《操作系统安全复习重点》由会员分享,可在线阅读,更多相关《操作系统安全复习重点(16页珍藏版)》请在金锄头文库上搜索。
1、第一章:绪论1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算 机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组 织各种程序高效运行,从而为用户提供良好的、可扩展的系统操作环境,达到使用方便、资 源分配合理、安全可靠的目的。2 操作系统地安全是计算机网络信息系统安全的基础。3 信息系统安全定义为:确保以电磁信号为主要形式的,在计算机网络化( 开放互联)系统中 进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中, 处于动态和静态过程中的机密性(保密性)、完整性、可用性、可审查性和抗抵赖性,与人、 网络、环
2、境有关的技术安全、结构安全和管理安全的总和。4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。5 信息的保密性:指信息的隐藏,目的是对非授权 的用户不可见。保密性也指保护数据的 存在性,存在性有时比数据本身更能暴露信息。6 操作系统受到的保密性威胁:嗅探,木马和后门。7 嗅探就是对信息的非法拦截 ,它是某一种形式的信 息泄露. 网卡构造了硬件的“ 过滤器 “通过识别 MAC 地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设 置为“混杂模式“就可以进行嗅探。8 在正常的情况下,一个网络接口应该只响应这样的两种数据帧:1.与自己硬件地址相匹配的数据帧。2.发向所有
3、机器的广播数据帧。9 网卡一般有四种接收模式:广播方式,组播方式,直接方式,混杂模式。10 嗅探器可能造成的危害: 嗅探器能够捕获口令; 能够捕获专用的或者机密的信息; 可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限; 分析网络结构,进行网络渗透。11 大多数特洛伊木马包括客户端和服务器端两个部分。不管特洛伊木马的服务器和客户程 序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到 操控用户机器的目的。12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码 ,数据等, 达到偷窥别人隐私和得 到经济利益的目的.13 后门:绕过安全性控制而获取对程序或系统访问
4、权的方法。14 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软 件。通常具备实用的、具吸引力的基本功能,它还收集有关用户操作习惯的信息并将这些信 息通过互联网发送给软件的发布者。15 信息的完整性指的是信息的可信程度。完整性的信息应该没有经过非法的或者是未经授 权的数据改变。完整性包括信息内容的完整性和信息来源的完整性.16 信息的完整性威胁主要分为两类:破坏和欺骗。 破坏:指中断或妨碍正常操作。数据遭到破坏后。其内容就可能发生非正常改变,破坏 了信息内容的完整性。欺骗:指接受虚假数据。17有几种类型的攻击可能威胁信息的完整性,即篡改(modification)、
5、伪装(masquerading)、 重放(replaying)和否认(repudiation)。18 可用性威胁是指对信息或者资源的期望使用能力.19威胁可用性的攻击称为拒绝服务(Denial of Service)。20 网络带宽攻击:指以极大的通信量冲击网络,使得所有可用的网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。连通性攻击:指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被 消耗殆尽,最终计算机无法在处理合法用户的请求。21 DoS 目的:使计算机或网络无法提供正常的服务可能发生在服务器的源端可能发生在服务器的目的端可能发生在中间路径22 操作系统可用性威胁的另一
6、个主要来源:计算机软件设计实现中的疏漏。23绝对安全的OS是不存在的,只能尽可能地减少OS本身的漏洞, 需要在设计时就以安全理论作指导,始终贯穿正确的安全原则。24 操作系统安全威胁的发展趋势: 复杂化 多种威胁往往交织在一起25 Adept-50是历史上第一个安全操作系统,运行于IBM/360硬件平台。26 访问控制的基本概念:- 主体(subject)是访问操作中的主动实体- 客体(objective)是访问操作中的被动实体- 访问矩阵(access matrix)是以主体为行索引、以客体为列索引的矩阵,使 用 M 表示- 矩阵中第i行第j列的元素使用Mij表示,表示主体Si可以对客体Oj
7、进行 的一组访问方式27 信息保护机制的八条设计原则:(1) 机制经济性(economy)原则;(2) 失败-保险(fail-safe)默认原则;(3) 完全仲裁原则;(4) 开放式设计原则;(5) 特权分离原则;(6) 最小特权原则;(7) 最少公共机制原则;(8) 心理可接受性原则。28 1983年美国防部颁布TCSEC(橘皮书)是历史上第一个计算机安全评价标准。29 软件可分为三大可信类别:可信的,良性的,恶意的。30 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。31 安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策 略和安全策略实现机制的
8、关联提供了一种框架。32 引用验证机制需要同时满足以下3 个原则:(1) 必须具有自我保护能力;(2) 必须总是处于活跃状态;(3) 必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。33 安全内核是指系统中与安全性实现有关的部分,包括引用验证机制、访问控制机制、授 权机制和授权管理机制等部分。34 安全内核由硬件和介于硬件和操作系统之间的一层软件组成。35 可信计算基由以下几个部分组成:(1) 操作系统的安全内核。(2) 具有特权的程序和命令。(3) 处理敏感信息的程序,如系统管理命令等。(4) 与TCB实施安全策略有关的文件。(5) 其他有关的固件、硬件和设备。(6) 负责
9、系统管理的人员。(7) 保障固件和硬件正确的程序和诊断软件。36 可信计算基的软件部分是安全操作系统的核心内容,它完成下述工作: 内核的良好定义和安全运行方式; 标识系统中的每个用户; 保持用户到 TCB 登录的可信路径; 实施主体对客体的存取控制; 维持 TCB 功能的正确性; 监视和记录系统中的有关事件。第二章:操作系统的安全机制1 操作系统提供的安全服务:内存保护文件保护普通实体保护:对实体的一般存取控制存取鉴别:用户身份的鉴别2 操作系统安全的主要目标:按系统安全策略对用户的操作进行访问控制,防止用户对计算机资源的非法 使用(包括窃取、篡改和破坏)标识系统中的用户,并对身份进行鉴别监督
10、系统运行的安全性保证系统自身的安全性和完整性3 ISO:是一种技术、一些软件或实施一个或更多安全服务的过程。4 标识:用户要向系统表明的身份。用户名、登录ID、身份证号或智能卡应当具有唯一性不能被伪造5 鉴别:对用户所宣称的身份标识的有效性进行校验和测试的过程。1 证实自己所知道的;2 出示自己所拥有的;3 证明自己是谁;4 表现自己的动作。6 口令选取的注意点: 不要使用容易猜到的词或短语 不要使用字典中的词、常用短语或行业缩写等 应该使用非标准的大写和拼写方法 应该使用大小写和数字混合的方法选取口令 此外,口令质量还取决于 口令空间 口令加密算法 口令长度7 S = G / P 而 G =
11、 L X R S: 口令空间 L: 口令的最大有效期 R:单位时间内可能的口令猜测数 P: 口令有效期内被猜出的可能性P=(LXR) /S8 口令长度计算方法:M=logASS: 口令空间A:字母表大小,字母表中字母个数9 破解口令的方法:社会工程学方法,字典程序攻击,口令文件窃取,暴力破解。10 要求认证机制做到以下几点:(1) 在进行任何需要 TCB 仲裁的操作之前, TCB 都应该要求用户标识他们自己。(2) TCB 必须维护认证数据,包括证实用户身份的信息以及决定用户策略属性的信息, 如 groups。(3) TCB 保护认证数据,防止被非法用户使用。(4) TCB应能维护、保护、显示
12、所有活动用户和所有用户账户的状态信息。(5) 一旦口令被用作一种保护机制,至少应该满足: 当用户选择了一个其他用户已使用的口令时, TCB 应保持沉默。 TCB 应以单向加密方式存储口令,访问加密口令必须具有特权。 在口令输入或显示设备上, TCB 应自动隐藏口令明文。 在普通操作过程中, TCB 在默认情况下应禁止使用空口令。 TCB 应提供一种保护机制允许用户更换自己的口令,这种机制要求重新认证用户身份。 对每一个用户或每一组用户, TCB 必须加强口令失效管理。 在要求用户更改口令时, TCB 应事先通知用户。 要求在系统指定的时间段内,同一用户的口令不可重用 TCB 应提供一种算法确保
13、用户输入口令的复杂性。11 访问控制的基本任务:防止用户对系统资源的非法使用,保证对客体的所有直接访问都 是被认可的。12 使用访问控制机制的目的:保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会,从而延缓这种感染的传播保证系统的安全性和有效性,以免受到偶然的和蓄意的侵犯13 系统内主体对客体的访问控制机制:自主访问控制,强制访问控制,基于角色的访问控 制。14 MAC 和 DAC 通常结合在一起使用 MAC,防止其他用户非法入侵自己的文件 DAC,是用户不能通过意外事件和有意识的误操作来逃避安全控制,常用于 将系统中的信息分密级和类进行管理,适用于政府
14、部门、军事和金融等领域15 一般强制访问控制采用以下几种方法:限制访问控制,过程控制,系统控制。16 基于角色的访问控制的基本思想:根据用户担当的角色来确定授权给用户的访问权限, 用户不能自主地将访问权限传给他人。17 橘皮书关于最小特权的定义:要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权,即最低许可18 常见的最小特权管理机制:基于文件的特权机制A基于进程的特权机制19 可信通路是用户能够借以同可信计算基通信的一种机制能够保证用户确定是和安全核心通信防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令20 审计系统的实现:日志记录器:收集数据;分析器:分析数据;通
15、告器:通报结果;系 统日志;应用程序日志;安全日志。21 内存管理的访问控制:系统段与用户段基于物理页号的识别基于描述符的地址解释机制22 等级域保护机制:应该保护某一环不被其外层环侵入允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环23 与进程隔离机制不同:在任意时刻,进程可以在任何一个环内运行,并转移到另一个环。保护进程免遭在同一环内同时运行的其他进程的破坏第三章:用户账号安全1 Windows Server 2003操作系统中有两种不同类型的用户账户,即只能用来访问本地计算机 (或使用远程计算机访问本计算机)的“本地用户账户”和可以访问网络中所有计算机的“域 用户账户”。2 密码安全设置原则:不可让账号与密码相同,不可使用自己的姓名,不可使用英文词组 不可使用特定意义的日期,不可使用简单的密码。3 根据 Windows 系统密码的散列算法原理,密码长度设置应超
