操作系统安全机制PPT课件

1、操作系统安全机制 第二章第二章 操作系统安全机制操作系统安全机制操作系统安全机制操作系统安全的主要目标访问控制访问控制身份鉴别身份鉴别监督系统运行的安全性监督系统运行的安全性保证系统的安全性和完整性保证系统的安全性和完整性操作系统安全机制普遍的安全机制信任的功能性信任的功能性时间检测时间检测审计跟踪审计跟踪安全恢复安全恢复操作系统安全机制2.1标识与鉴别机制用户标识(identification)：用来标明用户身份，确保用户的惟一性和可辨认性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略，如用户数据保护和安全审计

2、的基础。通过为用户提供标识，TCB能使用户对自己的行为负责。操作系统安全机制用户鉴别用户鉴别(authentication)：用特定信息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有效实施其他安全策略的基础。操作系统安全机制三类信息用作身份标识和鉴别用户知道的信息用户拥有的东西用户的生物特征利用其中的任何一类都可进行身份认证，但若能利用多类信息，或同时利用三类中的不同信息，会增强认证机制的有效性和强壮性。操作系统安全机制2.1.2 密码口令机制简单易行，但最为脆弱口令管理系统管理员的职责用户的职责口令实现要点操作系统安全机制2

3、.1.3 生物鉴别方法用户提供自己独有的生理或行为上的特点常见的指纹识别操作系统安全机制2.2 访问控制用户进程是固定为某特定用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。操作系统安全机制用户与主体绑定系统进程是动态地为所有用户提供服务的，它的权限随着服实对象的变化而改变，这需要将用户的权限与为其服务的进程的权限动态地相关联。这也就是说，一个进程在不同时刻对一个客体有不同的访问权限，取决于它当时所执行的任务。当进程在执行正常的用户态应用程序时(用户进程)，它所拥有的权限与其代表的用户有关；当进程进行系统调用时，它开始执行内核函数

4、(系统进程)，此时运行在核心态，拥有操作系统权限。操作系统安全机制授权机制的功能经典的计算机系统两种机制的关键点，当一个用户试图访问计算机系统时，认证机制首先标识与鉴别用户身份用户进入系统后，再由授权机制检查其是否拥有使用本机资源的权限及有多大的访问权限。授权机制的功能是授权和存取控制，其任务是：授权，确定给予哪些主体存取哪些客体的权力。确定存取权限，通常有：读、写、执行、删除、追加等存取方式。实施存取权限。操作系统安全机制认证和授权 用户1认证机制授权机制主体1主体1可访问的资源计算机系统主体2用户2主体1、主体2可访问的资源操作系统安全机制2.2.2 自主访问控制策略本策略根据系统中信息属

5、主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限，这一点上对信息属主是“自主的”。这样一来，它能提供精细的访问控制策略，能将访问控制粒度细化到单个用户(进程)。按照系统访问控制策略实现的访问控制机制，能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问权限，没有访问权限的用户，只允许由授权用户指定其对客体的访问权。操作系统安全机制矩阵模型：矩阵模型：设S为全体主体的集合，Ss 1，s 2，s m 。设O为全体客体的集合，Oo 1，o 2，o n 。设R为全体权力的集合，Rr 1，r 2，r l 。记权力矩阵为： a 1 1 ，a 1 2 ，a 1 n S 1 a

6、 2 1 ，a 2 2 ，a 2 n S2 A =o 1,o 2,o n a m 1 ，a m 2 ，a m n Sm 自主访问控制模型自主访问控制模型操作系统安全机制矩阵的每一行对应一个主体，每一列对应一个矩阵的每一行对应一个主体，每一列对应一个客体。行与列交叉点上的元素客体。行与列交叉点上的元素a ij ij 表示主体表示主体si i 对客体对客体oj j 所拥有的所有权力的集合。所拥有的所有权力的集合。当主体当主体si i 要对客体要对客体oj j 进行访问时，访问控制机进行访问时，访问控制机制检查制检查aij ij ，看主体，看主体si i 是否具有对客体是否具有对客体oj j 进行访

7、进行访问的权力，以决定主体问的权力，以决定主体si i 是否可对客体是否可对客体oj j 进行进行访问，以及进行什么样的访问。访问，以及进行什么样的访问。自主性自主性 客体的属主有权将其客体的访问权力客体的属主有权将其客体的访问权力授予授予其其它主体，或它主体，或收回收回。自主访问控制模型自主访问控制模型操作系统安全机制矩阵模型的实现矩阵模型的实现基于矩阵列基于矩阵列- 对需要保护的客体附件一个访问控制表，对需要保护的客体附件一个访问控制表，标明各拥有权力的主体的标识与权限。标明各拥有权力的主体的标识与权限。- UNIX，LINUX，NT基于矩阵的行基于矩阵的行-在每个主体上附件一个可访问的客

8、体的明在每个主体上附件一个可访问的客体的明细表：细表： 权力表权力表 口令口令自主访问控制模型自主访问控制模型操作系统安全机制1. 基于行的自主存取控制机制在每个主体上都附加一个该主体可访问的客体明细表，根据表中信息的不同又可分成3种：操作系统安全机制1) 权能表 进程ID1的CL：文件X(rw-);程序Y(r-);进程IDn的CL：内存段Z(rw-);程序Y(r-x);用户可以把全能表拷贝给其他用户，也可以从其他用户取回用户可以把全能表拷贝给其他用户，也可以从其他用户取回操作系统安全机制2)前缀表对每个主体赋予前缀(Profiles)表，它包含受保护的客体名和主体对它的访问权限，每当主体访问

9、某客体时，自主存取控制机制将检查主体的前缀是否具有它所请求的访问权。 权限管理复杂操作系统安全机制3)口令表(Passwords List)在基于口令表的自主存取控制机制中，每个客体都有一个口令，主体在对客体访问前，必须向安全系统提供该客体的口令，如果正确便允许访问。 操作系统安全机制2. 基于列的自主存取控制机制存取控制表ACL(Access Control List)是十分有效的自主访问控制机制，被许多系统采用。此机制如下实现，在每个客体上都附加一个可访问它的主体的明细表，表示存取控制矩阵，表中的每一项都包括主体的身份和主体对该客体的访问权限。操作系统安全机制ACL和优化ACL PID1,

10、r-xPID2,rw-PID3,-xPID4,rwx客体Y (a)存取控制表 文件XPID1 GROUP5 rwx* GROUP5 -xPID3 * -* * r- (b)优化的存取控制表 操作系统安全机制3. 自主存取控制机制实现举例1)“拥有者/同组同户/其他用户”模式2)“存取控制表ACL”和“拥有者/同组同户/其他用户”结合模式在安全操作系统UNIX SVR4.1中，采用“存取控制表ACL”和“拥有者/同组同户/其他用户”结合的实现方法，ACL只对于“拥有者/同组同户/其他用户”无法分组的用户才使用。 操作系统安全机制2.2.3 强制访问控制策略在强制访问控制机制下，系统内的每个用户或

11、主体被赋予一个许可标记或访问标记，以表示他对敏感性客体的访问许可级别；同样，系统内的每个客体被赋予一个敏感性标记(sensitivity label)，以反映该客体的安全级别。安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问请求权限。操作系统安全机制实现多级安全访问控制机制必须对系统的主体和客体分别赋予与其身份相对称的安全属性的外在表示-安全标签，它有两部分组成： 安全类别：范畴操作系统安全机制(1) 安全类别有等级的分类安全级别：也称密级，系统用来保护信息(客体)的安全程度。 敏感性标签：客体的安全级别的外在表示，系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限

12、。许可级别：进程（主体）的安全级别，用来判定此进程对信息的访问程度。许可标签：进程的安全级别的外在表示，系统利用进程的安全级别来判定此进程是否拥有对要访问的信息的相应权限。操作系统安全机制(2) 范畴无等级概念范畴是该安全级别信息所涉及的部门。操作系统安全机制公司内可以建立信息安全类别Confidential Restricted(技术信息)、 Restricted(内部信息)Unrestricted(公开信息)；军事部门的信息安全类别Top Secret(绝密)、Secret(秘密)、Confidential(机密)和Unclassified(公开) 操作系统安全机制公司内的范畴Accoun

13、ting(财务部)、Marketing(市场部)、Advertising(广告部)、Engineering(工程部)和Reserch&Development(研发部)。在公司内，财务部经理与市场部经理虽然级别相同（都是经理），但由于两人分属不同部门（财务部负责财务，市场部负责市场），从而，分 属 两 个 不 同 的 范 畴 （ A c c o u n t i n g 、Marketing），故市场部经理是不能够访问财务部经理的信息的。操作系统安全机制2.2.4 基于角色的访问控制 BRACBRAC介绍介绍h由由ISTIST的的FerraioloFerraiolo等人在等人在9090年代提出。年

14、代提出。hNISTNIST成立专门机构进行研究。成立专门机构进行研究。h9696年提出一个较完善的基于角色的访问年提出一个较完善的基于角色的访问控制参考模型控制参考模型RBAC96RBAC96。操作系统安全机制 BRACBRAC的基本思想的基本思想根据用户在一个组织中担任的角色来确根据用户在一个组织中担任的角色来确定对其所的授权。定对其所的授权。BRACBRAC是强制访问模型，不是是强制访问模型，不是DACDAC虽然一个用户担任一个角色后，便可以虽然一个用户担任一个角色后，便可以拥有该角色的权限，但是他不能将权限拥有该角色的权限，但是他不能将权限转授给别人。转授给别人。操作系统安全机制 BRA

15、C BRAC的基本概念的基本概念hRBACRBAC的基本思想是根据用户所担任的角色来决定用户的基本思想是根据用户所担任的角色来决定用户的在系统中的访问权限。的在系统中的访问权限。h一个用户必须扮演某种角色，而且还必须激活这一角色，一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作。才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限访问或操作操作系统安全机制 BRAC BRAC的基本概念的基本概念h用户（用户（UserUser） 访问计算机资源的主体。访问计算机资源的主体。用户集合为用户集合为 U U. .h角色（角色（rolerole） 一种岗位

16、，代表一种资格、权利和责任。一种岗位，代表一种资格、权利和责任。角色集合为角色集合为 R.R.h权限（权限（permissionpermission） 对客体的操作权力。对客体的操作权力。权限集合为权限集合为 P.P.h用户分配（用户分配（User AssignmentUser Assignment） 将用户与角色关联。将用户与角色关联。 用户分配集合为用户分配集合为UA=(u,r)|uU, rR . UA=(u,r)|uU, rR . 用户用户 u u与角色与角色 r r关联后，将拥有关联后，将拥有 r r的权限。的权限。操作系统安全机制 BRAC BRAC的基本概念的基本概念h权限分配（权

17、限分配（Permission AssignmentPermission Assignment） 将角色与权限关联。将角色与权限关联。 权限分配集合为权限分配集合为PA=(p,r)|pP, rR .PA=(p,r)|pP, rR . 权限权限 p p与角色与角色 r r关联后，角色关联后，角色 r r将拥有权限将拥有权限 p p。h激活角色（激活角色（Actve RoleActve Role） 角色只有激活才能起作用，否则不起作用。角色只有激活才能起作用，否则不起作用。 通过会话激活角色。通过会话激活角色。h会话（会话（SessionSession） 用户要访问系统资源时，必须先建立一个会话。用

18、户要访问系统资源时，必须先建立一个会话。 一次会话仅对应一个用户。一次会话仅对应一个用户。一次会话可激活几个角色。一次会话可激活几个角色。操作系统安全机制 BRAC BRAC的基本机制的基本机制hRBACRBAC的授权机制：的授权机制： a. a.分为两步：分为两步： 将用户分配给角色将用户分配给角色 将访问权限分配给角色将访问权限分配给角色 b.b.授权要满足安全约束条件。授权要满足安全约束条件。 最小特权原则最小特权原则 职责分离原则职责分离原则 角色互斥原则角色互斥原则 角色激活限制原则角色激活限制原则 c c. .角色分级，高级角色可以继承低级角色的访问权限。角色分级，高级角色可以继承

19、低级角色的访问权限。操作系统安全机制 BRAC BRAC的基本机制的基本机制hRBACRBAC用户与角色的关系：（多对多关系）用户与角色的关系：（多对多关系） a. a.一个用户可担当多个角色一个用户可担当多个角色 b. b.一个角色可分配给多个用户一个角色可分配给多个用户h角色和权限之间的关系：角色和权限之间的关系：（多对多的关系）（多对多的关系） a. a.一个角色可以拥有多个访问权限，一个角色可以拥有多个访问权限， b.b.不同的角色也可以拥有相同的权限。不同的角色也可以拥有相同的权限。h角色和角色的关系：角色和角色的关系：（分级关系）（分级关系） 高级角色可以继承低级角色的访问权限。高

20、级角色可以继承低级角色的访问权限。操作系统安全机制 BRAC BRAC的基本机制的基本机制l角色分级角色分级 a. a.角色分级是组织角色的一种自然方法角色分级是组织角色的一种自然方法。 b.b.角色分级的结果将导致一个角色可以直接或间接地继角色分级的结果将导致一个角色可以直接或间接地继承另一角色的访问权限。承另一角色的访问权限。 c. c.直接继承：相邻角色之间的继承。直接继承：相邻角色之间的继承。 d.d.间接继承：非相邻角色之间的继承。间接继承：非相邻角色之间的继承。 操作系统安全机制角色分级角色分级(role hierarchy)(role hierarchy)继承关系继承关系 高级角

21、色中间角色高级角色低级角色低级角色中间角色中间角色高级角色操作系统安全机制 BRAC BRAC的基本机制的基本机制l安全约束安全约束约束是设计高级安全策略的一个强有力的机制。约束是设计高级安全策略的一个强有力的机制。各个环节施加安全约束，以实现不同的安全策略。各个环节施加安全约束，以实现不同的安全策略。可以定义在系统层，也可以定义在应用层。可以定义在系统层，也可以定义在应用层。可以是事件触发的，也可以不是事件触发的。可以是事件触发的，也可以不是事件触发的。n职责分离约束职责分离约束合理划分任务和相关权限，以保证多用户协同工作的合理划分任务和相关权限，以保证多用户协同工作的安全性。安全性。如，公

22、检法三权分立，互相配合，又互相监督。如，公检法三权分立，互相配合，又互相监督。操作系统安全机制n角色互斥约束角色互斥约束如果一组角色是互斥的，那么一个用户或同一个访如果一组角色是互斥的，那么一个用户或同一个访问权限只能被分配给其中的一个角色。问权限只能被分配给其中的一个角色。 利用角色互斥约束可实现职责分离。利用角色互斥约束可实现职责分离。 例如，一个人不能又当裁判员又当运动员。例如，一个人不能又当裁判员又当运动员。n最小特权约束最小特权约束只给角色分配完成某工作所需的最小权力。只给角色分配完成某工作所需的最小权力。n角色激活约束角色激活约束 激活数约束激活数约束 限制一个角色同时授权和激活的

23、数目。如总经理限制一个角色同时授权和激活的数目。如总经理只有只有1 1个。个。角色激活时间约束角色激活时间约束 限制一个角色激活的时间。如岗位任期制。限制一个角色激活的时间。如岗位任期制。 操作系统安全机制 BRAC96模型模型hBRAC96模型包括模型包括4个层次：个层次：hBRAC0：基础模型：基础模型hBRAC1：在：在BRAC0的基础上增加了角色分级的基础上增加了角色分级hBRAC2：在：在BRAC0的基础上增加了角色和权限约束的基础上增加了角色和权限约束hBRAC3：集成了：集成了BRAC1 和和BRAC2h h 操作系统安全机制 BRAC96模型模型用户U角色B权限P安全约束会话操

24、作系统安全机制 BRAC BRAC模型的优缺点模型的优缺点h便于授权管理。如系统管理员需要修改系统设便于授权管理。如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场置等内容时，必须有几个不同角色的用户到场方能操作，增强了安全性。方能操作，增强了安全性。h便于处理工作分级。如，文件等资源分级管理。便于处理工作分级。如，文件等资源分级管理。h利用安全约束，容易实现各种安全策略，如最利用安全约束，容易实现各种安全策略，如最小特权，职责分离等。小特权，职责分离等。h便于任务分担，不同角色完成不同的任务。便于任务分担，不同角色完成不同的任务。操作系统安全机制MAC和和DAC的应用的应用在

25、在C C级操作系统中应用级操作系统中应用MACMAC访问控制模型访问控制模型在在B B级以上操作系统中将级以上操作系统中将MACMAC和和DACDAC联合联合应用应用 访问请求MAC检查DAC检查拒绝访问失败通过通过接受访问操作系统安全机制2.3 最小特权管理最小特权原则是系统安全中最基本的原则之一。所谓最小特权（Least Privilege），指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小特权原则一方面给予主体必不可少的特权，这就保证了所有的主体

26、都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体必不可少的特权，这就限制了每个主体所能进行的操作。操作系统安全机制最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，而角色允许主体以参与某特定工作所需要的最小特权去签入（Sign）系统。被授权拥有强力角色（Powerful Roles）的主体，不需要动辄运用到其所有的特权，只有在那些特权有实际需求时，主体才去运用它们。如此一来，将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生，限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用，从而使对特权无意的、没必要的或不适当的使用不太可能

27、发生。这种想法还可以引申到程序内部：只有程序中需要那些特权的最小部分才拥有特权。 操作系统安全机制在安全操作系统中，为了维护系统的正常运行及其安全策略库，管理员往往需要一定的特权直接执行一些受限的操作或进行超越安全策略控制的访问。特权是超越访问控制限制的能力，它和访问控制结合使用，提高了系统的灵活性。操作系统安全机制举例对可执行文件赋予相应的特权集对于系统中的每个进程，根据其执行的程序和所代表的用户的用户，赋予相应的特权集。请求特权操作，将调用特权管理机制，判断该进程的特权级集中是否有这种操作特权。操作系统安全机制2.4可信通路是用户能够借以直接同可信计算基是用户能够借以直接同可信计算基TCB

28、通信的一种机制。通信的一种机制。保障用户和内核的可信通信。保障用户和内核的可信通信。实现方法：实现方法：n两台终端，一台做通常工作，一台用作与内核的硬两台终端，一台做通常工作，一台用作与内核的硬连接连接n仍然用同种终端，通过发信号（安全注意键仍然用同种终端，通过发信号（安全注意键SAK）给核心给核心操作系统安全机制2.5 安全审计安全审计就是对系统中有关安全的活动进行记录、安全审计就是对系统中有关安全的活动进行记录、检查及审核。检查及审核。主要目的：检测和阻止非法用户对计算机系统的主要目的：检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。入侵，并显示合法用户的误操作。审计机制是通

29、过对日志的分析来完成的。审计机制是通过对日志的分析来完成的。日志就是记录的事件或统计数据，都能提供关于日志就是记录的事件或统计数据，都能提供关于系统使用及性能方面的信息。系统使用及性能方面的信息。主要作用：主要作用：n发现不安全因素，及时报警发现不安全因素，及时报警n对违反安全规则的行为或企图提供证据对违反安全规则的行为或企图提供证据n对已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复对已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复操作系统安全机制审计系统的组成审计系统的组成操作系统安全机制日志记录的原则日志记录的原则操作系统安全机制日志的内容日志的内容审计功能的启动和关闭审计功

30、能的启动和关闭使用身份鉴别机制使用身份鉴别机制将客体引入主体的地址空间将客体引入主体的地址空间删除客体删除客体管理员、安全员、审计员和一般操作人员的操作管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件其他专门定义的可审计事件 操作系统安全机制记录机制 操作系统安全机制安全审计分析安全审计分析（1）潜在侵害分析：）潜在侵害分析：日志分析应能用一些规则去监控审日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：）基于异常检测的轮廓：确定正常行为轮廓，当日确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，

31、能指出将要发生志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。的威胁。（3）简单攻击探测：）简单攻击探测：对重大威胁特征有明确描述，当攻对重大威胁特征有明确描述，当攻击现象出现，能及时指出击现象出现，能及时指出。（4）复杂攻击检测：）复杂攻击检测：要求高的日志分析系统还应能检测要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。到多部入侵序列，当攻击序列出现，能预测其发生的步骤。操作系统安全机制审计事件查阅审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的

32、安全性依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。主要是查阅和存储的安全。 审计事件的查阅应该受到严格的限制，不能篡改日志。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。通常通过以下不同的层次来保证查阅的安全。 （1）审计查阅：审计系统以可理解的方式为授权用户提）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。供查阅日志和分析结果的功能。 （2）有限审计查阅：审计系统只能提供对内容的读权限，）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。因此应拒绝具有读以

33、外权限的用户访问审计系统。 （3）可选审计查阅：在有限审计查阅的基础上限制查阅）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。的范围。操作系统安全机制审计事件存储审计事件存储 审计事件的存储也有安全性的要求，具体审计事件的存储也有安全性的要求，具体有如下几种情况。有如下几种情况。 （1）受保护的审计踪迹存储：）受保护的审计踪迹存储：即要求存储系即要求存储系统对日志事件具有防护功能，防止未授权的修改和删统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。除，并具有检测修改和删除的能力。 （2）审计数据的可用性保证：）审计数据的可用性保证：在审计存储系在审计存储系统

34、遭受意外时，能防止或检测审计记录的修改，在存统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。储介质存满或存储失败时，能确保记录不被破坏。 （3）防止审计数据丢失：）防止审计数据丢失：在审计踪迹超过预定在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。权限的事件、覆盖以前记录、停止工作等等。操作系统安全机制1.NT审计子系统结构审计子系统结构 几乎几乎Windows

35、 NT系统中的每一项事务都可以在一定系统中的每一项事务都可以在一定程度上被审计，可以在控制面板中，系统管理员可以根据程度上被审计，可以在控制面板中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。文件访问、权限非法和关闭系统等。Windows NT使用使用一种特殊的格式存放它的日志文件，这种各式的文件可以一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器被事件查看器Event viewer读取。读取。应用实例应用实例Windows NT 中的安全审计中的安全审计操作系统安全机制

36、 Windows NT的日志文件很多，但主要是系统日志、安全日的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一志和应用日志三个。这三个审计日志是审计一Windows NT系统系统的核心。默认安装时安全日志不打开。的核心。默认安装时安全日志不打开。 Windows NT中所有可中所有可被审计的事件都存入了其中的一个日志。被审计的事件都存入了其中的一个日志。（1）Application Log：包括用：包括用NT Security authority注册的应注册的应用程序产生的信息。用程序产生的信息。（2）Security Log：包括有关通过：包括有关通过NT可识

37、别安全提供者和客户的可识别安全提供者和客户的系统访问信息。系统访问信息。（3）System Log: 包含所有系统相关事件的信息。包含所有系统相关事件的信息。操作系统安全机制应用实例应用实例Windows NT 中的安全审计中的安全审计2.审计日志和记录格式审计日志和记录格式 Windows NT的审计日志由一系列的事件记录组成，的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。构。安全

38、日志的入口通常由头和事件描述组成。数据数据时间时间用户名用户名计算机名计算机名事件事件ID源源类型类型种类种类可变内容可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建依赖于事件。可以使问题的文本解释和纠正措施的建议议附加域。如果采用的话，包含可以字节或字显示的二进制数据及附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息事件记录的源应用产生的信息操作系统安全机制时间记录头有下列域组成：时间记录头有下列域组成：（1）日期：事件的日期）日期：事件的日期标识。标识。（2）时间：事件的时间标识。）时间：事件的时间标识。（3）用户名：表识事件是有谁触发的。）用户名

39、：表识事件是有谁触发的。（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中）计算机名：事件所在的计算机名。当用户在整个企业范围内集中 安全管理时，该信息大大简化了审计信息的回顾。安全管理时，该信息大大简化了审计信息的回顾。（5）事件）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被：事件类型的数字标识。在事件记录描述中，这个域通常被映射映射 成一个文本表识（事件名）。成一个文本表识（事件名）。 (6) 源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。务或一个设备驱动器。（7）类型

40、：事件严重性指示器。在系统和应用日志中，类型可以是错误、）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功）种类：触发事件类型，主要用在安全日志中指示该类事件的成功 或失败审计已经被许可。或失败审计已经被许可。操作系统安全机制 Windows NT提供了大量特征给系统管理员区管理提供了大量特征给系统管理员区管理操作系统事件日志机制。例如：管理员能限制日志的大操作系统事件日志机制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些小并规定当文档

41、达到容量上限时，如何去处理这些。选项包括：用新纪录去冲掉最老的纪录，停止系统直到选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。事件日志备受共清除。 操作系统安全机制应用实例应用实例Windows NT 中的安全审计中的安全审计4. NT安全日志的审计策略安全日志的审计策略NT安全日志由审计策略支配，审计策略可以通过配置审计安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。策略对话框中的选项来建立。NT的审计规则如下（既可以审计成功的操作，又可以审计的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：失败的操作）：（1）登陆及注销（）登陆及

42、注销（2）用户及组管理（）用户及组管理（3）文件及对象访问）文件及对象访问（4）安全性规则更改（）安全性规则更改（5）重新启动、关机及系统级事件）重新启动、关机及系统级事件（6）进程追踪（）进程追踪（7）文件和目录审计）文件和目录审计操作系统安全机制操作系统安全机制5.操作系统安全机制2.6 存储保护、运行保护和I/O保护优秀的实体（硬件）保护设施是实现高效、优秀的实体（硬件）保护设施是实现高效、安全、可靠的操作系统的基础，计算机硬安全、可靠的操作系统的基础，计算机硬件安全的目标是保证其自身的可靠性，并件安全的目标是保证其自身的可靠性，并为操作系统提供基本的安全设施，为操作系统提供基本的安全设

43、施，操作系统安全机制保护方法保护方法隔离隔离 操作系统的一个基本安全方法是隔操作系统的一个基本安全方法是隔离，把一个客体与其它客体隔离起来。离，把一个客体与其它客体隔离起来。 物理隔离：物理隔离：不同的处理使用不同的物理不同的处理使用不同的物理设备。如，不同安全级别的处理输出使设备。如，不同安全级别的处理输出使用不同的打印机；用不同的打印机；操作系统安全机制 时间隔离：时间隔离：不同安全级别的处理在不同的时间执行；不同安全级别的处理在不同的时间执行； 逻辑隔离：逻辑隔离：用户的操作在没有其它处理存在的情况下执行。用户的操作在没有其它处理存在的情况下执行。操作系统限制程序的访问，以使该程序不能访

44、问允许操作系统限制程序的访问，以使该程序不能访问允许范围之外的客体。范围之外的客体。虚拟机是软件是运行在硬件之上、操作系统之下的支虚拟机是软件是运行在硬件之上、操作系统之下的支撑软件，可以使一套硬件运行多个操作系统，分别执行不撑软件，可以使一套硬件运行多个操作系统，分别执行不同密级任务。同密级任务。 密码隔离：密码隔离：用密码加密数据，以其它处理不能理解的形式隐藏数用密码加密数据，以其它处理不能理解的形式隐藏数据据操作系统安全机制 然而隔离仅仅是问题的然而隔离仅仅是问题的一半一半。我们除了要。我们除了要对对用户和客体用户和客体进行隔离外，我们还希望能进行隔离外，我们还希望能够提供共享。例如，不

45、同安全级别的处理够提供共享。例如，不同安全级别的处理能调用同一个的算法或功能调用。我们希能调用同一个的算法或功能调用。我们希望既能够提供共享，而又不牺牲各自的安望既能够提供共享，而又不牺牲各自的安全性。全性。操作系统安全机制隔绝隔绝 当操作系统提供隔绝时，并发运行的不当操作系统提供隔绝时，并发运行的不同处理不能察觉对方的存在。每个处理同处理不能察觉对方的存在。每个处理有自己的地址空间、文件和其它客体。有自己的地址空间、文件和其它客体。操作系统限制每个处理，使其它处理的操作系统限制每个处理，使其它处理的客体完全隐蔽。客体完全隐蔽。 操作系统安全机制(1) 内存保护常用的有：内存保护、运行保护和I

46、/O保护等。 多道程序的最重要问题是阻止一个程序多道程序的最重要问题是阻止一个程序影响另一个程序的存储器。这种保护可影响另一个程序的存储器。这种保护可以作成硬件机制，以保护存储器的有效以作成硬件机制，以保护存储器的有效使用，而且成本很低使用，而且成本很低操作系统安全机制 1) 固定地址界限 设置地址界限，使操作系统在界限的一边，而用户程设置地址界限，使操作系统在界限的一边，而用户程序在界限的另一边。主要是阻止用户程序破坏操作系序在界限的另一边。主要是阻止用户程序破坏操作系统的程序。统的程序。 这种固定界限方式的限制是死扳的，因为给操作系统这种固定界限方式的限制是死扳的，因为给操作系统预留的存储

47、空间是固定的，不管是否需要。预留的存储空间是固定的，不管是否需要。 操作系统硬件地址界限操作系统操作系统安全机制2)浮动地址界限浮动地址界限 界限寄存器界限寄存器（fence registerfence register）：它存储操作系统的端地址。）：它存储操作系统的端地址。 与固定界限方式不同，这里的界限是可以变化的。与固定界限方式不同，这里的界限是可以变化的。 每当用户程序要修改一个地址的数据时，则把该地址与界每当用户程序要修改一个地址的数据时，则把该地址与界限地址进行比较，如果该地址在用户区则执行，如果该地限地址进行比较，如果该地址在用户区则执行，如果该地址在操作系统区则产生错误信号、并

48、拒绝执行。址在操作系统区则产生错误信号、并拒绝执行。操作系统界限寄存器操作系统操作系统安全机制 一个界限寄存器的保护是单向的。换句话说，一个界限寄存器的保护是单向的。换句话说，可保护用户不侵入操作系统区，但不能保护一可保护用户不侵入操作系统区，但不能保护一个用户对另一用户区的侵入。个用户对另一用户区的侵入。 类似地，用户也不能隔离保护程序的代码区和类似地，用户也不能隔离保护程序的代码区和数据区。数据区。 通常采用通常采用多对多对地址界限寄存器，其中一个为上地址界限寄存器，其中一个为上界，另一个为下界（界，另一个为下界（或一个为基址，另一个为或一个为基址，另一个为界长界长）。把程序之间，数据之间，堆栈之间隔）。把程序之间，数据之间，堆栈之间隔离保护起来。离保护起来。操作系统安全机制操作系统操作系统上界寄存器上界寄存器操作系统操作系统操作系统操作系统下界寄存器下界寄存器基址寄存器基址寄存器界长寄存器界长寄存器操作系统安全机制3)3)内