信息与网络安全概论(第三版)CHD4 操作系统安全

信息与网络安全概论（第三版）本章内容4.1计算机操作系统的安全威胁4.2计算机病毒4.3软件方面的安全漏洞4.4操作系统的安全模式4.5访问控制方法4.6Linux系统的安全管理机制信息与网络安全概论（第三版）4.1计算机操作系统的安全威胁•非法用户的入侵及访问-通过破解通行密码(Password)或窃取合法用户的登录(Login)数据，进而访问、篡改或破坏系统内的重要数据。-假冒合法用户身分进行不法活动。•合法用户蓄意的破坏及泄密-经授权的合法用户利用访问权限的便，将所获悉机密数据泄漏出去。-离职员工在离职前蓄意破坏系统或故意留下后门。信息与网络安全概论（第三版）4.1计算机操作系统的安全威胁(续)•恶意的软件-计算机病毒(ComputerViruses)、特洛伊木马(TrojanHorses)、计算机虫(ComputerWorms)以及后门程序(Trapdoor)等等。-恶意程序可通过电子邮件(Email)、远程执行以及其它远程登录(RemoteLogin)等方法来传播。•服务器程序攻击(ServerAttack)-因程序撰写时的疏忽或设定错误，让攻击者有机可乘。信息与网络安全概论（第三版）4.2计算机病毒•何谓计算机病毒（Virus）？–小的程序（或者可以被执行的程序）–依附在别的程序上–自行复制、感染、传播、发作信息与网络安全概论（第三版）4.2.1计算机病毒的类型•启动扇区型病毒(BOOT)•可执行文件病毒–亦称为文件型病毒，又可区分为「常驻型」及「非常驻型」二种•宏型病毒–如Word或者Excel的VBA宏•计算机寄生虫–复制、传播病毒(阻断服务)、不会破坏系统信息与网络安全概论（第三版）4.2.1计算机病毒的类型(续)•特洛依木马–将一段程序代码偷藏在普通程序中、不会复制•逻辑炸弹–一旦条件吻合就执行特洛依木马上偷藏的程序代码•后门•萨拉米香肠信息与网络安全概论（第三版）4.2.2计算机中毒的症状•原本执行正常的程序或文件，现在却无法正常执行，或者是系统无缘无故发生当机的次数愈来愈多。•计算机的执行速度或数据读取的速度突然变慢。•网络连线的速度变慢或者根本无法连线。•计算机使用中出现无聊的对话框或是动画音乐，而且无法关闭。•硬盘中的文件被删除或变更，甚至整个硬盘被重新格式化。•不断收到奇怪主题的电子邮件，而且数量急剧增加。信息与网络安全概论（第三版）4.2.3计算机病毒的生命周期创造期孕育期潜伏期发病期根除期信息与网络安全概论（第三版）4.2.4病毒码的原理病毒码是一病毒的特征，就如同是病毒的指纹一般，可用它来侦测病毒并辨别出是哪一种病毒。10KB文件文件病毒程序1KB病毒代码执行后11KB取特征值信息与网络安全概论（第三版）4.2.5预防计算机病毒的方法安装杀毒软件定期更新病毒代码不任意执行电子邮件夹带的文件尽量使用硬盘开机不随意执行有包含宏的文件不下载或使用来路不明的文件信息与网络安全概论（第三版）4.3软件方面的安全漏洞溢出攻击-编译程序没有对内存空间的使用进行限制及检查。竞争条件-在多任务环境下，多个执行程序同时竞争一个资源。随机数值的预测-被选定的随机数值必须是不可被预知的。随机数产生器(Pseudo-randomnumbergenerator)所产生的随机数，结果是可以被预知的。信息与网络安全概论（第三版）4.4操作系统的安全模式任意性安全模式(DiscretionaryAccessControl,DAC)强制性安全模式(MandatoryAccessControl,MAC)以角色为基础的安全模式(Role-basedAccessControl,RBAC)信息与网络安全概论（第三版）©TheMcGraw-HillCompanies,Inc.,20094.4.1任意性安全模式用户对自己所拥有的文件及其它外围设备资源，可自行决定是否提供或授权其它人来访问。(利用访问控制矩阵及群组是常被使用到的解决方法)。信息与网络安全概论（第三版）计算机操作系统安全性策略•安全性管理策略–集中式系统或分布式系统的安全管理信息与网络安全概论（第三版）计算机操作系统安全性策略(续)•访问控制策略–决定某些人对某些资源具有哪些访问权力需要才给的访问权限安全策略（白名单）最大分享安全策略（黑名单）开放式系统及封闭式系统的安全策略访问权限种类及其关系安全策略信息与网络安全概论（第三版）计算机操作系统安全性策略(续)•控制数据流向策略–是否允许将访问控制权力或数据文件的访问权限授权给他人任意性强制性-Bell-Lapadula安全策略用户安全系统大于或等于数据的安全系统时才允许被读取数据的安全系统大于用户安全系统时才允许被写入信息与网络安全概论（第三版）计算机操作系统安全性策略(续)•执行安全性控制策略–预防式：尽可能制订安全性策略，避免发生安全漏洞–侦测式：发生安全事件后紧急的应变措施信息与网络安全概论（第三版）•主件(Subject)具有执行能力的程序、用户及处理等等•物件(Object)计算机系统内的资源如文件、内存以及打印机等等•访问类型(AccessType)或访问权(AccessRight)主件对对象访问的权限如读取、写入及执行等等三维访问法则：F：S×O×A＝(True,False)任意性的访问控制模型的三个基本要素信息与网络安全概论（第三版）访问法则范例主件物件访问权是或否品洁人事数据文件可读取是耀婷顾客数据文件可写入是品砚成本分析文件可执行是张良人事数据文件可读取否信息与网络安全概论（第三版）访问控制处理访问法则s,o,a是无拒绝访问允许访问访问要求系统处理访问输出有s,o,a?信息与网络安全概论（第三版）简易访问控制矩阵物件1(O1)物件2(O2)物件3(O3)物件4(O4)主件1(S1)可执行拥有者可执行可写入主件2(S2)无权限无权限可读出拥有者主件3(S3)可写入无权限拥有者无权限主件4(S4)无权限可写入可读入可读入主件5(S5)拥有者无权限无权限可读出信息与网络安全概论（第三版）4.4.2强制性安全模型•用于对数据安全有强烈要求的系统，由系统管理者统一决定资源的权限访问策略。（利用阶层式的访问控制是常被使用到的解决方法。）•系统中的每个主件（例如用户、程序等）都有一个用户访问等级，称为许可证(Clearance)；•系统内的每种对象（例如文件、内存等）都有一个机密等级，称为等级分类(Classification)。信息与网络安全概论（第三版）强制性安全策略强制性安全等级强制性安全种类军事单位民间企业极机密(Top-Secret)限制(Restricted)机密(Secret)拥有(Proprietary)密(Confidential)敏感(Sensitive)一般(Unclassified)公开(Public)军事单位民间企业空军企划部海军研发部陆军生产部国防部业务部信息与网络安全概论（第三版）强制性安全策略(续)完全顺序阶级(Totally-OrderedHierarchy)：极机密机密密一般信息与网络安全概论（第三版）敏感卷标＝安全等级×P（安全种类）强制性安全策略(续)以下都是正确的敏感标签：{(极机密，{空军})、(极机密，{空军，海军})、(机密，{空军})、(密，{空军})、(密，{空军，陆军})、(密，{、空军，海军})、(一般，{空军})等。信息与网络安全概论（第三版）部分顺序层次(Partially-OrderHierarchy)强制性安全策略(续)C1C2C3C4C5C4极机密，读写机密，写机密，读密，读密，写密，读信息与网络安全概论（第三版）TheBell-Lapadula(贝尔-拉帕杜拉)Model•美国空军赞助MITRE公司所发展•主件、物件、访问权•每个主件都有许可证、物件都有分类等级、统称二者为安全等级。•访问权：只读(Read-Only)附加(Append)执行(Execute)读写(Read-Write)信息与网络安全概论（第三版）基本特性•简易安全特性(SimpleSecurityProperty)：主件(用户)不能读取安全等级比自己高的对象。(NoReadUp)•星星安全特性(StarSecurityProperty)：主件(用户)不能写入数据到安全等级比自己低的对象。(NoWriteDown)主件物件一物件二安全等级读写高低信息与网络安全概论（第三版）4.4.3以角色为基础的安全模式•基本组件包含用户(Users)、角色(Roles)及授权(Permissions)。•每一个人可能同时被授予多个角色，每一个角色依据其工作的权责也可能由多个人来担任，并且授予每一个角色用来完成其任务所需的权限。•可阐述（用户－角色）、（角色－授权资源）及（角色－角色）的间的关系信息与网络安全概论（第三版）以角色为基础的访问控制模型信息与网络安全概论（第三版）RBAC模型的关系图•最小特权(LeastPrivilege):管理者只需授与此一角色能够完成此一任务所需的访问权限即可，不需要给予多余的特权。•授权分工(SeparationofDuties):将许多任务拆解成许多个子任务(Subtasks)，再指派给某一特定的角色分别来执行。RBAC3RBAC1RBAC0RBAC2信息与网络安全概论（第三版）RBAC模型关系图的阶层化角色与限制条件层次化角色(RoleHierarchies)限制条件(Constrains)RBAC0无无RBAC1有无RBAC2无有RBAC3有有信息与网络安全概论（第三版）访问控制的系统架构图4.5访问控制方法主件系统物件访问控制访问结果访问要求资源管理系统请求验证及结果用户数据信息与网络安全概论（第三版）简易访问控制矩阵范例0:无访问权力1:可执行2:可读出3:可写入4:拥有者信息与网络安全概论（第三版）访问串行法范例S14S22S31S42O1EndS14S21S33S41O2EndS23S34O3EndS11S31S44O4EndS22S34S43O5End信息与网络安全概论（第三版）4.5.3UNIX操作系统访问控制•访问用户：拥有者(Owner)、拥有者所属群组(Group)及系统内其它不相关的用户。•访问权：读出(r)、写入(w)及执行(x)。•Jenny为文件test.txt的拥有者，Jenny对此文件具有读出(r)、写入(w)及执行(x)的访问权。访问权拥有者群组大小产生日期文件名称拥有者同属群组其他rwxr-x--xJennyRD1232107/03/2114:20test.txtrwxrwxr-xJasonCS1253107/03/2215:32is.txtrwxr-xr-xCandyRD1421107/03/2010:43Ikk.txt信息与网络安全概论（第三版）如何在UNIX系统建网页？•设账户名称(Username)为mshwang、主机网址为dec8.nchu.edu.twcd[enter]cd..[enter]chmod711mshwang[enter]cd[enter]mkdirpublic_html[enter]chmod711public_html[enter]cdpublic_html[enter]输入或传入文件index.html到public_html目录区chmod644index.html[enter]信息与网络安全概论（第三版）4.6Linux系统的安全管理机制•由Linux-PAM(PluggableAuthenticationModulesforLinux)模块负责系统的访问控制机制。•应用程序与认证机制分离，使应用程序不需重新编译就可使用其它的认证机制，以提升系统的安全性。信息与网络安全概论（第三版）Linux-PAM的运作流程auth:认证模块account:账户模块session:会谈模块Password:通行密码模块认证+Conversation()用户Linux-PAM认证模块账户模块会谈模块密码模块a.soPA