操作系统安全性

1、1 isoiso信息技术安全评价通用准则信息技术安全评价通用准则 隔离隔离 分级安全管理分级安全管理 通信网络安全管理通信网络安全管理 信息安全管理信息安全管理 预防、发现、消除计算机病毒预防、发现、消除计算机病毒 windows2000 windows2000安全性安全性 unixware 2.1/es unixware 2.1/es 的安全性的安全性2 d d 最低安全性最低安全性 c1 c1 自主存取控制自主存取控制 c2 c2 较完善的自主存取控制、审计较完善的自主存取控制、审计 b1 b1 强制存取控制强制存取控制 b2 b2 良好的结构化设计、形式化安全模型良好的结构化设计、形式化

2、安全模型 b3 b3 全面的访问控制、可信恢复全面的访问控制、可信恢复 a1 a1 形式化认证形式化认证3 系统级安全管理：不允许未经核准的用户进入系系统级安全管理：不允许未经核准的用户进入系统统注册：系统纪录注册用户名注册：系统纪录注册用户名/ /口令口令登录：系统核对用户名登录：系统核对用户名/ /口令口令 用户级安全管理：为给用户文件分配文件用户级安全管理：为给用户文件分配文件“访问访问权限权限”而设计的；例如，而设计的；例如，unixunix中，将用户分成三中，将用户分成三类：文件主、授权用户和一般用户类：文件主、授权用户和一般用户 文件级安全管理：通过系统管理员或文件主对文文件级安全

3、管理：通过系统管理员或文件主对文件属性的设置，来控制用户对文件的访问；通常件属性的设置，来控制用户对文件的访问；通常可对文件置以下属性：执行、隐含、修改、索引可对文件置以下属性：执行、隐含、修改、索引、只读、写、只读、写 、共享等、共享等4 对网络安全的主要威胁：非授权访问、冒充对网络安全的主要威胁：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面运行、利用网络传播病毒、线路窃听等方面 网络操作系统必须采用多种安全措施和手段网络操作系统必须采用多种安全措施和手段：用户身份验证和对等实体鉴别；访问控制：用户身份验证

4、和对等实体鉴别；访问控制；数据完整性；加密；防抵赖；审计；数据完整性；加密；防抵赖；审计 网络系统安全保障的实现方法网络系统安全保障的实现方法 以防火墙技术为代表的防卫型网络安全保障系统以防火墙技术为代表的防卫型网络安全保障系统 建立在数据加密和用户授权确认机制上的开放型建立在数据加密和用户授权确认机制上的开放型网络安全保障系统网络安全保障系统5 保护信息以防止未授权者对信息的恶意访问、泄漏、修改和保护信息以防止未授权者对信息的恶意访问、泄漏、修改和破坏，从而导致信息的不可靠或被破坏破坏，从而导致信息的不可靠或被破坏机密性机密性confidentiality:confidentiality:定

5、义了哪些系统资源不能被未授定义了哪些系统资源不能被未授权用户访问权用户访问完整性完整性integrity:integrity:决定了信息不能被未授权的来源所替代决定了信息不能被未授权的来源所替代或遭到改变和破坏或遭到改变和破坏可用性可用性availability:availability:防止非法独占资源，每当用户需要防止非法独占资源，每当用户需要并有权访问时，总能访问到所需的信息资源并有权访问时，总能访问到所需的信息资源 信息系统的安全性可用信息系统的安全性可用4 4a a的完善程度来衡量的完善程度来衡量用户身份验证用户身份验证authenticationauthentication：在用户

6、获取信息、访问系在用户获取信息、访问系统资源前对其身份标识进行确定和验证，以保证用户的合统资源前对其身份标识进行确定和验证，以保证用户的合法性法性授权授权authorizationauthorization：使不同的用户能用各自的权限合法使不同的用户能用各自的权限合法地访问他们可使用的信息及系统资源地访问他们可使用的信息及系统资源审计审计auditaudit：对各种安全性事件的检查、跟踪和记录对各种安全性事件的检查、跟踪和记录保证保证assuranceassurance：在意外故障乃至灾难中信息资源不被破在意外故障乃至灾难中信息资源不被破坏与丢失坏与丢失6 计算机病毒是一个能够通过修改程序，并

7、把自身的计算机病毒是一个能够通过修改程序，并把自身的复制品包括在内去复制品包括在内去“传染传染” ” 其它程序的一种程序其它程序的一种程序 计算机病毒的特性：破坏性、隐蔽性、传染性、表计算机病毒的特性：破坏性、隐蔽性、传染性、表现性现性 计算机病毒按其寄生方式：源码病毒、入侵病毒、计算机病毒按其寄生方式：源码病毒、入侵病毒、外壳病毒、系统病毒外壳病毒、系统病毒 计算机病毒的防治：计算机病毒的防治：病毒的预防，指采取措施保护传染对象不受病毒的传染病毒的预防，指采取措施保护传染对象不受病毒的传染病毒的发现，应该尽早根据种种蛛丝马迹发现病毒的存病毒的发现，应该尽早根据种种蛛丝马迹发现病毒的存在，以便

8、消除它在，以便消除它病毒的消除，有专门的杀毒工具，如病毒的消除，有专门的杀毒工具，如vsafevsafe、msavmsav、killkill等，使系统恢复正常。等，使系统恢复正常。 7 安全策略定义了一组用于授权使用其计算机安全策略定义了一组用于授权使用其计算机及信息资源的规则及信息资源的规则 保护机制是实施组织安全策略的工具保护机制是实施组织安全策略的工具 身份鉴别分为内部和外部身份鉴别两种身份鉴别分为内部和外部身份鉴别两种外部身份鉴别涉及验证某用户是否是其宣称的外部身份鉴别涉及验证某用户是否是其宣称的 内部身份鉴别机制确保某进程不能表现为除了内部身份鉴别机制确保某进程不能表现为除了它自身以

9、外的进程它自身以外的进程 授权机制确认用户或进程只有在策略许可某授权机制确认用户或进程只有在策略许可某种使用时才能够使用计算机的实体种使用时才能够使用计算机的实体 加密是将信息编码成像密文一样难解形式的加密是将信息编码成像密文一样难解形式的技术技术 8 状态隔离状态隔离 例：例：vax/vmsvax/vms的四种处理器模式的四种处理器模式内核内核( (kernel)kernel)态：执行态：执行vmsvms操作系统的内核，包括内存操作系统的内核，包括内存管理、中断处理、管理、中断处理、i/oi/o操作等操作等执行执行( (executive)executive)态：执行操作系统的各种系统调用，

10、态：执行操作系统的各种系统调用，如文件操作等如文件操作等监管监管( (supervisor)supervisor)态：执行操作系统其余系统调用，态：执行操作系统其余系统调用，如应答用户请求如应答用户请求用户用户( (user)user)态：执行用户程序；执行诸如编译、编辑态：执行用户程序；执行诸如编译、编辑、连接、和排错等各种实用程序、连接、和排错等各种实用程序 空间隔离空间隔离 访问矩阵的实现访问矩阵的实现 内存锁与内存锁与keykey、访问控制列表、权能访问控制列表、权能9 加密函数与解密函数加密函数与解密函数 加密与解密机制的实现加密与解密机制的实现机制的实现保密机制的实现保密密钥保密密

11、钥保密10 安全引用监视器安全引用监视器( (srm)srm) 本地安全权限本地安全权限( (lsa)lsa)服务器服务器 lsa lsa策略数据库策略数据库 安全账号管理器服务器安全账号管理器服务器 sam sam数据库数据库 默认身份认证包默认身份认证包 登录进程登录进程 网络登录服务网络登录服务11 保护对象包括：文件、设备、邮件槽保护对象包括：文件、设备、邮件槽、己命名的和未命名的管道、进程、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面待定时器、访问令牌、窗口站、桌面、网络共享、服务、注册表键和打印、网络

12、共享、服务、注册表键和打印机机 12 安全描述体和访问控制安全描述体和访问控制每个保护对象都有一个安全描述体，用每个保护对象都有一个安全描述体，用以控制哪些用户可以对访问的对象做什么以控制哪些用户可以对访问的对象做什么，它包含下列主要属性：，它包含下列主要属性：所有者所有者sidsid：所有者的安全所有者的安全idid组组sidsid：用于对象主要组的用于对象主要组的sidsid谨慎访问控制列表谨慎访问控制列表dacldacl：指定谁可以对指定谁可以对访问的对象做什么访问的对象做什么系统访问控制列表系统访问控制列表saclsacl：指定哪些用户指定哪些用户的哪些操作应登录到安全审核日志中的哪些

13、操作应登录到安全审核日志中13 安全描述体和访问控制安全描述体和访问控制访问控制列表访问控制列表aclacl包括一个包括一个aclacl头和零个头和零个或多个或多个“访问控制项访问控制项”(”(ace)ace)结构结构在在dacldacl中，每个中，每个aceace都包含一个安全标都包含一个安全标识和访问掩码；识和访问掩码；dacldacl中可能存在两种中可能存在两种类型的类型的aceace：访问允许和访问拒绝访问允许和访问拒绝saclsacl只包含系统审核只包含系统审核aceace，用来指明特用来指明特定用户或组在对象上进行的应得到审定用户或组在对象上进行的应得到审核的操作核的操作14 访问

14、令牌与模仿访问令牌与模仿访问令牌是一个包含进程或线程安全标识的访问令牌是一个包含进程或线程安全标识的数据结构：安全数据结构：安全id(sid)id(sid)、用户所属组的列用户所属组的列表以及启用和禁用的特权列表表以及启用和禁用的特权列表每个进程都从它的创建进程继承了一个首选每个进程都从它的创建进程继承了一个首选访问令牌访问令牌单个线程也可以有自己的访问令牌单个线程也可以有自己的访问令牌如果如果它们在它们在“模仿模仿”客户客户许多系统进程在名为许多系统进程在名为systemsystem的特殊访问令牌的特殊访问令牌下运行下运行15 对象管理器可以生成审核事件作为访问检查对象管理器可以生成审核事件

15、作为访问检查的结果，用户也可以直接生成审核事件的结果，用户也可以直接生成审核事件 lsalsa的审核规控制对审核一个特殊类型安全事的审核规控制对审核一个特殊类型安全事件的决定；件的决定；lsalsa向向srmsrm发送消息以通知它系统发送消息以通知它系统初始化时的审核规则和规则更改的时间；初始化时的审核规则和规则更改的时间；lsalsa负责接收来自负责接收来自srmsrm的审核记录，对它们进行编的审核记录，对它们进行编辑并将记录发送到事件日志中辑并将记录发送到事件日志中 srmsrm经连接到经连接到lsalsa的的ipcipc发送这些审核事件，事发送这些审核事件，事件记录器将审核事件写入安全日

16、志中件记录器将审核事件写入安全日志中 当接收到审核记录后，它们被放到队列中以当接收到审核记录后，它们被放到队列中以被发送到被发送到lsalsa16 登录是通过登录进程登录是通过登录进程、isaisa、一个或多个身一个或多个身份验证包和份验证包和samsam的相互作用发生的的相互作用发生的 身份验证包是执行身份验证检查的身份验证包是执行身份验证检查的 登录进程是一个受托进程，负责管理与安登录进程是一个受托进程，负责管理与安全性相关的用户相互作用；它协调登录，全性相关的用户相互作用；它协调登录，在登录时启动用户外壳，处理注销和管理在登录时启动用户外壳，处理注销和管理各种与安全性相关的其他操作，包括

17、登录各种与安全性相关的其他操作，包括登录时输入口令、更改口令以及锁定和解锁工时输入口令、更改口令以及锁定和解锁工作站作站17 活动目录存储了有关网络上所有资源的信息，它活动目录存储了有关网络上所有资源的信息，它使开发者、管理员和用户可以很容易地找到和使使开发者、管理员和用户可以很容易地找到和使用这些信息用这些信息 活动目录结构具有以下主要特性：灵活的分级结活动目录结构具有以下主要特性：灵活的分级结构、有效的多主机复制、粒状安全授权、新对象构、有效的多主机复制、粒状安全授权、新对象类和属性的可扩展存储、通过轻量目录访问协议类和属性的可扩展存储、通过轻量目录访问协议( (ldap)ldap)版本版

18、本3 3支持实现的基于标准的相互操作性、支持实现的基于标准的相互操作性、每一个存储中可达到上百万对象、集成动态域名每一个存储中可达到上百万对象、集成动态域名系统系统( (dns)dns)服务器、可编程类存储服务器、可编程类存储 活动目录也是改进分布式系统安全性的重要基础活动目录也是改进分布式系统安全性的重要基础18 活动目录对所有域安全策略和账号信息提供存储活动目录对所有域安全策略和账号信息提供存储 对于用户、组和计算机账号信息，活动目录支持对于用户、组和计算机账号信息，活动目录支持多级分层树状名称空间多级分层树状名称空间 创建和管理用户或组账号的管理员权限可以委派创建和管理用户或组账号的管理

19、员权限可以委派给组织单元级给组织单元级 包括以包括以internetinternet标准安全协议为基础的新身份验标准安全协议为基础的新身份验证证 安全通道安全协议的实施安全通道安全协议的实施 支持用于相互作用登录的智能卡支持用于相互作用登录的智能卡 支持支持x.509x.509版本版本3 3证书、证书、cryptoapicryptoapi证书证书 支持公用密钥证书支持公用密钥证书 支持个人安全证书支持个人安全证书19 加密文件系统加密文件系统( (efs)efs)允许允许ntfsntfs卷上的加密文卷上的加密文件的存储件的存储 efsefs与与ntfsntfs紧密集成，紧密集成，efsefs的

20、驱动程序组件的驱动程序组件以核心态运行，使用非页交换区存储文件以核心态运行，使用非页交换区存储文件密钥，确保这些文件密钥不会将其变成页密钥，确保这些文件密钥不会将其变成页面调度文件面调度文件 efsefs的关键组件：的关键组件：win32apiwin32api、efsefs驱动程序驱动程序、fsrtijfsrtij标注、标注、efsefs服务服务 文件加密可以使用任何加密算法；文件加密可以使用任何加密算法；efsefs第一第一版将采用版将采用des(des(数据加密标准数据加密标准) )作为加密算法作为加密算法；以后的版本将允许改变加密方案；以后的版本将允许改变加密方案20 新的安全配置编辑程

21、序为以新的安全配置编辑程序为以windows2000windows2000为为基础的单个站点提供系统安全管理，允许基础的单个站点提供系统安全管理，允许管理员配置和分析系统安全策略管理员配置和分析系统安全策略 安全配置编辑程序将提供在宏水平上的分安全配置编辑程序将提供在宏水平上的分析析 安全配置编辑程序允许管理员定义很多配安全配置编辑程序允许管理员定义很多配置设置，并使它们在后台生效，运用此工置设置，并使它们在后台生效，运用此工具，能使配置任务分组和自动化具，能使配置任务分组和自动化 安全配置编辑程序的设计目标在于通过定安全配置编辑程序的设计目标在于通过定义一个能够解释标准配置模板并在后台自义一

22、个能够解释标准配置模板并在后台自动执行所请求的操作的引擎来实现这些系动执行所请求的操作的引擎来实现这些系统工具统工具21 标识与鉴别标识与鉴别 系统中的每个用户都识置了一个安全级范围，表系统中的每个用户都识置了一个安全级范围，表示用户的安全等级，系统除进行身份和口令的判示用户的安全等级，系统除进行身份和口令的判别外，还进行安全级判别，以保证进入系统的陶别外，还进行安全级判别，以保证进入系统的陶户具有合法的身份标识和安全级别户具有合法的身份标识和安全级别 审计审计 用于监视和记录系统中有关安全性的活动。可以用于监视和记录系统中有关安全性的活动。可以有选择地设置哪些用户、哪些操作有选择地设置哪些用

23、户、哪些操作( (或系统调用或系统调用) ) 、对哪些敏感资源的访问需要审计。这些事件的、对哪些敏感资源的访问需要审计。这些事件的活动就会在系统中留下痕迹，事件的类型、用户活动就会在系统中留下痕迹，事件的类型、用户的身份、操作的时间、参数和状态等构成一个审的身份、操作的时间、参数和状态等构成一个审记记录记入审记日志。通过检查审记日志可以发记记录记入审记日志。通过检查审记日志可以发现有无危害安全性的活动现有无危害安全性的活动22 自主存取控制：用于实现按用户意愿的存取控制。自主存取控制：用于实现按用户意愿的存取控制。用户可以说明其私有资源允许系统中哪个或哪些用用户可以说明其私有资源允许系统中哪个或哪些用户以何种权限进行共享。系统中的每个文件、消息户以何种权限进行共享。系统中的每个文件、消息队列、