操作系统安全39课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十一章 操作系统安全,2,主要内容,操作系统安全性,基本概念,操作系统,主要,安全机制,安全操作系统设计,与实现,11.1,操作系统,的,安全性,操作系统的安全需求,系统安全的评估与标准,Unix/Linux,操作系统安全,Windows 2000,操作系统安全,3,4,11.1.1,操作系统的安全需求,计算机信息系统安全性,保密性。安全保密是指防止信息的非授权修改，这也是信息安全最重要的要求。,完整性。完整性要求信息在存储或传输过程中保持不被修改、破坏和丢失。,可靠性。可靠性是指系统提供信息的可信赖程度。,可用性。可用性是指当需要时是否能存取所需信息，保护信息的可用性的任务就是防止信息失效或变得不可存取。,操作系统安全的目标,为用户信息处理提供安全的软件环境，为应用程序运行提供安全可靠的运行环境。,操作系统的安全需求,系统边界安全,认证和鉴别禁止非法用户进入系统,;,系统使用,权限管理机制,不同用户配置不同的权限，每个用户只拥有他能够工作的最小权利；,应用和数据的访问控制机制,用户只能按照指定的访问控制安全策略访问数据；,为系统用户提供可信通路,保证系统登陆和应用层提供的安全机制不被旁路,；,系统操作的安全审计和管理,检查错误发生的原因，或者受到攻击时攻击者留下的痕迹,；,5,6,11.1.2,系统安全的评估与标准,计算机信息系统（,computer information system,）,由计算机及其相关的和配套的设备、设施,(,含网络,),构成,；,可信计算基（,trusted computing base,）,计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。,主体（,subject,）,即主动实体，导致信息在系统中流动及改变系统状态的用户或进程等；,客体,(object),能包含或接受信息的被动实体，如文件、内存块等；,敏感标记（,sensitivity label,）,表示客体安全级别并描述客体数据敏感性的一组信息,；,安全策略,(security policy),系统资源使用和管理的安全规定和约定；,系统安全的评估与标准,TCSEC,：,Trusted Computer System Evaluation Criteria,标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。,1970,年由美国国防科学委员会提出，并于,1985,年,12,月由美国国防部公布。,国标,GB17859,1999,：,计算机信息系统安全保护等级划分准则,该准则,参照,TCSEC,标准,规定了计算机信息系统安全保护能力的五个等级,。,用户自主保护级,，,系统审计保护级,，,安全标记保护级,，,结构化保护级,，,访问验证保护级,POSIX.1e,（,Portable Operating System Interface for Computer Environ-ment,）,）,POSIX.1e,是,POSIX,系列标准的一部分。它定义了,POSIX.1,规范的安全扩展部分,；,POSIX.1e,只规定了安全特性的函数接口（,Security APIs,）。,7,1.TCSEC-,共分,A,、,B,、,C,、,D,四类八个级别,D:,非安全保护,C:,自主保护级,C1:,允许客体拥有者决定该客体的访问控制权，是否可以被其他主体访问；,C2:,自主访问控制更加细致。考虑客体重用和系统审计；,B:,强制安全,B1:,标记安全保护，标记和强制访问控制；,B2:,结构安全保护，强制访问控制的范围扩大到所有的系统资源，给出证明，要求考虑隐蔽信道（存储），并计算出带宽。,B3:,安全区域保护，,TCB,不包含与安全无关的代码，并足够小到可以被测试、分析、证明，系统具有恢复能力。,A:,验证安全保护,A1:,验证设计级，设计可以被形式化的证明；,A2:,验证实现级保护，实现可以被形式化的证明。,8,系统安全的评估与标准,9,不分等级，无口令和权限控制,，,MS DOS,主体自主决定的安全保护，,UNIX/WINDOWS,D,级,C1,级,C2,级,B1,级,B2,级,B3,级,A,级,C1+,访问控制,，广泛审核，,Linux/WINDOWS NT,标记安全保护，如,System V,等,结构化内容保护，正式,安全策略模型,，,MULTICS,安全内核，高抗渗透能力,，,Trusted Mach,形式化校验级保护，,SNS,11.1.3 Unix/Linux,操作系统安全,机制,用户标识和身份鉴别,每个用户一个唯一的标识符,(UID);,系统给每个用户组也分配有一个唯一的标识符,(GID);,登录需要密码口令；,基于保护位的自主访问控制安全机制,用户：,owner/group/other,）,访问权限：,read/write/executable,。,日志信息,包括：,连接时间日志、进程统计和错误日志。,10,Unix/Linux,操作系统安全,弱点,用户数据保护机制并不能,保证严格,安全要求,；,超级用户成为系统安全瓶颈,；,缺乏必要的系统审计机制,；,用户认证方面的要求不够严格,；,系统自身的完整性保护问题,，,一旦加载恶意的核心模块，整个系统可能完全被非法控制,。,11,11.1.4 Windows 2000,操作系统安全,活动目录,分布式对象存储和管理的目录服务；,每个对象，都有唯一的安全描述符，定义了读取或更新对象属性所必需的访问权限。,身份验证,交互式登录,/,网络身份验证,（,Kerberos V5,、公钥证书和,NTLM,、智能卡登录等,）,访问控制,安全主体包括用户，组和服务。,客体包括：,文件，文件夹、打印机、注册表键、活动目录项。,12,13,主要内容,操作系统安全性,基本概念,操作系统,主要,安全机制,安全操作系统设计,与实现,11.2,操作系统安全机制,标识和鉴别,可信路径管理,禁止客体重用,最小特权管理,访问控制技术,隐蔽信道检测与控制,安全审计,14,11.2.1,标识与鉴别,用户标识（,user identification,）信息系统用以标识用户的一个独特符号或字符串,;,鉴别（,authentication,）验证用户，设备，进程和实体的身份；,Unix/Linux,实现了基本的标识和鉴别机制。一般系统中有三类用户：超级用户,普通用户和系统用户。,超级用户：,root,普通用户是指那些能够登录系统的用户,系统用于特定的系统目的。例如用户,nobody,和,lp,15,标识与鉴别,UID,和,GID,通常是唯一的，不同的用户拥有不同的,UID,，不同的用户组拥有不同的,GID;,用户登录到系统时，须输入用户名标识其身份,;,用户属性的信息主要存储在,/etc/passwd,和,/etc/shadow,系统文件中,;,系统会分配好用户目录。这块空间与系统区域和其他用户的区域分割开来。,16,11.2.2,可信路径管理,任何进入系统都需要进行用户认证，同时进行相应的用户鉴别；,可信路径该路径上的通信只能由该用户初始化。,实现可信路径,能够准确辨认出用户登录的意图；,提供无法冒充的用户界面；,在用户认证和鉴别过程中，限制无关进程的活动；,保证通信路径上的可靠性。,17,18,禁止客体重用,含,义,一个主体在释放资源时，一定要清除上面的信息。,思考,WINDOWS/LINUX,内存释放后内容被清空了吗？,WINDOWS/LINUX,文件删除后硬盘上没有了吗？,11.2.3,最小特权管理,最小特权管理,系统不应给予用户超过执行任务所需特权以外的特权。,实现,将超级用户的特权划分为一组细粒度的特权，使得各种操作员或者管理员只具有完成其任务所必需的特权,。,一般系统的,三种管理角色,安全管理员，审计管理员，系统管理员,。,19,11.2.4,访问控制技术,访问控制,功能,管理所有资源访问请求，即根据安全策略的要求，对每个资源访问请求作出是否许可的判断,；,主要,访问控制策略,最小权益策略：按主体执行任务所需权利最小化分配权利。,最小泄漏策略：按主题执行任务时所知道的信息最小化原则分配权利。,多级安全策略：主体和客体按普通、秘密、机密、绝密等级别划分，进行权限控制。,主要访问控制技术,自主访问控制，强制访问控制,20,自主访问控制,（,Discretionary Access Control,）,访问控制方法,它由资源拥有者分配访问权，在辨别各用户的基础上实现访问控制。,实现方式,基于行的,DAC,：,这种方法在每个主体上都附加一个该主体可访问的客体的明细表,；,基于列的,DAC,：,在客体上附加了一个主体明细表 来表示访问控制矩阵的列,；,弱点,权限管理比较分散，安全性差，不能抵御特洛伊木马的攻击。,21,自主访问控制,缺陷举例,SOS,重要信息放在,important,文件中，权限为只有自己可以读写。,SPY,设计一个有用的程序,Use_it_Please,，除了有用的部分，还有一个木马，同时准备好一个文件,Pocket,，将其权限设置为,:,SOS:W,SPY:RW,当,SOS,运行木马程序时,木马会将,important,文件的信息，写入,Pocket,中,。,22,2,.,强制访问控制,（,Mandatory Access Control,）,访问控制方法,每个主体,和,每个客体都有既定安全属性，是否能执行特定的操作取决于二者之间的关系。,实现方式,由特定用户（管理员）实现授权管理；,通常指,TCSEC,的多级安全,策略,：,安全属性用二元组表示，记作（密集，类别集合），密集表示机密程度，类别集合表示部门或组织的集合。,弱点,应用的领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域，完整性方面控制不够,。,23,BLP,多级强制访问控制策略,两个重要的安全特性（公理）,Simple Security Condition,：主体读客体，当且仅当用户的安全等级必须大于或等于该信息的安全级，并且该用户必须具有包含该信息所有访问类别的类别集合；,*,-Property(Star Property),：一个主体,/,用户要写一个客体，当且仅当用户的安全等级不大于该客体安全等级，并且该客体包含该用户的所有类别。,安全特性,保证了信息的单向流动，即信息只能向高安全属性的方向流动，,24,强制访问控制防止木马举例,SOS,赋予,High,安全级；,important,文件安全级,high,SPY,赋予,low,安全级；,pocket,文件安全级,low,当运行木马程序时,木马程序获得,High,安全级，可以读,important,文件；,当向,Pocket,文件进行写操作时会被拒绝，因为,Pocket,文件的安全级别低于木马程序的安全级别，所以不允许进行写操作。,25,11.2.5,隐蔽信道检测与控制,定义,“,在强制式访问控制下，主体间以违背安全策略的形式传递信息,的通信信道”,。,分类,隐蔽存储通道（,Covert Storage Channel,）,隐蔽时间通道（,Covert Timing Channel,）,相关研究,搜索：静态或动态,计算带宽,消除、减低带宽,26,隐蔽信道检测与控制,隐蔽存储通道存在场景,信息发送者直接或间接地修改某存储单元，信息接收者直接或间接地读取该存储单元。,其产生的必要条件有以下四条,发送和接收进程必须能够对同一存储单元具有存取能力；,发送进程必须能够改变共享存储单元内容；,接收进程必须能够探测共享存储单元