信息安全概论徐茂智邹维1_信息安全概论第20讲上课用课件.ppt

信息安全概论 第20讲 2008年x月y日 7.2 操作系统安全 7.2.1操作系统安全概述 7.2.2操作系统安全机制设计原则 7.2.3操作系统安全机制 1. 硬件安全机制 2. 身份鉴别 3. 访问控制 4. 最小特权原则 5. 可信通道 6. 安全审计 7.2.4 UNIX操作系统安全机制 2. 身份鉴别 3. 访问控制 4. 最小特权原则 5. 安全审计 6. 网络安全性 7.3 数据库安全 1. 数据库系统的组成 7.3.2数据库安全技术 2. 安全策略 3. 安全需求 4. 安全技术 作业 * * 操作系统是管理计算机硬件，并为上层应用软件提供接口的系统软件，是计算机系统的核心。数据库系统、应用软件都运行在操作系统之上，因此操作系统安全是整个计算机系统安全的基石和关键，不能保证操作系统的安全性，就不可能达到数据库安全和应用安全。 操作系统安全要达到的主要目标是： 依据系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问（窃取、篡改和破坏）； 标识系统中的用户并进行身份识别； 保证系统自身的可用性及系统数据的完整性； 监督系统运行的安全性。 为了实现这些安全目标，需要依据特定的设计原则和设计方法，实现相应的安全机制，从而构建安全操作系统，其中关键的操作系统安全机制包括：客体重用保护、身份鉴别、访问控制、最小特权原则、可信通道、安全审计等。 J. H. Saltzer和M. D. Schroeder提出了操作系统安全保护机制应符合8原则： 最小特权原则：每个用户和进程必须按照“所需”原则，尽可能使用最小特权。 可验证性：保护操作系统安全的机制应该具备简单性和直接性，并能够通过形式化证明方法或穷举测试验证其可靠性。 开放设计原则：安全机制设计应该是开放的，机制本身的不应必威体育官网网址。还应该接受广泛的公开审查，消除可能存在的设计缺陷。 完全检查：每次访问尝试都必须通过检查。 基于许可：对客体的访问应该是默认拒绝访问，稳健的设计机制，主体还应该识别那些将被访问的客体。 多重防护：理想情况下，对敏感客体的访问应依赖多个条件，比如用户鉴别和密钥。 最少公用机制：共享对象为信息流提供了潜在的通道。采用物理或逻辑隔离的系统减少了共享的风险。 易用性：使用简单的安全机制，并提供友好的用户接口，使其更容易被用户所接受。 操作系统安全机制主要包括 客体重用保护 身份鉴别 访问控制 最小特权原则 可信通道 安全审计等。 存储保护 存储保护主要指保护用户在存储器中的数据，对于在内存中一次只能运行一个进程的操作系统，存储保护机制应能防止用户程序对操作系统的影响。而允许多个进程同时执行的多道操作系统还需要进一步要求存储保护机制对各个进程的存储空间进行相互隔离。 运行保护 安全操作系统的一个重要的设计原则是分层设计，如基于保护环的等级式结构。最内环是安全内核，具有最高的特权，外环则是不具有特权的用户程序。 运行保护包括等级域机制和进程隔离机制。等级域机制应该保护某一环不被其外环侵入，并且允许在某一环内的进程能够有效地控制和利用该环及该环以外的环。进程隔离机制则指当一个进程在某个环内运行时，应保证该进程免遭同一环内同时运行的其他进程的破坏，也就是说系统将隔离在同一环内同时运行的各个进程。 I/O保护 绝大多数情况下，I/O操作是仅由操作系统完成的一个特权操作，所有操作系统都对I/O操作提供一个相应的高层系统调用，在这些过程中，用户不需要控制I/O操作的细节。 身份鉴别，即计算机系统对用户身份的标识与鉴别（IA: Identification Authentication）机制，用于保证只有合法用户才能进入系统，进而访问系统中的资源。 在操作系统中，身份鉴别一般在用户登录系统时进行，常使用的鉴别机制有口令机制、智能卡和生物鉴别技术等。 3. 访问控制 包括以下3个任务： 授权、确定访问权限、实施访问权限控制。 在UNIX、Linux等操作系统中实现了一种简单、常用、有效的自主访问控制模式，即在每个文件上附加有关访问控制信息的9位比特，如图7.3所示，这些比特位反映了不同类别用户对此文件的访问方式。但其控制的粒度比较粗糙，无法精确控制某个用户对文件的访问权。 强制访问控制机制和自主访问控制机制可以同时结合应用。 图 7.3比特位模式 一个特权就是一个可违反系统安全策略的操作能力，作用是为了保证操作系统的正常运行。 在目前多数流行的多用户操作系统（如UNIX、Linux和Windows）中，超级用户一般具有所有特权，而普通用户不具有任何特权，一个进程要