第7章操作系統(tǒng)的安全

《計(jì)算機(jī)網(wǎng)絡(luò)安全》

課程講義清華大學(xué)出版社1第七章操作系統(tǒng)的安全2本章內(nèi)容操作系統(tǒng)安全的現(xiàn)狀計(jì)算機(jī)安全等級(jí)及信息安全技術(shù)評(píng)估準(zhǔn)則

單點(diǎn)登錄機(jī)制

主流操作系統(tǒng)的主要安全機(jī)制

3學(xué)習(xí)目標(biāo)了解操作系統(tǒng)安全的現(xiàn)狀了解計(jì)算機(jī)安全等級(jí)及信息安全技術(shù)評(píng)估準(zhǔn)則

了解單點(diǎn)登錄機(jī)制

了解主流操作系統(tǒng)的主要安全機(jī)制

47.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識(shí)

計(jì)算機(jī)系統(tǒng)由硬件、軟件和數(shù)據(jù)組成。在計(jì)算機(jī)系統(tǒng)的運(yùn)行中，操作系統(tǒng)提供了合理利用這些資源的途徑。操作系統(tǒng)一般具有4個(gè)基本特征：并發(fā)性、共享性、虛擬性和不確定性。57.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識(shí)

（1）進(jìn)程管理進(jìn)程管理指的是操作系統(tǒng)調(diào)整復(fù)數(shù)進(jìn)程的功能。除了進(jìn)程管理之外，OS還擔(dān)負(fù)進(jìn)程間通訊、進(jìn)程異常終止處理以及死鎖偵測(cè)及處理等任務(wù)。（2）內(nèi)存管理OS的內(nèi)存管理提供尋找可用的記憶空間、配置與釋放記憶空間、交換內(nèi)存和低速儲(chǔ)存設(shè)備的內(nèi)含物等功能

67.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識(shí)

（3）磁盤(pán)與文件系統(tǒng)

文件系統(tǒng)通常指的是管理磁盤(pán)數(shù)據(jù)的系統(tǒng)，其可將數(shù)據(jù)以目錄或文件的型式儲(chǔ)存。每個(gè)文件系統(tǒng)都有自己特殊的格式與功能。OS擁有多種內(nèi)置文件系統(tǒng)。（4）網(wǎng)絡(luò)許多現(xiàn)代的OS都具備操作主流網(wǎng)絡(luò)通訊協(xié)議TCP/IP的能力。這就使得操作系統(tǒng)可以進(jìn)入網(wǎng)絡(luò)世界，并且與其他系統(tǒng)分享如文件、打印機(jī)與掃描機(jī)等資源。77.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識(shí)

（5）安全OS為外界提供直接或間接存取數(shù)種資源的管道；OS有能力認(rèn)證資源存取的請(qǐng)求，允許通過(guò)認(rèn)證的請(qǐng)求并拒絕無(wú)法通過(guò)的非法請(qǐng)求。（6）內(nèi)部信息安全內(nèi)部信息安全可視為防止正在執(zhí)行的程序任意存取系統(tǒng)資源的手段。

87.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識(shí)

（7）外部信息安全一個(gè)操作系統(tǒng)通常會(huì)為其他網(wǎng)絡(luò)上的電腦或使用者提供各種服務(wù)。這些服務(wù)通常借由端口或OS網(wǎng)絡(luò)地址后的數(shù)字存取點(diǎn)提供。外部信息安全的最前線，是防火墻等的硬件設(shè)備。在OS內(nèi)部也常常設(shè)置許多種類(lèi)的軟件防火墻。

97.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)安全威脅的類(lèi)型

107.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)

國(guó)際標(biāo)準(zhǔn)化組織采納了由美、英等國(guó)提出的“信息技術(shù)安全評(píng)價(jià)公共準(zhǔn)則（CC）”作為國(guó)際標(biāo)準(zhǔn)。CC為相互獨(dú)立的機(jī)構(gòu)對(duì)相應(yīng)信息技術(shù)安全產(chǎn)品進(jìn)行評(píng)價(jià)提供了可比性。

117.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)

1.可信任計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC）美國(guó)國(guó)防部在20世紀(jì)80年代中期制定了一組計(jì)算機(jī)系統(tǒng)安全需求標(biāo)準(zhǔn)，其中核心的是具有橙色封皮的“可信任計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)”，簡(jiǎn)稱(chēng)為“橙皮書(shū)”。該標(biāo)準(zhǔn)將計(jì)算機(jī)系統(tǒng)的安全程度劃分為8個(gè)等級(jí)：D1、C1、C2、B1、B2、B3、A1和A2。

127.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)

TCSEC在操作系統(tǒng)級(jí)上提出的可信計(jì)算機(jī)基礎(chǔ)TCB包含的安全內(nèi)容有：操作系統(tǒng)內(nèi)核、具有特權(quán)的程序與命令、具有處理敏感信息的程序、與實(shí)施安全策略有關(guān)的文檔資料、保障硬件正確運(yùn)行的程序和診斷程序、構(gòu)成系統(tǒng)的可信硬件、負(fù)責(zé)管理系統(tǒng)的人員。137.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)

2.國(guó)內(nèi)的安全操作系統(tǒng)評(píng)估標(biāo)準(zhǔn)《信息技術(shù)安全性評(píng)估準(zhǔn)則》GB/T183362001。該準(zhǔn)則將操作系統(tǒng)安全分為五個(gè)級(jí)別，分別是用戶(hù)自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。

147.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)

2.國(guó)內(nèi)的安全操作系統(tǒng)評(píng)估標(biāo)準(zhǔn)

157.1操作系統(tǒng)安全性的基本概念常見(jiàn)的系統(tǒng)安全保護(hù)方法

1.備份數(shù)據(jù)建議各級(jí)用戶(hù)都要及時(shí)妥善備份自有的數(shù)據(jù)，如歷年資料、重要方案、管理文獻(xiàn)、重要數(shù)據(jù)等，并且要備份到本機(jī)之外的存儲(chǔ)介質(zhì)上。2.預(yù)防病毒提高系統(tǒng)的自我保護(hù)能力，經(jīng)常進(jìn)行系統(tǒng)更新；安裝防殺病毒的軟件，及時(shí)升級(jí)殺毒軟件，定期使用殺毒軟件掃描系統(tǒng)。167.1操作系統(tǒng)安全性的基本概念常見(jiàn)的系統(tǒng)安全保護(hù)方法

3.病毒查殺電腦在感染病毒后，總是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象。停止對(duì)電腦的任何操作，啟動(dòng)殺毒軟件，對(duì)整個(gè)硬盤(pán)進(jìn)行病毒查殺。特殊情況下還需要斷開(kāi)網(wǎng)絡(luò)，在安全模式下殺毒。4.后期處理如果受破壞的是系統(tǒng)軟件，并且染毒程度比較重，可能導(dǎo)致系統(tǒng)不能啟動(dòng)或正常使用。在殺毒完畢后，需要針對(duì)不同的操作系統(tǒng)進(jìn)行修復(fù)性措施。

177.1操作系統(tǒng)安全性的基本概念常見(jiàn)的系統(tǒng)安全保護(hù)方法

5.防ARP攻擊ARP攻擊是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，從而在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。比較常用的ARP工具主要用來(lái)檢測(cè)ARP攻擊，其工作原理是以一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。187.2單點(diǎn)登錄的訪問(wèn)管理單點(diǎn)登錄的概念

單點(diǎn)登錄（SSO）是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一，指的是在多個(gè)應(yīng)用系統(tǒng)中，用戶(hù)只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。根據(jù)登錄的應(yīng)用類(lèi)型不同，可分為：

1）對(duì)桌面資源的統(tǒng)一訪問(wèn)管理。

2）Web單點(diǎn)登錄（Web-SSO）197.2單點(diǎn)登錄的訪問(wèn)管理單點(diǎn)登錄的概念

Web單點(diǎn)登錄訪問(wèn)管理系統(tǒng)示意圖：207.2單點(diǎn)登錄的訪問(wèn)管理SSO實(shí)現(xiàn)機(jī)制

第一次訪問(wèn)應(yīng)用系統(tǒng)A時(shí)，由于還沒(méi)有登錄，用戶(hù)會(huì)被引導(dǎo)至認(rèn)證系統(tǒng)中進(jìn)行登錄。根據(jù)用戶(hù)提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份驗(yàn)證，若通過(guò)，認(rèn)證系統(tǒng)返回給用戶(hù)一個(gè)認(rèn)證的憑據(jù)（Ticket）。用戶(hù)再訪問(wèn)別的應(yīng)用時(shí)，會(huì)帶上這個(gè)Ticket作為自己認(rèn)證的憑據(jù)。應(yīng)用系統(tǒng)接受到請(qǐng)求之后將Ticket送入認(rèn)證系統(tǒng)進(jìn)行驗(yàn)證，若合法則通過(guò)驗(yàn)證，用戶(hù)就可以在不用再次登錄的情況下訪問(wèn)系統(tǒng)B或系統(tǒng)C了。

217.2單點(diǎn)登錄的訪問(wèn)管理SSO實(shí)現(xiàn)機(jī)制

要實(shí)現(xiàn)SSO，需要實(shí)現(xiàn)以下主要的功能：1）所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。統(tǒng)一的認(rèn)證系統(tǒng)是SSO的一個(gè)前提。認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志返回給用戶(hù)。

2）所有應(yīng)用系統(tǒng)能夠識(shí)別和提取Ticket信息。應(yīng)用系統(tǒng)需要對(duì)Ticket進(jìn)行識(shí)別和提前，通過(guò)與認(rèn)證系統(tǒng)的通信，自動(dòng)判斷出當(dāng)前用戶(hù)是否已經(jīng)登錄過(guò)，從而完成單點(diǎn)登錄的功能。227.2單點(diǎn)登錄的訪問(wèn)管理WEB-SSO的實(shí)現(xiàn)

Web-SSO可以利用cookie技術(shù)來(lái)完成用戶(hù)登錄信息的保存，將瀏覽器中的cookie和Ticket結(jié)合起來(lái)，完成SSO的功能。為了完成一個(gè)簡(jiǎn)單的WEB-SSO的功能，需要兩個(gè)部分的合作：1）統(tǒng)一的身份認(rèn)證服務(wù)。2）修改Web應(yīng)用，使得每個(gè)應(yīng)用都通過(guò)這個(gè)統(tǒng)一的認(rèn)證服務(wù)來(lái)進(jìn)行身份校驗(yàn)。237.2單點(diǎn)登錄的訪問(wèn)管理WEB-SSO的實(shí)現(xiàn)

實(shí)現(xiàn)WEB-SSO的技術(shù)主要有：（1）基于cookies實(shí)現(xiàn)（2）Broker-based（基于經(jīng)紀(jì)人）（3）Agent-based（基于代理人）（4）Token-based（基于票據(jù)）（5）基于網(wǎng)關(guān)（6）基于安全斷言標(biāo)記語(yǔ)言（SAML）247.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1.UNIX安全

UNIX是一個(gè)強(qiáng)大的多用戶(hù)、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)。其應(yīng)用基于相互信任的環(huán)境，如研究所、實(shí)驗(yàn)室、大學(xué)等，采用了一般的安全機(jī)制。UNIX的超級(jí)權(quán)限是“超級(jí)用戶(hù)”，“超級(jí)用戶(hù)”能完成系統(tǒng)中的任何操作，因此也成為攻擊的對(duì)象。

257.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

UNIX系統(tǒng)的安全性在不斷增加，并出現(xiàn)了許多安全檢測(cè)工具，如Quest、UXA、Alert/Inform、Sfind、USECURE、Kerberos等。系統(tǒng)管理員通過(guò)安全檢測(cè)工具檢測(cè)安全機(jī)制、權(quán)限和安全域設(shè)置、可疑入侵和特洛伊木馬等。在目前的UNIX系統(tǒng)中，常規(guī)UNIX具有C1級(jí)安全級(jí)別，OSF/1具有B1的安全級(jí)別，USL的SVR4/ES則具有B2的安全級(jí)別。

267.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2.LINUX安全

Linux的安全級(jí)基本達(dá)到了C2級(jí)。安全機(jī)制主要有：PAM機(jī)制、文件系統(tǒng)加密、入侵檢測(cè)機(jī)制、安全日志文件機(jī)制、強(qiáng)制訪問(wèn)控制和防火墻機(jī)制等。

277.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1）PAM機(jī)制PAM是一套共享庫(kù)，提供一個(gè)框架和一套編程接口給系統(tǒng)管理員，由系統(tǒng)管理員在多種認(rèn)證方法中選擇適宜的認(rèn)證方法，并能夠改變本地認(rèn)證方法而無(wú)需重新編譯與認(rèn)證相關(guān)的程序。

287.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2）文件系統(tǒng)加密文件系統(tǒng)加密是將加密技術(shù)應(yīng)用到文件系統(tǒng)，從而提高計(jì)算機(jī)系統(tǒng)的安全性。目前的Linux已具有多種加密文件系統(tǒng)，如CFS、TCFS、CRYPTFS等。

TCFS能使合法擁有者以外的用戶(hù)、用戶(hù)和遠(yuǎn)程文件系統(tǒng)通信線路上的偷聽(tīng)著、文件系統(tǒng)服務(wù)器的超級(jí)用戶(hù)不可讀取其保密文件。而對(duì)于合法用戶(hù)，訪問(wèn)保密文件與訪問(wèn)普通文件幾乎沒(méi)有區(qū)別。

297.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

3）入侵檢測(cè)機(jī)制入侵檢測(cè)能力包括：記錄入侵企圖，當(dāng)攻擊發(fā)生時(shí)及時(shí)通知管理員；當(dāng)預(yù)先定義的攻擊行為發(fā)生時(shí)，采取預(yù)定義的措施處理；發(fā)出一些錯(cuò)誤信息，以增加攻擊的難度。

307.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

4）安全日志文件機(jī)制日志是Linux安全結(jié)構(gòu)中的一個(gè)重要內(nèi)容，它是提供攻擊發(fā)生的唯一真實(shí)證據(jù)。Linux會(huì)記錄網(wǎng)絡(luò)、主機(jī)和用戶(hù)級(jí)的日志信息，是調(diào)查網(wǎng)絡(luò)入侵者時(shí)不可缺少的證據(jù)。

317.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

5）強(qiáng)制訪問(wèn)控制

由于Linux是一種自由操作系統(tǒng)，當(dāng)前在其平臺(tái)上實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制的產(chǎn)品包括SELinux、RSBAC、MAC等，采用的策略也各不相同。327.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

6）防火墻機(jī)制

Linux防火墻系統(tǒng)提供了訪問(wèn)控制、審計(jì)、抗攻擊和其他附屬功能。其中，實(shí)現(xiàn)訪問(wèn)控制的方法是執(zhí)行基于地址（源和目標(biāo)）、用戶(hù)和事件的訪問(wèn)控制策略，從而可以禁止非授權(quán)的訪問(wèn)，同時(shí)還能保護(hù)內(nèi)部用戶(hù)的合法訪問(wèn)。

337.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

WindowsNT的安全級(jí)別達(dá)到TCSEC的C2級(jí)。作為WindowsNT的后續(xù)版本，Windows2000/XP提供更多的新的安全機(jī)制。

1.活動(dòng)目錄服務(wù)活動(dòng)目錄為用戶(hù)、硬件、應(yīng)用以及網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)提供了一個(gè)存儲(chǔ)中心。

347.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

活動(dòng)目錄使用域、組織單元和對(duì)象組織網(wǎng)絡(luò)資源。

357.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

2.Kerberos審計(jì)協(xié)議Kerberos協(xié)議為客戶(hù)/服務(wù)器建立連接前提供一種交互審計(jì)的機(jī)制，其特點(diǎn)有以下幾點(diǎn)：1）在建立初始連接時(shí)增強(qiáng)服務(wù)器認(rèn)證性能。

2）多層客戶(hù)機(jī)/服務(wù)器應(yīng)用的認(rèn)證委派。3）具有穿越信任關(guān)系的域間認(rèn)證。

367.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

3.PKI

公鑰加密主要用在互聯(lián)網(wǎng)一類(lèi)的開(kāi)放網(wǎng)絡(luò)運(yùn)行，用戶(hù)通過(guò)證書(shū)進(jìn)行數(shù)據(jù)加密、數(shù)據(jù)簽名和身份驗(yàn)證，其基本組件包括：證書(shū)服務(wù)、活動(dòng)目錄、基于PKI的應(yīng)用、交換密鑰管理服務(wù)。Windows2000PKI提供的安全功能具有互操作性、安全性、靈活性以及易用性等特點(diǎn)。

377.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

4.智能卡智能卡是用一種相對(duì)簡(jiǎn)單的方式使非授權(quán)人更難獲得訪問(wèn)網(wǎng)絡(luò)的權(quán)限?；谝韵聨讉€(gè)特征，智能卡認(rèn)證比口令認(rèn)證具有更高的安全性：

1