第7章操作系统的安全

1、123l操作系统安全的现状操作系统安全的现状l计算机安全等级及信息安全技术评估准则计算机安全等级及信息安全技术评估准则 l单点登录机制单点登录机制 l主流操作系统的主要安全机制主流操作系统的主要安全机制 4l了解操作系统安全的现状了解操作系统安全的现状l了解计算机安全等级及信息安全技术评估准则了解计算机安全等级及信息安全技术评估准则 l了解单点登录机制了解单点登录机制 l了解主流操作系统的主要安全机制了解主流操作系统的主要安全机制 5l操作系统的原理知识操作系统的原理知识 计算机系统由硬件、软件和数据组成。在计算机系计算机系统由硬件、软件和数据组成。在计算机系统的运行中，操作系统提供了合理利用

2、这些资源的统的运行中，操作系统提供了合理利用这些资源的途径。途径。 操作系统一般具有操作系统一般具有4个基本特征：并发性、共享性、个基本特征：并发性、共享性、虚拟性和不确定性。虚拟性和不确定性。6l操作系统的原理知识操作系统的原理知识 （1）进程管理）进程管理 进程管理指的是操作系统调整复数进程的功能。除进程管理指的是操作系统调整复数进程的功能。除了进程管理之外，了进程管理之外，OS还担负进程间通讯、进程异常还担负进程间通讯、进程异常终止处理以及死锁侦测及处理等任务。终止处理以及死锁侦测及处理等任务。 （2）内存管理）内存管理 OS的内存管理提供寻找可用的记忆空间、配置与释的内存管理提供寻找可

3、用的记忆空间、配置与释放记忆空间、交换内存和低速储存设备的内含物等放记忆空间、交换内存和低速储存设备的内含物等功能功能 7l操作系统的原理知识操作系统的原理知识 （3）磁盘与文件系统）磁盘与文件系统 文件系统通常指的是管理磁盘数据的系统，其可将文件系统通常指的是管理磁盘数据的系统，其可将数据以目录或文件的型式储存。每个文件系统都有数据以目录或文件的型式储存。每个文件系统都有自己特殊的格式与功能。自己特殊的格式与功能。OS拥有多种内置文件系统。拥有多种内置文件系统。 （4）网络）网络 许多现代的许多现代的OS都具备操作主流网络通讯协议都具备操作主流网络通讯协议TCP/IP的能力。这就使得操作系统

4、可以进入网络世界，并的能力。这就使得操作系统可以进入网络世界，并且与其他系统分享如文件、打印机与扫描机等资源。且与其他系统分享如文件、打印机与扫描机等资源。8l操作系统的原理知识操作系统的原理知识 （5）安全）安全 OS为外界提供直接或间接存取数种资源的管道；为外界提供直接或间接存取数种资源的管道；OS有能力认证资源存取的请求，允许通过认证的请求有能力认证资源存取的请求，允许通过认证的请求并拒绝无法通过的非法请求。并拒绝无法通过的非法请求。 （6）内部信息安全）内部信息安全 内部信息安全可视为防止正在执行的程序任意存取内部信息安全可视为防止正在执行的程序任意存取系统资源的手段。系统资源的手段。

5、 9l操作系统的原理知识操作系统的原理知识 （7）外部信息安全）外部信息安全 一个操作系统通常会为其他网络上的电脑或使用者提一个操作系统通常会为其他网络上的电脑或使用者提供各种服务。这些服务通常借由端口或供各种服务。这些服务通常借由端口或OS网络地址网络地址后的数字存取点提供。外部信息安全的最前线，是后的数字存取点提供。外部信息安全的最前线，是防火墙等的硬件设备。在防火墙等的硬件设备。在OS内部也常常设置许多种内部也常常设置许多种类的软件防火墙。类的软件防火墙。 10l操作系统安全威胁的类型操作系统安全威胁的类型 11l安全操作系统评价标准安全操作系统评价标准 国际标准化组织采纳了由美、英等国

6、提出的国际标准化组织采纳了由美、英等国提出的“信息信息技术安全评价公共准则（技术安全评价公共准则（CC）”作为国际标准。作为国际标准。CC为相互独立的机构对相应信息技术安全产品进行为相互独立的机构对相应信息技术安全产品进行评价提供了可比性。评价提供了可比性。 12l安全操作系统评价标准安全操作系统评价标准 1. 可信任计算机系统评价标准（可信任计算机系统评价标准（TCSEC） 美国国防部在美国国防部在20世纪世纪80年代中期制定了一组计算机年代中期制定了一组计算机系统安全需求标准，其中核心的是具有橙色封皮的系统安全需求标准，其中核心的是具有橙色封皮的“可信任计算机系统评价标准可信任计算机系统评

7、价标准”，简称为，简称为“橙皮橙皮书书”。该标准将计算机系统的安全程度划分为。该标准将计算机系统的安全程度划分为8个等个等级：级：D1、C1、C2、B1、B2、B3、A1和和A2。 13l安全操作系统评价标准安全操作系统评价标准 TCSEC在操作系统级上提出的可信计算机基础在操作系统级上提出的可信计算机基础TCB包含的安全内容有：包含的安全内容有： 操作系统内核、具有特权的程序与命令、具有处理操作系统内核、具有特权的程序与命令、具有处理敏感信息的程序、与实施安全策略有关的文档资料、敏感信息的程序、与实施安全策略有关的文档资料、保障硬件正确运行的程序和诊断程序、构成系统的保障硬件正确运行的程序和

8、诊断程序、构成系统的可信硬件、负责管理系统的人员。可信硬件、负责管理系统的人员。14l安全操作系统评价标准安全操作系统评价标准 2. 国内的安全操作系统评估标准国内的安全操作系统评估标准 信息技术安全性评估准则信息技术安全性评估准则GB/T 18336 2001。该。该准则将操作系统安全分为五个级别，分别是用户自准则将操作系统安全分为五个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。构化保护级和访问验证保护级。 15l安全操作系统评价标准安全操作系统评价标准 2. 国内的安全操作系统评估标准国内的安全操作系

9、统评估标准 16l常见的系统安全保护方法常见的系统安全保护方法 1. 备份数据备份数据 建议各级用户都要及时妥善备份自有的数据，如历建议各级用户都要及时妥善备份自有的数据，如历年资料、重要方案、管理文献、重要数据等，并且年资料、重要方案、管理文献、重要数据等，并且要备份到本机之外的存储介质上。要备份到本机之外的存储介质上。 2. 预防病毒预防病毒 提高系统的自我保护能力，经常进行系统更新提高系统的自我保护能力，经常进行系统更新 ；安；安装防杀病毒的软件装防杀病毒的软件 ，及时升级杀毒软件，定期使用，及时升级杀毒软件，定期使用杀毒软件扫描系统。杀毒软件扫描系统。 17l常见的系统安全保护方法常见

10、的系统安全保护方法 3. 病毒查杀病毒查杀 电脑在感染病毒后，总是有一定规律地出现异常现电脑在感染病毒后，总是有一定规律地出现异常现象。停止对电脑的任何操作，启动杀毒软件，对整象。停止对电脑的任何操作，启动杀毒软件，对整个硬盘进行病毒查杀。特殊情况下还需要断开网络，个硬盘进行病毒查杀。特殊情况下还需要断开网络，在安全模式下杀毒。在安全模式下杀毒。 4. 后期处理后期处理 如果受破坏的是系统软件，并且染毒程度比较重，如果受破坏的是系统软件，并且染毒程度比较重，可能导致系统不能启动或正常使用。在杀毒完毕后，可能导致系统不能启动或正常使用。在杀毒完毕后，需要针对不同的操作系统进行修复性措施。需要针对

11、不同的操作系统进行修复性措施。 18l常见的系统安全保护方法常见的系统安全保护方法 5. 防防ARP攻击攻击 ARP攻击是通过伪造攻击是通过伪造IP地址和地址和MAC地址实现地址实现ARP欺欺骗，从而在网络中产生大量的骗，从而在网络中产生大量的ARP通信量使网络阻通信量使网络阻塞。比较常用的塞。比较常用的ARP工具主要用来检测工具主要用来检测ARP攻击，攻击，其工作原理是以一定频率向网络广播正确的其工作原理是以一定频率向网络广播正确的ARP信信息。息。19l单点登录的概念单点登录的概念 单点登录（单点登录（SSO）是目前比较流行的企业业务整合）是目前比较流行的企业业务整合的解决方案之一，指的是

12、在多个应用系统中，用户的解决方案之一，指的是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系只需要登录一次就可以访问所有相互信任的应用系统。统。 根据登录的应用类型不同，可分为：根据登录的应用类型不同，可分为： 1）对桌面资源的统一访问管理。）对桌面资源的统一访问管理。 2）Web单点登录（单点登录（Web-SSO）20l单点登录的概念单点登录的概念 Web单点登录访问管理系统示意图：单点登录访问管理系统示意图：21lSSO实现机制实现机制 第一次访问应用系统第一次访问应用系统A时，由于还没有登录，用户会时，由于还没有登录，用户会被引导至认证系统中进行登录。根据用户提供的登被

13、引导至认证系统中进行登录。根据用户提供的登录信息，认证系统进行身份验证，若通过，认证系录信息，认证系统进行身份验证，若通过，认证系统返回给用户一个认证的凭据（统返回给用户一个认证的凭据（Ticket）。用户再访）。用户再访问别的应用时，会带上这个问别的应用时，会带上这个Ticket作为自己认证的凭作为自己认证的凭据。应用系统接受到请求之后将据。应用系统接受到请求之后将Ticket送入认证系统送入认证系统进行验证，若合法则通过验证，用户就可以在不用进行验证，若合法则通过验证，用户就可以在不用再次登录的情况下访问系统再次登录的情况下访问系统B或系统或系统C了。了。 22lSSO实现机制实现机制 要

14、实现要实现SSO，需要实现以下主要的功能：，需要实现以下主要的功能： 1）所有应用系统共享一个身份认证系统。）所有应用系统共享一个身份认证系统。 统一的认证系统是统一的认证系统是SSO的一个前提。认证成功后，的一个前提。认证成功后，认证系统应该生成统一的认证标志返回给用户。认证系统应该生成统一的认证标志返回给用户。 2）所有应用系统能够识别和提取）所有应用系统能够识别和提取Ticket信息。信息。 应用系统需要对应用系统需要对Ticket进行识别和提前，通过与认证进行识别和提前，通过与认证系统的通信，自动判断出当前用户是否已经登录过，系统的通信，自动判断出当前用户是否已经登录过，从而完成单点登

15、录的功能。从而完成单点登录的功能。23lWEB-SSO的实现的实现 Web-SSO可以利用可以利用cookie技术来完成用户登录信息技术来完成用户登录信息的保存，将浏览器中的的保存，将浏览器中的cookie和和Ticket结合起来，完结合起来，完成成SSO的功能。的功能。 为了完成一个简单的为了完成一个简单的WEB-SSO的功能，需要两个部的功能，需要两个部分的合作：分的合作： 1）统一的身份认证服务。）统一的身份认证服务。 2）修改）修改Web应用，使得每个应用都通过这个统一的应用，使得每个应用都通过这个统一的认证服务来进行身份校验。认证服务来进行身份校验。24lWEB-SSO的实现的实现

16、实现实现WEB-SSO的技术主要有：的技术主要有： （1）基于）基于cookies实现实现 （2）Broker-based（基于经纪人）（基于经纪人） （3）Agent-based（基于代理人）（基于代理人） （4）Token-based（基于票据）（基于票据） （5）基于网关）基于网关 （6）基于安全断言标记语言（）基于安全断言标记语言（SAML）25lUNIX/LINUX的安全的安全 1. UNIX安全安全 UNIX是一个强大的多用户、多任务操作系统，支持是一个强大的多用户、多任务操作系统，支持多种处理器架构。其应用基于相互信任的环境，如多种处理器架构。其应用基于相互信任的环境，如研究所、

17、实验室、大学等，采用了一般的安全机制。研究所、实验室、大学等，采用了一般的安全机制。 UNIX的超级权限是的超级权限是“超级用户超级用户”，“超级用户超级用户”能能完成系统中的任何操作，因此也成为攻击的对象。完成系统中的任何操作，因此也成为攻击的对象。 26lUNIX/LINUX的安全的安全 UNIX系统的安全性在不断增加，并出现了许多安全系统的安全性在不断增加，并出现了许多安全检测工具，如检测工具，如Quest、UXA、Alert/Inform、Sfind、USECURE、Kerberos等。系统管理员通过安全检测等。系统管理员通过安全检测工具检测安全机制、权限和安全域设置、可疑入侵工具检测

18、安全机制、权限和安全域设置、可疑入侵和特洛伊木马等。在目前的和特洛伊木马等。在目前的UNIX系统中，常规系统中，常规UNIX具有具有C1级安全级别，级安全级别，OSF/1具有具有B1的安全级别，的安全级别，USL的的SVR4/ES则具有则具有B2的安全级别。的安全级别。 27lUNIX/LINUX的安全的安全 2. LINUX安全安全 Linux的安全级基本达到了的安全级基本达到了C2级。级。 安全机制主要有：安全机制主要有：PAM机制、文件系统加密、入侵机制、文件系统加密、入侵检测机制、安全日志文件机制、强制访问控制和防检测机制、安全日志文件机制、强制访问控制和防火墙机制等。火墙机制等。 2

19、8lUNIX/LINUX的安全的安全 1）PAM机制机制 PAM是一套共享库，提供一个框架和一套编程接口是一套共享库，提供一个框架和一套编程接口给系统管理员，由系统管理员在多种认证方法中选给系统管理员，由系统管理员在多种认证方法中选择适宜的认证方法，并能够改变本地认证方法而无择适宜的认证方法，并能够改变本地认证方法而无需重新编译与认证相关的程序。需重新编译与认证相关的程序。 29lUNIX/LINUX的安全的安全 2）文件系统加密）文件系统加密 文件系统加密是将加密技术应用到文件系统，从而文件系统加密是将加密技术应用到文件系统，从而提高计算机系统的安全性。目前的提高计算机系统的安全性。目前的L

20、inux已具有多种已具有多种加密文件系统，如加密文件系统，如CFS、TCFS、CRYPTFS等。等。 TCFS能使合法拥有者以外的用户、用户和远程文件能使合法拥有者以外的用户、用户和远程文件系统通信线路上的偷听着、文件系统服务器的超级系统通信线路上的偷听着、文件系统服务器的超级用户不可读取其保密文件。而对于合法用户，访问用户不可读取其保密文件。而对于合法用户，访问保密文件与访问普通文件几乎没有区别。保密文件与访问普通文件几乎没有区别。 30lUNIX/LINUX的安全的安全 3）入侵检测机制）入侵检测机制 入侵检测能力包括：记录入侵企图，当攻击发生时入侵检测能力包括：记录入侵企图，当攻击发生时

21、及时通知管理员；当预先定义的攻击行为发生时，及时通知管理员；当预先定义的攻击行为发生时，采取预定义的措施处理；发出一些错误信息，以增采取预定义的措施处理；发出一些错误信息，以增加攻击的难度。加攻击的难度。 31lUNIX/LINUX的安全的安全 4）安全日志文件机制）安全日志文件机制 日志是日志是Linux安全结构中的一个重要内容，它是提供安全结构中的一个重要内容，它是提供攻击发生的唯一真实证据。攻击发生的唯一真实证据。Linux会记录网络、主机会记录网络、主机和用户级的日志信息，是调查网络入侵者时不可缺和用户级的日志信息，是调查网络入侵者时不可缺少的证据少的证据 。 32lUNIX/LINU

22、X的安全的安全 5）强制访问控制）强制访问控制 由于由于Linux是一种自由操作系统，当前在其平台上实是一种自由操作系统，当前在其平台上实现强制访问控制的产品包括现强制访问控制的产品包括SELinux、RSBAC、MAC等，采用的策略也各不相同。等，采用的策略也各不相同。 33lUNIX/LINUX的安全的安全 6）防火墙机制）防火墙机制 Linux防火墙系统提供了访问控制、审计、抗攻击和防火墙系统提供了访问控制、审计、抗攻击和其他附属功能。其中，实现访问控制的方法是执行其他附属功能。其中，实现访问控制的方法是执行基于地址（源和目标）、用户和事件的访问控制策基于地址（源和目标）、用户和事件的访

23、问控制策略，从而可以禁止非授权的访问，同时还能保护内略，从而可以禁止非授权的访问，同时还能保护内部用户的合法访问。部用户的合法访问。 34lWindows 2000/XP的安全的安全 Windows NT的安全级别达到的安全级别达到TCSEC的的C2级。级。作为作为Windows NT的后续版本，的后续版本，Windows 2000/XP提供更提供更多的新的安全机制。多的新的安全机制。 1. 活动目录服务活动目录服务 活动目录为用户、硬件、应用以及网络上传输的数活动目录为用户、硬件、应用以及网络上传输的数据提供了一个存储中心。据提供了一个存储中心。 35lWindows 2000/XP的安全的

24、安全 活动目录使用域、组织单元和对象组织网络资源。活动目录使用域、组织单元和对象组织网络资源。 36lWindows 2000/XP的安全的安全 2. Kerberos审计协议审计协议 Kerberos协议为客户协议为客户/服务器建立连接前提供一种交服务器建立连接前提供一种交互审计的机制，其特点有以下几点：互审计的机制，其特点有以下几点： 1）在建立初始连接时增强服务器认证性能。）在建立初始连接时增强服务器认证性能。 2）多层客户机）多层客户机/服务器应用的认证委派。服务器应用的认证委派。 3）具有穿越信任关系的域间认证。）具有穿越信任关系的域间认证。 37lWindows 2000/XP的安

25、全的安全 3. PKI 公钥加密主要用在互联网一类的开放网络运行，用公钥加密主要用在互联网一类的开放网络运行，用户通过证书进行数据加密、数据签名和身份验证，户通过证书进行数据加密、数据签名和身份验证，其基本组件包括：证书服务其基本组件包括：证书服务 、活动目录、活动目录 、基于、基于PKI的应用的应用 、交换密钥管理服务、交换密钥管理服务 。 Windows 2000PKI提供的安全功能具有互操作性、提供的安全功能具有互操作性、安全性、灵活性以及易用性等特点。安全性、灵活性以及易用性等特点。 38lWindows 2000/XP的安全的安全 4. 智能卡智能卡 智能卡是用一种相对简单的方式使非授权人更难获智能卡是用一种相对简单的方式使非授权人更难获得访问网络的权限。得访问网络的权限。 基于以下几个特征，智能卡认证比口令认证具有更基于以下几个特征，智能卡认证比口令认证具有更高的安全性：高的安全性： 1）智能卡需要一个物理卡来认证用户。）智能卡需要一个物理卡来认证用户。 2）智能卡的使用必须提供一个个人标识号