《操作系统ch7》由会员分享,可在线阅读,更多相关《操作系统ch7(95页珍藏版)》请在金锄头文库上搜索。
1、第七章 操作系统的安全性,计算机科学系,总述,计算机的使用、网络的普及引出安全问题 推动了知识经济的兴起和人类文明的演进 安全问题成为突出的矛盾信息安全 OS的安全性是根基是对计算机系统进行的第一层扩展; 本章 介绍计算机安全的基本概念; 保护机制和安全性 介绍UNIX和Windows NT的安全机制,7.1 计算机系统安全概述,7.1.1 安全性的含义7.1.2操作系统的安全性7.1.3计算机系统安全等级,7.1.1 安全性的含义,信息系统的安全性(含义广泛的概念) 一个计算机系统的资源在任何情况下都是按照预先设计的方式来使用和存取,则说一个系统是安全的。 注意:要获得完全的安全性通常是不可
2、能的。,1. 安全性受损的原因,数据丢失 自然灾害 硬件或软件故障 人为的出错 入侵者(无意入侵者+恶意入侵者) 内行的窥视者 明确的盗窃企图 政治、军事和商业上的间谍活动 瓦解企业或组织的服务功能 物理入侵,数据备份,物理安全 是整体 安全策略 的基石,2. 安全性的目标,一个安全计算机系统具有三个特性: 保密性:系统不受外界破坏,无泄露,对各种环境入侵和信息窃取具有相应的对策。 完整性:信息按照其原型保存,不能被有意或无意地修改,只有授权用户才能修改。 可用性 :无论何时,只要需要,信息必须是可用的,不能将合法授权用户的存取权限进行额外的限制。,2. 安全性的目标,保证安全从两方面 管理:
3、 技术: 操作系统安全 数据库安全 网络安全 加密鉴别 病毒防护,7.1.2操作系统的安全性,1安全操作系统的功能 有选择的访问控制:限制对特定对象的访问 对计算机级、对目录或文件级; 内存管理与对象重用:进程终止,内存将被重用之前,将其中的内容清空。 审计能力:测试其完整性; 事件跟踪、事件浏览、报表功能、审计事件、审计日志访问。 加密的数据传送:网络传输的安全性 加密的文件系统:具有访问权的用户所访问; 安全的进程间通信机制:禁止高安全等级进程传递信息给低安全等级进程。,2安全操作系统的设计原则,最小权限: 问题:过多的权利导致信息泄露; 每个用户及程序应拥有尽可能小的权限; 机制的经济性
4、: 问题:带来系统开销,性能下降; 保护系统的设计应是小型化的 开放式设计:保护机制独立设计 仅依赖于一些保密信息;,2安全操作系统的设计原则,完整的策划 每个存取都必须被检查。 权限分离 问题:安全性判断条件不可太单一; 形成制约机制; 最少通用机制 原因:共享实体有信息流的潜在通道。 采取物理或逻辑分离的措施。,3操作系统中的保护机制和安全性,安全和保护是两类不同的问题 保护机制保护问题(7.2节) 如何保护系统内信息的特定机制 提供受控制的存取方式: 限制不同用户对文件存取的权限 保证文件、内存、CPU以及其他的资源只能由授权进程来操作; 安全性安全问题(7.3节) 确保未授权用户无法接
5、触、读取和修改信息,应考虑: 适当的内部保护机制 系统运行的外部环境,7.1.3计算机系统安全等级,70年代以来研究; 系统安全模型 :BellLapadula模型 美国提出的操作系统安全结构模型: 可证明的安全操作系统 军事安全操作系统 VAX体系的VMM安全内核 安全标准 橙皮书、GB 17859-1999、CC标准,1美国国防部的“橙皮书”,可信计算机系统评价标准(TCSEC-1985) 将安全保护分成D、C、B、A四等 每等又包含一个或多个级别 按D、C1、C2、B1、B2、B3、A1、A1增强; D等:只有一个级别D1级 计算机安全的最低级;计算机系统是不可信任的,硬件和操作系统很容
6、易被侵袭。 不对用户进行验证; DOS、Windows 3.x、 Windows 95、Apple的System 7.x等,1美国国防部的“橙皮书”,C等:自主型保护( C1、C2) C1级:无条件安全防护系统 要求硬件有一定的安全保护 用户在使用计算机系统前必须先登录防护不足之处: 用户直接访问操作系统的根; 不能控制进入系统的用户的访问级别; 产生的问题 数据任意移走、更改系统的配置、获取比系统管理员允许的更高的权限。,系统管理员为 程序和数据 设立访问 许可权限,1美国国防部的“橙皮书”,C2级(如UNIX、XENIX、Novell 3.x、Windows NT 2000) 引进了受控访
7、问环境(用户权限级别)的增强特性。 1)以用户权限限制用户执行某些系统指令; 2)以个人为单位授权用户对某一目录进行访问; 3)用户分组:系统管理员授予他们访问某些程序或访问分级目录的权限。 系统审计:跟踪所有的“安全事件” 如:跟踪登录、系统管理员的工作,1美国国防部的“橙皮书”,B等:强制型保护(B1、B2、B3) B1级:称为标记安全防护级、支持多级安全 标记:网上的一个对象,在安全防护计划中是可识别且受保护的; 多级:安全防护装在不同级别(如网络、应用程序和工作站等),对敏感信息提供更高级的保护。 安全级别分为保密和绝密: 系统中有监测机构,不允许拥有者修改权限; 国内达到B1级的操作
8、系统: 红旗安全操作系统2.0版、南京大学的SoftOS;,1美国国防部的“橙皮书”,B2级:结构化防护 对所有对象加标签 给设备分配安全级别 例: 允许用户访问一台工作站 不允许访问含有职员工资资料的磁盘子系统,1美国国防部的“橙皮书”,B3级:安全域 要求用户工作站或终端通过可信任途径连接网络; 采用硬件来保护安全系统的存储区; 支持安全管理者的实现; 审计机制能实时报告系统的安全性事件; 支持系统恢复。,1美国国防部的“橙皮书”,A等:验证型保护(A1、A1以上) A1级 安全系统受监视设计; 构成系统的所有部件来源必须有安全保证。 注意:实现的功能等同于B3级。 特点: 形式化的顶层设
9、计规格; 形式化验证与形式化模型的一致性; 更高的可信度; A1级以上:比A1级可信度更高的系统;,计算机信息系统安全保护等级划分准则(GB 17859-1999),五个等级 用户自主保护级:用户具备自主安全保护的能力; 系统审计保护级:创建、维护访问审计记录; 安全标记保护级:为访问者和访问对象指定安全标记,以访问对象的安全级别限制访问者的访问权限,实现对访问对象的强制保护; 红旗安全操作系统2.0版、南京大学的SoftOS。,计算机信息系统安全保护等级划分准则(GB 17859-1999),五个等级 结构化保护级: 将安全保护机制划分成:关键部分和非关键部分相结合的结构; 关键部分直接控制
10、访问者对访问对象的存取; 具有相当强的抗渗透能力; 安全域级保护级 增设访问验证功能:仲裁访问者对访问对象的所有访问活动 极强的抗渗透能力 ;,CC标准(欧洲ITSEC),ISO/IEC 15408 两个部分组成 安全功能需要定义: 按结构化方式组织 三层: 类(class):每类侧重一个安全主题;11个类; 族(family):每族基于相同的安全目标,侧重方面和保护强度不同; 组件(component):确定了一组最小可选择的安全需求集合;排列顺序表示不同的强度和能力; 安全保证需求的定义:,一个或多个,一个或多个,CC标准(欧洲ITSEC),安全保证需求的定义: 结构化方式组织:类族组件
11、10 个类:各种安全保证的需求 包(package):提高已定义结果的可重用性 7个安全保证级别(EAL) EAL1:功能性测试级 EAL2:结构性测试级 EAL3:工程方法上的测试及校验级 EAL4:工程方法上的方法设计、测试和评审级 EAL5:半形式化设计和测试级 EAL6:半形式化地验证设计和测试级 EAL7:形式化地验证设计和测试级,不增加 安全性表示 可信度,7.2 保护机制,解决的问题:多道程序的中 使进程按照操作系统的授权使用文件、内存、CPU以及其他的资源; 作用: 保证了数据的完整性,对共享的资源提供了稳定性和可靠性。 例 Windows 3.1没有内存保护机制 Window
12、s 98和Windows NT对其内核和应用程序提供了内存保护,7.2 保护机制,保护机制的角色 提供系统资源使用策略的机制; 策略(确定“做什么”) 建立的时机: 系统设计阶段进行 系统的运行管理过程中 单个的用户自己定义 机制(决定“如何做”) 例:UNIX中 机制:读写执行权限设置 策略:用户或系统管理员完成;,分离原则,相关的概念,主体:进程(用户) 实施操作者; 客体:对象、实体、数据和资源 被操作的对象; 亦指计算机中的被保护对象,如内存、文件、硬件设备及保护机制本身。 (主体,客体)(进程,对象),相关的概念,自主型存取控制 客体的安全,由客体的用户或具有指定特权的用户来制定;(
13、用户自主定义) 规定别的用户能以怎样的方式访问该客体。 强制型存取控制 客体的安全,由系统确定一个主体能否访问一个客体。 系统规定一个强制的规则,不可违反。,7.2.1保护域,计算机系统=进程和对象的集合 对象: 硬件对象和软件对象;有唯一的名字; 对对象的操作:由对象本身决定; 进程: 只允许存取那些已经授权给它的资源 只能存取那些为完成它的任务所必需的资源;,须知原则,域结构,保护域:对的集合 定义了一系列的对象以及在对象上可执行的操作(即存取权限) 进程在任何时刻运行在一个保护域内; 多个域可以有交集;(共享相同的存取权限 ) 进程和域的关系 动态的:要有域切换机制或修改机制; 静态的:
14、施加“须知原则” ,并有改变机制;,最小权限原则,域实现方式,一个用户一个域: 存取的对象及权限取决于用户的身份; 用户注销另一用户登录时,进行域的切换。 一个进程一个域: 存取的对象及权限取决于进程的标志; 进程发送消息等待回应时,进行域的切换。 一个过程一个域: 存取的对象及权限取决于过程定义的局部变量; 进行过程调用时,进行域的切换。,UNIX中的保护域,域和用户联系在一起; UID(用户标识) GID(组标识) 表: 可以访问的对象; 是否可以读、写、执行; 相同(UID,GID)的进程相同的访问对象集,进程的域,UNIX中的保护域,允许程序被授权 进程可以在运行的时候被授予另一个UI
15、D或GID。 SUID程序:改变自身UID的程序; SGID程序:改变自身GID的程序; 例:SUID程序运行时 UID被设置成为文件的UID 得到新的UID后,就引起域的切换。,UNIX中的保护域,进程两个部分:用户部分和内核部分 内核部分 用户部分进程执行系统调用时 从用户部分切换到内核部分 产生域切换,不同的访问对象集,系统调用导致域切换,7.2.2存取矩阵,记录某个对象属于哪个域存取矩阵 行表示域 列表示对象 项表示存取权限的集合,7.2.2存取矩阵,域本身对象 域切换也包含在矩阵中 切换操作(Switch):域之间的切换,7.2.3存取矩阵的实现,存取矩阵的问题 很大,但有多个空项;
16、(稀疏矩阵) 按行或按列来存储矩阵,且只存储非空元素; 1存取控制表ACL(按列存放) 每个对象一张ACL:列出了可以访问该对象的全部域,以及怎样访问; 每个ACL放在磁盘的单独块中,文件的目录区链接这个磁盘块的块号。 例:文件1:(D1,RW),(D3,X) UNIX中: 提供rwx:对文件主、主所在用户组、其他用户; 也属于ACL,只是把其压缩到9位;,2.权能表(Capability List),存取矩阵按行存放; 每个域一张:包括: 该域内可能访问的对象; 以及每个对象允许进行的操作; 权能表本身也是对象,可从别的权能表中引用,实现共享 一般权限:复制权限、复制对象、删除权限、删除对象; 缺点:很难撤消对某对象的访问权(遍及各权能表中),7.2.4 保护模型,存取矩阵需要不断变化 创建新对象、删除老对象; 增加、限制对象的用户集合;Harrison的六个原语操作:保护矩阵 CREATE OBJECT DELETE OBJECT CREATE DOMAIN DELETE DOMAIN INSERT RIGHT REMOVE RIGHT,
