信息安全技术教程(全).ppt

三、安全操作系统 设计安全操作系统应该遵循以下一些原则（由Saltzer J.H、Schroeder M.D提出）： （1）最小特权 （2）保护机制的经济性 （3）开放设计 （4）严密完整的检查 （5）基于许可的模式 （6）特权分离 （7）最少的通用机制 （8）便于使用 四、操作系统安全等级 信息技术安全测评标准可以引入到对操作系统的安全等级评估中，最为著名的是美国国防部发布的可信计算机系统评估标准（TCSEC），TCSEC定义了七个等级（D1,C1,C2,B1,B2,B3,A1），分为四个类别。 我国也于近年制定了强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859—1999），在参考国外相应标准的基础上，从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径和可信恢复等十个方面将计算机信息系统安全保护等级划分为五个安全等级：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级。 第二节 Windows系统安全 WindowsNT/2000/XP的操作系统结构如下图所示： 操作系统核心模式的最底层是硬件抽象层，它为上层提供硬件结构的接口；硬件抽象层上是微内核，它为下层提供执行、中断、异常处理和同步的支持；最高层是由一系列实现基本操作系统服务的模块。 操作系统用户模式中提供了应用程序接口（API），内置有会话管理、NT注册（winlogon）、Win32、本地安全认证（Local Security Authority，简称LSA）、安全帐号管理（Security Account Manager，简称SAM）等模块，这些模块中已经能够支持一些基本的系统安全功能，包括： （1）访问控制的判断（Discretion Access Control）：允许对象所有者控制被允许访问该对象的用户以及访问的方式； （2）对象重用（Object Reuse）：当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源； （3）强制登录（Mandatory LogOn）：要求所有的用户必须登录，通过认证后才可以访问资源； （4）审核（Auditing）：在控制用户访问资源的同时，对这些访问作相应地记录； （5）对象的访问控制（Control of Access to Object）：系统的某些资源不允许被直接访问，即使是允许被访问的资源，用户或应用也需要首先通过认证以后才能访问。 Windows中的很多简单的系统行为其实就是上面提到的若干安全功能子模块默契配合的过程。以Windows系统的登录流程为例来说明，Windows系统登录流程如下图所示： 上面提到了一些登录过程中应用的安全组件，下面具体解释几个组件的概念： （1）安全标识符（Security Identifiers，简称SID）：当每次创建一个用户或一个组的时候，系统会分配给该用户或组一个唯一的SID；当重新安装系统后，也会得到一个唯一的SID。SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定，以保证它的唯一性。 （2）访问令牌（AccessTokens）：用户通过验证后，登录进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows系统，然后Windows系统检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候由登录进程所提供的，所以改变用户的权限需要注销后重新登录，重新获取访问令牌。 （3）安全描述符（SecurityDescriptors）：Windows系统中的任何对象的属性都具有安全描述符这部分，它保存对象的安全配置。 （4）访问控制列表（AccessControlLists，简称ACL）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）和系统访问控制列表（SystemACL）。任意访问控制列表包含了用户或组的列表以及相应的权限——允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。 （5）访问控制项（AccessControlEntries）：访问控制项包含了用户或组的SID以及对对象的访问权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 一、Windows系统帐号管理 Windows系统的用户帐号（User Accounts）安全是Windows系统安