您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 第8章 操作系统安全技术
2020/3/41信息安全2020/3/42第8章操作系统安全技术2020/3/438.1操作系统安全简介8.1.1操作系统安全的概念操作系统安全包括了对系统重要资源(存储器、文件系统等)的保护和控制,即只有经过授权的用户和代表该用户运行的进程才能对计算机系统的信息进行访问。一般意义上讲,所谓一个计算机系统是安全的,是指该系统能够通过特定的安全功能控制外部对系统信息的访问。(1)操作系统及操作系统安全的概念2020/3/44(2)安全操作系统环境构架操作系统内的一切活动均可看作是主体对计算机内部各客体的访问活动。主体对客体的访问策略是通过可信计算基(TrustedComputingBase,TCB)来实现的。通过安全策略来控制主体对客体的存取,达到保护客体安全的目的,一个TCB由一个或多个可信功能安全模块(TCBSecurityFunction,TSF)组成,每个TSF模块包含一种或多种安全功能策略(SecurityFunctionPolicy,SFP),所有的SFP构成了一个完整的可信安全功能策略(TCBSecurityFunctionPolicy,TSP),即形成一个安全域。2020/3/45TCB构成的安全操作系统环境构架安全域可以防止不可信主体的干扰和篡改,因而增强了操作系统的安全,起到了在操作系统内部保护信息安全的积极作用。2020/3/468.1.2操作系统的安全评估标准1.国外评估标准可信计算机安全评估标准(ABCD类安全等级)欧洲的安全评价标准加拿大评价标准美国联邦准则国际通用准则10:28:327D类只包括D1一个级别最普通的形式是本地操作系统完全没有保护的网络例如早期的DOS10:28:328C类C1可信任运算基础体制,通过将用户和数据分开达到安全的目的,例如早期的UnixC2比C1系统加强了可调的审慎控制,连接到网络时,各个用户分别对自己的行为负责,例如WindowsNT和Unix10:28:329B类B1系统使用灵敏度标记作为所有强迫访问控制的基础B2管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制B3具有很强的监视委托管理访问能力和抗干扰能力10:28:3210A类A1系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范概念模型概念模型2020/3/4112.国内评估标准•我国的操作系统安全分为5个级别:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。第一级第二级第三级第四级第五级自主访问控制◆◆◆◆◆身份鉴别◆◆◆◆◆数据完整性◆◆◆◆◆客体重用◆◆◆◆审计◆◆◆◆强制性访问控制◆◆◆标记◆◆◆隐蔽信道分析◆◆可信路径◆◆可信恢复◆2020/3/4128.1.3操作系统的安全配置操作系统的安全配置主要有3个方面的问题:操作系统的访问权限的恰当设置操作的及时更新如何利用操作系统提供的功能有效防范外界攻击问题2020/3/4138.1.4操作系统的安全功能1.基本安全功能(1)自主访问控制自主访问控制是由TCB定义和控制的系统内命名用户对命名客体的访问形式。TCB通过建立访问控制规则(如ACL)来允许命名用户以用户或用户组的身份有限访问客体,阻止非授权用户读取敏感信息,并控制访问权限的扩散。自主访问控制机制根据用户指定的方式或默认方式,阻止非授权用户和用户组访问客体。(2)身份鉴别TCB初始执行时,首先要求用户标识自己的身份,并使用保护机制(如口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。然后,通过为用户提供一个唯一标识,限制用户的操作行为,并使用户对自己的各种行为负责。TCB不仅具有将用户身份标识与该用户所有可审计行为相关联的能力,还具有维护用户身份识别的数据、确定用户访问权限和授权的数据的能力。身份鉴别主要包括鉴别客体(数据鉴别)、鉴别主体(用户鉴别)及鉴别主体对客体操作的合法性内容等。2020/3/414(3)数据完整性系统中的数据主要有3种形式:一是存储在存储介质上的数据;二是从源发地到目的地所传输的数据;三是正在被处理的数据。(4)客体的重用在TCB的空闲存储空间中,对客体初始指定、分配或再分配一个主体之前,撤消客体所含信息的所有权。(5)审计TCB能够创建和维护授权保护客体的访问审计和跟踪记录,并能阻止非授权的用户对它进行访问或破坏。对于每一个事件,其审计内容包括事件的日期和时间、用户、事件类型、事件是否成功。2020/3/4152.高级安全功能(1)强制访问控制TCB对所有主体及其所控制的客体(如进程、文件、段、设备等)以及外部主体能够直接或间接访问的所有资源(如主体、存储客体和输入/输出资源等)实施强制访问控制。(2)标记为了实施强制访问控制,需要使用标记为用户和客体设定操作属性,这就要求TSF能为用户和客体进行标记,即为他们指定安全属性(或称为敏感标记)。(3)隐蔽信道的分析系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或估算确定每一个被标识信道的最大带宽。(4)可信路径当连接用户时(如注册、更改主体安全级等),TCB提供它与用户之间的可信通信路径。(5)可信恢复TCB提供过程和机制,保证计算机信息系统失效或中断后,能够进行可信恢复,而不损害任何安全保护性能。10:28:3216Windows2003身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域,然后向域中的任何计算机认证身份。单一注册在安全性方面提供了两个主要优点:对用户而言,单个密码或智能卡的使用减少了混乱,提高了工作效率;对管理员而言,由于管理员只需要为每个用户管理一个帐户,域用户所要求的管理支持减少了。windows2003的认证机制10:28:3217Windows2003账号安全1.域用户账号域用户账号是用户访问域的惟一凭证,因此在域中必须是惟一的。域用户账号是在域控制器上建立,作为活动目录的一个对象保存在域的数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域控制器所验证。2.本地用户账号本地用户账号只能建立在Windows2003独立服务器上,以控制用户对该计算机资源的访问10:28:32183.内置的用户账号Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利,该账号被设计用于对本地计算机或域进行管理,可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑,Guest帐号在Windows2003安装好之后是被屏蔽的。如果需要,可以手动启动,应该注意分配给该帐号的权限,该帐号也是黑客攻击的主要对像。10:28:3219账号与密码约定1.账号命名约定由于账号的在域中的重要性和惟一性,因此账号的命名约定十分重要。一个好的帐号命名约定将有助于规划一个高效的活动目录。Windows2003的账号命名约定包括如下内容:域用户账号的用户登录名在AD中必须惟一。域用户账号的完全名称在创建该用户账号的域中必须惟一。本地用户账号在创建该账号的计算机上必须惟一。如果用户名称有重复,则应该在账号上区别出来。10:28:3220账号与密码约定2.密码约定通常使用密码有如下原则:①尽量避免带有明显意义的字符或数字的组合,最好采用大小写和数字的无意义混合。在不同安全要求下,规定最小的密码长度。通常密码越长越不易被猜到(最长可以达到128位)。②对于不同级别的安全要求,确定用户的账号密码是由管理员控制还是由账号的拥有者控制。③定期更改密码,尽量使用不同的密码.有关密码的策略可以由系统管理员在密码策略管理工具中加以规定,以保护系统的安全性。Web站点的安全•Web站点安全概述•浏览器和Web站点通信包括4个步骤:(1)连接:Web浏览器与Web服务器建立连接,打开一个称为socket(套接字)的虚拟文件,此文件的建立标志着连接建立成功。(2)请求:Web浏览器通过socket向Web服务器提交请求。(3)应答:Web浏览器提交请求后,通过HTTP协议传送给Web服务器,Web服务器接到后进行事务处理,处理结果又通过HTTP协议回传给Web浏览器,从而在Web浏览器上显示出所请求的页面。(4)关闭连接:当应答结束后,Web浏览器与Web服务器必须断开,以保证其它Web浏览器能够与Web服务器建立连接。Web站点的安全•Web网站应该从全方位实施安全措施:(1)硬件安全是不容忽视的问题,所存在的环境不应该存在对硬件有损伤和威胁的因素,如温湿度的不适宜、过多的灰尘和电磁干扰、水火隐患的威胁等。(2)增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁;建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。(3)恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。(4)对服务器进行远程管理时,使用如SSL等安全协议,避免使用Telnet、FTP等程序,明文传输。(5)及时的升级病毒库和防火墙安全策略表。(6)做好系统审计功能的设置,定期对各种日志进行整理和分析。(7)制定相应的符合本部门情况的系统软硬件访问制度。Web站点的安全•Web站点的安全策略•1.系统安全策略的配置•1)限制匿名访问本机用户•选择“开始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”,在下拉菜单中选择“不允许枚举SAM帐号和共享”,单击“确定”完成设置。•2)限制远程用户对光驱或软驱的访问•选择“开始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”,在单选按钮中选择“已启用(E)”,单击“确定”完成设置。•3)限制远程用户对NetMeeting的共享•“开始”→“运行”→输入“gpedit.msc”→“计算机配置”→“管理模板”→“Windows组件”→“NetMeeting”→“禁用远程桌面共享”→右键后在单选按钮中选择“启用(E)”,单击“确定”完成。•4)限制用户执行Windows安装任务•此策略可防止在系统上安装软件,设置方法同3).Web站点的安全•2.IIS安全策略的应用•一般不使用默认的Web站点,避免外界对网站的攻击,具体做法如下:•1)停止默认的Web站点•选择“开始”→“控制面板”→“管理工具”→“Internet服务管理器”→“计算机名称”,选择“默认Web站点”并通过右键,在出现的窗口中选择“停止”完成设置。•2)删除不必要的虚拟目录•选择“开始”→“控制面板”→“管理工具”→“Internet服务管理器”→“计算机名称”→选择“默认Web站点”→选择scripts→在右键窗口中选择“删除”完成更改。•3)分类设置站点资源访问权限•对于Web中的虚拟目录和文件,右键单击“属性”选择适当的权限。•4)修改端口值•选择相应站点的属性,在“Web站点”选项卡中修改Web服务器默认端口值。Web服务默认端口值为80,给攻击者扫描端口和攻击网站带来便利,根据需要可以改变默认端口值,增强其站点的安全性。Web站点的安全•3.审核日志策略的配置•1)设置登录审核日志•“开始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”→双击“审核账户登录事件”,在复选框中选择“成功(S),失败(F)”。•2)设置HTTP审核日志•(1)设置日志的属性,具体方法如下:•“开始”→“控制面板”→“管理工具”→“Internet服务管理器”→“计算机名称”选择站点名称→右键→“属性”在Web选项卡中,选择“W3C扩充日志文件格式”的“属性”→对“常规属性”和“扩充的属性”进行设置。•(2)修改日志的存放位置•HTTP审核日志
本文标题:第8章 操作系统安全技术
链接地址:https://www.777doc.com/doc-4142789 .html