第二章操作系统安全.ppt

2020 4 8 操作系统安全共48页 1 第二章操作系统安全 本章主要内容 第一节安全等级标准第二节漏洞第三节netware系统安全第四节windowsnt系统安全第五节unix系统的安全第六节windows2000的安全 2020 4 8 操作系统安全共48页 2 第一节安全等级标准 计算机系统安全评价标准是一种技术性法规 在信息安全这一特殊领域 如果没有这一标准 与此相关的立法 执法就会有失偏颇 最终会给国家的信息安全带来严重后果 由于信息安全产品和系统的安全评价事关国家的安全利益 因此许多国家都在充分借鉴国际标准的前提下 积极制订本国的计算机安全评价认证标准 2020 4 8 操作系统安全共48页 3 2020 4 8 操作系统安全共48页 4 2020 4 8 操作系统安全共48页 5 2020 4 8 操作系统安全共48页 6 2020 4 8 操作系统安全共48页 7 2020 4 8 操作系统安全共48页 8 安全评估标准 2020 4 8 操作系统安全共48页 9 2020 4 8 操作系统安全共48页 10 2020 4 8 操作系统安全共48页 11 2020 4 8 操作系统安全共48页 12 2020 4 8 操作系统安全共48页 13 2020 4 8 操作系统安全共48页 14 2020 4 8 操作系统安全共48页 15 2 1 2中国国家标准 计算机信息安全保护等级划分准则 我国由公安部提出并组织制定的强制性国家标准 计算机信息系统安全保护等级划分准则 已于1999年9月13日经国家质量技术监督局发布 并于2000年1月1日起实施 该准则是针对当前我国计算机信息系统安全保护工作的现状和水平 充分借鉴国外评价计算机系统和安全产品的先进经验而制定的 该准则为安全产品的研制提供了技术支持 也为安全系统的建设和管理提供了技术指导 准则将计算机信息系统的安全等级划分为五级 2020 4 8 操作系统安全共48页 16 2 1 2中国国家标准 计算机信息安全保护等级划分准则 1 用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 2020 4 8 操作系统安全共48页 17 2 1 2中国国家标准 计算机信息安全保护等级划分准则 2 系统审计保护级与用户自主保护级相比 本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制 它通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 2020 4 8 操作系统安全共48页 18 3 安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级所有功能 此外 还提供有关安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误 2020 4 8 操作系统安全共48页 19 4 结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体 此外 还要考虑隐蔽通道 本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审 加强了鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的抗渗透能力 2020 4 8 操作系统安全共48页 20 5 安全域级保护级本级的安全保护机制具备第4级的所有功能 本级的计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身是抗篡改的 必须足够小 能够分析和测试 为了满足访问监控器需求 计算机信息系统可信计算基在其构造时 排除那些对实施安全策略来说并非必要的代码 在设计和实现时 从系统工程角度将其复杂性降低到最小程度 支持安全管理员职能 扩充审计机制 当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的抗渗透能力 2020 4 8 操作系统安全共48页 21 四 我国安全操作系统所面临的问题1 长期以来 我国广泛应用的主流操作系统都是从国外引进直接使用的产品 从国外引进的操作系统 其安全性难以令人放心 2 我国在安全操作系统方面已经开展了一些工作 但是缺乏理论基础 也就是缺乏对安全模型和安全评估准则的深入研究 使得安全操作系统方案缺乏整体性 3 目前国内基本上都是利用国外的技术甚至是部分源代码 根据市场需要自己组合成的操作系统 这种系统不具有我们的自主版权 4 以linux为代表的国际自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇 但是linux的内核设计缺乏模块化 从而导致基于linux平台研制安全操作系统的做法缺乏科学的安全模型支持 2020 4 8 操作系统安全共48页 22 2 2 1漏洞的概念 在计算机网络安全领域 漏洞 是指硬件 软件或策略上的缺陷 这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限 有了这种访问权限 非法用户就可以为所欲为 从而造成对网络安全的威胁 2020 4 8 操作系统安全共48页 23 2 2 2漏洞的类型 一 允许拒绝服务的漏洞1 何谓拒绝服务dos攻击 denialofservice 大量占用系统资源 消耗处理时间 造成系统瘫痪或合法用户无法访问 比喻 你家电话铃响 你拿起电话又无人讲话 于是挂电话 可时铃又响 又接又挂 经过几次你不再接电话 可铃声响个不停 第二天 你的一个朋友问你 我昨晚找你有急事 可是一直占线 2020 4 8 操作系统安全共48页 24 一个最简单最广泛的dos攻击 pingofdeath 攻击名称 pingofdeath操作系统 大多数操作系统协议 icmp工具 ping攻击原理 发送大量的ping包或数据包的容量大于64kb攻击后果 造成系统死机或难以忍受的慢防范措施 1 打补丁2 封杀ping3 在路由器上对icmp数据包进行带宽限制 2020 4 8 操作系统安全共48页 25 什么是icmp协议 icmp是 internetcontrolmessageprotocol internet控制消息协议 的缩写 它是tcp ip协议族的一个子协议 用于在ip主机 路由器之间传递控制消息 控制消息是指网络通不通 主机是否可达 路由是否可用等网络本身的消息 这些控制消息虽然并不传输用户数据 但是对于用户数据的传递起着重要的作用 我们在网络中经常会使用到icmp协议 只不过我们觉察不到而已 比如我们经常使用的用于检查网络通不通的ping命令 这个 ping 的过程实际上就是icmp协议工作的过程 2020 4 8 操作系统安全共48页 26 ping命令主要功能及使用小技巧 懂得网络的人都知道我们常用ping命令来检查网络是否畅通的一个简单的手段 ping命令通过向计算机发送报文并且监听回应报文的返回 以校验连接情况 默认情况下 发送四个回应报文 ping命令的格式 ping t a ncount lsize f ittl vtos rcount scount jhost list khost list wtimeout destination list 其中destination list是目的计算机的地址 2020 4 8 操作系统安全共48页 27 t 不断向指定的计算机发送报文 ping对方主机 按ctrl break可以查看统计信息或继续运行 直到用户按ctrl c键中断 此功能没有什么特别的技巧 不过可以配合其他参数使用 将在下面提到 示例1 c ping t192 168 1 21 2020 4 8 操作系统安全共48页 28 示例2 c ping a192 168 1 21p 192 168 1 21 with32bytesofdata replyfrom192 168 1 21 bytes 32time 10msttl 254replyfrom192 168 1 21 bytes 32time 10msttl 254replyfrom192 168 1 21 bytes 32time 10msttl 254replyfrom192 168 1 21 bytes 32time 10msttl 254pingstatisticsfor192 168 1 21 packets sent 4 received 4 lost 0 0 loss approximateroundtriptimesinmilli seconds minimum 0ms maximum 0ms average 0ms a解析计算机名 从上面就可以知道ip为192 168 1 21的计算机名为 2020 4 8 操作系统安全共48页 29 示例3 c ping n50202 103 96 68pinging202 103 96 68with32bytesofdata replyfrom202 103 96 68 bytes 32time 50msttl 241replyfrom202 103 96 68 bytes 32time 50msttl 241replyfrom202 103 96 68 bytes 32time 50msttl 241requesttimedout replyfrom202 103 96 68 bytes 32time 50msttl 241replyfrom202 103 96 68 bytes 32time 50msttl 241pingstatisticsfor202 103 96 68 packets sent 50 received 48 lost 2 4 loss approximateroundtriptimesinmilli seconds minimum 40ms maximum 51ms average 46ms ncount发送count指定的echo数据包数 在默认情况下 一般都只发送四个数据包 通过这个命令可以自己定义发送的个数 对衡量网络速度很有帮助 2020 4 8 操作系统安全共48页 30 示例4 c ping l65501 t192 168 1 21pinging192 168 1 21with65501bytesofdata replyfrom192 168 1 21 bytes 65501time 10msttl 254replyfrom192 168 1 21 bytes 65501time 10msttl 254 此介绍带有危险性 仅用于试验 请勿轻易施于别人机器上 否则后果自负 lsize定义echo数据包大小 在默认的情况下windows的ping发送的数据包大小为32byt 我们也可以自己定义它的大小 但有一个大小的限制 就是最大只能发送65500byt 如果你只有一台计算机也许没有什么效果 但如果有很多计算机那么就可以使对方完全瘫痪 我曾经就做过这样的试验 当我同时使用10台以上计算机ping一台win2000系统的计算机时 不到5分钟对方的网络就已经完全瘫痪 由此可见威力非同小可 2020 4 8 操作系统安全共48页 31 ping命令的其他技巧 在一般情况下还可以通过ping对方让对方返回给你的ttl值大小 粗略的判断目标主机的系统类型是windows系列还是unix linux系列 一般情况下windows系列的系统返回的ttl值在100 130之间 而unix linux系列的系统返回的ttl值在240 255之间 当然ttl的值在对方的主机里是可以修改的 windows系列的系统可以通过修改注册表以下键值实现 hkey local machine system currentcontrolset services tcpip parameters 2020 4 8 操作系统安全共48页 32 2 允许有限权限的本地用户未经授权提高其权限的漏洞 3 允许外来团体 在远程主机上 未经授权访问网络的漏洞 2020 4 8 操作系统安全共48页 33 2 2 3漏洞对网络安全的影响 1 漏洞影响internet的可靠性和可用性2 漏洞导致internet上黑客入侵和计算机犯罪3 漏洞致使internet遭受网络病毒和其它软件的攻击 2020 4 8 操作系统安全共48页 34 2 2 4漏洞与后门的区别 漏洞与后门是不同的 漏洞是难以预知的 后门则是人为故意设置的 后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令 这些口令无论是被攻破 还是只掌握在制造者手中 都对使用者的系统安全构成严重的威胁 2020 4 8 操作系统安全共48页 35 第三节netware系统安全 本节将讨论如下内容 netware系统安全等级netware系统的安全性netware系统安全性增强netware系统的安全漏洞 2020 4 8 操作系统安全共48页 36 2 3 1netware系统安全等级 netware系统符合c2级安全标准 2020 4 8 操作系统安全共48页 37 2 3 2netware系统的安全性 netware系统目录服务在访问控制方面 netware使用netware目录服务 netwaredirectoryservices nds 提供层次式的分配和管理网络访问权的办法 它可以使用一个控制台实现对整个网络环境的管理 nds还提供了十分详细的用户对网络资源访问的分级控制 2020 4 8 操作系统安全共48页 38 2 账户管理器netware账户管理非常容易 可以使用nwadmn95实用程序来完成 也可以直接从服务器中使用consoleone管理账户 账户管理员对用户的管理可以包括非常具体的情况 通过选择用户的 details 管理员可以在这个控制台中实现对用户的各种管理 2020 4 8 操作系统安全共48页 39 3 文件系统netware系统对文件的管理一般是通过nwadmn95进行控制的 这样可以保证nds管理员快速识别分配给每个用户的访问权限 在netware系统中 有一个名叫filer的实用程序 它允许管理员以递归方式控制目录的访问权限系列 这种访问权限系列可以使用继承式权限屏蔽进行控制 所谓继承式权限屏蔽 是指在正常情况下 如果一个用户获得了对特定目录的读许可权 将会获得对其下所有子目录中文件的读许可权 netware系统提供了继承权式权限屏蔽对这种权限进行限制 使之不再向下延续包括所有子目录 这使得管理员可以准确地分配任何一级目录的访问权限 2020 4 8 操作系统安全共48页 40 4 日志记录和审核netware服务器可以生成两类日志 一种是由console nlm生成的控制台日志 该日志记录着所有控制台活动和出错的信息 另一种是由auditcon实用程序生成的审核日志 auditcon程序不仅允许系统管理员监视包括从用户登录到口令修改和特定文件的访问等一系列情况 可以监视约束多达70个事件 而且它还允许系统管理员指定的用户监视服务器的情况 2020 4 8 操作系统安全共48页 41 5 网络安全netware系统本身具有一套较为完善的网络安全体系 例如对目录和文件的控制 管理员还可以限定用户登陆的物理位置等等 netware系统被认为是优秀web服务器平台的最佳选择之一 因为即使有远程黑客的侵入 它也只能危害系统的一个区域 很难访问整个系统 2020 4 8 操作系统安全共48页 42 2 3 3netware系统安全性增强 远程控制台访问安全保护 使用telnet访问控制台 2020 4 8 操作系统安全共48页 43 2 3 4netware系统的安全漏洞 1 获取账号2 查阅合法账号3 获得超级用户的账号 2020 4 8 操作系统安全共48页 44 本节主要内容 windowsnt的安全等级windowsnt的安全性windowsnt的安全漏洞 第四节windowsnt系统安全 2020 4 8 操作系统安全共48页 45 2 4 1windowsnt的安全等级 作为一个标准的系统 windowsntserver自3 5版就已达到了国家计算机安全中心的c2级安全级的要求 部分程序 如身份确认 审计和把操作者账号与管理员账号分开的功能 甚至达到了更高的安全级 即b2级 要求 2020 4 8 操作系统安全共48页 46 2 4 2windowsnt的安全性 kerberos和windowsntkerberos是一种验证协议 该验证协议定义了一个客户端和一个密钥分配中心的网络验证服务之间的接口 windowsnt5 0的密钥分配中心在域中的每个域控制器上进行验证服务 kerberos客户端的运行是通过一个基于sspi 一个win32的安全性系统api 的windowsnt安全性接口来实现的 kerberos验证过程的初始化集成到了winlogon单一登录的结构中 2020 4 8 操作系统安全共48页 47 2 加密文件系统windowsnt5 0中 提供了一种基于新一代ntfs ntfsv5 第 版本 的加密文件系统 encryptedfilesystem 简称efs 一个文件在使用之前不需要手工解密 因为加密和解密对用户是透明的 加密和解密自动地发生在从硬盘中读取数据以及向硬盘中写人数据时 当发生磁盘i o时 efs能够自动地检测对象文件是否为加密过的文件 如果是加密文件 efs从系统的密钥存储区得到一个用户的私有密钥 如果访问加密文件的用户不是原来对文件进行加密的用户 他的私有密钥必然与进行加密的用户是不同的 这样 用私有密钥还原出来的fek必然是不正确的 这时得到的是一个对文件的拒绝访问信息 所有这一切都不需要用户的参与 用户访问一个经过加密的文件或目录只可能得到两个结果 允许访问 与其它文件系统中的情况相同 或者拒绝访问 2020 4 8 操作系统安全共48页 48 3 windowsipsecurity安全性支持为了防止来自网络内部的攻击 windowsnt5 0推出了一种新的网络安全性方案一ipsecurity ip安全性 它符合ietf宣布的ip安全性协议的标准 支持在网络层一级的验证 数据完整性和加密 它和windowsntserver内置的安全性集成在一起 为维护安全的internet和intranet通信 windowsnt5 0提供了一个理想的平台 2020 4 8 操作系统安全共48页 49 2 4 3windowsnt的安全漏洞 1 紧急修复盘产生的安全漏洞 2 被无限制地尝试连接 3 最近登录的用户名显示问题 4 打印机问题 2020 4 8 操作系统安全共48页 50 第五节unix系统的安全 本节内容 unix系统的安全等级unix系统的安全性unix系统的安全漏洞 2020 4 8 操作系统安全共48页 51 2 5 1unix系统的安全等级 unix系统符合国家计算机安全中心的c2级安全标准 引进了受控访问环境 用户权限级别 的增强特性 进一步限制用户执行某些系统指令 审计特性跟踪所有的 安全事件 如登录成功或失败 和系统管理员的工作 如改变用户访问权限和密码 2020 4 8 操作系统安全共48页 52 2 5 2unix系统的安全性 1 控制台安全控制台安全是unix系统安全的一个重要方面 当用户从控制台登录到系统上时 系统会显示一些系统的有关信息 而后提示用户输入用户的使用账号 用户输入账号的内容显示在终端屏幕上 而后提示用户输入密码 此时用户输入的密码则不会显示在终端屏幕上 这是为了安全起见 可以对系统进行如下设置 如果用户输入口令超过三次后 系统将锁定用户 禁止其登录 这样可以有效防止外来系统的侵入 当然最重要的还是需要在口令安全方面做一下设计 2020 4 8 操作系统安全共48页 53 2 口令安全任何登陆unix系统的人 都必须输入口令 而口令文件passwd只有超级用户可以读写 因此该文件能够被普通用户盗走 这也说明 在大多数情况下 系统的超级用户权限有可能被攻击者行使 攻击者的目的主要是通过破解口令文件 寻找出一些口令来 从而以后可以冒充合法用户访问主机 所以一旦用户发现系统的口令文件被非法访问过 一定要及时更换所有用户的口令 2020 4 8 操作系统安全共48页 54 网络文件系统unix资源的访问是基于文件的 在unix系统中 各种硬件设备甚至系统内存都是以文件形式存在的 因此 为了维护系