《操作系统与数据安全》由会员分享,可在线阅读,更多相关《操作系统与数据安全(98页珍藏版)》请在金锄头文库上搜索。
1、第八章 操作系统与数据安全,教学内容: 8.1、操作系统安全 8.2、基于Windows的操作系统的安全性 8.3、UNIX安全 8.4、数据库安全 8.5、数据安全 8.6、本章小结,学习目标: 1、了解安全操作系统的设计原则及操作系统安全性比 2、掌握访问控制的类型 3、理解Windows XP的操作系统的安全性 4、掌握Windows操作系统安全设置 5、掌握数据库安全及数据安全内容,8.1、操作系统安全,计算机操作系统是用户与计算机之间的接口。不同的使用者,对操作系统的理解是不一样的。 对于一个普通用户来说,一个操作系统就是能够运行自己应用软件的平台。对于一个软件开发人员来说,操作系统
2、是提供一系列的功能、接口等工具来编写和调试程序的裸机。 对系统管理员而言,操作系统则是一个资源管理者,包括对使用者的管理、CPU和存储器等计算机资源的管理、打印机绘图仪等外部设备的管理。,对于网络用户,操作系统应能够提供资源的共享、数据的传输,同时操作系统能够提供对资源的排他访问。 因此,操作系统是一个网络用户实现数据传输和安全保证的计算机环境。网络操作系统。 可以理解为网络用户与计算机网络之间的接口,是专门为网络用户提供操作接口的系统软件。,网络操作系统具有处理机管理、存储管理、设备管理、文件管理、作业管理以及网络管理等功能。处理机、存储、设备、文件、作业的管理只要是操作系统就应该提供这些服
3、务,只是管理的模式有些区别。 网络操作系统的网络管理功能是网络操作系统所特有的。它主要体现在以下几个方面: 1、支持不同的网络硬件环境。 2、支持多个服务器,实现服务器之间透明地进行管理信息地传递。,3、支持多个用户,具备多道程序的处理能力,在多用户环境下支持多用户对网络的使用。 4、桥接能力:在同一个网络操作系统下,同时支持具有多种不同硬件和低层通信协议的网络工作。 5、网络管理:支持系统备份、安全性管理、容错和性能控制。 6、安全性和接入性控制:通过对用户和资源的控制来保证网络的安全性。 7、用户接口:为用户提供与网络的交互接口,如菜单、命令等手段。,8.1.1 安全操作系统设计原则 一、
4、安全操作系统的设计要求 1、最小特权。 2、经济性。 3、开放系统设计保护机构应该是公开的,只取决于相对少得关键项的安全性。 4、公用机构少,减少共享所产生的错误。 5、有效性。 6、完全协调。 7、方便性。,二、操作系统实现的安全功能 1、用户身份识别 2、存储器保护。 3、通用目标分配和存取控制。 4、文件和I/O设备控制。 5、进程通信和同步。,三、安全操作系统的设计 1、隔离性设计 它是采用一定措施使系统某一部分的问题不影响其它的部分。隔离通过物理、时间、密码和逻辑等方式来实现。 2、核心设计 3、安全操作系统的设计环节 它包括用户接口、用户身份认证、验证数据比较和验证数据修改。,8.
5、1.2 访问控制,操作系统的安全访问控制方法主要体现在: 1、隔离控制 2、访问控制:它是安全控制的核心。它既包括对设备的存取控制,也包括对文件、数据的存取控制。 存取控制必须解决两个基本问题: 1、访问控制策略 2、访问控制机构,访问控制策略是根据系统安全保密需求以及实际可能而提出的一系列安全控制方法和策略,如“最小特权”策略。最常用的是对用户进行授权,如只读或执行,或允许修改等。权限不同,用户所能访问的设备、文件或数据时不同的。 访问控制机构是系统具体实施访问控制策略的硬件、软件或固件。 身份认证通常采用用户登录技术,即 用户标识符(ID)口令(password) 访问控制方式有自主访问控
6、制、强制访问控制、有限访问控制和共享/独占型访问控制。,安全策略的实施原则:安全策略的制定实施也是围绕主体、客体和安全控制规则集三者之间的关系展开的。 (1) 最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权用主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其它除外。,(2) 最小泄漏原则:最小泄漏原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。 (3) 多级安全策略:多级安全策略是指主体和客体间的
7、数据流向和权限控制按照安全级别的绝密(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U)五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。,一、授权 系统授权的含义是规定系统可以给哪些主体访问客体的特权。 主体指的是人、进程或设备,它可以使信息 在客体间流动。 客体是一种信息实体,不受所依存的系统的 限制。 按照授权,一般可将用户分成四种: (1)超级用户 (2)系统用户 (3)普通用户 (4)低级用户,二、自主访问控制 自主访问控制(DAC ,Discretionary Access Control)基于对主体或主体所属的
8、主体组的识别来限制对客体的访问。自主是指主体能够自主地(也可能是间接的)将访问权或访问权的某个子集授予其它主体。 自主访问控制又称为任意访问控制。LINUX,UNIX、WindowsNT或是SERVER版本的操作系统都提供自主访问控制的功能。 任意访问控制对用户提供的这种灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中;由于用户可以任意传递权限,那么,没有访问文件File1权限的用户A就能够从有访问权限的用户B那里得到访问权限或是直接获得文件File1;因此,DAC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。,自主访问控制模型的特点是授权的实施主体(1、可以授权的
9、主体;2、管理授权的客体;3、授权组)自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。 为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在系统中。访问控制矩阵中的每行表示一个主体,每列则表示一个受保护的客体。矩阵中的元素表示主体可对客体的访问模式。目前在操作系统中实现的自主访问控制都不是将矩阵整个保存起来,因为那样做效率很低。实际的方法是基于矩阵的行或列来表达访问控制信息。下面介绍基于行的方法。 (一 )、基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的
10、客体的明细表。根据表中信息的不同又可分为3种形式。,1、权力表(capabilities list) 权力就是一把开启客体的钥匙,它决定是否可对客体进行访问以及可进行何种模式的访问(读,写,运行)。一个拥有一定权力的主体可以依一定模式访问客体。权力可以由主体转移给其它进程,有时还可以在一定范围内增减,这取决于它所具有的访问特征。由于权力的转移不受任何策略的限制,并且权力还可以存储在数据文件中,因此,对某个文件的访问权还可能用来访问其它客体。一般来讲,对于一个特定的客体,我们不能确定所有有权访问它的主体,所以,利用权力表不能实现完备的自主访问控制。 2、前缀表 前缀表包括受保护客体名以及主体对它
11、的访问权。当主体欲访问某客体时,自主访问控制将检查主体的前缀是否具有它所请求的访问权。,3、口令(password) 每个客体都相应地有一个口令。主体在对客体进行访问前,必须向操作系统提供该客体的口令。如果对每个客体,每个主体都拥有它自己独具的口令,那么这个口令仿佛就是对这个客体的票证,类似于权力表系统。不同之处在于,口令不像权力那样是动态的。大多数利用口令机制实现自主访问控制的系统仅允许对每个客体分配一个口令或者对每个客体的每种访问模式分配一个口令。注意,这个口令与用户识别用的注册口令没有任何关系,不要将两者混淆。如欲使一个用户具有访问某个客体的特权,那只需告之该客体的口令。有些系统中,只有
12、系统管理员才有权分配口令,而有些系统则允许客体的拥有者任意的改变客体口令。一般来讲,一个客体至少要有2个口令,一个用于控制读,一个用于控制写。 在确证用户身份时,口令机制是一种比较有效的方法,但对于客体访问控制,口令机制是比较脆弱的。,(二)、基于列的自主访问控制 所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。基于列的访问控制可以有两种方式: 1、保护位 保护位方式不能完备地表达访问控制矩阵。 UNIX系统采用了此方法。保护位对所有的主 体、主体组(用户、用户组)以及该客体(文件)的拥有者,规定了一个访问模式的集 合。 用户组是具有相似特点的用户集合。生成客体的主体称为该客体的
13、拥有者。它对客体的 所有权仅能通过超级用户特权来改变。拥有者(超级用户除外)是唯一能够改变客体保 护位的主体。一个用户可能不只属于一个用户组,但是在某个时刻,一个用户只能属于 一个活动的用户组。用户组及拥有者名都体现在保护位中。,2、访问控制表 访问控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。 它是利用在客 体上附加一个主体明细表的方法来表示访问控制矩阵的。表中的每一项包括主体的身份 以及对该客体的访问权。 例如,对某文件的存取控制表,可以存放在该文件的文件说明中,通常包含有对此文件的用户的身份,文件主或是用户组,以及文件主或用户组成员 对此文件的访问权限。如果采用用户组或通配
14、符的概念,这一存取控制信息表不会很长 。 目前,存取控制表方式是自主访问控制实现中,比较好的一种方法。,三、强制访问控制 前面介绍的自主访问控制技术有一个最主要的缺点,就是不能有效地抵抗计算机病毒的攻击。在自主访问控制技术中,某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息,而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作;另外,也没有什么一般的方法能够防止计算机病毒将信息通过共享客体(文件、主存等)从一个进程传送给另一个进程。为此,人们认识到必须采取更强有力的访问控制手段,这就是强制访问控制。 Mandatory Access Control(强制访问控
15、制(MAC))强制访问控制是指系统依照对象或用户的分级机制对资源访问所进行的控制。,在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。,应注意到,对于一个计算机网络来讲,某个没有编程能力的系统可能会收到另一个具有编程能力的系统发出的含有计算机病毒的程序。事实上,要确信系统内没有计算机病毒是非常困难的,但通过对所有可进入系统的路径进行
16、详尽的分析,并采取一定的措施,就可以增加计算机病毒攻击的难度,在有些情况下,还可以关闭部分路径。,四、其他访问控制方式 有限访问控制对用户和资源进一步区分,只有授权用户才能访问指定的资源。 共享/独占型访问控制把资源分成“共享”和 “独占” 两种。 “共享”可以使资源为所有用户使用。 “独占” 只能被资源所有者使用。,8.1.3 操作系统安全性比较,一、Windows 98 Windows 98是一款较老的系统,它也是Microsoft最著名的操作系统。以其对硬件强大的管理性和软件兼容性成为单机用户的首选操作系统。因为Windows 98在安装的时候支持非常规的“克隆”形式,也是局域网内客户机
17、、办公用机和学生用机的常用系统。由于其自身能够支持的网络服务较少而相对安全。缺点是:稳定性不强,极易出现蓝屏死机。 二、 Windows Me 相当于Windows 98系统的升级版,稳定性稍强于Windows 98。,三、Windows 2000 Windows 2000是一款把“专用的服务器Windows NT系统”同“个人操作系统”结合的系统。适用于服务器、客户机。优点是:稳定性强,一般不会出现“蓝屏”死机;Server版提供强大的网络功能,可以在上面实现大部分的网络服务;对应用软件的兼容性强于Windows NT。缺点是:漏洞太多,安全性不高,因提供较多的网络服务,成为黑客攻击的对象。,
