第七章-操作系统安全PPT学习课件.ppt

《第七章-操作系统安全PPT学习课件.ppt》由会员分享，可在线阅读，更多相关《第七章-操作系统安全PPT学习课件.ppt（221页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第7章操作系统的安全一、操作系统的安全标准及发展二、操作系统安全设计的要求三、常见系统的安全设计特性介绍四、Windows的安全设置策略五、作业一、安全操作系统的研究发展l操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用l没有操作系统提供的安全性，信息系统的安全性是没有基础的1.1标准的发展1.2应用的研究1.1（操作系统）国际安全评价标准的发展及其联系国际安全评价标准的发展及其联系国际安全评价标准的发展及其联系类别级别名名称称主要特征主要特征DD低低级保保护没没有安全保有安全保护CC1自主安全保自主安全保护自主存自主存储控制控制C2受控存受控存储控制控制单独独的可的可查性，安

2、全性，安全标识BB1标识的安全保的安全保护强制存取控制，安全强制存取控制，安全标识B2结构构化保化保护面向安全的体系面向安全的体系结构构，较好的抗渗透能力好的抗渗透能力B3安全安全区区域域存取存取监控、高抗渗透能力控、高抗渗透能力AA验证设计形式化的最高形式化的最高级描述和描述和验证安全级别列表各级的代表系统：各级的具体讲解：D级是最低的安全级别，拥有这个级别的操作系统是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。国际安全评价标准的发展及其联系C1是C类的一个安全

3、子级。这种级别的系统对硬件有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。国际安全评价标准的发展及其联系使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。国际安全评价标准的发展及其联系B B级中有三个级别，级中有三个级别，B1B1级即标志级即标志安全保

4、护（安全保护（Labeled Security Labeled Security ProtectionProtection），是支持多级安），是支持多级安全（例如：秘密和绝密）的第全（例如：秘密和绝密）的第一个级别，这个级别说明处于一个级别，这个级别说明处于强制性访问控制之下的对象，强制性访问控制之下的对象，系统不允许文件的拥有者改变系统不允许文件的拥有者改变其许可权限其许可权限国际安全评价标准的发展及其联系B2B2级，又叫结构保护级别级，又叫结构保护级别（Structured Structured ProtectionProtection），它要求计），它要求计算机系统中所有的对象都算机系统

5、中所有的对象都要加上标签，而且给设备要加上标签，而且给设备（磁盘、磁带和终端）分（磁盘、磁带和终端）分配单个或者多个安全级别配单个或者多个安全级别国际安全评价标准的发展及其联系B3B3级，又叫做安全域级别（级，又叫做安全域级别（Security DomainSecurity Domain），），使用安装硬件的方式来加强域的安全，例如，内使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上条可信任途径连接到系统上国际

6、安全评价标准的发展及其联系A级，又称验证设计级别（Verified Design），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统我国安全标准简介用户自主用户自主保护级保护级系统审计系统审计保护级保护级安全标记安全标记保护级保护级结构化保结构化保护级护级访问验证访问验证保护级保护级它的安全保护机制使用户具备自主安全保护的能它的安全保护机制使用户具备自主安

7、全保护的能力，保护用户的信息免受非法的读写破坏。力，保护用户的信息免受非法的读写破坏。我国安全标准简介用户自主用户自主保护级保护级系统审计系统审计保护级保护级安全标记安全标记保护级保护级结构化保结构化保护级护级访问验证访问验证保护级保护级除具备第一级所有的安全保护功能外，要求创建除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。己的行为的合法性负责。我国安全标准简介用户自主用户自主保护级保护级系统审计系统审计保护级保护级安全标记安全标记保护级保护级结构化保结构化保护级护级访问验证访问验证保护级保护

8、级除继承前一个级别的安全功能外，还要求以访问除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护现对访问对象的强制保护我国安全标准简介用户自主用户自主保护级保护级系统审计系统审计保护级保护级安全标记安全标记保护级保护级结构化保结构化保护级护级访问验证访问验证保护级保护级在继承前面安全级别安全功能的基础上，将安全保护机在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗

9、透能力访问者对访问对象的存取，从而加强系统的抗渗透能力我国安全标准简介用户自主用户自主保护级保护级系统审计系统审计保护级保护级安全标记安全标记保护级保护级结构化保结构化保护级护级访问验证访问验证保护级保护级这一个级别特别增设了访问验证功能，负责仲裁访问者这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动对访问对象的所有访问活动国外安全操作系统的发展l1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统，其目标是要向大的用户团体提供对计算机的并发访问，支持强大的计算能力和数据存储，并具有很高的安全性。贝尔实验室中后来参加UNI

10、X早期研究的许多人当时都参加了Multics的开发工作。由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想。事实上连他们自己也不清楚什么时候，开发到什么程度才算达到设计的目标。虽然Multics未能成功，但它在安全操作系统的研究方面迈出了重要的第一步，Multics为后来的安全操作系统研究积累了大量的经验。lAdept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50的安全控制的研究成果。安全Adept-50运行于IBM/360硬件平台，它以一个形式化的安全模型高水印模型（High-Water-MarkMo

11、del）为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。在该系统中可以为客体标上敏感级别（SensitivityLevel）属性。系统支持的基本安全条件是，对于读操作不允许信息的敏感级别高于用户的安全级别（Clearance）；在授权情况下，对于写操作允许信息从高敏感级别移向低敏感级别。l1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（AccessMatrix）的思想第一次对访问控制问题进行了抽象。l1972年，J.P.Anderson在一份研究报告中提出了访问监控器（ReferenceMo

12、nitor）、引用验证机制（ReferenceValidationMechanism）、安全内核（SecurityKernel）和安全建模等重要思想。lLINVS是1984年开发的基于UNIX的一个实验安全操作系统，系统的安全性可达到美国国防部橘皮书的B2级。它以4.1BSDUnix为原型，实现了身份鉴别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功能。lSecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统，它最初是在IBMPC/AT平台上实现的。SecureXenix对Xenix进行了大量的改造开发，并采用了一些形式化说明与验证技术

13、。它的目标是TCSEC的B2到A1级。l1987年，美国TrustedInformationSystems公司以Mach操作系统为基础开发了B3级的Tmach（TrustedMach）操作系统。除了进行用户标识和鉴别及命名客体的存取控制外，它将BLP模型加以改进，运用到对MACH核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制和对端口、存储对象、任务等的安全标识来加强微核心的安全机制。l1989年，加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。1.2安全操作系统的研究历程国外安全操作系统的发展lASOS（ArmySecureOperatingSystem）是针对

14、美军的战术需要而设计的军用安全操作系统，由TRW公司1990年发布完成。ASOS由两类系统组成，其中一类是多级安全操作系统，设计目标是TCSEC的A1级；另一类是专用安全操作系统，设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序，都能根据不同的战术应用需求进行配置，都可以很容易地在不同硬件平台间移植，两类系统还提供了一致的用户界面。lOSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现4个方面：系统标识；口令管理；强制存取控制和自主存取控制；审计。lUNIXSVR4.1ES是

15、UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现在4个方面：更全面的存取控制；最小特权管理；可信通路；隐蔽通道分析和处理。l在1992到1993年之间，美国国家安全局（NSA）和安全计算公司（SCC）的研究人员在TMach项目和LOCK项目的基础上，共同设计和实现了分布式可信Mach系统（DistributedTrustedMach，DTMach）。DTMach项目的后继项目是分布式可信操作系统（DistributedTrustedOperatingSystem，DTOS）。DTOS项目

16、改良了早期的设计和实现工作，产生了一些供大学研究的原型系统，例如SecureTransactionalResources、DX等。l2001年，Flask由NSA在Linux操作系统上实现，并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux（SELinux）包括代码和所有文档。l与传统的基于TCSEC标准的开发方法不同，1997年美国国家安全局和安全计算公司完成的DTOS安全操作系统采用了基于安全威胁的开发方法。设计目标包括3个方面：（1）策略灵活性：DTOS内核应该能够支持一系列的安全策略，包括诸如国防部的强制存取控制多级安全策略；（2）与Mach兼容，现有的Mach应用应能

17、在不做任何改变的情况下运行；（3）性能应与Mach接近。国内安全操作系统的发展l1990年前后，海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面的探讨，他们都是参照美国TCSEC标准的B2级安全要求，基于UNIXSystemV3.2进行安全操作系统的研究与开发。l1993年，海军计算技术研究所继续按照美国TCSEC标准的B2级安全要求，围绕UnixSVR4.2/SE，实现了国产自主的安全增强包。l1995年，在国家“八五”科技攻关项目“COSA国产系统软件平台”中，围绕UNIX类国产操作系统COSIXV2.0的安全子系统的设计与实现，中国计算机软件与技术服务总公司、海军计算

18、技术研究所和中国科学院软件研究所一起参与了研究工作。COSIXV2.0安全子系统的设计目标是介于美国TCSEC的B1和B2级安全要求之间，当时定义为B1，主要实现的安全功能包括安全登录、自主访问控制、强制访问控制、特权管理、安全审计和可信通路等。l1996年，由中国国防科学技术工业委员会发布了军用计算机安全评估准则GJB264696（一般简称为军标），它与美国TCSEC基本一致。l1998年，电子工业部十五所基于UnixWareV2.1按照美国TCSEC标准的B1级安全要求，对Unix操作系统的内核进行了安全性增强。l1999年10月19日，我国国家技术监督局发布了国家标准GB17859199

19、9计算机信息系统安全保护等级划分准则，为计算机信息系统安全保护能力划分了等级。该标准已于2001年起强制执行。Linux自由软件的广泛流行对我国安全操作系统的研究与开发具有积极的推进作用。2001年前后，我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。l中国科学院信息安全技术工程研究中心基于Linux资源，开发完成了符合我国GB178591999第三级（相当于美国TCSECB1）安全要求的安全操作系统SecLinux。SecLinux系统提供了身份标识与鉴别、自主访问控制、强制访问控制、最小特权管理、安全审计、可信通路、密码服务、网络安全服务等方面的安全功能。l依托

20、南京大学的江苏南大苏富特软件股份有限公司开发完成了基于Linux的安全操作系统SoftOS，实现的安全功能包括：强制访问控制、审计、禁止客体重用、入侵检测等。l信息产业部30所控股的三零盛安公司推出的强林Linux安全操作系统，达到了我国GB178591999第三级的安全要求。l中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统，实现了符合我国GB178591999第三级要求的安全功能。中国计算机软件与技术服务总公司以美国TCSEC标准的B1级为安全目标，对其COSIXV2.0进行了安全性增强改造。l此外，国防科技大学、总参56所等其他单位也开展了安全操作系统的研究与开发工作。2

21、001年3月8日，我国国家技术监督局发布了国家标准GB/T183362001信息技术安全技术信息技术安全性评估准则，它基本上等同采用了国际通用安全评价准则CC。该标准已于2001年12月1日起推荐执行，这将对我国安全操作系统研究与开发产生进一步的影响。二、操作系统安全的基本要求与机制l什么是操作系统？l操作系统的基本功能有哪些？l从安全的角度上看，操作系统应当提供哪些安全服务？l操作系统安全的主要目标主要目标按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用包括窃取、篡改和破坏标识系统中的用户，并对身份进行鉴别监督系统运行的安全性保证系统自身的安全性和完整性内存保护文件保护

22、普通实体保护存取鉴别等操作系统的安全机制安全机制：是一种技术、一些软件或实施一个或更多安全服务的过程标识标识与鉴别机制与鉴别机制信任的功能性事件检测审计跟踪安全恢复l2.1标识与鉴别机制l2.2访问控制l2.2最小特权管理l2.3可信通路l2.4安全审计机制l2.5存储保护、运行保护和I/O保护2.1标识与鉴别机制（身份认证）l标识标识：用户要向系统表明的身份用户名、登录ID、身份证号或智能卡应当具有唯一性不能被伪造l鉴别鉴别，对用户所宣称的身份标识的有效性进行校验和测试的过程用户声明自己身份的4种方法1.证实自己所知道的证实自己所知道的例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等2

23、.出示自己所拥有的出示自己所拥有的例如智能卡3.证明自己是谁证明自己是谁例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等4.表现自己的动作表现自己的动作例如签名、键入密码的速度与力量、语速等等2.2访问控制l访问控制用来提供授权l用户在通过身份鉴别后，还需要通过授权，才能访问资源或进行操作l使用访问控制机制的目的目的保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会，从而延缓这种感染的传播保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯l访问控制机制的实行确定要保护的资源授权确定访问权限实施访问权限系统内主体对客体的访问控制机制l自主访问控制l强

24、制访问控制l基于角色的访问控制在文件和目录中常用的几种访问模式l对文件设置的访问模式读拷贝（Readcopy）与单纯的读？写删除（Writedelete）不同的系统可能有不同的写模式，或复杂的组合（更细致）写附加、删除、写修改等执行（Execute）通常需要同时具备读权限无效（Null）：对客体不具备任何访问权限考虑目录l对目录及和目录相对应的文件的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制（最好）l对目录的访问模式读写扩展（writeexpand）更细的：读状态、修改、附加2.3最小特权管理l超级用户VS.普通用户主流多用户操作系统中，超级用户

25、一般具有所有特权，而普通用户不具有任何特权l威胁：超级用户口令丢失；被冒充；误操作l解决方法：实行最小特权管理原则l参考：http:/ 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240l修改TTL的值，入侵者就难以判断了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：lSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSl新建一个双字节项，如图7-24所示。l在键的名称中输入“defaultTTL”，然后双击改键名

26、，选择单选框“十进制”，在文本框中输入111，如图7-25所示。l设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。12抵抗DDOSl添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表7-7所示。增加的键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:

27、00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRedirects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfOpenRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP协议EnableDea

28、dGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001支持路由功能13禁止Guest访问日志l在默认安装的WindowsNT和Windows2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。l禁止Guest访问应用日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。l系统

29、日志：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。l安全日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。五、作业五、作业1、使用MSBA检测自身系统漏洞，形成检测报告，并在实验报告针对检测报告中的自身系统问题逐条解释。2、使用360安全士兵检测自身系统，形成报告，形成检测报告，并在实验报告针对检测报告中的自身系统问题逐条解释。3、使用easycoverary或finaldata测试数据恢复的一个实例，并形成实验报告。