《信息安全技术》教学课件 V2010.03 操作系统安全技术操作系统安全技术第第 6 章章�本章要点本章要点p操操作作系系统统是是信信息息安安全全技技术术体体系系中中重重要要的的组组成成部部分分,,针针对对GB 17859-1999关关于于信信息息系系统统安安全全保保护护的的要要求求,,本本章章介介绍绍操操作作系系统统应应该该具具有有的的安全技术措施安全技术措施pGB/T 20272-2006 信信息息安安全全技技术术 操操作作系系统统安安全全技术要求技术要求2 2�一、一、操作系统安全概述操作系统安全概述p1、操作系统安全的含义、操作系统安全的含义n计计算算机机操操作作系系统统的的主主要要功功能能是是进进行行计计算算机机资资源源管管理理和和提提供供用用户户使使用用计计算算机的界面机的界面n用用户户资资源源可可以以归归结结为为以以文文件件形形式式表表示示的的数数据据信信息息资资源源,,系系统统资资源源包包括括系系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格统程序和系统数据以及为管理计算机硬件资源而设置的各种表格n对操作系统中资源的保护,实际上是对操作系统中文件的保护对操作系统中资源的保护,实际上是对操作系统中文件的保护。
n操操作作系系统统的的安安全全保保护护的的功功能能要要求求,,需需要要从从操操作作系系统统的的安安全全运运行行和和操操作作系系统统数数据据的的安安全全保保护护两两方方面面操操作作系系统统的的安安全全主主要要通通过过身身份份鉴鉴别别、、自自主主访访问问控控制制、、标标记记和和强强制制访访问问控控制制、、数数据据流流控控制制、、审审计计、、数数据据完完整整性性、、数数据据保保密密性性等等几几方方面面来来实实现现系系统统的的安安全全需需要要((GB 17859和和GB/T 20271)p实实现现各各种种类类型型的的操操作作系系统统安安全全需需要要的的所所有有安安全全技技术术称称为为操操作作系系统统安安全全技技术术操操作作系系统统安安全全子子系系统统(( SSOOS ,,Security Subsystem Of Operating System)),,是是操操作作系系统统的的可可信信计计算算基基((TCB)),,指指操操作作系系统统中中硬硬件件、、固固件件、、软软件件和和负负责责执执行安全策略的所有相关的安全保护装置行安全策略的所有相关的安全保护装置3 3�一、一、操作系统安全概述操作系统安全概述p2、操作系统安全的组成、操作系统安全的组成 n操操作作系系统统的的安安全全,,应应该该从从安安全全功功能能和和安安全全保保证证两两方方面面综综合合考考虑虑。
每每一一等等级级的的信信息息系系统统,,都都有有不不同同的的安安全全功功能能要要求求和和安安全全保保证证措措施施图图6.1表表示示了了操操作作系系统安全技术要求的组成及相互关系统安全技术要求的组成及相互关系4 4�一、一、操作系统安全概述操作系统安全概述p3、操作系统的主体与客体、操作系统的主体与客体 n在操作系统中,每一个实体成分都必须是主体或客体,或者既是主体在操作系统中,每一个实体成分都必须是主体或客体,或者既是主体又是客体又是客体n主体是一个主动的实体,它包括用户、用户组、进程等主体是一个主动的实体,它包括用户、用户组、进程等系统中最基系统中最基本的主体是用户,系统中的所有事件,几乎都是由用户激发的用户本的主体是用户,系统中的所有事件,几乎都是由用户激发的用户的所有事件都要通过运行进程来处理进程是用户的客体,但又是访的所有事件都要通过运行进程来处理进程是用户的客体,但又是访问对象的主体问对象的主体n客体是一个被动的实体客体是一个被动的实体在操作系统中,客体可以是按一定格式存储在操作系统中,客体可以是按一定格式存储在记录介质中的数据信息(文件),也可以是操作系统中的进程在记录介质中的数据信息(文件),也可以是操作系统中的进程。
n访问控制等安全措施都是由主体对客体实施操作完成访问控制等安全措施都是由主体对客体实施操作完成的5 5�二、二、操作系统安全的技术要求操作系统安全的技术要求p身份鉴别身份鉴别p访问控制访问控制p安全审计安全审计p用户数据的完整性和保密性用户数据的完整性和保密性p可信路径可信路径6 6�p1、身份鉴别、身份鉴别n身份鉴别包括对用户的身份进行标识和鉴别身份鉴别包括对用户的身份进行标识和鉴别用户标识用户标识n((1)凡需进入操作系统的用户,应先进行标识,即建立账号;)凡需进入操作系统的用户,应先进行标识,即建立账号;n((2)操作系统用户标识一般使用用户名和用户标识符()操作系统用户标识一般使用用户名和用户标识符(UID)用户鉴别用户鉴别n((1)采用口令进行鉴别,并在每次用户登录系统时进行鉴别;)采用口令进行鉴别,并在每次用户登录系统时进行鉴别;n((2)通过对不成功的鉴别尝试的值进行预先定义,并明确规定达到该值时应)通过对不成功的鉴别尝试的值进行预先定义,并明确规定达到该值时应该采取的措施,公平实现鉴别失败的处理该采取的措施,公平实现鉴别失败的处理用户主体行为绑定用户主体行为绑定n((1)用户进程与所有者相关联,进程行为可追溯到进程的所有者;)用户进程与所有者相关联,进程行为可追溯到进程的所有者;n((2)进程与当前服务要求者相关联,系统进程行为可追溯到服务的要求者。
进程与当前服务要求者相关联,系统进程行为可追溯到服务的要求者二、操作系统安全的技术要求二、操作系统安全的技术要求7 7�p2、访问控制、访问控制n访访问问控控制制是是在在保保障障授授权权用用户户能能获获取取所所需需资资源源的的同同时时拒拒绝绝非非授授权权用用户户的的安安全全机机制访问控制也是信息安全理论基础的重要组成部分访问控制也是信息安全理论基础的重要组成部分n本本章章讲讲述述访访问问控控制制的的原原理理、、作作用用、、分分类类和和研研究究前前沿沿,,重重点点介介绍绍较较典典型型的的自自主主访问控制、强制访问控制和基于角色的访问控制访问控制、强制访问控制和基于角色的访问控制1)访问控制原理)访问控制原理n访访问问控控制制机机制制将将根根据据预预先先设设定定的的规规则则对对用用户户访访问问某某项项资资源源((目目标标))进进行行控控制制,,只只有有规规则则允允许许时时才才能能访访问问,,违违反反预预定定的的安安全全规规则则的的访访问问行行为为将将被被拒拒绝绝资资源源可可以以是是信信息息资资源源、、处处理理资资源源、、通通信信资资源源或或者者物物理理资资源源,,访访问问方方式式可可以以是是获获取取信息、修改信息或者完成某种功能信息、修改信息或者完成某种功能,一般情况可以理解为读、写或者执行。
一般情况可以理解为读、写或者执行 二、操作系统安全的技术要求二、操作系统安全的技术要求8 8�p2、访问控制、访问控制((2)自主访问控制()自主访问控制(((Discretionary Access Control,,DAC))n自自主主访访问问控控制制就就是是由由拥拥有有资资源源的的用用户户自自己己来来决决定定其其他他一一个个或或一一些些主主体体可可以以在在什么程度上访问哪些资源什么程度上访问哪些资源 n主主体体、、客客体体以以及及相相应应的的权权限限组组成成系系统统的的访访问问控控制制矩矩阵阵在在访访问问控控制制矩矩阵阵中中,,每每一一行行表表示示一一个个主主体体的的所所有有权权限限;;每每一一列列则则是是关关于于一一个个客客体体的的所所有有权权限限;;矩矩阵阵中中的的元元素素是是该该元元素素所所在在行行对对应应的的主主体体对对该该元元素素所所在在列列对对应应的的客客体体的的访访问问权权限 n访访问问控控制制表表((Access Control List,,ACL))是是基基于于访访问问控控制制矩矩阵阵中中列列的的自自主主访访问问控控制制它它在在一一个个客客体体上上附附加加一一个个主主体体明明晰晰表表,,来来表表示示各各个个主主体体对对这这个客体的访问权限。
个客体的访问权限n访访问问能能力力表表((Access Capabilities List))是是最最常常用用的的基基于于行行的的自自主主访访问问控控制制能能力力((capability)) 是是为为主主体体提提供供的的、、对对客客体体具具有有特特定定访访问问权权限限的的不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体二、操作系统安全的技术要求二、操作系统安全的技术要求9 9�p2、访问控制、访问控制((3)强制访问控制)强制访问控制((Mandatory Access Control,, MAC))n强强制制访访问问控控制制系系统统为为所所有有的的主主体体和和客客体体指指定定安安全全级级别别,,比比如如绝绝密密级级、、机机密密级级、、秘秘密密级级和和无无密密级级不不同同级级别别标标记记了了不不同同重重要要程程度度和和能能力力的的实实体体不不同同级级别别的的主体对不同级别的客体的访问是在强制的安全策略下实现主体对不同级别的客体的访问是在强制的安全策略下实现的n实实体体的的安安全全级级别别是是由由敏敏感感标标记记((Sensitivity Label))来来表表示示,,是是表表示示实实体体安安全全级级别别的的一一组组信信息息,,在在安安全全机机制制中中把把敏敏感感标标记记作作为为强强制制访访问问控控制制决决策策的的依依据。
据4)基于角色的访问控制)基于角色的访问控制((Role Based Access Control,,RBAC))n在在基基于于角角色色的的访访问问控控制制模模式式中中,,用用户户不不是是自自始始至至终终以以同同样样的的注注册册身身份份和和权权限限访访问问系系统统,,而而是是以以一一定定的的角角色色访访问问,,不不同同的的角角色色被被赋赋予予不不同同的的访访问问权权限限系系统按照自主访问控制或强制访问控制机制控制角色的访问能力统按照自主访问控制或强制访问控制机制控制角色的访问能力 n一一个个主主体体可可以以同同时时担担任任多多个个角角色色基基于于角角色色的的访访问问控控制制就就是是通通过过各各种种角角色色的的不不同同搭搭配配授授权权来来尽尽可可能能实实现现主主体体的的最最小小权权限限((最最小小授授权权指指主主体体在在能能够够完完成成所所有必需的访问工作基础上的最小权限有必需的访问工作基础上的最小权限)n授授权权管管理理的的控控制制途途径径::改改变变客客体体的的访访问问权权限限改改变变角角色色的的访访问问权权限限改改变变主主体所担任的角色体所担任的角色二、操作系统安全的技术要求二、操作系统安全的技术要求1010�p3、安全审计、安全审计n安全审计是指在一个信息系统中以维护系统安全为目的的审计,即为了保障安全审计是指在一个信息系统中以维护系统安全为目的的审计,即为了保障系统、网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术系统、网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段手段实时收集和监控系统中每一个组成部分的状态、安全事件实时收集和监控系统中每一个组成部分的状态、安全事件,以便集中报,以便集中报警、分析、处理的一种技术手段。
警、分析、处理的一种技术手段n安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性控制等安全功能紧密结合控制等安全功能紧密结合n提供对受保护客体访问的审计跟踪功能,保护审计记录不被未授权访问、修提供对受保护客体访问的审计跟踪功能,保护审计记录不被未授权访问、修改和破坏改和破坏n提供可选择的审计事件,生成的审计日志可管理提供可选择的审计事件,生成的审计日志可管理 二、操作系统安全的技术要求二、操作系统安全的技术要求1111�p4、用户数据的完整性和保密性、用户数据的完整性和保密性n在安全功能控制范围内为主体和客体设置完整性标签,并建立完整性保护在安全功能控制范围内为主体和客体设置完整性标签,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性策略模型,保护用户数据在存储、传输和处理过程中的完整性n提供硬盘数据的备份和修复功能,可将硬盘中的数据压缩和备份,并在必要提供硬盘数据的备份和修复功能,可将硬盘中的数据压缩和备份,并在必要时恢复n确保硬盘数据的授权使用,保证系统内各个用户之间互不干扰确保硬盘数据的授权使用,保证系统内各个用户之间互不干扰。
p5、可信路径、可信路径n在在第第四四级级和和第第五五级级安安全全系系统统中中,,要要求求提提供供用用户户初初始始登登录录/鉴鉴别别时时的的可可信信路路径径,,在在SSOOS与用户间建立一条安全的信息传输通路与用户间建立一条安全的信息传输通路二、操作系统安全的技术要求二、操作系统安全的技术要求1212�p1、、Windows的安全模型与基本概念的安全模型与基本概念((1)安全模型)安全模型Windows的安全模型由以下几个关键部分构成:的安全模型由以下几个关键部分构成:1))登录过程(登录过程(Logon Process,,LP))接受本地用户或者远程用户的登录接受本地用户或者远程用户的登录请求,处理用户信息,为用户做一些初始化工作请求,处理用户信息,为用户做一些初始化工作2))本地安全授权机构(本地安全授权机构(Local Security Authority,,LSA))根据安全账根据安全账号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志这是整个安全子系统的核心这是整个安全子系统的核心3))安全账号管理器(安全账号管理器(Security Account Manager,,SAM))。
维护账号的维护账号的安全性管理数据库(安全性管理数据库(SAM数据库,又称目录数据库)数据库,又称目录数据库)4))安全引用监视器(安全引用监视器(Security Reference Monitor,,SRM))检查存取检查存取合法性,防止非法存取和修改合法性,防止非法存取和修改三、三、Windows 2003的访问控制的访问控制1313�p1、、Windows的安全模型与基本概念的安全模型与基本概念((2)安全概念)安全概念1))安全标识(安全标识(Security Identifier,,SID)):是标识用户、组和计算机帐:是标识用户、组和计算机帐户的唯一的号码在第一次创建该帐户时,将给网络上的每一个帐户发布一户的唯一的号码在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的个唯一的 SID安全标识和账号唯一对应,在账号创建时创建,账号删除时安全标识和账号唯一对应,在账号创建时创建,账号删除时删除,而且永不再用安全标识与对应的用户和组的账号信息一起存储在删除,而且永不再用安全标识与对应的用户和组的账号信息一起存储在SAM数据库里数据库里2))访问令牌(访问令牌(Access Token))。
当用户登录时,本地安全授权机构为用户当用户登录时,本地安全授权机构为用户创建一个访问令牌,包括用户名、所在组、安全标识等信息以后,用户的创建一个访问令牌,包括用户名、所在组、安全标识等信息以后,用户的所有程序都将拥有访问令牌的拷贝所有程序都将拥有访问令牌的拷贝3))主体主体用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,这个令牌与该用户所有的操作相联系,用户进行的操作和访问令牌一起构成这个令牌与该用户所有的操作相联系,用户进行的操作和访问令牌一起构成一个主体一个主体4))对象、资源、共享资源对象、资源、共享资源对象的实质是封装了数据和处理过程的一系列信息对象的实质是封装了数据和处理过程的一系列信息集合体资源是用于网络环境的对象共享资源是在网络上共享的对象资源是用于网络环境的对象共享资源是在网络上共享的对象5))安全描述符(安全描述符(Security Descript))Windows系统中共享资源的安全系统中共享资源的安全特性描述,包含了该对象的一组安全属性,分为特性描述,包含了该对象的一组安全属性,分为所有者安全标识所有者安全标识、、组安全标组安全标识识((GroupSecurity)、)、自主访问控制表自主访问控制表((Discretionary Access Control List,,DAC)、)、系统访问控制表系统访问控制表((ACL)四个部分。
四个部分三、三、Windows 2003的访问控制的访问控制1414�p2、、Windows的访问控制过程的访问控制过程p当一个账号被创建时,当一个账号被创建时,Windows系统为它分配一个系统为它分配一个SID,并与其他账,并与其他账号信息一起存入号信息一起存入SAM数据库p用户登录管理登录主机(通常为工作站)的系统首先把用户输入的用用户登录管理登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器/域信息送给安全账号管理器,安户名、口令和用户希望登录的服务器/域信息送给安全账号管理器,安全账号管理器将这些信息与全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,数据库中的信息进行比较,如果匹配,服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在组的安全标识,工作站系统为用户生成一个进程服务器还要记录用户组的安全标识,工作站系统为用户生成一个进程服务器还要记录用户账号的特权、主目录位置、工作站参数等信息账号的特权、主目录位置、工作站参数等信息p本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标识等信息。
此后用户每新建一个进程,都将访问令牌复制作为该进程的识等信息此后用户每新建一个进程,都将访问令牌复制作为该进程的访问令牌访问令牌p用户访问进程管理安全引用监视器将用户用户访问进程管理安全引用监视器将用户/进程的访问令牌中的进程的访问令牌中的SID与与对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权访问对象访问对象三、三、Windows 2003的访问控制的访问控制1515�p2、、Windows的访问控制过程的访问控制过程p权限(权限(Permission):精确定制用户对资源的访问控制能力精确定制用户对资源的访问控制能力p权限管理原则权限管理原则((1)拒绝优于允许原则)拒绝优于允许原则((2)权限最小化原则)权限最小化原则((3)权限继承性原则)权限继承性原则((4)累加原则)累加原则p“拒绝优于允许拒绝优于允许”原则是用于解决权限设置上的冲突问题;原则是用于解决权限设置上的冲突问题;“权限最小权限最小化化”原则是用于保障资源安全;原则是用于保障资源安全;“权限继承性权限继承性”原则是用于原则是用于“自动化自动化”执行权限设置的;而执行权限设置的;而“累加原则累加原则”则是让权限的设置更加灵活多变。
则是让权限的设置更加灵活多变 p资源权限的应用:依据是否被共享到网络,其权限可以分为资源权限的应用:依据是否被共享到网络,其权限可以分为NTFS权限权限(本地权限)与共享权限两种本地权限)与共享权限两种nNTFS的标准访问权限的标准访问权限::“套餐型套餐型”的权限,即:完全控制、修改、读取和的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入图运行、列出文件夹目录、读取、写入图6.5nNTFS的的“特别权限特别权限”((“高级高级”选项),允许用户进行细化权限选择图选项),允许用户进行细化权限选择图6.6n三种共享权限三种共享权限:完全控制、更改、读取完全控制、更改、读取三、三、Windows 2003的访问控制的访问控制资源复制或移动时权限的变化资源复制或移动时权限的变化在权限的应用中,设置了权限后的资源需要复制或者是移动,资源的权限会发生变在权限的应用中,设置了权限后的资源需要复制或者是移动,资源的权限会发生变化:化:((1)复制资源)复制资源在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。
父级资源的权限2)移动资源)移动资源在移动资源时,如果资源的移动发生在同一驱动器内,那么对象将保留本身原有的在移动资源时,如果资源的移动发生在同一驱动器内,那么对象将保留本身原有的权限不变(包括资源本身权限及从父级资源中继承的权限);若资源的移动发生在权限不变(包括资源本身权限及从父级资源中继承的权限);若资源的移动发生在不相同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继不相同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代实际上,移动操作就是承的权限也会被从目标位置的父级资源继承的权限所替代实际上,移动操作就是进行资源的复制、然后从原有位置彻底删除资源的操作进行资源的复制、然后从原有位置彻底删除资源的操作3)非)非NTFS分区分区 复制或移动资源时,如果将资源复制或移动到非复制或移动资源时,如果将资源复制或移动到非NTFS分区上,那么所有的权限均分区上,那么所有的权限均会自动全部丢失会自动全部丢失1616�p3、、Windows的加密文件系统的加密文件系统 p概念及功能:概念及功能:nWindows的加密文件系统(的加密文件系统(Encrypting File System,,EFS)提供一)提供一种核心文件加密技术,该技术用于在种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储基于指定用户文件系统卷上存储基于指定用户SID等信息加密的文件。
等信息加密的文件n对加密该文件的用户,加密是透明的对加密该文件的用户,加密是透明的p使用要求:使用要求:n((1)只有)只有NTFS卷上的文件或文件夹才能被加密卷上的文件或文件夹才能被加密n((2)被压缩的文件或文件夹不可以加密被压缩的文件或文件夹不可以加密n((3)如果将加密的文件复制或移动到非)如果将加密的文件复制或移动到非NTFS格式的卷上,该文件将会自格式的卷上,该文件将会自动解密n((4)如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中)如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密自动加密n((5)无法加密标记为)无法加密标记为“系统系统”属性的文件,并且位于属性的文件,并且位于%systemroot%目录结目录结构中的文件也无法加密构中的文件也无法加密n((6)加密文件夹或文件不能防止删除或列出文件或文件夹表加密文件夹或文件不能防止删除或列出文件或文件夹表n((7))WebDAV(Web分布式创作和版本控制分布式创作和版本控制 )基于基于HTTP1.1,可在本地,可在本地加密文件并采用加密格式发送加密文件并采用加密格式发送三、三、Windows 2003的访问控制的访问控制1717�p1、安全审计概述、安全审计概述 p审计是对访问控制的必要补充,是访问控制的一个重要内容。
审计是对访问控制的必要补充,是访问控制的一个重要内容p审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何种操作)进行记录与监控种操作)进行记录与监控审计和监控是实现系统安全的最后一道防线,审计和监控是实现系统安全的最后一道防线,处于系统的最高层审计与监控能够再现原有的进程和问题,这对于责处于系统的最高层审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要任追查和数据恢复非常有必要 p审计跟踪是系统活动的流水记录审计跟踪是系统活动的流水记录该记录按事件从始至终的途径,顺序该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动审计跟踪记录系统活动和用检查、审查和检验每个事件的环境及活动审计跟踪记录系统活动和用户活动审计跟踪可以发现违反安全策略的活动、影响运行效率的问题户活动审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误审计跟踪不但有助于帮助系统管理员确保系统及其以及程序中的错误审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能帮助恢复数据。
资源免遭非法授权用户的侵害,同时还能帮助恢复数据四、安全审计技术四、安全审计技术1818�p2、安全审计的内容、安全审计的内容 p审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析检测和故障分析 1)个人职能()个人职能(individual accountability))p审计跟踪是管理人员用来维护个人职能的技术手段如果用户被知道他审计跟踪是管理人员用来维护个人职能的技术手段如果用户被知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施他们就不太会违反安全策略和绕过安全控制措施2)事件重建()事件重建(reconstruction of events))p在发生故障后,审计跟踪可以用于重建事件和数据恢复在发生故障后,审计跟踪可以用于重建事件和数据恢复3)入侵检测()入侵检测(intrusion detection))p审计跟踪记录可以用来协助入侵检测工作如果将审计的每一笔记录都审计跟踪记录可以用来协助入侵检测工作。
如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动进行上下文分析,就可以实时发现或是过后预防入侵检测活动4)故障分析()故障分析(problem analysis))p审计跟踪可以用于实时审计或监控审计跟踪可以用于实时审计或监控四、安全审计技术四、安全审计技术1919�p3、安全审计的目标、安全审计的目标 p计算机安全审计机制的目标如下:计算机安全审计机制的目标如下: 1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击方面,提供的信息应不足以使他们自己也能够进行攻击 2)应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系统资源收集信息统资源收集信息 3)应能够对一个给定的资源应能够对一个给定的资源(其他用户也被视为资源其他用户也被视为资源)进行审计分析,分进行审计分析,分辨看似正常的活动,以发现内部计算机系统的不正当使用;辨看似正常的活动,以发现内部计算机系统的不正当使用; 4)设计审计机制时,应将系统攻击者的策略也考虑在内。
设计审计机制时,应将系统攻击者的策略也考虑在内p 概括而言,审计系统的目标至少包括:概括而言,审计系统的目标至少包括:确定和保持系统活动中每个人确定和保持系统活动中每个人的责任的责任;;确认重建事件的发生确认重建事件的发生;;评估损失评估损失;;临测系统问题区临测系统问题区;提供有效;提供有效的灾难恢复依据;的灾难恢复依据;提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据;提供案件侦破;提供案件侦破证据四、安全审计技术四、安全审计技术2020�p4、安全审计的系统、安全审计的系统p审计通过对所关心的事件进行记录和分析来实现,含以下几部分审计通过对所关心的事件进行记录和分析来实现,含以下几部分1)日志)日志的内容的内容n日志应包括事件发生的日期和时间、引发事件的用户日志应包括事件发生的日期和时间、引发事件的用户(地址地址)、事件和源和目、事件和源和目的的位置、事件类型、事件成败等的的位置、事件类型、事件成败等2) 安全审计的记录机制安全审计的记录机制n不同的系统可采用不同的机制记录日志日志的记录可能由操作系统完成,不同的系统可采用不同的机制记录日志日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成。
也可以由应用系统或其他专用记录系统完成3)安全审计分析)安全审计分析n通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的主通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的主要内容有:潜在侵害分析、基于异常检测的轮廓、攻击探测要内容有:潜在侵害分析、基于异常检测的轮廓、攻击探测4)审计事件查阅)审计事件查阅n由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要审计系统的安全主要是查阅和存储的安全审计事件的查阅全性十分重要审计系统的安全主要是查阅和存储的安全审计事件的查阅应该受到严格的限制,不能篡改日志应该受到严格的限制,不能篡改日志5)审计事件)审计事件存储存储n审计事件的存储也有安全要求,主要有审计数据的可用性保证和防止丢失审计事件的存储也有安全要求,主要有审计数据的可用性保证和防止丢失四、安全审计技术四、安全审计技术2121�p5、、Windows2003安全审计实例安全审计实例((1)打开安全审核)打开安全审核pWindows 2003的安全审计功能在默认安装时是关闭的。
激活此功能的安全审计功能在默认安装时是关闭的激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测你可以有利于管理员很好的掌握机器的状态,有利于系统的入侵检测你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等配置步从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等配置步骤如下:骤如下:“开始开始”“设置设置”“控制面板控制面板”“管理工具管理工具”“本地安全策略本地安全策略”,选择,选择“本地策略本地策略”中的中的“审审核策略核策略” 四、安全审计技术四、安全审计技术2222�p5、、Windows2003安安全全审计实例审计实例((2)审计子系统结构)审计子系统结构pWindows系统中的每一项事务系统中的每一项事务都可以在一定程度上被审计,可都可以在一定程度上被审计,可以在以在“资源管理器资源管理器”和和“管理工管理工具具”“本地安全策略本地安全策略”打开审打开审计功能p在在“资源管理器资源管理器”中,选择右键中,选择右键菜单中的属性菜单中的属性安全安全高级,再高级,再选择选择“审核审核”以激活目录审核对以激活目录审核对话框,系统管理员可以在这个窗话框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访口选择跟踪有效和无效的文件访问。
问 右图右图p在在“本地安全策略本地安全策略”中,系统管中,系统管理员可以根据各种用户事件的成理员可以根据各种用户事件的成功和失败选择审计策略功和失败选择审计策略右图右图四、安全审计技术四、安全审计技术2323�p5、、Windows2003安全审计实例安全审计实例((3)查看日志)查看日志pWindows的日志文件很多,但主要是系统日志、应用程序日志和安全的日志文件很多,但主要是系统日志、应用程序日志和安全日志三个这三个审计日志是审计一个日志三个这三个审计日志是审计一个Windows系统的核心,所有可系统的核心,所有可被审计的事件都存入了其中的一个日志被审计的事件都存入了其中的一个日志使用使用事件查看器事件查看器的查看日志的查看日志p1))系统日志系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障件或者硬件和控制器的故障 p2))应用程序日志应用程序日志跟踪应用程序关联的事件,比如应用程序产生的象装跟踪应用程序关联的事件,比如应用程序产生的象装载载dll(动态链接库)失败的信息将出现在日志中动态链接库)失败的信息将出现在日志中。
p3))安全日志安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭注意:安全日志的默认状态是关闭的注意:安全日志的默认状态是关闭的四、安全审计技术四、安全审计技术2424�p5、、Windows2003安全审计实例安全审计实例((4)审计日志和记录格式)审计日志和记录格式pWindows的审计日志由一系列的事件记录组成每一个事件记录分为的审计日志由一系列的事件记录组成每一个事件记录分为三个功能部分:头、事件描述和可选的附加数据项三个功能部分:头、事件描述和可选的附加数据项p事件记录头的事件记录头的“源源”指用来响应产生事件记录的软件源可以是一个应指用来响应产生事件记录的软件源可以是一个应用程序、一个系统服务或一个设备驱动程序用程序、一个系统服务或一个设备驱动程序p “类型类型”是事件严重性指示器在系统和应用日志中,类型可以是错误、是事件严重性指示器在系统和应用日志中,类型可以是错误、警告或信息在安全日志中,类型可能是成功审计或失败审计警告或信息在安全日志中,类型可能是成功审计或失败审计p “种类种类”指触发事件类型,主要用在安全日志中指示该类事件的成功或指触发事件类型,主要用在安全日志中指示该类事件的成功或失败审计已经被许可。
失败审计已经被许可四、安全审计技术四、安全审计技术2525�p5、、Windows2003安全审计实例安全审计实例((5)事件日志管理特征)事件日志管理特征pWindows提供了大量特征给系统管理员去管理系统事件日志机制当提供了大量特征给系统管理员去管理系统事件日志机制当系统开始运行时,系统和应用事件日志也自动开始当日志文件满并且系统开始运行时,系统和应用事件日志也自动开始当日志文件满并且系统配置规定它们必须被手工清除时,日志停止系统配置规定它们必须被手工清除时,日志停止6)安全日志的审计策略)安全日志的审计策略p审计规则既可以审计成功操作,又可以审计失败操作包括:审计规则既可以审计成功操作,又可以审计失败操作包括:1)登录及)登录及注销;注销;2)用户及组管理;)用户及组管理;3)文件及对象访问;)文件及对象访问;4)安全性规则更改;)安全性规则更改;5)重新启动、关机及系统级事件;)重新启动、关机及系统级事件;6)进程追踪;)进程追踪;7)文件和目录审计文件和目录审计7)管理和维护审计)管理和维护审计p通常情况下,通常情况下,Windows不是将所有的事件都记录日志,而需要手动启不是将所有的事件都记录日志,而需要手动启动审计的功能。
选择动审计的功能选择“本地安全策略本地安全策略”,选择设置相应的项目即可选择设置相应的项目即可p当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三方提供的工具是一个较有效率的选择方提供的工具是一个较有效率的选择四、安全审计技术四、安全审计技术2626�本章小结本章小结p操作系统的安全是信息系统安全的重要保证之一,操作系统的安全是信息系统安全的重要保证之一,本章在分级保护的基础上,提出操作系统安全的技本章在分级保护的基础上,提出操作系统安全的技术要求,并重点介绍了访问控制技术术要求,并重点介绍了访问控制技术p访问控制分自主访问控制、强制访问控制和基于角访问控制分自主访问控制、强制访问控制和基于角色的访问控制三种类型针对色的访问控制三种类型针对Windows 2003操操作系统,介绍了访问控制和安全审计的实现过程作系统,介绍了访问控制和安全审计的实现过程pGBT 20272-2006 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求pGBT 20008-2005 信息安全技术信息安全技术 操作系统安全评估准则操作系统安全评估准则2727�作业:作业:p三、名词解释三、名词解释n访问控制访问控制 访问控制表访问控制表 访问标识访问标识n EFS SSOOS TCBp四、简答题四、简答题n5n7n82828�。