《信息安全導(dǎo)論》課件1第6章

第6章訪(fǎng)問(wèn)控制

6.1訪(fǎng)問(wèn)控制的有關(guān)概念6.2訪(fǎng)問(wèn)控制策略

6.3訪(fǎng)問(wèn)控制機(jī)制

6.4操作系統(tǒng)的訪(fǎng)問(wèn)控制機(jī)制與安全操作系統(tǒng)

思考題

實(shí)驗(yàn)6操作系統(tǒng)安全

6.1訪(fǎng)問(wèn)控制的有關(guān)概念訪(fǎng)問(wèn)控制是針對(duì)越權(quán)使用資源的防御性措施之一。其基本目標(biāo)是防止對(duì)任何資源(如計(jì)算資源、通信資源或信息資源)進(jìn)行未授權(quán)的訪(fǎng)問(wèn)，從而使資源使用始終處于控制范圍內(nèi)。最常見(jiàn)的是，通過(guò)對(duì)主機(jī)操作系統(tǒng)的設(shè)置或?qū)β酚善鞯脑O(shè)置來(lái)實(shí)現(xiàn)相應(yīng)的主機(jī)訪(fǎng)問(wèn)控制或網(wǎng)絡(luò)訪(fǎng)問(wèn)控制。例如，控制內(nèi)網(wǎng)用戶(hù)在上班時(shí)間使用QQ、MSN等。訪(fǎng)問(wèn)控制對(duì)實(shí)現(xiàn)信息機(jī)密性、完整性起直接的作用，還可以通過(guò)對(duì)以下信息的有效控制來(lái)實(shí)現(xiàn)信息和信息系統(tǒng)可用性：

(1)誰(shuí)可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令；

(2)誰(shuí)能夠?yàn)E用資源以達(dá)到占用資源的目的；

(3)誰(shuí)能夠獲得可以用于拒絕服務(wù)攻擊的信息。訪(fǎng)問(wèn)控制包括三個(gè)要素：主體(Subject)、客體(Object)和控制策略。其中主體即是訪(fǎng)問(wèn)資源的用戶(hù)或代表用戶(hù)執(zhí)行的程序，客體即是規(guī)定需要保護(hù)的資源，控制策略是對(duì)訪(fǎng)問(wèn)如何控制、如何作出訪(fǎng)問(wèn)決定的高層指南。訪(fǎng)問(wèn)控制策略體現(xiàn)了一種授權(quán)行為，也就是客體對(duì)主體的權(quán)限允許。訪(fǎng)問(wèn)控制策略往往表現(xiàn)為一系列的訪(fǎng)問(wèn)規(guī)則，這些規(guī)則定義了主體對(duì)客體的作用行為和客體對(duì)主體的條件約束。

訪(fǎng)問(wèn)控制機(jī)制是訪(fǎng)問(wèn)控制策略的軟硬件低層實(shí)現(xiàn)。6.2

訪(fǎng)問(wèn)控制策略如何決定主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限？一個(gè)主體對(duì)一個(gè)客體的訪(fǎng)問(wèn)權(quán)限能否轉(zhuǎn)讓給其他主體呢？這些問(wèn)題在訪(fǎng)問(wèn)控制策略中必須得到明確的回答。

6.2.1訪(fǎng)問(wèn)控制策略制定的原則訪(fǎng)問(wèn)控制策略的制定一般要滿(mǎn)足如下兩項(xiàng)基本原則。

(1)最小權(quán)限原則：分配給系統(tǒng)中的每一個(gè)程序和每一個(gè)用戶(hù)的權(quán)限應(yīng)該是它們完成工作所必須享有的權(quán)限的最小集合。換句話(huà)說(shuō)，如果主體不需要訪(fǎng)問(wèn)特定客體，則主體就不應(yīng)該擁有訪(fǎng)問(wèn)這個(gè)客體的權(quán)限。

(2)最小泄露原則：主體執(zhí)行任務(wù)時(shí)所需知道的信息應(yīng)該最小化。6.2.2訪(fǎng)問(wèn)權(quán)限的確定過(guò)程主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限的確定過(guò)程是：首先對(duì)用戶(hù)和資源進(jìn)行分類(lèi)，然后對(duì)需要保護(hù)的資源定義一個(gè)訪(fǎng)問(wèn)控制包，最后根據(jù)訪(fǎng)問(wèn)控制包來(lái)制訂訪(fǎng)問(wèn)控制規(guī)則集。

1.用戶(hù)分類(lèi)通常把用戶(hù)分為特殊用戶(hù)、一般用戶(hù)、作審計(jì)用戶(hù)和作廢用戶(hù)。

(1)特殊用戶(hù)：系統(tǒng)管理員具有最高級(jí)別的特權(quán)，可以訪(fǎng)問(wèn)任何資源，并具有任何類(lèi)型的訪(fǎng)問(wèn)操作能力。

(2)一般的用戶(hù)：最大的一類(lèi)用戶(hù)，他們的訪(fǎng)問(wèn)操作受到一定限制，由系統(tǒng)管理員分配。

(3)作審計(jì)的用戶(hù)：負(fù)責(zé)整個(gè)安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計(jì)。

(4)作廢的用戶(hù)：被系統(tǒng)拒絕的用戶(hù)。

2.資源的分類(lèi)系統(tǒng)內(nèi)需要保護(hù)的資源包括磁盤(pán)與磁帶卷標(biāo)、數(shù)據(jù)庫(kù)中的數(shù)據(jù)、應(yīng)用資源、遠(yuǎn)程終端、信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用等。

3.對(duì)需要保護(hù)的資源定義一個(gè)訪(fǎng)問(wèn)控制包

內(nèi)容包括資源名及擁有者的標(biāo)識(shí)符、缺省訪(fǎng)問(wèn)權(quán)、用戶(hù)和用戶(hù)組的特權(quán)明細(xì)表、允許資源的擁有者對(duì)其添加新的可用數(shù)據(jù)的操作、審計(jì)數(shù)據(jù)等。

4.訪(fǎng)問(wèn)控制規(guī)則集

訪(fǎng)問(wèn)控制規(guī)則集是根據(jù)第三步的訪(fǎng)問(wèn)控制包得到的，它規(guī)定了若干條件和在這些條件下可準(zhǔn)許訪(fǎng)問(wèn)的一個(gè)資源。規(guī)則使得用戶(hù)與資源配對(duì)，并指定該用戶(hù)可在該文件上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪(fǎng)問(wèn)。

“主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限能否轉(zhuǎn)讓給其他主體”這一問(wèn)題則比較復(fù)雜，不能簡(jiǎn)單地用“能”和“不能”來(lái)回答。大家試想一下，如果回答“不能”，表面上看很安全，但按照這一控制策略做出系統(tǒng)后，我們就不可能實(shí)現(xiàn)任何信息的共享了。6.2.3自主訪(fǎng)問(wèn)控制

一種策略是對(duì)某個(gè)客體具有所有權(quán)的主體能夠自主地將對(duì)該客體的一種訪(fǎng)問(wèn)權(quán)或多種訪(fǎng)問(wèn)權(quán)授予其他主體，并可在隨后的任何時(shí)刻將這些權(quán)限收回。這一策略稱(chēng)為自主訪(fǎng)問(wèn)控制。這種策略因靈活性高，在實(shí)際系統(tǒng)中被大量采用。Linux、UNIX和Windows等系統(tǒng)都提供了自主訪(fǎng)問(wèn)控制功能。

在實(shí)現(xiàn)自主訪(fǎng)問(wèn)控制策略的系統(tǒng)中，信息在移動(dòng)過(guò)程中其訪(fǎng)問(wèn)權(quán)限關(guān)系會(huì)被改變。如用戶(hù)A可將其對(duì)目標(biāo)O的訪(fǎng)問(wèn)權(quán)限傳遞給用戶(hù)B，從而使本身不具備對(duì)O訪(fǎng)問(wèn)權(quán)限的B可訪(fǎng)問(wèn)O。因此，這種模型提供的安全防護(hù)不能給系統(tǒng)提供充分的數(shù)據(jù)保護(hù)。6.2.4強(qiáng)制訪(fǎng)問(wèn)控制

另一種策略是根據(jù)主體被信任的程度和客體所含信息的機(jī)密性和敏感程度來(lái)決定主體對(duì)客體的訪(fǎng)問(wèn)權(quán)。用戶(hù)和客體都被賦予一定的安全級(jí)別，用戶(hù)不能改變自身和客體的安全級(jí)別，只有管理員才能確定用戶(hù)的安全級(jí)別且當(dāng)主體和客體的安全級(jí)別滿(mǎn)足一定的規(guī)則時(shí)，才允許訪(fǎng)問(wèn)。這一策略稱(chēng)為強(qiáng)制訪(fǎng)問(wèn)控制。在強(qiáng)制訪(fǎng)問(wèn)控制模型中，一個(gè)主體對(duì)某客體的訪(fǎng)問(wèn)權(quán)只能有條件地轉(zhuǎn)讓給其他主體，而這些條件是非常嚴(yán)格的。例如，Bell-LaPadula模型規(guī)定，安全級(jí)別高的用戶(hù)和進(jìn)程不能向比他們安全級(jí)別低的用戶(hù)和進(jìn)程寫(xiě)入數(shù)據(jù)。Bell-LaPadula模型的訪(fǎng)問(wèn)控制原則可簡(jiǎn)單地表示為“無(wú)上讀、無(wú)下寫(xiě)”，該模型是第一個(gè)將安全策略形式化的數(shù)學(xué)模型，是一個(gè)狀態(tài)機(jī)模型，即用狀態(tài)轉(zhuǎn)換規(guī)則來(lái)描述系統(tǒng)的變化過(guò)程。Lattice模型和Biba模型也屬于強(qiáng)制訪(fǎng)問(wèn)控制模型。強(qiáng)制訪(fǎng)問(wèn)控制一般通過(guò)安全標(biāo)簽來(lái)實(shí)現(xiàn)單向信息流通。6.2.5基于角色的訪(fǎng)問(wèn)控制將訪(fǎng)問(wèn)權(quán)限分配給一定的角色，用戶(hù)根據(jù)自己的角色獲得相應(yīng)的訪(fǎng)問(wèn)許可權(quán)，這便是基于角色的訪(fǎng)問(wèn)控制策略。角色是指一個(gè)可以完成一定職能的命名組。角色與組是有區(qū)別的，組是一組用戶(hù)的集合，而角色是一組用戶(hù)集合外加一組操作權(quán)限集合。在基于角色的訪(fǎng)問(wèn)控制模型中，只有系統(tǒng)管理員才能定義和分配角色，用戶(hù)不能自主地將對(duì)客體的訪(fǎng)問(wèn)權(quán)轉(zhuǎn)讓給別的用戶(hù)。

比較而言，自主訪(fǎng)問(wèn)控制配置的力度小、配置的工作量大、效率低，強(qiáng)制訪(fǎng)問(wèn)控制配置的力度大、缺乏靈活性，而基于角色的訪(fǎng)問(wèn)控制策略是與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn)物，具有靈活、方便和安全的特點(diǎn)，是實(shí)施面向企業(yè)安全策略的一種有效的訪(fǎng)問(wèn)控制方式，目前常用于大型數(shù)據(jù)庫(kù)系統(tǒng)的權(quán)限管理。例6-1一個(gè)基于角色的訪(fǎng)問(wèn)控制實(shí)例。

在銀行環(huán)境中，用戶(hù)角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員，相應(yīng)的訪(fǎng)問(wèn)控制策略可如下規(guī)定：

(1)允許一個(gè)出納員修改顧客的帳號(hào)記錄(包括存款和取款、轉(zhuǎn)賬等)，并允許查詢(xún)所有賬號(hào)的注冊(cè)項(xiàng)。

(2)允許一個(gè)分行管理者修改顧客的賬號(hào)記錄(包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍)并允許查詢(xún)所有賬號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止賬號(hào)。

(3)允許一個(gè)顧客只詢(xún)問(wèn)他自己的賬號(hào)的注冊(cè)項(xiàng)。

(4)允許系統(tǒng)的管理者詢(xún)問(wèn)系統(tǒng)的注冊(cè)項(xiàng)和開(kāi)關(guān)系統(tǒng)，但不允許讀或修改用戶(hù)的賬號(hào)信息。

(5)允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情。該策略陳述易于被非技術(shù)的組織策略者理解，同時(shí)也易于映射到訪(fǎng)問(wèn)控制矩陣或基于組的策略陳述。另外，該策略還同時(shí)具有基于身份策略的特征和基于規(guī)則策略的特征?；诮巧脑L(fǎng)問(wèn)控制具有如下優(yōu)勢(shì)：

(1)便于授權(quán)管理。例如，系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時(shí)，必須有幾個(gè)不同角色的用戶(hù)到場(chǎng)方能操作，從而保證了安全性。

(2)便于根據(jù)工作需要分級(jí)。例如，企業(yè)財(cái)務(wù)部門(mén)與非財(cái)務(wù)部門(mén)的員工對(duì)企業(yè)財(cái)務(wù)的訪(fǎng)問(wèn)權(quán)就可由財(cái)務(wù)人員這個(gè)角色來(lái)區(qū)分。

(3)便于賦予最小特權(quán)。例如，即使用戶(hù)被賦予高級(jí)身份時(shí)也未必一定要使用，以便減少損失，只有必要時(shí)方能擁有特權(quán)。

(4)便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)。在基于角色的訪(fǎng)問(wèn)控制中，一個(gè)個(gè)人用戶(hù)可能是不只一個(gè)組或角色的成員，有時(shí)又可能有所限制。

(5)便于文件分級(jí)管理。文件本身也可分為不同的角色，如信件、賬單等，由不同角色的用戶(hù)擁有。6.3訪(fǎng)問(wèn)控制機(jī)制

訪(fǎng)問(wèn)控制策略的軟、硬件低層實(shí)現(xiàn)稱(chēng)為訪(fǎng)問(wèn)

機(jī)制。

通過(guò)矩陣的形式來(lái)表示訪(fǎng)問(wèn)控制策略是一個(gè)常用方法。訪(fǎng)問(wèn)控制矩陣中每一行代表一個(gè)用戶(hù)(主體)，每一列代表一個(gè)系統(tǒng)資源(客體)，矩陣中的每項(xiàng)內(nèi)容則表示用戶(hù)對(duì)資源訪(fǎng)問(wèn)的權(quán)限(控制策略)，特權(quán)用戶(hù)或特權(quán)用戶(hù)組可以修改主體的訪(fǎng)問(wèn)控制權(quán)限。例6-2

訪(fǎng)問(wèn)控制矩陣，主體集合是Bob、Alice和John，客體集合是文件1、文件2、文件3和文件4，見(jiàn)表6-1。表6-1訪(fǎng)問(wèn)控制矩陣

訪(fǎng)問(wèn)控制矩陣的理念易于理解，但其軟、硬件實(shí)現(xiàn)有一定的難度。如果系統(tǒng)中用戶(hù)和資源都非常多，而每個(gè)用戶(hù)可能訪(fǎng)問(wèn)的資源有限，將會(huì)出現(xiàn)在龐大的訪(fǎng)問(wèn)控制矩陣中存在很多空值的情況，從而造成存儲(chǔ)矩陣空間的浪費(fèi)。此外，訪(fǎng)問(wèn)控制矩陣存放在何處也是一個(gè)問(wèn)題。簡(jiǎn)單的解決方式是將訪(fǎng)問(wèn)控制矩陣按行或按列來(lái)實(shí)現(xiàn)。其中按行的實(shí)現(xiàn)方法稱(chēng)為訪(fǎng)問(wèn)控制能力表，按列進(jìn)行劃分的實(shí)現(xiàn)方法稱(chēng)為訪(fǎng)問(wèn)控制列表。上述例6-2中訪(fǎng)問(wèn)控制矩陣對(duì)應(yīng)的能力表：

cap(Bob)={(文件1,{擁有}),(文件2,{讀,寫(xiě)}),(文件4,{執(zhí)行})}

cap(Alice)={(文件1,{寫(xiě)}),(文件2,{擁有}),(文件3,{擁有}),(文件4,{執(zhí)行})}

cap(John)={(文件1,{讀,寫(xiě)}),(文件3,{寫(xiě)}),(文件4,{擁有})}

對(duì)應(yīng)的訪(fǎng)問(wèn)控制列表：acl(文件1)={(Bob,{擁有}),(Alice,{寫(xiě)}),(John,{讀,寫(xiě)})}

acl(文件2)={(Bob,{讀,寫(xiě)}),(Alice,{擁有})}

acl(文件3)={(Alice,{擁有}),(John,{寫(xiě)})}

acl(文件4)={(Bob,{執(zhí)行}),(Alice,{執(zhí)行}),(John,{擁有})}

上例表明，一個(gè)訪(fǎng)問(wèn)控制能力表對(duì)應(yīng)訪(fǎng)問(wèn)控制矩陣的一行，該表表示了對(duì)應(yīng)的主體的訪(fǎng)問(wèn)能力；一個(gè)訪(fǎng)問(wèn)控制列表對(duì)應(yīng)訪(fǎng)問(wèn)控制矩陣的一列，該表表示了對(duì)應(yīng)的客體的各個(gè)主體的訪(fǎng)問(wèn)權(quán)限。在系統(tǒng)具體設(shè)計(jì)實(shí)現(xiàn)上，能力表對(duì)應(yīng)一張標(biāo)簽，標(biāo)簽上有客體的標(biāo)識(shí)和可以訪(fǎng)問(wèn)的方式。訪(fǎng)問(wèn)時(shí)，每個(gè)主體攜帶一張標(biāo)簽，訪(fǎng)問(wèn)監(jiān)視器把主體所持標(biāo)簽中的客體標(biāo)識(shí)與自己手中的客體標(biāo)識(shí)進(jìn)行對(duì)比，以確定是否允許訪(fǎng)問(wèn)。在整個(gè)系統(tǒng)中，一個(gè)主體可能持有多張標(biāo)簽。

訪(fǎng)問(wèn)控制列表的實(shí)現(xiàn)對(duì)應(yīng)一張名單表，訪(fǎng)問(wèn)監(jiān)視器持有一份所有授權(quán)主體的名單及相應(yīng)的訪(fǎng)問(wèn)方式，在訪(fǎng)問(wèn)活動(dòng)中，主體出示自己的身份標(biāo)識(shí)，監(jiān)視器從名單中進(jìn)行查找，檢查主體是否記錄在名單上，以確定是否允許訪(fǎng)問(wèn)。目前，大多數(shù)PC、服務(wù)器和主機(jī)都使用訪(fǎng)問(wèn)控制列表作為文件訪(fǎng)問(wèn)控制的實(shí)現(xiàn)機(jī)制。

Windows系統(tǒng)中共享對(duì)象的訪(fǎng)問(wèn)權(quán)限是由對(duì)象所有者決定的。如果用戶(hù)想共享某個(gè)對(duì)象，他首先要為對(duì)象選擇惟一的名字，然后為其他的用戶(hù)和組分配訪(fǎng)問(wèn)權(quán)限。WindowsNT允許用戶(hù)或組對(duì)文件或目錄進(jìn)行以下6種操作：讀、寫(xiě)、執(zhí)行、刪除、改變?cè)S可和獲取擁有權(quán)限。當(dāng)用戶(hù)訪(fǎng)問(wèn)文件時(shí)，Windows首先檢查文件的ACL，如果該用戶(hù)沒(méi)有出現(xiàn)在A(yíng)CL中，并且不是ACL中所列出組中的任一成員，則訪(fǎng)問(wèn)被拒絕。

UNIX系統(tǒng)中文件的訪(fǎng)問(wèn)控制列表用r(讀)w(寫(xiě))x(執(zhí)行)和-(無(wú)訪(fǎng)問(wèn)權(quán)限)構(gòu)成的9位許可字段表示，其中，前3位字段表示所有者的訪(fǎng)問(wèn)權(quán)限，中間3位字段表示組的訪(fǎng)問(wèn)權(quán)限，后3位字段表示其他用戶(hù)的訪(fǎng)問(wèn)權(quán)限。例如，rw-r表示所有者有讀、寫(xiě)的權(quán)限，組成員有讀的權(quán)限，其他用戶(hù)沒(méi)有訪(fǎng)問(wèn)權(quán)限。

對(duì)于訪(fǎng)問(wèn)控制列表來(lái)說(shuō)，如果用戶(hù)名和合適的權(quán)限出現(xiàn)在對(duì)象ACL中，則允許訪(fǎng)問(wèn)。每次用戶(hù)請(qǐng)求訪(fǎng)問(wèn)，它們都會(huì)由操作系統(tǒng)進(jìn)行身份識(shí)別。訪(fǎng)問(wèn)控制列表可以提供更好的保護(hù)，因?yàn)樗偸窃谠试S用戶(hù)訪(fǎng)問(wèn)之前識(shí)別用戶(hù)，也更容易跟蹤使用對(duì)象。對(duì)于訪(fǎng)問(wèn)能力表來(lái)說(shuō)，如果訪(fǎng)問(wèn)者出示有效的能力(標(biāo)簽)，則允許訪(fǎng)問(wèn)，監(jiān)視器一般不會(huì)驗(yàn)證能力持有者的身份。對(duì)能力表必須提供堅(jiān)固的保護(hù)措施以防止被敵手修改，單獨(dú)的計(jì)算機(jī)系統(tǒng)一般依靠操作系統(tǒng)的完整性來(lái)實(shí)現(xiàn)，而在網(wǎng)絡(luò)中需要進(jìn)行加密和認(rèn)證保護(hù)。能力表更適合于分布式環(huán)境。保護(hù)機(jī)制和命名可以合為一體，使訪(fǎng)問(wèn)控制更加靈活。在訪(fǎng)問(wèn)控制列表中撤消對(duì)客體的訪(fǎng)問(wèn)權(quán)限是非常容易的，但如果在能力表中撤消對(duì)一個(gè)客體的訪(fǎng)問(wèn)權(quán)限，需要撤消所有對(duì)該客體授權(quán)的能力表。理論上，要求對(duì)每一個(gè)進(jìn)程進(jìn)行檢查，刪除相關(guān)能力表。但這種操作開(kāi)銷(xiāo)過(guò)大，所以要使用其他替代方法。

對(duì)訪(fǎng)問(wèn)控制能力表和訪(fǎng)問(wèn)控制列表需要進(jìn)行有效的保護(hù)才能實(shí)現(xiàn)訪(fǎng)問(wèn)控制的目的。標(biāo)簽、受保護(hù)內(nèi)存和加密技術(shù)是實(shí)現(xiàn)上述保護(hù)的主要方法。6.4操作系統(tǒng)的訪(fǎng)問(wèn)控制機(jī)制與安全6.4.1操作系統(tǒng)的安全訪(fǎng)問(wèn)控制機(jī)制操作系統(tǒng)

操作系統(tǒng)是硬件之上的第一層軟件，其他軟件都依賴(lài)于操作系統(tǒng)的支持。

操作系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)非常復(fù)雜，好的、完善的操作系統(tǒng)不僅要能有效的組織和管理計(jì)算機(jī)的各類(lèi)資源、合理組織計(jì)算機(jī)工作流程、保證系統(tǒng)的高效運(yùn)行，還應(yīng)能阻止各類(lèi)攻擊、保證計(jì)算機(jī)上各類(lèi)信息和數(shù)據(jù)的安全。為了實(shí)現(xiàn)對(duì)信息或數(shù)據(jù)的訪(fǎng)問(wèn)控制功能，現(xiàn)代操作系統(tǒng)(以Windows為例)都提供了如下基本的訪(fǎng)問(wèn)控制機(jī)制。

1．CPU的工作模式

出于安全性和穩(wěn)定性的考慮，從Intel80386開(kāi)始，該系列的CPU可以運(yùn)行于ring0~ring3從高到低四個(gè)不同的權(quán)限級(jí)，對(duì)數(shù)據(jù)也提供相應(yīng)的四個(gè)保護(hù)級(jí)別。運(yùn)行于較低級(jí)別的代碼不能隨意調(diào)用高級(jí)別的代碼和訪(fǎng)問(wèn)較高級(jí)別的數(shù)據(jù)，而且也只有運(yùn)行在ring0層的代碼可以直接對(duì)物理硬件進(jìn)行訪(fǎng)問(wèn)。

Windows只利用了CPU的兩個(gè)運(yùn)行級(jí)別。一個(gè)被稱(chēng)為內(nèi)核模式，對(duì)應(yīng)80x86的ring0層，它是操作系統(tǒng)的核心部分，設(shè)備驅(qū)動(dòng)程序就是運(yùn)行在該模式下；另一個(gè)被稱(chēng)為用戶(hù)模式，對(duì)應(yīng)80x86的ring3層，操作系統(tǒng)的用戶(hù)接口部分以及所有的用戶(hù)應(yīng)用程序都運(yùn)行在該級(jí)別。Windows對(duì)運(yùn)行在內(nèi)核模式組件的空間并不提供讀/寫(xiě)保護(hù)。運(yùn)行于內(nèi)核模式的進(jìn)程可以執(zhí)行任何指令、訪(fǎng)問(wèn)任何地址，而運(yùn)行于用戶(hù)模式的進(jìn)程訪(fǎng)問(wèn)的地址空間是受到限制的，能夠執(zhí)行的指令也是受限的，例如，這些進(jìn)程不能更改其子進(jìn)程之外的別的進(jìn)程的狀態(tài)等。

2．定時(shí)器timer

操作系統(tǒng)通過(guò)啟用定時(shí)器來(lái)限制用戶(hù)程序?qū)PU的使用，并能防止用戶(hù)程序修改定時(shí)器，因而能夠防止用戶(hù)程序?yàn)E用CPU的行為。

3．內(nèi)存保護(hù)

目前操作系統(tǒng)都能限制一個(gè)用戶(hù)進(jìn)程訪(fǎng)問(wèn)其他用戶(hù)進(jìn)程私有地址空間的行為，限制方法包括使用柵欄、重定位、基址/限址寄存器、對(duì)內(nèi)存分段、分頁(yè)等。對(duì)于共享的內(nèi)存地址也提供了鎖保護(hù)措施。

4．文件保護(hù)

在Windows中，文件和目錄以及所有的基本操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)都被稱(chēng)為對(duì)象，每個(gè)對(duì)象有一個(gè)擁有者，對(duì)對(duì)象的訪(fǎng)問(wèn)需要主體出示訪(fǎng)問(wèn)令牌，只有訪(fǎng)問(wèn)令牌能和對(duì)象的訪(fǎng)問(wèn)控制列表中的訪(fǎng)問(wèn)控制條目匹配，系統(tǒng)才允許該主體訪(fǎng)問(wèn)該對(duì)象。

5．安全組件

Windows的安全組件包括安全標(biāo)識(shí)符(SID)、訪(fǎng)問(wèn)令牌(Accesstoken)、安全描述符、訪(fǎng)問(wèn)控制列表(ACL)和訪(fǎng)問(wèn)控制條目(ACE)。其中安全標(biāo)識(shí)符SID是分給所有用戶(hù)、組和計(jì)算機(jī)的統(tǒng)計(jì)上的唯一號(hào)碼。每次一個(gè)新的用戶(hù)或組被建立時(shí)，它就收到一個(gè)唯一的SID。當(dāng)Windows安裝和建立時(shí)，一個(gè)新的SID就分給那臺(tái)計(jì)算機(jī)了。

SID唯一的標(biāo)識(shí)用戶(hù)、組和計(jì)算機(jī)，不僅在特定的計(jì)算機(jī)上，也包括與其他計(jì)算機(jī)交互時(shí)的。在用戶(hù)被驗(yàn)證之后，系統(tǒng)會(huì)分配給用戶(hù)一個(gè)訪(fǎng)問(wèn)令牌。訪(fǎng)問(wèn)令牌是系統(tǒng)訪(fǎng)問(wèn)資源的“入場(chǎng)券”，只要用戶(hù)試圖訪(fǎng)問(wèn)某種資源，就要出示訪(fǎng)問(wèn)令牌。然后系統(tǒng)對(duì)照請(qǐng)求對(duì)象的訪(fǎng)問(wèn)控制列表檢查訪(fǎng)問(wèn)令牌。如果被許可，則以適當(dāng)?shù)姆绞秸J(rèn)可訪(fǎng)問(wèn)。訪(fǎng)問(wèn)令牌只有在登錄過(guò)程期間才能被分發(fā)，所以對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限的任何改變，都要求用戶(hù)先注銷(xiāo)，然后重新登錄后接收更新的訪(fǎng)問(wèn)令牌。

Windows中每個(gè)對(duì)象有一個(gè)安全描述符，作為它屬性的一部分。安全描述符由對(duì)象所有者的SID、POSIX子系統(tǒng)使用的組的SID、自主訪(fǎng)問(wèn)控制列表和系統(tǒng)訪(fǎng)問(wèn)控制列表組成。訪(fǎng)問(wèn)控制條目即訪(fǎng)問(wèn)控制列表的表項(xiàng)，每個(gè)訪(fǎng)問(wèn)控制條目包含用戶(hù)或組的SID和分配給該對(duì)象的權(quán)限。管理工具為一個(gè)對(duì)象列出訪(fǎng)問(wèn)權(quán)限時(shí)總是按照用戶(hù)字母順序列的，所以管理員的訪(fǎng)問(wèn)權(quán)限總在前面。

安全模型是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述，而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。6.4.2安全操作系統(tǒng)

早在1972年，J.P.Anderson就指出，要開(kāi)發(fā)出安全的系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進(jìn)行安全內(nèi)核的設(shè)計(jì)與實(shí)現(xiàn)。

歷史上，主要安全操作系統(tǒng)模型有BLP機(jī)密性安全模型、Biba完整性安全模型、Clark-Wilson完整性安全模型、信息流模型、RBAC安全模型、DTE安全模型、無(wú)干擾安全模型等。每一種模型都有一套完善的規(guī)則來(lái)限制系統(tǒng)中信息的流動(dòng)。評(píng)價(jià)小型操作系統(tǒng)安全性的主要依據(jù)是1985年發(fā)布的美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)—可信計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則(TCSEC)，該標(biāo)準(zhǔn)把安全級(jí)別從低到高分成四個(gè)類(lèi)別，每個(gè)類(lèi)別又分為幾個(gè)級(jí)別。TCSEC定義的大致內(nèi)容如下：A：校驗(yàn)級(jí)保護(hù)，提供低級(jí)別手段；

B3：安全域，數(shù)據(jù)隱藏與分層、屏蔽；

B2：結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)；

B1：標(biāo)記安全保護(hù)，例如SystemV等；

C2：有自主的訪(fǎng)問(wèn)安全性，區(qū)分用戶(hù)；

C1：不區(qū)分用戶(hù)，基本的訪(fǎng)問(wèn)控制；

D：沒(méi)有安全性可言，例如MSDOS。我們目前使用的Windows2000以上的版本操作系統(tǒng)均能達(dá)到C2級(jí)安全。C2級(jí)安全標(biāo)準(zhǔn)要求的主要特征有：(1)自主的訪(fǎng)問(wèn)控制；(2)對(duì)象再利用必須由系統(tǒng)控制；(3)用戶(hù)標(biāo)識(shí)和認(rèn)證；(4)能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動(dòng)、只有管理員才有權(quán)限訪(fǎng)問(wèn)設(shè)計(jì)記錄。思考題

(1)什么是訪(fǎng)問(wèn)控制，基于角色的訪(fǎng)問(wèn)控制策略有何特點(diǎn)？

(2)什么是訪(fǎng)問(wèn)控制列表，什么是訪(fǎng)問(wèn)能力表？

(3)分析Windows系列產(chǎn)品在訪(fǎng)問(wèn)控制方面的設(shè)計(jì)特點(diǎn)。

(4)什么是安全操作系統(tǒng)?

(5)?TCSEC的主要內(nèi)容是什么？

(6)查閱有關(guān)資料，對(duì)Windows服務(wù)器的安全配置提

出自己的建議。

實(shí)驗(yàn)6操作系統(tǒng)安全一、實(shí)驗(yàn)?zāi)康?/p>

(1)理解如何查找Windows服務(wù)器存在的安全問(wèn)題

(2)掌握Windows服務(wù)器的安全性設(shè)置方法。二、實(shí)驗(yàn)準(zhǔn)備

(1)?Windows操作系統(tǒng)的安全管理措施主要由安裝系統(tǒng)補(bǔ)丁、用戶(hù)賬號(hào)及口令安全、文件系統(tǒng)安全、主機(jī)安全管理等組成。賬號(hào)和口令安全設(shè)置包括限制新建的賬號(hào)的登錄、限制賬戶(hù)的登錄時(shí)間、限制登錄到指定的計(jì)算機(jī)、設(shè)置賬號(hào)失效期和設(shè)置密碼策略。單個(gè)主機(jī)的安全設(shè)置的主要措施有使用安全策略、設(shè)置系統(tǒng)資源審核和關(guān)閉不必要的服務(wù)。

(2)為了提高系統(tǒng)安全性，需要對(duì)系統(tǒng)的一些重要文件夾進(jìn)行正確的權(quán)限設(shè)置。請(qǐng)讀者查閱資料，合理設(shè)置c:\inetpub\wwwroot、c:/inetpub/mailroot、c:/inetpub/ftproot、c:/windows目錄下文件的使用權(quán)限。

(3)查閱有關(guān)資料，熟悉賬戶(hù)、服務(wù)、注冊(cè)表的管理方法。三、實(shí)驗(yàn)內(nèi)容

(1)通過(guò)netshare命令查看本地共享資源，進(jìn)行必要的更改。

(2)利用Windows內(nèi)置程序查看網(wǎng)絡(luò)是否有入侵行為發(fā)生。

(3)查閱資料，合理設(shè)置c:\inetpub\wwwroot、c:/inetpub/mailroot、c:/inetpub/ftproot、c:/windows目錄下文件的使用權(quán)限。

(4)禁用不必要的服務(wù)。

①選擇[開(kāi)始]→[控制面板]→[管理工具]，然后單擊計(jì)算機(jī)管理。

②在[計(jì)算機(jī)管理(本地)]卷展欄下，展開(kāi)[服務(wù)和應(yīng)用程序]卷展欄，然后單擊[服務(wù)]選項(xiàng)，則在當(dāng)前所運(yùn)行服務(wù)的狀態(tài)列中顯示已啟動(dòng)。

③找出要停止的服務(wù)，右擊該服務(wù)選擇屬性，在屬性中選擇[依存關(guān)系]選項(xiàng)卡。④在“服務(wù)名依賴(lài)這些服務(wù)”列表中，查并記錄與該服務(wù)存在依賴(lài)關(guān)系的服務(wù)；在這些“服務(wù)依賴(lài)服務(wù)名”列表中，記下沒(méi)有該服務(wù)就無(wú)法啟動(dòng)的那些服務(wù)。

⑤如果要立即停止服務(wù)，請(qǐng)單擊停止。如果顯示停止其他服務(wù)對(duì)話(huà)框，依賴(lài)于該服務(wù)的其他服務(wù)也將被停止。記下受影響的服務(wù)，然后單擊[是]。

⑥記下該服務(wù)停止后，存在依存關(guān)系的系統(tǒng)組件的狀態(tài)。

(5)禁用或刪除不必要的帳戶(hù)

①選擇[開(kāi)始]→[控制面板]→[管理工具]，然后單擊[計(jì)算機(jī)管理]。

②在[計(jì)算機(jī)管理(本地)]卷展欄下，展開(kāi)[系統(tǒng)工具]卷展欄，然后單擊[本地用戶(hù)和組]選項(xiàng)中的用戶(hù)。

③查看系統(tǒng)的活動(dòng)賬戶(hù)列表，并且禁用所有非活動(dòng)賬戶(hù)，刪除不再需要的賬戶(hù)。

(6)設(shè)置更加可靠的密碼策略

①選擇[開(kāi)始]→[控制面板]→[管理工具]，然后單擊[本地安全策略]選項(xiàng)或[域安全策略]選項(xiàng)。

②在[本地安全策略]卷展欄下，展開(kāi)[帳戶(hù)策略]卷展欄，然后單擊[密碼策略]選項(xiàng)。

③設(shè)置密碼策略。

首先將最小密碼長(zhǎng)度設(shè)置為6個(gè)字符，然后設(shè)置一個(gè)適合您網(wǎng)絡(luò)的密碼最短期限(通常介于1至7天之間)。設(shè)置一個(gè)適合您網(wǎng)絡(luò)的最長(zhǎng)密碼期限(通常不超過(guò)42天)。

④設(shè)置完成后創(chuàng)建一測(cè)試賬戶(hù)并設(shè)置一個(gè)1～5位的密碼，記錄系統(tǒng)提示信息。

(7)設(shè)置帳戶(hù)的鎖定策略

①選擇「開(kāi)始」→「程序」→「管理工具」，然后單擊“本地安全策略”或“域安全策略”。

②在“本地安全策略”下，展開(kāi)“帳戶(hù)策略”，然后單擊“帳戶(hù)的鎖定策略”。

③右擊“賬戶(hù)鎖定閥值”，將其設(shè)置為“啟用在3至5次嘗試失敗之后的鎖定”。④右擊“復(fù)位帳戶(hù)鎖定計(jì)數(shù)器”，將其設(shè)置為“在不少于30分鐘之后復(fù)位計(jì)數(shù)器”。

⑤右擊“帳戶(hù)鎖定時(shí)間”，將鎖定時(shí)間設(shè)置為“永久”。

⑥用測(cè)試賬戶(hù)的錯(cuò)誤密碼登錄系統(tǒng)，記錄3次登錄失敗系統(tǒng)的狀態(tài)。

(8)以管理員賬戶(hù)登錄，設(shè)置審核策略并查看審核結(jié)果。

開(kāi)啟Windows時(shí)事件日志服務(wù)自動(dòng)開(kāi)啟，所有用戶(hù)都能閱讀