操作系统安全

国际安全评价标准的发展及其联系国际安全评价标准的发展及其联系国际安全评价标准的发展及其联系类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证国际安全评价标准的发展及其联系D级是最低的安全级别，拥有这个级别的操作系统是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。国际安全评价标准的发展及其联系C1是C类的一个安全子级。这种级别的系统对硬件有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。国际安全评价标准的发展及其联系使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。国际安全评价标准的发展及其联系B级中有三个级别，B1级即标志安全保护（LabeledSecurityProtection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限国际安全评价标准的发展及其联系B2级，又叫结构保护级别（StructuredProtection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别国际安全评价标准的发展及其联系B3级，又叫做安全域级别（SecurityDomain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上国际安全评价标准的发展及其联系A级，又称验证设计级别（VerifiedDesign），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统我国安全标准简介它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。我国安全标准简介除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。我国安全标准简介除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护我国安全标准简介在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力我国安全标准简介这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动安全操作系统的基本特征安全操作系统的基本特征最小特权原则1）最小特权原则是系统安全中最基本的原则之一，它限制了使用者对系统及数据进行存取所需要的最小权限，既保证了用户能够完成所操作的任务，同时也确保非法用户或异常操作所造成的损失最小。2）所谓最小特权（LeastPrivilege），指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。安全操作系统的基本特征强制访问控制（MAC）用来保护系统确定的对象，对此对象用户不能进行更改。即系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。在强制访问控制系统中，所有主体（用户，进程）和客体（文件，数据）都被分配了安全标签，安全标签标识一个安全等级。安全操作系统的基本特征安全操作系统的基本特征自主访问控制（DAC）自主访问控制是对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作安全操作系统的基本特征自主访问控制（DAC）自主访问控制中，用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有一个角色每个客体都拥有一个限定主体对其访问权限的访问控制列表（ACL）每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制强制访问控制和自主访问控制有时会结合使用。安全操作系统的基本特征访问控制模型Bell-LaPadula(BLP)安全模型对主体和客体按照强制访问控制系统的哲学进行分类，这种分类方法一般应用于军事用途。数据和用户被划分为以下安全等级公开（Unclassified）受限（Restricted）秘密（Confidential）机密（Secret）高密（TopSecret）安全操作系统的基本特征访问控制模型BLP保密模型基于两种规则来保障数据的机秘度与敏感度：上读(NRU),主体不可读安全级别高于它的数据下写(NWD),主体不可写安全级别低于它的数据安全操作系统的基本特征安全审计对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全操作系统的基本特征安全审计主要作用有以下几个方面：1.对潜在的攻击者起到震慑和警告的作用;2.对于已经发生的系统破坏行为提供有效的追究证据;3.为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4.为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。TCSEC规定了对于安全审计系统的一般要求，包括记录与再现、入侵检测、记录入侵行为、威慑作用、系统本身的安全性这5个方面。安全操作系统的基本特征安全域隔离功能1）安全域是指在其中实施认证、授权和访问控制的安全策略的计算环境。2）当用户安装和配置操作系统时，就创建成为管理域的初始安全域。Windows2003的安全设置服务器安全漏洞工作站安全漏洞Windows2003的安全设置对端口137~139的TCP和UDP连接SayNOWindows2003的安全设置Windows2003的认证机制1.“单点登录（SSO）是用户认证和授权的单一行为可以允许一位用户访问他的访问许可中包含的所有电脑和系统，而不要输入多个密码的机制。2.单点登录的优点：对用户而言减少混乱，提高工作效率；对管理员而言只需为每个用户分配一个账户Windows2003的安全设置Windows2003的认证机制1.交互式登录1)用户通过相应的用户账号)和密码在本机进行登录。2)在交互式登录时，系统会首先检验登录的用户账号类型，是本地用户账号(LocalUserAccount)，还是域用户账号(DomainUserAccount)，再采用相应的验证机制。因为不同的用户账号类型，其处理方法也不同。2.网络身份认证1)网络身份认证确认用户对于试图访问的任意网络服务的身份。Windows2003的安全设置1.域用户帐号用户访问域的唯一凭证，在域控制器中建立，作为活动目录的一个对象保存在域的数据库中。2.本地用户帐号该帐号只能建立在windows2003独立服务器上，以控制用户对该计算机资源的访问。Windows2003的安全设置3.内置的用户帐号Administrator帐号Guest帐号4.帐号命名约定1）域用户帐号的登录名在活动目录中必唯一2）域用户帐号的完全名称在创建该用户帐号的域中必须唯一3）本地用户帐号在创建该帐号的计算机上必须唯一4）如果用户名有重复，应该在帐号上区别出来。Windows2003的安全设置Windows2003文件系统安全1.安装windows2003确认文件系统格式为NTFS；2.NTFS权限及使用原则1）权限最大原则当一个用户同时属于多个组，而这些组又有可能被赋予对某种资源的不同访问权限，则该用户对该资源最终有效权限是将所有的权限加在一起。例如：假设现在“zhong”用户既属于“A”用户组，也属于“B”用户组，它在A用户组的权限是“读取”，在“B”用户组中的权限是“写入”，那么根据累加原则，“zhong”用户的实际权限将会是“读取+写入”两种。Windows2003的安全设置Windows2003文件系统安全2.NTFS权限及使用原则2）文件权限超越文件夹权限原则当用户或组对某个文件夹以及该文件夹下面的文件有不同的访问权限时，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。Windows2003的安全设置Windows2003文件系统安全2.NTFS权限及使用原则3）权限继承性原则假设现在有个“DOC”目录，在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录，现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则，所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限，其下的所有子目录将自动继承这个权限的设置。Windows2003的安全设置Windows2003文件系统安全2.NTFS权限及使用原则4）拒绝权限超越其他权限原则当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。Windows2003的安全设置3.NTFS权限的应用NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。Windows2003的安全设置3.NTFS权限的应用只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限怎么办？？特别权限Windows2003的安全设置假设现在需要对一个名为“网络管理与安全”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限，基于安全考虑，又决定取消该账户的“删除”权限。Windows2003的安全设置假设现在需要对一个名为“网络管理与安全”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限，基于安全考虑，又决定取消该账户的“删除”权限。Windows2003的安全设置Windows2003的安全设置Windows2003的安全设置Windows2003的安全设置Windows2003的安全设置4.共享权限(SharedPermission)共享的文件夹存在于NTFS分区中，它将同时具有NTFS权限与共享权限，系统中对权限的具体实施将以两种权限中的“较严格的权限”为准。Windows2003的安全设置5.资源复制或移动时权限的变化与处理1）在同一个NTFS分区之间移动文件或文件夹：保留在原位置的一切NFTS的权限，即权限不变。2）在不同NTFS分区之间移动文件或文件夹：文件和文件夹会继承目的分区中文件夹的权限3）在同一个NTFS分区之间复制文件或文件夹：继承目的位置中文件夹的权限4）在不同NTFS分区之间复制文件或文件夹：继承目的位置中的文件夹的权限。Windows2003的安全设置Windows文件保护1.WFP在