第7章操作系统的安全

《计算机网络安全》

课程讲义清华大学出版社1第七章操作系统的安全2本章内容操作系统安全的现状计算机安全等级及信息安全技术评估准则

单点登录机制

主流操作系统的主要安全机制

3学习目标了解操作系统安全的现状了解计算机安全等级及信息安全技术评估准则

了解单点登录机制

了解主流操作系统的主要安全机制

47.1操作系统安全性的基本概念操作系统的原理知识

计算机系统由硬件、软件和数据组成。在计算机系统的运行中，操作系统提供了合理利用这些资源的途径。操作系统一般具有4个基本特征：并发性、共享性、虚拟性和不确定性。57.1操作系统安全性的基本概念操作系统的原理知识

（1）进程管理进程管理指的是操作系统调整复数进程的功能。除了进程管理之外，OS还担负进程间通讯、进程异常终止处理以及死锁侦测及处理等任务。（2）内存管理OS的内存管理提供寻找可用的记忆空间、配置与释放记忆空间、交换内存和低速储存设备的内含物等功能

67.1操作系统安全性的基本概念操作系统的原理知识

（3）磁盘与文件系统

文件系统通常指的是管理磁盘数据的系统，其可将数据以目录或文件的型式储存。每个文件系统都有自己特殊的格式与功能。OS拥有多种内置文件系统。（4）网络许多现代的OS都具备操作主流网络通讯协议TCP/IP的能力。这就使得操作系统可以进入网络世界，并且与其他系统分享如文件、打印机与扫描机等资源。77.1操作系统安全性的基本概念操作系统的原理知识

（5）安全OS为外界提供直接或间接存取数种资源的管道；OS有能力认证资源存取的请求，允许通过认证的请求并拒绝无法通过的非法请求。（6）内部信息安全内部信息安全可视为防止正在执行的程序任意存取系统资源的手段。

87.1操作系统安全性的基本概念操作系统的原理知识

（7）外部信息安全一个操作系统通常会为其他网络上的电脑或使用者提供各种服务。这些服务通常借由端口或OS网络地址后的数字存取点提供。外部信息安全的最前线，是防火墙等的硬件设备。在OS内部也常常设置许多种类的软件防火墙。

97.1操作系统安全性的基本概念操作系统安全威胁的类型

107.1操作系统安全性的基本概念安全操作系统评价标准

国际标准化组织采纳了由美、英等国提出的“信息技术安全评价公共准则（CC）”作为国际标准。CC为相互独立的机构对相应信息技术安全产品进行评价提供了可比性。

117.1操作系统安全性的基本概念安全操作系统评价标准

1.可信任计算机系统评价标准（TCSEC）美国国防部在20世纪80年代中期制定了一组计算机系统安全需求标准，其中核心的是具有橙色封皮的“可信任计算机系统评价标准”，简称为“橙皮书”。该标准将计算机系统的安全程度划分为8个等级：D1、C1、C2、B1、B2、B3、A1和A2。

127.1操作系统安全性的基本概念安全操作系统评价标准

TCSEC在操作系统级上提出的可信计算机基础TCB包含的安全内容有：操作系统内核、具有特权的程序与命令、具有处理敏感信息的程序、与实施安全策略有关的文档资料、保障硬件正确运行的程序和诊断程序、构成系统的可信硬件、负责管理系统的人员。137.1操作系统安全性的基本概念安全操作系统评价标准

2.国内的安全操作系统评估标准《信息技术安全性评估准则》GB/T183362001。该准则将操作系统安全分为五个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

147.1操作系统安全性的基本概念安全操作系统评价标准

2.国内的安全操作系统评估标准

157.1操作系统安全性的基本概念常见的系统安全保护方法

1.备份数据建议各级用户都要及时妥善备份自有的数据，如历年资料、重要方案、管理文献、重要数据等，并且要备份到本机之外的存储介质上。2.预防病毒提高系统的自我保护能力，经常进行系统更新；安装防杀病毒的软件，及时升级杀毒软件，定期使用杀毒软件扫描系统。167.1操作系统安全性的基本概念常见的系统安全保护方法

3.病毒查杀电脑在感染病毒后，总是有一定规律地出现异常现象。停止对电脑的任何操作，启动杀毒软件，对整个硬盘进行病毒查杀。特殊情况下还需要断开网络，在安全模式下杀毒。4.后期处理如果受破坏的是系统软件，并且染毒程度比较重，可能导致系统不能启动或正常使用。在杀毒完毕后，需要针对不同的操作系统进行修复性措施。

177.1操作系统安全性的基本概念常见的系统安全保护方法

5.防ARP攻击ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，从而在网络中产生大量的ARP通信量使网络阻塞。比较常用的ARP工具主要用来检测ARP攻击，其工作原理是以一定频率向网络广播正确的ARP信息。187.2单点登录的访问管理单点登录的概念

单点登录（SSO）是目前比较流行的企业业务整合的解决方案之一，指的是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。根据登录的应用类型不同，可分为：

1）对桌面资源的统一访问管理。

2）Web单点登录（Web-SSO）197.2单点登录的访问管理单点登录的概念

Web单点登录访问管理系统示意图：207.2单点登录的访问管理SSO实现机制

第一次访问应用系统A时，由于还没有登录，用户会被引导至认证系统中进行登录。根据用户提供的登录信息，认证系统进行身份验证，若通过，认证系统返回给用户一个认证的凭据（Ticket）。用户再访问别的应用时，会带上这个Ticket作为自己认证的凭据。应用系统接受到请求之后将Ticket送入认证系统进行验证，若合法则通过验证，用户就可以在不用再次登录的情况下访问系统B或系统C了。

217.2单点登录的访问管理SSO实现机制

要实现SSO，需要实现以下主要的功能：1）所有应用系统共享一个身份认证系统。统一的认证系统是SSO的一个前提。认证成功后，认证系统应该生成统一的认证标志返回给用户。

2）所有应用系统能够识别和提取Ticket信息。应用系统需要对Ticket进行识别和提前，通过与认证系统的通信，自动判断出当前用户是否已经登录过，从而完成单点登录的功能。227.2单点登录的访问管理WEB-SSO的实现

Web-SSO可以利用cookie技术来完成用户登录信息的保存，将浏览器中的cookie和Ticket结合起来，完成SSO的功能。为了完成一个简单的WEB-SSO的功能，需要两个部分的合作：1）统一的身份认证服务。2）修改Web应用，使得每个应用都通过这个统一的认证服务来进行身份校验。237.2单点登录的访问管理WEB-SSO的实现

实现WEB-SSO的技术主要有：（1）基于cookies实现（2）Broker-based（基于经纪人）（3）Agent-based（基于代理人）（4）Token-based（基于票据）（5）基于网关（6）基于安全断言标记语言（SAML）247.3主流操作系统的安全性

UNIX/LINUX的安全

1.UNIX安全

UNIX是一个强大的多用户、多任务操作系统，支持多种处理器架构。其应用基于相互信任的环境，如研究所、实验室、大学等，采用了一般的安全机制。UNIX的超级权限是“超级用户”，“超级用户”能完成系统中的任何操作，因此也成为攻击的对象。

257.3主流操作系统的安全性

UNIX/LINUX的安全

UNIX系统的安全性在不断增加，并出现了许多安全检测工具，如Quest、UXA、Alert/Inform、Sfind、USECURE、Kerberos等。系统管理员通过安全检测工具检测安全机制、权限和安全域设置、可疑入侵和特洛伊木马等。在目前的UNIX系统中，常规UNIX具有C1级安全级别，OSF/1具有B1的安全级别，USL的SVR4/ES则具有B2的安全级别。

267.3主流操作系统的安全性

UNIX/LINUX的安全

2.LINUX安全

Linux的安全级基本达到了C2级。安全机制主要有：PAM机制、文件系统加密、入侵检测机制、安全日志文件机制、强制访问控制和防火墙机制等。

277.3主流操作系统的安全性

UNIX/LINUX的安全

1）PAM机制PAM是一套共享库，提供一个框架和一套编程接口给系统管理员，由系统管理员在多种认证方法中选择适宜的认证方法，并能够改变本地认证方法而无需重新编译与认证相关的程序。

287.3主流操作系统的安全性

UNIX/LINUX的安全

2）文件系统加密文件系统加密是将加密技术应用到文件系统，从而提高计算机系统的安全性。目前的Linux已具有多种加密文件系统，如CFS、TCFS、CRYPTFS等。

TCFS能使合法拥有者以外的用户、用户和远程文件系统通信线路上的偷听着、文件系统服务器的超级用户不可读取其保密文件。而对于合法用户，访问保密文件与访问普通文件几乎没有区别。

297.3主流操作系统的安全性

UNIX/LINUX的安全

3）入侵检测机制入侵检测能力包括：记录入侵企图，当攻击发生时及时通知管理员；当预先定义的攻击行为发生时，采取预定义的措施处理；发出一些错误信息，以增加攻击的难度。

307.3主流操作系统的安全性

UNIX/LINUX的安全

4）安全日志文件机制日志是Linux安全结构中的一个重要内容，它是提供攻击发生的唯一真实证据。Linux会记录网络、主机和用户级的日志信息，是调查网络入侵者时不可缺少的证据。

317.3主流操作系统的安全性

UNIX/LINUX的安全

5）强制访问控制

由于Linux是一种自由操作系统，当前在其平台上实现强制访问控制的产品包括SELinux、RSBAC、MAC等，采用的策略也各不相同。327.3主流操作系统的安全性

UNIX/LINUX的安全

6）防火墙机制

Linux防火墙系统提供了访问控制、审计、抗攻击和其他附属功能。其中，实现访问控制的方法是执行基于地址（源和目标）、用户和事件的访问控制策略，从而可以禁止非授权的访问，同时还能保护内部用户的合法访问。

337.3主流操作系统的安全性

Windows2000/XP的安全

WindowsNT的安全级别达到TCSEC的C2级。作为WindowsNT的后续版本，Windows2000/XP提供更多的新的安全机制。

1.活动目录服务活动目录为用户、硬件、应用以及网络上传输的数据提供了一个存储中心。

347.3主流操作系统的安全性

Windows2000/XP的安全

活动目录使用域、组织单元和对象组织网络资源。

357.3主流操作系统的安全性

Windows2000/XP的安全

2.Kerberos审计协议Kerberos协议为客户/服务器建立连接前提供一种交互审计的机制，其特点有以下几点：1）在建立初始连接时增强服务器认证性能。

2）多层客户机/服务器应用的认证委派。3）具有穿越信任关系的域间认证。

367.3主流操作系统的安全性

Windows2000/XP的安全

3.PKI

公钥加密主要用在互联网一类的开放网络运行，用户通过证书进行数据加密、数据签名和身份验证，其基本组件包括：证书服务、活动目录、基于PKI的应用、交换密钥管理服务。Windows2000PKI提供的安全功能具有互操作性、安全性、灵活性以及易用性等特点。

377.3主流操作系统的安全性

Windows2000/XP的安全

4.智能卡智能卡是用一种相对简单的方式使非授权人更难获得访问网络的权限。基于以下几个特征，智能卡认证比口令认证具有更高的安全性：

1