信息系统安全操作系统安全

目录1、信息系统安全基本概念2、密码学(1)3、密码学(2)4、操作系统安全(1)5、操作系统安全(2)6、数据库安全(1)7、数据库安全(2)8、可信计算(1)9、可信计算(2)第1页一、操作系统安全概念我们学术观点： 硬件结构安全和操作系统安全是信息系统安全基础，密码、网络安全等是关键技术。

第2页一、操作系统安全概念1、操作系统是信息系统安全基础之一：

①操作系统是软件系统底层；

②操作系统是系统资源管理者；

③操作系统是软硬件接口。

2、操作系统安全困难性

①操作系统规模庞大，以至于不能确保完全正确。

②理论上普通操作系统安全是不可判定问题。

3、我国必须拥有自己操作系统①操作系统受治于人，不能从根本上确保信息安全；

②立足国内，发展自己操作系统。第3页二、操作系统安全评价1、操作系统安全要求 普通对安全操作系统有以下要求：

①安全策略：要有明确、严谨、文档齐全安全策略

②标识：每个实体必须标识其安全级别

③

认证：

每个主体必须被认证

④审计：对影响安全事件，必须统计日志，并进行审计。

⑤确保：系统必须确保上述4项要求被实施⑥连续性保护：实现安全机制必须是不间断地发挥作用，而且未经许可不可改动。

第4页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：

①D级：最低安全保护级

D级是最低安全保护级属于D级系统是不安全除了物理上一些安全办法外，没有什幺其它安全用户只要开机后就可支配全部资源DOS,WINDOWS3.2,MOS第5页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：②C1级：自主安全保护级经过用户名和口令进行身份认证每个用户对属于他们自己客体含有控制权划分属主、同组用户和其它用户3个层次。属主控制这3个层次存放权限实体没有划分安全级别多数UNIX、LINUX，WindowsNT

第6页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：③

C2级：受控制安全保护级系统统计日志，并进行审计。身份认证更强，口令以密文存放。采取以用户为单位自主访问控制机制。部分UNIX、LINUX，VMS

第7页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：

④B1级：标识安全保护级采取多级安全策略采取强制访问控制强制访问控制并不取消原来自主访问控制，而是在此之外另加。实体都划分安全级别属主也不能改变对自己客体存放权限第8页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：⑤B2级：结构化安全保护级要有形式化安全模型更完善强制访问控制隐通道分析与处理普通认为B2级以上操作系统才是安全操作系统Honeywell企业MULTICS、TIS企业TrustedXENIX3.04.0

第9页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：⑥B3级：安全域级把系统划分为一些安全域，用硬件把安全域相互分割开来，如存放器隔离保护等。提供可信路径机制，确保用户与可信软件是连接，预防假冒进程。更全方面访问控制机制。更严格系统结构化设计。更完善隐通道分析。HFS企业UNIXXTS-STOP3.1E第10页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：⑦

A1级：验证安全设计级安全模型要经过数学证实对隐通道进行形式化分析Honeywell企业SCOMP、波音企业MLSLANOS注意：分级顶端是无限，还可加入A2、A3级等。每一级安全性都包含前一级安全性。第11页二、操作系统安全评价2、美国国防部桔皮书（TCSEC）：DC1C2B1B2B3A1第12页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：

（GB117859－1999）

依据中国国情、参考桔皮书，将其7级别合并为5个级别

①第一级：用户自主保护级；

②第二级：系统审计保护级；

③第三级：安全标识保护级；

④第四级：结构化保护级；

⑤第五级：访问验证保护级。第13页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：①第一级：用户自主保护级；经过隔离用户与数据，使用户具备自主安全保护能力。它含有各种形式控制能力，对用户实施访问控制，即为用户提供可行伎俩，保护用户和用户组信息，防止其它用户对数据非法读写与破坏。

自主访问控制 比如：访问控制表

身份判别 比如：口令数据完整性 经过自主完整性策略，阻止非授权用户修改或破坏敏感信息。

第14页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：②第二级：系统审计保护级；与用户自主保护级相比，本级计算机实施了粒度更细自主访问控制，它经过登录规程、审计安全性相关事件和隔离资源，使用户对自己行为负责。

自主访问控制 访问控制机制依据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制粒度是单个用户。没有存取权用户只允许由授权用户指定对客体访问权。身份判别

经过为用户提供唯一标识、计算机能够使用户对自己行为负责。计算机还具备将身份标识与该用户全部可审计行为相关联能力。

阻止客体重用

客体只有在释放且去除原信息后才让新主体使用审计 计算机能创建和维护受保护客体访问审计跟踪统计，并能阻止非授权用户对它访问或破坏。

第15页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：③第三级：安全标识保护级；含有系统审计保护级全部功效。另外，还提供相关安全策略模型、数据标识以及主体对客体强制访问控制非形式化描述；含有准确地标识输出信息能力；消除经过测试发觉任何错误。

强制访问控制 计算机对全部主体及其所控制客体（比如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标识，这些标识是等级分类和非等级类别组合，它们是实施强制访问控制依据。

标识 计算机应维护与主体及其控制存放客体（比如：进程、文件、段、设备）相关敏感标识。这些标识是实施强制访问基础。第16页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：④第四级：结构化保护级；建立于一个明确定义形式化安全策略模型之上，它要求将第三级系统中自主和强制访问控制扩展到全部主体与客体。考虑隐蔽通道。必须结构化为关键保护元素和非关键保护元素。计算机接口也必须明确定义，使其设计与实现能经受更充分测试。加强了判别机制；支持系统管理员和操作员职能；提供可信设施管理；增强了配置管理控制。系统含有相当抗渗透能力。

第17页二、操作系统安全级别3、中国计算机信息系统安全保护等级划分准则：⑤第五级：访问验证保护级本级计算机满足访问监控器需求。访问监控器仲裁主体对客体全部访问。访问监控器本身是抗篡改；必须足够小，能够分析和测试。支持安全管理员职能，扩充审计机制，提供系统恢复机制。系统含有很高抗渗透能力。

隐蔽信道分析可信路径

可信恢复

第18页二、操作系统安全级别4、桔皮书和GB117859不足①桔皮书注意确保数据秘密性，而没有注意确保数据真实性和完整性。

②忽略了防范诸如拒绝服务之类攻击。③只给出了评测等级，没有给出到达这种等级所要采取系统结构和技术路线。第19页二、操作系统安全级别5、CC标准：①美国国家安全局、国家技术标准研究所、法国、加拿大、英国、德国、荷兰六国七方，联合提出了新“信息技术安全评价通用准则”（CCforITSEC），并于1999年5月正式被ISO颁布为国际标准，。

②增强了对真实性和完整性保护。③仍没有给出到达标准所要采取系统结构和技术路线。第20页三、操作系统安全机制操作系统安全目标：对用户进行身份识别；依据安全策略，进行访问控制，预防对计算机资源非法存取；标识系统中实体；监视系统安全运行；确保本身安全性和完整性。第21页三、操作系统安全机制1、实体保护多道程序增加，使得许多实体需要保护。⑴需要受保护实体：存放器；IO设备；程序；数据。第22页三、操作系统安全保护技术1、实体保护⑵保护方法：①隔离

操作系统一个基本安全方法是隔离，把一个客体与其它客体隔离起来。物理隔离：不一样处理使用不一样物理设备。如，不一样安全级别处理输出使用不一样打印机；第23页三、操作系统安全机制①隔离时间隔离： 不一样安全级别处理在不一样时间执行；逻辑隔离：用户操作在没有其它处理存在情况下执行。 操作系统限制程序访问，以使该程序不能访问允许范围之外客体。 虚拟机是软件是运行在硬件之上、操作系统之下支撑软件，能够使一套硬件运行多个操作系统，分别执行不一样密级任务。密码隔离：

用密码加密数据，以其它处理不能了解形式隐藏数据第24页三、操作系统安全机制①隔离然而隔离仅仅是问题二分之一。我们除了要对用户和客体进行隔离外，我们还希望能够提供共享。比如，不一样安全级别处理能调用同一个算法或功效调用。我们希望既能够提供共享，而又不牺牲各自安全性。第25页三、操作系统安全机制1、实体保护⑵保护方法：②隔绝当操作系统提供隔绝时，并发运行不一样处理不能觉察对方存在。每个处理有自己地址空间、文件和其它客体。操作系统限制每个处理，使其它处理客体完全隐蔽。第26页三、操作系统安全机制1、实体保护⑶存放器保护： 多道程序最主要问题是阻止一个程序影响另一个程序存放器。这种保护能够作成硬件机制，以保护存放器有效使用，而且成本很低。①固定地址界限设置地址界限，使操作系统在界限一边，而用户程序在界限另一边。主要是阻止用户程序破坏操作系统程序。这种固定界限方式限制是死扳，因为给操作系统预留存放空间是固定，不论是否需要。

第27页三、操作系统安全机制1、实体保护⑶存放器保护：①固定地址界限

操作系统操作系统硬件地址界限操作系统用户程序0n-1n高第28页三、操作系统安全机制1、实体保护⑶存放器保护：②浮动地址界限界限存放器（fenceregister）：它存放操作系统端地址。与固定界限方式不一样，这里界限是能够改变。每当用户程序要修改一个地址数据时，则把该地址与界限地址进行比较，假如该地址在用户区则执行，假如该地址在操作系统区则产生错误信号、并拒绝执行。第29页三、操作系统安全机制1、客实体保护⑶存放器保护：②浮动地址界限

操作系统操作系统界限存放器操作系统用户程序0n-1n高第30页三、操作系统安全机制1、实体保护⑶存放器保护：②浮动地址界限一个界限存放器保护是单向。换句话说，可保护用户不侵入操作系统区，但不能保护一个用户对另一用户区侵入。类似地，用户也不能隔离保护程序代码区和数据区。

通常采取多对地址界限存放器，其中一个为上界，另一个为下界（或一个为基址，另一个为界长）。把程序之间，数据之间，堆栈之间隔离保护起来。

第31页三、操作系统安全机制1、实体保护⑶存放器保护：②浮动地址界限

操作系统程序2上界存放器操作系统程序30n-1n高操作系统程序1下界存放器mm+1基址存放器界长存放器第32页三、操作系统安全机制1、实体保护⑷运行保护：安全操作系统采取分层设计；运行域是进程运行区域；运行域保护机制：依据安全策略，把进程运行区域划分为一些同心环，进行运行安全保护。最内环含有最小环号，含有最高安全级别；最外环含有最大环号，含有最低安全级别； 内环不受外环入侵，却可利用外环资源，并控制外环。第33页三、操作系统安全机制1、实体保护⑷运行保护：R0R1Rn第34页三、操作系统安全机制1、实体保护⑸IO保护：IO保护是系统中最复杂；大多数情况下，把IO设备视为文件，且要求IO是仅由操作系统完成一个特权操作，对读写操作提供一个高层系统调用。在这一过程中，用户不控制IO操作细节。第35页三、操作系统安全机制2、标识与认证⑴标识标识是系统为了正确识别、认证和管理实体而给实体一个符号；用户名是一个标识，为是进行身份认证；安全级别也是一个标识，为是进行安全访问控制。标识需要管理；标识活性化、智能化，是值得研究新方向。⑵认证