第8章 操作系统安全基础剖析.ppt

第八章 操作系统安全基础 * 内容提要 操作系统概述、基本概念、机制、安全模型和安全体系结构 主要介绍操作系统安全配置的方案。 操作系统的安全将决定网络的安全，从保护级别上分成安全初级篇、中级篇和高级篇，共36条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置，中级篇介绍操作系统的安全策略配置，高级篇介绍操作系统安全信息通信配置。 8.1 操作系统概述 目前服务器常用的操作系统有四类： FreeBSD Unix Linux Windows NT/2000/2003 Server。 这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。 TCSEC (Trusted Computer Standards Evaluation Criteria) 可信任计算机标准评价准则（网络安全橙皮书） 8.2 安全操作系统的研究发展 操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用。没有操作系统提供的安全性，信息系统的安全性是没有基础的 。 区分安全操作系统和操作系统安全 8.3 安全操作系统的基本概念 安全操作系统涉及很多概念： 主体和客体 安全策略和安全模型 访问监控器和安全内核 可信计算基 8.3.1 主体和客体 操作系统中的每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。 主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基本的主体应该是用户（包括一般用户和系统管理员、系统安全员、系统审计员等特殊用户）。每个进入系统的用户必须是惟一标识的，并经过鉴别确定为真实的。 系统中的所有事件要求，几乎全是由用户激发的。进程是系统中最活跃的实体，用户的所有事件要求都要通过进程的运行来处理。在这里，进程作为用户的客体，同时又是其访问对象的主体。 客体是一个被动的实体。在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。 操作系统中的进程（包括用户进程和系统进程）一般有着双重身份。当一个进程运行时，它必定为某一用户服务——直接或间接的处理该用户的事件要求。 于是，该进程成为该用户的客体，或为另一进程的客体（这时另一进程则是该用户的客体） 8.3.2 安全策略和安全模型 安全策略与安全模型是计算机安全理论中容易相互混淆的两个概念。 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。 例如，可以将安全策略定为：系统中的用户和信息被划分为不同的层次，一些级别比另一些级别高；而且如果主体能读访问客体，当且仅当主体的级别高于或等于客体的级别；如果主体能写访问客体，当且仅当主体的级别低于或等于客体的级别。 安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。 安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。 访问监控器 访问控制机制的理论基础是访问监控器（Reference Monitor），由J.P.Anderson首次提出。访问监控器是一个抽象概念，它表现的是一种思想。J.P.Anderson把访问监控器的具体实现称为引用验证机制，它是实现访问监控器思想的硬件和软件的组合。 8.4 安全操作系统的机制 安全操作系统的机制包括： 硬件安全机制 操作系统的安全标识与鉴别 访问控制、最小特权管理 可信通路和安全审计 8.4.1 硬件安全机制 绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的，优秀的硬件保护性能是高效、可靠的操作系统的基础。 计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。 8.4.2 标识与鉴别 标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。 将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。 鉴别一般是在用户登录时发生的，系统提示用户输入口令，然后判断用户输入的口令与系统存在的口令是否一致，另外，生物特征识别技术； 8.4.3 访问控制 在安全操作系统领域中，访问控制一般都涉及 自主访问控制（Discretionary Access Control，DAC） 强制访问控制（Mandatory A