第五章：操作系统与数据库安全

LOIS第五章:操作系统与数据库安全LOIS提纲•操作系统安全的基本概念•Windows系统安全•UNIX/Linux系统安全•数据库系统安全LOIS什么是操作系统•用户使用计算机时，直接操作计算机系统硬件是不方便也不现实的，这就需要一种计算机使用者和计算机硬件间的中间媒介，操作系统就是这一媒介•操作系统的功能一般包括处理器管理、存储管理、文件管理、设备管理和作业管理等̵处理器管理功能是根据一定的策略将处理器交替地分配给系统内等待运行的程序̵存储管理功能是管理内存资源，主要实现内存的分配与回收，存储保护以及内存扩充̵文件管理向用户提供创建文件、撤销文件、读写文件、打开和关闭文件等功能̵设备管理负责分配和回收外部设备，以及控制外部设备按用户程序的要求进行操作̵作业管理功能是为用户提供一个使用系统的良好环境，使用户能有效地组织自己的工作流程，并使整个系统高效地运行LOIS操作系统的安全要素•操作系统的安全是计算机系统安全的基础，高安全性操作系统要求自身在任何环境下都能安全可靠地运行，对安全性的要求非常严格。•通用操作系统必需的安全性功能包括：̵1.用户认证（Authenticationofusers）̵2.存储器保护（Protectionofmemory）̵3.文件和I/O设备的访问控制（FileandI/Odeviceaccesscontrol）̵4.对一般目标的定位和访问控制（Allocationandaccesscontroltogeneralobjects）̵5.共享的实现（Enforcementofsharing）̵6.保证公平服务（Guaranteeoffairservice）̵7.内部进程间通信的同步（Interprocesscommunicationandsynchronization）LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件为了将无意的或恶意的攻击所造成的损失降低到最低限度，每个用户和程序必须按照“需知”原则，尽可能使用最小特权进行操作LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件系统的设计应该小而简单，且直截了当，保护系统可以被穷举测试，或者被验证，因而可以信赖LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件保护机制不能依赖于潜在攻击者的无知，保护机制应该是公开的，公开设计还可以接受广泛的公开审查，安全性不依赖于保密LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件每个存取行为必须经过检查LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件默认的条件应该是拒绝访问。保守的设计应标识哪些应该是可存取的，而不是标识哪些是不可存取的LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件理想情况下，对实体的存取应该依赖于多于一个的条件，如用户身份鉴别加上密钥。这样，侵入保护系统的攻击者将不能掌握了一个条件就拥有了对全部资源的存取权限LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件可共享实体提供了信息流的潜在通道。系统为防止这种共享的威胁应该采取物理或逻辑分离的方法LOIS什么是安全操作系统•安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度•设计安全操作系统应该遵循的一些原则̵最小特权̵操作系统中保护机制的经济性̵开放设计̵严密完整的检查̵基于许可的模式̵特权分离̵最少的通用机制̵便于使用用户软件可信应用软件安全内核硬件设计的安全机制应尽可能方便用户使用LOISWindows系统安全•Windows系统帐号管理•WindowNT资源安全管理•Windows网络安全管理LOISWindows系统安全•Windows系统帐号管理•WindowNT资源安全管理•Windows网络安全管理硬件抽象层硬件微内核I/O子系统进程管理对象执行服务对象管理配置管理局部过程调用内存管理图形设备驱动核心模式用户模式LOISWindows系统登录流程•注册（WinLogon）模块产生WinLogon进程，显示对话框，要求用户输入用户名、密码、服务器/域名•系统将用户信息通过安全系统传输到SAM，并对用户身份进行确认•安全帐号管理器把用户的登录信息与服务器里的安全帐号管理数据库进行比较，如果两者匹配，服务器将通知工作站允许用户进行访问•Winlogon进程将调用Win32子系统，子系统为用户产生一个新的进程•LSA开始构建访问令牌（AccessToken），与用户进行的所有操作相连，用户进行的操作与访问令牌一起构成一个主体•当用户要求访问一个对象时，主体的访问令牌的内容将与对象的存取控制列表通过一个有效性访问程序进行比较，这个程序将决定接受或拒绝用户的访问要求登录本地安全权威认证包运行验证安全帐号管理数据库中的认证安全帐号管理器返回SIDs本地安全权威创建存取令牌本地安全权威创建主体LOISWindows系统帐号管理•Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。•每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。•Windows系统的用户帐号有两种基本类型：̵全局帐号（GlobalAccounts）̵本地帐号（LocalAccounts）全局帐号有时又称为域帐号（DomainAccounts）全局帐号主要是用于网络环境中的操作系统用户认证如果有多个域可用，网络中的每个用户在一个域中最好只有一个全局帐号，这样用户只需要一个密码LOISWindows系统帐号管理•Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。•每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。•Windows系统的用户帐号有两种基本类型：̵全局帐号（GlobalAccounts）̵本地帐号（LocalAccounts）本地帐号是在用户本地域使用的帐号，也是用户日常使用最频繁的系统本机帐号。LOIS本地用户组/域用户组•用户组：Windows系统中将相同性质的帐号归类成一个组，即用户组•本地用户组̵本地组的一部分，也可以叫标准本地组̵具有相同权限的本地用户帐号的集合•域用户组̵具有相同权限的域用户帐号的集合•关系̵都是Windows系统中用户组概念的具体延伸，没有交叉关系̵Windows的用户组组可以分为全局组、本地组和特殊组。除去本地组中的一部分认为是本地用户组外，其他主要是在域环境下使用的，都是域用户组LOISWindowNT资源安全管理•文件系统和共享资源的安全设置•应用程序和用户主目录安全•打印机安全•注册表安全•审核策略及日志•硬盘空间管理和数据备份•文件系统的安全分为四个基本部分：•共享权限（SharePermisson）•目录权限（DirectoryPermission）•审计（Auditing）•所有者（Ownership）•其中安全性要求最高的是共享权限的设置•远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文件目录自身的权限设置。用户对共享所获得的最终访问权限将取决于共享的权限设置和目录的本地权限设置中最严格的条件LOIS•应用程序安全•建立一个或少许几个应用程序的安装和工作目录，然后赋予这些目录以较为严格的权限管理。•建议赋予这些目录以下的权限：•用户组AppUsers以Read的权限•用户组AppInstallers以Change的权限•用户组Administrator以FullControl的权限•用户主目录安全•建立一个公共的目录作为用户主目录的根目录，分别建立用户的子目录，采用用户的简称等易于识别的名字作为用户子目录名。•再赋予以下权限：•用户（组）UserName以FullControl的权限•用户（组）Administrator以FullControl的权限WindowNT资源安全管理•文件系统和共享资源的安全设置•应用程序和用户主目录安全•打印机安全•注册表安全•审核策略及日志•硬盘空间管理和数据备份LOISWindowNT资源安全管理•文件系统和共享资源的安全设置•应用程序和用户主目录安全•打印机安全•注册表安全•审核策略及日志•硬盘空间管理和数据备份•保障注册表安全可以归结为三条•删除注册表编辑器•设置注册表本地访问权限•限制注册表远程访问•HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg如果这个关键字存在，那么就将考虑强制限制远程的注册表编辑权限，以防止用户对注册表的不适当远程访问LOISWindowNT资源安全管理•文件系统和共享资源的安全设置•应用程序和用户主目录安全•打印机安全•注册表安全•审核策略及日志•硬盘空间管理和数据备份LOISWindowNT资源安全管理•文件系统和共享资源的安全设置•