网络安全第6章.ppt

《网络安全第6章.ppt》由会员分享，可在线阅读，更多相关《网络安全第6章.ppt（80页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第6 6章章 操作系统与数据库安全操作系统与数据库安全第第6章章 操作系统与数据库安全操作系统与数据库安全 6.1 网络操作系统安全技术网络操作系统安全技术6.2 Windows系统安全技术系统安全技术 6.3 UNIX/Linux系统安全技术系统安全技术6.4 数据库安全数据库安全6.5 Oracle数据库安全技术数据库安全技术第第6 6章章 操作系统与数据库安全操作系统与数据库安全6.1.1 操作系统安全的概念及准则1安全功能和安全保障安全功能和安全保障安全功能和安全保障是操作系统安全涉及到的两个重安全功能和安全保障是操作系统安全涉及到的两个重要因素。在把符合某个安全评价体系准则所规定的

2、特定要因素。在把符合某个安全评价体系准则所规定的特定安全等级作为开发目标的系统中，安全功能主要说明操安全等级作为开发目标的系统中，安全功能主要说明操作系统所实现的安全策略和安全机制符合评价准则中哪作系统所实现的安全策略和安全机制符合评价准则中哪一级的功能要求，而安全保障则是通过一定的方法保证一级的功能要求，而安全保障则是通过一定的方法保证操作系统所提供的安全功能确实达到了确定的功能要求。操作系统所提供的安全功能确实达到了确定的功能要求。因此任何一个安全操作系统都要从安全功能和安全保障因此任何一个安全操作系统都要从安全功能和安全保障两方面考虑其安全性。两方面考虑其安全性。6.1 网络操作系统安全

3、技术第第6 6章章 操作系统与数据库安全操作系统与数据库安全2可信软件与不可信软件可信软件与不可信软件就一般而言，软件被分为就一般而言，软件被分为3种可信类别。种可信类别。（1）可信的。软件保证能安全运行，但是系统的安全）可信的。软件保证能安全运行，但是系统的安全仍依赖于对软件的无错操作。仍依赖于对软件的无错操作。（2）良性的。软件并不确保安全运行，但由于使用了）良性的。软件并不确保安全运行，但由于使用了特权或对敏感信息的存取权，因而必须确信它不会有意特权或对敏感信息的存取权，因而必须确信它不会有意的违反规则。良性软件的错误被视为偶然性的，而且这的违反规则。良性软件的错误被视为偶然性的，而且这

4、类错误不会影响系统的安全。类错误不会影响系统的安全。（3）恶意的。软件来源不明，从安全的角度出发，该）恶意的。软件来源不明，从安全的角度出发，该软件被认为将对系统进行破坏。软件被认为将对系统进行破坏。第第6 6章章 操作系统与数据库安全操作系统与数据库安全3主体与客体主体与客体主体是一个主动的实体，包括用户、用户组、进程等。主体是一个主动的实体，包括用户、用户组、进程等。系统中最基本的主体是用户，包括一般用户和系统管理系统中最基本的主体是用户，包括一般用户和系统管理员、系统安全员等特殊用户。每个进入系统的用户必须员、系统安全员等特殊用户。每个进入系统的用户必须是惟一标识的，并经过鉴别确定为真实

5、的。是惟一标识的，并经过鉴别确定为真实的。客体是一个被动的实体。在操作系统中，客体可以是客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息，通常按照一定格式存储在一定记录介质上的数据信息，通常以文件系统格式存储数据，也可以是操作系统中的进程。以文件系统格式存储数据，也可以是操作系统中的进程。第第6 6章章 操作系统与数据库安全操作系统与数据库安全4安全策略和安全模型安全策略和安全模型安全策略是指有关管理、保护和发布敏感信息的法律、安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。例如，可以将安全策略定义为：系统规定和实施细则。例如，可以将安全

6、策略定义为：系统中的用户和信息被划分为不同的层次，一些级别比另一中的用户和信息被划分为不同的层次，一些级别比另一些级别高；当且仅当主体的级别高于或等于客体的级别，些级别高；当且仅当主体的级别高于或等于客体的级别，主体才能读访问客体；当且仅当主体的级别低于或等于主体才能读访问客体；当且仅当主体的级别低于或等于客体的级别，主体才能写访问客体。客体的级别，主体才能写访问客体。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 安全模型则是对安全策略所表达的安全需求的简单、安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略及其实现机制的关抽象和无歧义的描述，它为安全策

7、略及其实现机制的关联提供了一种框架。安全模型描述了对某个安全策略需联提供了一种框架。安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。需的安全保护。第第6 6章章 操作系统与数据库安全操作系统与数据库安全5安全内核安全内核 安全内核是指系统中与安全性实现有关的部分，包安全内核是指系统中与安全性实现有关的部分，包括引用验证机制、访问控制机制、授权机制和授权管理括引用验证机制、访问控制机制、授权机制和授权管理机制等

8、部分。安全内核方法是一种最常用的建立安全操机制等部分。安全内核方法是一种最常用的建立安全操作系统的方法，可以避免通常设计中固有的安全问题。作系统的方法，可以避免通常设计中固有的安全问题。安全内核方法以指导设计和开发的一系列严格的原则为安全内核方法以指导设计和开发的一系列严格的原则为基础，能够极大地提高用户对系统安全控制的信任度。基础，能够极大地提高用户对系统安全控制的信任度。安全内核的理论依据是：在一个大型操作系统中，安全内核的理论依据是：在一个大型操作系统中，只有其中的一小部分用于安全目的。所以在重新生成操只有其中的一小部分用于安全目的。所以在重新生成操作系统过程中，可用其中安全相关的软件来

9、构成操作系作系统过程中，可用其中安全相关的软件来构成操作系统的一个可信内核，称为安全内核。安全内核必须给以统的一个可信内核，称为安全内核。安全内核必须给以适当的保护，不能篡改。同时，绝不能有任何绕过安全适当的保护，不能篡改。同时，绝不能有任何绕过安全内核存取控制检查的存取行为存在。内核存取控制检查的存取行为存在。第第6 6章章 操作系统与数据库安全操作系统与数据库安全图图6-1 一般的计算机系统结构一般的计算机系统结构 第第6 6章章 操作系统与数据库安全操作系统与数据库安全图图6-2 操作系统的安全内核操作系统的安全内核第第6 6章章 操作系统与数据库安全操作系统与数据库安全 安全内核的设计

10、和实现应当符合完整性、隔离性、可安全内核的设计和实现应当符合完整性、隔离性、可验证性验证性3条基本原则。条基本原则。（1）完整性原则）完整性原则 完整性原则要求主体引用客体时必须通过安全内核，完整性原则要求主体引用客体时必须通过安全内核，即所有信息的访问都必须经过安全内核。但是操作系统即所有信息的访问都必须经过安全内核。但是操作系统的实现与完整性原则的明确要求之间通常有很大差别：的实现与完整性原则的明确要求之间通常有很大差别：操作系统认为系统的信息存在于明显的地方，比如文件、操作系统认为系统的信息存在于明显的地方，比如文件、内存和输入输出缓冲区，并且操作系统有理由控制对这内存和输入输出缓冲区，

11、并且操作系统有理由控制对这些客体的访问。完整性原则并不满足于对客体的特别定些客体的访问。完整性原则并不满足于对客体的特别定义，它认为任何信息存在之处，不管它们大小怎样，用义，它认为任何信息存在之处，不管它们大小怎样，用途如何，都是一个潜在的客体。途如何，都是一个潜在的客体。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （2）隔离性原则）隔离性原则 隔离性原则要求安全内核具有防篡改的能力，即可以隔离性原则要求安全内核具有防篡改的能力，即可以保护自己，防止偶然破坏。保护自己，防止偶然破坏。在实际实施隔离性原则时常需要软硬件相结合。硬件在实际实施隔离性原则时常需要软硬件相结合。硬件的基本

12、特性是使内核能防止用户程序访问内核代码和数的基本特性是使内核能防止用户程序访问内核代码和数据，这与内核防止一进程访问别的进程是同一种内存管据，这与内核防止一进程访问别的进程是同一种内存管理机制。同时，还必须防止用户程序执行内核用于控制理机制。同时，还必须防止用户程序执行内核用于控制内存管理机制的特权指令。这需要某种形式的域控制机内存管理机制的特权指令。这需要某种形式的域控制机制，比如保护环机制。制，比如保护环机制。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （3）可验证性原则）可验证性原则 可验证性原则是通过如下一些设计要素实现的：可验证性原则是通过如下一些设计要素实现的：利用最

13、新的软件工程技术，包括结构设计、模块利用最新的软件工程技术，包括结构设计、模块化、信息隐藏、分层、抽象说明以及合适的高级语言。化、信息隐藏、分层、抽象说明以及合适的高级语言。内核接口简单化。内核接口简单化。内核小型化。内核小型化。代码检查。代码检查。安全测试。安全测试。形式化数学描述与验证。形式化数学描述与验证。第第6 6章章 操作系统与数据库安全操作系统与数据库安全6可信计算基可信计算基 操作系统的安全依赖于一些具体实施安全策略的可信操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统

14、的可信计算基。具体来说可信计算人员一起组成了系统的可信计算基。具体来说可信计算基由以下几个部分组成：基由以下几个部分组成：（1）操作系统的安全内核。）操作系统的安全内核。（2）具有特权的程序和命令。）具有特权的程序和命令。（3）处理敏感信息的程序，如系统管理命令等。）处理敏感信息的程序，如系统管理命令等。（4）与）与TCB实施安全策略有关的文件。实施安全策略有关的文件。（5）其他有关的固件、硬件和设备。）其他有关的固件、硬件和设备。（6）负责系统管理的人员。）负责系统管理的人员。（7）保障固件和硬件正确的程序和诊断软件。）保障固件和硬件正确的程序和诊断软件。第第6 6章章 操作系统与数据库安全

15、操作系统与数据库安全 操作系统安全的主要目标是：依据系统安全策略对用操作系统安全的主要目标是：依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法户的操作进行存取控制，防止用户对计算机资源的非法存取，标识系统中的用户并进行身份鉴别，监督系统运存取，标识系统中的用户并进行身份鉴别，监督系统运行的安全性，保证系统自身的安全性和完整性。行的安全性，保证系统自身的安全性和完整性。为了实现这些目标，需要建立相应的安全防护，其一为了实现这些目标，需要建立相应的安全防护，其一般方法包括硬件安全机制、标识与鉴别、存取控制、最般方法包括硬件安全机制、标识与鉴别、存取控制、最小特权管理、可信通路、

16、安全审计等。小特权管理、可信通路、安全审计等。6.1.2 操作系统安全防护的一般方法第第6 6章章 操作系统与数据库安全操作系统与数据库安全1硬件安全机制硬件安全机制 （1）存储保护）存储保护 对于一个安全操作系统，存储保护是一个最基本的要对于一个安全操作系统，存储保护是一个最基本的要求，这主要是指保护用户在存储器中的数据。保护单元求，这主要是指保护用户在存储器中的数据。保护单元为存储器中的最小数据范围，可为字、字块、页面或段。为存储器中的最小数据范围，可为字、字块、页面或段。保护单元越小，则存储保护精度越高。对于代表单个用保护单元越小，则存储保护精度越高。对于代表单个用户，在内存中一次运行一

17、个进程的系统，存储保护机制户，在内存中一次运行一个进程的系统，存储保护机制应该防止用户程序对操作系统的影响。在允许多道程序应该防止用户程序对操作系统的影响。在允许多道程序并发运行的多任务操作系统中，还进一步要求存储保护并发运行的多任务操作系统中，还进一步要求存储保护机制对进程的存储区域实行互相隔离。机制对进程的存储区域实行互相隔离。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （2）运行保护）运行保护 安全操作系统很重要安全操作系统很重要的一点是进行分层设计，的一点是进行分层设计，而运行域正是这样一种而运行域正是这样一种基于保护环的等级式结基于保护环的等级式结构。运行域是进程运行构

18、。运行域是进程运行的区域，在最内层具有的区域，在最内层具有最小环号的环具有最高最小环号的环具有最高特权，而在最外层具有特权，而在最外层具有最大环号的环是最小的最大环号的环是最小的特权环。一般的系统不特权环。一般的系统不少于少于34个环。个环。图图6-3 多环结构示意多环结构示意第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （3）I/O保护保护 在一个操作系统的所有功能中，在一个操作系统的所有功能中，I/O一般被认为是最一般被认为是最复杂的，人们往往首先从系统的复杂的，人们往往首先从系统的I/O部分寻找操作系统部分寻找操作系统安全方面的缺陷。绝大多数情况下，安全方面的缺陷。绝大多数情

19、况下，I/O是仅由操作系是仅由操作系统完成的一个特权操作，所有操作系统都对读写文件操统完成的一个特权操作，所有操作系统都对读写文件操作提供一个相应的高层系统调用，在这些过程中，用户作提供一个相应的高层系统调用，在这些过程中，用户不需要控制不需要控制I/O操作的细节。操作的细节。第第6 6章章 操作系统与数据库安全操作系统与数据库安全2标识与鉴别标识与鉴别 标识与鉴别是涉及系统和用户的一个过程。标识就是标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，并为每个用户取一个系统可以系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称识别的内部名称用户标识符。用户标识符必须

20、是唯用户标识符。用户标识符必须是唯一的且不能被伪造，防止一个用户冒充另一个用户。将一的且不能被伪造，防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的能够证明他的身份的特殊信息，并且这个信息是秘密的或独一无二的，任何其他用户都不能拥有它。或独一无二的，任何其他用户都不能拥有它。第第6 6章章 操作系统与数据库安全操作系统与数据库安全3访问控制访问控制 在计算机系统中，安全机制的

21、主要内容是访问控制，在计算机系统中，安全机制的主要内容是访问控制，包括以下包括以下3个任务：个任务：（1）授权，即确定可给予哪些主体访问客体的权力。）授权，即确定可给予哪些主体访问客体的权力。（2）确定访问权限（读、写、执行、删除、追加等访）确定访问权限（读、写、执行、删除、追加等访问方式的结合）。问方式的结合）。（3）实施访问权限。）实施访问权限。这里，这里，“访问控制访问控制”仅适用于计算机系统内的主体和仅适用于计算机系统内的主体和客体，而不包括外界对系统的访问。控制外界对系统访客体，而不包括外界对系统的访问。控制外界对系统访问的技术是标识与鉴别。问的技术是标识与鉴别。第第6 6章章 操作

22、系统与数据库安全操作系统与数据库安全4最小特权管理最小特权管理 为使系统能够正常运行，系统中的某些进程需要具有为使系统能够正常运行，系统中的某些进程需要具有一些可违反系统安全策略的操作能力，这些进程一般是一些可违反系统安全策略的操作能力，这些进程一般是系统管理员系统管理员/操作员进程。一般定义一个特权就是定义操作员进程。一般定义一个特权就是定义一个可违反安全策略的操作能力。一个可违反安全策略的操作能力。最小特权管理的思想是系统不应给用户超过执行任务最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权，如将超级用户的特权划分为一组所需特权以外的特权，如将超级用户的特权划分为一组细粒度

23、的特权，分别授予不同的系统操作员细粒度的特权，分别授予不同的系统操作员/管理员，管理员，使他们只具有完成其任务所需的特权，从而减少由于特使他们只具有完成其任务所需的特权，从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。的损失。第第6 6章章 操作系统与数据库安全操作系统与数据库安全5可信通路可信通路 在计算机系统中，用户是通过不可信的中间应用层和在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但用户登录，定义用户的安全属操作系统相互作用的。但用户登录，定义用户的安全属性，改变文件的安全级等操作，用户必须确实

24、与安全核性，改变文件的安全级等操作，用户必须确实与安全核心通信，而不是与一个木马打交道。系统必须防止木马心通信，而不是与一个木马打交道。系统必须防止木马模仿登录过程，窃取用户的口令。特权用户在进行特权模仿登录过程，窃取用户的口令。特权用户在进行特权操作时，也要有办法证实从终端上输出的信息是正确的，操作时，也要有办法证实从终端上输出的信息是正确的，而不是来自于木马。这些都需要一个机制保证用户和内而不是来自于木马。这些都需要一个机制保证用户和内核的通信，这种机制就是由可信通路提供的。核的通信，这种机制就是由可信通路提供的。第第6 6章章 操作系统与数据库安全操作系统与数据库安全6安全审计安全审计

25、（1）审计的概念）审计的概念 一个系统的安全审计就是对系统中有关安全的活动进一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。法用户对计算机系统的入侵，并显示合法用户的误操作。审计作为一种事后追查的手段来保证系统的安全，它对审计作为一种事后追查的手段来保证系统的安全，它对涉及系统安全的操作做一个完整的记录。审计为系统进涉及系统安全的操作做一个完整的记录。审计为系统进行事故原因的查询、定位、事故发生前的预测、报警以行事故原因的查询、定位、事故发生前的预测、

26、报警以及事故发生之后的实时处理提供详细、可靠的依据和支及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。因此审计是操追查事件发生的地点和过程以及责任人。因此审计是操作系统安全的一个重要方面，安全操作系统也都要求用作系统安全的一个重要方面，安全操作系统也都要求用审计方法监视安全相关的活动。审计方法监视安全相关的活动。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （2）审计事件）审计事件 审计事件是系统审计用户操作的基本单位。系统将所审计事件是系统审计用户操

27、作的基本单位。系统将所有要求审计或可以审计的用户动作都归纳成一个个可区有要求审计或可以审计的用户动作都归纳成一个个可区分、可识别、可标志用户行为和可记录的审计单位，即分、可识别、可标志用户行为和可记录的审计单位，即审计事件。审计事件。比如创建一个名为比如创建一个名为file1的文件，这一动作是通过系统的文件，这一动作是通过系统调用调用create(“file1”,mode)或或open(“file1”,O_CREATE,mode)实现的，为了能反映用户的这一动作，系统可以实现的，为了能反映用户的这一动作，系统可以设置事件设置事件create，这个事件就在用户调用上述系统调用，这个事件就在用户调

28、用上述系统调用时由核心记录下来。时由核心记录下来。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （3）审计记录和审计日志）审计记录和审计日志 安全操作系统的审计记录一般应包括如下信息：事件安全操作系统的审计记录一般应包括如下信息：事件的日期和时间、代表正在进行事件的主体的唯一标识符、的日期和时间、代表正在进行事件的主体的唯一标识符、事件的类型、事件的成功与失败等。对于标识与鉴别事事件的类型、事件的成功与失败等。对于标识与鉴别事件，审计记录应该记录事件发生的源地点（如终端标识件，审计记录应该记录事件发生的源地点（如终端标识符）。对于将一个客体引入某个用户地址空间的事件以符）。对于将一

29、个客体引入某个用户地址空间的事件以及删除客体的事件，审计记录应该包括客体名以及客体及删除客体的事件，审计记录应该包括客体名以及客体的安全级。的安全级。审计日志是存放审计结果的二进制码结构文件。每次审计日志是存放审计结果的二进制码结构文件。每次审计进程开启后，都会按照已设定好的路径和命名规则审计进程开启后，都会按照已设定好的路径和命名规则产生一个新的日志文件。产生一个新的日志文件。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 在进行安全操作系统的设计和开发时，需要围绕着给在进行安全操作系统的设计和开发时，需要围绕着给定的安全策略进行。安全策略是对系统安全需求的形式定的安全策略进行。安

30、全策略是对系统安全需求的形式化或者非形式化描述，安全需求则是从有关管理、保护化或者非形式化描述，安全需求则是从有关管理、保护和发布敏感信息的法律、规定和实施细则中导出的。一和发布敏感信息的法律、规定和实施细则中导出的。一般来说，信息系统的安全需求主要包含机密性、完整性、般来说，信息系统的安全需求主要包含机密性、完整性、可追究性和可用性可追究性和可用性4个方面。所以基于系统安全策略的个方面。所以基于系统安全策略的定义和内涵可将系统安全策略分为两大类：访问控制策定义和内涵可将系统安全策略分为两大类：访问控制策略和访问支持策略。略和访问支持策略。6.1.3 操作系统的安全模型第第6 6章章 操作系统

31、与数据库安全操作系统与数据库安全1安全模型的作用和特点安全模型的作用和特点 能否成功地获得高安全级别的系统，取决于对安全控能否成功地获得高安全级别的系统，取决于对安全控制机制的设计和实施投入多少精力。但是，如果对系统制机制的设计和实施投入多少精力。但是，如果对系统的安全需求了解得不清楚，即使运用最好的软件技术，的安全需求了解得不清楚，即使运用最好的软件技术，投入最大的精力，也很难达到安全要求的目标。安全模投入最大的精力，也很难达到安全要求的目标。安全模型的目的就在于明确地表达这些需求，为设计开发安全型的目的就在于明确地表达这些需求，为设计开发安全系统提供方针。系统提供方针。安全模型有以下几个特

32、点：它是精确的、无歧义的。安全模型有以下几个特点：它是精确的、无歧义的。它是简易和抽象的，所以容易理解。它是一般性的，只它是简易和抽象的，所以容易理解。它是一般性的，只涉及安全性质，而不过度地牵扯系统的功能或实现。它涉及安全性质，而不过度地牵扯系统的功能或实现。它是安全策略的显示表示。是安全策略的显示表示。第第6 6章章 操作系统与数据库安全操作系统与数据库安全图图6-4 安全模型与安全操作系统开发过程安全模型与安全操作系统开发过程第第6 6章章 操作系统与数据库安全操作系统与数据库安全2形式化安全模型设计形式化安全模型设计 要开发安全系统首先必须建立系统的安全模型，完成要开发安全系统首先必须

33、建立系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计和实现。安全系统的建模之后，再进行安全内核的设计和实现。在高等级安全操作系统开发中，要求采用形式化安全模在高等级安全操作系统开发中，要求采用形式化安全模型来模拟安全系统，从而可以正确地综合系统的各类因型来模拟安全系统，从而可以正确地综合系统的各类因素，这些因素包括系统的使用方式、应用环境类型、授素，这些因素包括系统的使用方式、应用环境类型、授权的定义、共享的客体、共享的类型和受控共享思想等。权的定义、共享的客体、共享的类型和受控共享思想等。所有这些因素应构成安全系统的形式化抽象描述，使得所有这些因素应构成安全系统的形式化抽象描述，

34、使得系统可以被证明是完整的、反映真实环境的、逻辑上能系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序的受控执行的。够实现程序的受控执行的。第第6 6章章 操作系统与数据库安全操作系统与数据库安全3状态机模型原理状态机模型原理 在现有技术条件下，安全模型大都是以状态机模型作在现有技术条件下，安全模型大都是以状态机模型作为模拟系统状态的手段，通过对影响系统安全的各种变为模拟系统状态的手段，通过对影响系统安全的各种变量和规则的描述和限制，来达到确保系统安全状态不变量和规则的描述和限制，来达到确保系统安全状态不变量的维持（意味着系统安全状态保持）的目的。量的维持（意味着系统安全状态保持）的目

35、的。开发一个状态机模型需要采用如下特定的步骤。开发一个状态机模型需要采用如下特定的步骤。第第6 6章章 操作系统与数据库安全操作系统与数据库安全（1）定义安全相关的状态变量。）定义安全相关的状态变量。（2）定义安全状态的条件。）定义安全状态的条件。（3）定义状态转换函数。）定义状态转换函数。（4）检验函数是否维持了安全状态。）检验函数是否维持了安全状态。（5）定义初始状态。）定义初始状态。（6）依据安全状态的定义，证明初始状态安全。）依据安全状态的定义，证明初始状态安全。第第6 6章章 操作系统与数据库安全操作系统与数据库安全6.2.1 Windows XP系统安全 Windows XP的前身

36、是的前身是Windows NT操作系统，操作系统，Windows NT是是Microsoft公司于公司于1992年开发的一个完全年开发的一个完全32位的操作系统，支持进程、多线程、均衡处理、分布位的操作系统，支持进程、多线程、均衡处理、分布式计算，是一个支持并发的单用户系统。式计算，是一个支持并发的单用户系统。NT的结构是层的结构是层次结构和客户机次结构和客户机/服务器结构的混合体，只有与硬件直接服务器结构的混合体，只有与硬件直接相关的部分是由汇编实现的，相关的部分是由汇编实现的，NT主要是用主要是用C语言编写的。语言编写的。Windows NT的设计目标是的设计目标是TCSEC标准的标准的C

37、2级，在级，在TCSEC中，一个中，一个C2系统必须在用户级实现自主访问控制、系统必须在用户级实现自主访问控制、必须提供对客体的访问的审计机制，此外还必须实现客必须提供对客体的访问的审计机制，此外还必须实现客体重用。体重用。6.2 Windows系统安全技术第第6 6章章 操作系统与数据库安全操作系统与数据库安全1.Windows XP安全模型安全模型 Windows XP操作系统提供了一组可配置的安全性服操作系统提供了一组可配置的安全性服务。以下是该级别所规定的主要安全性服务及其需要的务。以下是该级别所规定的主要安全性服务及其需要的基本特征：基本特征：安全登录：要求在允许用户访问系统之前，输

38、入安全登录：要求在允许用户访问系统之前，输入唯一的登录标识符和密码来标识自己。唯一的登录标识符和密码来标识自己。自主访问控制：允许资源的所有者决定哪些用户自主访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。可以访问资源和他们可以如何处理这些资源。安全审计：提供检测和记录与安全性有关的任何安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的服务。创建、访问或删除系统资源的事件或尝试的服务。内存保护：防止非法进程访问其他进程的专用虚内存保护：防止非法进程访问其他进程的专用虚拟内存。拟内存。第第6 6章章 操作系统与数据库安全操作系统与数据库

39、安全 （1）Windows XP安全模型安全模型 Windows XP操作系统将其安全模型扩展到分布式环操作系统将其安全模型扩展到分布式环境中，此分布式安全服务能让组织识别网络用户并控制境中，此分布式安全服务能让组织识别网络用户并控制他们对资源的访问。操作系统的安全模型使用信任域控他们对资源的访问。操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访制器身份验证、服务之间的信任委派以及基于对象的访问控制。其核心功能包括了与问控制。其核心功能包括了与Active Directory服务的集服务的集成、支持成、支持Kerberos版本版本5身份验证协议（用于验证用户身份验

40、证协议（用于验证用户的身份）、验证外部用户的身份时使用公钥证书、保护的身份）、验证外部用户的身份时使用公钥证书、保护本地数据的加密文件系统，及使用本地数据的加密文件系统，及使用IPSec来支持公共网来支持公共网络上的安全通信。此外，开发人员可在自定义应用程序络上的安全通信。此外，开发人员可在自定义应用程序中使用安全性元素，且组织可以将中使用安全性元素，且组织可以将Windows XP安全设安全设置与其他使用基于置与其他使用基于Kerberos安全设置的操作系统集成在安全设置的操作系统集成在一起。一起。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （2）Windows的域和委托的域和

41、委托 域模型是域模型是Windows网络系统的核心，所有网络系统的核心，所有Windows的的相关内容都是围绕着域来组织的，而且大部分相关内容都是围绕着域来组织的，而且大部分Windows的网络都是基于域模型，同工作组相比，域模型在安全的网络都是基于域模型，同工作组相比，域模型在安全方面有非常突出的优越性。方面有非常突出的优越性。域是一些服务器的集合，这些服务器被归为一组并共域是一些服务器的集合，这些服务器被归为一组并共享同一个安全策略和用户账户数据库。域的集中化用户享同一个安全策略和用户账户数据库。域的集中化用户账号数据库和安全策略使得系统管理员可以用一个简单账号数据库和安全策略使得系统管理

42、员可以用一个简单而有效的方法来维护整个网络的安全。域由主域控制器、而有效的方法来维护整个网络的安全。域由主域控制器、备份域控制器、服务器和工作站组成。建立域可以把机备份域控制器、服务器和工作站组成。建立域可以把机构中不同的部门区分开来。构中不同的部门区分开来。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 委托是一种管理方法，它将两个域连接在一起并允许委托是一种管理方法，它将两个域连接在一起并允许域里的用户互相访问，委托关系使用户账号和工作组能域里的用户互相访问，委托关系使用户账号和工作组能够在建立它们的域之外的域中使用。委托分为两个部分，够在建立它们的域之外的域中使用。委托分为两个

43、部分，即受托域和委托域。受托域使用户账号可以被委托域使即受托域和委托域。受托域使用户账号可以被委托域使用。这样，用户只需要一个用户名和口令就可以访问多用。这样，用户只需要一个用户名和口令就可以访问多个域。个域。委托关系只能被定义为单向的。为了获得双向委托关委托关系只能被定义为单向的。为了获得双向委托关系，域与域之间必须相互委托。受托域就是账号所在的系，域与域之间必须相互委托。受托域就是账号所在的域，也称为账号域；委托域含有可用的资源，也称为资域，也称为账号域；委托域含有可用的资源，也称为资源域。在源域。在Windows XP中有三种委托关系：单一域模型、中有三种委托关系：单一域模型、主域模型和

44、多主域模型。主域模型和多主域模型。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 （3）Windows安全性组件安全性组件 实现实现Windows XP安全模型的安全子系统的一些组件安全模型的安全子系统的一些组件和数据库如下：和数据库如下：安全引用监视器（安全引用监视器（SRM）。）。本地安全认证（本地安全认证（LSA）服务器。）服务器。LSA策略数据库。策略数据库。安全账号管理器服务。安全账号管理器服务。SAM数据库。数据库。默认身份认证包。默认身份认证包。登录进程。登录进程。网络登录服务。网络登录服务。第第6 6章章 操作系统与数据库安全操作系统与数据库安全2Windows XP

45、系统登录过程系统登录过程 登录是通过登录进程（登录是通过登录进程（WinLogon）、）、LSA、一个或、一个或多个身份认证包和多个身份认证包和SAM的相互作用发生的。身份认证的相互作用发生的。身份认证包是执行身份验证检查的动态连接库，包是执行身份验证检查的动态连接库，msv1_0是一个是一个用于交互式登录的身份认证包。用于交互式登录的身份认证包。WinLogon是一个受托是一个受托进程，负责管理与安全性相关的用户相互作用。它协调进程，负责管理与安全性相关的用户相互作用。它协调登录，在登录时启动用户外壳，处理注销和管理各种与登录，在登录时启动用户外壳，处理注销和管理各种与安全性相关的其他操作，

46、包括登录时输入口令、更改口安全性相关的其他操作，包括登录时输入口令、更改口令以及锁定和解锁工作站。令以及锁定和解锁工作站。WinLogon进程必须确保与进程必须确保与安全性相关的操作对任何其他活动的进程是不可见的。安全性相关的操作对任何其他活动的进程是不可见的。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 系统初始化过程中，在激活任何用户应用程序之前，系统初始化过程中，在激活任何用户应用程序之前，WinLogon将进行一些特定的步骤以确保一旦系统为用户将进行一些特定的步骤以确保一旦系统为用户做好准备，它能够控制工作站：做好准备，它能够控制工作站：创建并打开一个窗口站以代表键盘、鼠标

47、和监视器。创建并打开一个窗口站以代表键盘、鼠标和监视器。创建并打开三个桌面：应用程序桌面、创建并打开三个桌面：应用程序桌面、WinLogon桌面和屏幕保护程序桌面。桌面和屏幕保护程序桌面。建立与建立与LSA的的LPC连接。连接。调用调用LsaLookupAuthenticationPackage来获得与来获得与msv1_0相关的相关的IP，它将在试图登录时用于身份验证操作。，它将在试图登录时用于身份验证操作。然后，然后，WinLogon执行特定的执行特定的Windows操作来设置窗口环操作来设置窗口环境。境。第第6 6章章 操作系统与数据库安全操作系统与数据库安全 用它随后创建的窗口初始化并注

48、册一个与用它随后创建的窗口初始化并注册一个与WinLogon程序相关的窗口等级的数据结构。程序相关的窗口等级的数据结构。用刚创建的窗口注册与之相关的安全注意序列用刚创建的窗口注册与之相关的安全注意序列（SAS）热键序列，保证在用户输入）热键序列，保证在用户输入SAS时，时，WinLogon的窗口程序能够被调用。的窗口程序能够被调用。注册该窗口以便在用户注销或屏幕保护程序时间到注册该窗口以便在用户注销或屏幕保护程序时间到时的时候能调用与该窗口相关的程序。时的时候能调用与该窗口相关的程序。Win32子系统检查子系统检查以验证请求通知的进程是以验证请求通知的进程是WinLogon进程。进程。第第6

49、6章章 操作系统与数据库安全操作系统与数据库安全3Windows XP资源访问资源访问 Windows XP的资源对象包括文件、设备、邮件槽、已的资源对象包括文件、设备、邮件槽、已命名的和未命名的管道、进程、线程、事件、互斥体、命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面、网信号量、可等待定时器、访问令牌、窗口站、桌面、网络共享、服务、注册表键和打印机。因为被导出到用户络共享、服务、注册表键和打印机。因为被导出到用户态的系统资源是作为对象来实现的，所以态的系统资源是作为对象来实现的，所以Windows XP对对象管理器就成为执行安全访问检查的关键

50、关口。要控制象管理器就成为执行安全访问检查的关键关口。要控制谁可以处理对象，安全系统就必须首先明确每个用户的谁可以处理对象，安全系统就必须首先明确每个用户的标识。之所以需要确认用户标识，是因为标识。之所以需要确认用户标识，是因为Windows XP在在访问任何系统资源之前都要进行身份验证登录。当一个访问任何系统资源之前都要进行身份验证登录。当一个线程打开某对象的句柄时，对象管理器和安全系统就会线程打开某对象的句柄时，对象管理器和安全系统就会使用调用者的安全标识来决定是否将申请的句柄授予调使用调用者的安全标识来决定是否将申请的句柄授予调用者。用者。第第6 6章章 操作系统与数据库安全操作系统与数