工业云平台信息安全基础（微课版）课件 CH5 系统安全

第5章系统安全云操作系统安全Windows操作系统安全恶意代码Linux操作系统安全云操作系统安全5.1云操作系统的概念云操作系统又称为云计算操作系统、云计算中心操作系统，它以云计算、云存储技术作为支撑，是管理云基础设施软、硬件资源的云平台综合管理系统。云操作系统可分为三层：服务层、系统层和物理资源层。云操作系统具有三大功能：管理和驱动大量服务器、存储器等基础硬件为云应用服务提供统一、标准的接口管理海量的计算任务并进行高效的资源调度云计算身份认证身份认证也称身份验证或身份鉴别，通常指在计算机及计算机网络中确认操作者身份的过程，通过用户提供的访问凭证确定该用户是否具有对某类资源的访问或更改权限。云操作系统主要通过密码认证、实物认证和生物认证来进行身份认证。密码认证实物认证生物认证在云计算环境中，身份认证需要满足以下要求：采用强认证方式。采用多因子认证。认证级别动态调整。认证兼容。支持认证委托。云计算访问控制访问控制是根据用户身份及其所归属的某个组来限制用户对某些信息项的访问或对某些功能的使用的一种技术，一般用于控制用户对服务器、目录、文件等网络资源的访问，可以保障网络资源在合法范围内得以有效使用和管理。云计算访问控制技术主要包括以下三种：访问控制规则、访问控制模型和加密机制。访问控制规则访问控制模型加密机制云计算安全措施对云操作系统的安全管理一般基于安全基线进行。安全基线主要由安全配置、漏洞信息和系统重要状态三方面组成。通过监测安全基线，系统可以在第一时间发现可疑行为和流量，发出告警并实时接收宿主机、虚拟机安全信息，向宿主机分配安全扫描和加固等任务。虚拟防火墙主机加固WebShell防护虚拟机杀毒Windows操作系统安全5.2Windows操作系统的结构Windows操作系统的安全机制Windows操作系统的安全机制账户和组：账户是用户登录系统时的凭证，一般由用户名和对应的口令组成，账户也称为用户账户。组是对用户进行分类管理的基本单位，同一组中的用户具有相同的权限。账户密码安全：在Windows操作系统中，使用安全账户管理器（SecurityAccountManager，SAM）机制对用户账户进行安全管理，对SAM文件的管理是确保Windows系统账户安全的基础。Windows操作系统的安全机制账户权限管理：安全标识符(SccurityIdentifiers，SID)访问控制列表(AccessControlLists，ACL)权限管理设置原则日志：日志是操作系统一个非常关键的服务组件，记录了系统中硬件、软件和系统运行状态的信息，同时还可以记录和监视系统中发生的事件。Windows操作系统提供了系统日志、应用程序日志、安全日志、FTP日志、WWW日志、DNS服务器日志等涉及系统各个环节的信息，这些信息以日志文件形式存储在磁盘上。Linux操作系统安全5.3Linux操作系统的结构用户和组：Linux操作系统通过基于角色的身份认证方式实现对不同用户(user)和组(group)的分类管理。根据不同的角色定位，Linux用户可以分为三种类型：根(Root)用户、普通用户、系统用户。身份认证：本地身份认证，对从本地计算机通过Linux控制台登录的用户身份的合法性进行认证。Linux操作系统的安全机制远程身份认证，普遍采用SSH(SecureShell)服务来实现对远程访问的安全保护。可插入身份认证模块，PAM是要求对其服务进行身份认证的应用程序与提供认证服务的认证模块之间的中间件。访问控制：访问控制是在身份认证的基础上，通过实施各种访问控制策略，防止非法用户进入系统；控制和规范合法用户在系统中的行为，避免合法用户对系统资源的非法使用。Linux操作系统对所有文件和设备资源的访问控制都是通过VFS实现的。Linux操作系统的安全机制日志：Linux提供了丰富的日志功能，记录和查看应用程序的各种信息。Linux操作系统的安全机制Linux操作系统的安全机制恶意代码5.4恶意代码是指未经授权认证，攻击者从其他计算机系统经存储介质或网络传播，以破坏计算机系统完整性为目标的一组指令集。恶意代码由攻击者根据个人意图而编写，其目的包括窃取他人计算机上的信息、远程控制被攻击的计算机、占用他人计算机或网络资源、拒绝服务、进行破坏、炫耀个人技术或恶作剧等。恶意代码包括计算机病毒、蠕虫、木马、后门、僵尸网络、Rootkit等。恶意代码攻击是所有网络攻击行为中涉及面最广、影响力最大、自动化程度最高的一种攻击方式。1983年，费雷德·科恩博士研制出第一个实验成功的计算机病毒。1986年，拉合尔·巴锡特和阿姆杰德两人编写了名为Brain的病毒，这是世界上第一例传播的病毒。计算机病毒网络蠕虫特洛伊木马后门僵尸网络Rootkit恶意代码概述影响工业领域的恶意代码针对恶意代码的防护，要通过建立有效的防范体系和管理制度实现，注重加强安全管理和提高安全意识，具体可以遵循以下的一些措施。使用正版软件或可信来源的软件，避免因为软件本身内部隐藏的恶意代码而感染计算机。如果可能，尽量安装反病毒软件，比如杀毒软件、安全卫士等。备份重要的数据，避免重要数据被恶意代码加密、修改、删除后无法恢复。加强文件传输过程的安全管理，不论是通过U盘等移动存储介质还是通过网盘、电子邮件等网络方式进行文件传输，都要在打开文件之前确认文件的安全性。不打开可疑的Web链接、可疑的邮件附件、非可信来源的在线文档等，避免感