《安全性与保护机制》由会员分享,可在线阅读,更多相关《安全性与保护机制(25页珍藏版)》请在金锄头文库上搜索。
1、安全性与保护机制,本章内容提要, 安全性概述 常见的安全性攻击 一般性安全机制 保护机制,11.1 安全性概述,11.1.1 信息安全问题 信息安全涉及众多方面,主要包括: 计算机安全 网络安全 11.1.2 安全环境 “安全性(Security)”和“保护(Protection)” 1对安全的威胁 数据保密所关注的问题是为保密数据保守秘密。 数据完整性表示在未经主人许可的情况下,未授权用户不能修改任何数据。 系统可用性意味着任何人不能干扰系统的正常工作。,2对安全的攻击表 非法入侵包括两种类型:被动入侵者和主动入侵者。 入侵者通常分为以下4种类型: 非技术用户偶然探听 内部人员窥探 窃取钱财
2、 商业或军事间谍 另一类安全灾害是病毒(Virus) 病毒是一段程序,它可以复制自身,通常都具有破坏性。 3偶然数据丢失 造成数据丢失的原因有如下三类: 自然灾害 硬件或软件出错 人为故障,安全环境,11.2 常见的安全性攻击,11.2.1 常见的攻击点 信息残留 系统漏洞 骗取用户密码 系统调用非法 修改操作系统结构 冒险尝试 人为安全因素,11.2.2 网络威胁,对用户身份的仿冒 信息流监视 篡改网络上的信息 对发出的信息予以否认 授权威胁 活动天窗 拒绝服务 非法使用 信息泄露 物理入侵 完整性侵犯 特洛伊木马 对信息进行重发,11.2.3 计算机病毒,计算机系统面临的另一类严重挑战就是
3、计算机病毒 计算机病毒是一个程序片段,它能攻击合法的程序,使之受到感染。 计算机病毒可对计算机系统实施攻击,操作系统、编译系统、数据库管理系统和计算机网络等都会受到病毒的侵害。 1Internet莫里斯蠕虫 蠕虫包含引导程序和蠕虫本体两个程序。 2计算机病毒的特征 病毒程序是人为编制的软件,具有短小精悍的突出特点。 病毒可以隐藏在可执行程序或数据文件中。 可传播性,具有强再生机制。反映了病毒程序最本质的特征。 可潜伏性,具有依附于其他媒体寄生的能力。 病毒可在一定条件下被激活,从而对系统造成危害。,3计算机病毒的传播方式 如附在一般的游戏、广告或电子邮件的后面 4对付病毒的常用方法 购买、安装
4、正版软件。 不要随意打开未知用户发来的邮件。 安装杀毒软件,定期或不定期地运行杀毒工具,并及时升级杀毒软件的版本。 及时下载操作系统的补丁软件包。 系统重新安装之前,最好将整个硬盘重新格式化,包括重新格式化引导区。 为文件和目录设置最低权限。,11.3 一般性安全机制,11.3.1 安全措施 物理层 人员层 网络层 操作系统层,11.3.2 一般性安全机制,国际标准化组织ISO对开放系统互连(OSI)的安全体系结构制定了基本参考模型(ISO 7498-2)。 1身份鉴别 2访问控制 3数据加密 4数据完整性 5数字签名 6防重发 7审计机制,11.4 保护机制,11.4.1 保护域 计算机系统
5、是进程和对象的集合体。 能够执行的操作取决于对象。 进程只能访问被授权使用的资源,遵循“需者方知(need-to-know)”原则。,1域结构 域是对的集合,每个对标记一个对象和一个可执行操作的子集,允许执行的操作称做权限。 例如,域D定义为,那么在域D上执行的进程对文件F可读可写,除此之外,它不能对F执行任何其他操作。,有三个保护域的系统示例,进程和域之间的联系可以是静态联系或动态联系。 进程在运行的不同阶段对资源的使用方式不同。 域可以用以下多种方式实现: 每个用户可以是一个域。 每个进程可以是一个域。 每个过程可以是一个域。,域结构,利用由组成的对,建立一张包括所有对象(文件,包括表示I
6、/O设备的特别文件等)的完整的访问表,并列出这些对象是否可以读、写或执行。 3存取矩阵 把对象与域的对应关系抽象地想象为一个矩阵,矩阵的行表示域,列表示对象,每个方块列出其权限。,2UNIX保护域,存取矩阵示意图,把域作为对象的存取矩阵示意图,11.4.2 存取控制表,按列存储技术中,每个对象与一个有序表关联,其中列出可以访问该对象的所有域以及怎样访问。这张表称做存取控制表(Access Control List, ACL)。,使用存取控制表管理文件的存取示意图,11.4.3 权力,对存取矩阵按行分割是实施简化的另一种方法。采用这种方法时,对每个进程都赋予一张它能够访问的对象表,以及每个对象允
7、许进行的操作(域),该表称做权力表(Capability List),其中每一项称做权力。,进程及其权力表示例,常见的保护权力表的方法有以下三种: 为每个内存字设置一个额外(特征)位 在操作系统内部保存权力表。 在用户空间中保存权力表,但是管理权力采用加密形式,用户不能随意改动它们。 存取控制表和权力表方式各有长处和不足: 权力表的效率很高;对于存取控制表ACL,必须进行搜索,这可能要花较长时间。 ACL允许有选择地撤销权限,而权力表方式则不行。 如果一个对象被删除,但其权力未被删除,或者权力被删除而对象未被删除,都会产生问题。采用存取控制表ACL方式不会出现此类问题。,权力,11.4.4 可
8、信系统,1. 可信计算基 可信计算基TCB(Trusted Computing Base)是由硬件和软件构成的,是可信系统的心脏部件。典型的TCB由多数硬件(除I/O设备外),一部分操作系统内核和具有超级用户权力的大部分或全部用户程序(如UNIX系统中完成SETUID的root用户程序)组成。 TCB的重要组成部分是引用监控程序,引用监控程序示意图,可信系统,2建立职责联系 可信UNIX系统增强了责任性,把每个账户与实际用户联系起来,审计每个行动,并把每个行动与系统中特定用户联系在一起。 3自由存取控制 自由存取控制(Discretionary Access Control, DAC)决定用户
9、能否访问所需的数据,放在试图使用的对象(文件、设备等)中。 可信系统扩充了标准的自由存取控制规则,包括: 限制在可执行文件上设置SUID和SGID位的能力。 限制用chown改变文件属主的能力。 每当写文件时清除SUID, SGID和黏着位,以防潜在滥用它们的权限。 4对象重用 在重新分配存储器对象(无论在RAM,还是在辅助存储器中)资源之前,清除其中的信息 。,可信系统,5授权与特权 系统特权与进程相关 子系统授权与用户相关 子系统是文件、设备和提供特殊功能的命令三者的相关集合。 6识别与认证 可信UNIX系统扩展了标准UNIX系统的识别与认证机制,对可以使用的口令类型有更多强制性规则,生成
10、和修改口令也有新的过程。 7审计 记账子系统保持系统活动的有限记录 审计(Auditing)子系统给审计管理员提供扩展的系统活动历史,可信系统,8受保护子系统 可信系统在以下三个方面扩展了受保护子系统的概念: 对用户和组提供更精确的控制,由用户和组对特定系统资源组合(私有信息)进行维护。 提供单独的用户数据库,允许它运行维护私有信息的程序。 不需要用户作为子系统管理员注册,而是利用数据库核实子系统授权。,11.4.5 安全性能评测标准,1985年,美国国防部正式公布了一个有关可信计算机系统安全性能的评测标准(TCSEC)的文件“橙皮书” 分为7个级别,其中A级安全性最高,D级最低。,“橙皮书”安全准则,安全性能评测标准,“橙皮书”安全准则(续表),安全性能评测标准,Bye!,请提宝贵意见! 谢谢!,
