工学操作系统安全讲稿课件

操作系统安全

OperatingSystemSecurity中南大学信息科学与工程学院CentralSouthUniversityCollegeofInformationScienceandEngineering

2022/12/101操作系统安全

OperatingSystemSecuri目录第一章绪论第二章操作系统安全机制第三章操作系统安全模型第四章操作系统安全体系结构第五章安全操作系统设计2022/12/102目录第一章绪论2022/12/102参考文献贾春福郑鹏操作系统安全武汉大学出版社2006卿斯汉等操作系统安全清华大学出版社2004TrentJaegerOperatingSystemSecurityMORGAN&CLAYPOOLPUBLISHERSBruceSchneierSecrets&LiesandBeyondFearCrypto-gramnewsletter/crypto-gram.htmlRossAndersonSecurityEngineeringAvailableonlineat

http://www.cl.cam.ac.uk/users/rja14/book.html2022/12/103参考文献贾春福郑鹏操作系统安全武汉大学出版社2006前言课程形式

主课，习题课，作业，小论文及上机成绩评定

作业，小论文及上机，期末考试比例：

作业10%

小论文及上机20%

期末考试70%2022/12/104前言课程形式

主课，习题课，作业，小论文及上机2022基本目的理解掌握操作系统中的安全问题及安全性掌握操作系统安全的基本概念掌握操作系统安全机制、安全模型、安全体系结构了解安全操作系统的设计原则根据操作系统安全目标能设计并评价安全操作系统2022/12/105基本目的理解掌握操作系统中的安全问题及安全性2022/12/第一章绪论1.1操作系统面临的安全威胁1.2安全操作系统的研究发展1.3操作系统安全的基本概念2022/12/106第一章绪论1.1操作系统面临的安全威胁2022/12/11.1操作系统面临的安全威胁保密性威胁（secrecy）信息的隐藏——对非授权用户不可见保护数据的存在性完整性威胁（integrity）信息的可信程度信息内容的完整性、信息来源的完整性可用性威胁（availability）信息或资源的期望使用能力防止数据或服务的拒绝访问2022/12/1071.1操作系统面临的安全威胁保密性威胁（secrecy）2一、安全现状因特网网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加因特网电力交通通讯控制广播工业金融医疗（1）网络本身不安全2022/12/108一、安全现状因特网网络对国民经济的影响在加强安全漏洞危害在增信息窃取信息传递信息冒充信息篡改信息抵赖（2）信息传递过程存在威胁2022/12/109信息窃取信息传递信息冒充信息篡改信息抵赖（2）信息传递过程存（3）多样化的攻击手段网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫2022/12/1010（3）多样化的攻击手段网络内部、外部泄密拒绝服务攻击逻辑炸弹二、安全威胁种类特洛伊木马：Mellissa天窗：设置在操作系统内部隐蔽通道：不受安全策略控制的、违反安全策略的信息泄露路径。间谍软件（Spyware）病毒和蠕虫具有隐蔽性、传染性、潜伏性、破坏性特点逻辑炸弹拒绝服务攻击2022/12/1011二、安全威胁种类特洛伊木马：Mellissa2022/12/SQLSlammer蠕虫的能力

2022/12/1012SQLSlammer蠕虫的能力2022/12/1012SQLSlammer蠕虫的能力2022/12/1013SQLSlammer蠕虫的能力2022/12/10131.2安全操作系统的发展2001年中科院石文昌博士将安全操作系统的发展分为奠基时期、食谱时期、多政策时期和动态政策时期2004年卿斯汉教授在《操作系统安全》中也对其发展进行了概述。2022/12/10141.2安全操作系统的发展2001年中科院石文昌博士将安全操安全操作系统的发展（续）1969

年，C.Weissman研究的Adept-50是历史上的第一个分时安全操作系统。同年，B.W.Lampson

通过形式化表示方法运用主体（subject）、客体（object）和访问矩阵（accessmatrix）的思想第一次对访问控制问题进行了抽象。1970

年，W.H.Ware

对多渠道访问的资源共享的计算机系统引起的安全问题进行了研究。2022/12/1015安全操作系统的发展（续）1969年，C.Weissman安全操作系统的发展（续）1972年，J.P.Anderson提出了参照监视器（referencemonitor）、访问验证机制（referencevalidationmechanism）、安全内核（securitykernel）和安全建模（modeling）等重要思想。1973

年，B.W.Lampson

提出了隐通道（covertchannel）；同年，D.E.Bell

和L.J.LaPadula

提出了简称BLP

模型。2022/12/1016安全操作系统的发展（续）1972年，J.P.Anderso安全操作系统的发展（续）1975

年，J.H.Saltzer

和M.D.Schroeder

以保护机制的体系结构为中心，重点考察了权能（capability）实现结构和访问控制表（accesscontrollist）实现结构，给出了信息保护机制的八条设计原则。1976年，M.A.Harrison、W.L.Ruzzo

和J.D.Ullman

提出了操作系统保护的第一个基本理论——HRU理论。2022/12/1017安全操作系统的发展（续）1975年，J.H.Saltze安全操作系统的发展（续）1967-1979年典型的安全操作系统研究有：MulticsMitre安全核UCLA

数据安全UnixKSOS（KernelizedSecureOperatingSystem）PSOS等这段时期可称为奠基时期。2022/12/1018安全操作系统的发展（续）1967-1979年典型的安全操作系安全操作系统的发展（续）1983

年，美国国防部颁布了历史上第一个计算机安全评价标准TCSEC橙皮书（TrustedComputerSystemEvaluationCriteria)。1984

年，AXIOM

技术公司的S.Kramer开发了基于Unix的实验型安全操作系统LINUSIV

，达到B2级；1986，IBM

公司的V.D.Gligor

等设计了基于SCOXenix的安全Xenix系统，基于安全注意键（secureattentionkey，SAK）实现了可信通路（Trustedpath）。2022/12/1019安全操作系统的发展（续）1983年，美国国防部颁布了历史上安全操作系统的发展（续）1987年美国TrustedInformation

Systems公司开发了B3级的Tmach(TrustedMach)；1988年，AT&TBell

实验室的SystemV/MLS；1989年，加拿大多伦多大学的安全TUNIS；1990

年，TRW公司的ASOS

系统；1991年，UNIX国际组织的UNIX

SVR4.1ES，符合B2级；2022/12/1020安全操作系统的发展（续）1987年美国TrustedInf安全操作系统的发展（续）1991年，英、德、法、荷四国制定了信息技术安全评定标准ITSEC；1992～93年，美国国家安全局NSA和安全计算公司SCC设计实现了分布式可信Mach操作系统DTMach；1993年，美国国防部推出的新的安全体系结构DGSA；其他：92

年访问控制程序（ACP）和93年看守员（custodian）两种范型思想；2022/12/1021安全操作系统的发展（续）1991年，英、德、法、荷四国制定了安全操作系统的发展（续）1997年，DTOS（DistributedTrustedOperatingSystem）项目1999年，EROS(Extremelyreliableoperatingsystem），基于权能的高性能微内核实时安全操作系统；2001年，Flask的实现，SELinux操作系统；其他在研项目Honeywell的STOP、Gemini的GEMSOS、DEC的VMM、HP和DataGeneral等公司的安全操作系统；2022/12/1022安全操作系统的发展（续）1997年，DTOS（Distrib国内安全操作系统的发展1993年，国防科技大学SUNIX

病毒防御模型；1999年，中科院软件研究所从红旗Linux；2000年，中科院计算技术研究所的LIDS，南京大学的SoftOS，中科院信息安全技术工程研究中心的SecLinux；2001年，海军计算技术研究所安全增强系统UnixSVR4.2/SE；UNIX

类国产操作系统COSIXV2.0

的安全子系统；2022/12/1023国内安全操作系统的发展1993年，国防科技大学SUNIX国内安全操作系统的发展96年，军用计算机安全评估准则GJB2646-96；99年，国家技术监督局的国家标准GB17859-1999(计算机信息系统安全保护等级划分准则)，2001年强制执行；2000年，安胜安全操作系统V1.0；2001年，GB/T18336-2001(信息技术安全性评估准则)；2022/12/1024国内安全操作系统的发展96年，军用计算机安全评估准则GJB21.3操作系统安全基本概念操作系统安全是信息系统安全的基础，具有至关重要的作用。操作系统安全和安全操作系统操作系统安全是从各种不同角度分析操作系统安全性安全操作系统是按照特定安全目标设计实现的操作系统，和相应的安全等级挂钩2022/12/10251.3操作系统安全基本概念操作系统安全是信息系统安全的基础1.3操作系统安全基本概念安全功能与安全保证可信软件和不可信软件软件的三大可信类别：可信的、良性的、恶意的可信软件是可信计算基的软件部分主体与客体主体（Subject）：一个主动的实体，使信息在客体中间流动或者改变系统状态客体（Object）：一种包含或接受信息的被动实体。2022/12/10261.3操作系统安全基本概念安全功能与安全保证2022/121.3操作系统安全基本概念安全策略与安全模型安全策略（SecurityPolicy）：规定机构如何管理、保护与分发敏感信息的法规与条例的集合安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种框架。引用监视器（ReferenceMonitor）为解决用户程序的运行控制问题引入的，目的是在用户与系统资源之间实施一种授权访问关系J.P.Anderson的定义：以主体（用户等）所获得的引用权限为基准，验证运行中的程序（对程序、数据、设备等）的所有引用2022/12/10271.3操作系统安全基本概念安全策略与安全模型2022/121.3操作系统安全基本概念安全内核指系统中与安全性实现有关的部分引用验证机制、访问控制机制、授权机制、授权管理机制可信计算基（TrustComputingBase）组成完成的工作2022/12/10281.3操作系统安全基本概念安全内核2022/12/1028Problem什么是信息的完整性？隐蔽通道的工作方式？安全策略与安全模型的关系？2022/12/1029Problem什么是信息的完整性？2022/12/1029第二章安全机制一个操作系统的安全性从以下几个方面考虑：物理上分离时间上分离逻辑上分离密码上分离2022/12/1030第二章安全机制一个操作系统的安全性从以下几个方面考虑：20操作系统安全的主要目标：依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；标识系统中的用户并进行身份鉴别；监督系统运行的安全性；保证系统自身的安全性和完整性；2022/12/1031操作系统安全的主要目标：2022/12/1031操作系统安全的相应机制：硬件安全机制标识与鉴别存取控制最小特权管理可信通路安全审计存储保护、运行保护、I/O保护2022/12/1032操作系统安全的相应机制：2022/12/1032理想的安全操作系统基础保护系统（ProtectionSystem）保护系统包含一个保护状态（protectionstate）和保护状态操作（protectionstateoperations）保护状态：描述系统主体在系统客体上能执行的操作保护状态操作：使状态能进行改变的动作，如增加新的系统主体或客体到保护状态中等Lampson的访问矩阵——保护状态2022/12/1033理想的安全操作系统基础保护系统（ProtectionSys理想的安全操作系统基础Lampson的访问矩阵——保护状态保护域protectiondomain访问控制列表Accesscontrollist（ACL）权能列表Capabilitylist（C_list）强制保护系统（MandatoryProtectionSystem）访问矩阵——不信任的进程能篡改保护系统——未授权访问的安全问题强制保护系统是一个仅使可信管理员通过可信软件来修改状态的保护系统。包含的状态：强制保护状态Mandatoryprotectionstate标记状态labelingstateTransitionstate2022/12/1034理想的安全操作系统基础Lampson的访问矩阵——保护状态2理想的安全操作系统基础LabelingstateTransitionstateProtectionstateFile:newfileFile:acctProcess:newprocProcess:other2022/12/1035理想的安全操作系统基础LabelingstateTrans理想的安全操作系统基础引用监视器ReferenceMonitor引用监视器接口ReferenceMonitorInterface授权模块AuthorizationModule策略存储PolicyStore2022/12/1036理想的安全操作系统基础引用监视器ReferenceMoni理想的安全操作系统基础ReferenceMonitorOperatingSystemAuthorizationModulePolicyStoreProtectionstateLabelingstateTransitionstateProcessReferenceMonitorInterfaceHooksProcessProcessProcess2022/12/1037理想的安全操作系统基础ReferenceMonitorOp理想的安全操作系统基础安全操作系统定义是一个其访问执行满足引用监视器概念的操作系统引用监视器概念定义了任何系统能安全地执行一个强制保护系统的充要属性，包括：CompleteMediationTamperproofVerifiable2022/12/1038理想的安全操作系统基础安全操作系统定义2022/12/1032.1标识与鉴别机制标识系统可以识别的用户的内部名称鉴别：对用户宣称的身份标识的有效性进行校验和测试的过程。方法密码验证生物鉴别方法可信计算基——与鉴别相关的认证机制2022/12/10392.1标识与鉴别机制标识2022/12/10392.2访问控制访问控制的基本任务：防止用户对系统资源的非法使用，保证对课题的所有直接访问都是被认可的。措施确定要保护的资源授权确定访问权限实施访问权限三种访问控制技术：自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC2022/12/10402.2访问控制访问控制的基本任务：防止用户对系统资源的非法2.2访问控制自主访问控制DAC基于行的自主访问控制机制能力表：权限字前缀表：包括受保护的客体名和主体对它的访问权限口令：每个客体有一个基于列的自主访问控制机制保护位：对客体的拥有者基其他主体、主体组，规定的对该客体访问模式的集合访问控制表：对某个特定资源制定任意用户的访问权限。2022/12/10412.2访问控制自主访问控制DAC2022/12/10412.2访问控制强制访问控制MAC限制访问控制过程控制系统限制基于角色的访问控制RBACNIST提出的访问控制机制，实际是强制访问控制机制的一种基本思想：授权给用户的访问权限，通常由用户担当的角色来确定。特征访问权限与角色相关联角色继承最小权限原则指责分离角色容量2022/12/10422.2访问控制强制访问控制MAC2022/12/10422.3最小特权管理是系统安全中最基本的原则之一要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可。26个特权常见的形式基于文件的特权机制基于进程的特权机制实例惠普的Presidium/VirtualVault红旗安全操作系统RFSOSSELinux安全操作系统2022/12/10432.3最小特权管理是系统安全中最基本的原则之一2022/12.4可信通路是用户能借以直接同可信计算基（TCB）通信的一种机制建立可信通路的方法：安全注意键P352022/12/10442.4可信通路是用户能借以直接同可信计算基（TCB）通信的2.5安全审计机制日志：记录的事件或统计数据安全审计：对日志记录的分析并以清晰的、能理解的方式表述系统信息，即对系统中有关安全的活动进行记录、检查及审核作用审计事件：主体、客体组成：日志记录器：收集数据——系统日志、应用程序日志、安全日志分析器：分析数据通告器：通报结果2022/12/10452.5安全审计机制日志：记录的事件或统计数据2022/122.6存储保护、运行保护和I/O保护存储保护虚地址空间分段物理页号上的秘密信息基于描述符的地址解释机制运行保护保护环——运行域——等级域机制进程隔离机制I/O保护I/O操作是操作系统完成的特权操作2022/12/10462.6存储保护、运行保护和I/O保护存储保护2022/12UNIX/Linux安全机制一、UNIX安全机制标识/etc/passwd和/etc/shadow中保存了用户标识和口令；root用户鉴别存取控制存取权限：可读、可写、可执行；改变权限：特殊权限位：SUID和SGID；2022/12/1047UNIX/Linux安全机制一、UNIX安全机制2022/1UNIX/Linux安全机制（续）审计日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等审计服务程序：syslogd；网络安全性：有选择地允许用户和主机与其他主机的连接；网络监控和入侵检测：LIDS等；备份/恢复：实时备份、整体备份、增量备份；2022/12/1048UNIX/Linux安全机制（续）审计2022/12/104UNIX/Linux安全机制（续）二、Linux安全机制PAM机制入侵检测系统

加密文件系统安全审计强制访问控制防火墙2022/12/1049UNIX/Linux安全机制（续）二、Linux安全机制20Windows安全机制2022/12/1050Windows安全机制2022/12/1050Windows安全机制身份认证交互式登录(根据用户的本地计算机或

Active

Directory

帐户确认用户的身份)网络身份验证（根据此用户试图访问的任何网络服务确认用户的身份）Windows

2000

支持的身份验证类型有：Kerberos

V5

身份验证安全套接字层

(SSL)

和传输层安全性

(TLS)

的身份验证NTLM

身份验证2022/12/1051Windows安全机制身份认证2022/12/1051Windows安全机制基于对象的访问控制Windows

2000

通过允许管理员为存储在

Active

Directory

中的对象分配安全描述符实现访问控制。Active

Directory授权和审核2022/12/1052Windows安全机制基于对象的访问控制2022/12/10Windows安全设置硬盘的分区至少建立两个逻辑分区：一个用作系统分区，另一个用作应用程序分区。现在的硬盘是越来越大，一般最好分三个至四个分区，这样就可以把自己的文件单独放在一个分区中。所有的分区最好都是NTFS格式。用户账号的安全设置默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表2022/12/1053Windows安全设置硬盘的分区2022/12/1053Windows安全设置文件和文件夹权限的设置访问权限分为读取、写入、读取及执行、修改、列目录、完全控制在默认的情况下，大多数的文件夹和文件对所有用户(Everyone这个组)是完全控制的(FullControl)，这根本不能满足不同网络的权限设置需求，还需要根据应用的需要进行重新设置。配置IIS原则“最小的权限+最少的服务=最大的安全”2022/12/1054Windows安全设置文件和文件夹权限的设置2022/12/Windows安全设置检查清单物理安全服务器应该安放在安装了监视器的隔离房间内监视器要保留15天以上的摄像记录另外机箱,键盘电脑桌抽屉要上锁以确保旁人即使进入房间也无法使用电脑钥匙要放在另外的安全的地方停掉Guest帐号限制不必要的用户数量创建2个管理员用帐号把系统administrator帐号改名创建一个陷阱帐号2022/12/1055Windows安全设置检查清单2022/12/1055Windows安全设置检查清单把共享文件的权限从”everyone”组改成“授权用户”使用安全密码设置屏幕保护密码使用NTFS格式分区运行防毒软件保障备份盘的安全2022/12/1056Windows安全设置检查清单2022/12/1056Windows安全设置利用win2000的安全配置工具来配置策略关闭不必要的服务关闭不必要的端口打开审核策略策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败2022/12/1057Windows安全设置利用win2000的安全配置工具来配Windows安全设置开启密码密码策略策略设置密码复杂性要求启用密码长度最小值6位强制密码历史5次强制密码历史42天开启帐户策略策略设置复位帐户锁定计数器20分钟帐户锁定时间20分钟帐户锁定阈值3次设定安全记录的访问权限安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问2022/12/1058Windows安全设置开启密码密码策略2022/12/10Windows安全设置把敏感文件存放在另外的文件服务器中不让系统显示上次登陆的用户名禁止建立空连接到微软网站下载最新的补丁程序关闭DirectDraw关闭默认共享禁止dumpfile的产生2022/12/1059Windows安全设置把敏感文件存放在另外的文件服务器中2Windows安全设置使用文件加密系统EFS加密temp文件夹锁住注册表关机时清除掉页面文件禁止从软盘和CDRom启动系统考虑使用智能卡来代替密码考虑使用IPSec2022/12/1060Windows安全设置使用文件加密系统EFS2022/12习题二标识与鉴别机制、访问控制机制的关系自主访问控制与强制访问控制之间的异同点安全审计机制是事后分析机制，优点？最小特权管理？2022/12/1061习题二标识与鉴别机制、访问控制机制的关系2022/12/10第三章操作系统安全模型安全需求：机密性、完整性、可追究性和可用性；访问控制策略和访问支持策略安全策略模型和安全模型安全模型的目标——明确表达安全需求，为设计开发安全系统提供方针；2022/12/1062第三章操作系统安全模型安全需求：机密性、完整性、可追究性和安全模型的特点精确、无歧义易理解一般性是安全策略的显示表示安全模型分为形式化的安全模型和非形式化的安全模型；2022/12/1063安全模型的特点2022/12/1063主要安全模型介绍Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型无干扰模型2022/12/1064主要安全模型介绍2022/12/10643.1Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一个计算机多级安全模型之一，是对应军事类型安全密级分类的计算机操作系统模型是第一个可证明的安全系统的数学模型，实际上是一个形式化的状态机模型；包括有两部分安全策略：自主安全策略和强制安全策略；2022/12/10653.1Bell-LaPadula模型是1973年D.El一个基本安全等级分类系统（例），其中：S为主体，O为客体第3层绝密S1

O1（O1A，O1B，O1C）第2层机密S2

O2（O2A，O2B）第1层秘密S3

O3（O3A，O3B，O3C）第0层内部S4

O4（O4A，O4B，O4C）则上述基本安全等级分类系统可以用以下的简单安全条件、*-属性以及基本安全定理描述简单安全条件：当且仅当O所处层次<=S所处层次时，S可以读O，即S对O具有自主型读权限*-属性：当且仅当O所处层次>=S所处层次时，S可以写O，即S对O具有自主型写权限基本安全定理：设系统的初始安全状态为б0，T是状态转换集合，如果T中的每个元素都遵守简单安全条件和*-属性，那么，对于每个i>=0,状态бi都是安全的。2022/12/1066一个基本安全等级分类系统（例），其中：S为主体，O为客体20Bell-LaPadula模型（续）形式化描述定义S为主体集合；O为客体集合；A={r,w,a,e}={a}为访问权限集合,其中，r为读、w为读/写，a为写、e为执行M为访问控制矩阵集合，C为安全许可集合，K为类别集合F={(fs,fo,fc)}，为安全等级三元组集合，其中，fs表示主体的最高安全等级，fc表示主体的当前安全等级，fo表示客体的安全等级H表示当前客体的树型结构，V为系统状态集合，R为访问请求集合；D={y,n,i,o}为请求结果集合，其中y表示请求被允许，n表示请求被拒绝，i表示请求非法，o表示出错P表示状态转换规则WR×V×D×V,为系统行为集合。2022/12/1067Bell-LaPadula模型（续）形式化描述2022/12Bell-LaPadula模型（续）几个重要公理：简单安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定义了一系列的状态转换规则和10条重要定理；特点：支持的是信息的保密性；是通过防止非授权信息的扩散来保证系统的安全；不能防止非授权修改系统信息。2022/12/1068Bell-LaPadula模型（续）几个重要公理：2022/Biba模型1977年提出的第一个完整性安全模型；对系统每个主体和每个客体分配一个完整级别（包含两部分——密级和范畴）；安全策略分为非自主策略与自主策略；优点：简单、可能可以和BLP模型相结合。不足之处：完整标签确定的困难性；在有效保护数据一致性方面是不充分的；不能抵御病毒攻击，难以适应复杂应用；2022/12/1069Biba模型1977年提出的第一个完整性安全模型；2022/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意义的完整性模型；核心：良构事务（well-formaltransaction）优点：能有效表达完整性的3个目标；久经考验的商业方法；局限性：性能问题；不利于把对数据的控制策略从数据项中分离；没有形式化；2022/12/1070Clark－Wilson完整性模型1987年DavidCl中国墙模型1987年DavidClark和DavidWilson提出的具有里程碑意义的完整性模型；核心：良构事务（well-formaltransaction）优点：能有效表达完整性的3个目标；久经考验的商业方法；局限性：性能问题；不利于把对数据的控制策略从数据项中分离；没有形式化；2022/12/1071中国墙模型1987年DavidClark和DavidWi其他模型信息流模型是存取控制模型的变形，与存取控制模型的差异很小，但是能识别隐蔽通道；基于角色的存取控制（RBAC）模型提供一种强制存取控制机制；经过发展，已经形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定义表和域交互表组成，依据主体域和客体类型来决定访问权限；2022/12/1072其他模型信息流模型是存取控制模型的变形，与存取控制模型的差异其他模型（续）无干扰模型是1982年J.Goguen和J.Meseguer提出的基于自动机理论和域隔离的安全系统事项方法；总结：安全模型是建立安全操作系统的一个基本要求；多级安全系统中最广泛的模型是BLP机密性安全模型等，这些模型都各具特点；2022/12/1073其他模型（续）无干扰模型是1982年J.Goguen和J.2、安全机制一个操作系统的安全性从以下几个方面考虑：物理上分离时间上分离逻辑上分离密码上分离2022/12/10742、安全机制一个操作系统的安全性从以下几个方面考虑：2022安全机制（续）操作系统安全的主要目标：依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；标识系统中的用户并进行身份鉴别；监督系统运行的安全性；保证系统自身的安全性和完整性；2022/12/1075安全机制（续）操作系统安全的主要目标：2022/12/107安全机制（续）操作系统安全的相应机制：硬件安全机制标识与鉴别存取控制最小特权管理可信通路安全审计2022/12/1076安全机制（续）操作系统安全的相应机制：2022/12/107UNIX/Linux安全机制标识/etc/passwd和/etc/shadow中保存了用户标识和口令；root用户鉴别存取控制存取权限：可读、可写、可执行；改变权限：特殊权限位：SUID和SGID；2022/12/1077UNIX/Linux安全机制标识2022/12/1077UNIX/Linux安全机制（续）审计日志文件：acct或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等审计服务程序：syslogd；网络安全性：有选择地允许用户和主机与其他主机的连接；网络监控和入侵检测：LIDS等；备份/恢复：实时备份、整体备份、增量备份；2022/12/1078UNIX/Linux安全机制（续）审计2022/12/1073、安全模型安全需求：机密性、完整性、可追究性和可用性；访问控制策略和访问支持策略安全策略模型和安全模型安全模型的目标——明确表达安全需求，为设计开发安全系统提供方针；2022/12/10793、安全模型安全需求：机密性、完整性、可追究性和可用性；20安全模型（续）安全模型的特点精确、无歧义易理解一般性是安全策略的显示表示安全模型分为形式化的安全模型和非形式化的安全模型；2022/12/1080安全模型（续）安全模型的特点2022/12/1080安全模型（续）主要安全模型介绍Bell-LaPadula模型Biba模型Clark-Wilson模型信息流模型基于角色的存取控制（RBAC）模型DTE模型无干扰模型2022/12/1081安全模型（续）主要安全模型介绍2022/12/1081Bell-LaPadula模型是1973年D.ElliottBell和LeonardJ.LaPadula提出的一个计算机多级安全模型之一；是第一个可证明的安全系统的数学模型，实际上是一个形式化的状态机模型；包括有两部分安全策略：自主安全策略和强制安全策略；2022/12/1082Bell-LaPadula模型是1973年D.ElliotBell-LaPadula模型（续）几个重要公理：简单安全性（simple-secureproperty）*特性自主安全性（discretionary-security）兼容性公理（compatibility）定义了一系列的状态转换规则和10条重要定理；特点：支持的是信息的保密性；是通过防止非授权信息的扩散来保证系统的安全；不能防止非授权修改系统信息。2022/12/1083Bell-LaPadula模型（续）几个重要公理：2022/Biba模型1977年提出的第一个完整性安全模型；对系统每个主体和每个客体分配一个完整级别（包含两部分——密级和范畴）；安全策略分为非自主策略与自主策略；优点：简单、可能可以和BLP模型相结合。不足之处：完整标签确定的困难性；在有效保护数据一致性方面是不充分的；不能抵御病毒攻击，难以适应复杂应用；2022/12/1084Biba模型1977年提出的第一个完整性安全模型；2022/Clark－Wilson完整性模型1987年DavidClark和DavidWilson提出的具有里程碑意义的完整性模型；核心：良构事务（well-formaltransaction）优点：能有效表达完整性的3个目标；久经考验的商业方法；局限性：性能问题；不利于把对数据的控制策略从数据项中分离；没有形式化；2022/12/1085Clark－Wilson完整性模型1987年DavidCl其他模型信息流模型是存取控制模型的变形，与存取控制模型的差异很小，但是能识别隐蔽通道；基于角色的存取控制（RBAC）模型提供一种强制存取控制机制；经过发展，已经形成了RBAC0-RBAC3的家族系列；DTE（Domainandtypeenforcement）模型由域定义表和域交互表组成，依据主体域和客体类型来决定访问权限；2022/12/1086其他模型信息流模型是存取控制模型的变形，与存取控制模型的差异其他模型（续）无干扰模型是1982年J.Goguen和J.Meseguer提出的基于自动机理论和域隔离的安全系统事项方法；总结：安全模型是建立安全操作系统的一个基本要求；多级安全系统中最广泛的模型是BLP机密性安全模型等，这些模型都各具特点；2022/12/1087其他模型（续）无干扰模型是1982年J.Goguen和J.3、安全体系结构安全体系结构的含义：详细描述系统中安全相关的所有方面；在一定的抽象层次上描述各个安全相关模块之间的关系；提出指导设计的基本原理；提出开发过程的基本框架及对应于该框架体系的层次结构；两个参考标准：TCSEC和CC两个安全体系：Flask体系和权能体系2022/12/10883、安全体系结构安全体系结构的含义：2022/12/1088安全体系结构类型美国国防部的目标安全体系（DoDGoalSecurityArchitecture）中把安全体系分为：抽象体系（AbstractArchitecture）通用体系（GenericArchitecture）逻辑体系（LogicalArchitecture）特殊体系（SpecificArchitecture）2022/12/1089安全体系结构类型美国国防部的目标安全体系（DoDGoal安全体系结构设计的基本原则从系统设计之初就考虑安全性；应尽量考虑未来可能面临的安全需求；隔离安全控制，并使其最小化；实施特权极小化；结构化安全相关功能；使安全相关的界面友好；不要让安全依赖于一些隐藏的东西；2022/12/1090安全体系结构设计的基本原则从系统设计之初就考虑安全性；2024、安全操作系统设计设计原则开发方法一般开发过程2022/12/10914、安全操作系统设计设计原则2022/12/1091安全操作系统设计原则设计原则最小特权原则机制的经济性开放系统设计完整的存取控制机制基于“允许”的设计原则权限分离避免信息流的潜在通道方便使用2022/12/1092安全操作系统设计原则设计原则2022/12/1092开发方法虚拟机法改进/增强法仿真法2022/12/1093开发方法虚拟机法2022/12/1093一般开发过程阶段一系统需求分析：描述各种不同需求抽象、归纳出安全策略建立安全模型及安全模型与系统的对应性说明；阶段二安全机制设计与实现安全功能测试；重复该两部分工作；阶段三：安全操作系统可信度认证2022/12/1094一般开发过程阶段一2022/12/1094安全内核结构（1）SecuveKernel(安全内核)subjectObjectXO访问访问WebGriffin认证基于数字签名认证的用户身份验证程序文件设备等安全操作系统（SecureOS）SecuveKernel数据库2022/12/1095安全内核结构（1）SecuveKernelsubjectO安全内核结构（2）

CurrentKernelProcess数字签名及证书安全模块Security

Lib.访问控制列表安全内核数字签名认证-访问控制用户级

SecurityKernelProcess

黑客可以通过获得系统管理员权限进入文件系统

如果应用了基于数字签名的安全内核黑客即使获得了系统管理员权限，他也不能够访问文件系统操作或命令系统访问界面内核

-文件系统

-过程控制

-内存控制

-硬件界面操作或命令访问系统界面内核

-文件系统

-过程控制

-内存控制

-硬件界面内核级内核级用户级2022/12/1096安全内核结构（2）CurrentKernelProce安全内核结构（3）HardwareKernelSystemCallInterfacelsrmviviccdflpABCDE用户(应用程序)KernelModule1viKernelModule2KernelModuleNKernelModuleNKernelModuleKernelModuleLoad/Unload不可以(KernelSealing)2022/12/1097安全内核结构（3）HardwareKernelSystem程序自身保护功能(Self-Security)被黑客入侵时删除安全功能。内核密封功能(KernelSealing)防止内核模块的Loading/Uploading阻断恶意的对内核的攻击。内核隐藏功能(KernelStealth)隐藏安全内核降低安全风险不显示安全内核程序，降低风险。自动保护安全内核

程序目录防止删除安全程序保持持续的安全功能.国内唯一安全内核结构（4）2022/12/1098程序自身保护功能(Self-Security)国内唯一安全内基于安全内核的应用WebGriffin

主要对文件的写权限进行访问控制FileGriffin

对文件的读，写，执行进行访问控制共性

保护主要daemon

防止init2022/12/1099基于安全内核的应用WebGriffin2022/12/10谢谢！再见！2022/12/10100谢谢！再见！2022/12/10100操作系统安全

OperatingSystemSecurity中南大学信息科学与工程学院CentralSouthUniversityCollegeofInformationScienceandEngineering

2022/12/10101操作系统安全

OperatingSystemSecuri目录第一章绪论第二章操作系统安全机制第三章操作系统安全模型第四章操作系统安全体系结构第五章安全操作系统设计2022/12/10102目录第一章绪论2022/12/102参考文献贾春福郑鹏操作系统安全武汉大学出版社2006卿斯汉等操作系统安全清华大学出版社2004TrentJaegerOperatingSystemSecurityMORGAN&CLAYPOOLPUBLISHERSBruceSchneierSecrets&LiesandBeyondFearCrypto-gramnewsletter/crypto-gram.htmlRossAndersonSecurityEngineeringAvailableonlineat

http://www.cl.cam.ac.uk/users/rja14/book.html2022/12/10103参考文献贾春福郑鹏操作系统安全武汉大学出版社2006前言课程形式

主课，习题课，作业，小论文及上机成绩评定

作业，小论文及上机，期末考试比例：

作业10%

小论文及上机20%

期末考试70%2022/12/10104前言课程形式

主课，习题课，作业，小论文及上机2022基本目的理解掌握操作系统中的安全问题及安全性掌握操作系统安全的基本概念掌握操作系统安全机制、安全模型、安全体系结构了解安全操作系统的设计原则根据操作系统安全目标能设计并评价安全操作系统2022/12/10105基本目的理解掌握操作系统中的安全问题及安全性2022/12/第一章绪论1.1操作系统面临的安全威胁1.2安全操作系统的研究发展1.3操作系统安全的基本概念2022/12/10106第一章绪论1.1操作系统面临的安全威胁2022/12/11.1操作系统面临的安全威胁保密性威胁（secrecy）信息的隐藏——对非授权用户不可见保护数据的存在性完整性威胁（integrity）信息的可信程度信息内容的完整性、信息来源的完整性可用性威胁（availability）信息或资源的期望使用能力防止数据或服务的拒绝访问2022/12/101071.1操作系统面临的安全威胁保密性威胁（secrecy）2一、安全现状因特网网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加因特网电力交通通讯控制广播工业金融医疗（1）网络本身不安全2022/12/10108一、安全现状因特网网络对国民经济的影响在加强安全漏洞危害在增信息窃取信息传递信息冒充信息篡改信息抵赖（2）信息传递过程存在威胁2022/12/10109信息窃取信息传递信息冒充信息篡改信息抵赖（2）信息传递过程存（3）多样化的攻击手段网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫2022/12/10110（3）多样化的攻击手段网络内部、外部泄密拒绝服务攻击逻辑炸弹二、安全威胁种类特洛伊木马：Mellissa天窗：设置在操作系统内部隐蔽通道：不受安全策略控制的、违反安全策略的信息泄露路径。间谍软件（Spyware）病毒和蠕虫具有隐蔽性、传染性、潜伏性、破坏性特点逻辑炸弹拒绝服务攻击2022/12/10111二、安全威胁种类特洛伊木马：Mellissa2022/12/SQLSlammer蠕虫的能力

2022/12/10112SQLSlammer蠕虫的能力2022/12/1012SQLSlammer蠕虫的能力2022/12/10113SQLSlammer蠕虫的能力2022/12/10131.2安全操作系统的发展2001年中科院石文昌博士将安全操作系统的发展分为奠基时期、食谱时期、多政策时期和动态政策时期2004年卿斯汉教授在《操作系统安全》中也对其发展进行了概述。2022/12/101141.2安全操作系统的发展2001年中科院石文昌博士将安全操安全操作系统的发展（续）1969

年，C.Weissman研究的Adept-50是历史上的第一个分时安全操作系统。同年，B.W.Lampson

通过形式化表示方法运用主体（subject）、客体（object）和访问矩阵（accessmatrix）的思想第一次对访问控制问题进行了抽象。1970

年，W.H.Ware

对多渠道访问的资源共享的计算机系统引起的安全问题进行了研究。2022/12/10115安全操作系统的发展（续）1969年，C.Weissman安全操作系统的发展（续）1972年，J.P.Anderson提出了参照监视器（referencemonitor）、访问验证机制（referencevalidationmechanism）、安全内核（securitykernel）和安全建模（modeling）等重要思想。1973

年，B.W.Lampson

提出了隐通道（covertchannel）；同年，D.E.Bell

和L.J.LaPadula

提出了简称BLP

模型。2022/12/10116安全操作系统的发展（续）1972年，J.P.Anderso安全操作系统的发展（续）1975

年，J.H.Saltzer

和M.D.Schroeder

以保护机制的体系结构为中心，重点考察了权能（capability）实现结构和访问控制表（accesscontrollist）实现结构，给出了信息保护机制的八条设计原则。1976年，M.A.Harrison、W.L.Ruzzo

和J.D.Ullman

提出了操作系统保护的第一个基本理论——HRU理论。2022/12/10117安全操作系统的发展（续）1975年，J.H.Saltze安全操作系统的发展（续）1967-1979年典型的安全操作系统研究有：MulticsMitre安全核UCLA

数据安全UnixKSOS（KernelizedSecureOperatingSystem）PSOS等这段时期可称为奠基时期。2022/12/10118安全操作系统的发展（续）1967-1979年典型的安全操作系安全操作系统的发展（续）1983

年，美国国防部颁布了历史上第一个计算机安全评价标准TCSEC橙皮书（TrustedComputerSystemEvaluationCriteria)。1984

年，AXIOM

技术公司的S.Kramer开发了基于Unix的实验型安全操作系统LINUSIV

，达到B2级；1986，IBM

公司的V.D.Gligor

等设计了基于SCOXenix的安全Xenix系统，基于安全注意键（secureattentionkey，SAK）实现了可信通路（Trustedpath）。2022/12/10119安全操作系统的发展（续）1983年，美国国防部颁布了历史上安全操作系统的发展（续）1987年美国TrustedInformation

Systems公司开发了B3级的Tmach(TrustedMach)；1988年，AT&TBell

实验室的SystemV/MLS；1989年，加拿大多伦多大学的安全TUNIS；1990

年，TRW公司的ASOS

系统；1991年，UNIX国际组织的UNIX

SVR4.1ES，符合B2级；2022/12/10120安全操作系统的发展（续）1987年美国TrustedInf安全操作系统的发展（续）1991年，英、德、法、荷四国制定了信息技术安全评定标准ITSEC；1992～93年，美国国家安全局NSA和安全计算公司SCC设计实现了分布式可信Mach操作系统DTMach；1993年，美国国防部推出的新的安全体系结构DGSA；其他：92

年访问控制程序（ACP）和93年看守员（custodian）两种范型思想；2022/12/10121安全操作系统的发展（续）1991年，英、德、法、荷四国制定了安全操作系统的发展（续）1997年，DTOS（DistributedTrustedOperatingSystem）项目1999年，EROS(Extremelyreliableoperatingsystem），基于权能的高性能微内核实时安全操作系统；2001年，Flask的实现，SELinux操作系统；其他在研项目Honeywell的STOP、Gemini的GEMSOS、DEC的VMM、HP和DataGeneral等公司的安全操作系统；2022/12/10122安全操作系统的发展（续）1997年，DTOS（Distrib国内安全操作系统的发展1993年，国防科技大学SUNIX

病毒防御模型；1999年，中科院软件研究所从红旗Linux；2000年，中科院计算技术研究所的LIDS，南京大学的SoftOS，中科院信息安全技术工程研究中心的SecLinux；2001年，海军计算技术研究所安全增强系统UnixSVR4.2/SE；UNIX

类国产操作系统COSIXV2.0

的安全子系统；2022/12/10123国内安全操作系统的发展1993年，国防科技大学SUNIX国内安全操作系统的发展96年，军用计算机安全评估准则GJB2646-96；99年，国家技术监督局的国家标准GB17859-1999(计算机信息系统安全保护等级划分准则)，2001年强制执行；2000年，安胜安全操作系统V1.0；2001年，GB/T18336-2001(信息技术安全性评估准则)；2022/12/10124国内安全操作系统的发展96年，军用计算机安全评估准则GJB21.3操作系统安全基本概念操作系统安全是信息系统安全的基础，具有至关重要的作用。操作系统安全和安全操作系统操作系统安全是从各种不同角度分析操作系统安全性安全操作系统是按照特定安全目标设计实现的操作系统，和相应的安全等级挂钩2022/12/101251.3操作系统安全基本概念操作系统安全是信息系统安全的基础1.3操作系统安全基本概念安全功能与安全保证可信软件和不可信软件软件的三大可信类别：可信的、良性的、恶意的可信软件是可信计算基的软件部分主体与客体主体（Subject）：一个主动的实体，使信息在客体中间流动或者改变系统状态客体（Object）：一种包含或接受信息的被动实体。2022/12/101261.3操作系统安全基本概念安全功能与安全保证2022/121.3操作系统安全基本概念安全策略与安全模型安全策略（SecurityPolicy）：规定机构如何管理、保护与分发敏感信息的法规与条例的集合安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种框架。引用监视器（ReferenceMonitor）为解决用户程序的运行控制问题引入的，目的是在用户与系统资源之间实施一种授权访问关系J.P.Anderson的定义：以主体（用户等）所获得的引用权限为基准，验证运行中的程序（对程序、数据、设备等）的所有引用2022/12/101271.3操作系统安全基本概念安全策略与安全模型2022/121.3操作系统安全基本概念安全内核指系统中与安全性实现有关的部分引用验证机制、访问控制机制、授权机制、授权管理机制可信计算基（TrustComputingBase）组成完成的工作2022/12/101281.3操作系统安全基本概念安全内核2022/12/1028Problem什么是信息的完整性？隐蔽通道的工作方式？安全策略与安全模型的关系？2022/12/10129Problem什么是信息的完整性？2022/12/1029第二章安全机制一个操作系统的安全性从以下几个方面考虑：物理上分离时间上分离逻辑上分离密码上分离2022/12/10130第二章安全机制一个操作系统的安全性从以下几个方面考虑：20操作系统安全的主要目标：依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；标识系统中的用户并进行身份鉴别；监督系统运行的安全性；保证系统自身的安全性和完整性；2022/12/10131操作系统安全的主要目标：2022/12/1031操作系统安全的相应机制：硬件安全机制标识与鉴别存取控制最小特权管理可信通路安全审计存储保护、运行保护、I/O保护2022/12/10132操作系统安全的相应机制：2022/12/1032理想的安全操作系统基础保护系统（ProtectionSystem）保护系统包含一个保护状态（protectionstate）和保护状态操作（protectionstateoperations）保护状态：描述系统主体在系统客体上能执行的操作保护状态操作：使状态能进行改变的动作，如增加新的系统主体或客体到保护状态中等Lampson的访问矩阵——保护状态2022/12/10133理想的安全操作系统基础保护系统（ProtectionSys理想的安全操作系统基础Lampson的访问矩阵——保护状态保护域protectiondomain访问控制列表Accesscontrollist（ACL）权能列表Capabilitylist（C_list）强制保护系统（MandatoryProtectionSystem）访问矩阵——不信任的进程能篡改保护系统——未授权访问的安全问题强制保护系统是一个仅使可信管理员通过可信软件来修改状态的保护系统。包含的状态：强制保护状态Mandatoryprotectionstate标记状态labelingstateTransitionstate2022/12/10134理想的安全操作系统基础Lampson的访问矩阵——保护状态2理想的安全操作系统基础LabelingstateTransitionstateProtectionstateFile:newfileFile:acctProcess:newprocProcess:other2022/12/10135理想的安全操作系统基础LabelingstateTrans理想的安全操作系统基础引用监视器ReferenceMonitor引用监视器接口ReferenceMonitorInterface授权模块AuthorizationModule策略存储PolicyStore2022/12/10136理想的安全操作系统基础引用监视器ReferenceMoni理想的安全操作系统基础ReferenceMonitorOperatingSystemAuthorizationModulePolicyStoreProtectionstateLabelingstateTransitionstateProcessReferenceMonitorInterfaceHooksProcessProcessProcess2022/12/10137理想的安全操作系统基础ReferenceMonitorOp理想的安全操作系统基础安全操作系统定义是一个其访问执行满足引用监视器概念的操作系统引用监视器概念定义了任何系统能安全地执行一个强制保护系统的充要属性，包括：CompleteMediationTamperproofVerifiable2022/12/10138理想的安全操作系统基础安全操作系统定义2022/12/1032.1标识与鉴别机制标识系统可以识别的用户的内部名称鉴别：对用户宣称的身份标识的有效性进行校验和测试的过程。方法密码验证生物鉴别方法可信计算基——与鉴别相关的认证机制2022/12/101392.1标识与鉴别机制标识2022/12/10392.2访问控制访问控制的基本任务：防止用户对系统资源的非法使用，保证对课题的所有直接访问都是被认可的。措施确定要保护的资源授权确定访问权限实施访问权限三种访问控制技术：自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC2022/12/101402.2访问控制访问控制的基本任务：防止用户对系统资源的非法2.2访问控制自主访问控制DAC基于行的自主访问控制机制能力表：权限字前缀表：包括受保护的客体名和主体对它的访问权限口令：每个客体有一个基于列的自主访问控制机制保护位：对客体的拥有者基其他主体、主体组，规定的对该客体访问模式的集合访问控制表：对某个特定资源制定任意用户的访问权限。2022/12/101412.2访问控制自主访问控制DAC2022/12/10412.2访问控制强制访问控制MAC限制访问控制过程控制系统限制基于角色的访问控制RBACNIST提出的访问控制机制，实际是强制访问控制机制的一种基本思想：授权给用户的访问权限，通常由用户担当的角色来确定。特征访问权限与角色相关联角色继承最小权限原则指责分离角色容量2022/12/101422.2访问控制强制访问控制MAC2022/12/10422.3最小特权管理是系统安全中最基本的原则之一要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可。26个特权常见的形式基于文件的特权机制基于进程的特权机制实例惠普的Presid