第7章操作系統(tǒng)的安全

《計算機(jī)網(wǎng)絡(luò)安全》

課程講義清華大學(xué)出版社1第七章操作系統(tǒng)的安全2本章內(nèi)容操作系統(tǒng)安全的現(xiàn)狀計算機(jī)安全等級及信息安全技術(shù)評估準(zhǔn)則

單點登錄機(jī)制

主流操作系統(tǒng)的主要安全機(jī)制

3學(xué)習(xí)目標(biāo)了解操作系統(tǒng)安全的現(xiàn)狀了解計算機(jī)安全等級及信息安全技術(shù)評估準(zhǔn)則

了解單點登錄機(jī)制

了解主流操作系統(tǒng)的主要安全機(jī)制

47.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

計算機(jī)系統(tǒng)由硬件、軟件和數(shù)據(jù)組成。在計算機(jī)系統(tǒng)的運(yùn)行中，操作系統(tǒng)提供了合理利用這些資源的途徑。操作系統(tǒng)一般具有4個基本特征：并發(fā)性、共享性、虛擬性和不確定性。57.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（1）進(jìn)程管理進(jìn)程管理指的是操作系統(tǒng)調(diào)整復(fù)數(shù)進(jìn)程的功能。除了進(jìn)程管理之外，OS還擔(dān)負(fù)進(jìn)程間通訊、進(jìn)程異常終止處理以及死鎖偵測及處理等任務(wù)。（2）內(nèi)存管理OS的內(nèi)存管理提供尋找可用的記憶空間、配置與釋放記憶空間、交換內(nèi)存和低速儲存設(shè)備的內(nèi)含物等功能

67.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（3）磁盤與文件系統(tǒng)

文件系統(tǒng)通常指的是管理磁盤數(shù)據(jù)的系統(tǒng)，其可將數(shù)據(jù)以目錄或文件的型式儲存。每個文件系統(tǒng)都有自己特殊的格式與功能。OS擁有多種內(nèi)置文件系統(tǒng)。（4）網(wǎng)絡(luò)許多現(xiàn)代的OS都具備操作主流網(wǎng)絡(luò)通訊協(xié)議TCP/IP的能力。這就使得操作系統(tǒng)可以進(jìn)入網(wǎng)絡(luò)世界，并且與其他系統(tǒng)分享如文件、打印機(jī)與掃描機(jī)等資源。77.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（5）安全OS為外界提供直接或間接存取數(shù)種資源的管道；OS有能力認(rèn)證資源存取的請求，允許通過認(rèn)證的請求并拒絕無法通過的非法請求。（6）內(nèi)部信息安全內(nèi)部信息安全可視為防止正在執(zhí)行的程序任意存取系統(tǒng)資源的手段。

87.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（7）外部信息安全一個操作系統(tǒng)通常會為其他網(wǎng)絡(luò)上的電腦或使用者提供各種服務(wù)。這些服務(wù)通常借由端口或OS網(wǎng)絡(luò)地址后的數(shù)字存取點提供。外部信息安全的最前線，是防火墻等的硬件設(shè)備。在OS內(nèi)部也常常設(shè)置許多種類的軟件防火墻。

97.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)安全威脅的類型

107.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標(biāo)準(zhǔn)

國際標(biāo)準(zhǔn)化組織采納了由美、英等國提出的“信息技術(shù)安全評價公共準(zhǔn)則（CC）”作為國際標(biāo)準(zhǔn)。CC為相互獨立的機(jī)構(gòu)對相應(yīng)信息技術(shù)安全產(chǎn)品進(jìn)行評價提供了可比性。

117.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標(biāo)準(zhǔn)

1.可信任計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)（TCSEC）美國國防部在20世紀(jì)80年代中期制定了一組計算機(jī)系統(tǒng)安全需求標(biāo)準(zhǔn)，其中核心的是具有橙色封皮的“可信任計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)”，簡稱為“橙皮書”。該標(biāo)準(zhǔn)將計算機(jī)系統(tǒng)的安全程度劃分為8個等級：D1、C1、C2、B1、B2、B3、A1和A2。

127.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標(biāo)準(zhǔn)

TCSEC在操作系統(tǒng)級上提出的可信計算機(jī)基礎(chǔ)TCB包含的安全內(nèi)容有：操作系統(tǒng)內(nèi)核、具有特權(quán)的程序與命令、具有處理敏感信息的程序、與實施安全策略有關(guān)的文檔資料、保障硬件正確運(yùn)行的程序和診斷程序、構(gòu)成系統(tǒng)的可信硬件、負(fù)責(zé)管理系統(tǒng)的人員。137.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標(biāo)準(zhǔn)

2.國內(nèi)的安全操作系統(tǒng)評估標(biāo)準(zhǔn)《信息技術(shù)安全性評估準(zhǔn)則》GB/T183362001。該準(zhǔn)則將操作系統(tǒng)安全分為五個級別，分別是用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級。

147.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標(biāo)準(zhǔn)

2.國內(nèi)的安全操作系統(tǒng)評估標(biāo)準(zhǔn)

157.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護(hù)方法

1.備份數(shù)據(jù)建議各級用戶都要及時妥善備份自有的數(shù)據(jù)，如歷年資料、重要方案、管理文獻(xiàn)、重要數(shù)據(jù)等，并且要備份到本機(jī)之外的存儲介質(zhì)上。2.預(yù)防病毒提高系統(tǒng)的自我保護(hù)能力，經(jīng)常進(jìn)行系統(tǒng)更新；安裝防殺病毒的軟件，及時升級殺毒軟件，定期使用殺毒軟件掃描系統(tǒng)。167.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護(hù)方法

3.病毒查殺電腦在感染病毒后，總是有一定規(guī)律地出現(xiàn)異常現(xiàn)象。停止對電腦的任何操作，啟動殺毒軟件，對整個硬盤進(jìn)行病毒查殺。特殊情況下還需要斷開網(wǎng)絡(luò)，在安全模式下殺毒。4.后期處理如果受破壞的是系統(tǒng)軟件，并且染毒程度比較重，可能導(dǎo)致系統(tǒng)不能啟動或正常使用。在殺毒完畢后，需要針對不同的操作系統(tǒng)進(jìn)行修復(fù)性措施。

177.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護(hù)方法

5.防ARP攻擊ARP攻擊是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，從而在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。比較常用的ARP工具主要用來檢測ARP攻擊，其工作原理是以一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。187.2單點登錄的訪問管理單點登錄的概念

單點登錄（SSO）是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一，指的是在多個應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。根據(jù)登錄的應(yīng)用類型不同，可分為：

1）對桌面資源的統(tǒng)一訪問管理。

2）Web單點登錄（Web-SSO）197.2單點登錄的訪問管理單點登錄的概念

Web單點登錄訪問管理系統(tǒng)示意圖：207.2單點登錄的訪問管理SSO實現(xiàn)機(jī)制

第一次訪問應(yīng)用系統(tǒng)A時，由于還沒有登錄，用戶會被引導(dǎo)至認(rèn)證系統(tǒng)中進(jìn)行登錄。根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份驗證，若通過，認(rèn)證系統(tǒng)返回給用戶一個認(rèn)證的憑據(jù)（Ticket）。用戶再訪問別的應(yīng)用時，會帶上這個Ticket作為自己認(rèn)證的憑據(jù)。應(yīng)用系統(tǒng)接受到請求之后將Ticket送入認(rèn)證系統(tǒng)進(jìn)行驗證，若合法則通過驗證，用戶就可以在不用再次登錄的情況下訪問系統(tǒng)B或系統(tǒng)C了。

217.2單點登錄的訪問管理SSO實現(xiàn)機(jī)制

要實現(xiàn)SSO，需要實現(xiàn)以下主要的功能：1）所有應(yīng)用系統(tǒng)共享一個身份認(rèn)證系統(tǒng)。統(tǒng)一的認(rèn)證系統(tǒng)是SSO的一個前提。認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志返回給用戶。

2）所有應(yīng)用系統(tǒng)能夠識別和提取Ticket信息。應(yīng)用系統(tǒng)需要對Ticket進(jìn)行識別和提前，通過與認(rèn)證系統(tǒng)的通信，自動判斷出當(dāng)前用戶是否已經(jīng)登錄過，從而完成單點登錄的功能。227.2單點登錄的訪問管理WEB-SSO的實現(xiàn)

Web-SSO可以利用cookie技術(shù)來完成用戶登錄信息的保存，將瀏覽器中的cookie和Ticket結(jié)合起來，完成SSO的功能。為了完成一個簡單的WEB-SSO的功能，需要兩個部分的合作：1）統(tǒng)一的身份認(rèn)證服務(wù)。2）修改Web應(yīng)用，使得每個應(yīng)用都通過這個統(tǒng)一的認(rèn)證服務(wù)來進(jìn)行身份校驗。237.2單點登錄的訪問管理WEB-SSO的實現(xiàn)

實現(xiàn)WEB-SSO的技術(shù)主要有：（1）基于cookies實現(xiàn)（2）Broker-based（基于經(jīng)紀(jì)人）（3）Agent-based（基于代理人）（4）Token-based（基于票據(jù)）（5）基于網(wǎng)關(guān)（6）基于安全斷言標(biāo)記語言（SAML）247.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1.UNIX安全

UNIX是一個強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)。其應(yīng)用基于相互信任的環(huán)境，如研究所、實驗室、大學(xué)等，采用了一般的安全機(jī)制。UNIX的超級權(quán)限是“超級用戶”，“超級用戶”能完成系統(tǒng)中的任何操作，因此也成為攻擊的對象。

257.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

UNIX系統(tǒng)的安全性在不斷增加，并出現(xiàn)了許多安全檢測工具，如Quest、UXA、Alert/Inform、Sfind、USECURE、Kerberos等。系統(tǒng)管理員通過安全檢測工具檢測安全機(jī)制、權(quán)限和安全域設(shè)置、可疑入侵和特洛伊木馬等。在目前的UNIX系統(tǒng)中，常規(guī)UNIX具有C1級安全級別，OSF/1具有B1的安全級別，USL的SVR4/ES則具有B2的安全級別。

267.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2.LINUX安全

Linux的安全級基本達(dá)到了C2級。安全機(jī)制主要有：PAM機(jī)制、文件系統(tǒng)加密、入侵檢測機(jī)制、安全日志文件機(jī)制、強(qiáng)制訪問控制和防火墻機(jī)制等。

277.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1）PAM機(jī)制PAM是一套共享庫，提供一個框架和一套編程接口給系統(tǒng)管理員，由系統(tǒng)管理員在多種認(rèn)證方法中選擇適宜的認(rèn)證方法，并能夠改變本地認(rèn)證方法而無需重新編譯與認(rèn)證相關(guān)的程序。

287.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2）文件系統(tǒng)加密文件系統(tǒng)加密是將加密技術(shù)應(yīng)用到文件系統(tǒng)，從而提高計算機(jī)系統(tǒng)的安全性。目前的Linux已具有多種加密文件系統(tǒng)，如CFS、TCFS、CRYPTFS等。

TCFS能使合法擁有者以外的用戶、用戶和遠(yuǎn)程文件系統(tǒng)通信線路上的偷聽著、文件系統(tǒng)服務(wù)器的超級用戶不可讀取其保密文件。而對于合法用戶，訪問保密文件與訪問普通文件幾乎沒有區(qū)別。

297.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

3）入侵檢測機(jī)制入侵檢測能力包括：記錄入侵企圖，當(dāng)攻擊發(fā)生時及時通知管理員；當(dāng)預(yù)先定義的攻擊行為發(fā)生時，采取預(yù)定義的措施處理；發(fā)出一些錯誤信息，以增加攻擊的難度。

307.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

4）安全日志文件機(jī)制日志是Linux安全結(jié)構(gòu)中的一個重要內(nèi)容，它是提供攻擊發(fā)生的唯一真實證據(jù)。Linux會記錄網(wǎng)絡(luò)、主機(jī)和用戶級的日志信息，是調(diào)查網(wǎng)絡(luò)入侵者時不可缺少的證據(jù)。

317.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

5）強(qiáng)制訪問控制

由于Linux是一種自由操作系統(tǒng)，當(dāng)前在其平臺上實現(xiàn)強(qiáng)制訪問控制的產(chǎn)品包括SELinux、RSBAC、MAC等，采用的策略也各不相同。327.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

6）防火墻機(jī)制

Linux防火墻系統(tǒng)提供了訪問控制、審計、抗攻擊和其他附屬功能。其中，實現(xiàn)訪問控制的方法是執(zhí)行基于地址（源和目標(biāo)）、用戶和事件的訪問控制策略，從而可以禁止非授權(quán)的訪問，同時還能保護(hù)內(nèi)部用戶的合法訪問。

337.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

WindowsNT的安全級別達(dá)到TCSEC的C2級。作為WindowsNT的后續(xù)版本，Windows2000/XP提供更多的新的安全機(jī)制。

1.活動目錄服務(wù)活動目錄為用戶、硬件、應(yīng)用以及網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)提供了一個存儲中心。

347.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

活動目錄使用域、組織單元和對象組織網(wǎng)絡(luò)資源。

357.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

2.Kerberos審計協(xié)議Kerberos協(xié)議為客戶/服務(wù)器建立連接前提供一種交互審計的機(jī)制，其特點有以下幾點：1）在建立初始連接時增強(qiáng)服務(wù)器認(rèn)證性能。

2）多層客戶機(jī)/服務(wù)器應(yīng)用的認(rèn)證委派。3）具有穿越信任關(guān)系的域間認(rèn)證。

367.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

3.PKI

公鑰加密主要用在互聯(lián)網(wǎng)一類的開放網(wǎng)絡(luò)運(yùn)行，用戶通過證書進(jìn)行數(shù)據(jù)加密、數(shù)據(jù)簽名和身份驗證，其基本組件包括：證書服務(wù)、活動目錄、基于PKI的應(yīng)用、交換密鑰管理服務(wù)。Windows2000PKI提供的安全功能具有互操作性、安全性、靈活性以及易用性等特點。

377.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

4.智能卡智能卡是用一種相對簡單的方式使非授權(quán)人更難獲得訪問網(wǎng)絡(luò)的權(quán)限?；谝韵聨讉€特征，智能卡認(rèn)證比口令認(rèn)證具有更高的安全性：

1