安全操作系统.ppt

安全操作系统 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 概述 什么是操作系统 操作系统的基本功能有哪些 从安全的角度上看 操作系统应当提供哪些安全服务 内存保护文件保护普通实体保护存取鉴别等 操作系统安全的主要目标 操作系统安全的主要目标按系统安全策略对用户的操作进行访问控制 防止用户对计算机资源的非法使用包括窃取 篡改和破坏标识系统中的用户 并对身份进行鉴别监督系统运行的安全性保证系统自身的安全性和完整性 安全机制的定义 iso 是一种技术 一些软件或实施一个或更多安全服务的过程特殊的安全机制普遍的安全机制 普遍的安全机制 信任的功能性事件检测审计跟踪安全恢复 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 1 1标识与鉴别机制 标识 用户要向系统表明的身份用户名 登录id 身份证号或智能卡应当具有唯一性不能被伪造鉴别 对用户所宣称的身份标识的有效性进行校验和测试的过程 用户声明自己身份的4种方法 证实自己所知道的例如密码 身份证号码 最喜欢的歌手 最爱的人的名字等等出示自己所拥有的例如智能卡证明自己是谁例如指纹 语音波纹 视网膜样本 照片 面部特征扫描等等表现自己的动作例如签名 键入密码的速度与力量 语速等等 2 1 2密码 口令机制是身份鉴别中最常用的手段口令机制简单易行 但很脆弱容易记忆的内容 很容易被猜到姓名 生日 身份证号难以记忆的内容 用户使用不方便 常常记录在容易被发现的地方随机算法远程鉴别中 口令容易在传递过程中被破解明文传输 容易破解的协议 有很多其他手段可以获得口令观察 录像等暴力破解简单的密码 口令选取的注意点 不要使用容易猜到的词或短语不要使用字典中的词 常用短语或行业缩写等应该使用非标准的大写和拼写方法应该使用大小写和数字混合的方法选取口令此外 口令质量还取决于口令空间口令加密算法口令长度 口令空间的大小 口令空间的大小是字母表规模和口令长度的函数s 口令空间l 口令的最大有效期r 单位时间内可能的口令猜测数p 口令有效期内被猜出的可能性p l r s 口令加密算法 单向加密函数加密算法的安全性十分重要如果口令加密只依赖于口令或其他固定信息 有可能造成不同用户加密后的口令是相同的即不同的密码能打开多个账户为了减少这种可能性 要考虑使用一些其他因素来加密 口令长度 口令在有效期内被猜出的可能性 决定口令的安全性可能性越小 口令越安全在其他条件相同的情况下 口令越长 安全性越大口令有效期越短 口令被猜出的可能性越小口令长度计算方法 m logass 口令空间a 字母表大小 为了计算合适的口令长度建立一个可以接受的口令猜出可能性p 例如10 20根据口令最大有效期l和单位时间内可能的口令猜测数r 以及p反过来计算ss l r p然后根据口令空间计算出口令长度 取整 破解口令的方法 社会工程学方法字典程序口令文件窃取暴力破解 口令管理 当用户在系统注册时 必须赋予用户口令用户口令必须定期更改系统必须维护一个口令数据库用户必须记忆自身的口令在系统认证用户时 用户必须输入口令 口令的安全性维护 口令的安全性应该由系统管理员和用户共同努力加以维护系统管理员初始化系统口令初始口令分配口令更改认证用户id使用户id重新生效培训用户 用户安全意识更改口令 如何防止口令暴露给系统管理员 小结 口令机制的实现要点 口令的存储口令的传输账户封锁账户管理用户安全属性审计实时通知系统管理员通知用户 2 1 3生物鉴别方法 证明你是谁 表现你的动作 提供用户特有的行为或生理上的特点指纹 面容扫描 虹膜扫描 视网膜扫描 手掌扫描心跳或脉搏取样 语音取样 签字力度 按键取样等采用的技术称为 生物测定学 采用一个生物测定学因素代替用户名或账户id作为身份标识需要用生物测定学取样对已存储的取样数据库中的内容进行一对多的查找并且要在生物测定学取样和已存储的取样之间保持主体身份的一一对应 使用生物鉴别方法应该注意绝对唯一鉴别要准确 鉴别设备要精确必须先取样并存储时间特性 随时间变化的因素 要考虑定期重新进行 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 2访问控制 访问控制用来提供授权用户在通过身份鉴别后 还需要通过授权 才能访问资源或进行操作使用访问控制机制的目的保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会 从而延缓这种感染的传播保证系统的安全性和有效性 以免受到偶然的和蓄意的侵犯 访问控制机制的实行确定要保护的资源授权确定访问权限实施访问权限 系统内主体对客体的访问控制机制 自主访问控制强制访问控制基于角色的访问控制 2 2 2自主访问控制 允许客体的所有者或建立者控制和定义主体对客体的访问访问控制矩阵的保存基于行的自主访问控制机制基于列的自主访问控制机制 基于行的自主访问控制机制 在每个主体上都附加一个该主体可以访问的客体的明细表三种形式权能表 决定用户是否可以对客体进行访问 以及进行何种模式的访问 对每一个用户 系统有一个权能表 前缀表 对每个主体赋予前缀表 前缀表包括受保护的客体名和主体对它的访问权限 口令 每个客体都相应的有一个口令 关于权能表 用户对自己所拥有的文件权能拷贝 回收权能的实现 权限字权限字是一个提供给主体对客体具有特定权限的不可伪造标识主体可以建立新的客体 并指定在这些客体上允许的操作 每个权限字标识可以允许的访问转移和传播权限权限字的管理必须存放在内存中不能被普通用户访问的地方 如系统保留区 专用区 被保护区域 基于列的自主访问控制机制 按客体附加一份可以访问它的主体的明细表两种方式保护位 unix访问控制表acl 按用户 细粒度 关于保护位 保护位对客体的拥有者 及其他的主体 主体组 用户 用户组 规定了一个对该客体访问的模式的集合 保护位的方式 不能完备的表达访问控制矩阵用户组 具有相似特点的用户集合拥有者对客体的所有权 只能通过超级用户特权来改变不考虑超级用户的话 拥有者是唯一能够改变客体保护位的主体一个用户可能属于多个用户组 但任意时刻只有一个活动的用户组 关于acl 访问控制表acl举例file1 id1 r w id2 r group1 w x acl的优点 表述直观 易于理解比较容易查出对一个特定资源拥有访问权限的所有用户 有效的实施授权管理 基于列的自主访问控制机制 按客体附加一份可以访问它的主体的明细表两种方式保护位 unix访问控制表acl 按用户 细粒度访问控制表acl举例file1 id1 r w id2 r group1 w x acl的优点 表述直观 易于理解 访问控制表方法的问题客体很多 用户的职位 职责变化时 单纯使用acl 不易实现最小特权原则和复杂的安全策略 授权管理费力 繁琐 容易出错 在文件和目录中常用的几种访问模式 对文件设置的访问模式读拷贝 read copy 与单纯的读 写删除 write delete 不同的系统可能有不同的写模式 或复杂的组合 更细致 写附加 删除 写修改等执行 execute 通常需要同时具备读权限无效 null 对客体不具备任何访问权限 考虑目录 对目录及和目录相对应的文件的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制 最好 对目录的访问模式读写扩展 write expand 更细的 读状态 修改 附加 2 2 3强制访问控制 对于自主访问授权 系统无法区分这是用户的合法操作还是恶意攻击的非法操作强制访问控制通过强加一些不可逾越的访问限制防止某些攻击 还可以阻止某个进程共享文件 并阻止通过一个共享文件向其他进程传递信息 强制访问控制基于安全属性每个进程 文件 ipc客体都被赋予相应的安全属性赋予的安全属性 通常不可变 由安全管理员或者os自动地按照严格的规则来设置访问时 根据进程的安全属性和客体的安全属性来判断是否允许代表用户的进程不能改变自身或任何客体的安全属性 也不能改变属于该用户的客体的安全属性 mac和dac通常结合在一起使用mac 防止其他用户非法入侵自己的文件dac 是用户不能通过意外事件和有意识的误操作来逃避安全控制 常用于将系统中的信息分密级和类进行管理 适用于政府部门 军事和金融等领域当且仅当主体能够同时通过dac和mac检查时 才能访问一个客体 强制访问控制对专用的或简单的系统是有效的 但对通用 大型系统并不那么有效一般强制访问控制采用一下几种方法 限制访问控制限制 用户要修改acl的唯一途径是请求一个特权系统调用 该调用的功能是依据用户终端输入的信息 而不是依靠另一个程序提供的信息来修改访问控制信息过程控制 对过程进行控制 例如 警告用户不要 提醒 取决于用户本身执行与否 系统控制 对系统的功能实施一些限制 如限制共享文件 限制用户编程等 2 2 4基于角色的访问控制 20世纪90年代 美国国家标准和技术研究院nist 基于角色的访问控制 rbac本质上是强制访问控制的一种 区别在于 基于对工作的描述而不是主体的身份进行访问控制 系统通过主体的角色或任务定义主体访问客体的能力适用于人员频繁变动的环境 基本思想 根据用户担当的角色来确定授权给用户的访问权限类比 银行的出纳员 会计师 贷款员类比 医院中的医生 护士 用户 角色 操作 主体 客体的关系 用户与角色 一个用户可经授权而拥有多个角色一个角色可由多个用户构成角色与操作 每个角色可执行多个操作每个操作也可由不同的角色执行用户与主体 一个用户可拥有多个主体 进程 每个主体只对应一个用户操作与客体每个操作可施加于多个客体每个客体也可以接受多个操作 用户 主体 能够对一客体执行访问操作的必要条件是 该用户被授权了一定的角色 其中有一个在当前时刻处于活跃状态 且这个角色对客体拥有相应的访问权限 rbac的特征 访问权限与角色相关联 不同的角色有不同权限对事不对人角色继承角色之间可能有互相重叠的职责和权力具有角色继承概念的角色 有自己的属性 但可能还继承其他的角色的属性及拥有的权限最小特权原则即用户所拥有的权力不能超过他执行工作时所需的权限可以设计不同的角色 满足最小特权原则 职责分离静态职责分离 staticseparationofduty ssd一个用户不能赋予多个角色动态职责分离 dynamicseparationofduty dsd一个用户可以赋予多个角色 但同一时刻只能有一个角色是活动的角色容量在一个特定的时间段内 有一些角色有人数限制在创建新的角色时 要指定角色的容量 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 3最小特权管理 超级用户vs 普通用户主流多用户操作系统中 超级用户一般具有所有特权 而普通用户不具有任何特权威胁 超级用户口令丢失 被冒充 误操作解决方法 实行最小特权管理原则参考 橘皮书关于最小特权的定义 要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权 即最低许可这个原则的应用将限制因意外 错误或未经授权使用而造成的损害 最小特权原则 必不可少的特权充分性 保证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作必要性 在充分的前提下加以限制基本思想和出发点 系统不应给用户超过执行任务所需特权以外的特权一种可能的方案 将特权用户的特权加以划分 形成一组细粒度的特权 最小特权举例1 在系统中定义系统安全管理员审计员操作员安全操作员网络管理员任何一个用户都不能获取足够的权力破坏系统的安全策略为了保证系统的安全性 不应赋予某人一个以上的职责 系统安全管理员对系统资源和应用定义安全级限制隐蔽通道活动的机制定义用户和自主访问控制的组为所有用户赋予安全级审计员设置审计参数修改和删除审计系统产生的原始审计信息控制审计归档 操作员启动和停止系统 以及完成磁盘一致性检查等格式化新的存储介质设置终端参数允许或不允许登录 但不能改变口令 用户的安全纪和其他有关安全的登录参数产生原始的系统记账数据 安全操作员 完成安全相关的日常例行活动 相当于具有特权能力的操作员 完成操作员的所有责任例行的备份和恢复安装和拆卸可安装介质 网络管理员管理网络软件 如tcp ip设置bun文件 允许使用uucp uuto等进行网络通信设置与连接服务器 cri认证机构 id映射机构 地址映射机构和网络选择有关的管理文件启动和停止rfs 通过rfs共享和安装资源启动和停止nfs 通过nfs共享和安装资源 最小特权举例2 cap setplevelcap setsprivcap setuidcap sysopscap setuprivcap macupgradecap fsysrangecap setflevelcap plockcap corecap loadmodcap sec opcap devcap opcap net admin 将系统中能进行敏感操作的能力分成26个特权cap ownercap auditcap compatcap dacreadcap dacwritecap devcap filesyscap macreadcap writecap mountcap multidir由一些特权用户分别掌握这些特权 哪一个特权用户都不能独立完成所有的敏感操作 常见的最小特权管理机制基于文件的特权机制基于进程的特权机制目前几种安全os的最小特权管理机制惠普的presidum virtualvault根功能分成42中独立的特权最小特权是惠普可信赖osvirtualvault的基本特性红旗安全操作系统rfsos一个管理角色不拥有另一个管理角色的特权 攻击者破获某个管理角色口令时 不会得到对系统的完全控制 selinux系统中不再有超级用户 而被分解避免了超级用户的误操作或其身份被假冒而带来的安全隐患 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 4可信通路 可信通路是用户能够借以同可信计算基通信的一种机制能够保证用户确定是和安全核心通信防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令最简单的办法 给每个用户两台终端一台用于处理日常工作 一台专门用于和内核的硬连接昂贵另一种方法 使用通用终端 通过发信号给核心不可信软件不能拦截 覆盖或伪造的信号安全注意键 linux的安全注意键 在x86平台上是 sysrq 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 5安全审计机制 审计是一种事后分析法 一般通过对日志的分析来完成日志 记录的事件或统计数据提供关于系统使用及性能方面的信息审计 对日志记录进行分析以清晰的 能理解的方式表述系统信息安全审计 对系统中有关安全的活动进行记录 检查及审核认定违反安全规则的行为 审计机制的主要作用 主要作用能详细记录与系统安全有关的行为 并对这些行为进行分析 发现系统中的不安全因素 保障系统安全能够对违反安全规则的行为或企图提供证据 帮助追查违规行为发生的地点 过程以及对应的主体对于已受攻击的系统 可以提供信息帮助进行损失评估和系统恢复安全操作系统一般都要求采用审计机制来监视与安全相关的活动橘皮书中有明确要求 2 5 1审计事件 审计事件是系统审计用户动作的基本单位通常根据要审计行为的不同性质加以分类主体 要记录用户进行的所有活动客体 要记录关于某一客体的所有访问活动用户事件标准每个用户有自己的待审计事件集基本事件集在用户事件标准中 每个用户都要审计的公共部分橘皮书从c2级开始要求具有审计功能gb17859 1999从第二级开始就对审计有了明确的要求 2 5 2审计系统的实现 日志记录器 收集数据根据要审计的审计事件范围记录信息输出 二进制形式 或者可以直接读取的形式或者直接传送给数据分析机制分析器 分析数据输入 日志分析日志数据 使用不同的分析方法来监测日志数据中的异常行为通告器 通报结果输入 分析器的分析结果把结果通知系统管理员或其他主体为这些主体提供系统的安全信息辅助他们对系统可能出现的问题进行决策 windowsnt的日志文件 系统日志跟踪各种系统事件记录由windowsnt的系统组件产生的事件例如 启动过程中加载驱动程序错误又如 系统崩溃应用程序日志记录由应用程序或系统程序产生的事件例如 应用程序产生的状态dll失败又如 应用程序的添加安全日志记录安全相关的关键安全事件例如 登录上网 下网 改变访问权限 系统启动和关闭 与创建 打开 删除文件等资源使用相关联的事件 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 2 6存储保护 运行保护和i o保护 存储保护存储保护需求保护用户存储在存储器中的数据保护单元和保护精度 字 字块 页面 段单道系统vs多道系统vs多用户系统存储器管理和存储保护之间的关系存储基本概念 虚拟地址空间 段内存管理的访问控制 系统段与用户段基于物理页号的识别基于描述符的地址解释机制 基于物理页号的识别 每个物理页号都被加上一个密钥系统只允许拥有该密钥的进程访问该物理页每个进程分配一个密钥 装入进程的状态字中每次访问内存时 由硬件对该密钥进行校验密钥 要匹配访问控制信息 读写权限 要匹配缺点 繁琐 基于描述符的地址解释机制 每个进程有一个 私有 的地址描述符 描述进程对内存某页或某段的访问模式可以有两类访问模式集 用户状态下运行的进程系统模式下运行的进程优点 开销小 基于保护环的运行保护 等级域保护机制应该保护某一环不被其外层环侵入允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环与进程隔离机制不同在任意时刻 进程可以在任何一个环内运行 并转移到另一个环 保护进程免遭在同一环内同时运行的其他进程的破坏 i o保护 i o操作一般是特权操作操作系统对io操作进行封装 提供对应的系统调用将设备看成一个客体 对其应用相应的访问控制规则读写两种针对从处理器到设备间的路径 第二章操作系统的安全机制 概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护 运行保护和i o保护主流os的安全机制 主流os的安全机制 1 linux2 microsoftwindows2000 linux的安全机制 pam入侵检测系统加密文件系统安全审计强制访问控制防火墙 pam pluggableauthenticationmodules目的 提供一个框架和一套编程接口 将认证工作由程序员交给管理员允许管理员在多种认证方法之间做出选择 能够改变本地认证方法而不需要重新编译与认证相关的应用程序以共享库的形式提供 功能包括 加密口令 包括des和其他加密算法 对用户进行资源限制 防止dos攻击允许随意shadow口令限制特定用户在指定时间从指定地点登录引入概念 clientplug inagents 使pam支持c s应用中的机器 入侵检测系统 目前比较流行的入侵检测系统有snort portsentry lids等利用linux配备的工具和从internet上download的工具 就可以使linux具备高级的入侵检测能力 包括 记录入侵企图当攻击发生时及时通知管理员在规定情况的攻击发生时 采取实现规定的措施发送一些错误信息 比如伪装成其他操作系统 例如windowsnt或者solaris系统 加密文件系统 加密文件系统就是将加密服务引入文件系统 从而提高计算机系统的安全性防止硬盘被偷窃防止未经授权的访问目前 linux已有多种加密文件系统 例如cfstcfs transparentcryptographicfilesystemcryptfs tcfs transparent 用户感觉不到文件的加密过程将加密服务和文件系统紧密集成不修改文件系统的数据结构备份与修复以及用户访问