《计算机信息及网络安全实用教程 主编 蒋理 第11章 操作系统安全》由会员分享,可在线阅读,更多相关《计算机信息及网络安全实用教程 主编 蒋理 第11章 操作系统安全(38页珍藏版)》请在金锄头文库上搜索。
1、第11章 操作系统安全 11.1 操作系统安全问题概述,作为用户使用计算机和网络资源的中间界面,操作系统发挥着重要的作用,因此,操作系统本身的安全就成了安全防护当中的一个重要课题。,操作系统安全防护研究通常包括: (1)操作系统本身提供的安全功能和安全服务,现在的操作系统都提供一定的访问控制、认证与授权等方面的安全服务; (2)操作系统可采取什么样的配置措施使之能够应付各种入侵; (3)如何保证操作系统本身所提供的网络服务得到了安全配置。,11.1.1 操作系统安全概念 一般意义上,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用
2、户运行的进程才能读、写、创建或删除信息。 操作系统内的活动都可以看作是主体对计算机系统内部所有客体的一系列操作。 操作系统中任何存有数据的东西都是客体,包括文件、程序、内存、目录、队列、管道、进程间报文、I/O设备和物理介质等。 能访问或使用客体活动的实体称作主体,一般来说,用户或者代表用户进行操作的进程都是主体。,主体对客体的访问策略,是通过可信计算基TCB(Trusted Computing Base)来实现的。 可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。 它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。可信计算基是系统安
3、全的基础,正是基于该TCB,通过安全策略的实施,控制主体对客体的存取,达到对客体的保护。,我们一般所说的操作系统的安全,通常包含两层意思: 一个方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全; 另一方面则是操作系统在使用中,通过一系列的配置,保证操作系统尽量避免由于实现时的缺陷或是应用环境原因产生的不安全因素。 只有通过这两方面同时努力,才能够最大可能地建立安全的操作环境。,11.1.2 操作系统安全等级 从20世纪80年代开始,国际上很多组织开始研究并发布计算机系统的安全性评价等级,最具影响的是美国国防部制定的可信计算机系统安全评估标准(Trusted
4、 Computer System Evaluation Criteria,简称TCSEC),它将评价准则划分为四类,每一类中又细分了不同的级别。 D类:不细分级别;C类:C1级,C2级;B类:B1级,B2级,B3级;A类:A1级。其中,D类的安全级别最低,A类最高,高级别包括低级别的所有功能,同时又实现一些新的内容,实际工作中主要通过测试系统与安全的部分来确定这些系统的设计和实现是否正确与安全。,1安全等级D1级 D1级(最小保护),几乎没有保护,如DOS操作系统。 2安全等级C1级 C1级(自主安全保护)标准: (1)非形式化定义安全策略模型使用了基本的DAC控制 (2)实施在单一基础上的访
5、问控制 (3)避免偶尔发生的操作错误与数据破坏 (4)支持同组合的敏感资源的共享,3安全等级C2级 C2级(可控访问保护)标准: (1)非形式化定义安全策略模型使用了更加完善的DAC策略与对象重用策略 (2)实施用户登录过程 (3)实施相关事件的审计 (4)实施资源隔离 (5)对一般性攻击具有一定的抵抗能力 (6)C级安全措施可以简单理解为操作系统逻辑级安全措施,4安全等级B1级 B1级(表示安全保护)标准: (1)保留C2级所有安全策略非形式化安全模型定义 (2)引用了安全标识 (3)TCSEC定义的安全标识中的6个被采用了,在命名主体与客体上实施MAC控制,实际上引入了物理级的安全措施 (
6、4)对一般性攻击具有较强的抵抗能力,但对渗透攻击的抵抗能力比较低,5安全等级B2级 B2级(结构安全保护)标准: (1)形式化定义安全策略TCB结构化 (2)把DAC与MAC的控制扩展到所有的主体与客体上 (3)引入了隐蔽通道保护 (4)更彻底的安全措施 (5)强化了人证机制 (6)严格系统配置管理 (7)有一定的抵抗渗透能力,6安全等级B3级 B3级(安全域保护)标准: (1)完好的安全策略的形式化定义必须满足引用监控器的要求 (2)结构化TCB结构继承了B2级的安全特性 (3)支持更强化的安全管理 (4)扩展审计范围与功能 (5)有较强的系统应急恢复能力 (6)具有较高的抵抗渗透能力,7安
7、全等级A1级 A1级(验证安全保护)标准: (1)功能与B3级相同 (2)增强了形式化分析,设计与验证 一般认为A1级已经基本实现各种安全需求,更完美的系统就认为是超出A1级的系统。,11.1.3 国内操作系统安全等级 中国国家标准计算机信息系统安全保护等级划分准则(GB 17859-1999)规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准中计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。,11.1.4 操作系统的安全威胁及其影响 1保密性威胁 信息
8、的保密性指信息的隐藏,目的是对非授权的用户不可见。 操作系统受到的保密性威胁很多,例如嗅探。嗅探就是对信息的非法拦截,它是某一种形式的信息泄露。保密性威胁中,木马和后门的危害是最为严重的。,2完整性威胁 信息的完整性指的是信息的可信程度。 完整性的信息应该没有经过非法的或者是未经授权的数据改变。完整性包括信息内容的完整性和信息来源的完整性。 根据信息完整性的特点,信息的完整性威胁主要分为两类:破坏和欺骗。,3可用性威胁 可用性威胁是指对信息或者资源的期望使用能力。 可用性是系统可靠性与系统设计中的一个重要方面,因为一个不可用的系统起到的作用还不如没有系统。 操作系统的一个主要威胁在于计算机软件
9、实现中的疏漏。,11.2 操作系统安全控制技术,11.2.1 操作系统安全技术概述 随着人们对操作系统安全问题研究的深入,出现了以下几种安全技术。 1访问控制 访问控制是限制未授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程,其主要任务是确保计算机资源不被非法使用和访问。 访问控制主要是控制使用计算机系统的人员的合法身份,包括口令认证,挑战应答,Kerberos认证等方式,保证只有授权用户才能使用计算机资源。,2权限控制 权限控制主要是对合法用户正常操作的一种安全保护措施,保证合法用户按照权限使用操作系统资源和其他各种系统资源。 3数据备份与灾难恢复技术 数据备份和恢复技术主要
10、是将相关信息资源复制一个副本保存起来,当操作系统出现故障时,可使用此副本恢复有关的信息资源,从而确保信息不丢失。 4反病毒技术 反病毒技术主要通过对系统进行扫描来发现在系统中存在的各种病毒,在系统病毒发作前,删除或隔离病毒,从而消除病毒对系统的影响。,5加密技术和数字签名 加密技术主要根据一定策略将数据从一种数据格式变成另一种数据格式,防止其他人查看或窃听到有关的数据。数字签名主要用来保证信息的完整性,防止其他人篡改有关的数据。 此外,还有其他一些网络安全技术,在这里就不一一列举了,这些技术的出现,能够使操作系统更为可靠、稳定地运行。,11.2.2 访问控制技术 用户通过身份鉴别后,还必须通过
11、授权才能访问资源或进行操作。 系统通过访问控制来提供授权。访问控制的基本任务是防止对系统资源的非法使用,保证对客体的所有直接访问都是被认可的。 使用访问控制机制主要是为了达到以下目的: (1)保护存储在计算机上的个人信息 (2)保护重要信息的机密性 (3)维护计算机内信息的完整性 (4)减少病毒感染机会,从而延缓这种感染的传播 (5)保证系统的安全性与有效性,以免受到偶然的和蓄意的侵犯,概括的说,就是首先识别与确认访问系统的用户,然后决定该用户对某一系统资源进行何种类型的访问(读、写、删、改、运行等)。 广义的访问控制包括外界对系统的访问和系统内主体对客体的访问。 常用的访问控制技术有用户标识
12、和鉴别、自主访问控制、强制访问控制、基于角色的访问控制、最小特权管理、安全审计等。,用户标识和鉴别是由系统提供一定的方式让用户标识自己的名字或身份,每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供系统的使用权。 用户标识和鉴别的方法有很多种,而且在一个系统中往往是多种方法并举,以获得更强的安全性。常用的方法是用户名和口令。 用一个用户名或者用户标识号来标明用户身份。系统内部记录着所有合法用户的标识,系统鉴别此用户是否是合法用户,若是,则可以进入下一步的核实;若不是,则不能使用系统。,通过用户名和口令来鉴定用户的方法简单易行,但用户名与口令容易被人窃取,因此还可以用更复杂的技术。例如,还
13、可采用智能卡认证、动态口令、生物特征认证、USB Key认证等多种身份认证技术。,自主访问控制(Discretionary Access Control,DAC)机制允许对象的属主自己来制订针对该对象的保护策略。 通常,DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作,这包括设置文件,文件夹和共享资源的访问许可,如此将可以非常灵活地策略进行调整。自主访问控制是按照用户意愿进行的。,强制访问控制(Mandatory Access Control,MAC)是系统依照对象或用户的分级机制控制对资源所进行的访问。这种控制的实现由管理员和系统做出的。 强制访问控制是用来保护
14、系统确定的对象,对此,对象或用户不能进行更改。这样的访问控制规则是通常对数据和用户按照安全等级来分配安全标签,访问控制机制通过比较安全标签来确定是授予还是拒绝用户对资源的访问。,基于角色访问控制(Role Based Access Control,RBAC)通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。 角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限。 安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。 这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访
15、问权限的逻辑分离。,最小特权管理是系统中的每个进程只应具有完成其任务和功能所需要的最小特权。 最小特权一方面给予主体“必不可少”的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体“必不可少”的特权,这就限制了每个主体所能进行的其他操作。,安全审计是模拟社会监督机制而引入到计算机系统中,用于监视并记录系统活动的一种机制。审计机制的主要目标是检测和判定对系统的渗透,识别操作并记录进程安全级活动的情况。,11.2.3 权限控制技术 权限控制是计算机安全保密防范的第二道防线。 访问权限控制是指对合法用户进行文件或数据操作权限的限制。 这种权限主要包括对
16、信息资源的读、写、删、改、复制、执行等。 在内部网中,应该确定合法用户对系统资源有何种权限,可以进行什么类型的访问操作,防止合法用户对系统资源的越权使用。 对涉密程度不高的系统,可以按用户类别进行访问权限控制;对涉密程度高的系统,访问权限必须控制到单个用户。 内部网与外部网之间,应该通过设置保密网关或者防火墙来实现内外网的隔离与访问权限的控制。,11.3 Windows Server 2003操作系统安全,安全就是采取各种措施防止任何损失。绝对安全的系统就是任何用户什么都访问不了,但是,绝对安全的系统是无用的,因此,要提供可用性,就要接受一定程度的安全风险。 安全管理的目的就是在保证系统可用性的情况下减少安全风险。许多情况下,用户要对可能有意无意的敏感数据进行操作。由于可用性与安全性是一对矛盾,因此要让系统有用,就要放松访问控制。,Windows Server 2003采用了几种机制,防止恶意用户攻击本地计算机,保护网络通信。 11.3.1 身份验证 身份验证是系统安全的一个基础方面。它用于确认尝试登录域或访问网络资源的任何用户的身份。 Wind
