第7章 操作系统的安全与保护.ppt

2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 本章主要内容 2020年2月11日星期二 兰州理工大学计算机与通信学院 安全和保护在现代计算机系统中的重要性日益增加 系统中用户的所有文件都存储在计算机的存储设备中 而存储设备在所有的用户间是共享的 这意味着 一个用户所拥有的文件可能会被另一个用户读写 系统中有些文件是共享文件 有些文件是独享文件 那么操作系统如何来建立一个环境 使得用户可以选择保持信息私有或者与其他用户共享呢 这就是操作系统中的安全与保护机制的任务 当计算机被连接到网络中并与其他计算机连接时 保持私有信息会更加困难 当信息通过网络传递时以及当信息存储在存储设备上时都应该受到保护 2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 2020年2月11日星期二 兰州理工大学计算机与通信学院 随着越来越多的个人生活信息被编码并保存到计算机中 我们的身份信息也潜在地可能被其他的用户所访问 除了个人信息外 商业和政府部门的核心信息也存储在计算机上 这些信息必须可以被拥有它和依赖它的用户使用 但是不能被未授权的组织或用户访问 除了保护信息外 保护和安全的另一个方面是确保属于个人或组织的计算机资源不能被未授权的个人或组织访问 2020年2月11日星期二 兰州理工大学计算机与通信学院 安全问题安全威胁安全目标操作系统安全 2020年2月11日星期二 兰州理工大学计算机与通信学院 计算机系统的安全问题大致可分为恶意性和意外性两种类型 所谓恶意性安全问题是指未经许可对敏感信息的读取 破坏或使系统服务失效 在网络化时代 这类问题占极大比例 可能会引起金融上的损失 犯罪以及对个人或国家安全的危害 所谓意外性安全问题是指由于硬件错误 系统或软件错误以及自然灾害造成的安全问题 这种意外性安全问题可能直接造成损失 也可能为恶意破坏留下可乘之机 安全问题 2020年2月11日星期二 兰州理工大学计算机与通信学院 计算机系统本身也存在着许多固有的脆弱性 表现在以下几个方面 数据的可访问性 存储数据密度高 存储介质脆弱 电磁波辐射泄露与破坏 通信网络可能泄密 并易于受到攻击 安全问题 2020年2月11日星期二 兰州理工大学计算机与通信学院 对计算机系统和网络通信的四项安全要求 机密性 Confidentiality 要求计算机系统中的信息只能由被授权者进行规定范围内的访问 完整性 Integrity 要求计算机系统中的信息只能被授权用户修改 可用性 Availability 防止非法独占资源 真实性 Authenticity 要求计算机系统能证实用户的身份 防止非法用户侵入系统 以及确认数据来源的真实性 安全威胁 2020年2月11日星期二 兰州理工大学计算机与通信学院 安全威胁 计算机或网络系统在安全性上受到四种普通的威胁 切断 系统的资源被破坏过变得不可用或不能用 这是对可用性的威胁 截取 未经授权的用户 程序或计算机系统获得了对某资源的访问 这是对机密性的威胁 篡改 未经授权的用户不仅获得了对某资源的访问 而且进行篡改 这是对完整性的攻击 伪造 未经授权的用户将伪造的对象插入到系统中 这是对合法性的威胁 2020年2月11日星期二 兰州理工大学计算机与通信学院 安全威胁 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统的安全威胁 针对操作系统安全的主要威胁 入侵者入侵者表现为两种形式 被动入侵者和主动入侵者 包括 普通用户的随意浏览 内部人员的窥视 尝试非法获取利益者 商业或军事间谍 恶意程序恶意程序是指非法进入计算机系统并能给系统带来破坏和干扰的一类程序 恶意程序包括病毒和蠕虫 逻辑炸弹 特洛伊木马以及天窗等 一般我们把这些恶意程序都用病毒一词来代表 数据的意外受损除了恶意入侵造成的威胁外 有价值的信息也会意外受损 造成数据意外受损的原因有 自然灾害 意外故障 人为攻击 2020年2月11日星期二 兰州理工大学计算机与通信学院 一般来说 一个计算机系统的安全目标应包括如下几个方面 安全性安全性是一个整体的概念 包含了系统的硬件安全 软件安全 数据安全 也包含了系统的运行安全 安全又分为外部安全和内部安全 外部安全包括 物理安全 人事安全和过程安全 内部安全指在计算机系统的软件 硬件中提供保护机制来达到安全要求 内部安全的保护机制尽管是有效的 但仍需与适当的外部安全控制相配合 应该相辅相成 交替使用 人们花了很大力气用于营造计算机系统的外部安全与内部安全 但是 有一点不容忽视 那就是防止非法用户的入侵 特别要防范冒名顶替者假冒合法的授权用户非法访问计算机系统的各种资源 安全目标 2020年2月11日星期二 兰州理工大学计算机与通信学院 完整性完整性是保护计算机内软件和数据不被非法删改或受意外事件破坏的一种技术手段 它可以分为软件完整性与数据完整性两方面的内容 软件完整性 在软件设计阶段具有不良品质的程序员可以对软件进行别有用心的改动 他可以在软件中留下一个陷阱或后门以备将来在一定条件下对系统进行攻击 因此 选择值得信任的软件设计者是一个非常重要的问题 同时也更需要采用软件测试工具来检查软件的完整性 并保证这些软件处于安全环境之外时不能被轻易地修改 装有微程序的ROM部件也有可能被攻击并对它进行修改 安全目标 2020年2月11日星期二 兰州理工大学计算机与通信学院 数据完整性 所谓数据完整性是指在计算机系统中存储的或是在计算机系统间传输的数据不被非法删改或受意外事件的破坏 数据完整性被破坏通常有以下几个原因 a 系统的误操作 如系统软件故障 强电磁场干扰等 b 应用程序的错误 由于偶然或意外的原因 应用程序破坏了数据完整性 c 存储介质的破坏 由于存储介质的硬损伤 使得存储在介质中的数据完整性受到了破坏 d 人为破坏 是一种主动性的攻击与破坏 安全目标 2020年2月11日星期二 兰州理工大学计算机与通信学院 保密性保密性是计算机系统安全的一个重要方面 它是指操作系统利用各种技术手段对信息进行处理来防止非法入侵 防止信息的泄漏 此外 为保证系统安全而采取的安全措施本身也必不可少地需要加以保护 如口令表 访问控制表等 这类信息是非常敏感的 它们不应被非法读取或删改 安全目标 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统安全机制 身份认证机制 是安全操作系统应具备的最基本的功能 是用户欲进入系统访问资源或网络中通信双方在进行数据传输之前实施审查和证实身份的操作 因而 身份认证机制成为大多数保护机制的基础 身份认证可分为两种 内部和外部身份认证 授权机制 确认用户或进程只有在系统许可某种使用时才能够使用计算机的资源 授权机制依赖于安全的认证机制而存在 操作系统安全 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统安全 经典计算机系统的授权访问 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统安全 加密机制 将信息编码成像密文一样难解形式的技术 加密的关键在于高效地建立从根本上不可能被未授权用户解密的加密算法 以提高信息系统及数据的安全性和保密性 防止保密数据被窃取与泄密 数据加密技术可分为两类 一类是数据传输加密技术 目的是对网络传输中的数据流加密 又分成链路加密和端加密 另一类是数据存储加密技术 目的是防止系统中存储数据的泄密 又分成密文存储和存取控制 2020年2月11日星期二 兰州理工大学计算机与通信学院 审计机制 审计 auditing 作为一种事后追踪手段来保证系统的安全性 是保证系统安全性而实施的一种技术措施 也是对付计算机犯罪者们的利器 审计就是对涉及系统安全性的操作做完整的记录 以备有违反系统安全规则的事件发生后能有效地追查事件发生的地点 时间 类型 过程 结果和涉及的用户 必须实时记录的事件类型有 识别和确认机制 如注册和退出 对资源的访问 如打开文件 删除对象 如删除文件 计算机管理员所做的操作 如修改口令 等 审计过程是一个独立过程 应把它与操作系统的其他功能隔开来 严格限制未经授权的用户不得访问 审计与报警功能相结合 安全效果会更好 操作系统安全 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统安全设计原则 应该公开系统设计方案 不提供缺省访问控制 时刻检查当前权限 给每个进程尽可能小的权限 安全保护机制应该简单 一致 并深入到系统的最底层 所选的安全架构应该是心理上可以接受的 除了原则 几十年来极为宝贵的经验是 设计应该尽量简单 2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统中的进程必须加以保护 使其免受其他进程活动的干扰 为此 系统采用了各种机制确保只有从操作系统中获得了恰当授权的进程才可以操作相应的文件 内存段 处理器和其他资源 保护是指一种控制程序 进程或用户对计算机系统资源进行访问的机制 这个机制必须为加强控制提供一种规格说明方法和一种强制执行方法 保护在一个计算机系统中扮演的角色是为加强资源使用的控制策略提供一种机制 可以通过各种途径建立这些策略 有些已经固化在系统设计中 有些会在系统管理中阐明 还有一些由个人用户定义 以保护他们自己的文件和程序 一个保护系统必须有一定的弹性 能够强制执行多种可向他声明的策略 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统保护层次内存储器的保护面向用户的访问控制面向数据的访问控制 2020年2月11日星期二 兰州理工大学计算机与通信学院 操作系统可能在下列层次提供保护 无保护 当敏感的过程是在独立的时间内运行时 不需要保护 隔离 共享或不共享 通过访问限制的共享 具有动态能力的共享 限制对象的使用 操作系统保护层次 2020年2月11日星期二 兰州理工大学计算机与通信学院 内存储器的保护 在多道程序设计环境中 保护内存储器是最重要的 如果一个进程能够不经意地写到另一个进程的存储空间 则后一个进程就可能会不正确地执行 各个进程的存储空间分离可通过虚存方法来实现 分段 分页 或两者的结合 提供了管理主存的一种有效的方法 如果进程完全隔离 则操作系统必须保证每个段或页只能由所属的进程来控制和存取 如果允许共享 则相同的段或页可能出现在不止一个表中 这种类型的共享在一个支持分段或支持分段与分页相结合的系统中最容易实现 在纯粹分页环境下 由于存储器结构对用户透明 要想区分两种类型的存储器就十分困难 2020年2月11日星期二 兰州理工大学计算机与通信学院 面向用户的访问控制 在数据处理系统中访问控制所采取的方法有两类 与用户有关的和与数据有关的 在共享服务器上 用户访问控制最普遍的技术是用户登录 这需要一个用户标识符 ID 和一个口令 这种ID 口令系统是用户访问控制的一种很差的不可靠的用户控制方法 用户可能会忘记他们的口令 并且会有意或无意地泄露其口令 黑客们在猜测特殊用户的ID 如系统管理员的ID 方面变得越来越老练 用户存取控制的问题在通信网络中更重要 因为登录会谈必须通过通信媒体进行 所以窃听是一种潜在的威胁 必须采取有效的网络安全措施 在分布式环境中用户的访问控制可以是集中式 也可以是分散式的 在许多网络中 可能要使用两级网络控制 2020年2月11日星期二 兰州理工大学计算机与通信学院 面向数据的访问控制 在成功登录以后 用户有权访问一台或一组计算机及应用信息 对于数据库中存有机密数据的系统来说 这还是不够的 通过用户访问控制过程 系统要对用户进行验证 有一个权限表与每个用户相关 指明用户被许可的合法操作和文件访问 操作系统就能够基于用户权限表进行访问控制 然而数据库管理系统必须控制对特定的记录甚至记录的某些部分的存取 尽管操作系统可能授权给一个用户存取文件或使用一个应用 在这之后不再有进一步的安全性检查 但数据库管理系统必须针对每个独立访问企图做出决定 该决定将不仅取决于用户身份 而且取决于被访问的特定部分的数据 甚至取决于已公开给用户的信息 2020年2月11日星期二 兰州理工大学计算机与通信学院 文件或数据库管理系统采用的访问控制的一个通用模型是访问矩阵 AccessMatrix 该模型的基本要素 主体 Subject 能够访问对象的实体 一般地 主体概念等同于进程 任何用户或应用程序获取一个对象的访问实际上是通过一个代表该用户或应用程序的进程进行的 客体 Object 被访问的对象 如文件 文件的某部分 程序 设备以及存储器段 访问权 AccessAuthority 主体对客体的访问方式 如读 写 执行 删除等 2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 2020年2月11日星期二 兰州理工大学计算机与通信学院 两种最引人注目的安全威胁之一是入侵者 另一种是病毒 一般称为黑客或计算机窃贼 入侵者有以下三种类型 伪装者 masquerader 违法行为者 misfeasor 秘密的用户 clandestineuser 2020年2月11日星期二 兰州理工大学计算机与通信学院 入侵技术口令保护入侵检测 2020年2月11日星期二 兰州理工大学计算机与通信学院 入侵技术 入侵技术主要有拒绝服务攻击和口令攻击两大类 拒绝服务攻击 DenialofService DoS 是一种最悠久也是最常见的攻击形式 严格来说 拒绝服务攻击并不是某一种具体的攻击方式 而是攻击所表现出来的结果 最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务 甚至导致物理上的瘫痪或崩溃 具体的操作方法是多种多样的 可以是单一的手段 也可以是多种方式的组合利用 其结果都是一样的 即合法的用户无法访问所需信息 2020年2月11日星期二 兰州理工大学计算机与通信学院 通常拒绝服务攻击可分为两种类型 第一种是使一个系统或网络瘫痪 如攻击者发送一些非法的数据或数据包 就可以使得系统死机或重新启动 本质上是攻击者进行了一次拒绝服务攻击 因为没有人能够使用资源 以攻击者的角度来看 攻击的简单之处在于可以只发送少量的数据包就使一个系统无法访问 第二种攻击是向系统或网络发送大量信息 使系统或网络不能响应 进行这种攻击时 攻击者必须连续地向系统发送数据包 比如Smurf攻击即洪水ping攻击 该攻击向一个子网的广播地址发一个带有特定请求 如ICMP回应请求 的包 并且将源地址伪装成想要攻击的主机地址 子网上所有主机都回应广播包请求而向被攻击主机发包 使该主机无法响应从而拒绝其他服务 2020年2月11日星期二 兰州理工大学计算机与通信学院 口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始 只要攻击者能猜测或者确定用户的口令 他就能获得机器或者网络的访问权 并能访问到合法用户能访问到的任何资源 获得普通用户账号的方法很多 如 利用目标主机的Finger功能 当用Finger命令查询时 主机系统会将保存的用户资料 如用户名 登录时间等 显示在终端或计算机上 利用目标主机的X 500服务 有些主机没有关闭X 500的目录查询服务 也给攻击者提供了获得信息的一条简易途径 从电子邮件地址中收集 有些用户的电子邮件地址常会透露其在目标主机上的账号 2020年2月11日星期二 兰州理工大学计算机与通信学院 对策 预防和检测预防是一个具有挑战性的安全目标 在任何时候都是一场困难的战斗 困难的发生主要是防卫者必须尝试防御所有可能的攻击 而攻击者却可以自由地去发现防御环节中最薄弱的环节 并在该点实施攻击 检测关心的是发现攻击 无论是攻击成功之前还是之后 2020年2月11日星期二 兰州理工大学计算机与通信学院 口令保护 入侵者的目的是获得对系统的访问 或者提高他访问系统的特权范围 一般来说 这需要入侵者获得已被保护的信息 在多数情况下 这种信息的形式是用户口令 通过获取某些其他用户的口令 入侵者可以登录到系统中并行使该合法用户所具有的所有特权 典型情况下 系统必须维护一个文件 该文件将每个已经授权的用户与一个口令关联起来 口令是计算机和用户双方都知道的某个 关键字 是一个需要严加保护的对象 它作为一个确认符号串只能对用户和操作系统本身识别 但是如果这个文件未经保护地进行存储 则入侵者将很容易获取对它的访问并得到口令 2020年2月11日星期二 兰州理工大学计算机与通信学院 口令文件的保护可采取下列两种方式之一 单向加密 系统存储的仅仅是加密形式的用户口令 当用户提交一个口令时 系统对该口令加密并与存储的值相比较 实际上 系统通常执行一个单向的变换 不可逆 使用该口令生成一个用于加密功能的密钥 并产生一个固定长度的输出 访问控制 对口令文件的访问权限局限于非常少的几个账号 2020年2月11日星期二 兰州理工大学计算机与通信学院 加密技术数据自身的安全涉及数据的传输安全和存储安全两个方面 数据传输安全主要通过加密手段对需要在不同主机上传递的数据进行加密处理 以防止通信线路上的窃听 泄漏 篡改和破坏 数据存储安全一方面可以利用数据库等数据管理系统的多级保护机制 另一方面也可以对数据进行加密后再进行存储 事实上 数据安全的底层基础技术就是加解密技术 它是保证数据不被非法泄露的手段 在计算机安全中有着广泛的应用 2020年2月11日星期二 兰州理工大学计算机与通信学院 加密是一种编码数据的方法 使入侵者难以理解数据内容 在授权用户使用时 解码数据 使其返回原始格式 加密也是用数学方法重新组织数据的过程 这样做使得任何非法接收者不可能轻易获得正确的信息 加密可以通过编码系统来实现 所谓编码就是用事先约定好的表或字典将消息或消息的一部分替换成无意义的词或词组 也可以通过密码来实现加密 所谓密码就是用一个加密算法将消息转化为不可理解的密文 有三种可用的加密方法 编码 替代和转置 2020年2月11日星期二 兰州理工大学计算机与通信学院 根据加密密钥的使用和部署 可将加密技术分为两种类型 对称加密和非对称加密 对称加密也称单密钥加密 在20世纪70年代后期非对称加密出现以前 只有这一种加密技术 至今它仍然是使用最为广泛的加密方法 2020年2月11日星期二 兰州理工大学计算机与通信学院 为了安全的使用对称加密方法 有以下两点要求 需要一个强壮的加密算法 至少 要求即使有人知道了该算法 并且已经得到了一个或多个密文 也无法解密出密文或计算出密钥 信息的发送者和接收者必须以安全的方式获得并保存共享密钥 一旦密钥被别人截获 后果可想而知 数据加密标准 DES DataEncryptionStandard 中定义了最常用的对称加密方法 1977年被美国国家标准局接纳 该标准中的算法本身被称为数据加密算法 DEA 和任何对称的加密算法一样 DES加密函数有两个输入 明文和密钥 DES要求明文必须是64位的 密钥则必须是56位的 比较长的明文被划分成以64位为单位的小块进行加密 2020年2月11日星期二 兰州理工大学计算机与通信学院 非对称加密公钥加密是非对称加密方法最主要的存在形式 于1976年由Diffie和HellMan首次公开提出 公钥加密算法基于数据函数 而不是简单的位模式操作 更重要的是 公钥加密体系是不对称的 它采用两个独立的密钥 2020年2月11日星期二 兰州理工大学计算机与通信学院 公钥与私钥 在公钥加密体系中 需要 对密钥 一个被称为公钥 另一个被称为私钥 应注意的是 公钥是对其他用户公开的 而私钥只有用户自己知道 这两个密钥一个用于加密 另一个用于解密 根据应用背景的不同 加密算法既可能使用公钥 也可能使用私钥 解密算法也一样 公钥加密体系常用于数字签名 RSA算法是Rivest Shamir和Adleman于1977年开发的 并以这三名创始者的姓名首字母命名 作为第一个公钥方案 RSA方法从那时起就占据着公钥加密体系的最高统治地位 并被广泛接受 RSA加密涉及到模数运算 其理论依据是单向函数有效地使用了两个素数的乘积 为了确定反向函数 入侵者必须找出乘积的两个因子 找出这两个素数是一项非常艰巨的计算任务 2020年2月11日星期二 兰州理工大学计算机与通信学院 访问控制防止口令攻击的一种方法是不让攻击者访问口令文件 如果加了密的文件口令部分只能被特权用户所访问 则不知道特权用户口令的攻击者是不能读到该文件的 因为计算机系统中大量的信息都是以文件的形式出现 所以对信息施加的保护表现为对文件的访问在实际上受到的控制 访问控制是在身份识别的基础上 根据身份对提出的资源访问请求加以控制 在访问控制中 对访问必须进行控制的资源称为客体 而对客体进行访问的活动资源称为主体 主体即访问的发起者 通常为进程 程序或用户 客体包括各种资源 如文件 设备 信号量等 访问控制中第三个元素是保护规则 它定义了主体与客体可能的相互作用途径 2020年2月11日星期二 兰州理工大学计算机与通信学院 一般对客体的访问控制机制有两种 一种是自主访问控制 一种是强制访问控制 自主访问控制所谓自主访问控制是指由客体的拥有者或具有指定特权的用户来制定系统的一些参数以确定哪些用户可以访问并且以什么样的方式来访问他们的客体 它是一种最为普遍的访问控制技术 在这种方式中用户具有自主的决定权 访问控制矩阵是一个稀疏矩阵 大多数元素为空元素 空元素将会造成存储空间的浪费 而且查找某个元素会消耗大量的时间 因此 实际上常常是基于矩阵的行或列来表达访问控制信息 2020年2月11日星期二 兰州理工大学计算机与通信学院 基于行的自主访问控制所谓基于行的自主访问控制就是指在每个主体上都附加一个该主体可访问的客体的详细情况说明表 常见的基于行的自主访问控制有权限字以及前缀表等方式 权限字是一张不可伪造的标志或凭证 它提供给主体对客体的特定权限 主体可以建立新的客体并指定在这些客体上允许的操作 操作系统以用户的名义拥有所有凭证 系统不是直接将凭证发给用户 而是仅当用户通过操作系统发出特定请求时才为用户建立权限字 2020年2月11日星期二 兰州理工大学计算机与通信学院 前缀表包含客体名和主体对它的访问权限 前缀表的原理是 当系统中的某个主体请求访问某个客体时 访问控制机制将检查主体的前缀是否具有它所请求的访问权 这种方式存在三个不足之处 一是主体前缀大小有限制 二是当生成一个新客体或改变和撤消某个客体的访问权时 会涉及许多主体前缀的更新 需要进行大量的工作 三是不便确定可访问某客体的所有主体 2020年2月11日星期二 兰州理工大学计算机与通信学院 基于列的自主访问控制所谓基于列的访问控制就是指在每个客体上都附加一份可访问它的主体的详细情况说明表 基于列的访问控制有两种方式 保护位和存取控制表 保护位对所有的主体 主体组以及客体的拥有者规定了一个访问模式集合 主体组是具有相似特点的主体的集合 一个主体可以同时属于多个主体组 但某个时刻 一个主体只能属于一个活动的主体组 2020年2月11日星期二 兰州理工大学计算机与通信学院 存取控制表可以决定任何一个特定的主体是否可对某个客体进行访问 每个客体都对应一张存取控制表 表中列出所有的可访问该客体的主体和访问方式 例如 某个文件的存取控制表可以存放在该文件的文件说明中 通常包含的内容有 能够访问该文件的用户的身份 文件主或是用户组 以及文件主或用户组成员对此文件的访问权限 如果采用用户组或通配符的概念 则存取控制表不会很长 目前 存取控制表方式是自主访问控制实现中比较好的一种方法 2020年2月11日星期二 兰州理工大学计算机与通信学院 自主访问控制的访问许可 访问许可允许主体对客体的存取控制表进行修改 所以利用访问许可可以实现对自主访问控制机制的控制 这种控制有三种类型 等级型 拥有型和自由型 等级型是将对客体存取控制表的修改能力划分等级 构成一个树型结构 其中系统管理员是树根 它具有修改所有客体存取控制表的权限 并且具有向其他主体分配对客体存取控制表进行修改的权利 上一级主体可以对下一级主体分配相应客体存取控制表的修改权和对修改权的分配权 最低一级的主体不具有访问许可 即它们不具有对客体存取控制表的修改权 而具有访问许可的主体可以授予自己对许可修改的客体任何访问模式的访问权 2020年2月11日星期二 兰州理工大学计算机与通信学院 拥有型是指客体的拥有者具有对客体的所有控制权 同时它也是对客体有修改权的唯一主体 客体拥有者具有对其客体的访问许可 并可以授予或撤消其他主体对客体的任何一种访问模式 但客体拥有者不具有将其对客体的控制权分配给其他主体的能力 自由型是指客体生成者可以将它对其客体的控制权分配给其他主体 并且还可以使其他主体也具有这种分配能力 2020年2月11日星期二 兰州理工大学计算机与通信学院 强制访问控制自主访问控制是保证系统资源不被非法访问的一种有效方法 但在自主访问控制中 合法用户可以修改该用户所拥有的客体的存取控制表 此时操作系统无法区分这是用户自己的合法操作还是非法操作或是恶意攻击 为了弥补这个不足 引入了一个更强有力的控制方法就是强制访问控制 所谓强制访问控制是指由系统来决定一个用户是否可以访问某个客体 这个安全属性是强制性的规定 任何主体包括客体的拥有者也不能对其进行修改 系统通过比较主体和客体的安全属性来确定一个用户是否具有对某个客体访问的权力 强制访问控制一般有两种方法 限制访问控制和限制系统功能 2020年2月11日星期二 兰州理工大学计算机与通信学院 在使用限制访问控制方法的系统中 主体只有通过请求特权系统调用来修改客体存取控制表 而这个调用功能依据的是通过用户终端输入的信息 不是依靠别的程序的信息来修改存取控制表 在使用限制系统功能的系统中 必要时系统自动实施对系统某些功能的限制 比如 共享是计算机系统的优点 但也带来问题 所以要限制共享文件 当然共享文件是不可能完全限制的 再如 专用系统可以禁止用户编程 这样可以防止一些非法攻击 但是如果该专用系统连接在网络中 黑客还是有可能攻入这种专用系统的 2020年2月11日星期二 兰州理工大学计算机与通信学院 访问控制方式的缺点 很多系统对非预期的闯入是敏感的 一旦某个攻击者通过某种方式获取了访问权 他就可能希望得到大量的口令以便对不同的登录使用不同的账号来减少被检测到的危险 或者具有某账号的用户还可能希望得到另一个用户的账号去访问特权数据或对系统采取破坏活动 保护中的意外事故可能使口令文件可读 这样就会危及所有账号的安全 有些用户具有位于其他保护域中的其他机器上的账号 并且他们使用相同的口令 这样 如果口令在某台机器上被任何人读到 则另一台机器也可能会受到威胁 因此 更有效的策略是强迫用户选择不易被猜出的口令 2020年2月11日星期二 兰州理工大学计算机与通信学院 口令选择策略 选择口令的目标是在排除那些容易猜测的口令的同时能让用户选择一个容易记忆的口令 口令选择策略常用的有以下四种 用户教育 计算机生成口令 反应性的口令检测 前摄性的口令检测 2020年2月11日星期二 兰州理工大学计算机与通信学院 入侵检测 最好的入侵防护系统也不可避免地会失败 系统的第二道防线就是入侵检测 这也已经成为近年来许多研究的焦点 入侵检测的定义为 识别针对计算机或网络资源的恶意企图和行为 并对此做出反应的过程 入侵检测是对入侵的发觉 用于入侵检测的软硬件组合称为入侵检测系统 IntrusionDetectionSystem IDS 它通过收集并分析计算机系统和网络的有关数据来检测入侵行为 2020年2月11日星期二 兰州理工大学计算机与通信学院 分为两类 异常入侵检测和误用入侵检测 异常检测假定入侵行为与正常行为明显不同 因此 可首先建立正常的行为轮廓 当检测到的行为不符合预定义轮廓时 将其视为入侵 该方法的关键是异常阈值的选择 其优点是能够发现未知入侵行为 缺点是容易产生误报 异常入侵检测一般也称为基于行为的检测 根据系统或用户的非正常行为和使用计算机资源的不正常情况来检测出入侵行为 目前常见的基于异常入侵检测技术的检测方法有 统计方法 预测模式生成 人工神经网络 遗传算法 免疫系统 基于规范的入侵检测 数据挖掘等等 入侵检测技术 2020年2月11日星期二 兰州理工大学计算机与通信学院 误用检测也叫滥用检测或基于知识的检测 误用检测的技术基础是分析各种类型的攻击手段 并找到可能的 攻击特征 集合 误用检测利用这些特征集合或是对应的规则集合 对当前的数据来源进行各种处理后 再进行特征匹配或规则匹配工作 如发现满足条件的匹配 则指示发生了一次攻击行为 但是存在的一个关键性问题是如何才能把所有可能攻击的 攻击特征 全部找出来并存储到一个特征库里 所以找出所有入侵的特征组成特征库就变得很重要 该方法误报率低 准确率高 但它只能发现已知的入侵方式 漏报率高 特征库的维护与实时更新困难 现在常见的基于误用入侵检测技术的检测方法有 专家系统 基于模式匹配 基于模型入侵检测 状态转换分析 协议分析 决策树方法等等 2020年2月11日星期二 兰州理工大学计算机与通信学院 入侵检测系统 1987年Denning提出了一种抽象的通用入侵检测模型 该模型主要由主体 Subjects 对象 Objects 审计记录 AuditRecords 行为轮廓 ActivityProfiles 异常记录 AnomalyRecords 和行为规则 ActivityRules 6部分组成 Denning的通用模型基于主机审计记录生成系统的行为轮廓 并根据行为轮廓的统计异常发现入侵行为 该模型独立于特定操作系统 与应用环境 系统弱点和入侵类型无关 是一个实时入侵检测专家系统模型 对后续的IDS产生了重要的影响 早期的IDS大都基于该模型实现 2020年2月11日星期二 兰州理工大学计算机与通信学院 Denning模型 2020年2月11日星期二 兰州理工大学计算机与通信学院 根据数据分析的实现方式 IDS的体系结构可分为集中式结构和分布式结构两种 集中式结构包括单机集中式和网络集中式两种 早期的IDS大都采用单机集中式结构 即数据采集 分析都在一台主机上进行 该方式根据主机审计数据进行检测 准确率高 速度快 但它只保护单台主机 且依赖于主机审计子系统 一些基于网络的 分布式 IDS虽实现了分布式数据采集 但数据分析仍集中完成 这种基于网络的集中式结构具有结构简单 实现容易的优点 适用于小型网络系统 其弱点是 检测主机成为网络系统的安全瓶颈 分布式的数据采集会造成网络性能的下降 可扩展性差 IDS配置和功能更新困难 适应不断变化入侵方式的能力差 处理前的数据在网络中传输 存在被攻击的危险 2020年2月11日星期二 兰州理工大学计算机与通信学院 分布式结构包括层次式结构和协同式结构 层次式结构是一个树型的分层体系 结合了集中式结构的简化性和分布式结构的鲁棒性 适用于较大规模的网络系统 如GrIDS Graph basedIntrusionDetectionSystem 该结构底层的检测节点负责信息采集 并进行预处理 中层节点承上启下 接受并处理下层节点处理后的数据 并进行较高层次的关联分析 判断和结果输出 中层节点减轻了上层控制节点的负担 也增强了系统的伸缩性 顶层节点负责整体管理和协调 并根据环境变化调整节点层次关系 实现系统的动态配置 其不足是层次结构和检测节点的设置较困难 一个节点的破坏会影响上下层节点的协同检测能力 顶层节点仍是系统安全瓶颈 报警延迟较大 2020年2月11日星期二 兰州理工大学计算机与通信学院 协同式结构无 中心节点 的概念 采用多个相互平等的检测节点在网络中分别进行检测 并且协同处理大规模的入侵行为 如CARDS CoordinatedAttackResponseandDetectionSystem 其优点是各节点之间可进行交叉检验 实现互监视和互检测 具有较好的鲁棒性和协同检测能力 适合于复杂 异构的网络环境的不同安全需求 网络规模扩大时 只需加入新的检测节点 可扩展性好 单个检测节点的失效对整个检测网络没有明显的影响 其主要问题是会占用被检测主机的资源 结构复杂 实现困难 报警延迟大 2020年2月11日星期二 兰州理工大学计算机与通信学院 从数据源上可以说IDS分为以下三种 HIDS 主机入侵检测系统 NIDS 网络入侵检测系统 和DIDS 分布式入侵检测系统 其中HIDS的数据来源于主机系统 通常是系统日志和审计记录 HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的操作 优点是针对不同的操作系统特点捕获应用层入侵 误报少 缺点是依赖于主机及其审计子系统 实时性差 2020年2月11日星期二 兰州理工大学计算机与通信学院 NIDS的数据源是基于网络的IDS 其数据来源于网络上的数据流 NIDS能够截获网络中的数据包 提取其特征并与知识库中已知的攻击签名相比较 从而达到检测的目的 其优点是侦测速度快 隐蔽性好 不容易受到攻击 对主机资源消耗少 缺点是有些攻击是由服务器的键盘发出的 不经过网络 因而无法识别 误报率较高 DIDS则是采用上述两种数据来源的分布式入侵检测系统 它是同时分析来自主机系统审计日志和网络数据流的入侵检测系统 一般为分布式结构 由多个部件组成 DIDS可以从多个主机获取数据也可以从网络传输取得数据 克服了单一的HIDS NIDS的不足 2020年2月11日星期二 兰州理工大学计算机与通信学院 入侵检测的发展趋势 高效智能的检测技术 分布式体系结构 IDS评估方法 安全技术集成 IDS标准化 2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 2020年2月11日星期二 兰州理工大学计算机与通信学院 对计算机系统来说 最复杂的威胁是由那些利用计算机系统漏洞的程序带来的 对这类威胁的一般术语是恶意软件 Malware Malware是专门设计用来制造破坏或用尽目标计算机资源的软件 它常常隐藏在合法软件中或伪装成合法软件 在某些情况下 它通过电子邮件或感染的软盘 U盘将自己传播到其他计算机中 本节首先概述这类软件威胁 然后讲述病毒 包括病毒的本质 分类 最后谈谈对策 2020年2月11日星期二 兰州理工大学计算机与通信学院 恶意软件对计算机系统的威胁可以分成两类 需要主机程序的和独立运行的 前者在本质上是不能独立于某些应用程序 实用程序或系统程序而存在的程序段 后者是自含式的程序 可以通过操作系统来调度和运行 也可以通过软件复制和不复制来区分这些软件的威胁 前者是当主机程序被唤醒执行特定功能时才被激活的程序段 后者是由一个程序段 病毒 或一个独立程序 蠕虫 细菌 组成的 当它们执行时 将产生自身的一个或多个副本 今后将在同一系统上或某些其它系统上发作 2020年2月11日星期二 兰州理工大学计算机与通信学院 2020年2月11日星期二 兰州理工大学计算机与通信学院 病毒反病毒方法 2020年2月11日星期二 兰州理工大学计算机与通信学院 病毒 计算机病毒从其产生至今 世界上病毒的数量已经发展到近5万种 病毒的种类和编制技术也经历了几代的发展 在我国曾经广泛流行的计算机病毒有近千种 并且有些病毒给计算机信息系统造成了很大破坏 影响了信息化的发展和应用 2020年2月11日星期二 兰州理工大学计算机与通信学院 病毒的本质病毒可以做其他程序能做的任何事情 仅有的区别是它将自己依附到另一个程序上 当主机程序运行时 它也秘密地执行 典型的病毒在其生命周期中经历如下四个阶段 潜伏阶段 繁殖阶段 引发阶段 执行阶段很多病毒完成其任务的方式是与特定的操作系统有关的 并且在某些情况下专门针对特定的硬件平台 因此 设计它们时就充分利用了特定系统的细节和弱点 2020年2月11日星期二 兰州理工大学计算机与通信学院 病毒的类型自从病毒出现以来 在病毒程序编写者和反病毒软件制作者之间就持续不断地进行着较量 随着适用于已有病毒类型的有效反病毒措施的开发 新类型的病毒也在不断开发 通常把最为重要的病毒分为以下几类 寄生病毒 常驻内存的病毒 引导扇区病毒 隐蔽病毒 多态病毒 2020年2月11日星期二 兰州理工大学计算机与通信学院 宏病毒近年来 公司站点遭遇的病毒数量急剧上升 事实上这种上升趋势是由一种最新型的病毒 宏病毒的繁殖所导致的 宏病毒特别危险 原因如下 宏病毒与平台无关 基本上所有宏病毒都感染MicrosoftWord文档 因而支持MicrosoftWord的任何硬件平台和操作系统都可以被感染 宏病毒感染文档而不是代码的可执行部分 而在计算机上的大多数信息的存在形式是文档而不是程序 宏病毒易于传播 非常普遍的方法是通过邮件 2020年2月11日星期二 兰州理工大学计算机与通信学院 在MicrosoftWord软件中 共有三种类型的自动执行宏 自动执行 如果一个名叫AutoExec的宏在 normal dot 模板中或在Word启动目录内存储的全局模板中 则每当启动Word时它就执行 自动宏 当一个已定义的事件发生时 例如打开或关闭一个文档 创建新文档或退出Word 自动宏就执行 命令宏 如果一个宏在全局宏文件中 或一个宏依附到一个与已有的Word命令同名的文档时 则每当用户调用该命令 例如FileSave 这个宏就执行 2020年2月11日星期二 兰州理工大学计算机与通信学院 电子邮件病毒恶意软件的最新发展是电子邮件病毒 第一个快速传播的电子邮件病毒 如Melissa 使用了嵌入在附件中的MicrosoftWord宏 如果接收者打开电子邮件附件 则这个Word宏将被激活 从而电子邮件病毒把它自身发送给该用户邮件列表中的每一个人 再进行局部破坏 1999年末出现了一种强大的电子邮件病毒版本 这个新版本可以仅仅通过打开一个包含该病毒的电子邮件而被激活 而不是打开附件 可见 新一代的恶意软件可以通过电子邮件传播 也可以使用电子邮件软件特征在Internet中复制自己 病毒只要被激活就开始把自身传播到被感染的主机所知道的所有电子邮件地址中去 因此 对于这种不断增长的威胁 必须为PC机中的Internet实用程序和应用软件建立更高程度的安全级别 2020年2月11日星期二 兰州理工大学计算机与通信学院 反病毒方法 对于病毒威胁最理想的解决办法是预防 首先不要让病毒侵入到系统中 尽管预防能够减少病毒成功攻击的次数 但这个目标一般来说不太可能达到 而另一种方法是能够做到如下几点 检测 一旦已经发生感染 就要确定它的发生并定位病毒 识别 当检测取得成功之后 要识别出感染程序的特定病毒 删除 一旦已经识别出特定的病毒 就要将病毒的所有形迹从受感染的程序中去除 并恢复其原来的状态 去除所有受感染的系统中的病毒 使感染情况不能进一步传播 如果检测成功但识别或去除无法做到时 另一个选择是丢弃受感染的程序 再安装一个干净的备份 2020年2月11日星期二 兰州理工大学计算机与通信学院 通用解密通用解密 GenericDecryption GD 技术使得既使对于最复杂的多态病毒 反病毒程序也能够很容易地检测 并且保持很高的扫描速度 当一个包含多态病毒的文件正在运行时 病毒必须对自己进行解密 从而激活自己 可执行文件运行时首先通过一个GD扫描器进行检测其是否已被病毒感染 GD扫描器包含以下元素 CPU仿真器 病毒署名扫描器 模拟控制模块 2020年2月11日星期二 兰州理工大学计算机与通信学院 数字免疫系统数字免疫系统是IBM公司研制的一种综合病毒保护方法 研制该方法的动机是基于Internet的病毒传播的威胁越来越大 以前 病毒威胁的主要特点是新病毒和新的病毒变种以相对比较慢的速度传播 反病毒软件通常每月更新一次就足以控制病毒的蔓延 直到20世纪90年代后期 Internet在病毒的传播中还起着比较小的作用 在进入21世纪后 Internet技术的两个主要发展趋势 将对病毒传播的速度产生更大的影响 集成邮件系统 诸如LotusNotes和MicrosoftOutlook之类的系统软件使得可以很容易地把任何东西发送给任何人 并且可以很容易地处理接收到的对象 移动式程序系统 Java和ActiveX都允许程序自己从一个系统移动到另一个系统 2020年2月11日星期二 兰州理工大学计算机与通信学院 数字免疫系统 2020年2月11日星期二 兰州理工大学计算机与通信学院 特洛伊木马的防范 特洛伊木马程序 技术是黑客常用的攻击方法 它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序 采用服务器 客户机的运行方式 从而达到在你上网时控制你的电脑的目的 黑客可以利用它窃取你的口令 浏览你的驱动器 修改你的文件 登录注册表等等 防范特洛伊木马攻击的一种方法是使用一个安全的 可信赖的操作系统 2020年2月11日星期二 兰州理工大学计算机与通信学院 第7章操作系统的安全与保护7 1安全7 2保护7 3入侵者7 4恶意软件7 5实例 Windows安全机制 2020年2月11日星期二 兰州理工大学计算机与通信学院 Windows2000 XP提供了一组全面 可配置的安全性服务 这些服务达到了美国政府用于受托操作系统的国防部C2级要求 1995年 两个独立配置的WindowsNTServer和WindowsNTWorkstation3 5正式得到美国国家计算机安全中心 UnitedStatesNationalComputerSecurityCenter NCSC 的C2级认证 1996年 WindowsNTServer和WindowsNTWorkstation3 51的独立和网络配置都通过了英国信息技术安全评估和认证 UKInformationTechnologySecurityEvaluationandCertification ITS