《操作系统安全性》PPT课件.ppt

第8章操作系统安全性,ISO信息技术安全评价通用准则隔离分级安全管理通信网络安全管理信息安全管理预防、发现、消除计算机病毒WINDOWS2000安全性UnixWare2.1/ES的安全性,ISO信息技术安全评价通用准则,D最低安全性C1自主存取控制C2较完善的自主存取控制、审计B1强制存取控制B2良好的结构化设计、形式化安全模型B3全面的访问控制、可信恢复A1形式化认证,分级安全管理,系统级安全管理：不允许未经核准的用户进入系统注册：系统纪录注册用户名/口令登录：系统核对用户名/口令用户级安全管理：为给用户文件分配文件“访问权限”而设计的；例如，Unix中，将用户分成三类：文件主、授权用户和一般用户文件级安全管理：通过系统管理员或文件主对文件属性的设置，来控制用户对文件的访问；通常可对文件置以下属性：执行、隐含、修改、索引、只读、写、共享等,通信网络安全管理,对网络安全的主要威胁：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面网络操作系统必须采用多种安全措施和手段：用户身份验证和对等实体鉴别；访问控制；数据完整性；加密；防抵赖；审计网络系统安全保障的实现方法以防火墙技术为代表的防卫型网络安全保障系统建立在数据加密和用户授权确认机制上的开放型网络安全保障系统,信息安全管理,保护信息以防止未授权者对信息的恶意访问、泄漏、修改和破坏，从而导致信息的不可靠或被破坏机密性Confidentiality:定义了哪些系统资源不能被未授权用户访问完整性Integrity:决定了信息不能被未授权的来源所替代或遭到改变和破坏可用性Availability:防止非法独占资源，每当用户需要并有权访问时，总能访问到所需的信息资源信息系统的安全性可用4A的完善程度来衡量用户身份验证Authentication：在用户获取信息、访问系统资源前对其身份标识进行确定和验证，以保证用户的合法性授权Authorization：使不同的用户能用各自的权限合法地访问他们可使用的信息及系统资源审计Audit：对各种安全性事件的检查、跟踪和记录保证Assurance：在意外故障乃至灾难中信息资源不被破坏与丢失,预防、发现、消除计算机病毒,计算机病毒是一个能够通过修改程序，并把自身的复制品包括在内去“传染”其它程序的一种程序计算机病毒的特性：破坏性、隐蔽性、传染性、表现性计算机病毒按其寄生方式：源码病毒、入侵病毒、外壳病毒、系统病毒计算机病毒的防治：病毒的预防，指采取措施保护传染对象不受病毒的传染病毒的发现，应该尽早根据种种蛛丝马迹发现病毒的存在，以便消除它病毒的消除，有专门的杀毒工具，如Vsafe、MSAV、Kill等，使系统恢复正常。,安全性和保护的基本机制,安全策略定义了一组用于授权使用其计算机及信息资源的规则保护机制是实施组织安全策略的工具身份鉴别分为内部和外部身份鉴别两种外部身份鉴别涉及验证某用户是否是其宣称的内部身份鉴别机制确保某进程不能表现为除了它自身以外的进程授权机制确认用户或进程只有在策略许可某种使用时才能够使用计算机的实体加密是将信息编码成像密文一样难解形式的技术,授权的实现,状态隔离例：VAX/VMS的四种处理器模式内核(Kernel)态：执行VMS操作系统的内核，包括内存管理、中断处理、I/O操作等执行(Executive)态：执行操作系统的各种系统调用，如文件操作等监管(Supervisor)态：执行操作系统其余系统调用，如应答用户请求用户(User)态：执行用户程序；执行诸如编译、编辑、连接、和排错等各种实用程序空间隔离访问矩阵的实现内存锁与key、访问控制列表、权能,密码学,加密函数与解密函数加密与解密机制的实现机制的实现保密密钥保密,Windows2000安全性系统组件,安全引用监视器(SRM)本地安全权限(LSA)服务器LSA策略数据库安全账号管理器服务器SAM数据库默认身份认证包登录进程网络登录服务,Windows2000的保护对象,保护对象包括：文件、设备、邮件槽、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面、网络共享、服务、注册表键和打印机,Windows2000的保护对象,安全描述体和访问控制每个保护对象都有一个安全描述体，用以控制哪些用户可以对访问的对象做什么，它包含下列主要属性：所有者SID：所有者的安全ID组SID：用于对象主要组的SID谨慎访问控制列表DACL：指定谁可以对访问的对象做什么系统访问控制列表SACL：指定哪些用户的哪些操作应登录到安全审核日志中,Windows2000的保护对象,安全描述体和访问控制访问控制列表ACL包括一个ACL头和零个或多个“访问控制项”(ACE)结构在DACL中，每个ACE都包含一个安全标识和访问掩码；DACL中可能存在两种类型的ACE：访问允许和访问拒绝SACL只包含系统审核ACE，用来指明特定用户或组在对象上进行的应得到审核的操作,Windows2000的保护对象,访问令牌与模仿访问令牌是一个包含进程或线程安全标识的数据结构：安全ID(SID)、用户所属组的列表以及启用和禁用的特权列表每个进程都从它的创建进程继承了一个首选访问令牌单个线程也可以有自己的访问令牌如果它们在“模仿”客户许多系统进程在名为SYSTEM的特殊访问令牌下运行,Windows2000的安全审核,对象管理器可以生成审核事件作为访问检查的结果，用户也可以直接生成审核事件LSA的审核规控制对审核一个特殊类型安全事件的决定；LSA向SRM发送消息以通知它系统初始化时的审核规则和规则更改的时间；LSA负责接收来自SRM的审核记录，对它们进行编辑并将记录发送到事件日志中SRM经连接到LSA的IPC发送这些审核事件，事件记录器将审核事件写入安全日志中当接收到审核记录后，它们被放到队列中以被发送到LSA,Windows2000的登录过程,登录是通过登录进程、ISA、一个或多个身份验证包和SAM的相互作用发生的身份验证包是执行身份验证检查的登录进程是一个受托进程，负责管理与安全性相关的用户相互作用；它协调登录，在登录时启动用户外壳，处理注销和管理各种与安全性相关的其他操作，包括登录时输入口令、更改口令以及锁定和解锁工作站,Windows2000的活动目录,活动目录存储了有关网络上所有资源的信息，它使开发者、管理员和用户可以很容易地找到和使用这些信息活动目录结构具有以下主要特性：灵活的分级结构、有效的多主机复制、粒状安全授权、新对象类和属性的可扩展存储、通过轻量目录访问协议(LDAP)版本3支持实现的基于标准的相互操作性、每一个存储中可达到上百万对象、集成动态域名系统(DNS)服务器、可编程类存储活动目录也是改进分布式系统安全性的重要基础,Windows2000的分布式安全性扩充,活动目录对所有域安全策略和账号信息提供存储对于用户、组和计算机账号信息，活动目录支持多级分层树状名称空间创建和管理用户或组账号的管理员权限可以委派给组织单元级包括以Internet标准安全协议为基础的新身份验证安全通道安全协议的实施支持用于相互作用登录的智能卡支持X.509版本3证书、CryptoAPI证书支持公用密钥证书支持个人安全证书,Windows2000的文件加密,加密文件系统(EFS)允许NTFS卷上的加密文件的存储EFS与NTFS紧密集成，EFS的驱动程序组件以核心态运行，使用非页交换区存储文件密钥，确保这些文件密钥不会将其变成页面调度文件EFS的关键组件：Win32API、EFS驱动程序、FSRTIJ标注、EFS服务文件加密可以使用任何加密算法；EFS第一版将采用DES(数据加密标准)作为加密算法；以后的版本将允许改变加密方案,Windows2000的安全配置编辑程序,新的安全配置编辑程序为以Windows2000为基础的单个站点提供系统安全管理，允许管理员配置和分析系统安全策略安全配置编辑程序将提供在宏水平上的分析安全配置编辑程序允许管理员定义很多配置设置，并使它们在后台生效，运用此工具，能使配置任务分组和自动化安全配置编辑程序的设计目标在于通过定义一个能够解释标准配置模板并在后台自动执行所请求的操作的引擎来实现这些系统工具,UnixWare2.1/ES的安全性,标识与鉴别系统中的每个用户都识置了一个安全级范围，表示用户的安全等级，系统除进行身份和口令的判别外，还进行安全级判别，以保证进入系统的陶户具有合法的身份标识和安全级别审计用于监视和记录系统中有关安全性的活动。可以有选择地设置哪些用户、哪些操作(或系统调用)、对哪些敏感资源的访问需要审计。这些事件的活动就会在系统中留下痕迹，事件的类型、用户的身份、操作的时间、参数和状态等构成一个审记记录记入审记日志。通过检查审记日志可以发现有无危害安全性的活动,UnixWare2.1/ES的安全性,自主存取控制：用于实现按用户意愿的存取控制。用户可以说明其私有资源允许系统中哪个或哪些用户以何种权限进行共享。系统中的每个文件、消息队列、信号量集、共享存储区、目录、和管道都可具有一个存取控制表，说明允许系统中的用户对该资源的存取方式强制存取控制：提供基于信息机密性的存取控制方法，用于将系统中的用户和信息进行分级别、分类别管理，强制限制信息的共享和流动，使不同级别和类别的用户只能访问到与其相关的、指定范围的信息，从根本上防止信息的泄密和乱访问现象,UnixWare2.1/ES的安全性,设备安全性：周于控制文件卷、打印机、