操作系统安全技术

信息安全技术教学课件 V2010.03操作系统安全技术第 6 讲第 2 页 / 本章要点p操作系统是信息安全技术体系中重要的组成部 分，针对GB 17859-1999关于信息系统安 全保护的要求，本章介绍操作系统应该具有的 安全技术措施。pGB/T 20272-2006 信息安全技术 操作系统安全 技术要求第 3 页 / 一、操作系统安全概述p1、操作系统安全的含义n计算机操作系统的主要功能是进行计算机资源管理和提供用户使用计算 机的界面。n用户资源可以归结为以文件形式表示的数据信息资源，系统资源包括系 统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。n对操作系统中资源的保护，实际上是对操作系统中文件的保护。n操作系统的安全保护的功能要求，需要从操作系统的安全运行和操作系 统数据的安全保护两方面。操作系统的安全主要通过身份鉴别、自主访 问控制、标记和强制访问控制、数据流控制、审计、数据完整性、数据 保密性等几方面来实现系统的安全需要（GB 17859和GB/T 20271）。p实现各种类型的操作系统安全需要的所有安全技术称为操作系 统安全技术。操作系统安全子系统（ SSOOS ，Security Subsystem Of Operating System），是操作系统的可 信计算基（TCB），指把操作系统中硬件、固件、软件和负责 执行安全策略的所有相关的安全保护装置。第 4 页 / 一、操作系统安全概述p2、操作系统安全的组成 n操作系统的安全，应该从安全功能和安全保证两方面综合考虑。每一等级的 信息系统，都有不同的安全功能要求和安全保证措施。图6.1表示了操作系 统安全技术要求的组成及相互关系。第 5 页 / 一、操作系统安全概述p3、操作系统的主体与客体 n在操作系统中，每一个实体成分都必须是主体或客体，或者既是主体 又是客体。n主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基 本的主体是用户，系统中的所有事件，几乎都是由用户激发的。用户 的所有事件都要通过运行进程来处理。进程是用户的客体，但又是访 问对象的主体。n客体是一个被动的实体。在操作系统中，客体可以是按一定格式存储 在记录介质中的数据信息（文件），也可以是操作系统中的进程。n访问控制等安全措施都是由主体对客体实施操作完成的。第 6 页 / 二、操作系统安全的技术要求p身份鉴别p访问控制p安全审计p用户数据的完整性和保密性p可信路径第 7 页 / p1、身份鉴别n身份鉴别包括对用户的身份进行标识和鉴别。用户标识n（1）凡需进入操作系统的用户，应先进行标识，即建立账号；n（2）操作系统用户标识一般使用用户名和用户标识符（UID）。用户鉴别n（1）采用口令进行鉴别，并在每次用户登录系统时进行鉴别；n（2）通过对不成功的鉴别尝试的值进行预先定义，并明确规定达到该值时应 该采取的措施公平实现鉴别失败的处理。用户主体行为绑定n（1）用户进程与所有者相关联，进程行为可追溯到进程的所有者；n（2）进程与当前服务要求者相关联，系统进程行为可追溯到服务的要求者。二、操作系统安全的技术要求第 8 页 / p2、访问控制n访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机 制。访问控制也是信息安全理论基础的重要组成部分。n本章讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主 访问控制、强制访问控制和基于角色的访问控制。 （1）访问控制原理n访问控制机制将根据预先设定的规则对用户访问某项资源（目标）进行控制 ，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。资 源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获 取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行 。 二、操作系统安全的技术要求第 9 页 / p2、访问控制 （2）自主访问控制（Discretionary Access Control，DAC）n自主访问控制就是由拥有资源的用户自己来决定其他一个或一些主体可以在 什么程度上访问哪些资源。 n主体、客体以及相应的权限组成系统的访问控制矩阵。在访问控制矩阵中， 每一行表示一个主体的所有权限；每一列则是关于一个客体的所有权限；矩 阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权 限。 n访问控制表（Access Control List，ACL）是基于访问控制矩阵中列的 自主访问控制。它在一个客体上附加一个主体明晰表，来表示各个主体对这 个客体的访问权限。n访问能力表（Access Capabilities List）是最常用的基于行的自主访问 控制。能力（capability） 是为主体提供的、对客体具有特定访问权限的 不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。二、操作系统安全的技术要求第 10 页 / p2、访问控制 （3）强制访问控制（Mandatory Access Control， MAC）n强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、机密级 、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别 的主体对不同级别的客体的访问是在强制的安全策略下实现的。n实体的安全级别是由敏感标记（Sensitivity Label）来表示，是表示实体 安全级别的一组信息，在安全机制中把敏感标记作为强制访问控制决策的依 据。（4）基于角色的访问控制（Role Based Access Control，RBAC）n在基于角色的访问控制模式中，用户不是自始至终以同样的注册身份和权限 访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限。系 统按照自主访问控制或强制访问控制机制控制角色的访问能力。 n一个主体可以同时担任多个角色。基于角色的访问控制就是通过各种角色的 不同搭配授权来尽可能实现主体的最小权限（最小授权指主体在能够完成所 有必需的访问工作基础上的最小权限）。n授权管理的控制途径：改变客体的访问权限改变角色的访问权限改变主 体所担任的角色。二、操作系统安全的技术要求第 11 页 / p3、安全审计n安全审计是指在一个信息系统中以维护系统安全为目的的审计，即为了保障 系统、网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术 手段实时收集和监控系统中每一个组成部分的状态、安全事件，以便集中报 警、分析、处理的一种技术手段。n安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性 控制等安全功能紧密结合。n提供对受保护客体访问的审计跟踪功能，保护审计记录不被未授权访问、修 改和破坏。n提供可选择的审计事件，生成的审计日志可管理。 二、操作系统安全的技术要求第 12 页 / p4、用户数据的完整性和保密性n在安全功能控制范围内。为主体和客体设置完整性标签，并建立完整性保护 策略模型，保护用户数据在存储、传输和处理过程中的完整性。n提供硬盘数据的备份和修复功能，可将硬盘中的数据压缩和备份，并在必要 时恢复。n确保硬盘数据的授权使用，保证系统内各个用户之间互不干扰。p5、可信路径n在第四级和第五级安全系统中，要求提供用户初始登录/鉴别时的可信路径， 在SSOOS与用户间建立一条安全的信息传输通路。二、操作系统安全的技术要求第 13 页 / p1、Windows的安全模型与基本概念 （1）安全模型 Windows的安全模型由以下几个关键部分构成： 1）登录过程（Logon Process，LP）。接受本地用户或者远程用户的登录 请求，处理用户信息，为用户做一些初始化工作。2）本地安全授权机构（Local Security Authority，LSA）。根据安全账 号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。 这是整个安全子系统的核心。3）安全账号管理器（Security Account Manager，SAM）。维护账号的 安全性管理数据库（SAM数据库，又称目录数据库）。4）安全引用监视器（Security Reference Monitor，SRM）。检查存取 合法性，防止非法存取和修改。三、Windows 2003的访问控制第 14 页 / p1、Windows的安全模型与基本概念 （2）安全概念 1）安全标识（Security Identifier，SID）：是标识用户、组和计算机帐 户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一 个唯一的 SID。安全标识和账号唯一对应，在账号创建时创建，账号删除时 删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在 SAM数据库里。 2）访问令牌（Access Token）。当用户登录时，本地安全授权机构为用户 创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后，用户的 所有程序都将拥有访问令牌的拷贝。 3）主体。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌， 这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成 一个主体。 4）对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息 集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。 5）安全描述符（Security Descript）。Windows系统中共享资源的安全 特性描述，包含了该对象的一组安全属性，分为所有者安全标识、组安全标 识（GroupSecurity）、自主访问控制表（Discretionary Access Control List，DAC）、系统访问控制表（ACL）四个部分。三、Windows 2003的访问控制第 15 页 / p2、Windows的访问控制过程p当一个账号被创建时，Windows系统为它分配一个SID，并与其他账 号信息一起存入SAM数据库。p用户登录管理。登录主机（通常为工作站）的系统首先把用户输入的用 户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安 全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配， 服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在 组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户 账号的特权、主目录位置、工作站参数等信息。p本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标 识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的 访问令牌。p用户访问进程管理。安全引用监视器将用户/进程的访问令牌中的SID与 对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权 访问对象。三、Windows 2003的访问控制第 16 页 / p2、Windows的访问控制过程p权限（Permission）：精确定制用户对资源的访问控制能力。p权限管理原则 （1）拒绝优于允许原则 （2）权限最小化原则 （3）权限继承性原则 （4）累加原则p“拒绝优于允许”原则是用于解决权限设置上的冲突问题；“权限最小化” 原则是用于保障资源安全；“权限继承性”原则是用于“自动化”执行权限 设置的；而“累加原则”则是让权限的设置更加灵活多变。 p资源权限的应用：依据是否被共享到网络，其权限可以分为NTFS权限 （本地权限）与共享权限两种。nNTFS的标准访问权限：“套餐型”的权限，即：完全控制、修改、读取和运 行、列出文件夹目录、读取、写入。图6.5nNTFS的“特别权限”（“高级”选项），允许用户进行细化权限选择。图6.6n三种共享权限：完全控制、更改、读取。三、Windows 2003的访问控制资源复制或移动时权限的变化 在权限的应用中，设置了权限后的资源需要复制或者是移动，资源的权限会发 生变化： （1）复制资源 在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标 位置父级资源的权限。 （2）移动资源 在移动资源时，如果资源的移动发生在同一驱动器内，那么对象将保留本身原 有的权限不变（包括资源本身权限及从父级资源