操作系统安全性概述PPT(共-64张)

第4章操作系统的安全4.1操作系统安全性概述4.2WindowsNT/2000的安全4.3UNIX/Linux的安全4.1操作系统安全性概述4.1.1操作系统安全的重要性当前，对操作系统安全构成威胁的问题主要有以下4种。（1）计算机病毒（2）特洛伊木马（3）隐蔽通道隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄漏路径。它是允许进程以危害系统安全策略的方式传输信息的通信信道。（4）天窗天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。天窗由专门的命令激活，一般不容易发现。4.1.2操作系统的安全服务1．用户管理的安全性首先是用户账号的管理。通常对用户账号进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。其次是用户口令的加密机制。最后是认证机制。身份认证机制必须是强有力的，即在用户登录时，与系统的交互过程必须有安全保护，不会被第三方干扰或截取。账号/密码的认证方案普遍存在着安全的隐患和不足之处，具体有如下几种。（1）认证过程的安全保护不够健壮，登录的步骤没有进行集成和封装，而是暴露在外，容易受到恶意入侵者或系统内部特洛伊木马的干扰或者截取。（2）密码的存放与访问没有严格的安全保护。（3）认证机制与访问控制机制不能很好地相互配合和衔接，使得通过认证的合法用户进行有意或无意的非法操作的机会大大增加。2．访问控制访问控制系统一般包括以下几个实体。主体（Subject）客体（Object）安全访问政策访问控制常用的实现方法主要有以下几种。（1）访问控制矩阵（AccessMatrix）表4.1是一个访问控制矩阵的例子，这个例子将在后面多次用到。表4.1访问控制矩阵File1File2File3JohnOwnRWRAliceROwnRWWBobRWR访问控制矩阵中存在着不少空项，为了减少系统开销与浪费，从主体（行）出发，形成一个链表，以表示某一行的信息，这就是访问能力表，如图4.1所示。（2）访问能力表（AccessCapabilityList）图4.1访问能力表图4.2访问控制表（3）访问控制表（AccessControlList）访问控制表ACL是目前采用最多的一种方式，如图4.2所示。（4）授权关系表（AuthorizationRelationsList）用每一行（或称每一个元组）表示主体和客体的一个权限关系，如表4.2所示。主体访问权限客体JohnOwnFile1JohnRFile1JohnWFile1JohnRFile3AliceRFile1AliceOwnFile2AliceRFile2AliceWFile2AliceWFile3BobRFile1BobWFile1BobWFile2表4.2授权关系表在访问控制策略方面，计算机系统常采用以下两种策略。（1）自主访问控制（DiscretionaryAccessControl，DAC）自主访问控制是一种最为普遍的访问控制手段，它是在确认主体身份以及它们所属组的基础上对访问进行限定的一种方法，其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。（2）强制访问控制（MandatoryAccessControl，MAC）强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策，这种政策是强制性规定的，用户或用户的程序不能加以修改。4.1.3操作系统安全性的设计原则与一般结构（1）最小特权。（2）机制的经济性。（3）开放系统设计。（4）完备的存取控制机制。（5）基于“允许”的设计原则。（6）权限分离。（7）避免信息流的潜在通道。（8）方便使用。4.1.4安全操作系统的发展状况KSOS（KernelizedSecureOperatingSystem）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，系统的要求如下：①与贝尔实验室的UNIX操作系统兼容；②实现多级安全性和完整性；③正确性可以被证明。OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现如下：系统标识；口令管理；强制存取控制和自主存取控制；审计。UNIXSVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现如下：更全面的存取控制；更小的特权管理；可信通路；隐蔽通道分析和处理。1993年，国防科技大学对基于TCSEC标准和UNIXSystemV3.2版的安全操作系统SUNIX的研究与开发进行了探讨，提出了一个面向最小特权原则的改进的BLP模型和一个病毒防御模型。以Linux为代表的自由软件在中国的广泛流行对中国安全操作系统的研究与开发具有积极的推动作用。1999年，中国科学院软件研究所推出了红旗Linux中文操作系统发行版本，同时，开展了基于Linux的安全操作系统的研究与开发工作。2000年，我国的安全操作系统研究人员相继推出了一批基于Linux的安全操作系统。中国科学院计算技术研究所研究开发了LIDS安全操作系统；南京大学开发了基于Linux的安全操作系统SoftOS；中国科学院信息安全技术工程研究中心开发了基于Linux的SecLinux安全操作系统；中国计算机软件与服务总公司以TCSEC标准的B1安全等级为目标对Linux进行了改造，开发了COSIXLinuxV2.0的安全增强版本。4.2WindowsNT/2000的安全4.2.1WindowsNT/2000的安全模型WindowsNT/2000具有模块化的设计结构。该操作系统由一组软件模块构成，称为执行程序服务，运行在内核模式下。在内核模式之上的是用户模式，用户模式由非特权的服务组成，称为保护子系统，它们的启动由用户来决定。WindowsNT/2000的安全性依赖于WindowsNT/2000的核心层，它们在每个层次提供一致的安全模型。WindowsNT/2000的安全模型由几个关键的安全子系统构成，这些安全子系统控制着整个WindowsNT/2000操作系统，是与操作系统密不可分的。WindowsNT/2000安全模型主要由登录过程、本地安全认证、安全账号管理器和安全参考监督器构成，如图4.4所示。图4.4WindowsNT/2000的安全模型1．登录进程（LogonProcess）2．本地安全认证（LocalSecurityAuthority，LSA）3．安全账号管理器（SecurityAccountManager，SAM）安全账号管理器维护安全账号管理数据库，即SAM数据库。4．安全参考监视器（SecurityReferenceMonitor，SRM）安全参考监视器运行在内核模式，它负责访问控制和审查策略。4.2.2WindowsNT/2000的登录控制1．登录过程WindowsNT/2000的登录控制过程比较繁琐，但每一步对建立一个安全环境和用户能够完成有用的工作都是必要的。用户本地登录与在域范围内登录到WindowsNT/2000计算机的步骤稍有不同，其登录步骤分别如下。图4.5本地登录过程（1）本地登录过程（如图4.5所示）①用户按Ctrl+Alt+Del键，引起硬件中断，被系统捕获，这样使操作系统激活WinLogon进程。②WinLogon进程通过调用标识与鉴别DLL，将登录窗口（账号名和口令登录提示符）展示在用户面前。③WinLogon进程发送账号名和加密口令到本地安全认证（LSA）。④如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。访问令牌也将得到用户的特权（LUID），然后该访问令牌传回WinLogon进程。⑤WinLogon进程传送访问令牌到Win32模块，同时发出一个请求，以便为用户建立登录进程。⑥登录进程建立用户环境，包括启动DesktopExplorer和显示背景等。（2）网络登录过程（如图4.6所示）图4.6网络登录WindowsNT/2000服务器的过程①用户将用户名和口令输入到网络客户机软件的登录窗口。②该客户机软件打开NetBIOS，连接到服务器的NetLogon服务上，该客户机软件对口令加密，发送登录证书到服务器的WinLogon进程。③服务器的WinLogon进程发送账号名和加密口令到本地安全认证。④如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。⑤WinLogon进程将访问令牌传送到WindowsNT/2000的Server服务，它将访问令牌与被客户机打开的NetBIOS连接联系起来。2．安全标识符（SID）安全标识符是标识一个注册用户的惟一名字，它可用来标识一个用户或一组用户。安全标识符是用于系统内部的，在存取令牌和访问控制表（ALC）内使用，它用一长串数字来表示。4.2.3WindowsNT/2000的访问控制1．WindowsNT/2000访问控制WindowsNT/2000的安全性达到了橘皮书C2级，实现了用户级自主访问控制，它的访问机制如图4.7所示。为了实现进程间的安全访问，WindowsNT/2000中的对象采用了安全性描述符（SecurityDescription）。安全性描述符主要由用户SID(Owner)、工作组SID(Group)、访问控制列表（DACL）和系统访问控制列表（SACL）组成，安全性描述符的构成如图4.8所示。图4.8安全性描述符的构成图4.7WindowsNT的客体访问示意图2．NTFS文件系统NTFS主要采用两种措施对文件系统进行安全性保护：一是对文件和目录的权限设置，二是对文件和目录进行加密。（1）文件和目录的权限NTFS文件系统上的每个文件和目录在创建时创建人就被指定为拥有者。拥有者控制着文件或目录权限设置，并能赋予其他用户的访问权限。NTFS为了保证文件和目录的安全性和可靠性，制定了以下的权限设置规则。①只有用户在被赋予权限或是属于拥有这种权限的组，才能对文件或目录进行访问。②“拒绝访问”权限优先级高于其他所有权限。③权限是积累的。④文件权限始终优先于目录权限。⑤当用户在相应权限的目录中创建新的文件和子目录时，创建的文件和子目录继承该目录的权限。⑥创建文件和目录的拥有者，总是可以随时更改对文件或目录的权限设置来控制其他用户对该文件或目录的访问。（2）文件内容的加密Windows2000增强了文件系统的安全性，采用了加密文件系统（EncryptedFileSystem，EFS）技术。加密文件系统提供的文件加密技术可以将加密的NTFS文件存储到磁盘上。4.2.4WindowsNT/2000的安全管理1．用户和用户组在WindowsNT/2000中，每个用户必须有一个账号。用户账号是系统安全的核心，系统网络中发生的一切活动都可以以此账号追溯到特定的授权用户。WindowsNT/2000还支持用户组，通过用户组为一组相关的用户同时设定权利和权限。2．域和委托在WindowsNT中，有两种类型的网络配置：工作组和域。工作组是单独的系统，在工作组中系统各自独立管理自己的用户账号和组账号以及它们的安全账号管理数据库，不与别的系统共享这些信息。工作组适用于小型网络环境。域模型是WindowsNT网络系统的核心，所有WindowsNT的相关内容都是围绕着域来组织，而且大部分WindowsNT的网络都基于域模型。域是一些服务器的集合，这些服务器被归为一组并共享同一个安全策略和用户账号数据库。域的集中化用户账号数据库和安全策略使得系统管理员可以用一个简单而有效的方法维护整个网络的安全。域由主域服务器、备份域服务器、服务器和工作站组成。域是由主域控制器或备份域控制器来控制的。每一个域中只能有一个主域控制器，而备份域控制器可以有一个或数个。WindowsNT的域