安全操作系统课件

安全操作系统安全操作系统中国科学技术大学计算机系中国科学技术大学计算机系xx安全操作系统中国科学技术大学计算机系安全操作系统中国科学技术大学计算机系第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特权管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制2感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述2感谢你的观看感谢你的观看2019年年9月月1第二章第二章 操作系操作系统的安全机制的安全机制v概述概述v标识与鉴别机制v访问控制v最小特权管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制3感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述3感谢你的观看感谢你的观看2019年年9月月1概述概述v什么是操作系统？v操作系统的基本功能有哪些？v从安全的角度上看，操作系统应当提供哪些安全服务？内存保护文件保护普通实体保护存取鉴别等4感谢你的观看感谢你的观看2019年年9月月11概述什么是操作系统？概述什么是操作系统？4感谢你的观看感谢你的观看2019年年9月月11操作系操作系统安全的主要目安全的主要目标v操作系统安全的主要目主要目标按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用l包括窃取、篡改和破坏标识系统中的用户，并对身份进行鉴别监督系统运行的安全性保证系统自身的安全性和完整性5感谢你的观看感谢你的观看2019年年9月月11操作系统安全的主要目标操作系统安全的主要目标操作系统安全的主要目标操作系统安全的主要目标5感谢你的观看感谢你的观看2安全机制的定安全机制的定义vISO：是一种技术、一些软件或实施一个或更多安全服务的过程v特殊的安全机制v普遍的安全机制6感谢你的观看感谢你的观看2019年年9月月11安全机制的定义安全机制的定义ISO：是一种技术、一些软件或实施一个或更多安：是一种技术、一些软件或实施一个或更多安普遍的安全机制普遍的安全机制v信任的功能性v事件检测v审计跟踪v安全恢复7感谢你的观看感谢你的观看2019年年9月月11普遍的安全机制信任的功能性普遍的安全机制信任的功能性7感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与与鉴别机制机制v访问控制v最小特权管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制8感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述8感谢你的观看感谢你的观看2019年年9月月12.1.1标识与与鉴别机制机制v标识：用户要向系统表明的身份用户名、登录ID、身份证号或智能卡应当具有唯一性不能被伪造v鉴别，对用户所宣称的身份标识的有效性进行校验和测试的过程9感谢你的观看感谢你的观看2019年年9月月112.1.1标识与鉴别机制标识：用户要向系统表明的身份标识与鉴别机制标识：用户要向系统表明的身份9感谢感谢用用户声明自己身份的声明自己身份的4种方法种方法1.证实自己所知道的自己所知道的例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等2.出示自己所出示自己所拥有的有的例如智能卡3.证明自己是明自己是谁例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等4.表表现自己的自己的动作作例如签名、键入密码的速度与力量、语速等等10感谢你的观看感谢你的观看2019年年9月月11用户声明自己身份的用户声明自己身份的4种方法证实自己所知道的种方法证实自己所知道的10感谢你的观看感谢你的观看22.1.2 密密码v口令机制口令机制是身份鉴别中最常用的手段v口令机制简单易行，但很脆弱容易记忆的内容，很容易被猜到l姓名、生日、身份证号难以记忆的内容，用户使用不方便，常常记录在容易被发现的地方l随机算法远程鉴别中，口令容易在传递过程中被破解l明文传输、容易破解的协议11感谢你的观看感谢你的观看2019年年9月月112.1.2 密码口令机制是身份鉴别中最常用的手段密码口令机制是身份鉴别中最常用的手段11感谢你的感谢你的有很多其他手段可以获得口令l观察、录像等暴力破解l简单的密码12感谢你的观看感谢你的观看2019年年9月月11有很多其他手段可以获得口令有很多其他手段可以获得口令12感谢你的观看感谢你的观看2019年年9月月11口令口令选取的注意点取的注意点v不要使用容易猜到的词或短语v不要使用字典中的词、常用短语或行业缩写等v应该使用非标准的大写和拼写方法v应该使用大小写和数字混合的方法选取口令v此外，口令质量还取决于口令空间口令加密算法口令长度13感谢你的观看感谢你的观看2019年年9月月11口令选取的注意点不要使用容易猜到的词或短语口令选取的注意点不要使用容易猜到的词或短语13感谢你的观看感谢你的观看2口令空口令空间的大小的大小v口令空间的大小是字母表规模和口令长度的函数vS：口令空间vL：口令的最大有效期vR：单位时间内可能的口令猜测数vP：口令有效期内被猜出的可能性P（LR）/S14感谢你的观看感谢你的观看2019年年9月月11口令空间的大小口令空间的大小是字母表规模和口令长度的函数口令空间的大小口令空间的大小是字母表规模和口令长度的函数14口令加密算法口令加密算法v单向加密函数v加密算法的安全性十分重要v如果口令加密只依赖于口令或其他固定信息，有可能造成不同用户加密后的口令是相同的即不同的密码能打开多个账户为了减少这种可能性，要考虑使用一些其他因素来加密15感谢你的观看感谢你的观看2019年年9月月11口令加密算法单向加密函数口令加密算法单向加密函数15感谢你的观看感谢你的观看2019年年9月月11口令口令长度度v口令在有效期内被猜出的可能性，决定口令的安口令的安全性全性可能性越小，口令越安全v在其他条件相同的情况下，口令越长，安全性越大口令有效期越短，口令被猜出的可能性越小v口令长度计算方法：MlogASS：口令空间A：字母表大小16感谢你的观看感谢你的观看2019年年9月月11口令长度口令在有效期内被猜出的可能性，决定口令的安全性口令长度口令在有效期内被猜出的可能性，决定口令的安全性16感感v为了计算合适的口令长度建立一个可以接受的口令猜出可能性P，例如10-20v根据口令最大有效期L和单位时间内可能的口令猜测数R，以及P反过来计算SS（LR）/Pv然后根据口令空间计算出口令长度，取整17感谢你的观看感谢你的观看2019年年9月月11为了计算合适的口令长度为了计算合适的口令长度17感谢你的观看感谢你的观看2019年年9月月11破解口令的方法破解口令的方法v社会工程学方法v字典程序v口令文件窃取v暴力破解18感谢你的观看感谢你的观看2019年年9月月11破解口令的方法社会工程学方法破解口令的方法社会工程学方法18感谢你的观看感谢你的观看2019年年9月月1口令管理口令管理v当用户在系统注册时，必须赋予用户口令v用户口令必须定期更改v系统必须维护一个口令数据库v用户必须记忆自身的口令v在系统认证用户时，用户必须输入口令19感谢你的观看感谢你的观看2019年年9月月11口令管理当用户在系统注册时，必须赋予用户口令口令管理当用户在系统注册时，必须赋予用户口令19感谢你的观看感谢你的观看口令的安全性口令的安全性维护v口令的安全性应该由系统管理员和用户共同努力加以维护v系统管理员初始化系统口令初始口令分配口令更改认证用户ID使用户ID重新生效培训用户v用户安全意识更改口令如何防止口令暴露给系统管理员？如何防止口令暴露给系统管理员？20感谢你的观看感谢你的观看2019年年9月月11口令的安全性维护口令的安全性应该由系统管理员和用户共同努力加口令的安全性维护口令的安全性应该由系统管理员和用户共同努力加小小结：口令机制的：口令机制的实现要点要点v口令的存储v口令的传输v账户封锁v账户管理v用户安全属性v审计v实时通知系统管理员v通知用户21感谢你的观看感谢你的观看2019年年9月月11小结：口令机制的实现要点口令的存储小结：口令机制的实现要点口令的存储21感谢你的观看感谢你的观看2019年年2.1.3 生物生物鉴别方法方法v“证明你是谁”；“表现你的动作”v提供用户特有的行为或生理上的特点指纹、面容扫描、虹膜扫描、视网膜扫描、手掌扫描心跳或脉搏取样、语音取样、签字力度、按键取样等v采用的技术称为“生物测定学”采用一个生物测定学因素代替用户名或账户ID作为身份标识需要用生物测定学取样对已存储的取样数据库中的内容进行一对多的查找并且要在生物测定学取样和已存储的取样之间保持主体身份的一一对应22感谢你的观看感谢你的观看2019年年9月月112.1.3 生物鉴别方法生物鉴别方法“证明你是谁证明你是谁”；“表现你的动作表现你的动作”22v使用生物鉴别方法应该注意绝对唯一鉴别要准确，鉴别设备要精确必须先取样并存储时间特性：随时间变化的因素，要考虑定期重新进行23感谢你的观看感谢你的观看2019年年9月月11使用生物鉴别方法应该注意使用生物鉴别方法应该注意23感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制控制v最小特权管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制24感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述24感谢你的观看感谢你的观看2019年年9月月2.2 访问控制控制v访问控制用来提供授权v用户在通过身份鉴别后，还需要通过授权，才能访问资源或进行操作v使用访问控制机制的目的目的保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会，从而延缓这种感染的传播保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯25感谢你的观看感谢你的观看2019年年9月月112.2 访问控制访问控制用来提供授权访问控制访问控制用来提供授权25感谢你的观看感谢你的观看2019v访问控制机制的实行确定要保护的资源授权确定访问权限实施访问权限26感谢你的观看感谢你的观看2019年年9月月11访问控制机制的实行访问控制机制的实行26感谢你的观看感谢你的观看2019年年9月月11系系统内主体内主体对客体的客体的访问控制机制控制机制v自主访问控制v强制访问控制v基于角色的访问控制27感谢你的观看感谢你的观看2019年年9月月11系统内主体对客体的访问控制机制自主访问控制系统内主体对客体的访问控制机制自主访问控制27感谢你的观看感谢你的观看22.2.2 自主自主访问控制控制v允许客体的所有者或建立者控制和定义主体对客体的访问v访问控制矩阵的保存基于行的自主访问控制机制基于列的自主访问控制机制28感谢你的观看感谢你的观看2019年年9月月112.2.2 自主访问控制允许客体的所有者或建立者控制和定义主自主访问控制允许客体的所有者或建立者控制和定义主基于行的自主基于行的自主访问控制机制控制机制v在每个主体上都附加一个该主体可以访问的客体的明细表v三种形式权能表：决定用户是否可以对客体进行访问，以及进行何种模式的访问。对每一个用户，系统有一个权能表。前缀表：对每个主体赋予前缀表。前缀表包括受保护的客体名和主体对它的访问权限。口令：每个客体都相应的有一个口令29感谢你的观看感谢你的观看2019年年9月月11基于行的自主访问控制机制在每个主体上都附加一个该主体可以访问基于行的自主访问控制机制在每个主体上都附加一个该主体可以访问关于关于权能表能表v用户对自己所拥有的文件权能拷贝/回收v权能的实现：权限字权限字是一个提供给主体对客体具有特定权限的不可伪造标识主体可以建立新的客体，并指定在这些客体上允许的操作，每个权限字标识可以允许的访问v转移和传播权限v权限字的管理必须存放在内存中不能被普通用户访问的地方，如系统保留区、专用区、被保护区域30感谢你的观看感谢你的观看2019年年9月月11关于权能表用户对自己所拥有的文件关于权能表用户对自己所拥有的文件30感谢你的观看感谢你的观看2019年年9基于列的自主基于列的自主访问控制机制控制机制v按客体附加一份可以访问它的主体的明细表v两种方式保护位，UNIX访问控制表ACL：按用户，细粒度31感谢你的观看感谢你的观看2019年年9月月11基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细关于保关于保护位位v保护位对客体的拥有者、及其他的主体、主体组（用户、用户组），规定了一个对该客体访问的模式的集合。v保护位的方式，不能完备的表达访问控制矩阵v用户组：具有相似特点的用户集合v拥有者对客体的所有权，只能通过超级用户特权来改变v不考虑超级用户的话，拥有者是唯一能够改变客体保护位的主体v一个用户可能属于多个用户组，但任意时刻只有一个活动的用户组32感谢你的观看感谢你的观看2019年年9月月11关于保护位保护位对客体的拥有者、及其他的主体、主体组（用户、关于保护位保护位对客体的拥有者、及其他的主体、主体组（用户、关于关于ACLv访问控制表ACL举例File1:(ID1,r,w),(ID2,r),(GROUP1,w,x)vACL的优点：表述直观、易于理解比较容易查出对一个特定资源拥有访问权限的所有用户，有效的实施授权管理33感谢你的观看感谢你的观看2019年年9月月11关于关于ACL访问控制表访问控制表ACL举例举例33感谢你的观看感谢你的观看2019年年9月月基于列的自主基于列的自主访问控制机制控制机制v按客体附加一份可以访问它的主体的明细表v两种方式保护位，UNIX访问控制表ACL：按用户，细粒度v访问控制表ACL举例File1:(ID1,r,w),(ID2,r),(GROUP1,w,x)vACL的优点：表述直观、易于理解34感谢你的观看感谢你的观看2019年年9月月11基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细v访问控制表方法的问题客体很多？用户的职位、职责变化时?单纯使用ACL，不易实现最小特权原则和复杂的安全策略授权管理费力、繁授权管理费力、繁琐、容易出错琐、容易出错35感谢你的观看感谢你的观看2019年年9月月11访问控制表方法的问题授权管理费力、繁琐、容易出错访问控制表方法的问题授权管理费力、繁琐、容易出错35感谢你的感谢你的在文件和目在文件和目录中常用的几种中常用的几种访问模式模式v对文件设置的访问模式读拷贝（Readcopy）l与单纯的读？写删除（Writedelete）l不同的系统可能有不同的写模式，或复杂的组合（更细致）写附加、删除、写修改等执行（Execute）l通常需要同时具备读权限无效（Null）：对客体不具备任何访问权限36感谢你的观看感谢你的观看2019年年9月月11在文件和目录中常用的几种访问模式对文件设置的访问模式在文件和目录中常用的几种访问模式对文件设置的访问模式36感谢感谢考考虑目目录v对目录及和目录相对应的文件的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制（最好）v对目录的访问模式读写扩展（writeexpand）l更细的：读状态、修改、附加37感谢你的观看感谢你的观看2019年年9月月11考虑目录对目录及和目录相对应的文件的访问操作考虑目录对目录及和目录相对应的文件的访问操作37感谢你的观看感谢你的观看2.2.3 强制制访问控制控制v对于自主访问授权，系统无法区分这是用户的合法操作还是恶意攻击的非法操作v强制访问控制通过强加一些不可逾越的访问限制防止某些攻击；还可以阻止某个进程共享文件，并阻止通过一个共享文件向其他进程传递信息38感谢你的观看感谢你的观看2019年年9月月112.2.3 强制访问控制对于自主访问授权，系统无法区分这是用强制访问控制对于自主访问授权，系统无法区分这是用v强制访问控制基于安全属性每个进程/文件/IPC客体都被赋予相应的安全属性赋予的安全属性，通常不可变，由安全管理员或者OS自动地按照严格的规则来设置访问时，根据进程的安全属性和客体的安全属性来判断是否允许代表用户的进程不能改变自身或任何客体的安全属性，也不能改变属于该用户的客体的安全属性39感谢你的观看感谢你的观看2019年年9月月11强制访问控制基于安全属性强制访问控制基于安全属性39感谢你的观看感谢你的观看2019年年9月月11vMAC和DAC通常结合在一起使用MAC，防止其他用户非法入侵自己的文件DAC，是用户不能通过意外事件和有意识的误操作来逃避安全控制，常用于将系统中的信息分密级和类进行管理，适用于政府部门、军事和金融等领域v当且仅当主体能够同时通过DAC和MAC检查时，才能访问一个客体40感谢你的观看感谢你的观看2019年年9月月11MAC和和DAC通常结合在一起使用通常结合在一起使用40感谢你的观看感谢你的观看2019年年9v强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效v一般强制访问控制采用一下几种方法：限制访问控制l限制：用户要修改ACL的唯一途径是请求一个特权系统调用；该调用的功能是依据用户终端输入的信息，而不是依靠另一个程序提供的信息来修改访问控制信息过程控制：对过程进行控制。l例如，警告用户不要/提醒；取决于用户本身执行与否。系统控制：对系统的功能实施一些限制。l如限制共享文件；限制用户编程等。41感谢你的观看感谢你的观看2019年年9月月11强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统2.2.4 基于角色的基于角色的访问控制控制v20世纪90年代，美国国家标准和技术研究院 NIST，基于角色的访问控制：RBACv本质上是强制访问控制的一种，区别在于：基于对工作的描述而不是主体的身份进行访问控制。v系统通过主体的角色或任务定义主体访问客体的能力v适用于人员频繁变动的环境42感谢你的观看感谢你的观看2019年年9月月112.2.4 基于角色的访问控制基于角色的访问控制20世纪世纪90年代，年代，美国国家标美国国家标v基本思想：根据用户担当的角色来确定授权给用户的访问权限类比：银行的出纳员、会计师、贷款员类比：医院中的医生、护士43感谢你的观看感谢你的观看2019年年9月月11基本思想：根据用户担当的角色来确定授权给用户的访问权限基本思想：根据用户担当的角色来确定授权给用户的访问权限43感感用用户、角色、操作、主体、客体的关系、角色、操作、主体、客体的关系v用户与角色：一个用户可经授权而拥有多个角色一个角色可由多个用户构成v角色与操作：每个角色可执行多个操作每个操作也可由不同的角色执行v用户与主体：一个用户可拥有多个主体（进程）每个主体只对应一个用户v操作与客体每个操作可施加于多个客体每个客体也可以接受多个操作44感谢你的观看感谢你的观看2019年年9月月11用户、角色、操作、主体、客体的关系用户与角色：用户、角色、操作、主体、客体的关系用户与角色：44感谢你的观感谢你的观v用户（主体）能够对一客体执行访问操作的必要条件是：该用户被授权了一定的角色，其中有一个在当前时刻处于活跃状态，且这个角色对客体拥有相应的访问权限45感谢你的观看感谢你的观看2019年年9月月11用户（主体）能够对一客体执行访问操作的必要条件是：用户（主体）能够对一客体执行访问操作的必要条件是：45感谢你感谢你RBAC的特征的特征v访问权限与角色相关限与角色相关联，不同的角色有不同权限对事不对人v角色角色继承承角色之间可能有互相重叠的职责和权力具有角色继承概念的角色，有自己的属性，但可能还继承其他的角色的属性及拥有的权限v最小特最小特权原则即用户所拥有的权力不能超过他执行工作时所需的权限可以设计不同的角色，满足最小特权原则46感谢你的观看感谢你的观看2019年年9月月11RBAC的特征访问权限与角色相关联，不同的角色有不同权限的特征访问权限与角色相关联，不同的角色有不同权限46v职责分离分离静态职责分离，Static Separation of Duty，SSD一个用户不能赋予多个角色动态职责分离，Dynamic Separation of Duty，DSD一个用户可以赋予多个角色，但同一时刻只能有一个角色是活动的v角色容量角色容量在一个特定的时间段内，有一些角色有人数限制在创建新的角色时，要指定角色的容量47感谢你的观看感谢你的观看2019年年9月月11职责分离职责分离47感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特最小特权管理管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制48感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述48感谢你的观看感谢你的观看2019年年9月月2.3 最小特最小特权管理管理v超级用户 VS.普通用户主流多用户操作系统中，超级用户一般具有所有特权，而普通用户不具有任何特权v威胁：超级用户口令丢失；被冒充；误操作v解决方法：实行最小特权管理原则v参考：49感谢你的观看感谢你的观看2019年年9月月112.3 最小特权管理超级用户最小特权管理超级用户 VS.普通用户普通用户49感谢你的观感谢你的观v橘皮书关于最小特权的定义：要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可v这个原则的应用将限制因意外、错误或未经授权使用而造成的损害50感谢你的观看感谢你的观看2019年年9月月11橘皮书关于最小特权的定义：橘皮书关于最小特权的定义：50感谢你的观看感谢你的观看2019年年9月月11v最小特权原则：必不可少的特权充分性：保证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作必要性：在充分的前提下加以限制v基本思想和出发点：系统不应给用户超过执行任务所需特权以外的特权v一种可能的方案：将特权用户的特权加以划分，形成一组细粒度的特权51感谢你的观看感谢你的观看2019年年9月月11最小特权原则：必不可少的特权最小特权原则：必不可少的特权51感谢你的观看感谢你的观看2019年年9月月1最小特最小特权举例例1v在系统中定义1.系统安全管理员2.审计员3.操作员4.安全操作员5.网络管理员v任何一个用户都不能获取足够的权力破坏系统的安全策略v为了保证系统的安全性，不应赋予某人一个以上的职责52感谢你的观看感谢你的观看2019年年9月月11最小特权举例最小特权举例1在系统中定义在系统中定义52感谢你的观看感谢你的观看2019年年9月月11v系统安全管理员1.对系统资源和应用定义安全级2.限制隐蔽通道活动的机制3.定义用户和自主访问控制的组4.为所有用户赋予安全级v审计员1.设置审计参数2.修改和删除审计系统产生的原始审计信息3.控制审计归档53感谢你的观看感谢你的观看2019年年9月月11系统安全管理员系统安全管理员53感谢你的观看感谢你的观看2019年年9月月11v操作员1.启动和停止系统，以及完成磁盘一致性检查等2.格式化新的存储介质3.设置终端参数4.允许或不允许登录，但不能改变口令、用户的安全纪和其他有关安全的登录参数5.产生原始的系统记账数据54感谢你的观看感谢你的观看2019年年9月月11操作员操作员54感谢你的观看感谢你的观看2019年年9月月11v安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的操作员。完成操作员的所有责任例行的备份和恢复安装和拆卸可安装介质55感谢你的观看感谢你的观看2019年年9月月11安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的v网络管理员管理网络软件，如TCP/IP设置BUN文件，允许使用Uucp，Uuto等进行网络通信设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择有关的管理文件启动和停止RFS，通过RFS共享和安装资源启动和停止NFS，通过NFS共享和安装资源56感谢你的观看感谢你的观看2019年年9月月11网络管理员网络管理员56感谢你的观看感谢你的观看2019年年9月月11最小特最小特权举例例2CAP_SETPLEVEL CAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMINv将系统中能进行敏感操作的能力分成26个特权CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIRv由一些特权用户分别掌握这些特权，哪一个特权用户都不能独立完成所有的敏感操作57感谢你的观看感谢你的观看2019年年9月月11最小特权举例最小特权举例2CAP_SETPLEVEL 将系统中能进行敏感将系统中能进行敏感v常见的最小特权管理机制基于文件的特权机制基于进程的特权机制v目前几种安全OS的最小特权管理机制惠普的Presidum/Virtual Vaultl根功能分成42中独立的特权l最小特权是惠普可信赖OSVirtual Vault的基本特性红旗安全操作系统RFSOSl一个管理角色不拥有另一个管理角色的特权，攻击者破获某个管理角色口令时，不会得到对系统的完全控制58感谢你的观看感谢你的观看2019年年9月月11常见的最小特权管理机制常见的最小特权管理机制58感谢你的观看感谢你的观看2019年年9月月11SELinuxl系统中不再有超级用户，而被分解l避免了超级用户的误操作或其身份被假冒而带来的安全隐患59感谢你的观看感谢你的观看2019年年9月月11SELinux59感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特权管理v可信通路可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流OS的安全机制60感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述60感谢你的观看感谢你的观看2019年年9月月2.4 可信通路可信通路v可信通路是用户能够借以同可信计算基通信的一种机制能够保证用户确定是和安全核心通信防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令v最简单的办法：给每个用户两台终端一台用于处理日常工作；一台专门用于和内核的硬连接昂贵v另一种方法：使用通用终端，通过发信号给核心不可信软件不能拦截、覆盖或伪造的信号安全注意键61感谢你的观看感谢你的观看2019年年9月月112.4 可信通路可信通路是用户能够借以同可信计算基通信的一种可信通路可信通路是用户能够借以同可信计算基通信的一种Linux的安全注意的安全注意键v在x86平台上是+SYS Rq)62感谢你的观看感谢你的观看2019年年9月月11Linux的安全注意键在的安全注意键在x86平台上是平台上是+Ctrl第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特权管理v可信通路v安全安全审计机制机制v存储保护、运行保护和I/O保护v主流OS的安全机制63感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述63感谢你的观看感谢你的观看2019年年9月月2.5 安全安全审计机制机制v审计是一种事后分析法，一般通过对日志的分析来完成v日志：记录的事件或统计数据提供关于系统使用及性能方面的信息v审计：对日志记录进行分析以清晰的、能理解的方式表述系统信息v安全审计：对系统中有关安全的活动进行记录、检查及审核认定违反安全规则的行为64感谢你的观看感谢你的观看2019年年9月月112.5 安全审计机制审计是一种事后分析法，一般通过对日志的分安全审计机制审计是一种事后分析法，一般通过对日志的分审计机制的主要作用机制的主要作用v主要作用能详细记录与系统安全有关的行为，并对这些行为进行分析分析，发现系统中的不安全因素，保障系统安全能够对违反安全规则的行为或企图提供提供证据据，帮助追查违规行为发生的地点、过程以及对应的主体对于已受攻击的系统，可以提供信息帮助帮助进行行损失失评估和系估和系统恢复恢复v安全操作系统一般都要求采用审计机制来监视与安全相关的活动v橘皮书中有明确要求65感谢你的观看感谢你的观看2019年年9月月11审计机制的主要作用主要作用审计机制的主要作用主要作用65感谢你的观看感谢你的观看2019年年9月月112.5.1 审计事件事件v审计事件是系统审计用户动作的基本单位v通常根据要审计行为的不同性质加以分类主体：要记录用户进行的所有活动客体：要记录关于某一客体的所有访问活动v用户事件标准每个用户有自己的待审计事件集v基本事件集在用户事件标准中，每个用户都要审计的公共部分v橘皮书从C2级开始要求具有审计功能vGB17859-1999从第二级开始就对审计有了明确的要求66感谢你的观看感谢你的观看2019年年9月月112.5.1 审计事件审计事件是系统审计用户动作的基本单位审计事件审计事件是系统审计用户动作的基本单位662.5.2 审计系系统的的实现v日志记录器：收集数据根据要审计的审计事件范围记录信息输出：l二进制形式，或者可以直接读取的形式l或者直接传送给数据分析机制v分析器：分析数据输入：日志分析日志数据，使用不同的分析方法来监测日志数据中的异常行为v通告器：通报结果输入：分析器的分析结果把结果通知系统管理员或其他主体为这些主体提供系统的安全信息辅助他们对系统可能出现的问题进行决策67感谢你的观看感谢你的观看2019年年9月月112.5.2 审计系统的实现日志记录器：收集数据审计系统的实现日志记录器：收集数据67感谢你的观感谢你的观Windows NT的日志文件的日志文件v系统日志跟踪各种系统事件记录由Windows NT的系统组件产生的事件例如：启动过程中加载驱动程序错误又如：系统崩溃v应用程序日志记录由应用程序或系统程序产生的事件例如：应用程序产生的状态dll失败又如：应用程序的添加v安全日志记录安全相关的关键安全事件例如：登录上网/下网，改变访问权限，系统启动和关闭，与创建/打开/删除文件等资源使用相关联的事件68感谢你的观看感谢你的观看2019年年9月月11Windows NT的日志文件系统日志的日志文件系统日志68感谢你的观看感谢你的观看201第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特权管理v可信通路v安全审计机制v存存储保保护、运行保、运行保护和和I/O保保护v主流OS的安全机制69感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述69感谢你的观看感谢你的观看2019年年9月月2.6 存存储保保护、运行保、运行保护和和I/O保保护存储保护v存储保护需求保护用户存储在存储器中的数据保护单元和保护精度：字/字块/页面/段单道系统 VS 多道系统 VS 多用户系统v存储器管理和存储保护之间的关系存储基本概念：虚拟地址空间、段内存管理的访问控制控制：l系统段与用户段l基于物理页号的识别l基于描述符的地址解释机制70感谢你的观看感谢你的观看2019年年9月月112.6 存储保护、运行保护和存储保护、运行保护和I/O保护存储保护保护存储保护70感谢你的观感谢你的观基于物理基于物理页号的号的识别v每个物理页号都被加上一个密钥v系统只允许拥有该密钥的进程访问该物理页v每个进程分配一个密钥，装入进程的状态字中v每次访问内存时，由硬件对该密钥进行校验密钥：要匹配访问控制信息（读写权限）要匹配v缺点：繁琐71感谢你的观看感谢你的观看2019年年9月月11基于物理页号的识别每个物理页号都被加上一个密钥基于物理页号的识别每个物理页号都被加上一个密钥71感谢你的观感谢你的观基于描述符的地址解基于描述符的地址解释机制机制v每个进程有一个“私有”的地址描述符，描述进程对内存某页或某段的访问模式v可以有两类访问模式集：用户状态下运行的进程系统模式下运行的进程v优点：开销小72感谢你的观看感谢你的观看2019年年9月月11基于描述符的地址解释机制每个进程有一个基于描述符的地址解释机制每个进程有一个“私有私有”的地址描述符，的地址描述符，基于保基于保护环的运行保的运行保护v等级域保护机制应该保护某一环不被其外层环侵入允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环v与进程隔离机制不同在任意时刻，进程可以在任何一个环内运行，并转移到另一个环。保护进程免遭在同一环内同时运行的其他进程的破坏73感谢你的观看感谢你的观看2019年年9月月11基于保护环的运行保护等级域保护机制基于保护环的运行保护等级域保护机制73感谢你的观看感谢你的观看2019年年I/O保保护vI/O操作一般是特权操作v操作系统对IO操作进行封装，提供对应的系统调用v将设备看成一个客体，对其应用相应的访问控制规则读写两种针对从处理器到设备间的路径74感谢你的观看感谢你的观看2019年年9月月11I/O保护保护I/O操作一般是特权操作操作一般是特权操作74感谢你的观看感谢你的观看2019年年第二章第二章 操作系操作系统的安全机制的安全机制v概述v标识与鉴别机制v访问控制v最小特权管理v可信通路v安全审计机制v存储保护、运行保护和I/O保护v主流主流OS的安全机制的安全机制75感谢你的观看感谢你的观看2019年年9月月11第二章第二章 操作系统的安全机制概述操作系统的安全机制概述75感谢你的观看感谢你的观看2019年年9月月主流主流OS的安全机制的安全机制v1：Linuxv2：Microsoft Windows 200076感谢你的观看感谢你的观看2019年年9月月11主流主流OS的安全机制的安全机制1：Linux76感谢你的观看感谢你的观看2019年年Linux的安全机制的安全机制vPAMv入侵检测系统v加密文件系统v安全审计v强制访问控制v防火墙77感谢你的观看感谢你的观看2019年年9月月11Linux的安全机制的安全机制PAM77感谢你的观看感谢你的观看2019年年9月月11PAMvPluggable Authentication Modulesv目的：提供一个框架和一套编程接口，将认证工作由程序员交给管理员v允许管理员在多种认证方法之间做出选择，v能够改变本地认证方法而不需要重新编译与认证相关的应用程序v以共享库的形式提供78感谢你的观看感谢你的观看2019年年9月月11PAMPluggable Authentication Mov功能包括：加密口令（包括DES和其他加密算法）对用户进行资源限制，防止DOS攻击允许随意Shadow口令限制特定用户在指定时间从指定地点登录引入概念“client plug-in agents”，使PAM支持C/S应用中的机器79感谢你的观看感谢你的观看2019年年9月月11功能包括：功能包括：79感谢你的观看感谢你的观看2019年年9月月11入侵入侵检测系系统v目前比较流行的入侵检测系统有Snort，Portsentry，LIDS等v利用Linux配备的工具和从Internet上download的工具，就可以使Linux具备高级的入侵检测能力，包括：记录入侵企图当攻击发生时及时通知管理员在规定情况的攻击发生时，采取实现规定的措施发送一些错误信息，比如伪装成其他操作系统，例如WindowsNT或者Solaris系统80感谢你的观看感谢你的观看2019年年9月月11入侵检测系统目前比较流行的入侵检测系统有入侵检测系统目前比较流行的入侵检测系统有Snort，Por加密文件系加密文件系统v加密文件系统就是将加密服务引入文件系统，从而提高计算机系统的安全性防止硬盘被偷窃防止未经授权的访问v目前，Linux已有多种加密文件系统，例如CFSTCFS，Transparent Cryptographic File SystemCRYPTFS81感谢你的观看感谢你的观看2019年年9月月11加密文件系统加密文件系统就是将加密服务引入文件系统，从而提高加密文件系统加密文件系统就是将加密服务引入文件系统，从而提高TCFSvTransparent：用户感觉不到文件的加密过程将加密服务和文件系统紧密集成不修改文件系统的数据结构备份与修复以及用户访问保密文件的语义也不变加密文件对以下用户不可读l合法拥有者以外的用户l用户和远程文件系统通信线路上的偷听者l文件系统服务器的超级用户对于合法用户，访问加密文件与访问普通文件几乎没有区别82感谢你的观看感谢你的观看2019年年9月月11TCFSTransparent：用户感觉不到文件的加密过程：用户感觉不到文件的加密过程8安全安全审计vLinux提供网络、主机和用户级的日志信息v例如，可以记录所有系统和内核信息每次网络连接和他们的源IP地址以及发生时间攻击者的用户名操作系统的类型远程用户申请访问的文件用户控制的进程用户使用的每条命令等等83感谢你的观看感谢你的观看2019年年9月月11安全审计安全审计Linux提供网络、主机和用户级的日志信息提供网络、主机和用户级的日志信息83感谢你感谢你强制制访问控制控制MACvMAC是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性的限制信息的共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象v目前在Linux上实现的强制访问控制的有好几种，如SELinuxRSBAC：Rule Set Based Access Control，基于规则集的访问控制MAC Linux：英国的Malcolm Beattie针对Linux 2.2内核编写的一个非常处级的MAC访问控制84感谢你的观看感谢你的观看2019年年9月月11强制访问控制强制访问控制MACMAC 是一种由系统管理员从全系统的角度定义是一种由系统管理员从全系统的角度定义防火防火墙vLinux防火墙系统提供如下功能访问控制审计抗攻击其他附属功能85感谢你的观看感谢你的观看2019年年9月月11防火墙防火墙Linux防火墙系统提供如下功能防火墙系统提供如下功能85感谢你的观看感谢你的观看201Windows 2000的安全机制的安全机制vWindows 2000在安全特性方面的设计注重如下三点：考虑移动办公、远程工作、随时随地接入Internet这些需求及其安全需求提供一个安全性框架，不偏重于任何一种特定的安全特性向下兼容lNT的NTLM（NT LAN Manager）安全验证机制l2000的Kerberos安全验证机制86感谢你的观看感谢你的观看2019年年9月月11Windows 2000的安全机制的安全机制Windows 2000在在Windows 2000的安全模的安全模块结构构图安全服务提供者接口安全服务提供者接口Security Service Provider Interface底层安全验证协议底层安全验证协议应用协议应用协议87感谢你的观看感谢你的观看2019年年9月月11Windows 2000的安全模块结构图安全服务提供者接口的安全模块结构图安全服务提供者接口KerberosvInternet上长期被采用的一种安全验证机制v基于共享密钥的方式vKerberos协议定义了一系列客户机/密钥发布中心KDC/服务器之间进行的获得和使用Kerberos票证的通信过程（Key Distribution Center）88感谢你的观看感谢你的观看2019年年9月月11KerberosInternet 上长期被采用的一种安全验证机上长期被采用的一种安全验证机Windows 2000的安全特性的安全特性v数据安全性用户登录时的安全性：KerberosPKI等网络数据的保护存储数据的保护v企业间通信的安全性v企业王和Internet的单点安全登录v易管理性和高扩展性89感谢你的观看感谢你的观看2019年年9月月11Windows 2000的安全特性数据安全性的安全特性数据安全性89感谢你的观看感谢你的观看ThanksThanks！The end.Thanks！The end.91感谢你的观看感谢你的观看2019年年9月月1191感谢你的观看感谢你的观看2019年年9月月11