用户空间 另一个用于操作系统 称为系统空间 两者是静态隔离的 也是比较简单的 6 5 3虚拟存储器的保护虚拟存储器一般都采用段 页技术进行管理 一般情况下 整个虚拟存储器被划分成若干个段 每个段再被划分成若干页 如果在段 页描述中加入段 页保护信息 如对段或页可采取 只读 读 写 等保护措施 当计算机执行指令时 系统便根据保护类型检查这条指令的操作是否合法 如果不合法 就中断程序的执行 6 6操作系统的安全设计 6 6 1操作系统的安全模型1 访问监控模型最简单的安全模型 单级模型 是体现有限型访问控制的模型 它对每一个主体 客体对 只作 可 还是 否 的访问判定 这种模型论证比较脆弱 它所表达的安全需求没有特别详尽的说明 2 格 模型多级模型 把用户 主体 和信息 客体 进一步按密级和类别划分 访问控制根据 工作需要 给予最低权限 的原则 只有当主体的密级等于或高于客体 主体的类别等于或包含客体时 主体才能访问客体 6 6操作系统的安全设计 3 Bell LaPadula模型多级模型 它是保证保密性基于信息流控制的模型 这种模型的访问控制遵循两条原则 简单安全性原则 即主体的保密性访问级别支配客体的保密性访问级别 也就是说主体只能读密级等于或低于它的客体 主体只能从下读 而不能从上读 星原则是客体的访问级别支配主体的访问级别 即主体只能写密级等于或高于它的客体 也就是说主体只能向上写 而不能向下写 星原则的目的是为了防上不可信的机密进程从不同等级或级别更高的机密文件中读出信息后 通过 向下写 来窃取系统的机密 6 6操作系统的安全设计 Padula模型目的在于防止信息泄漏 而不是防止主体对客体的非授权修改 它们只处理了信息的保密问题 而没有解决信息的完整性问题 4 Bibe模型从信息完整性的角度来看 显然必须禁止低访问级别的主体对高访问级别的客体进行访问 以免低访问级别的主体篡改高访问级别的信息 客体 于是就产生了Bibe模型 Bibe模型是保证信息流完整性的控制模型 它把主体和客体按类似密级那样的完整级进行分类 完整级是一个由低到高的序列 其访问遵循 简单完整性 和 完整性星 两条原则 简单完整性原则是主体的完整性访问级别支配客体的完整性级别 即主体只能向下写 而不能向上写 也就是说 主体只能写 修改 完整性级别等于或低于它的客体 完整性星原则是客体的完整性访问级别支配主体的完整性访问级别 即主体只能从上读 而不能从下读 6 6操作系统的安全设计 6 6 2安全操作系统的设计原则 对用户标识和验证 对内存的保护 对文件和I O设备的访问控制 对共享资源的分配控制 保证系统可用性 防止某用户对系统资源的独占 协调多进程间的通信 同步和并发控制 防止系统死锁 所谓 安全操作系统设计 就是指安全性必须在操作系统的各个部分予以考虑 安全性必须在操作系统开发的初期就予以考虑 6 6操作系统的安全设计 安全系统设计的一般原则如下 1 最小权限原则 2 完全性原则 3 经济性原则 4 公开性原则 5 权限分离原则 6 最小共同性原则 7 易用性原则 8 缺省安全原则 6 6操作系统的安全设计 6 6 3安全操作系统的设计方法1 安全核心方法安全核心方法运用最小权限原则和完全性原则 集中了操作系统中有关安全的主要功能 每次对被保护客体的访问 都要经过安全核心的检查 安全核心与其它部分隔离 自身又完整统一 这样 既便于做得紧凑 也便于测试验证 还便于修改 2 层次化方法层次化设计方法是将操作系统分层 至少有硬件 核心 操作系统和用户进程四层 这种层次结构使得一个与安全有关的功能 由一系列在不同层次的几个模块来实现 6 6操作系统的安全设计 6 6 4对系统安全性的认证安全认证 就是对系统的安全性作测试验证 并评价其安全性所达到的程度的过程 安全认证的方法通常有三种 形式化验证 简称验证方法 非形式化鉴定 简称鉴定方法 和破坏性分析 1 形式化验证形式化验证就是运用程序正确性证明的方法 虽然现已开发出一些辅助程序正确性证明的工具 但这种方法复杂 而且非常费时 对于大型的系统 对那些不是为了接受形式化验证而开发的系统来说 几乎难以进行验证 总之 形式化验证方法可以确保系统的安全性 但却难以实现 6 6操作系统的安全设计 2 鉴定方法鉴定方法普遍 通常采用以下几种办法 1 需求检验 2 设计和编码检验 3 单元和集成测试 总之 鉴定方法容易实现 但却不能达到百分之百的可信度 3 破坏性分析破坏性分析是把一些对操作系统运用熟练和富有设计经验的专家组织起来 对被测试的操作系统作安全脆弱性分析 专挑弱点和缺点 在实践中 常常要求系统具备以下六条安全准则 1 安全方针 2 主体标识 3 客体标识 4 可查性 5 可信性 6 持续性 6 7I O设备的访问控制方式 6 7 1I O设备访问控制操作系统一般是I O操作的媒介 从访问控制的角度看 一个I O指令应该包括以下内容 I O设备名 受影响的介质和数据传输过程中所涉及的存储缓冲区的位置 I O访问控制最简单的方式是将设备与介质看作一个客体 由于所有的I O操作不是向设备写数据 就是从设备读数据 所以进行I O操作的进程必须受到对设备读 写两种控制 这意味着设备到介质间的路径可以不受什么约束 而处理器到设备间的控制则需要施以一定的读 写操作的访问控制 从访问控制的角度看 硬件可以以四种方式支持I O操作 可编程的I O操作 非映射的I O操作 预映射I O操作和完全映射I O操作 6 7I O设备的访问控制方式 可编程I O是一种同步操作 在这种方式下 处理器直接控制向I O设备传递或从I O设备接收每一个数据 其它三种方式是直接存储器访问方式及其变种 在这几种方式下 处理器通知控制器进行某种冗长的I O操作 处理器与控制器异步地进行等价的操作 1 可编程1 O可编程I O方式对设备进行访问控制是使用一个设备描述符表 它将一个虚设备名映射为一个物理设备名 犹如将一个虚地址映射成一个实际物理地址 如下所示 设备描述符 6 7I O设备的访问控制方式 2 非映射I O非映射I O是目前最普遍的一种直接进行存储器访问的I O类型 在这种方式中 软件向设备发送一个I O命令 它描述了存储器中某个缓冲器的物理位置 设备可作为一个可信赖的主体对这个物理存储区进行读 写操作 它仅能由操作系统产生 必须将虚拟缓冲区地址解释成实际的物理地址 3 预映射I O预映射I O 也称虚拟I O 它允许软件引用虚拟缓冲区地址 当调用I O指令时 处理器利用当前进程的描述符表以及映射寄存器 把这些虚拟地址解释成实际的物理地址 然后将得到的物理地址送给I O设备 它使得操作系统从繁杂的地址解释与访问控制任务中释放出来了 6 7I O设备的访问控制方式 4 全映射I O全映射I O对设备引用的每个存储区都能进行从虚拟地址到实际物理地址的解释 设备被认为是一个不可信赖的主体 它仅提供欲读 写信息的存储区的虚拟地址 在安全防线内 解释硬件将把虚拟地址解释成实际的物理地址 并进行访问校验 6 7 2输入安全控制建立输入安全控制 应检验数据的合法性和准确性 要进入系统的数据 必须按正确的格式与内容 先转换到该类机器可读的媒体里 6 7I O设备的访问控制方式 1 输人安全控制原则输入安全控制应遵循以下基本原则 1 自动控制应尽可能接近数据源 且不得重复控制 2 防止分散工作流程 控制应简单和易于维护 3 应提供控制操作说明文件 并汇编成册 2 程序安全控制对程序安全可采用如下的检验方法 1 记录计数 2 极限校验 3 运算验证 4 标号检查 6 7I O设备的访问控