收藏
下载资源

CH06操作系统安全技术

上传人:新** 文档编号:570019883 上传时间:2024-08-01 格式:PPT 页数:28 大小:263.50KB
返回 下载 相关 举报
CH06操作系统安全技术_第1页
第1页 / 共28页
CH06操作系统安全技术_第2页
第2页 / 共28页
CH06操作系统安全技术_第3页
第3页 / 共28页
CH06操作系统安全技术_第4页
第4页 / 共28页
CH06操作系统安全技术_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《CH06操作系统安全技术》由会员分享,可在线阅读,更多相关《CH06操作系统安全技术(28页珍藏版)》请在金锄头文库上搜索。

1、信息安全技术教学课件 V2010.03 操作系统安全技术操作系统安全技术第第 6 章章本章要点本章要点p操操作作系系统统是是信信息息安安全全技技术术体体系系中中重重要要的的组组成成部部分分,针针对对GB 17859-1999关关于于信信息息系系统统安安全全保保护护的的要要求求,本本章章介介绍绍操操作作系系统统应应该该具具有有的的安全技术措施。安全技术措施。pGB/T 20272-2006 信信息息安安全全技技术术 操操作作系系统统安安全全技术要求技术要求2 2一、一、操作系统安全概述操作系统安全概述p1、操作系统安全的含义、操作系统安全的含义n计计算算机机操操作作系系统统的的主主要要功功能能是

2、是进进行行计计算算机机资资源源管管理理和和提提供供用用户户使使用用计计算算机的界面。机的界面。n用用户户资资源源可可以以归归结结为为以以文文件件形形式式表表示示的的数数据据信信息息资资源源,系系统统资资源源包包括括系系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。n对操作系统中资源的保护,实际上是对操作系统中文件的保护。对操作系统中资源的保护,实际上是对操作系统中文件的保护。n操操作作系系统统的的安安全全保保护护的的功功能能要要求求,需需要要从从操操作作系系统统的的安安全全运运行行和和操操作作系系统统数数据据的的安安全全保保

3、护护两两方方面面。操操作作系系统统的的安安全全主主要要通通过过身身份份鉴鉴别别、自自主主访访问问控控制制、标标记记和和强强制制访访问问控控制制、数数据据流流控控制制、审审计计、数数据据完完整整性性、数数据据保保密密性性等等几几方方面面来来实实现现系系统统的的安安全全需需要要(GB 17859和和GB/T 20271)。)。p实实现现各各种种类类型型的的操操作作系系统统安安全全需需要要的的所所有有安安全全技技术术称称为为操操作作系系统统安安全全技技术术。操操作作系系统统安安全全子子系系统统( SSOOS ,Security Subsystem Of Operating System),是是操操作

4、作系系统统的的可可信信计计算算基基(TCB),指指操操作作系系统统中中硬硬件件、固固件件、软软件件和和负负责责执执行安全策略的所有相关的安全保护装置。行安全策略的所有相关的安全保护装置。3 3一、一、操作系统安全概述操作系统安全概述p2、操作系统安全的组成、操作系统安全的组成 n操操作作系系统统的的安安全全,应应该该从从安安全全功功能能和和安安全全保保证证两两方方面面综综合合考考虑虑。每每一一等等级级的的信信息息系系统统,都都有有不不同同的的安安全全功功能能要要求求和和安安全全保保证证措措施施。图图6.1表表示示了了操操作作系系统安全技术要求的组成及相互关系。统安全技术要求的组成及相互关系。4

5、 4一、一、操作系统安全概述操作系统安全概述p3、操作系统的主体与客体、操作系统的主体与客体 n在操作系统中,每一个实体成分都必须是主体或客体,或者既是主体在操作系统中,每一个实体成分都必须是主体或客体,或者既是主体又是客体。又是客体。n主体是一个主动的实体,它包括用户、用户组、进程等主体是一个主动的实体,它包括用户、用户组、进程等。系统中最基。系统中最基本的主体是用户,系统中的所有事件,几乎都是由用户激发的。用户本的主体是用户,系统中的所有事件,几乎都是由用户激发的。用户的所有事件都要通过运行进程来处理。进程是用户的客体,但又是访的所有事件都要通过运行进程来处理。进程是用户的客体,但又是访问

6、对象的主体。问对象的主体。n客体是一个被动的实体。客体是一个被动的实体。在操作系统中,客体可以是按一定格式存储在操作系统中,客体可以是按一定格式存储在记录介质中的数据信息(文件),也可以是操作系统中的进程在记录介质中的数据信息(文件),也可以是操作系统中的进程。n访问控制等安全措施都是由主体对客体实施操作完成访问控制等安全措施都是由主体对客体实施操作完成的。的。5 5二、二、操作系统安全的技术要求操作系统安全的技术要求p身份鉴别身份鉴别p访问控制访问控制p安全审计安全审计p用户数据的完整性和保密性用户数据的完整性和保密性p可信路径可信路径6 6p1、身份鉴别、身份鉴别n身份鉴别包括对用户的身份

7、进行标识和鉴别。身份鉴别包括对用户的身份进行标识和鉴别。用户标识用户标识n(1)凡需进入操作系统的用户,应先进行标识,即建立账号;)凡需进入操作系统的用户,应先进行标识,即建立账号;n(2)操作系统用户标识一般使用用户名和用户标识符()操作系统用户标识一般使用用户名和用户标识符(UID)。)。用户鉴别用户鉴别n(1)采用口令进行鉴别,并在每次用户登录系统时进行鉴别;)采用口令进行鉴别,并在每次用户登录系统时进行鉴别;n(2)通过对不成功的鉴别尝试的值进行预先定义,并明确规定达到该值时应)通过对不成功的鉴别尝试的值进行预先定义,并明确规定达到该值时应该采取的措施,公平实现鉴别失败的处理。该采取的

8、措施,公平实现鉴别失败的处理。用户主体行为绑定用户主体行为绑定n(1)用户进程与所有者相关联,进程行为可追溯到进程的所有者;)用户进程与所有者相关联,进程行为可追溯到进程的所有者;n(2)进程与当前服务要求者相关联,系统进程行为可追溯到服务的要求者。)进程与当前服务要求者相关联,系统进程行为可追溯到服务的要求者。二、操作系统安全的技术要求二、操作系统安全的技术要求7 7p2、访问控制、访问控制n访访问问控控制制是是在在保保障障授授权权用用户户能能获获取取所所需需资资源源的的同同时时拒拒绝绝非非授授权权用用户户的的安安全全机机制。制。访问控制也是信息安全理论基础的重要组成部分。访问控制也是信息安

9、全理论基础的重要组成部分。n本本章章讲讲述述访访问问控控制制的的原原理理、作作用用、分分类类和和研研究究前前沿沿,重重点点介介绍绍较较典典型型的的自自主主访问控制、强制访问控制和基于角色的访问控制。访问控制、强制访问控制和基于角色的访问控制。(1)访问控制原理)访问控制原理n访访问问控控制制机机制制将将根根据据预预先先设设定定的的规规则则对对用用户户访访问问某某项项资资源源(目目标标)进进行行控控制制,只只有有规规则则允允许许时时才才能能访访问问,违违反反预预定定的的安安全全规规则则的的访访问问行行为为将将被被拒拒绝绝。资资源源可可以以是是信信息息资资源源、处处理理资资源源、通通信信资资源源或

10、或者者物物理理资资源源,访访问问方方式式可可以以是是获获取取信息、修改信息或者完成某种功能信息、修改信息或者完成某种功能,一般情况可以理解为读、写或者执行。,一般情况可以理解为读、写或者执行。 二、操作系统安全的技术要求二、操作系统安全的技术要求8 8p2、访问控制、访问控制(2)自主访问控制()自主访问控制(Discretionary Access Control,DAC)n自自主主访访问问控控制制就就是是由由拥拥有有资资源源的的用用户户自自己己来来决决定定其其他他一一个个或或一一些些主主体体可可以以在在什么程度上访问哪些资源。什么程度上访问哪些资源。 n主主体体、客客体体以以及及相相应应的

11、的权权限限组组成成系系统统的的访访问问控控制制矩矩阵阵。在在访访问问控控制制矩矩阵阵中中,每每一一行行表表示示一一个个主主体体的的所所有有权权限限;每每一一列列则则是是关关于于一一个个客客体体的的所所有有权权限限;矩矩阵阵中中的的元元素素是是该该元元素素所所在在行行对对应应的的主主体体对对该该元元素素所所在在列列对对应应的的客客体体的的访访问问权权限。限。 n访访问问控控制制表表(Access Control List,ACL)是是基基于于访访问问控控制制矩矩阵阵中中列列的的自自主主访访问问控控制制。它它在在一一个个客客体体上上附附加加一一个个主主体体明明晰晰表表,来来表表示示各各个个主主体体

12、对对这这个客体的访问权限。个客体的访问权限。n访访问问能能力力表表(Access Capabilities List)是是最最常常用用的的基基于于行行的的自自主主访访问问控控制制。能能力力(capability) 是是为为主主体体提提供供的的、对对客客体体具具有有特特定定访访问问权权限限的的不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体。不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体。二、操作系统安全的技术要求二、操作系统安全的技术要求9 9p2、访问控制、访问控制(3)强制访问控制)强制访问控制(Mandatory Access Control, MAC)

13、n强强制制访访问问控控制制系系统统为为所所有有的的主主体体和和客客体体指指定定安安全全级级别别,比比如如绝绝密密级级、机机密密级级、秘秘密密级级和和无无密密级级。不不同同级级别别标标记记了了不不同同重重要要程程度度和和能能力力的的实实体体。不不同同级级别别的的主体对不同级别的客体的访问是在强制的安全策略下实现主体对不同级别的客体的访问是在强制的安全策略下实现的。的。n实实体体的的安安全全级级别别是是由由敏敏感感标标记记(Sensitivity Label)来来表表示示,是是表表示示实实体体安安全全级级别别的的一一组组信信息息,在在安安全全机机制制中中把把敏敏感感标标记记作作为为强强制制访访问问

14、控控制制决决策策的的依依据。据。(4)基于角色的访问控制)基于角色的访问控制(Role Based Access Control,RBAC)n在在基基于于角角色色的的访访问问控控制制模模式式中中,用用户户不不是是自自始始至至终终以以同同样样的的注注册册身身份份和和权权限限访访问问系系统统,而而是是以以一一定定的的角角色色访访问问,不不同同的的角角色色被被赋赋予予不不同同的的访访问问权权限限。系系统按照自主访问控制或强制访问控制机制控制角色的访问能力。统按照自主访问控制或强制访问控制机制控制角色的访问能力。 n一一个个主主体体可可以以同同时时担担任任多多个个角角色色。基基于于角角色色的的访访问问

15、控控制制就就是是通通过过各各种种角角色色的的不不同同搭搭配配授授权权来来尽尽可可能能实实现现主主体体的的最最小小权权限限(最最小小授授权权指指主主体体在在能能够够完完成成所所有必需的访问工作基础上的最小权限有必需的访问工作基础上的最小权限)。)。n授授权权管管理理的的控控制制途途径径:改改变变客客体体的的访访问问权权限限改改变变角角色色的的访访问问权权限限改改变变主主体所担任的角色。体所担任的角色。二、操作系统安全的技术要求二、操作系统安全的技术要求1010p3、安全审计、安全审计n安全审计是指在一个信息系统中以维护系统安全为目的的审计,即为了保障安全审计是指在一个信息系统中以维护系统安全为目

16、的的审计,即为了保障系统、网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术系统、网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段手段实时收集和监控系统中每一个组成部分的状态、安全事件实时收集和监控系统中每一个组成部分的状态、安全事件,以便集中报,以便集中报警、分析、处理的一种技术手段。警、分析、处理的一种技术手段。n安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性控制等安全功能紧密结合。控制等安全功能紧密结合。n提供对受保护客体访问的审计跟踪功能,保护审计记录不被未授权访问、修提供对

17、受保护客体访问的审计跟踪功能,保护审计记录不被未授权访问、修改和破坏改和破坏。n提供可选择的审计事件,生成的审计日志可管理。提供可选择的审计事件,生成的审计日志可管理。 二、操作系统安全的技术要求二、操作系统安全的技术要求1111p4、用户数据的完整性和保密性、用户数据的完整性和保密性n在安全功能控制范围内。为主体和客体设置完整性标签,并建立完整性保护在安全功能控制范围内。为主体和客体设置完整性标签,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性。策略模型,保护用户数据在存储、传输和处理过程中的完整性。n提供硬盘数据的备份和修复功能,可将硬盘中的数据压缩和备份,并在必要

18、提供硬盘数据的备份和修复功能,可将硬盘中的数据压缩和备份,并在必要时恢复。时恢复。n确保硬盘数据的授权使用,保证系统内各个用户之间互不干扰。确保硬盘数据的授权使用,保证系统内各个用户之间互不干扰。p5、可信路径、可信路径n在在第第四四级级和和第第五五级级安安全全系系统统中中,要要求求提提供供用用户户初初始始登登录录/鉴鉴别别时时的的可可信信路路径径,在在SSOOS与用户间建立一条安全的信息传输通路。与用户间建立一条安全的信息传输通路。二、操作系统安全的技术要求二、操作系统安全的技术要求1212p1、Windows的安全模型与基本概念的安全模型与基本概念(1)安全模型)安全模型Windows的安

19、全模型由以下几个关键部分构成:的安全模型由以下几个关键部分构成:1)登录过程(登录过程(Logon Process,LP)。接受本地用户或者远程用户的登录。接受本地用户或者远程用户的登录请求,处理用户信息,为用户做一些初始化工作。请求,处理用户信息,为用户做一些初始化工作。2)本地安全授权机构(本地安全授权机构(Local Security Authority,LSA)。根据安全账。根据安全账号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志。号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志。这是整个安全子系统的核心。这是整个安全子系统的核心。3)安全账号管理器(

20、安全账号管理器(Security Account Manager,SAM)。维护账号的。维护账号的安全性管理数据库(安全性管理数据库(SAM数据库,又称目录数据库)。数据库,又称目录数据库)。4)安全引用监视器(安全引用监视器(Security Reference Monitor,SRM)。检查存取。检查存取合法性,防止非法存取和修改。合法性,防止非法存取和修改。三、三、Windows 2003的访问控制的访问控制1313p1、Windows的安全模型与基本概念的安全模型与基本概念(2)安全概念)安全概念1)安全标识(安全标识(Security Identifier,SID):是标识用户、组和

21、计算机帐:是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的个唯一的 SID。安全标识和账号唯一对应,在账号创建时创建,账号删除时。安全标识和账号唯一对应,在账号创建时创建,账号删除时删除,而且永不再用。安全标识与对应的用户和组的账号信息一起存储在删除,而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。数据库里。2)访问令牌(访问令牌(Access Token)。当用户登录时,本地安全授权机构为用户。当用户登录时,本地安全授权机构为用户创建一个访问令牌,包括

22、用户名、所在组、安全标识等信息。以后,用户的创建一个访问令牌,包括用户名、所在组、安全标识等信息。以后,用户的所有程序都将拥有访问令牌的拷贝。所有程序都将拥有访问令牌的拷贝。3)主体主体。用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,。用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,这个令牌与该用户所有的操作相联系,用户进行的操作和访问令牌一起构成这个令牌与该用户所有的操作相联系,用户进行的操作和访问令牌一起构成一个主体。一个主体。4)对象、资源、共享资源对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息。对象的实质是封装了数据和处理过程的一系列信息集

23、合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。5)安全描述符(安全描述符(Security Descript)。Windows系统中共享资源的安全系统中共享资源的安全特性描述,包含了该对象的一组安全属性,分为特性描述,包含了该对象的一组安全属性,分为所有者安全标识所有者安全标识、组安全标组安全标识识(GroupSecurity)、)、自主访问控制表自主访问控制表(Discretionary Access Control List,DAC)、)、系统访问控制表系统访问控制表(ACL)四个部分。)四个部分。三、三、Wi

24、ndows 2003的访问控制的访问控制1414p2、Windows的访问控制过程的访问控制过程p当一个账号被创建时,当一个账号被创建时,Windows系统为它分配一个系统为它分配一个SID,并与其他账,并与其他账号信息一起存入号信息一起存入SAM数据库。数据库。p用户登录管理。登录主机(通常为工作站)的系统首先把用户输入的用用户登录管理。登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器,安户名、口令和用户希望登录的服务器域信息送给安全账号管理器,安全账号管理器将这些信息与全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,数

25、据库中的信息进行比较,如果匹配,服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在组的安全标识,工作站系统为用户生成一个进程。服务器还要记录用户组的安全标识,工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。账号的特权、主目录位置、工作站参数等信息。p本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标识等信息。此后用户每新建一个进程,都将访问令牌复制作为该进程的识等信息。此后用户每新建一个进程,都将访问令牌复

26、制作为该进程的访问令牌。访问令牌。p用户访问进程管理。安全引用监视器将用户用户访问进程管理。安全引用监视器将用户/进程的访问令牌中的进程的访问令牌中的SID与与对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权访问对象。访问对象。三、三、Windows 2003的访问控制的访问控制1515p2、Windows的访问控制过程的访问控制过程p权限(权限(Permission):精确定制用户对资源的访问控制能力。):精确定制用户对资源的访问控制能力。p权限管理原则权限管理原则(1)拒绝优于允许原则)拒绝优于允许原则(2)权限最

27、小化原则)权限最小化原则(3)权限继承性原则)权限继承性原则(4)累加原则)累加原则p“拒绝优于允许拒绝优于允许”原则是用于解决权限设置上的冲突问题;原则是用于解决权限设置上的冲突问题;“权限最小权限最小化化”原则是用于保障资源安全;原则是用于保障资源安全;“权限继承性权限继承性”原则是用于原则是用于“自动化自动化”执行权限设置的;而执行权限设置的;而“累加原则累加原则”则是让权限的设置更加灵活多变。则是让权限的设置更加灵活多变。 p资源权限的应用:依据是否被共享到网络,其权限可以分为资源权限的应用:依据是否被共享到网络,其权限可以分为NTFS权限权限(本地权限)与共享权限两种。(本地权限)与

28、共享权限两种。nNTFS的标准访问权限的标准访问权限:“套餐型套餐型”的权限,即:完全控制、修改、读取和的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。图运行、列出文件夹目录、读取、写入。图6.5nNTFS的的“特别权限特别权限”(“高级高级”选项),允许用户进行细化权限选择。图选项),允许用户进行细化权限选择。图6.6n三种共享权限三种共享权限:完全控制、更改、读取。:完全控制、更改、读取。三、三、Windows 2003的访问控制的访问控制资源复制或移动时权限的变化资源复制或移动时权限的变化在权限的应用中,设置了权限后的资源需要复制或者是移动,资源的权限会发生变在权限的

29、应用中,设置了权限后的资源需要复制或者是移动,资源的权限会发生变化:化:(1)复制资源)复制资源在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。父级资源的权限。(2)移动资源)移动资源在移动资源时,如果资源的移动发生在同一驱动器内,那么对象将保留本身原有的在移动资源时,如果资源的移动发生在同一驱动器内,那么对象将保留本身原有的权限不变(包括资源本身权限及从父级资源中继承的权限);若资源的移动发生在权限不变(包括资源本身权限及从父级资源中继承的权限);若资源的移动发生在不相同的驱动器之

30、间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继不相同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是进行资源的复制、然后从原有位置彻底删除资源的操作。进行资源的复制、然后从原有位置彻底删除资源的操作。(3)非)非NTFS分区分区 复制或移动资源时,如果将资源复制或移动到非复制或移动资源时,如果将资源复制或移动到非NTFS分区上,那么所有的权限均分区上,那么所有的权限均会自动全部丢失。会自动全部丢失。1616p3、Window

31、s的加密文件系统的加密文件系统 p概念及功能:概念及功能:nWindows的加密文件系统(的加密文件系统(Encrypting File System,EFS)提供一)提供一种核心文件加密技术,该技术用于在种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储基于指定用户文件系统卷上存储基于指定用户SID等信息加密的文件。等信息加密的文件。n对加密该文件的用户,加密是透明的。对加密该文件的用户,加密是透明的。p使用要求:使用要求:n(1)只有)只有NTFS卷上的文件或文件夹才能被加密。卷上的文件或文件夹才能被加密。n(2)被压缩的文件或文件夹不可以加密。)被压缩的文件或文件夹不可以加密。n

32、(3)如果将加密的文件复制或移动到非)如果将加密的文件复制或移动到非NTFS格式的卷上,该文件将会自格式的卷上,该文件将会自动解密。动解密。n(4)如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中)如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。自动加密。n(5)无法加密标记为)无法加密标记为“系统系统”属性的文件,并且位于属性的文件,并且位于%systemroot%目录结目录结构中的文件也无法加密。构中的文件也无法加密。n(6)加密文件夹或文件不能防止删除或列出文件或文件夹表。)加密文件夹或文件不能防止删除或列出文件或文件夹表。n(7)WebDAV(Web分

33、布式创作和版本控制分布式创作和版本控制 )基于基于HTTP1.1,可在本地,可在本地加密文件并采用加密格式发送。加密文件并采用加密格式发送。三、三、Windows 2003的访问控制的访问控制1717p1、安全审计概述、安全审计概述 p审计是对访问控制的必要补充,是访问控制的一个重要内容。审计是对访问控制的必要补充,是访问控制的一个重要内容。p审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何种操作)进行记录与监控。种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,审计和监控是实现系统安全的最后一道防线,处

34、于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。任追查和数据恢复非常有必要。 p审计跟踪是系统活动的流水记录。审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管

35、理员确保系统及其以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能帮助恢复数据。资源免遭非法授权用户的侵害,同时还能帮助恢复数据。四、安全审计技术四、安全审计技术1818p2、安全审计的内容、安全审计的内容 p审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。检测和故障分析。 1)个人职能()个人职能(individual accountability)p审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他审计跟踪是管理人员用来维护个人职能的技术手

36、段。如果用户被知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施他们就不太会违反安全策略和绕过安全控制措施。2)事件重建()事件重建(reconstruction of events)p在发生故障后,审计跟踪可以用于重建事件和数据恢复。在发生故障后,审计跟踪可以用于重建事件和数据恢复。3)入侵检测()入侵检测(intrusion detection)p审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记

37、录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。进行上下文分析,就可以实时发现或是过后预防入侵检测活动。4)故障分析()故障分析(problem analysis)p审计跟踪可以用于实时审计或监控。审计跟踪可以用于实时审计或监控。四、安全审计技术四、安全审计技术1919p3、安全审计的目标、安全审计的目标 p计算机安全审计机制的目标如下:计算机安全审计机制的目标如下: 1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击。方面,提供的信息应不足以使他们自己也能够进

38、行攻击。 2)应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系统资源收集信息。统资源收集信息。 3)应能够对一个给定的资源应能够对一个给定的资源(其他用户也被视为资源其他用户也被视为资源)进行审计分析,分进行审计分析,分辨看似正常的活动,以发现内部计算机系统的不正当使用;辨看似正常的活动,以发现内部计算机系统的不正当使用; 4)设计审计机制时,应将系统攻击者的策略也考虑在内。设计审计机制时,应将系统攻击者的策略也考虑在内。p 概括而言,审计系统的目标至少包括:概括而言,审计系统的目标至少包括:确定和保持系统活动中每个人确定

39、和保持系统活动中每个人的责任的责任;确认重建事件的发生确认重建事件的发生;评估损失评估损失;临测系统问题区临测系统问题区;提供有效;提供有效的灾难恢复依据;的灾难恢复依据;提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据;提供案件侦破;提供案件侦破证据。证据。四、安全审计技术四、安全审计技术2020p4、安全审计的系统、安全审计的系统p审计通过对所关心的事件进行记录和分析来实现,含以下几部分。审计通过对所关心的事件进行记录和分析来实现,含以下几部分。1)日志)日志的内容的内容n日志应包括事件发生的日期和时间、引发事件的用户日志应包括事件发生的日期和时间、引发事件的用户(地址地址

40、)、事件和源和目、事件和源和目的的位置、事件类型、事件成败等。的的位置、事件类型、事件成败等。2) 安全审计的记录机制安全审计的记录机制n不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成,不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成。也可以由应用系统或其他专用记录系统完成。3)安全审计分析)安全审计分析n通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。主通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。主要内容有:潜在侵害分析、基于异常检测的轮廓、攻击探测。要内容有:潜在侵害分析、基于异常

41、检测的轮廓、攻击探测。4)审计事件查阅)审计事件查阅n由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制,不能篡改日志。应该受到严格的限制,不能篡改日志。5)审计事件)审计事件存储存储n审计事件的存储也有安全要求,主要有审计数据的可用性保证和防止丢失。审计事件的存储也有安全要求,主要有审计数据的可用性保证和防止丢失。四、安全审计技术四、安全审计技术2121p5、Wi

42、ndows2003安全审计实例安全审计实例(1)打开安全审核)打开安全审核pWindows 2003的安全审计功能在默认安装时是关闭的。激活此功能的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。你可以有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。配置步从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。配置步骤如下:骤如下:“开始开始”“设置设置”“控制面板控制面板”“管理工具管理工具”“本地安全策略本地安全策略”,选择,选择“本地策略本地策略”中的中的“审审核策略

43、核策略”。 四、安全审计技术四、安全审计技术2222p5、Windows2003安安全全审计实例审计实例(2)审计子系统结构)审计子系统结构pWindows系统中的每一项事务系统中的每一项事务都可以在一定程度上被审计,可都可以在一定程度上被审计,可以在以在“资源管理器资源管理器”和和“管理工管理工具具”“本地安全策略本地安全策略”打开审打开审计功能。计功能。p在在“资源管理器资源管理器”中,选择右键中,选择右键菜单中的属性菜单中的属性安全安全高级,再高级,再选择选择“审核审核”以激活目录审核对以激活目录审核对话框,系统管理员可以在这个窗话框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访口

44、选择跟踪有效和无效的文件访问。问。 右图右图p在在“本地安全策略本地安全策略”中,系统管中,系统管理员可以根据各种用户事件的成理员可以根据各种用户事件的成功和失败选择审计策略。功和失败选择审计策略。右图右图四、安全审计技术四、安全审计技术2323p5、Windows2003安全审计实例安全审计实例(3)查看日志)查看日志pWindows的日志文件很多,但主要是系统日志、应用程序日志和安全的日志文件很多,但主要是系统日志、应用程序日志和安全日志三个。这三个审计日志是审计一个日志三个。这三个审计日志是审计一个Windows系统的核心,所有可系统的核心,所有可被审计的事件都存入了其中的一个日志。被审

45、计的事件都存入了其中的一个日志。使用使用事件查看器事件查看器的查看日志。的查看日志。p1)系统日志系统日志。跟踪各种各样的系统事件,比如跟踪系统启动过程中的事。跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。件或者硬件和控制器的故障。 p2)应用程序日志应用程序日志。跟踪应用程序关联的事件,比如应用程序产生的象装。跟踪应用程序关联的事件,比如应用程序产生的象装载载dll(动态链接库)失败的信息将出现在日志中。(动态链接库)失败的信息将出现在日志中。p3)安全日志安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动。跟踪事件如登录上网、下网、改变访问权限以及系

46、统启动和关闭。和关闭。注意:安全日志的默认状态是关闭的。注意:安全日志的默认状态是关闭的。四、安全审计技术四、安全审计技术2424p5、Windows2003安全审计实例安全审计实例(4)审计日志和记录格式)审计日志和记录格式pWindows的审计日志由一系列的事件记录组成。每一个事件记录分为的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分:头、事件描述和可选的附加数据项。三个功能部分:头、事件描述和可选的附加数据项。p事件记录头的事件记录头的“源源”指用来响应产生事件记录的软件。源可以是一个应指用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。

47、用程序、一个系统服务或一个设备驱动程序。p “类型类型”是事件严重性指示器。在系统和应用日志中,类型可以是错误、是事件严重性指示器。在系统和应用日志中,类型可以是错误、警告或信息。在安全日志中,类型可能是成功审计或失败审计。警告或信息。在安全日志中,类型可能是成功审计或失败审计。p “种类种类”指触发事件类型,主要用在安全日志中指示该类事件的成功或指触发事件类型,主要用在安全日志中指示该类事件的成功或失败审计已经被许可。失败审计已经被许可。四、安全审计技术四、安全审计技术2525p5、Windows2003安全审计实例安全审计实例(5)事件日志管理特征)事件日志管理特征pWindows提供了大

48、量特征给系统管理员去管理系统事件日志机制。当提供了大量特征给系统管理员去管理系统事件日志机制。当系统开始运行时,系统和应用事件日志也自动开始。当日志文件满并且系统开始运行时,系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时,日志停止。系统配置规定它们必须被手工清除时,日志停止。(6)安全日志的审计策略)安全日志的审计策略p审计规则既可以审计成功操作,又可以审计失败操作。包括:审计规则既可以审计成功操作,又可以审计失败操作。包括:1)登录及)登录及注销;注销;2)用户及组管理;)用户及组管理;3)文件及对象访问;)文件及对象访问;4)安全性规则更改;)安全性规则更改

49、;5)重新启动、关机及系统级事件;)重新启动、关机及系统级事件;6)进程追踪;)进程追踪;7)文件和目录审计。)文件和目录审计。(7)管理和维护审计)管理和维护审计p通常情况下,通常情况下,Windows不是将所有的事件都记录日志,而需要手动启不是将所有的事件都记录日志,而需要手动启动审计的功能。选择动审计的功能。选择“本地安全策略本地安全策略”,选择设置相应的项目即可。,选择设置相应的项目即可。p当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三方提供的工具是一个较有效率的选择。方提供的工具是一个较有效率的选择。四、安

50、全审计技术四、安全审计技术2626本章小结本章小结p操作系统的安全是信息系统安全的重要保证之一,操作系统的安全是信息系统安全的重要保证之一,本章在分级保护的基础上,提出操作系统安全的技本章在分级保护的基础上,提出操作系统安全的技术要求,并重点介绍了访问控制技术。术要求,并重点介绍了访问控制技术。p访问控制分自主访问控制、强制访问控制和基于角访问控制分自主访问控制、强制访问控制和基于角色的访问控制三种类型。针对色的访问控制三种类型。针对Windows 2003操操作系统,介绍了访问控制和安全审计的实现过程。作系统,介绍了访问控制和安全审计的实现过程。pGBT 20272-2006 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求pGBT 20008-2005 信息安全技术信息安全技术 操作系统安全评估准则操作系统安全评估准则2727作业:作业:p三、名词解释三、名词解释n访问控制访问控制 访问控制表访问控制表 访问标识访问标识n EFS SSOOS TCBp四、简答题四、简答题n5n7n82828

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号