第8章 操作系統(tǒng)安全技術

網絡安全基礎及應用張仕斌陳麟方睿編著北京：人民郵電出版社二00九年十一月2023/3/91主要內容第1章緒論第2章密碼技術第3章信息隱藏技術第4章數(shù)字簽名技術第5章認證技術第6章網絡入侵與攻擊技術第7章網絡安全防范技術第8章操作系統(tǒng)安全技術第9章數(shù)據(jù)與數(shù)據(jù)庫安全技術第10章軟件安全技術第11章Web安全技術第12章網絡互聯(lián)安全技術2023/3/92第8章操作系統(tǒng)安全技術2023/3/93知識點：

操作系統(tǒng)安全的概念

操作系統(tǒng)的安全評估標準

操作系統(tǒng)的安全配置與設計

操作系統(tǒng)的安全功能

Netware系統(tǒng)的安全性

Windows2000系統(tǒng)的安全性

Unix/Linux系統(tǒng)的安全性2023/3/948.1操作系統(tǒng)安全簡介8.1.1操作系統(tǒng)安全的概念

操作系統(tǒng)安全包括了對系統(tǒng)重要資源（存儲器、文件系統(tǒng)等）的保護和控制，即只有經過授權的用戶和代表該用戶運行的進程才能對計算機系統(tǒng)的信息進行訪問。一般意義上講，所謂一個計算機系統(tǒng)是安全的，是指該系統(tǒng)能夠通過特定的安全功能控制外部對系統(tǒng)信息的訪問。

（1）操作系統(tǒng)及操作系統(tǒng)安全的概念2023/3/95（2）安全操作系統(tǒng)環(huán)境構架

操作系統(tǒng)內的一切活動均可看作是主體對計算機內部各客體的訪問活動

。主體對客體的訪問策略是通過可信計算基（TrustedComputingBase，TCB）來實現(xiàn)的。通過安全策略來控制主體對客體的存取，達到保護客體安全的目的，一個TCB由一個或多個可信功能安全模塊（TCBSecurityFunction，TSF）組成，每個TSF模塊包含一種或多種安全功能策略（SecurityFunctionPolicy，SFP），所有的SFP構成了一個完整的可信安全功能策略（TCBSecurityFunctionPolicy，TSP），即形成一個安全域。2023/3/96TCB構成的安全操作系統(tǒng)環(huán)境構架

安全域可以防止不可信主體的干擾和篡改，因而增強了操作系統(tǒng)的安全，起到了在操作系統(tǒng)內部保護信息安全的積極作用。2023/3/978.1.2操作系統(tǒng)的安全評估標準

1．國外評估標準可信計算機安全評估標準（ABCD類安全等級）歐洲的安全評價標準加拿大評價標準美國聯(lián)邦準則

國際通用準則2023/3/98

2．國內評估標準我國的操作系統(tǒng)安全分為5個級別：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。第一級第二級第三級第四級第五級自主訪問控制◆◆◆◆◆身份鑒別◆◆◆◆◆數(shù)據(jù)完整性◆◆◆◆◆客體重用◆◆◆◆審計◆◆◆◆強制性訪問控制◆◆◆標記◆◆◆隱蔽信道分析◆◆可信路徑◆◆可信恢復◆2023/3/998.1.3操作系統(tǒng)的安全配置

操作系統(tǒng)的安全配置主要有3個方面的問題：

操作系統(tǒng)的訪問權限的恰當設置操作的及時更新如何利用操作系統(tǒng)提供的功能有效防范外界攻擊問題2023/3/9108.1.4操作系統(tǒng)的安全功能1.基本安全功能（1）自主訪問控制

自主訪問控制是由TCB定義和控制的系統(tǒng)內命名用戶對命名客體的訪問形式。TCB通過建立訪問控制規(guī)則（如ACL）來允許命名用戶以用戶或用戶組的身份有限訪問客體，阻止非授權用戶讀取敏感信息，并控制訪問權限的擴散。自主訪問控制機制根據(jù)用戶指定的方式或默認方式，阻止非授權用戶和用戶組訪問客體。

（2）身份鑒別

TCB初始執(zhí)行時，首先要求用戶標識自己的身份，并使用保護機制（如口令）來鑒別用戶的身份，阻止非授權用戶訪問用戶身份鑒別數(shù)據(jù)。然后，通過為用戶提供一個唯一標識，限制用戶的操作行為，并使用戶對自己的各種行為負責。TCB不僅具有將用戶身份標識與該用戶所有可審計行為相關聯(lián)的能力，還具有維護用戶身份識別的數(shù)據(jù)、確定用戶訪問權限和授權的數(shù)據(jù)的能力。身份鑒別主要包括鑒別客體（數(shù)據(jù)鑒別）、鑒別主體（用戶鑒別）及鑒別主體對客體操作的合法性內容等。

2023/3/911

（3）數(shù)據(jù)完整性

系統(tǒng)中的數(shù)據(jù)主要有3種形式：一是存儲在存儲介質上的數(shù)據(jù)；二是從源發(fā)地到目的地所傳輸?shù)臄?shù)據(jù)；三是正在被處理的數(shù)據(jù)。（4）客體的重用

在TCB的空閑存儲空間中，對客體初始指定、分配或再分配一個主體之前，撤消客體所含信息的所有權。（5）審計

TCB能夠創(chuàng)建和維護授權保護客體的訪問審計和跟蹤記錄，并能阻止非授權的用戶對它進行訪問或破壞。對于每一個事件，其審計內容包括事件的日期和時間、用戶、事件類型、事件是否成功。2023/3/9122.高級安全功能（1）強制訪問控制TCB對所有主體及其所控制的客體（如進程、文件、段、設備等）以及外部主體能夠直接或間接訪問的所有資源（如主體、存儲客體和輸入/輸出資源等）實施強制訪問控制。（2）標記為了實施強制訪問控制，需要使用標記為用戶和客體設定操作屬性，這就要求TSF能為用戶和客體進行標記，即為他們指定安全屬性（或稱為敏感標記）。（3）隱蔽信道的分析系統(tǒng)開發(fā)者應徹底搜索隱蔽存儲信道，并根據(jù)實際測量或估算確定每一個被標識信道的最大帶寬。（4）可信路徑當連接用戶時（如注冊、更改主體安全級等），TCB提供它與用戶之間的可信通信路徑。（5）可信恢復TCB提供過程和機制，保證計算機信息系統(tǒng)失效或中斷后，能夠進行可信恢復，而不損害任何安全保護性能。2023/3/9138.2操作系統(tǒng)的安全設計實現(xiàn)安全操作系統(tǒng)設計的方法有兩種：一種是專門針對安全性來設計操作系統(tǒng)；另一種是將安全性加入到目前的操作系統(tǒng)中。8.2.1操作系統(tǒng)的安全模型

（1）單層模型：一種二元敏感性安全模型，用戶對實體的存取策略簡單地設置為“允許”或者“禁止”（“是”與“非”)

。單層模型有一定的局限性，在現(xiàn)代操作系統(tǒng)的設計中，使用了多級安全模型，信息流模型在其中得到了深入的應用，如著名的Bell-LaPadula模型和Biba模型。

安全模型用來描述計算機系統(tǒng)和用戶的安全性，是對計算機系統(tǒng)安全的一種抽象描述。研究安全模型時，主要從兩個方面進行。一方面是研究為了確保系統(tǒng)的安全應采取的策略以及為實現(xiàn)保密性和完整性應滿足的條件；另一方面是研究被保護系統(tǒng)的特性，如可判定性和不可判定性等。2023/3/914（2）多層網格模型：為用戶和被保護實體設置了更多的敏感層次，這樣這種模型可適用于在不同敏感層次上處理信息的需求，其元素形成一種網格數(shù)學結構，基于軍用安全和保密信息級別的處理。

多層網格安全模型的元素形成一種網格數(shù)學結構，網格是指其元素在關系運算符操作下的數(shù)學結構，元素按半定序≤次序排列，具有傳遞性和非對稱性，即對任意元素a，b，c有如下特性：

（1）傳遞性：若a≤b且b≤c，則a≤c；

（2）非對稱性：若a≤b且b≤a，則a=b。這種安全模型同時強調了敏感性和需知性需求，前者是層次需求，而后者則實現(xiàn)同層次的安全需求。這種模型中的網格表達了自然的安全級別遞增，因此，許多的安全專家將其作為安全系統(tǒng)的基礎。2023/3/9158.2.2操作系統(tǒng)安全性設計方法及原則1．通用操作系統(tǒng)中的安全特性及設計原則在通用操作系統(tǒng)中，除了實現(xiàn)基本的內存保護、文件保護、存取控制和用戶身份鑒別外，還需考慮諸如共享約束、公平服務、通信與同步等。安全特性：（1）共享約束；（2）公平服務；（3）通信與同步；通用操作系統(tǒng)的設計原則包括以下幾個方面：（1）最小權限原則；（2）最少通用原則；（3）安全機制的經濟性原則；（4）開放式設計原則；（5）安全策略的完整性原則；（6）權限分離原則；2023/3/916為了實現(xiàn)上述六原則，在設計時可從以下3個方面進行：隔離性：解決最少通用機制內核化：解決最少權限及經濟性分層結構：解決開放式設計及整體策劃

2．隔離性

進程間彼此隔離的方法有物理分離、時間分離、密碼分離和邏輯分離。一個安全系統(tǒng)可以使用所有這些形式的分離。常見的隔離方法有虛擬存儲和虛擬機方式。

3．內核機制內核（Nucleus或Core）是操作系統(tǒng)中完成最低層功能的部分。在通用操作系統(tǒng)中，內核操作包含了進程調度、同步、通信、消息傳遞及中斷處理。安全內核則是負責實現(xiàn)整個操作系統(tǒng)安全機制的部分，提供硬件、操作系統(tǒng)及系統(tǒng)其他部件間的安全接口。2023/3/917安全內核具有以下這樣一些特性：

（1）分離性：安全機制與操作系統(tǒng)其余部分及用戶空間分離，防止操作系統(tǒng)和用戶侵入；

（2）均一性：所有安全功能都可由單一的代碼集完成；

（3）靈活性：安全機制易于改變、易于測試；

（4）緊湊性：安全功能核心盡可能?。?/p>

（5）驗證性：由于內核相對較小，可進行嚴格的形式化證明其正確性；

（6）覆蓋性：每次對被保護實體的存取都經過安全內核，可保證每次存取的檢查。

4．分層結構分層結構是一種較好的操作系統(tǒng)設計方法，每層設計為外層提供特定的功能和支持的核心服務，安全操作系統(tǒng)的設計也可采用這種方式，在各個層次中考慮系統(tǒng)的安全機制。2023/3/9188.2.3操作系統(tǒng)安全性認證

對于操作系統(tǒng)安全性認證問題，首先應當意識到，絕對安全的操作系統(tǒng)是不存在的。對安全操作系統(tǒng)的安全評估仍采用目前世界公認的安全準則。同時在進行操作系統(tǒng)設計時，可以按評估準則，將評估準則中的各安全內容分別在操作系統(tǒng)的各層上實現(xiàn)。2023/3/9198.3.1Netware系統(tǒng)的安全性

1．安全等級

NetWare的低版本（NetWare3.0以下）僅達到C1安全級，NetWare3.1.1及以上版本達到了C2安全級，被美國國家計算機安全中心NCSC認證為信得過的網絡產品，從而成為符合C2安全標準的分布式網絡操作系統(tǒng)。

2．安全漏洞

獲取賬號查詢和列出合法賬號獲取系統(tǒng)管理員用戶賬號8.3典型操作系統(tǒng)的安全性2023/3/920

3．安全性

NetWare系統(tǒng)目錄服務的安全性權限設置安全性屬性設置安全性網絡接入安全性

2．可靠性

系統(tǒng)容錯技術

事務跟蹤系統(tǒng)

UPS監(jiān)控技術

2023/3/9218.3.2Windows2000系統(tǒng)的安全性

1.系統(tǒng)結構圖圖8-2Windows2000的系統(tǒng)結構圖2023/3/922

2.安全體系圖8-3Windows2000系統(tǒng)的安全模型2023/3/923

3.Windows2000中的（公鑰基礎設施）PKIWindows2000系統(tǒng)中的PKI服務可以解決在Internet上的保密性、認證、完整性和不可否認性等問題，可以使用數(shù)字簽名、數(shù)字證書、加密和鑒別等技術保證信息處理的安全性。

圖8-5Windows2000PKI的基本組成2023/3/924

4.CAPI（加密應用編程接口）體系結構概述

CAPI提供了一組安全函數(shù)，可在開發(fā)Windows2000的安全應用程序時調用。這組函數(shù)可分為證書函數(shù)、消息函數(shù)和加密函數(shù)3大類。CAPI接口中的安全函數(shù)被包含在操作系統(tǒng)的advapi32.dll和crypt32.dll文件中，有關函數(shù)的原形定義在wincrypt.h文件中描述。

圖8-6CAPI的應用體系結構2023/3/9258.3.3UNIX/Linux操作系統(tǒng)的安全性

自主訪問控制機制強制訪問控制機制1.PAM身份認證機制2.訪問控制