《安全操作系统.ppt》由会员分享,可在线阅读,更多相关《安全操作系统.ppt(90页珍藏版)》请在三一文库上搜索。
1、安全操作系统,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,概述,什么是操作系统? 操作系统的基本功能有哪些? 从安全的角度上看,操作系统应当提供哪些安全服务? 内存保护 文件保护 普通实体保护 存取鉴别 等,操作系统安全的主要目标,操作系统安全的主要目标 按系统安全策略对用户的操作进行访问控制,防止用户对计算机资源的非法使用 包括窃取、篡改和
2、破坏 标识系统中的用户,并对身份进行鉴别 监督系统运行的安全性 保证系统自身的安全性和完整性,安全机制的定义,ISO:是一种技术、一些软件或实施一个或更多安全服务的过程 特殊的安全机制 普遍的安全机制,普遍的安全机制,信任的功能性 事件检测 审计跟踪 安全恢复,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.1 .1标识与鉴别机制,标识:用户要向系统表明的身份 用户名、登录ID、身份证号或智能卡 应当具有唯一性 不能被伪造 鉴别,对用户所宣称的身份标识的有效性进行校验和测试的过程,用户声明
3、自己身份的4种方法,证实自己所知道的 例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等 出示自己所拥有的 例如智能卡 证明自己是谁 例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等 表现自己的动作 例如签名、键入密码的速度与力量、语速等等,2.1.2 密码,口令机制是身份鉴别中最常用的手段 口令机制简单易行,但很脆弱 容易记忆的内容,很容易被猜到 姓名、生日、身份证号 难以记忆的内容,用户使用不方便,常常记录在容易被发现的地方 随机算法 远程鉴别中,口令容易在传递过程中被破解 明文传输、容易破解的协议,有很多其他手段可以获得口令 观察、录像等 暴力破解 简单的密码,口令选取的注意点
4、,不要使用容易猜到的词或短语 不要使用字典中的词、常用短语或行业缩写等 应该使用非标准的大写和拼写方法 应该使用大小写和数字混合的方法选取口令 此外,口令质量还取决于 口令空间 口令加密算法 口令长度,口令空间的大小,口令空间的大小是字母表规模和口令长度的函数 S:口令空间 L:口令的最大有效期 R:单位时间内可能的口令猜测数 P:口令有效期内被猜出的可能性 P(LR)/S,口令加密算法,单向加密函数 加密算法的安全性十分重要 如果口令加密只依赖于口令或其他固定信息,有可能造成不同用户加密后的口令是相同的 即不同的密码能打开多个账户 为了减少这种可能性,要考虑使用一些其他因素来加密,口令长度,
5、口令在有效期内被猜出的可能性,决定口令的安全性 可能性越小,口令越安全 在其他条件相同的情况下, 口令越长,安全性越大 口令有效期越短,口令被猜出的可能性越小 口令长度计算方法: MlogAS S:口令空间 A:字母表大小,为了计算合适的口令长度 建立一个可以接受的口令猜出可能性P,例如10-20 根据口令最大有效期L和单位时间内可能的口令猜测数R,以及P反过来计算S S(LR)/P 然后根据口令空间计算出口令长度,取整,破解口令的方法,社会工程学方法 字典程序 口令文件窃取 暴力破解,口令管理,当用户在系统注册时,必须赋予用户口令 用户口令必须定期更改 系统必须维护一个口令数据库 用户必须记
6、忆自身的口令 在系统认证用户时,用户必须输入口令,口令的安全性维护,口令的安全性应该由系统管理员和用户共同努力加以维护 系统管理员 初始化系统口令 初始口令分配 口令更改认证 用户ID 使用户ID重新生效 培训用户,用户 安全意识 更改口令,如何防止口令暴露给系统管理员?,小结:口令机制的实现要点,口令的存储 口令的传输 账户封锁 账户管理 用户安全属性 审计 实时通知系统管理员 通知用户,2.1.3 生物鉴别方法,“证明你是谁”;“表现你的动作” 提供用户特有的行为或生理上的特点 指纹、面容扫描、虹膜扫描、视网膜扫描、手掌扫描 心跳或脉搏取样、语音取样、签字力度、按键取样等 采用的技术称为“
7、生物测定学” 采用一个生物测定学因素代替用户名或账户ID作为身份标识 需要用生物测定学取样对已存储的取样数据库中的内容进行一对多的查找 并且要在生物测定学取样和已存储的取样之间保持主体身份的一一对应,使用生物鉴别方法应该注意 绝对唯一 鉴别要准确,鉴别设备要精确 必须先取样并存储 时间特性:随时间变化的因素,要考虑定期重新进行,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.2 访问控制,访问控制用来提供授权 用户在通过身份鉴别后,还需要通过授权,才能访问资源或进行操作 使用访问控制机制的
8、目的 保护存储在计算机上的个人信息 保护重要信息的机密性 维护计算机内信息的完整性 减少病毒感染机会,从而延缓这种感染的传播 保证系统的安全性和有效性,以免受到偶然的和蓄意的侵犯,访问控制机制的实行 确定要保护的资源 授权 确定访问权限 实施访问权限,系统内主体对客体的访问控制机制,自主访问控制 强制访问控制 基于角色的访问控制,2.2.2 自主访问控制,允许客体的所有者或建立者控制和定义主体对客体的访问 访问控制矩阵的保存 基于行的自主访问控制机制 基于列的自主访问控制机制,基于行的自主访问控制机制,在每个主体上都附加一个该主体可以访问的客体的明细表 三种形式 权能表:决定用户是否可以对客体
9、进行访问,以及进行何种模式的访问。对每一个用户,系统有一个权能表。 前缀表:对每个主体赋予前缀表。前缀表包括受保护的客体名和主体对它的访问权限。 口令:每个客体都相应的有一个口令,关于权能表,用户对自己所拥有的文件 权能拷贝/回收 权能的实现:权限字 权限字是一个提供给主体对客体具有特定权限的不可伪造标识 主体可以建立新的客体,并指定在这些客体上允许的操作,每个权限字标识可以允许的访问 转移和传播权限 权限字的管理 必须存放在内存中不能被普通用户访问的地方,如 系统保留区、专用区、被保护区域,基于列的自主访问控制机制,按客体附加一份可以访问它的主体的明细表 两种方式 保护位,UNIX 访问控制
10、表ACL:按用户,细粒度,关于保护位,保护位对客体的拥有者、及其他的主体、主体组(用户、用户组),规定了一个对该客体访问的模式的集合。 保护位的方式,不能完备的表达访问控制矩阵 用户组:具有相似特点的用户集合 拥有者对客体的所有权,只能通过超级用户特权来改变 不考虑超级用户的话,拥有者是唯一能够改变客体保护位的主体 一个用户可能属于多个用户组,但任意时刻只有一个活动的用户组,关于ACL,访问控制表ACL举例 File1:(ID1,r,w),(ID2,r),(GROUP1,w,x) ACL的优点: 表述直观、易于理解 比较容易查出对一个特定资源拥有访问权限的所有用户,有效的实施授权管理,基于列的
11、自主访问控制机制,按客体附加一份可以访问它的主体的明细表 两种方式 保护位,UNIX 访问控制表ACL:按用户,细粒度 访问控制表ACL举例 File1:(ID1,r,w),(ID2,r),(GROUP1,w,x) ACL的优点:表述直观、易于理解,访问控制表方法的问题 客体很多? 用户的职位、职责变化时? 单纯使用ACL,不易实现最小特权原则和复杂的安全策略,授权管理费力、繁琐、容易出错,在文件和目录中常用的几种访问模式,对文件设置的访问模式 读拷贝(Readcopy) 与单纯的读? 写删除(Writedelete) 不同的系统可能有不同的写模式,或复杂的组合(更细致) 写附加、删除、写修改
12、等 执行(Execute) 通常需要同时具备读权限 无效(Null):对客体不具备任何访问权限,考虑目录,对目录及和目录相对应的文件的访问操作 对目录而不对文件实施访问控制 对文件而不对目录实施访问控制 对目录及文件都实施访问控制(最好) 对目录的访问模式 读 写扩展(writeexpand) 更细的:读状态、修改、附加,2.2.3 强制访问控制,对于自主访问授权,系统无法区分这是用户的合法操作还是恶意攻击的非法操作 强制访问控制通过强加一些不可逾越的访问限制 防止某些攻击; 还可以阻止某个进程共享文件,并阻止通过一个共享文件向其他进程传递信息,强制访问控制基于安全属性 每个进程/文件/IPC
13、客体都被赋予相应的安全属性 赋予的安全属性,通常不可变,由安全管理员或者OS自动地按照严格的规则来设置 访问时,根据进程的安全属性和客体的安全属性来判断是否允许 代表用户的进程不能改变自身或任何客体的安全属性,也不能改变属于该用户的客体的安全属性,MAC和DAC通常结合在一起使用 MAC,防止其他用户非法入侵自己的文件 DAC,是用户不能通过意外事件和有意识的误操作来逃避安全控制,常用于将系统中的信息分密级和类进行管理,适用于政府部门、军事和金融等领域 当且仅当主体能够同时通过DAC和MAC检查时,才能访问一个客体,强制访问控制对专用的或简单的系统是有效的,但对通用、大型系统并不那么有效 一般
14、强制访问控制采用一下几种方法: 限制访问控制 限制:用户要修改ACL的唯一途径是请求一个特权系统调用;该调用的功能是依据用户终端输入的信息,而不是依靠另一个程序提供的信息来修改访问控制信息 过程控制:对过程进行控制。 例如,警告用户不要/提醒;取决于用户本身执行与否。 系统控制:对系统的功能实施一些限制。 如限制共享文件;限制用户编程等。,2.2.4 基于角色的访问控制,20世纪90年代, 美国国家标准和技术研究院 NIST, 基于角色的访问控制:RBAC 本质上是强制访问控制的一种, 区别在于:基于对工作的描述而不是主体的身份进行访问控制。 系统通过主体的角色或任务定义主体访问客体的能力 适
15、用于人员频繁变动的环境,基本思想:根据用户担当的角色来确定授权给用户的访问权限 类比:银行的出纳员、会计师、贷款员 类比:医院中的医生、护士,用户、角色、操作、主体、客体的关系,用户与角色: 一个用户可经授权而拥有多个角色 一个角色可由多个用户构成 角色与操作: 每个角色可执行多个操作 每个操作也可由不同的角色执行 用户与主体: 一个用户可拥有多个主体(进程) 每个主体只对应一个用户 操作与客体 每个操作可施加于多个客体 每个客体也可以接受多个操作,用户(主体)能够对一客体执行访问操作的必要条件是: 该用户被授权了一定的角色,其中有一个在当前时刻处于活跃状态,且这个角色对客体拥有相应的访问权限
16、,RBAC的特征,访问权限与角色相关联,不同的角色有不同权限 对事不对人 角色继承 角色之间可能有互相重叠的职责和权力 具有角色继承概念的角色,有自己的属性,但可能还继承其他的角色的属性及拥有的权限 最小特权原则 即用户所拥有的权力不能超过他执行工作时所需的权限 可以设计不同的角色,满足最小特权原则,职责分离 静态职责分离,Static Separation of Duty,SSD 一个用户不能赋予多个角色 动态职责分离,Dynamic Separation of Duty,DSD 一个用户可以赋予多个角色,但同一时刻只能有一个角色是活动的 角色容量 在一个特定的时间段内,有一些角色有人数限制
17、 在创建新的角色时,要指定角色的容量,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.3 最小特权管理,超级用户 VS. 普通用户 主流多用户操作系统中,超级用户一般具有所有特权,而普通用户不具有任何特权 威胁: 超级用户口令丢失;被冒充;误操作 解决方法:实行最小特权管理原则 参考:http:/ 要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权,即最低许可 这个原则的应用将限制因意外、错误或未经授权使用而造成的损害,最小特权原则:必不可少的特权 充分性:保证所有的主体都能在
18、所赋予的特权之下完成所需要完成的任务或操作 必要性:在充分的前提下加以限制 基本思想和出发点: 系统不应给用户超过执行任务所需特权以外的特权 一种可能的方案: 将特权用户的特权加以划分,形成一组细粒度的特权,最小特权举例1,在系统中定义 系统安全管理员 审计员 操作员 安全操作员 网络管理员 任何一个用户都不能获取足够的权力破坏系统的安全策略 为了保证系统的安全性,不应赋予某人一个以上的职责,系统安全管理员 对系统资源和应用定义安全级 限制隐蔽通道活动的机制 定义用户和自主访问控制的组 为所有用户赋予安全级 审计员 设置审计参数 修改和删除审计系统产生的原始审计信息 控制审计归档,操作员 启动
19、和停止系统,以及完成磁盘一致性检查等 格式化新的存储介质 设置终端参数 允许或不允许登录,但不能改变口令、用户的安全纪和其他有关安全的登录参数 产生原始的系统记账数据,安全操作员:完成安全相关的日常例行活动;相当于具有特权能力的操作员。 完成操作员的所有责任 例行的备份和恢复 安装和拆卸可安装介质,网络管理员 管理网络软件,如TCP/IP 设置BUN文件,允许使用Uucp,Uuto等进行网络通信 设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择有关的管理文件 启动和停止RFS,通过RFS共享和安装资源 启动和停止NFS,通过NFS共享和安装资源,最小特权举例2,CAP_S
20、ETPLEVEL CAP_SETSPRIV CAP_SETUID CAP_SYSOPS CAP_SETUPRIV CAP_MACUPGRADE CAP_FSYSRANGE CAP_SETFLEVEL CAP_PLOCK CAP_CORE CAP_LOADMOD CAP_SEC_OP CAP_DEV CAP_OP CAP_NET_ADMIN,将系统中能进行敏感操作的能力分成26个特权 CAP_OWNER CAP_AUDIT CAP_COMPAT CAP_DACREAD CAP_DACWRITE CAP_DEV CAP_FILESYS CAP_MACREAD CAP_WRITE CAP_MOUNT
21、 CAP_MULTIDIR 由一些特权用户分别掌握这些特权,哪一个特权用户都不能独立完成所有的敏感操作,常见的最小特权管理机制 基于文件的特权机制 基于进程的特权机制 目前几种安全OS的最小特权管理机制 惠普的Presidum/Virtual Vault 根功能分成42中独立的特权 最小特权是惠普可信赖OSVirtual Vault的基本特性 红旗安全操作系统RFSOS 一个管理角色不拥有另一个管理角色的特权,攻击者破获某个管理角色口令时,不会得到对系统的完全控制,SELinux 系统中不再有超级用户,而被分解 避免了超级用户的误操作或其身份被假冒而带来的安全隐患,第二章 操作系统的安全机制,
22、概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.4 可信通路,可信通路是用户能够借以同可信计算基通信的一种机制 能够保证用户确定是和安全核心通信 防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令 最简单的办法:给每个用户两台终端 一台用于处理日常工作; 一台专门用于和内核的硬连接 昂贵 另一种方法:使用通用终端,通过发信号给核心 不可信软件不能拦截、覆盖或伪造的信号 安全注意键,Linux的安全注意键,在x86平台上是+SYS Rq),第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权
23、管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.5 安全审计机制,审计是一种事后分析法,一般通过对日志的分析来完成 日志:记录的事件或统计数据 提供关于系统使用及性能方面的信息 审计: 对日志记录进行分析 以清晰的、能理解的方式表述系统信息 安全审计: 对系统中有关安全的活动进行记录、检查及审核 认定违反安全规则的行为,审计机制的主要作用,主要作用 能详细记录与系统安全有关的行为,并对这些行为进行分析,发现系统中的不安全因素,保障系统安全 能够对违反安全规则的行为或企图提供证据,帮助追查违规行为发生的地点、过程以及对应的主体 对于已受攻击的系统,可以提供信
24、息帮助进行损失评估和系统恢复 安全操作系统一般都要求采用审计机制来监视与安全相关的活动 橘皮书中有明确要求,2.5.1 审计事件,审计事件是系统审计用户动作的基本单位 通常根据要审计行为的不同性质加以分类 主体:要记录用户进行的所有活动 客体:要记录关于某一客体的所有访问活动 用户事件标准 每个用户有自己的待审计事件集 基本事件集 在用户事件标准中,每个用户都要审计的公共部分 橘皮书从C2级开始要求具有审计功能 GB17859-1999从第二级开始就对审计有了明确的要求,2.5.2 审计系统的实现,日志记录器:收集数据 根据要审计的审计事件范围记录信息 输出: 二进制形式,或者可以直接读取的形
25、式 或者直接传送给数据分析机制 分析器:分析数据 输入:日志 分析日志数据,使用不同的分析方法来监测日志数据中的异常行为 通告器:通报结果 输入:分析器的分析结果 把结果通知系统管理员或其他主体 为这些主体提供系统的安全信息 辅助他们对系统可能出现的问题进行决策,Windows NT的日志文件,系统日志 跟踪各种系统事件 记录由Windows NT的系统组件产生的事件 例如:启动过程中加载驱动程序错误 又如:系统崩溃 应用程序日志 记录由应用程序或系统程序产生的事件 例如:应用程序产生的状态dll失败 又如:应用程序的添加 安全日志 记录安全相关的关键安全事件 例如:登录上网/下网,改变访问权
26、限,系统启动和关闭,与创建/打开/删除文件等资源使用相关联的事件,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,2.6 存储保护、运行保护和I/O保护,存储保护 存储保护需求 保护用户存储在存储器中的数据 保护单元和保护精度:字/字块/页面/段 单道系统 VS 多道系统 VS 多用户系统 存储器管理和存储保护之间的关系 存储基本概念:虚拟地址空间、段 内存管理的访问控制: 系统段与用户段 基于物理页号的识别 基于描述符的地址解释机制,基于物理页号的识别,每个物理页号都被加上一个密钥 系统只允
27、许拥有该密钥的进程访问该物理页 每个进程分配一个密钥,装入进程的状态字中 每次访问内存时,由硬件对该密钥进行校验 密钥:要匹配 访问控制信息(读写权限)要匹配 缺点:繁琐,基于描述符的地址解释机制,每个进程有一个“私有”的地址描述符,描述进程对内存某页或某段的访问模式 可以有两类访问模式集: 用户状态下运行的进程 系统模式下运行的进程 优点:开销小,基于保护环的运行保护,等级域保护机制 应该保护某一环不被其外层环侵入 允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环 与进程隔离机制不同 在任意时刻,进程可以在任何一个环内运行,并转移到另一个环。 保护进程免遭在同一环内同时运行的其他
28、进程的破坏,I/O保护,I/O操作一般是特权操作 操作系统对IO操作进行封装,提供对应的系统调用 将设备看成一个客体,对其应用相应的访问控制规则 读写两种 针对从处理器到设备间的路径,第二章 操作系统的安全机制,概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制,主流OS的安全机制,1: Linux 2: Microsoft Windows 2000,Linux的安全机制,PAM 入侵检测系统 加密文件系统 安全审计 强制访问控制 防火墙,PAM,Pluggable Authentication Modules 目的:提供一
29、个框架和一套编程接口,将认证工作由程序员交给管理员 允许管理员在多种认证方法之间做出选择, 能够改变本地认证方法而不需要重新编译与认证相关的应用程序 以共享库的形式提供,功能包括: 加密口令(包括DES和其他加密算法) 对用户进行资源限制,防止DOS攻击 允许随意Shadow口令 限制特定用户在指定时间从指定地点登录 引入概念“client plug-in agents”,使PAM支持C/S应用中的机器,入侵检测系统,目前比较流行的入侵检测系统有 Snort,Portsentry,LIDS等 利用Linux配备的工具和从Internet上download的工具,就可以使Linux具备高级的入侵
30、检测能力,包括: 记录入侵企图 当攻击发生时及时通知管理员 在规定情况的攻击发生时,采取实现规定的措施 发送一些错误信息,比如伪装成其他操作系统,例如WindowsNT或者Solaris系统,加密文件系统,加密文件系统就是将加密服务引入文件系统,从而提高计算机系统的安全性 防止硬盘被偷窃 防止未经授权的访问 目前,Linux已有多种加密文件系统,例如 CFS TCFS,Transparent Cryptographic File System CRYPTFS,TCFS,Transparent:用户感觉不到文件的加密过程 将加密服务和文件系统紧密集成 不修改文件系统的数据结构 备份与修复以及用户
31、访问保密文件的语义也不变 加密文件对以下用户不可读 合法拥有者以外的用户 用户和远程文件系统通信线路上的偷听者 文件系统服务器的超级用户 对于合法用户,访问加密文件与访问普通文件几乎没有区别,安全审计,Linux提供网络、主机和用户级的日志信息 例如,可以记录 所有系统和内核信息 每次网络连接和他们的源IP地址以及发生时间 攻击者的用户名 操作系统的类型 远程用户申请访问的文件 用户控制的进程 用户使用的每条命令 等等,强制访问控制MAC,MAC是一种由系统管理员从全系统的角度定义和实施的访问控制,它通过标记系统中的主客体,强制性的限制信息的共享和流动,使不同的用户只能访问到与其有关的、指定范
32、围的信息,从根本上防止信息的失泄密和访问混乱的现象 目前在Linux上实现的强制访问控制的有好几种,如 SELinux RSBAC:Rule Set Based Access Control,基于规则集的访问控制 MAC Linux:英国的Malcolm Beattie针对Linux 2.2内核编写的一个非常处级的MAC访问控制,防火墙,Linux防火墙系统提供如下功能 访问控制 审计 抗攻击 其他附属功能,Windows 2000的安全机制,Windows 2000在安全特性方面的设计注重如下三点: 考虑移动办公、远程工作、随时随地接入Internet这些需求及其安全需求 提供一个安全性框架
33、,不偏重于任何一种特定的安全特性 向下兼容 NT的NTLM(NT LAN Manager)安全验证机制 2000的Kerberos安全验证机制,Windows 2000的安全模块结构图,安全服务提供者接口 Security Service Provider Interface,底层安全验证协议,应用协议,Kerberos,Internet上长期被采用的一种安全验证机制 基于共享密钥的方式 Kerberos协议定义了一系列客户机/密钥发布中心KDC/服务器之间进行的获得和使用Kerberos票证的通信过程 (Key Distribution Center),Windows 2000的安全特性,数据安全性 用户登录时的安全性:KerberosPKI等 网络数据的保护 存储数据的保护 企业间通信的安全性 企业王和Internet的单点安全登录 易管理性和高扩展性,Thanks!,The end.,