保密技术概论：第10章 基础部件安全

第10章

基础部件安全1内容提要基本概念终端安全可信计算技术操作系统安全数据库安全210.1基本概念信息系统是由软硬件基础设备和应用软件组成的综合系统基础设备包括计算机设备和网络设备计算机设备硬件平台(如：服务器、台式PC机、笔记本电脑)操作系统数据库管理系统软件310.2终端安全从终端源头实施安全控制，是信息系统安全保密的关键4应用操作系统硬件配置终端计算平台框架示意图10.2.1终端安全现状终端安全措施：是指围绕台式PC机、笔记本电脑或PDA等终端设备，实行的安全保护技术和安全管理方法很多终端安全措施可以直接应用于服务器1998年，美国NSA《信息保障技术框架》—纵深防御策略网络与基础设施防御网络边界防御局域计算环境（本地终端、打印机、服务器等）防御5信息安全保障的主要目的：保护信息系统和数据不被未经授权访问、使用、泄露、中断、修改或破坏。终端安全是纵深防御体系的重要内容10.2.1终端安全现状计算环境的结构更加复杂、组成单元数量更加庞大，其安全防护更加困难，安全性也比较薄弱X86结构的PC机（包括一些PC服务器），其硬件结构在应用安全的保障方面先天不足6可信计算技术为终端安全增强提供了新途径和新方法10.2.2终端安全问题终端及其计算环境的安全问题主要关注：确保信息在进入、离开或驻留客户机与服务器时，具有保密性、完整性和可用性。终端面临的威胁来源缺乏终端网络准入机制系统漏洞的广泛存在木马、病毒等恶意软件的攻击手段层出不穷终端用户缺乏安全意识710.2.2终端安全问题终端安全的解决方案构建全面的终端防护体系改进PC机硬件结构，加强终端安全的硬件基础810.2.3终端安全措施终端安全的解决方案信息安全等级保护将终端划分为五个安全等级进行保护每一保护等级都提出了具体的安全目标与安全要求安全策略，身份认证访问控制，数据加密病毒防护，系统加固终端安全审计终端接入控制终端外设接口管理910防失窃密防系统破坏确保系统可用防止内部人员破坏看不懂拿不走赖不掉改不了进不来身份认证数据保护边界安全控制自主访问控制职权分离最小特权非法内联控制非法外联控制强制访问控制执行程序一致性校验行为审计通用硬件平台USB-KEY操作系统硬件安全管理中心策略边界安全控制安全目标终端安全保护系统体系结构10.2.3终端安全措施终端安全策略操作系统的安全策略分配用户权限互联网访问策略制定外来人员访问策略1110.2.3终端安全措施数据终端保护终端数据存储安全的主要策略是数据加密技术透明文件加解密技术透明加密技术是与Windows紧密结合的一种技术，它工作于Windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态1210.2.3终端安全措施终端行为审计用于防止用户进行非法访问及事后追责上网访问行为审计和控制文件保护及审计网络文件输出审计用户及权限审计1310.2.3终端安全措施终端准入控制在内网安全管理中，准入控制是所有终端管理功能实现的基础终端网络准入控制是指设置准入的安全策略，对接入设备进行验证，并根据终端安全性检查结果，确定终端接入方式首先对接入用户进行身份认证然后对接入终端的安全状态进行检查1410.2.3终端安全措施终端准入控制准入控制技术分类基于网络的准入控制：EAPOL技术，EAPOU技术基于主机的准入控制：应用准入控制、客户端准入控制1510.2.3终端安全措施终端外设接口管理USB接口管理打印机、调制解调器等外设统一控制光驱、软驱、刻录机等设备统一控制16个人计算机体系结构简化，没有考虑安全问题传统PC机的架构抵抗不了来自网络的攻击要提高终端的安全性必须从硬件体系结构入手TCG,CTCU开展了可信计算技术的工作在PC机主板上集成一个密码芯片TPM或TCM建立基于硬件密码模块的可信根以及基于可信度量的可信传递用户身份认证计算平台完整性评估计算平台间的远程验证数据加密保护1710.3可信计算技术10.3.1可信硬件TPM（TrustPlatformModule）通过物理方式与计算平台相连在PC机上，它直接固化在主板上TPM的内部主要由密码功能部件构成1810.3.1可信硬件TPM通用结构19I/O接口部件密码协处理器HMAC引擎SHA-1引擎可选部件非易失存储器随机数发生器密钥生成部件执行部件易失性存储器电源管理部件外部总线内部总线10.3.1可信硬件TPCM在TCG中，将核心可信度量根（CRTM）存储在BIOS中BIOS中的CRTM,TPM中的RTR,RTS共同构成TCG中的可信构建模块（TBB）BIOS都是EEPROM，可通过厂商提供的接口修改BIOS!中国可信计算联盟提出将度量根放入TPCM中，这样三个逻辑根（RTM,RTS,RTR）都存储在唯一的物理可信根TPCM中，防篡改逻辑根的能力大为增强2010.3.1可信硬件TPCM通用结构21微处理器易失性存储单元定时器随机数发生器密钥生成器密码算法引擎输入输出桥接单元LPC控制器非易失性存储单元身份识别控制器PC控制器GPIO控制器10.3.2可信固件技术BIOS固件的设计须保证高可靠性、高安全性和高可控性固件连接OS与硬件，地位特殊，出现问题后果严重TCG可信计算平台中BIOS是可信根的一部分UEFI为OS的启动与预启动程序的执行，提供了一个标准环境UEFI考虑了安全的设计，包括TCGEFI平台规范、TCGEFI协议规范2210.3.3可信传递技术信任链是TCG中可信计算平台的核心机制信任链的传递分为两个阶段加电开始直到操作系统加载完毕实模式下运行，串行引导阶段从操作系统内核开始运行直到终端平台应用环境建立完毕保护模式下运行，并行引导阶段2310.3.3可信传递技术24串行引导阶段并行引导阶段应用BIOSOSLoaderOS内核加电10.3.3可信传递技术上述两个阶段必须可信引导过程采用的技术：对平台引导的各个环节的完整性度量和验证，包括BIOS、各种设备的ROM代码（比如显卡、网卡）、硬件配置信息（比如CMOS中存放的数据）、磁盘主引导记录（MBR）、操作系统装载程序以及操作系统内核本身等信任链传递涉及操作系统的设计：与上层应用的安全需求紧密结合，可采用白名单和数字证书的方法2510.3.4可信执行技术可信执行技术是Intel公司为实现可信计算专门设计的主板芯片组技术26CPU保护显示保护AC模块与平台初始化键盘/鼠标保护IntelCPUIntel(G)MCHICH内存保护TPMRAMLPCTXT主要构成10.3.4可信执行技术TXT技术对硬件的改进CPU:改进CPU结构和指令集，对进程地址空间进行隔离Chipset:改进芯片组结构以支持内存隔离和进程保护，同时也解决DMA控制器的安全隐患ProtectI/O：除了芯片组的支持外，各种外设提供商对外设控制器也做了相应的改进2710.3.4可信执行技术TXT技术提供以下安全特性分区执行保护可验证性安全存储I/O保护内存保护2810.3.4可信执行技术TXT技术可解决传统PC机在一些软件攻击下的脆弱问题输入输出的脆弱性内存访问的脆弱性DMA控制器的漏洞2910.4操作系统安全操作系统面临的威胁分为保密性、完整性和可用性威胁可用性威胁对包括信息在内的资源的期望使用能力，是系统可靠性与系统设计中的一个重要方面操作系统通过部署安全机制来减少或避免这些威胁所带来的危害安全机制以安全模型为基础安全机制的有效性和合理性，通过对操作系统进行安全评测来检验3010.4.1操作系统的安全机制操作系统安全的主要目标标识系统中的用户，并对身份进行鉴别按照系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用（窃取、篡改和破坏）监督系统运行的安全状况保证系统自身的安全性如何达到这些目标？31建立相应的安全机制！10.4.1操作系统的安全机制（1）身份认证Target:确认当前正在试图登录进入系统的用户，就是账户数据库中记录的那个用户身份认证的两个过程用户向系统表明自己身份的过程系统核查用户身份的过程认证用户的三种方法要求用户输入一些保密信息，如姓名、通行字或密钥采用物理识别设备的方法，如访问卡、USBKey或令牌利用生物特征，如指纹、声音、视网膜等识别技术3210.4.1操作系统的安全机制（2）访问控制Target:防止用户对系统资源的非法使用，保证对客体所有直接访问都是被认可的使用访问控制的目的保护存储在计算机的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会，从而延缓这种感染的传播保证系统的安全性和可用性，以免受到偶然或蓄意的侵犯3310.4.1操作系统的安全机制（2）访问控制访问控制三要素主体、客体、安全访问规则实现访问控制机制的流程确定要保护的资源授权，即规定可以访问资源的实体确定访问权限，即规定对该资源可以进行的操作实施访问权限，即通过确定每个实体可以对哪些资源进行哪些操作3410.4.1操作系统的安全机制（2）访问控制Windows实现了用户级自主访问控制访问控制由与每个进程相关联的访问令牌和每个相关联的安全标识符SID来管理35用户进程Win32模块客体对象安全引用监视器SRM访问请求执行访问许可请求授权请求WindowNT的客体访问示意图10.4.1操作系统的安全机制（2）访问控制Windows的访问控制列表自主访问控制列表包含了用户和组的列表以及相应的权限，每个用户或组在自主访问控制列表中都有各自的权限。系统访问控制列表是为审计服务的，包含对象被访问的时间等3610.4.1操作系统的安全机制（2）访问控制Unix系统的访问控制采用基于访问权限的单一的自主访问控制,r,w,xLinux系统的访问控制利用访问控制列表，实现为不同用户或组定义不同的使用权限。一个访问控制列表由许多ACL相构成，包括三个域关键字域，用于标识项类型访问者域，包括组或用户的名字权限域3710.4.1操作系统的安全机制（3）安全审计审计机制一般是通过对日志的分析来完成的审计系统包括三部分日志记录器：收集数据分析器：分析数据通告器：通报结果3810.4.1操作系统的安全机制（3）安全审计Unix日志系统记录连接时间的日志进程统计错误日志Windows日志系统系统日志应用程序日志安全日志3910.4.1操作系统的安全机制（4）信道保护机制信道保护涉及以下两个方面的内容消除隐信道保护正常通道可信路径是用户能够用来同可信计算基通信的一种机制，为正常信道提供保护机制——安全注意键Linux：Alt+AysRq+KWindows:Alt+Ctrl+Delete4010.4.1操作系统的安全机制（5）最小特权原则系统安全中最基本的原则之一最小特权：在完成某种操作时，所赋予系统中每个主体（用户或进程）必不可少的权限最小特权原则：应限定系统中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因所造成的损失最小4110.4.1操作系统的安全机制（6）安全配置一般操作系统都提供了相应的安全配置接口安全配置主要包括操作系统安全策略关闭不必要的服务和端口开启审核策略开启账户策略备份敏感文件不显示上次登录名禁止建立空连接和下载补丁等。。。4210.4.2操作系统安全模型43注册管理工具本地安全认证安全策略数据库安全账号管理器安全账号管理数据库账号信息审计日志安全引用监视器账号信息访问确认请求审计生成请求账号信息用户模式核心模式WindowsNT/2000的安全模型10.4.2操作系统安全模型安全模型分类——按实现的策略分保密性模型：通过提供保证信息不被非授权泄露的安全策略来保证系统安全，但不能有力地保证信息的完整性，如信息的非授权更改。Bell-LaPadula模型，军事应用完整性模型：注重信息的完整性，防止信息不被非授权篡改。Biba模型，Clark-Wilson模型，商业应用混合策略模型：兼顾信息的保密性和完整性。中国墙模型，医疗信息系统安全模型4410.4.2操作系统安全模型安全模型分类——按实现的方法分访问控制模型：通过安全访问规则，限制主体对客体的访问权限，从而使计算机系统在合法范围内使用信息流模型：着眼于控制客体之间的信息传播过程，根据两个客体的安全属性来决定请求的操作是否被允许4510.4.3操作系统的安全级别安全评估准则：TCSEC,ITSEC,FC,CC,SSE-CMM,ISOTCSEC将计算机系统安全分为七个级别D级，最低安全性。DOS,windows3.x,windows95C1级，自主访问控制（DAC）C2级，较完善的自主访问控制、审计,Unix,windowsNTB1级，强制访问控制（MAC）B2级，良好的结构化涉及、形式化安全模型B3级，全面的访问控制、可信恢复A1级，形式化验证46麒麟3操作系统达到B2级，COSIX64/SWSS达到B1级10.4.3操作系统的安全级别1999.9.13，《计算机信息系统安全保护登记划分准则》规定了计算机系统保护能力的五个等级第一级：用户自主保护级第二级：系统审计保护级第三级：

安全标记保护级第四级：结构化保护级第五级：访问验证保护级4710.5数据库安全数据库面临的威胁：伪造、篡改、泄密、拒绝服务安全需求：保密性、完整性和可用性需求实现上述需求的办法数据库身份认证访问控制审计加密4810.5.1自主访问控制数据库系统中主体：用户、数据库服务进程等客体：表、视图、元组、元素等自主访问控制是当主体请求对客体的访问（SQL命令）时，系统根据主体对应的用户和组的标识符、客体的标识符以及主体对客体的访问权限，决定是否允许主体对客体请求（如：Select,Insert，Update,Delete等）的访问。4910.5.1自主访问控制基于属主的自主访问控制（DAC）其基本管理方式是对象的宿主具有对象的管理权严格的DAC:具有授予和回收访问权的管理者不能将该管理权传递给其他用户自由的DAC：具有授予和回收访问权的管理者可以将该管理权传递给其他用户5010.5.1自主访问控制例子：//Alice授予Bob在SZB上的增删查改的权限Grantselect,insert,update,deleteonSZBtoBob//

Alice不仅授予Bob在SZB上的增删查改的权限，且将授予权委托给BobGrantselect,insert,update,deleteonSZBtoBobwithgrantoption//Alice可以收回Bob对SZB的访问权Revokeselect,insert,update,deleteonSZBfromBob5110.5.1自主访问控制级联授权与级联回收52AliceCarlBobEvanFred级联授权：假设Alice拥有财物收支表的访问管理权，并将该项管理权授予Bob和Carl两个用户，这两个用户又分被将管理权传递给Evan和Fred级联回收：假设某一时刻撤销掉Bob拥有的财务收支表的访问管理权，那么用户Evan的访问管理权也将被回收。10.5.1自主访问控制基于数据库的视图提供了对细粒度的基于内容的访问控制的支持例子：Alice是公司财物收支表（SZB）的属主，定义为：SZB:project_name,project_sort,depart,expenses,income…Bob为开发部经理，他可查询自己部门的项目收支，但看不到其他部门的项目收支情况。对于这种情况，Alice可以通过创建视图dep_szb,授予Bob对dep_szb的访问权：Createviewasselectproject_name,expenses,incomefromSZBwheredepart=development;Grantselectondep_szbtoBob5310.5.2多级强制访问控制理论基础是BLP模型通过给主体用户和客体数据对象都指定安全级，并根据安全级的比较结果，确定某主体是否被准许访问某客体BLP执行“上读下写”的原则，即主体对客体只能向下读向上写数据库多级安全对客体的安全标签，粒度划分为表（关系）列（字段）行（元组）元素TrustOracle7采用基于元组粒度的安全标记5410.5.2多级强制访问控制多重实例：避免用户通过隐通道方法对数据库中的机密数据进行变相访问，同时保持数据的完整性55项目名称（ProjectName）项目种类(ProjectSort)部门(Depart)经费(Expenses)收入(Income)W1_001科技厅开发部5050DS_002(U)863(U)市场部(U)100(R)100(R)DS_002(U)863(U)市场部(U)80(U)80(U)10.5.3基于角色的访问控制RBAC：是面向企业安全策略的