操作系统安全讲稿课件

操作系统安全操作系统安全Operating System Security中南大学信息科学与工程学院Central South UniversityCollege of Information Science and Engineering 2024/5/171操作系统安全Operating System Securi目录目录第一章第一章 绪论绪论第二章第二章 操作系统安全机制操作系统安全机制第三章第三章 操作系统安全模型操作系统安全模型第四章第四章 操作系统安全体系结构操作系统安全体系结构第五章第五章 安全操作系统设计安全操作系统设计2024/5/172目录第一章 绪论2023/8/32参考文献参考文献贾春福贾春福 郑鹏郑鹏 操作系统安全操作系统安全 武汉大学出版社武汉大学出版社 2006卿斯汉等卿斯汉等 操作系统安全操作系统安全 清华大学出版社清华大学出版社 2004Trent Jaeger Operating System Security MORGAN&CLAYPOOL PUBLISHERS Bruce SchneierSecrets&Lies and Beyond FearCrypto-gram newsletterhttp:/ AndersonSecurity EngineeringAvailable online at http:/www.cl.cam.ac.uk/users/rja14/book.html2024/5/173参考文献贾春福 郑鹏 操作系统安全 武汉大学出版社 2006前言前言课程形式 主课，习题课，作业，小论文及上机成绩评定 作业，小论文及上机，期末考试 比例：作业 10%小论文及上机 20%期末考试 70%2024/5/174前言课程形式 主课，习题课，作业，小论文及上机2023基本目的基本目的理解掌握操作系统中的安全问题及安全性掌握操作系统安全的基本概念掌握操作系统安全机制、安全模型、安全体系结构了解安全操作系统的设计原则根据操作系统安全目标能设计并评价安全操作系统2024/5/175基本目的理解掌握操作系统中的安全问题及安全性2023/8/3第一章 绪论1.1 操作系统面临的安全威胁操作系统面临的安全威胁1.2 安全操作系统的研究发展安全操作系统的研究发展1.3 操作系统安全的基本概念操作系统安全的基本概念2024/5/176第一章 绪论1.1 操作系统面临的安全威胁2023/8/361.1 操作系统面临的安全威胁保密性威胁（保密性威胁（secrecy）信息的隐藏信息的隐藏对非授权用户不可见对非授权用户不可见保护数据的存在性保护数据的存在性完整性威胁（完整性威胁（integrity）信息的可信程度信息的可信程度信息内容的完整性、信息来源的完整性信息内容的完整性、信息来源的完整性可用性威胁（可用性威胁（availability）信息或资源的期望使用能力信息或资源的期望使用能力防止数据或服务的拒绝访问防止数据或服务的拒绝访问2024/5/1771.1 操作系统面临的安全威胁保密性威胁（secrecy）2一、安全现状一、安全现状因特网因特网网络对国民经济的影响在加强网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加因特网因特网电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗（1）网络本身不安全）网络本身不安全2024/5/178一、安全现状因特网网络对国民经济的影响在加强安全漏洞危害在增信息窃取信息窃取信息传递信息传递信息冒充信息冒充信息篡改信息篡改信息抵赖信息抵赖（2）信息传递过程存在威胁）信息传递过程存在威胁2024/5/179信息窃取信息传递信息冒充信息篡改信息抵赖（2）信息传递过程存（3）多样化的攻击手段多样化的攻击手段网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2024/5/1710（3）多样化的攻击手段网络内部、外部泄密拒绝服务攻击逻辑炸弹二、安全威胁种类特洛伊木马：特洛伊木马：Mellissa天窗：设置在操作系统内部天窗：设置在操作系统内部隐蔽通道：不受安全策略控制的、违反安隐蔽通道：不受安全策略控制的、违反安全策略的信息泄露路径。全策略的信息泄露路径。间谍软件（间谍软件（Spyware）病毒和蠕虫病毒和蠕虫具有隐蔽性、传染性、潜伏性、破坏性特点具有隐蔽性、传染性、潜伏性、破坏性特点逻辑炸弹逻辑炸弹拒绝服务攻击拒绝服务攻击2024/5/1711二、安全威胁种类特洛伊木马：Mellissa2023/8/3SQL Slammer蠕虫的能力蠕虫的能力 2024/5/1712SQL Slammer蠕虫的能力 2023/8/312SQL Slammer蠕虫的能力蠕虫的能力2024/5/1713SQL Slammer蠕虫的能力2023/8/3131.2 安全操作系统的发展2001年中科院石文昌博士将安全操作系统年中科院石文昌博士将安全操作系统的发展分为的发展分为奠基时期、食谱时期、多政策奠基时期、食谱时期、多政策时期和动态政策时期时期和动态政策时期2004年卿斯汉教授在年卿斯汉教授在操作系统安全操作系统安全中中也对其发展进行了概述。也对其发展进行了概述。2024/5/17141.2 安全操作系统的发展2001年中科院石文昌博士将安全操安全操作系统的发展（续）1969 年，年，C.Weissman研究的研究的Adept-50 是是历史上的第一个分时安全操作系统。历史上的第一个分时安全操作系统。同年，同年，B.W.Lampson 通过形式化表示方法通过形式化表示方法运用主体（运用主体（subject）、客体（）、客体（object）和）和访问矩阵（访问矩阵（access matrix）的思想第一次）的思想第一次对访问控制问题进行了抽象。对访问控制问题进行了抽象。1970 年，年，W.H.Ware 对多渠道访问的资对多渠道访问的资源共享的计算机系统引起的安全问题进行源共享的计算机系统引起的安全问题进行了研究。了研究。2024/5/1715安全操作系统的发展（续）1969 年，C.Weissman安全操作系统的发展（续）1972年，年，J.P.Anderson提出了参照监视器提出了参照监视器（reference monitor）、访问验证机制）、访问验证机制（reference validation mechanism）、安全、安全内核（内核（security kernel）和安全建模）和安全建模（modeling）等重要思想。）等重要思想。1973 年，年，B.W.Lampson 提出了隐通道提出了隐通道（covert channel）；同年，）；同年，D.E.Bell 和和L.J.LaPadula 提出了简称提出了简称BLP 模型。模型。2024/5/1716安全操作系统的发展（续）1972年，J.P.Anderso安全操作系统的发展（续）1975 年，年，J.H.Saltzer 和和M.D.Schroeder 以保护机制的体系结构为中心，重点考察以保护机制的体系结构为中心，重点考察了权能（了权能（capability）实现结构和访问控制）实现结构和访问控制表（表（access control list）实现结构，给出）实现结构，给出了信息保护机制的八条设计原则。了信息保护机制的八条设计原则。1976 年，年，M.A.Harrison、W.L.Ruzzo 和和J.D.Ullman 提出了操作系统保护的第一个提出了操作系统保护的第一个基本理论基本理论HRU 理论。理论。2024/5/1717安全操作系统的发展（续）1975 年，J.H.Saltze安全操作系统的发展（续）1967-1979年典型的安全操作系统研究有：年典型的安全操作系统研究有：MulticsMitre 安全核安全核UCLA 数据安全数据安全UnixKSOS（Kernelized Secure Operating System）PSOS等等这段时期可称为奠基时期。这段时期可称为奠基时期。2024/5/1718安全操作系统的发展（续）1967-1979年典型的安全操作系安全操作系统的发展（续）1983 年，美国国防部颁布了历史上第一年，美国国防部颁布了历史上第一个计算机安全评价标准个计算机安全评价标准TCSEC橙皮书橙皮书（Trusted Computer System Evaluation Criteria)。1984 年，年，AXIOM 技术公司的技术公司的S.Kramer开开发了基于发了基于Unix的实验型安全操作系统的实验型安全操作系统LINUS IV ，达到，达到B2级；级；1986，IBM 公司的公司的V.D.Gligor 等设计了等设计了基于基于SCO Xenix的安全的安全Xenix 系统，基于安系统，基于安全注意键（全注意键（secure attention key，SAK）实现了可信通路（实现了可信通路（Trusted path）。）。2024/5/1719安全操作系统的发展（续）1983 年，美国国防部颁布了历史上安全操作系统的发展（续）1987年美国年美国Trusted Information Systems公公司开发了司开发了B3级的级的Tmach(Trusted Mach)；1988 年，年，AT&T Bell 实验室的实验室的System V/MLS；1989年，加拿大多伦多大学的安全年，加拿大多伦多大学的安全TUNIS；1990 年，年，TRW 公司的公司的ASOS 系统；系统；1991年，年，UNIX国际组织的国际组织的UNIX SVR4.1ES，符合，符合B2级；级；2024/5/1720安全操作系统的发展（续）1987年美国Trusted Inf安全操作系统的发展（续）1991年，英、德、法、荷四国制定了信息年，英、德、法、荷四国制定了信息技术安全评定标准技术安全评定标准ITSEC；199293年，美国国家安全局年，美国国家安全局NSA和和安全安全计算公司计算公司SCC设计实现了分布式可信设计实现了分布式可信Mach操作系统操作系统DTMach；1993年，美国国防部推出的新的安全体系年，美国国防部推出的新的安全体系结构结构DGSA；其他：其他：92 年访问控制程序（年访问控制程序（ACP）和）和93 年看守员（年看守员（custodian）两种范型思想；）两种范型思想；2024/5/1721安全操作系统的发展（续）1991年，英、德、法、荷四国制定了安全操作系统的发展（续）1997年，年，DTOS（Distributed Trusted Operating System）项目项目1999年，年，EROS(Extremely reliable operating system），基于权能的高性能微，基于权能的高性能微内核实时安全操作系统；内核实时安全操作系统；2001年，年，Flask的实现，的实现，SELinux操作系统；操作系统；其他在研项目其他在研项目Honeywell的的STOP、Gemini的的GEMSOS、DEC的的VMM、HP和和Data General等公司的安等公司的安全操作系统；全操作系统；2024/5/1722安全操作系统的发展（续）1997年，DTOS（Distrib国内安全操作系统的发展1993 年，国防科技大学年，国防科技大学SUNIX 病毒防御模型；病毒防御模型；1999 年，中科院软件研究所从红旗年，中科院软件研究所从红旗Linux；2000年，中科院计算技术研究所的年，中科院计算技术研究所的LIDS，南京，南京大学的大学的SoftOS，中科院信息安全技术工程研究，中科院信息安全技术工程研究中心的中心的SecLinux；2001年，海军计算技术研究所安全增强系统年，海军计算技术研究所安全增强系统Unix SVR4.2/SE；UNIX 类国产操作系统类国产操作系统COSIX V2.0 的安全子的安全子系统；系统；2024/5/1723国内安全操作系统的发展1993 年，国防科技大学SUNIX 国内安全操作系统的发展96年，军用计算机安全评估准则年，军用计算机安全评估准则GJB2646-96；99年，国家技术监督局的国家标准年，国家技术监督局的国家标准GB17859-1999(计算机信息系统安全保护计算机信息系统安全保护等级划分准则等级划分准则)，2001年强制执行；年强制执行；2000年，安胜安全操作系统年，安胜安全操作系统V1.0；2001年，年，GB/T18336-2001(信息技术安全信息技术安全性评估准则性评估准则)；2024/5/1724国内安全操作系统的发展96年，军用计算机安全评估准则GJB21.3 操作系统安全基本概念操作系统安全是信息系统安全的基础，具操作系统安全是信息系统安全的基础，具有至关重要的作用。有至关重要的作用。操作系统安全和安全操作系统操作系统安全和安全操作系统操作系统安全是从各种不同角度分析操作系操作系统安全是从各种不同角度分析操作系统安全性统安全性安全操作系统是按照特定安全目标设计实现安全操作系统是按照特定安全目标设计实现的操作系统，和相应的安全等级挂钩的操作系统，和相应的安全等级挂钩2024/5/17251.3 操作系统安全基本概念操作系统安全是信息系统安全的基础1.3 操作系统安全基本概念安全功能与安全保证安全功能与安全保证可信软件和不可信软件可信软件和不可信软件软件的三大可信类别：可信的、良性的、恶软件的三大可信类别：可信的、良性的、恶意的意的可信软件是可信计算基的软件部分可信软件是可信计算基的软件部分主体与客体主体与客体主体（主体（Subject）：一个主动的实体，使信息）：一个主动的实体，使信息在客体中间流动或者改变系统状态在客体中间流动或者改变系统状态客体（客体（Object）：一种包含或接受信息的被动）：一种包含或接受信息的被动实体。实体。2024/5/17261.3 操作系统安全基本概念安全功能与安全保证2023/8/1.3 操作系统安全基本概念安全策略与安全模型安全策略与安全模型安全策略（安全策略（Security Policy）：规定机构如何）：规定机构如何管理、保护与分发敏感信息的法规与条例的管理、保护与分发敏感信息的法规与条例的集合集合安全模型：对安全策略所表达的安全需求的安全模型：对安全策略所表达的安全需求的简单、抽象和无歧义的描述，是安全策略和简单、抽象和无歧义的描述，是安全策略和安全策略实现机制关联的一种框架。安全策略实现机制关联的一种框架。引用监视器（引用监视器（Reference Monitor）为解决用户程序的运行控制问题引入的，目的是在用为解决用户程序的运行控制问题引入的，目的是在用户与系统资源之间实施一种授权访问关系户与系统资源之间实施一种授权访问关系J.P.Anderson的定义：以主体（用户等）所获得的的定义：以主体（用户等）所获得的引用权限为基准，验证运行中的程序（对程序、数据、引用权限为基准，验证运行中的程序（对程序、数据、设备等）的所有引用设备等）的所有引用2024/5/17271.3 操作系统安全基本概念安全策略与安全模型2023/8/1.3 操作系统安全基本概念安全内核安全内核指系统中与安全性实现有关的部分指系统中与安全性实现有关的部分引用验证机制、访问控制机制、授权机制、引用验证机制、访问控制机制、授权机制、授权管理机制授权管理机制可信计算基（可信计算基（Trust Computing Base）组成组成完成的工作完成的工作2024/5/17281.3 操作系统安全基本概念安全内核2023/8/328Problem什么是信息的完整性？隐蔽通道的工作方式？安全策略与安全模型的关系？2024/5/1729Problem什么是信息的完整性？2023/8/329第二章 安全机制一个操作系统的安全性从以下几个方面考一个操作系统的安全性从以下几个方面考虑：虑：物理上分离物理上分离时间上分离时间上分离逻辑上分离逻辑上分离密码上分离密码上分离2024/5/1730第二章 安全机制一个操作系统的安全性从以下几个方面考虑：20操作系统安全的主要目标：操作系统安全的主要目标：依据系统安全策略对用户的操作进行存取控依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；制，防止用户对计算机资源的非法存取；标识系统中的用户并进行身份鉴别；标识系统中的用户并进行身份鉴别；监督系统运行的安全性；监督系统运行的安全性；保证系统自身的安全性和完整性；保证系统自身的安全性和完整性；2024/5/1731操作系统安全的主要目标：2023/8/331操作系统安全的相应机制：操作系统安全的相应机制：硬件安全机制硬件安全机制标识与鉴别标识与鉴别存取控制存取控制最小特权管理最小特权管理可信通路可信通路安全审计安全审计存储保护、运行保护、存储保护、运行保护、I/O保护保护2024/5/1732操作系统安全的相应机制：2023/8/332理想的安全操作系统基础保护系统（保护系统（Protection System）保护系统包含一个保护状态（保护系统包含一个保护状态（protection state）和保护状态操作（）和保护状态操作（protection state operations）保护状态：描述系统主体在系统客体上能执保护状态：描述系统主体在系统客体上能执行的操作行的操作保护状态操作：使状态能进行改变的动作，保护状态操作：使状态能进行改变的动作，如增加新的系统主体或客体到保护状态中等如增加新的系统主体或客体到保护状态中等Lampson的访问矩阵的访问矩阵保护状态保护状态2024/5/1733理想的安全操作系统基础保护系统（Protection Sys理想的安全操作系统基础Lampson的访问矩阵的访问矩阵保护状态保护状态保护域保护域protection domain访问控制列表访问控制列表Access control list（ACL）权能列表权能列表Capability list（C_list）强制保护系统（强制保护系统（Mandatory Protection System）访问矩阵访问矩阵不信任的进程能篡改保护系统不信任的进程能篡改保护系统未授权访问未授权访问的安全问题的安全问题强制保护系统是一个仅使可信管理员通过可信软件来修改状强制保护系统是一个仅使可信管理员通过可信软件来修改状态的保护系统。态的保护系统。包含的状态：包含的状态：强制保护状态强制保护状态Mandatory protection state标记状态标记状态labeling stateTransition state2024/5/1734理想的安全操作系统基础Lampson的访问矩阵保护状态2理想的安全操作系统基础Labeling stateTransition stateProtection stateFile:newfileFile:acctProcess:newprocProcess:other2024/5/1735理想的安全操作系统基础Labeling stateTrans理想的安全操作系统基础引用监视器引用监视器Reference Monitor引用监视器接口引用监视器接口Reference Monitor Interface授权模块授权模块Authorization Module策略存储策略存储Policy Store2024/5/1736理想的安全操作系统基础引用监视器Reference Moni理想的安全操作系统基础Reference MonitorOperating SystemAuthorization ModulePolicy StoreProtection stateLabeling stateTransition stateProcessReference Monitor Interface HooksProcessProcessProcess2024/5/1737理想的安全操作系统基础Reference MonitorOp理想的安全操作系统基础安全操作系统定义安全操作系统定义是一个其访问执行满足引用监视器概念的操作系是一个其访问执行满足引用监视器概念的操作系统统引用监视器概念定义了任何系统能安全地执行一引用监视器概念定义了任何系统能安全地执行一个强制保护系统的充要属性，包括：个强制保护系统的充要属性，包括：Complete MediationTamperproofVerifiable2024/5/1738理想的安全操作系统基础安全操作系统定义2023/8/3382.1 标识与鉴别机制标识标识系统可以识别的用户的内部名称系统可以识别的用户的内部名称鉴别：对用户宣称的身份标识的有效性进鉴别：对用户宣称的身份标识的有效性进行校验和测试的过程。行校验和测试的过程。方法方法密码验证密码验证生物鉴别方法生物鉴别方法可信计算基可信计算基与鉴别相关的认证机制与鉴别相关的认证机制2024/5/17392.1 标识与鉴别机制标识2023/8/3392.2 访问控制访问控制的基本任务：防止用户对系统资源的访问控制的基本任务：防止用户对系统资源的非法使用，保证对课题的所有直接访问都是被非法使用，保证对课题的所有直接访问都是被认可的。认可的。措施措施确定要保护的资源确定要保护的资源授权授权确定访问权限确定访问权限实施访问权限实施访问权限三种访问控制技术：自主访问控制三种访问控制技术：自主访问控制DAC、强制、强制访问控制访问控制MAC、基于角色的访问控制、基于角色的访问控制RBAC2024/5/17402.2 访问控制访问控制的基本任务：防止用户对系统资源的非法2.2 访问控制自主访问控制自主访问控制DAC基于行的自主访问控制机制基于行的自主访问控制机制能力表：权限字能力表：权限字前缀表：包括受保护的客体名和主体对它的访问前缀表：包括受保护的客体名和主体对它的访问权限权限口令：每个客体有一个口令：每个客体有一个基于列的自主访问控制机制基于列的自主访问控制机制保护位：对客体的拥有者基其他主体、主体组，保护位：对客体的拥有者基其他主体、主体组，规定的对该客体访问模式的集合规定的对该客体访问模式的集合访问控制表：对某个特定资源制定任意用户的访访问控制表：对某个特定资源制定任意用户的访问权限。问权限。2024/5/17412.2 访问控制自主访问控制DAC2023/8/3412.2 访问控制强制访问控制强制访问控制MAC限制访问控制限制访问控制过程控制过程控制系统限制系统限制基于角色的访问控制基于角色的访问控制RBACNIST提出的访问控制机制，实际是强制访问控制机提出的访问控制机制，实际是强制访问控制机制的一种制的一种基本思想：授权给用户的访问权限，通常由用户担当基本思想：授权给用户的访问权限，通常由用户担当的角色来确定。的角色来确定。特征特征访问权限与角色相关联访问权限与角色相关联角色继承角色继承最小权限原则最小权限原则指责分离指责分离角色容量角色容量2024/5/17422.2 访问控制强制访问控制MAC2023/8/3422.3 最小特权管理是系统安全中最基本的原则之一是系统安全中最基本的原则之一要求赋予系统中每个使用者执行授权任务所需要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可。的限制性最强的一组特权，即最低许可。26个个特权特权常见的形式常见的形式基于文件的特权机制基于文件的特权机制基于进程的特权机制基于进程的特权机制实例实例惠普的惠普的Presidium/Virtual Vault红旗安全操作系统红旗安全操作系统RFSOSSELinux安全操作系统安全操作系统2024/5/17432.3 最小特权管理是系统安全中最基本的原则之一2023/82.4 可信通路是用户能借以直接同可信计算基（是用户能借以直接同可信计算基（TCB）通信的一种机制通信的一种机制建立可信通路的方法：安全注意键建立可信通路的方法：安全注意键P352024/5/17442.4 可信通路是用户能借以直接同可信计算基（TCB）通信的2.5 安全审计机制日志：记录的事件或统计数据日志：记录的事件或统计数据安全审计：对日志记录的分析并以清晰的、能安全审计：对日志记录的分析并以清晰的、能理解的方式表述系统信息，即对系统中有关安理解的方式表述系统信息，即对系统中有关安全的活动进行记录、检查及审核全的活动进行记录、检查及审核作用作用审计事件：主体、客体审计事件：主体、客体组成：组成：日志记录器：收集数据日志记录器：收集数据系统日志、应用程序日志、系统日志、应用程序日志、安全日志安全日志分析器：分析数据分析器：分析数据通告器：通报结果通告器：通报结果2024/5/17452.5 安全审计机制日志：记录的事件或统计数据2023/8/2.6 存储保护、运行保护和I/O保护存储保护存储保护虚地址空间虚地址空间分段分段物理页号上的秘密信息物理页号上的秘密信息基于描述符的地址解释机制基于描述符的地址解释机制运行保护运行保护保护环保护环运行域运行域等级域机制等级域机制进程隔离机制进程隔离机制I/O保护保护I/O操作是操作系统完成的特权操作操作是操作系统完成的特权操作2024/5/17462.6 存储保护、运行保护和I/O保护存储保护2023/8/UNIX/Linux安全机制一、一、UNIX安全机制安全机制标识标识/etc/passwd和和/etc/shadow中保存了用户中保存了用户标识和口令；标识和口令；root用户用户鉴别鉴别存取控制存取控制存取权限：可读、可写、可执行；存取权限：可读、可写、可执行；改变权限：改变权限：特殊权限位：特殊权限位：SUID和和SGID；2024/5/1747UNIX/Linux安全机制一、UNIX安全机制2023/8UNIX/Linux安全机制（续）审计审计日志文件：日志文件：acct或或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等等审计服务程序：审计服务程序：syslogd；网络安全性：有选择地允许用户和主机与其他网络安全性：有选择地允许用户和主机与其他主机的连接；主机的连接；网络监控和入侵检测：网络监控和入侵检测：LIDS等；等；备份备份/恢复：实时备份、整体备份、增量备份；恢复：实时备份、整体备份、增量备份；2024/5/1748UNIX/Linux安全机制（续）审计2023/8/348UNIX/Linux安全机制（续）二、二、Linux安全机制安全机制PAM机制机制入侵检测系统入侵检测系统 加密文件系统 安全审计 强制访问控制 防火墙2024/5/1749UNIX/Linux安全机制（续）二、Linux安全机制20Windows安全机制2024/5/1750Windows安全机制2023/8/350Windows安全机制身份认证身份认证交互式登录交互式登录(根据用户的本地计算机或根据用户的本地计算机或ActiveDirectory帐户确认用户的身份帐户确认用户的身份)网络身份验证（根据此用户试图访问的任何网络身份验证（根据此用户试图访问的任何网络服务确认用户的身份）网络服务确认用户的身份）Windows2000支持的身份验证类型有：支持的身份验证类型有：KerberosV5身份验证身份验证安全套接字层安全套接字层(SSL)和传输层安全性和传输层安全性(TLS)的的身份验证身份验证NTLM身份验证身份验证2024/5/1751Windows安全机制身份认证2023/8/351Windows安全机制基于对象的访问控制基于对象的访问控制Windows2000通过允许管理员为存储在通过允许管理员为存储在ActiveDirectory中的对象分配安全描述中的对象分配安全描述符实现访问控制。符实现访问控制。ActiveDirectory授权和审核授权和审核2024/5/1752Windows安全机制基于对象的访问控制2023/8/352Windows安全设置硬盘的分区硬盘的分区至少建立两个逻辑分区：一个用作系统分区，至少建立两个逻辑分区：一个用作系统分区，另一个用作应用程序分区。现在的硬盘是越另一个用作应用程序分区。现在的硬盘是越来越大，一般最好分三个至四个分区，这样来越大，一般最好分三个至四个分区，这样就可以把自己的文件单独放在一个分区中。就可以把自己的文件单独放在一个分区中。所有的分区最好都是所有的分区最好都是NTFSNTFS格式。格式。用户账号的安全设置用户账号的安全设置默认安装允许所有用户通过空用户名和空密默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表码得到系统所有账号和共享列表2024/5/1753Windows安全设置硬盘的分区2023/8/353Windows安全设置文件和文件夹权限的设置文件和文件夹权限的设置访问权限分为读取、写入、读取及执行、修访问权限分为读取、写入、读取及执行、修改、列目录、完全控制改、列目录、完全控制在默认的情况下，大多数的文件夹和文件对在默认的情况下，大多数的文件夹和文件对所有用户所有用户(Everyone(Everyone这个组这个组)是完全控制的是完全控制的(Full Control)(Full Control)，这根本不能满足不同网络，这根本不能满足不同网络的权限设置需求，还需要根据应用的需要进的权限设置需求，还需要根据应用的需要进行重新设置。行重新设置。配置配置IISIIS原则原则“最小的权限最小的权限+最少的服务最少的服务=最大的安全最大的安全”2024/5/1754Windows安全设置文件和文件夹权限的设置2023/8/3Windows 安全设置检查清单检查清单物理安全物理安全服务器应该安放在安装了监视器的隔离房间内服务器应该安放在安装了监视器的隔离房间内监视器要保留监视器要保留15天以上的摄像记录天以上的摄像记录另外机箱另外机箱,键盘电脑桌抽屉要上锁以确保旁人即使键盘电脑桌抽屉要上锁以确保旁人即使进入房间也无法使用电脑进入房间也无法使用电脑钥匙要放在另外的安全的地方钥匙要放在另外的安全的地方停掉停掉Guest 帐号帐号限制不必要的用户数量限制不必要的用户数量创建创建2个管理员用帐号个管理员用帐号把系统把系统administrator帐号改名帐号改名创建一个陷阱帐号创建一个陷阱帐号2024/5/1755Windows 安全设置检查清单2023/8/355Windows安全设置检查清单检查清单把共享文件的权限从把共享文件的权限从”everyone”组改成组改成“授权用户授权用户”使用安全密码使用安全密码设置屏幕保护密码设置屏幕保护密码使用使用NTFS格式分区格式分区运行防毒软件运行防毒软件保障备份盘的安全保障备份盘的安全2024/5/1756Windows安全设置检查清单2023/8/356Windows 安全设置利用利用win2000的安全配置工具来配置策略的安全配置工具来配置策略关闭不必要的服务关闭不必要的服务关闭不必要的端口关闭不必要的端口打开审核策略打开审核策略 策略策略 设置设置审核系统登陆事件审核系统登陆事件 成功，失败成功，失败审核帐户管理审核帐户管理 成功，失败成功，失败审核登陆事件审核登陆事件 成功，失败成功，失败审核对象访问审核对象访问 成功成功审核策略更改审核策略更改 成功，失败成功，失败审核特权使用审核特权使用 成功，失败成功，失败审核系统事件审核系统事件 成功，失败成功，失败2024/5/1757Windows 安全设置利用win2000的安全配置工具来配Windows 安全设置开启密码密码策略开启密码密码策略 策略策略 设置设置密码复杂性要求密码复杂性要求 启用启用密码长度最小值密码长度最小值 6 6位位强制密码历史强制密码历史 5 5 次次强制密码历史强制密码历史 42 42 天天开启帐户策略开启帐户策略 策略策略 设置设置复位帐户锁定计数器复位帐户锁定计数器 2020分钟分钟帐户锁定时间帐户锁定时间 2020分钟分钟帐户锁定阈值帐户锁定阈值 3 3次次设定安全记录的访问权限设定安全记录的访问权限安全记录在默认情况下是没有保护的，把他设置成安全记录在默认情况下是没有保护的，把他设置成只有只有AdministratorAdministrator和系统帐户才有权访问和系统帐户才有权访问2024/5/1758Windows 安全设置开启密码密码策略2023/8/358Windows 安全设置把敏感文件存放在另外的文件服务器中把敏感文件存放在另外的文件服务器中不让系统显示上次登陆的用户名不让系统显示上次登陆的用户名禁止建立空连接禁止建立空连接到微软网站下载最新的补丁程序到微软网站下载最新的补丁程序关闭关闭DirectDrawDirectDraw关闭默认共享关闭默认共享禁止禁止dump filedump file的产生的产生2024/5/1759Windows 安全设置把敏感文件存放在另外的文件服务器中2Windows 安全设置使用文件加密系统使用文件加密系统EFS加密加密temp文件夹文件夹锁住注册表锁住注册表关机时清除掉页面文件关机时清除掉页面文件禁止从软盘和禁止从软盘和CD Rom启动系统启动系统考虑使用智能卡来代替密码考虑使用智能卡来代替密码考虑使用考虑使用IPSec2024/5/1760Windows 安全设置使用文件加密系统EFS2023/8/习题二标识与鉴别机制、访问控制机制的关系标识与鉴别机制、访问控制机制的关系自主访问控制与强制访问控制之间的异同自主访问控制与强制访问控制之间的异同点点安全审计机制是事后分析机制，优点？安全审计机制是事后分析机制，优点？最小特权管理？最小特权管理？2024/5/1761习题二标识与鉴别机制、访问控制机制的关系2023/8/361第三章 操作系统安全模型安全需求：机密性、完整性、可追究性和安全需求：机密性、完整性、可追究性和可用性；可用性；访问控制策略和访问支持策略访问控制策略和访问支持策略安全策略模型和安全模型安全策略模型和安全模型安全模型的目标安全模型的目标明确表达安全需求，明确表达安全需求，为设计开发安全系统提供方针；为设计开发安全系统提供方针；2024/5/1762第三章 操作系统安全模型安全需求：机密性、完整性、可追究性和安全模型的特点安全模型的特点精确、无歧义精确、无歧义易理解易理解一般性一般性是安全策略的显示表示是安全策略的显示表示安全模型分为形式化的安全模型和非形式安全模型分为形式化的安全模型和非形式化的安全模型；化的安全模型；2024/5/1763安全模型的特点2023/8/363主要安全模型介绍主要安全模型介绍Bell-LaPadula模型模型Biba模型模型Clark-Wilson模型模型信息流模型信息流模型基于角色的存取控制（基于角色的存取控制（RBAC）模型）模型DTE模型模型无干扰模型无干扰模型2024/5/1764主要安全模型介绍2023/8/3643.1 Bell-LaPadula模型是是1973年年D.Elliott Bell和和Leonard J.LaPadula提出的一个计算机多级安全模型提出的一个计算机多级安全模型之一，是对应军事类型安全密级分类的计之一，是对应军事类型安全密级分类的计算机操作系统模型算机操作系统模型是第一个可证明的安全系统的数学模是第一个可证明的安全系统的数学模型，型，实际上是一个形式化的状态机模型；实际上是一个形式化的状态机模型；包括有两部分安全策略：自主安全策略和包括有两部分安全策略：自主安全策略和强制安全策略；强制安全策略；2024/5/17653.1 Bell-LaPadula模型是1973年D.El一个基本安全等级分类系统（例），其中：一个基本安全等级分类系统（例），其中：S为主体，为主体，O为客体为客体第第3层层 绝密绝密 S1 O1（O1A，O1B，O1C）第第2层层 机密机密 S2 O2（O2A，O2B）第第1层层 秘密秘密 S3 O3（O3A，O3B，O3C）第第0层层 内部内部 S4 O4（O4A，O4B，O4C）则上述基本安全等级分类系统可以用以下的简单安全条件、则上述基本安全等级分类系统可以用以下的简单安全条件、*-属性属性以及基本安全定理描述以及基本安全定理描述简单安全条件：当且仅当简单安全条件：当且仅当O所处层次所处层次=S所处层次时，所处层次时，S可以写可以写O，即，即S对对O具具有自主型写权限有自主型写权限基本安全定理：设系统的初始安全状态为基本安全定理：设系统的初始安全状态为0，T是状态转换集合，如果是状态转换集合，如果T中的每个元素都遵守简单安全条件和中的每个元素都遵守简单安全条件和*-属性，那么，对于每个属性，那么，对于每个i=0,状态状态i都是安全的。都是安全的。2024/5/1766一个基本安全等级分类系统（例），其中：S为主体，O为客体20Bell-LaPadula模型（续）u形式化描述形式化描述u定义定义uS S为主体集合；为主体集合；O O为客体集合；为客体集合；uA=r,w,a,e=aA=r,w,a,e=a为访问权限集合为访问权限集合,其中，其中，r r为读、为读、w w为读为读/写，写，a a为写、为写、e e为执行为执行uM M为访问控制矩阵集合，为访问控制矩阵集合，C C为安全许可集合，为安全许可集合，K K为类别集合为类别集合uF=(fs,fo,fc)F=(fs,fo,fc)，为安全等级三元组集合，其中，为安全等级三元组集合，其中，fsfs表示表示主体的最高安全等级，主体的最高安全等级，fcfc表示主体的当前安全等级，表示主体的当前安全等级，fofo表示表示客体的安全等级客体的安全等级uH H表示当前客体的树型结构，表示当前客体的树型结构，V V为系统状态集合，为系统状态集合，R R为访问请为访问请求集合；求集合；uD=y,n,i,oD=y,n,i,o为请求结果集合，其中为请求结果集合，其中y y表示请求被允许，表示请求被允许，n n表表示请求被拒绝，示请求被拒绝，i i表示请求非法，表示请求非法，o o表示出错表示出错uP P表示状态转换规则表示状态转换规则uWRVDV,WRVDV,为系统行为集合。为系统行为集合。2024/5/1767Bell-LaPadula模型（续）形式化描述2023/8/Bell-LaPadula模型（续）u几个重要公理：几个重要公理：简单安全性（简单安全性（simple-secure propertysimple-secure property）*特性特性自主安全性（自主安全性（discretionary-securitydiscretionary-security）兼容性公理（兼容性公理（compatibilitycompatibility）定义了一系列的状态转换规则和定义了一系列的状态转换规则和1010条重要条重要定理；定理；特点：特点：支持的是信息的保密性；支持的是信息的保密性；是通过防止非授权信息的扩散来保证系统的安全；是通过防止非授权信息的扩散来保证系统的安全；不能防止非授权修改系统信息。不能防止非授权修改系统信息。2024/5/1768Bell-LaPadula模型（续）几个重要公理：2023/Biba模型1977年提出的第一个完整性安全模型；年提出的第一个完整性安全模型；对系统每个主体和每个客体分配一个完整级别对系统每个主体和每个客体分配一个完整级别（包含两部分（包含两部分密级和范畴）；安全策略分为密级和范畴）；安全策略分为非自主策略与自主策略；非自主策略与自主策略；优点：简单、可能可以和优点：简单、可能可以和BLPBLP模型相结合。模型相结合。不足之处：不足之处：完整标签确定的困难性；完整标签确定的困难性；在有效保护数据一致性方面是不充分的；在有效保护数据一致性方面是不充分的；不能抵御病毒攻击，难以适应复杂应用；不能抵御病毒攻击，难以适应复杂应用；2024/5/1769Biba模型1977年提出的第一个完整性安全模型；2023/ClarkWilson完整性模型1987年年David Clark和和David Wilson提出提出的具有里程碑意义的完整性模型；的具有里程碑意义的完整性模型；核心：良构事务（核心：良构事务（well-formal transaction）优点：能有效表达完整性的优点：能有效表达完整性的3个目标；久个目标；久经考验的商业方法；经考验的商业方法；局限性：性能问题；不利于把对数据的控局限性：性能问题；不利于把对数据的控制策略从数据项中分离；没有形式化；制策略从数据项中分离；没有形式化；2024/5/1770ClarkWilson完整性模型1987年David Cl中国墙模型1987年年David Clark和和David Wilson提出提出的具有里程碑意义的完整性模型；的具有里程碑意义的完整性模型；核心：良构事务（核心：良构事务（well-formal transaction）优点：能有效表达完整性的优点：能有效表达完整性的3个目标；久个目标；久经考验的商业方法；经考验的商业方法；局限性：性能问题；不利于把对数据的控局限性：性能问题；不利于把对数据的控制策略从数据项中分离；没有形式化；制策略从数据项中分离；没有形式化；2024/5/1771中国墙模型1987年David Clark和David Wi其他模型信息流模型信息流模型是存取控制模型的变形，与存是存取控制模型的变形，与存取控制模型的差异很小，但是能识别隐蔽取控制模型的差异很小，但是能识别隐蔽通道；通道；基于角色的存取控制（基于角色的存取控制（RBAC）模型提供）模型提供一种强制存取控制机制；经过发展，已经一种强制存取控制机制；经过发展，已经形成了形成了RBAC0-RBAC3的家族系列；的家族系列；DTE（Domain and type enforcement）模型由域定义表和域交互）模型由域定义表和域交互表组成，依据主体域和客体类型来决定访表组成，依据主体域和客体类型来决定访问权限；问权限；2024/5/1772其他模型信息流模型是存取控制模型的变形，与存取控制模型的差异其他模型（续）无干扰模型是无干扰模型是1982年年J.Goguen和和J.Meseguer提出的基于自动机理论和域隔提出的基于自动机理论和域隔离的安全系统事项方法；离的安全系统事项方法；总结：总结：安全模型是建立安全操作系统的一个基本要安全模型是建立安全操作系统的一个基本要求；求；多级安全系统中最广泛的模型是多级安全系统中最广泛的模型是BLP机密性安机密性安全模型等，这些模型都各具特点；全模型等，这些模型都各具特点；2024/5/1773其他模型（续）无干扰模型是1982年J.Goguen和J.2、安全机制一个操作系统的安全性从以下几个方面考一个操作系统的安全性从以下几个方面考虑：虑：物理上分离物理上分离时间上分离时间上分离逻辑上分离逻辑上分离密码上分离密码上分离2024/5/17742、安全机制一个操作系统的安全性从以下几个方面考虑：2023安全机制（续）操作系统安全的主要目标：操作系统安全的主要目标：依据系统安全策略对用户的操作进行存取控依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；制，防止用户对计算机资源的非法存取；标识系统中的用户并进行身份鉴别；标识系统中的用户并进行身份鉴别；监督系统运行的安全性；监督系统运行的安全性；保证系统自身的安全性和完整性；保证系统自身的安全性和完整性；2024/5/1775安全机制（续）操作系统安全的主要目标：2023/8/375安全机制（续）操作系统安全的相应机制：操作系统安全的相应机制：硬件安全机制硬件安全机制标识与鉴别标识与鉴别存取控制存取控制最小特权管理最小特权管理可信通路可信通路安全审计安全审计2024/5/1776安全机制（续）操作系统安全的相应机制：2023/8/376UNIX/Linux安全机制标识标识/etc/passwd和和/etc/shadow中保存了用户中保存了用户标识和口令；标识和口令；root用户用户鉴别鉴别存取控制存取控制存取权限：可读、可写、可执行；存取权限：可读、可写、可执行；改变权限：改变权限：特殊权限位：特殊权限位：SUID和和SGID；2024/5/1777UNIX/Linux安全机制标识2023/8/377UNIX/Linux安全机制（续）审计审计日志文件：日志文件：acct或或pacct、aculog、lastlog、loginlog、messages、sulog、utmp、utmpx、wtmp、wtmpx、vold.log、xferlog等等审计服务程序：审计服务程序：syslogd；网络安全性：有选择地允许用户和主机与其他网络安全性：有选择地允许用户和主机与其他主机的连接；主机的连接；网络监控和入侵检测：网络监控和入侵检测：LIDS等；等；备份备份/恢复：实时备份、整体备份、增量备份；恢复：实时备份、整体备份、增量备份；2024/5/1778UNIX/Linux安全机制（续）审计2023/8/3783、安全模型安全需求：机密性、完整性、可追究性和安全需求：机密性、完整性、可追究性和可用性；可用性；访问控制策略和访问支持策略访问控制策略和访问支持策略安全策略模型和安全模型安全策略模型和安全模型安全模型的目标安全模型的目标明确表达安全需求，明确表达安全需求，为设计开发安全系统提供方针；为设计开发安全系统提供方针；2024/5/17793、安全模型安全需求：机密性、完整性、可追究性和可用性；20安全模型（续）安全模型的特点安全模型的特点精确、无歧义精确、无歧义易理解易理解一般性一般性是安全策略的显示表示是安全策略的显示表示安全模型分为形式化的安全模型和非形式安全模型分为形式化的安全模型和非形式化的安全模型；化的安全模型；2024/5/1780安全模型（续）安全模型的特点2023/8/380安全模型（续）主要安全模型介绍主要安全模型介绍Bell-LaPadula模型模型Biba模型模型Clark-Wilson模型模型信息流模型信息流模型基于角色的存取控制（基于角色的存取控制（RBAC）模型）模型DTE模型模型无干扰模型无干扰模型2024/5/1781安全模型（续）主要安全模型介绍2023/8/381Bell-LaPadula模型是是1973年年D.Elliott Bell和和Leonard J.LaPadula提出的一个计算机多级安全模型提出的一个计算机多级安全模型之一；之一；是第一个可证明的安全系统的数学模是第一个可证明的安全系统的数学模型，型，实际上是一个形式化的状态机模型；实际上是一个形式化的状态机模型；包括有两部分安全策略：自主安全策略和包括有两部分安全策略：自主安全策略和强制安全策略；强制安全策略；2024/5/1782Bell-LaPadula模型是1973年D.ElliotBell-LaPadula模型（续）u几个重要公理：几个重要公理：简单安全性（简单安全性（simple-secure propertysimple-secure property）*特性特性自主安全性（自主安全性（discretionary-securitydiscretionary-security）兼容性公理（兼容性公理（compatibilitycompatibility）定义了一系列的状态转换规则和定义了一系列的状态转换规则和1010条重要条重要定理；定理；特点：特点：支持的是信息的保密性；支持的是信息的保密性；是通过防止非授权信息的扩散来保证系统的安全；是通过防止非授权信息的扩散来保证系统的安全；不能防止非授权修改系统信息。不能防止非授权修改系统信息。2024/5/1783Bell-LaPadula模型（续）几个重要公理：2023/Biba模型1977年提出的第一个完整性安全模型；年提出的第一个完整性安全模型；对系统每个主体和每个客体分配一个完整级别对系统每个主体和每个客体分配一个完整级别（包含两