第6章 操作系统安全

1、第6章 操作系统安全本章主要介绍：本章主要介绍：1. 操作系统安全的概念操作系统安全的概念2. 操作系统安全的评估操作系统安全的评估3. 操作系统安全的安全设计操作系统安全的安全设计4. 常见操作系统的安全防护技术常见操作系统的安全防护技术6. 常见服务的安全防护技术常见服务的安全防护技术6.1操作系统安全的概念操作系统安全的概念OS内的一切活动均可看作是主体对计算机内内的一切活动均可看作是主体对计算机内部各客体的访问活动部各客体的访问活动. TCB(Trusted Computing Base):可信任可信任运算基础体制运算基础体制 TCB是系统安全的基础是系统安全的基础,通过安全策略来控制

2、通过安全策略来控制主体对客体的存取主体对客体的存取,达到保护客体安全的目的达到保护客体安全的目的.6.1操作系统安全的概念操作系统安全的概念操作系统安全的评估操作系统安全的评估1. 国外评估标准国外评估标准6.1操作系统安全的概念操作系统安全的概念操作系统安全的评估操作系统安全的评估1. 国外评估标准国外评估标准(1)可信任计算机安全评估标准可信任计算机安全评估标准(TCSEC) TCSEC标准是计算机系统安全评估的第一个正式标准，标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于具有划时代的意义。该准则于1970年由美国国防科学委年由美国国防科学委员会提出，并于员会提出，并

3、于1985年年12月由美国国防部公布。月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为将计算机系统的安全划分为4个等级、个等级、8个级别。个级别。6.1操作系统安全的概念操作系统安全的概念D类安全等级：类安全等级： D类安全等级只包括类安全等级只包括D1一个级别。一个级别。 D1的安全等级最低，只为文件和用户提供安全的安全等级最低，只为文件和用户提供安全保护。保护。 D1系统最普通的形式是本地操作系统，或者是系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。一个完全没有保护的网络。 6.1操作系

4、统安全的概念操作系统安全的概念 C类安全等级：类安全等级： 该类安全等级能够提供审慎的保护，并为用户的行动该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。和责任提供审计能力。C类安全等级可划分为类安全等级可划分为C1和和C2两类两类:nC1系统的可信任运算基础体制（系统的可信任运算基础体制（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。）通过将用户和数据分开来达到安全的目的。nC2系统比系统比C1系统加强了可调的审慎控制。在连接到网络系统加强了可调的审慎控制。在连接到网络上时，上时，C2系统的用户分别对各自的行为负责。系统的用户分

5、别对各自的行为负责。C2系统通系统通过登陆过程、安全事件和资源隔离来增强这种控制。过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有系统具有C1系统中所有的安全性特征。系统中所有的安全性特征。 6.1操作系统安全的概念操作系统安全的概念B类安全等级：类安全等级： B类系统具有强制性保护功能。类系统具有强制性保护功能。B类安全等级可分为类安全等级可分为B1、B2和和B3三类三类:B1系统满足下列要求：系统满足下列要求：n系统对网络控制下的每个对象都进行灵敏度标记；系统对网络控制下的每个对象都进行灵敏度标记；n系统使用灵敏度标记作为所有强迫访问控制的基础；系统使用灵敏度标记作为所有强迫访问

6、控制的基础；n系统在把导入的、非标记的对象放入系统前标记它们；系统在把导入的、非标记的对象放入系统前标记它们；n灵敏度标记必须准确地表示其所联系的对象的安全级别灵敏度标记必须准确地表示其所联系的对象的安全级别;n当系统管理员创建系统或者增加新的通信通道或当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理设备时，管理员必须指定每个通信通道和员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员设备是单级还是多级，并且管理员只能手工改变指定只能手工改变指定;n单级设备并不保持传输信息的灵敏度级别单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的所有直接面向用户位置的输出（

7、无论是虚拟的还是物理的）都必须产生标记来指示关于输出输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度对象的灵敏度;n系统必须使用用户的口令或证明来决定用户的安全访问级别系统必须使用用户的口令或证明来决定用户的安全访问级别;n系统必须通过审计来记录未授权访问的企图。系统必须通过审计来记录未授权访问的企图。 6.1操作系统安全的概念操作系统安全的概念B2系统：系统： B2系统必须满足系统必须满足B1系统的所有要求，此外，系统的所有要求，此外，B2系统的管理员必须使用一个明确的、文档化的系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。安全策略模

8、式作为系统的可信任运算基础体制。B2系统必须满足下列要求：系统必须满足下列要求： 系统必须立即通知系统中的每一个用户所有与系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；之相关的网络连接的改变； 只有用户能够在可信任通信路径中进行初始化只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者通信；可信任运算基础体制能够支持独立的操作者和管理员。和管理员。 6.1操作系统安全的概念操作系统安全的概念B3系统：系统：n B3系统必须符合系统必须符合B2系统的所有安全需求。系统的所有安全需求。n B3系统具有很强的监视委托管理访问能力和抗干扰能力。系统具有

9、很强的监视委托管理访问能力和抗干扰能力。n B3系统必须设有安全管理员。系统必须设有安全管理员。B3系统应满足以下要求系统应满足以下要求:n 除了控制对个别对象的访问外，除了控制对个别对象的访问外，B3必须产生一个可读的安全列表；必须产生一个可读的安全列表；n 每个被命名的对象提供对该对象没有访问权的用户列表说明每个被命名的对象提供对该对象没有访问权的用户列表说明;n B3系统在进行任何操作前，要求用户进行身份验证；系统在进行任何操作前，要求用户进行身份验证；n B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；n 设计者必

10、须正确区分可信任的通信路径和其他路径；设计者必须正确区分可信任的通信路径和其他路径；n 可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；n 可信任的运算基础体制支持独立的安全管理。可信任的运算基础体制支持独立的安全管理。6.1操作系统安全的概念操作系统安全的概念其它评估标准：其它评估标准：n欧洲的安全评价标准（欧洲的安全评价标准（ITSCE） n加拿大的评价标准（加拿大的评价标准（CTCPEC） n美国联邦准则（美国联邦准则（FC） n国际通用准则（国际通用准则（CC）6.1操作系统安全的概念操作系统安全的概念国内安全操作系统

11、的评估准则：国内安全操作系统的评估准则：n第一级：用户自主保护级；第一级：用户自主保护级；(对应对应C1级级)n第二级：系统审计保护级；第二级：系统审计保护级；(对应对应C2级级)n第三级：安全标记保护级；第三级：安全标记保护级；(对应对应B1级级)n第四级：结构化保护级；第四级：结构化保护级；(对应对应B2级级)n第五级：访问验证保护级；第五级：访问验证保护级；(对应对应B3级级)6.1操作系统安全的概念操作系统安全的概念操作系统的安全配置：操作系统的安全配置：n操作系统访问权限的恰当设置操作系统访问权限的恰当设置n操作系统的及时更新操作系统的及时更新n对外界攻击的防范对外界攻击的防范6.2操作系统的安全设计操作系统的安全设计操作系统的安全模型操作系统的安全模型n单层模型单层模型n多层网格模型多层网格模型6.2操作系统的安全设计操作系统的安全设计操作系统安全性的设计方法及原则操作系统安全性的设计方法及原则n通用操作系统的安全性设计原则通用操作系统的安全性设计原则n隔离性隔离性n 内核机制内核机制n 分层结构分层结构6.2操作系统的安全设计操作系统的安全设计操作系统的安全配置：操作系统的安全配置：n操作系统访问权限的恰当设置操作系统访问权限的恰当设置n操作系统的及时更新操作系统的及时更新n对外界攻击的防范对外界攻击的防范6.3 Windows系统安全防