CH06操作系統(tǒng)安全技術(shù)

1、信息安全技術(shù)教學(xué)課件 V2010.03 操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù)第第 6 章章共共 2 28 8 頁頁第第 2 2 頁頁 / / 本章要點本章要點p操作系統(tǒng)是信息安全技術(shù)體系中重要的組成操作系統(tǒng)是信息安全技術(shù)體系中重要的組成部分，針對部分，針對GB 17859-1999關(guān)于信息系統(tǒng)關(guān)于信息系統(tǒng)安全保護的要求，本章介紹操作系統(tǒng)應(yīng)該具安全保護的要求，本章介紹操作系統(tǒng)應(yīng)該具有的安全技術(shù)措施。有的安全技術(shù)措施。pGB/T 20272-2006 信息安全技術(shù)信息安全技術(shù) 操作系統(tǒng)安全操作系統(tǒng)安全技術(shù)要求技術(shù)要求共共 2 28 8 頁頁第第 3 3 頁頁 / / 一、一、操作系統(tǒng)安全概述操作系統(tǒng)安

2、全概述p1、操作系統(tǒng)安全的含義、操作系統(tǒng)安全的含義n計算機操作系統(tǒng)的主要功能是進行計算機資源管理和提供用戶使用計計算機操作系統(tǒng)的主要功能是進行計算機資源管理和提供用戶使用計算機的界面。算機的界面。n用戶資源用戶資源可以歸結(jié)為以文件形式表示的數(shù)據(jù)信息資源，可以歸結(jié)為以文件形式表示的數(shù)據(jù)信息資源，系統(tǒng)資源系統(tǒng)資源包括包括系統(tǒng)程序和系統(tǒng)數(shù)據(jù)以及為管理計算機硬件資源而設(shè)置的各種表格。系統(tǒng)程序和系統(tǒng)數(shù)據(jù)以及為管理計算機硬件資源而設(shè)置的各種表格。n對操作系統(tǒng)中資源的保護，實際上是對操作系統(tǒng)中文件的保護。對操作系統(tǒng)中資源的保護，實際上是對操作系統(tǒng)中文件的保護。n操作系統(tǒng)的安全保護的功能要求，需要從操作系統(tǒng)的

3、安全運行和操作操作系統(tǒng)的安全保護的功能要求，需要從操作系統(tǒng)的安全運行和操作系統(tǒng)數(shù)據(jù)的安全保護兩方面。系統(tǒng)數(shù)據(jù)的安全保護兩方面。操作系統(tǒng)的安全操作系統(tǒng)的安全主要通過身份鑒別、自主要通過身份鑒別、自主訪問控制、標(biāo)記和強制訪問控制、數(shù)據(jù)流控制、審計、數(shù)據(jù)完整性、主訪問控制、標(biāo)記和強制訪問控制、數(shù)據(jù)流控制、審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等幾方面來實現(xiàn)數(shù)據(jù)保密性等幾方面來實現(xiàn)系統(tǒng)的安全需要（系統(tǒng)的安全需要（GB 17859和和GB/T 20271）。）。p實現(xiàn)各種類型的操作系統(tǒng)安全需要的所有安全技術(shù)稱為實現(xiàn)各種類型的操作系統(tǒng)安全需要的所有安全技術(shù)稱為操作系操作系統(tǒng)安全技術(shù)統(tǒng)安全技術(shù)。操作系統(tǒng)安全子系統(tǒng)（。

4、操作系統(tǒng)安全子系統(tǒng)（ SSOOS ，Security Subsystem Of Operating System），是操作系統(tǒng)的可），是操作系統(tǒng)的可信計算基（信計算基（TCB），指把操作系統(tǒng)中硬件、固件、軟件和負），指把操作系統(tǒng)中硬件、固件、軟件和負責(zé)執(zhí)行安全策略的所有相關(guān)的安全保護裝置。責(zé)執(zhí)行安全策略的所有相關(guān)的安全保護裝置。共共 2 28 8 頁頁第第 4 4 頁頁 / / 一、一、操作系統(tǒng)安全概述操作系統(tǒng)安全概述p2、操作系統(tǒng)安全的組成、操作系統(tǒng)安全的組成 n操作系統(tǒng)的安全，應(yīng)該從安全功能和安全保證兩方面綜合考慮。每一等級的操作系統(tǒng)的安全，應(yīng)該從安全功能和安全保證兩方面綜合考慮。每一等級

5、的信息系統(tǒng)，都有不同的安全功能要求和安全保證措施。圖信息系統(tǒng)，都有不同的安全功能要求和安全保證措施。圖6.1表示了操作系表示了操作系統(tǒng)安全技術(shù)要求的組成及相互關(guān)系。統(tǒng)安全技術(shù)要求的組成及相互關(guān)系。共共 2 28 8 頁頁第第 5 5 頁頁 / / 一、一、操作系統(tǒng)安全概述操作系統(tǒng)安全概述p3、操作系統(tǒng)的主體與客體、操作系統(tǒng)的主體與客體 n在操作系統(tǒng)中，每一個實體成分都必須是主體或客體，或者既是主體在操作系統(tǒng)中，每一個實體成分都必須是主體或客體，或者既是主體又是客體。又是客體。n主體是一個主動的實體，它包括用戶、用戶組、進程等主體是一個主動的實體，它包括用戶、用戶組、進程等。系統(tǒng)中最基。系統(tǒng)中最

6、基本的主體是用戶，系統(tǒng)中的所有事件，幾乎都是由用戶激發(fā)的。用戶本的主體是用戶，系統(tǒng)中的所有事件，幾乎都是由用戶激發(fā)的。用戶的所有事件都要通過運行進程來處理。進程是用戶的客體，但又是訪的所有事件都要通過運行進程來處理。進程是用戶的客體，但又是訪問對象的主體。問對象的主體。n客體是一個被動的實體?？腕w是一個被動的實體。在操作系統(tǒng)中，客體可以是按一定格式存儲在操作系統(tǒng)中，客體可以是按一定格式存儲在記錄介質(zhì)中的數(shù)據(jù)信息（文件），也可以是操作系統(tǒng)中的進程在記錄介質(zhì)中的數(shù)據(jù)信息（文件），也可以是操作系統(tǒng)中的進程。n訪問控制等安全措施都是由主體對客體實施操作完成訪問控制等安全措施都是由主體對客體實施操作完成

7、的。的。共共 2 28 8 頁頁第第 6 6 頁頁 / / 二、二、操作系統(tǒng)安全的技術(shù)要求操作系統(tǒng)安全的技術(shù)要求p身份鑒別身份鑒別p訪問控制訪問控制p安全審計安全審計p用戶數(shù)據(jù)的完整性和保密性用戶數(shù)據(jù)的完整性和保密性p可信路徑可信路徑共共 2 28 8 頁頁第第 7 7 頁頁 / / p1、身份鑒別、身份鑒別n身份鑒別包括對用戶的身份進行標(biāo)識和鑒別。身份鑒別包括對用戶的身份進行標(biāo)識和鑒別。用戶標(biāo)識用戶標(biāo)識n（1）凡需進入操作系統(tǒng)的用戶，應(yīng)先進行標(biāo)識，即建立賬號；）凡需進入操作系統(tǒng)的用戶，應(yīng)先進行標(biāo)識，即建立賬號；n（2）操作系統(tǒng)用戶標(biāo)識一般使用用戶名和用戶標(biāo)識符（）操作系統(tǒng)用戶標(biāo)識一般使用用戶

8、名和用戶標(biāo)識符（UID）。）。用戶鑒別用戶鑒別n（1）采用口令進行鑒別，并在每次用戶登錄系統(tǒng)時進行鑒別；）采用口令進行鑒別，并在每次用戶登錄系統(tǒng)時進行鑒別；n（2）通過對不成功的鑒別嘗試的值進行預(yù)先定義，并明確規(guī)定達到該值時）通過對不成功的鑒別嘗試的值進行預(yù)先定義，并明確規(guī)定達到該值時應(yīng)該采取的措施公平實現(xiàn)鑒別失敗的處理。應(yīng)該采取的措施公平實現(xiàn)鑒別失敗的處理。用戶主體行為綁定用戶主體行為綁定n（1）用戶進程與所有者相關(guān)聯(lián)，進程行為可追溯到進程的所有者；）用戶進程與所有者相關(guān)聯(lián)，進程行為可追溯到進程的所有者；n（2）進程與當(dāng)前服務(wù)要求者相關(guān)聯(lián)，系統(tǒng)進程行為可追溯到服務(wù)的要求者。）進程與當(dāng)前服務(wù)要

9、求者相關(guān)聯(lián)，系統(tǒng)進程行為可追溯到服務(wù)的要求者。二、操作系統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 8 8 頁頁 / / p2、訪問控制、訪問控制n訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。制。訪問控制也是信息安全理論基礎(chǔ)的重要組成部分。訪問控制也是信息安全理論基礎(chǔ)的重要組成部分。n本章講述訪問控制的原理、作用、分類和研究前沿，重點介紹較典型的自主本章講述訪問控制的原理、作用、分類和研究前沿，重點介紹較典型的自主訪問控制、強制訪問控制和基于角色的訪問控制。訪問控制、強制訪問

10、控制和基于角色的訪問控制。（1）訪問控制原理）訪問控制原理n訪問控制機制將根據(jù)預(yù)先設(shè)定的規(guī)則對用戶訪問某項資源（目標(biāo)）進行控制，訪問控制機制將根據(jù)預(yù)先設(shè)定的規(guī)則對用戶訪問某項資源（目標(biāo)）進行控制，只有只有規(guī)則允許時才能訪問，違反預(yù)定的安全規(guī)則的訪問行為將被拒絕規(guī)則允許時才能訪問，違反預(yù)定的安全規(guī)則的訪問行為將被拒絕。資源資源可以是信息資源、處理資源、通信資源或者物理資源可以是信息資源、處理資源、通信資源或者物理資源，訪問方式可以是獲取訪問方式可以是獲取信息、修改信息或者完成某種功能信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫或者執(zhí)行。，一般情況可以理解為讀、寫或者執(zhí)行。 二、操作系

11、統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 9 9 頁頁 / / p2、訪問控制、訪問控制（2）自主訪問控制（）自主訪問控制（Discretionary Access Control，DAC）n自主訪問控制就是由擁有資源的用戶自己來決定其他一個或一些主體可以在自主訪問控制就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。什么程度上訪問哪些資源。 n主體、客體以及相應(yīng)的權(quán)限組成系統(tǒng)的主體、客體以及相應(yīng)的權(quán)限組成系統(tǒng)的訪問控制矩陣訪問控制矩陣。在訪問控制矩陣中，。在訪問控制矩陣中，每一行表示一個主體的所有權(quán)限；每一列則是關(guān)于一個客體的所有權(quán)限

12、；矩每一行表示一個主體的所有權(quán)限；每一列則是關(guān)于一個客體的所有權(quán)限；矩陣中的元素是該元素所在行對應(yīng)的主體對該元素所在列對應(yīng)的客體的訪問權(quán)陣中的元素是該元素所在行對應(yīng)的主體對該元素所在列對應(yīng)的客體的訪問權(quán)限。限。 n訪問控制表訪問控制表（Access Control List，ACL）是基于訪問控制矩陣中列的）是基于訪問控制矩陣中列的自主訪問控制。它在自主訪問控制。它在一個客體上附加一個客體上附加一個主體明晰表，來表示各個主體對這一個主體明晰表，來表示各個主體對這個客體的訪問權(quán)限。個客體的訪問權(quán)限。n訪問能力表訪問能力表（Access Capabilities List）是最常用的基于行的自主訪

13、問）是最常用的基于行的自主訪問控制。能力（控制。能力（capability） 是是為主體提供為主體提供的、對客體具有特定訪問權(quán)限的的、對客體具有特定訪問權(quán)限的不可偽造的標(biāo)志，它決定主體是否可以訪問客體以及以什么方式訪問客體。不可偽造的標(biāo)志，它決定主體是否可以訪問客體以及以什么方式訪問客體。二、操作系統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 1010 頁頁 / / p2、訪問控制、訪問控制（3）強制訪問控制）強制訪問控制（Mandatory Access Control， MAC）n強制訪問控制系統(tǒng)強制訪問控制系統(tǒng)為所有的主體和客體指定安全級別為所有的主體和客體指定

14、安全級別，比如絕密級、機密級、，比如絕密級、機密級、秘密級和無密級。不同級別標(biāo)記了不同重要程度和能力的實體。秘密級和無密級。不同級別標(biāo)記了不同重要程度和能力的實體。不同級別的不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。的。n實體的安全級別是由實體的安全級別是由敏感標(biāo)記敏感標(biāo)記（Sensitivity Label）來表示，是表示實體）來表示，是表示實體安全級別的一組信息，在安全機制中把敏感標(biāo)記作為強制訪問控制決策的依安全級別的一組信息，在安全機制中把敏感標(biāo)記作為強制訪問控制決策的依據(jù)。據(jù)。（4）基于角色的訪問控制）基于角色的訪

15、問控制（Role Based Access Control，RBAC）n在基于角色的訪問控制模式中，在基于角色的訪問控制模式中，用戶不是自始至終以同樣的注冊身份和權(quán)限用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限。系，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限。系統(tǒng)按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。統(tǒng)按照自主訪問控制或強制訪問控制機制控制角色的訪問能力。 n一個主體可以同時擔(dān)任多個角色?；诮巧脑L問控制就是通過各種角色的一個主體可以同時擔(dān)任多個角色?；诮巧脑L問控制就是通過各種角色的不同搭配授權(quán)來盡

16、可能實現(xiàn)主體的最小權(quán)限（不同搭配授權(quán)來盡可能實現(xiàn)主體的最小權(quán)限（最小授權(quán)指主體在能夠完成所最小授權(quán)指主體在能夠完成所有必需的訪問工作基礎(chǔ)上的最小權(quán)限有必需的訪問工作基礎(chǔ)上的最小權(quán)限）。）。n授權(quán)管理的控制途徑授權(quán)管理的控制途徑：改變客體的訪問權(quán)限：改變客體的訪問權(quán)限改變角色的訪問權(quán)限改變角色的訪問權(quán)限改變主改變主體所擔(dān)任的角色。體所擔(dān)任的角色。二、操作系統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 1111 頁頁 / / p3、安全審計、安全審計n安全審計是指在一個信息系統(tǒng)中以維護系統(tǒng)安全為目的的審計，即為了保障安全審計是指在一個信息系統(tǒng)中以維護系統(tǒng)安全為目的的審計，

17、即為了保障系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段手段實時收集和監(jiān)控系統(tǒng)中每一個組成部分的狀態(tài)、安全事件實時收集和監(jiān)控系統(tǒng)中每一個組成部分的狀態(tài)、安全事件，以便集中報，以便集中報警、分析、處理的一種技術(shù)手段。警、分析、處理的一種技術(shù)手段。n安全審計功能應(yīng)與身份鑒別、自主訪問控制、標(biāo)記和強制訪問控制及完整性安全審計功能應(yīng)與身份鑒別、自主訪問控制、標(biāo)記和強制訪問控制及完整性控制等安全功能緊密結(jié)合?？刂频劝踩δ芫o密結(jié)合。n提供對受保護客體訪問的審計跟蹤功能，保護審計記錄不被未授權(quán)訪問、修提供對受保護客體

18、訪問的審計跟蹤功能，保護審計記錄不被未授權(quán)訪問、修改和破壞改和破壞。n提供可選擇的審計事件，生成的審計日志可管理。提供可選擇的審計事件，生成的審計日志可管理。 二、操作系統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 1212 頁頁 / / p4、用戶數(shù)據(jù)的完整性和保密性、用戶數(shù)據(jù)的完整性和保密性n在安全功能控制范圍內(nèi)。為主體和客體設(shè)置完整性標(biāo)簽，并建立完整性保護在安全功能控制范圍內(nèi)。為主體和客體設(shè)置完整性標(biāo)簽，并建立完整性保護策略模型，保護用戶數(shù)據(jù)在存儲、傳輸和處理過程中的完整性。策略模型，保護用戶數(shù)據(jù)在存儲、傳輸和處理過程中的完整性。n提供硬盤數(shù)據(jù)的備份和修復(fù)功能，

19、可將硬盤中的數(shù)據(jù)壓縮和備份，并在必要提供硬盤數(shù)據(jù)的備份和修復(fù)功能，可將硬盤中的數(shù)據(jù)壓縮和備份，并在必要時恢復(fù)。時恢復(fù)。n確保硬盤數(shù)據(jù)的授權(quán)使用，保證系統(tǒng)內(nèi)各個用戶之間互不干擾。確保硬盤數(shù)據(jù)的授權(quán)使用，保證系統(tǒng)內(nèi)各個用戶之間互不干擾。p5、可信路徑、可信路徑n在第四級和第五級安全系統(tǒng)中，要求提供用戶初始登錄在第四級和第五級安全系統(tǒng)中，要求提供用戶初始登錄/鑒別時的可信路徑，鑒別時的可信路徑，在在SSOOS與用戶間建立一條安全的信息傳輸通路。與用戶間建立一條安全的信息傳輸通路。二、操作系統(tǒng)安全的技術(shù)要求二、操作系統(tǒng)安全的技術(shù)要求共共 2 28 8 頁頁第第 1313 頁頁 / / p1、Windo

20、ws的安全模型與基本概念的安全模型與基本概念（1）安全模型）安全模型Windows的安全模型由以下幾個關(guān)鍵部分構(gòu)成：的安全模型由以下幾個關(guān)鍵部分構(gòu)成：1）登錄過程（登錄過程（Logon Process，LP）。接受本地用戶或者遠程用戶的登錄。接受本地用戶或者遠程用戶的登錄請求，處理用戶信息，為用戶做一些初始化工作。請求，處理用戶信息，為用戶做一些初始化工作。2）本地安全授權(quán)機構(gòu)（本地安全授權(quán)機構(gòu)（Local Security Authority，LSA）。根據(jù)安全賬。根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控制審計和日志。號管理器中的數(shù)據(jù)處理本地或者遠程用戶的登錄信息，并控

21、制審計和日志。這是整個安全子系統(tǒng)的核心。這是整個安全子系統(tǒng)的核心。3）安全賬號管理器（安全賬號管理器（Security Account Manager，SAM）。維護賬號的。維護賬號的安全性管理數(shù)據(jù)庫（安全性管理數(shù)據(jù)庫（SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫）。數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫）。4）安全引用監(jiān)視器（安全引用監(jiān)視器（Security Reference Monitor，SRM）。檢查存取。檢查存取合法性，防止非法存取和修改。合法性，防止非法存取和修改。三、三、Windows 2003的訪問控制的訪問控制共共 2 28 8 頁頁第第 1414 頁頁 / / p1、Windows的安全模型與基本概念的

22、安全模型與基本概念（2）安全概念）安全概念1）安全標(biāo)識（安全標(biāo)識（Security Identifier，SID）：是標(biāo)識用戶、組和計算機帳：是標(biāo)識用戶、組和計算機帳戶的唯一的號碼。在第一次創(chuàng)建該帳戶時，將給網(wǎng)絡(luò)上的每一個帳戶發(fā)布一戶的唯一的號碼。在第一次創(chuàng)建該帳戶時，將給網(wǎng)絡(luò)上的每一個帳戶發(fā)布一個唯一的個唯一的 SID。安全標(biāo)識和賬號唯一對應(yīng)，在賬號創(chuàng)建時創(chuàng)建，賬號刪除。安全標(biāo)識和賬號唯一對應(yīng)，在賬號創(chuàng)建時創(chuàng)建，賬號刪除時刪除，而且永不再用。安全標(biāo)識與對應(yīng)的用戶和組的賬號信息一起存儲在時刪除，而且永不再用。安全標(biāo)識與對應(yīng)的用戶和組的賬號信息一起存儲在SAM數(shù)據(jù)庫里。數(shù)據(jù)庫里。2）訪問令牌（訪

23、問令牌（Access Token）。當(dāng)用戶登錄時，本地安全授權(quán)機構(gòu)為用戶。當(dāng)用戶登錄時，本地安全授權(quán)機構(gòu)為用戶創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標(biāo)識等信息。以后，用戶的創(chuàng)建一個訪問令牌，包括用戶名、所在組、安全標(biāo)識等信息。以后，用戶的所有程序都將擁有訪問令牌的拷貝。所有程序都將擁有訪問令牌的拷貝。3）主體主體。用戶登錄到系統(tǒng)之后，本地安全授權(quán)機構(gòu)為用戶構(gòu)造一個訪問令牌，。用戶登錄到系統(tǒng)之后，本地安全授權(quán)機構(gòu)為用戶構(gòu)造一個訪問令牌，這個令牌與該用戶所有的操作相聯(lián)系，用戶進行的操作和訪問令牌一起構(gòu)成這個令牌與該用戶所有的操作相聯(lián)系，用戶進行的操作和訪問令牌一起構(gòu)成一個主體。一個主體。4）對

24、象、資源、共享資源對象、資源、共享資源。對象的實質(zhì)是封裝了數(shù)據(jù)和處理過程的一系列信息。對象的實質(zhì)是封裝了數(shù)據(jù)和處理過程的一系列信息集合體。資源是用于網(wǎng)絡(luò)環(huán)境的對象。共享資源是在網(wǎng)絡(luò)上共享的對象。集合體。資源是用于網(wǎng)絡(luò)環(huán)境的對象。共享資源是在網(wǎng)絡(luò)上共享的對象。5）安全描述符（安全描述符（Security Descript）。Windows系統(tǒng)中共享資源的安全系統(tǒng)中共享資源的安全特性描述，包含了該對象的一組安全屬性，分為特性描述，包含了該對象的一組安全屬性，分為所有者安全標(biāo)識所有者安全標(biāo)識、組安全標(biāo)組安全標(biāo)識識（GroupSecurity）、）、自主訪問控制表自主訪問控制表（Discretiona

25、ry Access Control List，DAC）、）、系統(tǒng)訪問控制表系統(tǒng)訪問控制表（ACL）四個部分。）四個部分。三、三、Windows 2003的訪問控制的訪問控制共共 2 28 8 頁頁第第 1515 頁頁 / / p2、Windows的訪問控制過程的訪問控制過程p當(dāng)一個賬號被創(chuàng)建時，當(dāng)一個賬號被創(chuàng)建時，Windows系統(tǒng)為它分配一個系統(tǒng)為它分配一個SID，并與其他賬，并與其他賬號信息一起存入號信息一起存入SAM數(shù)據(jù)庫。數(shù)據(jù)庫。p用戶登錄管理。登錄主機（通常為工作站）的系統(tǒng)首先把用戶輸入的用用戶登錄管理。登錄主機（通常為工作站）的系統(tǒng)首先把用戶輸入的用戶名、口令和用戶希望登錄的服務(wù)器

26、域信息送給安全賬號管理器，安戶名、口令和用戶希望登錄的服務(wù)器域信息送給安全賬號管理器，安全賬號管理器將這些信息與全賬號管理器將這些信息與SAM數(shù)據(jù)庫中的信息進行比較，如果匹配，數(shù)據(jù)庫中的信息進行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問的信息，并返回用戶的安全標(biāo)識和用戶所在服務(wù)器發(fā)給工作站允許訪問的信息，并返回用戶的安全標(biāo)識和用戶所在組的安全標(biāo)識，工作站系統(tǒng)為用戶生成一個進程。服務(wù)器還要記錄用戶組的安全標(biāo)識，工作站系統(tǒng)為用戶生成一個進程。服務(wù)器還要記錄用戶賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息。賬號的特權(quán)、主目錄位置、工作站參數(shù)等信息。p本地安全授權(quán)機構(gòu)為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、

27、安全標(biāo)本地安全授權(quán)機構(gòu)為用戶創(chuàng)建訪問令牌，包括用戶名、所在組、安全標(biāo)識等信息。此后用戶每新建一個進程，都將訪問令牌復(fù)制作為該進程的識等信息。此后用戶每新建一個進程，都將訪問令牌復(fù)制作為該進程的訪問令牌。訪問令牌。p用戶訪問進程管理。安全引用監(jiān)視器將用戶用戶訪問進程管理。安全引用監(jiān)視器將用戶/進程的訪問令牌中的進程的訪問令牌中的SID與對象安全描述符中的自主訪問控制表進行比較，從而決定用戶是否有與對象安全描述符中的自主訪問控制表進行比較，從而決定用戶是否有權(quán)訪問對象。權(quán)訪問對象。三、三、Windows 2003的訪問控制的訪問控制共共 2 28 8 頁頁第第 1616 頁頁 / / p2、Win

28、dows的訪問控制過程的訪問控制過程p權(quán)限（權(quán)限（Permission）：精確定制用戶對資源的訪問控制能力。）：精確定制用戶對資源的訪問控制能力。p權(quán)限管理原則權(quán)限管理原則（1）拒絕優(yōu)于允許原則）拒絕優(yōu)于允許原則（2）權(quán)限最小化原則）權(quán)限最小化原則（3）權(quán)限繼承性原則）權(quán)限繼承性原則（4）累加原則）累加原則p“拒絕優(yōu)于允許拒絕優(yōu)于允許”原則是用于解決權(quán)限設(shè)置上的沖突問題；原則是用于解決權(quán)限設(shè)置上的沖突問題；“權(quán)限最小權(quán)限最小化化”原則是用于保障資源安全；原則是用于保障資源安全；“權(quán)限繼承性權(quán)限繼承性”原則是用于原則是用于“自動化自動化”執(zhí)行權(quán)限設(shè)置的；而執(zhí)行權(quán)限設(shè)置的；而“累加原則累加原則”則

29、是讓權(quán)限的設(shè)置更加靈活多變。則是讓權(quán)限的設(shè)置更加靈活多變。 p資源權(quán)限的應(yīng)用：依據(jù)是否被共享到網(wǎng)絡(luò)，其權(quán)限可以分為資源權(quán)限的應(yīng)用：依據(jù)是否被共享到網(wǎng)絡(luò)，其權(quán)限可以分為NTFS權(quán)限權(quán)限（本地權(quán)限）與共享權(quán)限兩種。（本地權(quán)限）與共享權(quán)限兩種。nNTFS的標(biāo)準(zhǔn)訪問權(quán)限的標(biāo)準(zhǔn)訪問權(quán)限：“套餐型套餐型”的權(quán)限，即：完全控制、修改、讀取和的權(quán)限，即：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入。圖運行、列出文件夾目錄、讀取、寫入。圖6.5nNTFS的的“特別權(quán)限特別權(quán)限”（“高級高級”選項），允許用戶進行細化權(quán)限選擇。圖選項），允許用戶進行細化權(quán)限選擇。圖6.6n三種共享權(quán)限三種共享權(quán)限：完全控

30、制、更改、讀取。：完全控制、更改、讀取。三、三、Windows 2003的訪問控制的訪問控制資源復(fù)制或移動時權(quán)限的變化資源復(fù)制或移動時權(quán)限的變化在權(quán)限的應(yīng)用中，設(shè)置了權(quán)限后的資源需要復(fù)制或者是移動，資源的權(quán)限會發(fā)在權(quán)限的應(yīng)用中，設(shè)置了權(quán)限后的資源需要復(fù)制或者是移動，資源的權(quán)限會發(fā)生變化：生變化：（1）復(fù)制資源）復(fù)制資源在復(fù)制資源時，原資源的權(quán)限不會發(fā)生變化，而新生成的資源，將繼承其目標(biāo)在復(fù)制資源時，原資源的權(quán)限不會發(fā)生變化，而新生成的資源，將繼承其目標(biāo)位置父級資源的權(quán)限。位置父級資源的權(quán)限。（2）移動資源）移動資源在移動資源時，如果資源的移動發(fā)生在同一驅(qū)動器內(nèi)，那么對象將保留本身原在移動資源時

31、，如果資源的移動發(fā)生在同一驅(qū)動器內(nèi)，那么對象將保留本身原有的權(quán)限不變（包括資源本身權(quán)限及從父級資源中繼承的權(quán)限）；若資源的移有的權(quán)限不變（包括資源本身權(quán)限及從父級資源中繼承的權(quán)限）；若資源的移動發(fā)生在不相同的驅(qū)動器之間，那么不僅對象本身的權(quán)限會丟失，而且原先從動發(fā)生在不相同的驅(qū)動器之間，那么不僅對象本身的權(quán)限會丟失，而且原先從父級資源中繼承的權(quán)限也會被從目標(biāo)位置的父級資源繼承的權(quán)限所替代。實際父級資源中繼承的權(quán)限也會被從目標(biāo)位置的父級資源繼承的權(quán)限所替代。實際上，移動操作就是進行資源的復(fù)制、然后從原有位置徹底刪除資源的操作。上，移動操作就是進行資源的復(fù)制、然后從原有位置徹底刪除資源的操作。（3

32、）非）非NTFS分區(qū)分區(qū) 復(fù)制或移動資源時，如果將資源復(fù)制或移動到非復(fù)制或移動資源時，如果將資源復(fù)制或移動到非NTFS分區(qū)上，那么所有的權(quán)分區(qū)上，那么所有的權(quán)限均會自動全部丟失。限均會自動全部丟失。共共 2 28 8 頁頁第第 1717 頁頁 / / p3、Windows的加密文件系統(tǒng)的加密文件系統(tǒng) p概念及功能：概念及功能：nWindows的加密文件系統(tǒng)（的加密文件系統(tǒng)（Encrypting File System，EFS）提供一）提供一種核心文件加密技術(shù)，該技術(shù)用于在種核心文件加密技術(shù)，該技術(shù)用于在NTFS 文件系統(tǒng)卷上存儲基于指定用戶文件系統(tǒng)卷上存儲基于指定用戶SID等信息加密的文件。等

33、信息加密的文件。n對加密該文件的用戶，加密是透明的。對加密該文件的用戶，加密是透明的。p使用要求：使用要求：n（1）只有）只有NTFS卷上的文件或文件夾才能被加密。卷上的文件或文件夾才能被加密。n（2）被壓縮的文件或文件夾不可以加密。）被壓縮的文件或文件夾不可以加密。n（3）如果將加密的文件復(fù)制或移動到非）如果將加密的文件復(fù)制或移動到非NTFS格式的卷上，該文件將會自格式的卷上，該文件將會自動解密。動解密。n（4）如果將非加密文件移動到加密文件夾中，則這些文件將在新文件夾中）如果將非加密文件移動到加密文件夾中，則這些文件將在新文件夾中自動加密。自動加密。n（5）無法加密標(biāo)記為）無法加密標(biāo)記為“

34、系統(tǒng)系統(tǒng)”屬性的文件，并且位于屬性的文件，并且位于%systemroot%目錄結(jié)構(gòu)中的文件也無法加密。目錄結(jié)構(gòu)中的文件也無法加密。n（6）加密文件夾或文件不能防止刪除或列出文件或文件夾表。）加密文件夾或文件不能防止刪除或列出文件或文件夾表。n（7）WebDAV基于基于HTTP1.1，可在本地加密文件并采用加密格式發(fā)送。，可在本地加密文件并采用加密格式發(fā)送。三、三、Windows 2003的訪問控制的訪問控制共共 2 28 8 頁頁第第 1818 頁頁 / / p1、安全審計概述、安全審計概述 p審計是對訪問控制的必要補充，是訪問控制的一個重要內(nèi)容。審計是對訪問控制的必要補充，是訪問控制的一個重

35、要內(nèi)容。p審計會對用戶使用何種信息資源、使用的時間，以及如何使用（執(zhí)行何審計會對用戶使用何種信息資源、使用的時間，以及如何使用（執(zhí)行何種操作）進行記錄與監(jiān)控。種操作）進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責(zé)處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題，這對于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。任追查和數(shù)據(jù)恢復(fù)非常有必要。 p審計跟蹤是系統(tǒng)活動的流水記錄。審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑，順序該記錄按事件從始至終的途徑，順序檢查、審查和檢驗每個事件的環(huán)境

36、及活動。審計跟蹤記錄系統(tǒng)活動和用檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤記錄系統(tǒng)活動和用戶活動。審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題戶活動。審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，同時還能幫助恢復(fù)數(shù)據(jù)。資源免遭非法授權(quán)用戶的侵害，同時還能幫助恢復(fù)數(shù)據(jù)。四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 1919 頁頁 / / p2、安全審計的內(nèi)容、安全審計的內(nèi)容 p審計跟蹤可以實現(xiàn)多種安全相關(guān)目標(biāo)

37、，包括個人職能、事件重建、入侵審計跟蹤可以實現(xiàn)多種安全相關(guān)目標(biāo)，包括個人職能、事件重建、入侵檢測和故障分析。檢測和故障分析。 1）個人職能（）個人職能（individual accountability）p審計跟蹤是管理人員用來維護個人職能的技術(shù)手段。如果用戶被知道他審計跟蹤是管理人員用來維護個人職能的技術(shù)手段。如果用戶被知道他們的行為活動被記錄在審計日志中，相應(yīng)的人員需要為自己的行為負責(zé)，們的行為活動被記錄在審計日志中，相應(yīng)的人員需要為自己的行為負責(zé)，他們就不太會違反安全策略和繞過安全控制措施他們就不太會違反安全策略和繞過安全控制措施。2）事件重建（）事件重建（reconstruction

38、of events）p在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。3）入侵檢測（）入侵檢測（intrusion detection）p審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都審計跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計的每一筆記錄都進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預(yù)防入侵檢測活動。進行上下文分析，就可以實時發(fā)現(xiàn)或是過后預(yù)防入侵檢測活動。4）故障分析（）故障分析（problem analysis）p審計跟蹤可以用于實時審計或監(jiān)控。審計跟蹤可以用于實時審計或監(jiān)控。四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28

39、8 頁頁第第 2020 頁頁 / / p3、安全審計的目標(biāo)、安全審計的目標(biāo) p計算機安全審計機制的目標(biāo)如下：計算機安全審計機制的目標(biāo)如下： 1)應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問題所在；但另一應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問題所在；但另一方面，提供的信息應(yīng)不足以使他們自己也能夠進行攻擊。方面，提供的信息應(yīng)不足以使他們自己也能夠進行攻擊。 2)應(yīng)優(yōu)化審計追蹤的內(nèi)容，以檢測發(fā)現(xiàn)的問題，而且必須能從不同的系應(yīng)優(yōu)化審計追蹤的內(nèi)容，以檢測發(fā)現(xiàn)的問題，而且必須能從不同的系統(tǒng)資源收集信息。統(tǒng)資源收集信息。 3)應(yīng)能夠?qū)σ粋€給定的資源應(yīng)能夠?qū)σ粋€給定的資源(其他用戶也被視為資源其他用

40、戶也被視為資源)進行審計分析，分進行審計分析，分辨看似正常的活動，以發(fā)現(xiàn)內(nèi)部計算機系統(tǒng)的不正當(dāng)使用；辨看似正常的活動，以發(fā)現(xiàn)內(nèi)部計算機系統(tǒng)的不正當(dāng)使用； 4)設(shè)計審計機制時，應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi)。設(shè)計審計機制時，應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi)。p 概括而言，審計系統(tǒng)的目標(biāo)至少包括：概括而言，審計系統(tǒng)的目標(biāo)至少包括：確定和保持系統(tǒng)活動中每個人確定和保持系統(tǒng)活動中每個人的責(zé)任的責(zé)任；確認(rèn)重建事件的發(fā)生確認(rèn)重建事件的發(fā)生；評估損失評估損失；臨測系統(tǒng)問題區(qū)臨測系統(tǒng)問題區(qū)；提供有效；提供有效的災(zāi)難恢復(fù)依據(jù)；的災(zāi)難恢復(fù)依據(jù)；提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)；提供案

41、件偵破；提供案件偵破證據(jù)。證據(jù)。四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 2121 頁頁 / / p4、安全審計的系統(tǒng)、安全審計的系統(tǒng)p審計通過對所關(guān)心的事件進行記錄和分析來實現(xiàn)，含以下幾部分。審計通過對所關(guān)心的事件進行記錄和分析來實現(xiàn)，含以下幾部分。1）日志）日志的內(nèi)容的內(nèi)容n日志應(yīng)包括事件發(fā)生的日期和時間、引發(fā)事件的用戶日志應(yīng)包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址地址)、事件和源和目、事件和源和目的的位置、事件類型、事件成敗等。的的位置、事件類型、事件成敗等。2)安全審計的安全審計的記錄機制記錄機制n不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可能由操作系統(tǒng)完

42、成，不同的系統(tǒng)可采用不同的機制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。3）安全審計分析）安全審計分析n通過對日志進行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計的根本目的。主通過對日志進行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計的根本目的。主要內(nèi)容有：潛在侵害分析、基于異常檢測的輪廓、攻擊探測。要內(nèi)容有：潛在侵害分析、基于異常檢測的輪廓、攻擊探測。4）審計事件查閱）審計事件查閱n由于審計系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安由于審計系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。

43、審計系統(tǒng)的安全主要是查閱和存儲的安全。審計事件的查閱全性十分重要。審計系統(tǒng)的安全主要是查閱和存儲的安全。審計事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。應(yīng)該受到嚴(yán)格的限制，不能篡改日志。5）審計事件）審計事件存儲存儲n審計事件的存儲也有安全要求，主要有審計數(shù)據(jù)的可用性保證和防止丟失。審計事件的存儲也有安全要求，主要有審計數(shù)據(jù)的可用性保證和防止丟失。四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 2222 頁頁 / / p5、Windows2003安全審計實例安全審計實例（1）打開安全審核）打開安全審核pWindows 2003的安全審計功能在默認(rèn)安裝時是關(guān)閉的。激活此功能的安全審

44、計功能在默認(rèn)安裝時是關(guān)閉的。激活此功能有利于管理員很好的掌握機器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以有利于管理員很好的掌握機器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等。配置步從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等。配置步驟如下：驟如下：“開始開始”“設(shè)置設(shè)置”“控制面板控制面板”“管理工具管理工具”“本地安全策略本地安全策略”，選擇，選擇“本地策略本地策略”中的中的“審核審核策略策略”。 四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 2323 頁頁 / / p5、Windows2003安全安全審計實例審計實例（2

45、）審計子系統(tǒng)結(jié)構(gòu)）審計子系統(tǒng)結(jié)構(gòu)pWindows系統(tǒng)中的每一項事務(wù)系統(tǒng)中的每一項事務(wù)都可以在一定程度上被審計，可都可以在一定程度上被審計，可以在以在“資源管理器資源管理器”和和“管理工管理工具具”“本地安全策略本地安全策略”打開審打開審計功能。計功能。p在在“資源管理器資源管理器”中，選擇右鍵中，選擇右鍵菜單中的屬性菜單中的屬性安全安全高級，再高級，再選擇選擇“審核審核”以激活目錄審核對以激活目錄審核對話框，系統(tǒng)管理員可以在這個窗話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪口選擇跟蹤有效和無效的文件訪問。問。 左圖左圖p在在“本地安全策略本地安全策略”中，系統(tǒng)管中，系統(tǒng)管理員可以根

46、據(jù)各種用戶事件的成理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略。功和失敗選擇審計策略。左圖左圖四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 2424 頁頁 / / p5、Windows2003安全審計實例安全審計實例（3）查看日志）查看日志pWindows的日志文件很多，但主要是系統(tǒng)日志、應(yīng)用程序日志和安全的日志文件很多，但主要是系統(tǒng)日志、應(yīng)用程序日志和安全日志三個。這三個審計日志是審計一個日志三個。這三個審計日志是審計一個Windows系統(tǒng)的核心，所有可系統(tǒng)的核心，所有可被審計的事件都存入了其中的一個日志。被審計的事件都存入了其中的一個日志。使用使用事件查看器事件查看器的

47、查看日志。的查看日志。p1）系統(tǒng)日志系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。事件或者硬件和控制器的故障。 p2）應(yīng)用程序日志應(yīng)用程序日志。跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象。跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載裝載dll（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。p3）安全日志安全日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。動和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。四、安全審計技術(shù)四、安全審計技術(shù)共共 2 28 8 頁頁第第 2525 頁頁 / / p5、Windows2003安全審計實例安全審計實例（4）審計日志和記錄格式）審計日志和記錄格式pWindows的審計日志由一系列的事件記錄組成。每一個事件記錄分