第6章　操作系统的安全.ppt

第6章　操作系统的安全 6.1　操作系统安全基础 6.1.1　操作系统安全的概念 操作系统安全是指该系统能够控制外部对系统信息的访问，即只有经过授权的用户（或进程）才能对信息资源进行相应的读、写、删除等操作，以保护合法用户对授权资源的使用，防止非法入侵者对系统资源的侵占与破坏。 操作系统安全一般包括两层意思：一是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全；二是操作系统在使用中通过一系列的配置，保证操作系统尽量避免由于实现时的缺陷或是应用环境因素产生的不安因素。只有通过这两方面的同时努力，才能最大可能地建立安全的操作环境。 6.1.2　安全操作系统 6.2　访问控制技术 6.2.1　访问控制的概念 2．访问控制的实现机制 （1）访问控制表 （2）访问控制矩阵 （3）访问控制能力列表 （4）访问控制安全标签列表 3．访问控制实现的技术 （1）接入访问控制 （2）资源访问控制 （3）网络端口和节点的访问控制 6.2.2　自主访问控制（DAC） 自主访问控制（Discretionary Access Control）是一种最为普遍的访问控制手段，其依据是用户的身份和授权，并为系统中的每个用户（或用户组）和客体规定了用户允许对客体进行访问的方式。每个用户对客体进行访问的要求都要经过规定授权的检验，如果授权中允许用户以这种方式访问客体，则访问就可以得到允许，否则就不予许可。 1．基于行的自主访问控制 （1）权限字 权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体，并指定这些客体上允许的操作。它作为一张凭证，允许主体对客体完成特定类型的访问。仅在用户通过操作系统发出特定请求时才建立权限字，每个权限字也标识可允许的访问。 （2）前缀表 前缀表包含保护的文件名（客体名）及主体对它的访问权限。当系统中有某个主体欲访问某个客体时，访问控制机制将检查主体的前缀是否具有它所请求的访问权。 （3）口令字 每个客体或每个客体的不同访问方式都对应一个口令，用户只有知道口令才能访问。这种方法也有其内在的缺点，如口令多，用户难于记忆；另外，为保证安全，口令需经常更换，这都给用户的使用带来不便，而且哪些用户享有口令很难受到控制。 2．基于列的自主访问控制 （1）保护位 保护位方式不能完备地表达访问控制矩阵。UNIX系统采用了此方法。保护位对所有的主体、主体组（用户、用户组）以及该客体（文本）的拥有者，规定了一个访问模式的集合。 （2）存取控制表 存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问，它是利用都在客体上附加一个主体明细表的方法来表示访问控制矩阵的。表中的每一项包括主体的身份以及对该客体的访问权。 6.2.3　强制访问控制（MAC） MAC是一种多级访问控制策略，它的主要特点是系统对访问主体和客体实行强制访问控制，系统事先给访问主体和客体分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和客体的安全级别属性进行比较，再决定访问主体能否访问该客体。强制访问控制还可以阻止某个进程共享文件，并阻止通过一个共享文件向其它进程传递信息。 1．MAC模型 2．强制访问控制采用的方法 （1）限制访问控制 （2）过程控制 （3）系统限制 6.2.4　基于角色的访问控制（RBAC） 1．基于角色的访问控制基本思想 基于角色的访问控制（Role-based Access Model，RBAC）基本思想是要求确定每一个用户在系统中扮演的角色。“角色”就是与一个特定工作行为有关的一套行为与责任，用户通过饰演不同的角色获得角色所拥有的访问许可权。角色访问控制是根据系统中的行为规定了它们对信息的访问，角色控制策略对商业和政府组织来说都是一种行之有效的方法。 RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主体和客体之间的一座桥梁。 2．RBAC的优势 （1）便于授权管理 （2）便于角色划分 （3）便于实施最小特权原则 （4）便于职责分离