第11章操作系统安全_第1页
第11章操作系统安全_第2页
第11章操作系统安全_第3页
第11章操作系统安全_第4页
第11章操作系统安全_第5页
已阅读5页,还剩33页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第,11,章,操作系统安全,11.1,操作系统安全问题概,述,作为用户使用计算机和网络资源的中间界面,操,作系统发挥着重要的作用,因此,操作系统本身的安,全就成了安全防护当中的一个重要课题,操作系统安全防护研究通常包括,1,操作系统本身提供的安全功能和安全服,务,现在的操作系统都提供一定的访问控制、认证,与授权等方面的安全服务,2,操作系统可采取什么样的配置措施使之,能够应付各种入侵,3,如何保证操作系统本身所提供的网络服,务得到了安全配置,11.1.1,操作系统安全概念,一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问,也就是说,只有经过授权的用户或代表该

2、用户运行,的进程才能读、写、创建或删除信息,操作系统内的活动都可以看作是主体对计算机,系统内部所有客体的一系列操作,操作系统中任何存有数据的东西都是客体,包,括文件、程序、内存、目录、队列、管道、进程间,报文,I/O,设备和物理介质等,能访问或使用客体活动的实体称作主体,一般,来说,用户或者代表用户进行操作的进程都是主体,主体对客体的访问策略,是通过可信计算基,TCB,Trusted Computing Base,来实现的,可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合,体,它建立了一个基本的保护环境并提供一个可信,计算系统所要求的附加用户服务。可信计算基

3、是系,统安全的基础,正是基于该,TCB,通过安全策略的,实施,控制主体对客体的存取,达到对客体的保护,我们一般所说的操作系统的安全,通常包含两,层意思,一个方面是操作系统在设计时通过权限访问控,制、信息加密性保护、完整性鉴定等一些机制实现,的安全,另一方面则是操作系统在使用中,通过一系列,的配置,保证操作系统尽量避免由于实现时的缺陷,或是应用环境原因产生的不安全因素,只有通过这两方面同时努力,才能够最大可能,地建立安全的操作环境,11.1.2,操作系统安全等级,从,20,世纪,80,年代开始,国际上很多组织开始研,究并发布计算机系统的安全性评价等级,最具影响,的是美国国防部制定的可信计算机系统

4、安全评估,标准,Trusted Computer System Evaluation,Criteria,简称,TCSEC,,它将评价准则划分为四,类,每一类中又细分了不同的级别,D,类:不细分级别,C,类,C1,级,C2,级,B,类,B1,级,B2,级,B3,级,A,类,A1,级。其中,D,类的,安全级别最低,A,类最高,高级别包括低级别的所,有功能,同时又实现一些新的内容,实际工作中主,要通过测试系统与安全的部分来确定这些系统的设,计和实现是否正确与安全,1,安全等级,D1,级,D1,级(最小保护),几乎没有保护,如,DOS,操,作系统,2,安全等级,C1,级,C1,级(自主安全保护)标准,

5、1,非形式化定义安全策略模型使用了基本,的,DAC,控制,2,实施在单一基础上的访问控制,3,避免偶尔发生的操作错误与数据破坏,4,支持同组合的敏感资源的共享,3,安全等级,C2,级,C2,级(可控访问保护)标准,1,非形式化定义安全策略模型使用了更加,完善的,DAC,策略与对象重用策略,2,实施用户登录过程,3,实施相关事件的审计,4,实施资源隔离,5,对一般性攻击具有一定的抵抗能力,6,C,级安全措施可以简单理解为操作系统逻,辑级安全措施,4,安全等级,B1,级,B1,级(表示安全保护)标准,1,保留,C2,级所有安全策略非形式化安全模,型定义,2,引用了安全标识,3,TCSEC,定义的安

6、全标识中的,6,个被采用了,在命名主体与客体上实施,MAC,控制,实际上引入了,物理级的安全措施,4,对一般性攻击具有较强的抵抗能力,但,对渗透攻击的抵抗能力比较低,5,安全等级,B2,级,B2,级(结构安全保护)标准,1,形式化定义安全策略,TCB,结构化,2,把,DAC,与,MAC,的控制扩展到所有的主体,与客体上,3,引入了隐蔽通道保护,4,更彻底的安全措施,5,强化了人证机制,6,严格系统配置管理,7,有一定的抵抗渗透能力,6,安全等级,B3,级,B3,级(安全域保护)标准,1,完好的安全策略的形式化定义必须满足,引用监控器的要求,2,结构化,TCB,结构继承了,B2,级的安全特性,3

7、,支持更强化的安全管理,4,扩展审计范围与功能,5,有较强的系统应急恢复能力,6,具有较高的抵抗渗透能力,7,安全等级,A1,级,A1,级(验证安全保护)标准,1,功能与,B3,级相同,2,增强了形式化分析,设计与验证,一般认为,A1,级已经基本实现各种安全需求,更,完美的系统就认为是超出,A1,级的系统,11.1.3,国内操作系统安全等级,中国国家标准计算机信息系统安全保护等级,划分准则,GB 17859-1999,规定了计算机系统,安全保护能力的五个等级,即,第一级:用户自主保护级,第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级,本标准中计算机

8、信息系统安全保护能力随着安,全保护等级的增高,逐渐增强,11.1.4,操作系统的安全威胁及其影响,1,保密性威胁,信息的保密性指信息的隐藏,目的是对非授权,的用户不可见,操作系统受到的保密性威胁很多,例如嗅探,嗅探就是对信息的非法拦截,它是某一种形式的信,息泄露。保密性威胁中,木马和后门的危害是最为,严重的,2,完整性威胁,信息的完整性指的是信息的可信程度,完整性的信息应该没有经过非法的或者是未经,授权的数据改变。完整性包括信息内容的完整性和,信息来源的完整性,根据信息完整性的特点,信息的完整性威胁主,要分为两类:破坏和欺骗,3,可用性威胁,可用性威胁是指对信息或者资源的期望使用能,力,可用性

9、是系统可靠性与系统设计中的一个重要,方面,因为一个不可用的系统起到的作用还不如没,有系统,操作系统的一个主要威胁在于计算机软件实现,中的疏漏,11.2,操作系统安全控制技术,11.2.1,操作系统安全技术概述,随着人们对操作系统安全问题研究的深入,出,现了以下几种安全技术,1,访问控制,访问控制是限制未授权的用户、程序、进程或,计算机网络中其他系统访问本系统资源的过程,其,主要任务是确保计算机资源不被非法使用和访问,访问控制主要是控制使用计算机系统的人员的,合法身份,包括口令认证,挑战应答,Kerberos,认证等方式,保证只有授权用户才能使用计算机资,源,2,权限控制,权限控制主要是对合法用

10、户正常操作的一种安,全保护措施,保证合法用户按照权限使用操作系统,资源和其他各种系统资源,3,数据备份与灾难恢复技术,数据备份和恢复技术主要是将相关信息资源复,制一个副本保存起来,当操作系统出现故障时,可,使用此副本恢复有关的信息资源,从而确保信息不,丢失,4,反病毒技术,反病毒技术主要通过对系统进行扫描来发现在,系统中存在的各种病毒,在系统病毒发作前,删除,或隔离病毒,从而消除病毒对系统的影响,5,加密技术和数字签名,加密技术主要根据一定策略将数据从一种数据,格式变成另一种数据格式,防止其他人查看或窃听,到有关的数据。数字签名主要用来保证信息的完整,性,防止其他人篡改有关的数据,此外,还有其

11、他一些网络安全技术,在这里就,不一一列举了,这些技术的出现,能够使操作系统,更为可靠、稳定地运行,11.2.2,访问控制技术,用户通过身份鉴别后,还必须通过授权才能访,问资源或进行操作,系统通过访问控制来提供授权。访问控制的基,本任务是防止对系统资源的非法使用,保证对客体,的所有直接访问都是被认可的,使用访问控制机制主要是为了达到以下目的,1,保护存储在计算机上的个人信息,2,保护重要信息的机密性,3,维护计算机内信息的完整性,4,减少病毒感染机会,从而延缓这种感染,的传播,5,保证系统的安全性与有效性,以免受到,偶然的和蓄意的侵犯,概括的说,就是首先识别与确认访问系统的用,户,然后决定该用户

12、对某一系统资源进行何种类型,的访问(读、写、删、改、运行等,广义的访问控制包括外界对系统的访问和系统,内主体对客体的访问,常用的访问控制技术有用户标识和鉴别、自主,访问控制、强制访问控制、基于角色的访问控制,最小特权管理、安全审计等,用户标识和鉴别是由系统提供一定的方式让用,户标识自己的名字或身份,每次用户要求进入系统,时,由系统进行核对,通过鉴定后才提供系统的使,用权,用户标识和鉴别的方法有很多种,而且在一个,系统中往往是多种方法并举,以获得更强的安全性,常用的方法是用户名和口令,用一个用户名或者用户标识号来标明用户身份,系统内部记录着所有合法用户的标识,系统鉴别此,用户是否是合法用户,若是

13、,则可以进入下一步的,核实;若不是,则不能使用系统,通过用户名和口令来鉴定用户的方法简单易行,但用户名与口令容易被人窃取,因此还可以用更复,杂的技术。例如,还可采用智能卡认证、动态口令,生物特征认证,USB Key,认证等多种身份认证技术,自主访问控制,Discretionary Access,Control,DAC,机制允许对象的属主自己来制订,针对该对象的保护策略,通常,DAC,通过授权列表(或访问控制列表,来限定哪些主体针对哪些客体可以执行什么操作,这包括设置文件,文件夹和共享资源的访问许可,如此将可以非常灵活地策略进行调整。自主访问控,制是按照用户意愿进行的,强制访问控制,Mandat

14、ory Access Control,MAC,是系统依照对象或用户的分级机制控制对资,源所进行的访问。这种控制的实现由管理员和系统,做出的,强制访问控制是用来保护系统确定的对象,对,此,对象或用户不能进行更改。这样的访问控制规,则是通常对数据和用户按照安全等级来分配安全标,签,访问控制机制通过比较安全标签来确定是授予,还是拒绝用户对资源的访问,基于角色访问控制,Role Based Access,Control,RBAC,通过分配和取消角色来完成用户,权限的授予和取消,并且提供角色分配规则,角色是访问权限的集合,用户通过赋予不同的,角色获得角色所拥有的访问权限,安全管理人员根据需要定义各种角色

15、,并设置,合适的访问权限,而用户根据其责任和资历再被指,派为不同的角色,这样,整个访问控制过程就分成两个部分,即,访问权限与角色相关联,角色再与用户关联,从而,实现了用户与访问权限的逻辑分离,最小特权管理是系统中的每个进程只应具有完,成其任务和功能所需要的最小特权,最小特权一方面给予主体“必不可少”的特权,这就保证了所有的主体都能在所赋予的特权之下完,成所需要完成的任务或操作;另一方面,它只给予,主体“必不可少”的特权,这就限制了每个主体所,能进行的其他操作,安全审计是模拟社会监督机制而引入到计算机,系统中,用于监视并记录系统活动的一种机制。审,计机制的主要目标是检测和判定对系统的渗透,识,别

16、操作并记录进程安全级活动的情况,11.2.3,权限控制技术,权限控制是计算机安全保密防范的第二道防线,访问权限控制是指对合法用户进行文件或数据,操作权限的限制,这种权限主要包括对信息资源的读、写、删,改、复制、执行等,在内部网中,应该确定合法用户对系统资源有,何种权限,可以进行什么类型的访问操作,防止合,法用户对系统资源的越权使用,对涉密程度不高的系统,可以按用户类别进行,访问权限控制;对涉密程度高的系统,访问权限必,须控制到单个用户,内部网与外部网之间,应该通过设置保密网关,或者防火墙来实现内外网的隔离与访问权限的控制,11.3 Windows Server 2003,操作系统安全,安全就是

17、采取各种措施防止任何损失。绝对安,全的系统就是任何用户什么都访问不了,但是,绝,对安全的系统是无用的,因此,要提供可用性,就,要接受一定程度的安全风险,安全管理的目的就是在保证系统可用性的情况,下减少安全风险。许多情况下,用户要对可能有意,无意的敏感数据进行操作。由于可用性与安全性是,一对矛盾,因此要让系统有用,就要放松访问控制,Windows Server 2003,采用了几种机制,防止,恶意用户攻击本地计算机,保护网络通信,11.3.1,身份验证,身份验证是系统安全的一个基础方面。它用于,确认尝试登录域或访问网络资源的任何用户的身份,Windows Server 2003,身份验证的重要功

18、能就是它,对单点登录的支持。采用单点登录后,用户可以使,用一个密码或智能卡一次登录到域然后向域中的任,何计算机验证身份,Windows Server 2003,身份验证的一个重要功,能是对智能卡的支持,在验证进入域的用户时,这,种方式使用了基于加密的身份验证和所有权证明,11.3.2,基于对象的访问控制,访问控制是批准用户、组和计算机访问网络上,的对象的过程,构成访问控制的主要概念是权限、用户权利和,对象审查,1,权限定义了授予用户或组对某个对象或,对象属性的访问权限,包括文件和文件夹的权限,共享权限、注册表权限、服务权限、指派打印机权,限、管理连接权限,WMI,权限、活动目录权限等,2,用户

19、权利定义了授予计算环境中的用户,和组特定的特权和登录权利。管理员可以指派特定,权利组账户或单个用户账户。这些权利批准用户执,行特定的操作,如交互式登录系统或备份文件和目,录,3,对象审查可以审核用户对对象的访问情,况。用户可以使用事件查看器在安全日志中查看这,些与安全相关的事件,11.3.3,审核策略,建立审核跟踪是安全性的重要内容。监视对象,的创建或修改为用户提供了追踪潜在安全性问题的,方法,帮助用户确保账户的可用性,并在可能出现,安全性破坏事件时提供证据,在组策略编辑器中,通过选择“计算机配置,Windows,设置,安全设置,本地策略,审核策略”,可,以设置审核策略,应该被审核的最普通的事

20、件类型包括,访问对象,例如文件和文件夹,用户账户的管理,用户登录到系统和从系统注销,审核的结果可使用事件查看器可以查看安全日,志而得知,11.3.4,软件限制策略,软件限制策略旨在满足控制未知或不信任的软,件的需求。随着网络、电子邮件在商务计算方面的,使用日益增多,用户发现他们经常会遇到新软件,病毒和特洛伊木马经常故意地伪装自己以骗得用户,的运行。要用户做出安全的选择来确定应运行的程,序是非常困难的,使用软件限制策略(在组策略编辑器中,通过,选择,Windows,设置,安全设置,软件限制策略”,可,以设置软件限制策略),可通过标识并指定允许运,行的软件来保护计算机环境免受不信任软件的侵袭,可以为组策略对象,GPO,定义“不受限”或,不允许”的默认安全级别,从而

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论