操作系统的安全研究

1、引言1第一章：操作系统概念。31.1什么是操作系统的安全31.2操作系统的安全策略31.3操作系统的安全机制51.31与操作系统奔三密切相关的最基本的安全机制.51.32内存保护机制51.33文件保护机制61.34访问控制机制6第二章：操作系统的漏洞防护和安全配置规则82.1操作系统的安全漏洞82.2安全操作系统的配置规则10第三章：操作系统安全管理和安全测评：133.1管理和维护windows安全系统的基本措施133.2使用MBSA检查系统漏洞 143.3、安全测评对安全操作系统有什么作用？ 3.4什么是安全测评？153.5、安全操作系统测评标准163.6操作系统安全评测方案及方法17第四章

2、：安全操作系统的战略意义 .17 4.1安全模型的研究.17 4.2我国操作系统所面临的问题.18 4.3发展对策.18第五章:总结.19操作系统的安全研究第一章：操作系统概念。1.1 什么是操作系统的安全计算机操作系统的安全是利用安全手段防止操作系统本身被破坏，防止非法用户对计算机资源(如软件、硬件、时间、空间、数据、服务等资源)的窃取，防止人为因素造成的故障和破坏。计算机系的安全极大地取决于操作系统的安全。1.2 操作系统的安全策略1.21按照其实现复杂度递增和提供安全性递减的次序排：1.物理上分离：进程使用不同的物理实体。2.时间上分离：具有不同安全要求的进程在不同的时间允许。3.逻辑上

3、分离：用户操作彼此间不相互干扰,程序存取范围限定。4.密码上分离：进程以一种其他进程不了解的方式隐藏数据和计算。1.22 操作系统可以在任何层次上提供保护，其实现的难度和提供的安全性能递增的顺序:1、无保护：它适合于敏感进程运行于独立的时间环境2、隔离保护.：并发运行的进程彼此不会感觉到对方的存在,也不会影响干扰对方.3、共享或非共享保护：设置严格的实体界限,公用实体对所有用户开放,私有实体只为属主使用。4、存取权限保护：操作系统检查每次存取的有效性,借助于某种数据结构,在特定用户和特定实体上实施存取控制,保证只有授权的存取行为发生。5、权能共享保护：存取权限共享的扩展,系统为实体动态地建立共

4、享权限,共享程度依赖于属主或者实体。1.23安全措施可以彼此结合,形成多种层次多种程度的安全机制,为达到控制的灵活和可靠性,采用了安全机制粒度的概念。即按照不同的安全需求和实体类型,决定安全控制的程度。例如,对数据的存取,可以分别控制在数位、字节、单元、字、字段、记录、文件或者文卷一级。实体控制的层次越高,存取控制越容易实现。对某些大型实体,若用户只需存取其中的一部分,但作为系统,也必须允许控制对整个实体的存取。1.3 操作系统的安全机制 1.31与操作系统密切相关的最基本的安全机制包括如下：内存保护机制、文件保护机制、存取控制机制、鉴别机制、恶意程序防御机制。操作系统是在硬件体系结构的基础上

5、考虑安全问题，它必须依赖于硬件结构,必须与硬件安全机制相互配合，才能更好地形成系统的安全机制，保证系统的安全环境、认证技术、访问控制技术、密码技术、完整性技术、安全协议等，上述技术的彼此配合，在系统中形成了多种安全机制。安全机制有多种，每种又可细分为若干子类，在计算机操作系统，数据库系统，各类信息系统和网络系统中的安全机制也不尽相同，必须注意彼此间不要冲突。1.32内存保护机制（1）为什么保护?多道程序技术：主存中同时存放的若干道程序,必须防止一道程序在存储和运行时影响其他程序的内存。堆栈访问技术：地址增长与主存地址增长不同。区域保护技术：系统与用户运行区域分开与保护。（2）怎样保护?系统硬件

6、保护：如ECC,CPU运行模式,RAM分区。操作系统保护：根据硬件保护机制保护存储器安全。目前最常用技术：界址,界限寄存器，重定位，特征位，分段和分页，虚存机制。1.33文件保护机制文件系统是操作系统中一个重要部分，文件系统决定了操作系统的特色，极大地影响了OS的性能，是OS设计的基础与难点，因此,对文件系统的保护机制就分为对文件系统本身和对文件存储载体的安全保护。多用户操作系统必须提供最小的文件保护机制，防止用户有意或者无意对系统文件和其他用户文件的存取或修改，用户数越多，保护模式的复杂性也越大。1.34访问控制机制访问控制也称存取控制,是保护机制的关键,存取点的数目很大,且所有访问不可能通

7、过某个中心授权机制进行.1、为什么要进行访问控制?(1)合法用户对系统资源的滥用(2)非法用户因欺骗而进入系统,成为“合法”用户2、如何进行访问控制?（1）对合法用户设置不同的访问权限.（2）对权限的转让(授权)进行监控.(3)验证访问权限3、存取一般通过程序来完成,因此,程序可被看作是存取媒介.访问控制机制对保护实体实现如下目标。（1）设置存取权限.：为每一主体设定对某一实体的存取权限,具有授权和撤权功能。（2）检查每次存取.：超越存取权限的行为被认为是非法存取,予以拒绝,阻塞或告警,并防止撤权后对实体的再次存取。（3）允许最小权限：最小权限原则限定了主体为完成某些任务必须具有的最小数目的实

8、体存取权限,除此之外,不能进行额外的信息存取。（4）进行存取验证：除了检查是否存取外,应检查在实体上所进行的活动是否是适当的,是正常的存取还是非正常的存取。4、用户认证机制。解决“你是谁”的问题，确定用户合法身份，是进入网络和系统的第一道安全关口，也是用户获取权限的关键。认证机制也称鉴别机制，操作系统中许多保护措施大都基于鉴别系统的合法用户，是操作系统中相当重要的一个方面。用户身份认证目前可以通过多种媒体手段实现，例如证件、文件、图片、声音等，利用设置用户名、用户标识、用户口令、用户密码等安全机制，检查用户开机口令、用户入网标识、入网和资源访问权限等，完成用户的统一性检查。1.35 标识与鉴别

9、标识与鉴别功能用于保证只有合法的用户才能存取系统资源。本系统的标识与鉴别部分包括角色管理、用户管理和用户身份鉴别等三个部分：角色管理是实现RBAC模型的重要部分，将角色配置文件存放在/etc/security/role文件中，角色管理就是对角色配置文件的维护。用户管理就是对用户属性文件的维护，是在系统原有用户管理的基础上修改和扩充而来；本系统改变了原有系统集中存放用户属性的方式，在/etc/security/ia目录下为每个用户创建一个属性文件。用户身份鉴别过程就是控制用户与系统建立会话的过程；本系统将修改原有系统的pam模块和建立会话的程序，增加对管理员用户的强身份鉴别（使用加密卡），增加为

10、用户设置初始安全属性（特权集、安全标记、域、审计掩码）的功能。第二章、操作系统的漏洞防护和安全配置规则2.1 操作系统的安全漏洞我们都知道系统在安全方面存在漏洞，非法网站、病毒和非法插件会通过这个漏洞入侵系统，会破坏系统的安全性。不同的操作系统在不同方面有着不同的漏洞，不同的操作系统对不同的漏洞也有着不一样的防护能力。大家都知道Linux系统号称是比较安全的系统，但是Linux安全漏洞还是存在的，既然存在安全漏洞，就意味着有危险。下面介绍一下Linux操作系统存在的一些常见的漏洞：漏洞一、如果系统里只有一个Administrator帐户，当注册失败的次数达到设置值时，该帐户也不可能被锁住。 漏

11、洞二、具有管理员特权的帐户在达到注册失败的次数时将被锁住，然而，30分钟后自动解锁。漏洞三、NT在注册对话框中显示最近一次的注册的用户名。Linux存在的漏洞远不止这些，所以在应用此操作系统的时候应做到以下几点：（）安装防火墙防火墙不仅是系统有效应对外部攻击的第一道防线，也是最重要的 一道防线。在新系统第一次连接上Internet之前，防火墙就应该被安装并且配置好。防火墙配置成拒绝接收所有数据包，然后再打开允许接收含病毒的文件从而传染到整个系统中。（）关闭无用的端口和服务 任何网络连接都是通过开放的应用端口来实现的。我们应该只开放提供服务的端口，关闭其他所有不需要的端口，从而大大减少攻击。 取

12、消系统内所有非必要的服务，只开启必要服务。这样做可以尽量避免系统和服务的漏洞来进行传播并以独立运行，并将自身传播到另外的计算机上去。防止此类病毒要及时更新系统的漏洞。（）禁止缺省路由 应该严格禁止设置缺省路由，建议为每一个子网或网段设置一个路由，避免其它机器可能通过一定方式访问该主机。（）口令管理口令的长度一般不要少于个字符，口令的组成应以无规则的大小防止此类病毒可以借助一些软件来进行，比如ehkrootkitr、rootkit可以发现蠕虫、后门等。 （）其它病毒 除了针对Linux的病毒之外，还要注意到许多Windows病毒会存在于写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令

13、。养成定期更换口令的习惯。2.2无论哪种操作系统，要做到很好的安全漏洞防护都离不开正确的安全配置，配置有以下规则：（1）、物理安全 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。（2）、停止Guest帐号在计算机管理中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。（3）、限制用户数量去掉所有的测试帐号、共享帐号和普通部门帐号，等等。用户组策略设置

14、相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。（4）、多个管理员帐号管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。（5）、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此

15、帐户的密码。把管理员帐户改名可以有效防止这一点。不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。（6）、陷阱帐号和第（5）点类似，在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。（7）、更改文件共享的默认权限将共享文件的权限从“Everyone"更改为"授权用户”，”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。（8）、安全密码安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取

16、到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码，如果设置了的话）。（9）、屏幕保护 / 屏幕锁定防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。（10）、使用NTFS分区比起FAT文件系统，NTFS文件系统可以提供权限设置、加密等更多的安全功能。(11)、防病毒软件Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀除大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库！(12)、备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资

17、料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把备份放置在当前服务器上，那样的话还不如不做备份。Windows Server 2003是目前最为成熟的网络服务器平台，安全性相对于Windows 2000有很大的提高。第三章：操作系统安全管理和安全测评：3.1不一样的操作系统有着不一样的运行模式，所以要管理和维护不一样的操作系统就需要不同的安全措施，下面介绍关于windows系统安全的基本措施：（1）保护系统默认账户 （2）不显示上次登录的用户名 （3）保护重要的文件 （4）关闭不必要的服务和端口 （5）关闭默认共享 （6）打开审核策略3.2使用MBSA检查系统漏洞微软免费提供的工具M

18、BSA（Microsoft Baseline Security Analyzer，微软基线安全分析器）有三大主要功能：Scan a computer：使用计算机名称或者IP地址来检测单台计算机； Scan multiple computers：使用域名或者IP地址范围来检测多台计算机。 View existing security scan reports：查看已经检测过的安全报告。MBSA的使用方法（1）设置扫描选项 （2）扫描漏洞 （3）修正安全问题 （4）再次安全扫描 （5）查看所有的扫描报告3.3、安全测评对安全操作系统有什么作用？ 操作系统是唯一仅靠硬件的基本软件， 其安全性能是其他

19、软件安全职能的根基，缺乏这个安全的根基，构筑在其上的应用系统以及安全系统的安全性就得不到根本的保障。单个操作系统以及其上的应用系统的安全是整个安全系统的根本，如果构成互联网的计算机本身系统安全都有问题，那么网络系统和数据库管理系统就同样会存在问题，应用软件信息处理的安全更无从谈起。 安全操作系统测评是在操作系统的工作范围内，提供尽可能强的访问控制和审计机制，在用户、应用程序和系统硬件资源之间进行符合安全政策调度，限制JE 法访问。3.4什么是安全测评？安全测评是指由具备检验技术能力的第三方机构，依据相关标准或技术规范，按照严格程序对信息系统的安全保障能力进行的综合测试评估活动。对操作系统的安全

20、测评就是检查安全机制是否完整地实现了安全策略。操作系统自下而上分为几个层次, 每个层次体现不同的功能抽象程度。安全机制在操作系统每个层次上的制约作用都有不同的表现形式，因此安全测评要在各层次上展开。操作系统由文件、网络、进程等几个子系统所组成, 各子系统实现不同的功能以满足不同的要求, 并且各子系统相互配合以形成一个有机的整体,只有当所有子系统的测试都成功时,才能说明操作系统通过了整个安全测评。3.5、安全操作系统测评标准：多年来TcSEc评估准则一直是人们用来设计安全操作系统的上要参考标准，因此它也一直是评估多用户主机和小型操作系统的主要方法。按照TcsEc柴测试系统的安全性，主要包括硬件和

21、软件两部分。橘皮书是目前国际上颇具权威的计算机系统安全标准之一， 它将计算机系统的安全性能由高而低划分为A、B和C，D四大等级，较高等级的安全范围涵盖较低等级的安全范围，其中D最低保护。橘皮书对操作系统安全等级的划分只是给出了一个最终的实现目标，并没有从实现方法上给予规定，这就导致了在安全操作系统的测试问题上的盲目性和不规范性，而国外的测试方法和备等级的测试标准又是保密的，因此，尽快探索出一套自己的对于安全操作系统测试的方法和步骤是有必要的。 3.6操作系统安全评测方案及方法 安全操作系统评测方案系统调用是操作系统提供给用户的唯一接口，用户可利用它执行系统功能，进行设备管理、文件管理、进程控制

22、、进程通信、存储管理和线程管理的相应操作，同样，用户也可以利用系统调用的漏洞和不完善性对操作系统进行攻击和破坏 ，因此，各个系统调用的安全性就直接关系到安垒操作系统的整体的安全性。依据应用软件的测试原则，本文提出对系统调用的测试，分为以下5个步骤： (1)明确测试对象，即要针对哪一个或几个系统调用进行测试，并对待测试系统调用的运行机制和各种不同的运行结果力求以深入了解； (2)明确测试目的，根据所选测试对象的小同，测试目的也会随之变化，在对单一的系统调用进行测试时，测试的目的通常是执行系统调用的某些操作，比较结果是否与预期相同，如果同时对几个系统调用进行测试，往往是看其能否协同工作； (3)根

23、据具体的测试对象和测试目的编写测试用例，明确系统调用的初始化变量和参数、执行步骤、预期的结果等； (4)进行具体的编码测试； (5)根据结果来分析被测对象是否具有预期的安全性。第四章：安全操作系统的战略意义4.1安全模型的研究安全模型用来描述系统和用户的安全特性，是对安全策略所表达的安全需求简单、抽象、无歧义的描述。安全模型用于精确地定义系统的安全需求，为设计开发安全操作系统提供指导方针。非形式化安全模型仅需模拟系统的安全性能。形式化安全模型使用数学语言，精确地描述安全性及其在系统中的情况。形式化安全模型是设计开发高可信安全操作系统的前提，有了它才能进行系统形式化设计说明与验证，并且有可能找出系统的某些