安全操作系统课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019-9-15,谢谢欣赏,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,安全操作系统,中国科学技术大学计算机系,xx,安全操作系统中国科学技术大学计算机系,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,2,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述2谢谢欣赏2019-9-15,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,3,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述3谢谢欣赏2019-9-15,概述,什么是操作系统？,操作系统的基本功能有哪些？,从安全的角度上看，操作系统应当提供哪些安全服务？,内存保护,文件保护,普通实体保护,存取鉴别,等,4,谢谢欣赏,2019-9-15,概述什么是操作系统？4谢谢欣赏2019-9-15,操作系统安全的主要目标,操作系统安全的,主要目标,按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用,包括窃取、篡改和破坏,标识系统中的用户，并对身份进行鉴别,监督系统运行的安全性,保证系统自身的安全性和完整性,5,谢谢欣赏,2019-9-15,操作系统安全的主要目标操作系统安全的主要目标5谢谢欣赏201,安全机制的定义,ISO,：是一种技术、一些软件或实施一个或更多安全服务的过程,特殊的安全机制,普遍的安全机制,6,谢谢欣赏,2019-9-15,安全机制的定义ISO：是一种技术、一些软件或实施一个或更多安,普遍的安全机制,信任的功能性,事件检测,审计跟踪,安全恢复,7,谢谢欣赏,2019-9-15,普遍的安全机制信任的功能性7谢谢欣赏2019-9-15,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,8,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述8谢谢欣赏2019-9-15,2.1 .1,标识与鉴别机制,标识,：用户要向系统表明的身份,用户名、登录,ID,、身份证号或智能卡,应当具有唯一性,不能被伪造,鉴别,，对用户所宣称的身份标识的有效性进行校验和测试的过程,9,谢谢欣赏,2019-9-15,2.1 .1标识与鉴别机制标识：用户要向系统表明的身份9谢谢,用户声明自己身份的,4,种方法,证实自己所知道的,例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等,出示自己所拥有的,例如智能卡,证明自己是谁,例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等,表现自己的动作,例如签名、键入密码的速度与力量、语速等等,10,谢谢欣赏,2019-9-15,用户声明自己身份的4种方法证实自己所知道的10谢谢欣赏201,2.1.2,密码,口令机制,是身份鉴别中最常用的手段,口令机制简单易行，但很脆弱,容易记忆的内容，很容易被猜到,姓名、生日、身份证号,难以记忆的内容，用户使用不方便，常常记录在容易被发现的地方,随机算法,远程鉴别中，口令容易在传递过程中被破解,明文传输、容易破解的协议,11,谢谢欣赏,2019-9-15,2.1.2 密码口令机制是身份鉴别中最常用的手段11谢谢欣赏,有很多其他手段可以获得口令,观察、录像等,暴力破解,简单的密码,12,谢谢欣赏,2019-9-15,有很多其他手段可以获得口令12谢谢欣赏2019-9-15,口令选取的注意点,不要使用容易猜到的词或短语,不要使用字典中的词、常用短语或行业缩写等,应该使用非标准的大写和拼写方法,应该使用大小写和数字混合的方法选取口令,此外，口令质量还取决于,口令空间,口令加密算法,口令长度,13,谢谢欣赏,2019-9-15,口令选取的注意点不要使用容易猜到的词或短语13谢谢欣赏201,口令空间的大小,口令空间的大小是字母表规模和口令长度的函数,S,：口令空间,L,：口令的最大有效期,R,：单位时间内可能的口令猜测数,P,：口令有效期内被猜出的可能性,P,（,LR,）,/S,14,谢谢欣赏,2019-9-15,口令空间的大小口令空间的大小是字母表规模和口令长度的函数14,口令加密算法,单向加密函数,加密算法的安全性十分重要,如果口令加密只依赖于口令或其他固定信息，有可能造成不同用户加密后的口令是相同的,即不同的密码能打开多个账户,为了减少这种可能性，要考虑使用一些其他因素来加密,15,谢谢欣赏,2019-9-15,口令加密算法单向加密函数15谢谢欣赏2019-9-15,口令长度,口令在有效期内被猜出的可能性，决定,口令的安全性,可能性越小，口令越安全,在其他条件相同的情况下，,口令越长，安全性越大,口令有效期越短，口令被猜出的可能性越小,口令长度计算方法：,M,log,A,S,S,：口令空间,A,：字母表大小,16,谢谢欣赏,2019-9-15,口令长度口令在有效期内被猜出的可能性，决定口令的安全性16谢,为了计算合适的口令长度,建立一个可以接受的口令猜出可能性,P,，例如,10,-20,根据口令最大有效期,L,和单位时间内可能的口令猜测数,R,，以及,P,反过来计算,S,S,（,LR,）,/P,然后根据口令空间计算出口令长度，取整,17,谢谢欣赏,2019-9-15,为了计算合适的口令长度17谢谢欣赏2019-9-15,破解口令的方法,社会工程学方法,字典程序,口令文件窃取,暴力破解,18,谢谢欣赏,2019-9-15,破解口令的方法社会工程学方法18谢谢欣赏2019-9-15,口令管理,当用户在系统注册时，必须赋予用户口令,用户口令必须定期更改,系统必须维护一个口令数据库,用户必须记忆自身的口令,在系统认证用户时，用户必须输入口令,19,谢谢欣赏,2019-9-15,口令管理当用户在系统注册时，必须赋予用户口令19谢谢欣赏20,口令的安全性维护,口令的安全性应该由系统管理员和用户共同努力加以维护,系统管理员,初始化系统口令,初始口令分配,口令更改认证,用户,ID,使用户,ID,重新生效,培训用户,用户,安全意识,更改口令,如何防止口令暴露给系统管理员？,20,谢谢欣赏,2019-9-15,口令的安全性维护口令的安全性应该由系统管理员和用户共同努力加,小结：口令机制的实现要点,口令的存储,口令的传输,账户封锁,账户管理,用户安全属性,审计,实时通知系统管理员,通知用户,21,谢谢欣赏,2019-9-15,小结：口令机制的实现要点口令的存储21谢谢欣赏2019-9-,2.1.3,生物鉴别方法,“,证明你是谁”；“表现你的动作”,提供用户特有的行为或生理上的特点,指纹、面容扫描、虹膜扫描、视网膜扫描、手掌扫描,心跳或脉搏取样、语音取样、签字力度、按键取样等,采用的技术称为“生物测定学”,采用一个生物测定学因素代替用户名或账户,ID,作为身份标识,需要用生物测定学取样对已存储的取样数据库中的内容进行一对多的查找,并且要在生物测定学取样和已存储的取样之间保持主体身份的一一对应,22,谢谢欣赏,2019-9-15,2.1.3 生物鉴别方法“证明你是谁”；“表现你的动作”22,使用生物鉴别方法应该注意,绝对唯一,鉴别要准确，鉴别设备要精确,必须先取样并存储,时间特性：随时间变化的因素，要考虑定期重新进行,23,谢谢欣赏,2019-9-15,使用生物鉴别方法应该注意23谢谢欣赏2019-9-15,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,24,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述24谢谢欣赏2019-9-15,2.2,访问控制,访问控制用来提供授权,用户在通过身份鉴别后，还需要通过授权，才能访问资源或进行操作,使用访问控制机制的,目的,保护存储在计算机上的个人信息,保护重要信息的机密性,维护计算机内信息的完整性,减少病毒感染机会，从而延缓这种感染的传播,保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯,25,谢谢欣赏,2019-9-15,2.2 访问控制访问控制用来提供授权25谢谢欣赏2019-9,访问控制机制的实行,确定要保护的资源,授权,确定访问权限,实施访问权限,26,谢谢欣赏,2019-9-15,访问控制机制的实行26谢谢欣赏2019-9-15,系统内主体对客体的访问控制机制,自主访问控制,强制访问控制,基于角色的访问控制,27,谢谢欣赏,2019-9-15,系统内主体对客体的访问控制机制自主访问控制27谢谢欣赏201,2.2.2,自主访问控制,允许客体的所有者或建立者控制和定义主体对客体的访问,访问控制矩阵的保存,基于行的自主访问控制机制,基于列的自主访问控制机制,28,谢谢欣赏,2019-9-15,2.2.2 自主访问控制允许客体的所有者或建立者控制和定义主,基于行的自主访问控制机制,在每个主体上都附加一个该主体可以访问的客体的明细表,三种形式,权能表：决定用户是否可以对客体进行访问，以及进行何种模式的访问。对每一个用户，系统有一个权能表。,前缀表：对每个主体赋予前缀表。前缀表包括受保护的客体名和主体对它的访问权限。,口令：每个客体都相应的有一个口令,29,谢谢欣赏,2019-9-15,基于行的自主访问控制机制在每个主体上都附加一个该主体可以访问,关于权能表,用户对自己所拥有的文件,权能拷贝,/,回收,权能的实现：权限字,权限字是一个提供给主体对客体具有特定权限的不可伪造标识,主体可以建立新的客体，并指定在这些客体上允许的操作，每个权限字标识可以允许的访问,转移和传播权限,权限字的管理,必须存放在内存中不能被普通用户访问的地方，如系统保留区、专用区、被保护区域,30,谢谢欣赏,2019-9-15,关于权能表用户对自己所拥有的文件30谢谢欣赏2019-9-1,基于列的自主访问控制机制,按客体附加一份可以访问它的主体的明细表,两种方式,保护位，,UNIX,访问控制表,ACL,：按用户，细粒度,31,谢谢欣赏,2019-9-15,基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细,关于保护位,保护位对客体的拥有者、及其他的主体、主体组（用户、用户组），规定了一个对该客体访问的模式的集合。,保护位的方式，不能完备的表达访问控制矩阵,用户组：具有相似特点的用户集合,拥有者对客体的所有权，只能通过超级用户特权来改变,不考虑超级用户的话，拥有者是唯一能够改变客体保护位的主体,一个用户可能属于多个用户组，但任意时刻只有一个活动的用户组,32,谢谢欣赏,2019-9-15,关于保护位保护位对客体的拥有者、及其他的主体、主体组（用户、,关于,ACL,访问控制表,ACL,举例,File1:(ID1,r,w),(ID2,r),(GROUP1,w,x),ACL,的优点：表述直观、易于理解比较容易查出对一个特定资源拥有访问权限的所有用户，有效的实施授权管理,33,谢谢欣赏,2019-9-15,关于ACL访问控制表ACL举例33谢谢欣赏2019-9-15,基于列的自主访问控制机制,按客体附加一份可以访问它的主体的明细表,两种方式,保护位，,UNIX,访问控制表,ACL,：按用户，细粒度,访问控制表,ACL,举例,File1:(ID1,r,w),(ID2,r),(GROUP1,w,x),ACL,的优点：表述直观、易于理解,34,谢谢欣赏,2019-9-15,基于列的自主访问控制机制按客体附加一份可以访问它的主体的明细,访问控制表方法的问题,客体很多？,用户的职位、职责变化时,?,单纯使用,ACL,，不易实现最小特权原则和复杂的安全策略,授权管理费力、繁琐、容易出错,35,谢谢欣赏,2019-9-15,访问控制表方法的问题授权管理费力、繁琐、容易出错35谢谢欣赏,在文件和目录中常用的几种访问模式,对文件设置的访问模式,读拷贝（,Read,copy,）,与单纯的读？,写删除（,Write,delete,）,不同的系统可能有不同的写模式，或复杂的组合（更细致）写附加、删除、写修改等,执行（,Execute,）,通常需要同时具备读权限,无效（,Null,）：对客体不具备任何访问权限,36,谢谢欣赏,2019-9-15,在文件和目录中常用的几种访问模式对文件设置的访问模式36谢谢,考虑目录,对目录及和目录相对应的文件的访问操作,对目录而不对文件实施访问控制,对文件而不对目录实施访问控制,对目录及文件都实施访问控制（最好）,对目录的访问模式,读,写扩展（,write,expand,）,更细的：读状态、修改、附加,37,谢谢欣赏,2019-9-15,考虑目录对目录及和目录相对应的文件的访问操作37谢谢欣赏20,2.2.3,强制访问控制,对于自主访问授权，系统无法区分这是用户的合法操作还是恶意攻击的非法操作,强制访问控制通过强加一些不可逾越的访问限制,防止某些攻击；,还可以阻止某个进程共享文件，并阻止通过一个共享文件向其他进程传递信息,38,谢谢欣赏,2019-9-15,2.2.3 强制访问控制对于自主访问授权，系统无法区分这是用,强制访问控制基于安全属性,每个进程,/,文件,/IPC,客体都被赋予相应的安全属性,赋予的安全属性，通常不可变，由安全管理员或者,OS,自动地按照严格的规则来设置,访问时，根据进程的安全属性和客体的安全属性来判断是否允许,代表用户的进程不能改变自身或任何客体的安全属性，也不能改变属于该用户的客体的安全属性,39,谢谢欣赏,2019-9-15,强制访问控制基于安全属性39谢谢欣赏2019-9-15,MAC,和,DAC,通常结合在一起使用,MAC,，防止其他用户非法入侵自己的文件,DAC,，是用户不能通过意外事件和有意识的误操作来逃避安全控制，常用于将系统中的信息分密级和类进行管理，适用于政府部门、军事和金融等领域,当且仅当主体能够同时通过,DAC,和,MAC,检查时，才能访问一个客体,40,谢谢欣赏,2019-9-15,MAC和DAC通常结合在一起使用40谢谢欣赏2019-9-1,强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效,一般强制访问控制采用一下几种方法：,限制访问控制,限制：用户要修改,ACL,的唯一途径是请求一个特权系统调用；该调用的功能是依据用户终端输入的信息，而不是依靠另一个程序提供的信息来修改访问控制信息,过程控制：对过程进行控制。,例如，警告用户不要,/,提醒；取决于用户本身执行与否。,系统控制：对系统的功能实施一些限制。,如限制共享文件；限制用户编程等。,41,谢谢欣赏,2019-9-15,强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统,2.2.4,基于角色的访问控制,20,世纪,90,年代，美国国家标准和技术研究院,NIST,，基于角色的访问控制：,RBAC,本质上是强制访问控制的一种，区别在于：基于对工作的描述而不是主体的身份进行访问控制。,系统通过主体的角色或任务定义主体访问客体的能力,适用于人员频繁变动的环境,42,谢谢欣赏,2019-9-15,2.2.4 基于角色的访问控制20世纪90年代，美国国家标,基本思想：根据用户担当的角色来确定授权给用户的访问权限,类比：银行的出纳员、会计师、贷款员,类比：医院中的医生、护士,43,谢谢欣赏,2019-9-15,基本思想：根据用户担当的角色来确定授权给用户的访问权限43谢,用户、角色、操作、主体、客体的关系,用户与角色：,一个用户可经授权而拥有多个角色,一个角色可由多个用户构成,角色与操作：,每个角色可执行多个操作,每个操作也可由不同的角色执行,用户与主体：,一个用户可拥有多个主体（进程）,每个主体只对应一个用户,操作与客体,每个操作可施加于多个客体,每个客体也可以接受多个操作,44,谢谢欣赏,2019-9-15,用户、角色、操作、主体、客体的关系用户与角色：44谢谢欣赏2,用户（主体）能够对一客体执行访问操作的必要条件是：,该用户被授权了一定的角色，其中有一个在当前时刻处于活跃状态，且这个角色对客体拥有相应的访问权限,45,谢谢欣赏,2019-9-15,用户（主体）能够对一客体执行访问操作的必要条件是：45谢谢欣,RBAC,的特征,访问权限与角色相关联,，不同的角色有不同权限,对事不对人,角色继承,角色之间可能有互相重叠的职责和权力,具有角色继承概念的角色，有自己的属性，但可能还继承其他的角色的属性及拥有的权限,最小特权,原则,即用户所拥有的权力不能超过他执行工作时所需的权限,可以设计不同的角色，满足最小特权原则,46,谢谢欣赏,2019-9-15,RBAC的特征访问权限与角色相关联，不同的角色有不同权限46,职责分离,静态职责分离，,Static Separation of Duty,，,SSD,一个用户不能赋予多个角色,动态职责分离，,Dynamic Separation of Duty,，,DSD,一个用户可以赋予多个角色，但同一时刻只能有一个角色是活动的,角色容量,在一个特定的时间段内，有一些角色有人数限制,在创建新的角色时，要指定角色的容量,47,谢谢欣赏,2019-9-15,职责分离47谢谢欣赏2019-9-15,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,48,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述48谢谢欣赏2019-9-15,2.3,最小特权管理,超级用户,VS.,普通用户,主流多用户操作系统中，超级用户一般具有所有特权，而普通用户不具有任何特权,威胁：,超级用户口令丢失；被冒充；误操作,解决方法：实行最小特权管理原则,参考：,49,谢谢欣赏,2019-9-15,2.3 最小特权管理超级用户 VS. 普通用户49谢谢欣赏2,橘皮书关于最小特权的定义：,要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可,这个原则的应用将限制因意外、错误或未经授权使用而造成的损害,50,谢谢欣赏,2019-9-15,橘皮书关于最小特权的定义：50谢谢欣赏2019-9-15,最小特权原则：必不可少的特权,充分性：保证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作,必要性：在充分的前提下加以限制,基本思想和出发点：,系统不应给用户超过执行任务所需特权以外的特权,一种可能的方案：,将特权用户的特权加以划分，形成一组细粒度的特权,51,谢谢欣赏,2019-9-15,最小特权原则：必不可少的特权51谢谢欣赏2019-9-15,最小特权举例,1,在系统中定义,系统安全管理员,审计员,操作员,安全操作员,网络管理员,任何一个用户都不能获取足够的权力破坏系统的安全策略,为了保证系统的安全性，不应赋予某人一个以上的职责,52,谢谢欣赏,2019-9-15,最小特权举例1在系统中定义52谢谢欣赏2019-9-15,系统安全管理员,对系统资源和应用定义安全级,限制隐蔽通道活动的机制,定义用户和自主访问控制的组,为所有用户赋予安全级,审计员,设置审计参数,修改和删除审计系统产生的原始审计信息,控制审计归档,53,谢谢欣赏,2019-9-15,系统安全管理员53谢谢欣赏2019-9-15,操作员,启动和停止系统，以及完成磁盘一致性检查等,格式化新的存储介质,设置终端参数,允许或不允许登录，但不能改变口令、用户的安全纪和其他有关安全的登录参数,产生原始的系统记账数据,54,谢谢欣赏,2019-9-15,操作员54谢谢欣赏2019-9-15,安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的操作员。,完成操作员的所有责任,例行的备份和恢复,安装和拆卸可安装介质,55,谢谢欣赏,2019-9-15,安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的,网络管理员,管理网络软件，如,TCP/IP,设置,BUN,文件，允许使用,Uucp,，,Uuto,等进行网络通信,设置与连接服务器、,CRI,认证机构、,ID,映射机构、地址映射机构和网络选择有关的管理文件,启动和停止,RFS,，通过,RFS,共享和安装资源,启动和停止,NFS,，通过,NFS,共享和安装资源,56,谢谢欣赏,2019-9-15,网络管理员56谢谢欣赏2019-9-15,最小特权举例,2,CAP_SETPLEVEL,CAP_SETSPRIV,CAP_SETUID,CAP_SYSOPS,CAP_SETUPRIV,CAP_MACUPGRADE,CAP_FSYSRANGE,CAP_SETFLEVEL,CAP_PLOCK,CAP_CORE,CAP_LOADMOD,CAP_SEC_OP,CAP_DEV,CAP_OP,CAP_NET_ADMIN,将系统中能进行敏感操作的能力分成,26,个特权,CAP_OWNER,CAP_AUDIT,CAP_COMPAT,CAP_DACREAD,CAP_DACWRITE,CAP_DEV,CAP_FILESYS,CAP_MACREAD,CAP_WRITE,CAP_MOUNT,CAP_MULTIDIR,由一些特权用户分别掌握这些特权，哪一个特权用户都不能独立完成所有的敏感操作,57,谢谢欣赏,2019-9-15,最小特权举例2CAP_SETPLEVEL 将系统中能进行敏感,常见的最小特权管理机制,基于文件的特权机制,基于进程的特权机制,目前几种安全,OS,的最小特权管理机制,惠普的,Presidum/Virtual Vault,根功能分成,42,中独立的特权,最小特权是惠普可信赖,OSVirtual Vault,的基本特性,红旗安全操作系统,RFSOS,一个管理角色不拥有另一个管理角色的特权，攻击者破获某个管理角色口令时，不会得到对系统的完全控制,58,谢谢欣赏,2019-9-15,常见的最小特权管理机制58谢谢欣赏2019-9-15,SELinux,系统中不再有超级用户，而被分解,避免了超级用户的误操作或其身份被假冒而带来的安全隐患,59,谢谢欣赏,2019-9-15,SELinux59谢谢欣赏2019-9-15,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,60,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述60谢谢欣赏2019-9-15,2.4,可信通路,可信通路是用户能够借以同可信计算基通信的一种机制,能够保证用户确定是和安全核心通信,防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令,最简单的办法：给每个用户两台终端,一台用于处理日常工作；一台专门用于和内核的硬连接,昂贵,另一种方法：使用通用终端，通过发信号给核心,不可信软件不能拦截、覆盖或伪造的信号,安全注意键,61,谢谢欣赏,2019-9-15,2.4 可信通路可信通路是用户能够借以同可信计算基通信的一种,Linux,的安全注意键,在,x86,平台上是,+SYS Rq),62,谢谢欣赏,2019-9-15,Linux的安全注意键在x86平台上是+Ctrl,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,63,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述63谢谢欣赏2019-9-15,2.5,安全审计机制,审计是一种事后分析法，一般通过对日志的分析来完成,日志：记录的事件或统计数据,提供关于系统使用及性能方面的信息,审计：,对日志记录进行分析,以清晰的、能理解的方式表述系统信息,安全审计：,对系统中有关安全的活动进行记录、检查及审核,认定违反安全规则的行为,64,谢谢欣赏,2019-9-15,2.5 安全审计机制审计是一种事后分析法，一般通过对日志的分,审计机制的主要作用,主要作用,能详细,记录,与系统安全有关的行为，并对这些行为进行,分析,，,发现,系统中的不安全因素，保障系统安全,能够对违反安全规则的行为或企图,提供证据,，帮助追查违规行为发生的地点、过程以及对应的主体,对于已受攻击的系统，可以提供信息,帮助进行损失评估和系统恢复,安全操作系统一般都要求采用审计机制来监视与安全相关的活动,橘皮书中有明确要求,65,谢谢欣赏,2019-9-15,审计机制的主要作用主要作用65谢谢欣赏2019-9-15,2.5.1,审计事件,审计事件是系统审计用户动作的基本单位,通常根据要审计行为的不同性质加以分类,主体：要记录用户进行的所有活动,客体：要记录关于某一客体的所有访问活动,用户事件标准,每个用户有自己的待审计事件集,基本事件集,在用户事件标准中，每个用户都要审计的公共部分,橘皮书从,C2,级开始要求具有审计功能,GB17859-1999,从第二级开始就对审计有了明确的要求,66,谢谢欣赏,2019-9-15,2.5.1 审计事件审计事件是系统审计用户动作的基本单位66,2.5.2,审计系统的实现,日志记录器：收集数据,根据要审计的审计事件范围记录信息,输出：,二进制形式，或者可以直接读取的形式,或者直接传送给数据分析机制,分析器：分析数据,输入：日志,分析日志数据，使用不同的分析方法来监测日志数据中的异常行为,通告器：通报结果,输入：分析器的分析结果,把结果通知系统管理员或其他主体,为这些主体提供系统的安全信息,辅助他们对系统可能出现的问题进行决策,67,谢谢欣赏,2019-9-15,2.5.2 审计系统的实现日志记录器：收集数据67谢谢欣赏2,Windows NT,的日志文件,系统日志,跟踪各种系统事件,记录由,Windows NT,的系统组件产生的事件,例如：启动过程中加载驱动程序错误,又如：系统崩溃,应用程序日志,记录由应用程序或系统程序产生的事件,例如：应用程序产生的状态,dll,失败,又如：应用程序的添加,安全日志,记录安全相关的关键安全事件,例如：登录上网,/,下网，改变访问权限，系统启动和关闭，与创建,/,打开,/,删除文件等资源使用相关联的事件,68,谢谢欣赏,2019-9-15,Windows NT的日志文件系统日志68谢谢欣赏2019-,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,69,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述69谢谢欣赏2019-9-15,2.6,存储保护、运行保护和,I/O,保护,存储保护,存储保护需求,保护用户存储在存储器中的数据,保护单元和保护精度：字,/,字块,/,页面,/,段,单道系统,VS,多道系统,VS,多用户系统,存储器管理和存储保护之间的关系,存储基本概念：虚拟地址空间、段,内存管理的,访问控制,：,系统段与用户段,基于物理页号的识别,基于描述符的地址解释机制,70,谢谢欣赏,2019-9-15,2.6 存储保护、运行保护和I/O保护存储保护70谢谢欣赏2,基于物理页号的识别,每个物理页号都被加上一个密钥,系统只允许拥有该密钥的进程访问该物理页,每个进程分配一个密钥，装入进程的状态字中,每次访问内存时，由硬件对该密钥进行校验,密钥：要匹配,访问控制信息（读写权限）要匹配,缺点：繁琐,71,谢谢欣赏,2019-9-15,基于物理页号的识别每个物理页号都被加上一个密钥71谢谢欣赏2,基于描述符的地址解释机制,每个进程有一个“私有”的地址描述符，描述进程对内存某页或某段的访问模式,可以有两类访问模式集：,用户状态下运行的进程,系统模式下运行的进程,优点：开销小,72,谢谢欣赏,2019-9-15,基于描述符的地址解释机制每个进程有一个“私有”的地址描述符，,基于保护环的运行保护,等级域保护机制,应该保护某一环不被其外层环侵入,允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环,与进程隔离机制不同,在任意时刻，进程可以在任何一个环内运行，并转移到另一个环。,保护进程免遭在同一环内同时运行的其他进程的破坏,73,谢谢欣赏,2019-9-15,基于保护环的运行保护等级域保护机制73谢谢欣赏2019-9-,I/O,保护,I/O,操作一般是特权操作,操作系统对,IO,操作进行封装，提供对应的系统调用,将设备看成一个客体，对其应用相应的访问控制规则,读写两种,针对从处理器到设备间的路径,74,谢谢欣赏,2019-9-15,I/O保护I/O操作一般是特权操作74谢谢欣赏2019-9-,第二章 操作系统的安全机制,概述,标识与鉴别机制,访问控制,最小特权管理,可信通路,安全审计机制,存储保护、运行保护和,I/O,保护,主流,OS,的安全机制,75,谢谢欣赏,2019-9-15,第二章 操作系统的安全机制概述75谢谢欣赏2019-9-15,主流,OS,的安全机制,1,：,Linux,2,：,Microsoft Windows 2000,76,谢谢欣赏,2019-9-15,主流OS的安全机制1： Linux76谢谢欣赏2019-9-,Linux,的安全机制,PAM,入侵检测系统,加密文件系统,安全审计,强制访问控制,防火墙,77,谢谢欣赏,2019-9-15,Linux的安全机制PAM77谢谢欣赏2019-9-15,PAM,Pluggable Authentication Modules,目的：提供一个框架和一套编程接口，将认证工作由程序员交给管理员,允许管理员在多种认证方法之间做出选择，,能够改变本地认证方法而不需要重新编译与认证相关的应用程序,以共享库的形式提供,78,谢谢欣赏,2019-9-15,PAMPluggable Authentication Mo,功能包括：,加密口令（包括,DES,和其他加密算法）,对用户进行资源限制，防止,DOS,攻击,允许随意,Shadow,口令,限制特定用户在指定时间从指定地点登录,引入概念“,client plug-in agents”,，使,PAM,支持,C/S,应用中的机器,79,谢谢欣赏,2019-9-15,功能包括：79谢谢欣赏2019-9-15,入侵检测系统,目前比较流行的入侵检测系统有,Snort,，,Portsentry,，,LIDS,等,利用,Linux,配备的工具和从,Internet,上,download,的工具，就可以使,Linux,具备高级的入侵检测能力，包括：,记录入侵企图,当攻击发生时及时通知管理员,在规定情况的攻击发生时，采取实现规定的措施,发送一些错误信息，比如伪装成其他操作系统，例如,WindowsNT,或者,Solaris,系统,80,谢谢欣赏,2019-9-15,入侵检测系统目前比较流行的入侵检测系统有Snort，Por,加密文件系统,加密文件系统就是将加密服务引入文件系统，从而提高计算机系统的安全性,防止硬盘被偷窃,防止未经授权的访问,目前，,Linux,已有多种加密文件系统，例如,CFS,TCFS,，,Transparent Cryptographic File System,CRYPTFS,81,谢谢欣赏,2019-9-15,加密文件系统加密文件系统就是将加密服务引入文件系统，从而提高,TCFS,Transparent,：用户感觉不到文件的加密过程,将加密服务和文件系统紧密集成,不修改文件系统的数据结构,备份与修复以及用户访问保密文件的语义也不变,加密文件对以下用户不可读,合法拥有者以外的用户,用户和远程文件系统通信线路上的偷听者,文件系统服务器的超级用户,对于合法用户，访问加密文件与访问普通文件几乎没有区别,82,谢谢欣赏,2019-9-15,TCFSTransparent：用户感觉不到文件的加密过程8,安全审计,Linux,提供网络、主机和用户级的日志信息,例如，可以记录,所有系统和内核信息,每次网络连接和他们的源,IP,地址以及发生时间,攻击者的用户名,操作系统的类型,远程用户申请访问的文件,用户控制的进程,用户使用的每条命令,等等,83,谢谢欣赏,2019-9-15,安全审计Linux提供网络、主机和用户级的日志信息83谢谢欣,强制访问控制,MAC,MAC,是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性的限制信息的共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象,目前在,Linux,上实现的强制访问控制的有好几种，如,SELinux,RSBAC,：,Rule Set Based Access Control,，基于规则集的访问控制,MAC Linux,：英国的,Malcolm Beattie,针对,Linux 2.2,内核编写的一个非常处级的,MAC,访问控制,84,谢谢欣赏,2019-9-15,强制访问控制MACMAC是一种由系统管理员从全系统的角度定义,防火墙,Linux,防火墙系统提供如下功能,访问控制,审计,抗攻击,其他附属功能,85,谢谢欣赏,2019-9-15,防火墙Linux防火墙系统提供如下功能85谢谢欣赏2019-,Windows 2000,的安全机制,Windows 2000,在安全特性方面的设计注重如下三点：,考虑移动办公、远程工作、随时随地接入,Internet,这些需求及其安全需求,提供一个安全性框架，不偏重于任何一种特定的安全特性,向下兼容,NT,的,NTLM,（,NT LAN Manager,）安全验证机制,2000,的,Kerberos,安全验证机制,86,谢谢欣赏,2019-9-15,Windows 2000的安全机制Windows 2000在,Windows 2000,的安全模块结构图,安全服务提供者接口,Security Service Provider Interface,底层安全验证协议,应用协议,87,谢谢欣赏,2019-9-15,Windows 2000的安全模块结构图安全服务提供者接口,Kerberos,Internet,上长期被采用的一种安全验证机制,基于共享密钥的方式,Kerberos,协议定义了一系列客户机,/,密钥发布中心,KDC/,服务器之间进行的获得和使用,Kerberos,票证的通信过程（,Key Distribution Center,）,88,谢谢欣赏,2019-9-15,KerberosInternet上长期被采用的一种安全验证机,Windows 2000,的安全特性,数据安全性,用户登录时的安全性：,Kerberos,PKI,等,网络数据的保护,存储数据的保护,企业间通信的安全性,企业王和,Internet,的单点安全登录,易管理性和高扩展性,89,谢谢欣赏,2019-9-15,Windows 2000的安全特性数据安全性89谢谢欣赏20,Thanks,！,The end.,Thanks！The end.,91,谢谢欣赏,2019-9-15,91谢谢欣赏2019-9-15,