操作系統(tǒng)的安全研究

1、引言1第一章：操作系統(tǒng)概念。31.1什么是操作系統(tǒng)的安全31.2操作系統(tǒng)的安全策略31.3操作系統(tǒng)的安全機制51.31與操作系統(tǒng)奔三密切相關(guān)的最基本的安全機制.51.32內(nèi)存保護機制51.33文件保護機制61.34訪問控制機制6第二章：操作系統(tǒng)的漏洞防護和安全配置規(guī)則82.1操作系統(tǒng)的安全漏洞82.2安全操作系統(tǒng)的配置規(guī)則10第三章：操作系統(tǒng)安全管理和安全測評：133.1管理和維護windows安全系統(tǒng)的基本措施133.2使用MBSA檢查系統(tǒng)漏洞 143.3、安全測評對安全操作系統(tǒng)有什么作用？ 3.4什么是安全測評？153.5、安全操作系統(tǒng)測評標準163.6操作系統(tǒng)安全評測方案及方法17第四章

2、：安全操作系統(tǒng)的戰(zhàn)略意義 .17 4.1安全模型的研究.17 4.2我國操作系統(tǒng)所面臨的問題.18 4.3發(fā)展對策.18第五章:總結(jié).19操作系統(tǒng)的安全研究第一章：操作系統(tǒng)概念。1.1 什么是操作系統(tǒng)的安全計算機操作系統(tǒng)的安全是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對計算機資源(如軟件、硬件、時間、空間、數(shù)據(jù)、服務(wù)等資源)的竊取，防止人為因素造成的故障和破壞。計算機系的安全極大地取決于操作系統(tǒng)的安全。1.2 操作系統(tǒng)的安全策略1.21按照其實現(xiàn)復(fù)雜度遞增和提供安全性遞減的次序排：1.物理上分離：進程使用不同的物理實體。2.時間上分離：具有不同安全要求的進程在不同的時間允許。3.邏輯上

3、分離：用戶操作彼此間不相互干擾,程序存取范圍限定。4.密碼上分離：進程以一種其他進程不了解的方式隱藏數(shù)據(jù)和計算。1.22 操作系統(tǒng)可以在任何層次上提供保護，其實現(xiàn)的難度和提供的安全性能遞增的順序:1、無保護：它適合于敏感進程運行于獨立的時間環(huán)境2、隔離保護.：并發(fā)運行的進程彼此不會感覺到對方的存在,也不會影響干擾對方.3、共享或非共享保護：設(shè)置嚴格的實體界限,公用實體對所有用戶開放,私有實體只為屬主使用。4、存取權(quán)限保護：操作系統(tǒng)檢查每次存取的有效性,借助于某種數(shù)據(jù)結(jié)構(gòu),在特定用戶和特定實體上實施存取控制,保證只有授權(quán)的存取行為發(fā)生。5、權(quán)能共享保護：存取權(quán)限共享的擴展,系統(tǒng)為實體動態(tài)地建立共

4、享權(quán)限,共享程度依賴于屬主或者實體。1.23安全措施可以彼此結(jié)合,形成多種層次多種程度的安全機制,為達到控制的靈活和可靠性,采用了安全機制粒度的概念。即按照不同的安全需求和實體類型,決定安全控制的程度。例如,對數(shù)據(jù)的存取,可以分別控制在數(shù)位、字節(jié)、單元、字、字段、記錄、文件或者文卷一級。實體控制的層次越高,存取控制越容易實現(xiàn)。對某些大型實體,若用戶只需存取其中的一部分,但作為系統(tǒng),也必須允許控制對整個實體的存取。1.3 操作系統(tǒng)的安全機制 1.31與操作系統(tǒng)密切相關(guān)的最基本的安全機制包括如下：內(nèi)存保護機制、文件保護機制、存取控制機制、鑒別機制、惡意程序防御機制。操作系統(tǒng)是在硬件體系結(jié)構(gòu)的基礎(chǔ)上

5、考慮安全問題，它必須依賴于硬件結(jié)構(gòu),必須與硬件安全機制相互配合，才能更好地形成系統(tǒng)的安全機制，保證系統(tǒng)的安全環(huán)境、認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、完整性技術(shù)、安全協(xié)議等，上述技術(shù)的彼此配合，在系統(tǒng)中形成了多種安全機制。安全機制有多種，每種又可細分為若干子類，在計算機操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，各類信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中的安全機制也不盡相同，必須注意彼此間不要沖突。1.32內(nèi)存保護機制（1）為什么保護?多道程序技術(shù)：主存中同時存放的若干道程序,必須防止一道程序在存儲和運行時影響其他程序的內(nèi)存。堆棧訪問技術(shù)：地址增長與主存地址增長不同。區(qū)域保護技術(shù)：系統(tǒng)與用戶運行區(qū)域分開與保護。（2）怎樣保護?系統(tǒng)硬件

6、保護：如ECC,CPU運行模式,RAM分區(qū)。操作系統(tǒng)保護：根據(jù)硬件保護機制保護存儲器安全。目前最常用技術(shù)：界址,界限寄存器，重定位，特征位，分段和分頁，虛存機制。1.33文件保護機制文件系統(tǒng)是操作系統(tǒng)中一個重要部分，文件系統(tǒng)決定了操作系統(tǒng)的特色，極大地影響了OS的性能，是OS設(shè)計的基礎(chǔ)與難點，因此,對文件系統(tǒng)的保護機制就分為對文件系統(tǒng)本身和對文件存儲載體的安全保護。多用戶操作系統(tǒng)必須提供最小的文件保護機制，防止用戶有意或者無意對系統(tǒng)文件和其他用戶文件的存取或修改，用戶數(shù)越多，保護模式的復(fù)雜性也越大。1.34訪問控制機制訪問控制也稱存取控制,是保護機制的關(guān)鍵,存取點的數(shù)目很大,且所有訪問不可能通

7、過某個中心授權(quán)機制進行.1、為什么要進行訪問控制?(1)合法用戶對系統(tǒng)資源的濫用(2)非法用戶因欺騙而進入系統(tǒng),成為“合法”用戶2、如何進行訪問控制?（1）對合法用戶設(shè)置不同的訪問權(quán)限.（2）對權(quán)限的轉(zhuǎn)讓(授權(quán))進行監(jiān)控.(3)驗證訪問權(quán)限3、存取一般通過程序來完成,因此,程序可被看作是存取媒介.訪問控制機制對保護實體實現(xiàn)如下目標。（1）設(shè)置存取權(quán)限.：為每一主體設(shè)定對某一實體的存取權(quán)限,具有授權(quán)和撤權(quán)功能。（2）檢查每次存取.：超越存取權(quán)限的行為被認為是非法存取,予以拒絕,阻塞或告警,并防止撤權(quán)后對實體的再次存取。（3）允許最小權(quán)限：最小權(quán)限原則限定了主體為完成某些任務(wù)必須具有的最小數(shù)目的實

8、體存取權(quán)限,除此之外,不能進行額外的信息存取。（4）進行存取驗證：除了檢查是否存取外,應(yīng)檢查在實體上所進行的活動是否是適當?shù)?是正常的存取還是非正常的存取。4、用戶認證機制。解決“你是誰”的問題，確定用戶合法身份，是進入網(wǎng)絡(luò)和系統(tǒng)的第一道安全關(guān)口，也是用戶獲取權(quán)限的關(guān)鍵。認證機制也稱鑒別機制，操作系統(tǒng)中許多保護措施大都基于鑒別系統(tǒng)的合法用戶，是操作系統(tǒng)中相當重要的一個方面。用戶身份認證目前可以通過多種媒體手段實現(xiàn)，例如證件、文件、圖片、聲音等，利用設(shè)置用戶名、用戶標識、用戶口令、用戶密碼等安全機制，檢查用戶開機口令、用戶入網(wǎng)標識、入網(wǎng)和資源訪問權(quán)限等，完成用戶的統(tǒng)一性檢查。1.35 標識與鑒別

9、標識與鑒別功能用于保證只有合法的用戶才能存取系統(tǒng)資源。本系統(tǒng)的標識與鑒別部分包括角色管理、用戶管理和用戶身份鑒別等三個部分：角色管理是實現(xiàn)RBAC模型的重要部分，將角色配置文件存放在/etc/security/role文件中，角色管理就是對角色配置文件的維護。用戶管理就是對用戶屬性文件的維護，是在系統(tǒng)原有用戶管理的基礎(chǔ)上修改和擴充而來；本系統(tǒng)改變了原有系統(tǒng)集中存放用戶屬性的方式，在/etc/security/ia目錄下為每個用戶創(chuàng)建一個屬性文件。用戶身份鑒別過程就是控制用戶與系統(tǒng)建立會話的過程；本系統(tǒng)將修改原有系統(tǒng)的pam模塊和建立會話的程序，增加對管理員用戶的強身份鑒別（使用加密卡），增加為

10、用戶設(shè)置初始安全屬性（特權(quán)集、安全標記、域、審計掩碼）的功能。第二章、操作系統(tǒng)的漏洞防護和安全配置規(guī)則2.1 操作系統(tǒng)的安全漏洞我們都知道系統(tǒng)在安全方面存在漏洞，非法網(wǎng)站、病毒和非法插件會通過這個漏洞入侵系統(tǒng)，會破壞系統(tǒng)的安全性。不同的操作系統(tǒng)在不同方面有著不同的漏洞，不同的操作系統(tǒng)對不同的漏洞也有著不一樣的防護能力。大家都知道Linux系統(tǒng)號稱是比較安全的系統(tǒng)，但是Linux安全漏洞還是存在的，既然存在安全漏洞，就意味著有危險。下面介紹一下Linux操作系統(tǒng)存在的一些常見的漏洞：漏洞一、如果系統(tǒng)里只有一個Administrator帳戶，當注冊失敗的次數(shù)達到設(shè)置值時，該帳戶也不可能被鎖住。 漏

11、洞二、具有管理員特權(quán)的帳戶在達到注冊失敗的次數(shù)時將被鎖住，然而，30分鐘后自動解鎖。漏洞三、NT在注冊對話框中顯示最近一次的注冊的用戶名。Linux存在的漏洞遠不止這些，所以在應(yīng)用此操作系統(tǒng)的時候應(yīng)做到以下幾點：（）安裝防火墻防火墻不僅是系統(tǒng)有效應(yīng)對外部攻擊的第一道防線，也是最重要的 一道防線。在新系統(tǒng)第一次連接上Internet之前，防火墻就應(yīng)該被安裝并且配置好。防火墻配置成拒絕接收所有數(shù)據(jù)包，然后再打開允許接收含病毒的文件從而傳染到整個系統(tǒng)中。（）關(guān)閉無用的端口和服務(wù) 任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實現(xiàn)的。我們應(yīng)該只開放提供服務(wù)的端口，關(guān)閉其他所有不需要的端口，從而大大減少攻擊。 取

12、消系統(tǒng)內(nèi)所有非必要的服務(wù)，只開啟必要服務(wù)。這樣做可以盡量避免系統(tǒng)和服務(wù)的漏洞來進行傳播并以獨立運行，并將自身傳播到另外的計算機上去。防止此類病毒要及時更新系統(tǒng)的漏洞。（）禁止缺省路由 應(yīng)該嚴格禁止設(shè)置缺省路由，建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由，避免其它機器可能通過一定方式訪問該主機。（）口令管理口令的長度一般不要少于個字符，口令的組成應(yīng)以無規(guī)則的大小防止此類病毒可以借助一些軟件來進行，比如ehkrootkitr、rootkit可以發(fā)現(xiàn)蠕蟲、后門等。 （）其它病毒 除了針對Linux的病毒之外，還要注意到許多Windows病毒會存在于寫字母、數(shù)字和符號相結(jié)合，嚴格避免用英語單詞或詞組等設(shè)置口令

13、。養(yǎng)成定期更換口令的習(xí)慣。2.2無論哪種操作系統(tǒng)，要做到很好的安全漏洞防護都離不開正確的安全配置，配置有以下規(guī)則：（1）、物理安全 服務(wù)器應(yīng)當放置在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器應(yīng)當保留15天以內(nèi)的錄像記錄。另外，機箱、鍵盤、抽屜等要上鎖，以保證旁人即使在無人值守時也無法使用此計算機，鑰匙要放在安全的地方。（2）、停止Guest帳號在計算機管理中將Guest帳號停止掉，任何時候不允許Guest帳號登錄系統(tǒng)。為了保險起見，最好給Guest帳號加上一個復(fù)雜的密碼，并且修改Guest帳號屬性，設(shè)置拒絕遠程訪問。（3）、限制用戶數(shù)量去掉所有的測試帳號、共享帳號和普通部門帳號，等等。用戶組策略設(shè)置

14、相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的帳號，刪除已經(jīng)不適用的帳號。很多帳號不利于管理員管理，而黑客在帳號多的系統(tǒng)中可利用的帳號也就更多，所以合理規(guī)劃系統(tǒng)中的帳號分配。（4）、多個管理員帳號管理員不應(yīng)該經(jīng)常使用管理者帳號登錄系統(tǒng)，這樣有可能被一些能夠察看Winlogon進程中密碼的軟件所窺探到，應(yīng)該為自己建立普通帳號來進行日常工作。同時，為了防止管理員帳號一旦被入侵者得到，管理員擁有備份的管理員帳號還可以有機會得到系統(tǒng)管理員權(quán)限，不過因此也帶來了多個帳號的潛在安全問題。（5）、管理員帳號改名在Windows 2000系統(tǒng)中管理員Administrator帳號是不能被停用的，這意味著攻擊者可以一再嘗試猜測此

15、帳戶的密碼。把管理員帳戶改名可以有效防止這一點。不要將名稱改為類似Admin之類，而是盡量將其偽裝為普通用戶。（6）、陷阱帳號和第（5）點類似，在更改了管理員的名稱后，可以建立一個Administrator的普通用戶，將其權(quán)限設(shè)置為最低，并且加上一個10位以上的復(fù)雜密碼，借此花費入侵者的大量時間，并且發(fā)現(xiàn)其入侵企圖。（7）、更改文件共享的默認權(quán)限將共享文件的權(quán)限從“Everyone"更改為"授權(quán)用戶”，”Everyone"意味著任何有權(quán)進入網(wǎng)絡(luò)的用戶都能夠訪問這些共享文件。（8）、安全密碼安全密碼的定義是：安全期內(nèi)無法破解出來的密碼就是安全密碼，也就是說，就算獲取

16、到了密碼文檔，必須花費42天或者更長的時間才能破解出來（Windows安全策略默認42天更改一次密碼，如果設(shè)置了的話）。（9）、屏幕保護 / 屏幕鎖定防止內(nèi)部人員破壞服務(wù)器的一道屏障。在管理員離開時，自動加載。（10）、使用NTFS分區(qū)比起FAT文件系統(tǒng)，NTFS文件系統(tǒng)可以提供權(quán)限設(shè)置、加密等更多的安全功能。(11)、防病毒軟件Windows操作系統(tǒng)沒有附帶殺毒軟件，一個好的殺毒軟件不僅能夠殺除一些病毒程序，還可以查殺除大量的木馬和黑客工具。設(shè)置了殺毒軟件，黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經(jīng)常升級病毒庫！(12)、備份盤的安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資

17、料的唯一途徑。備份完資料后，把備份盤放在安全的地方。不能把備份放置在當前服務(wù)器上，那樣的話還不如不做備份。Windows Server 2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺，安全性相對于Windows 2000有很大的提高。第三章：操作系統(tǒng)安全管理和安全測評：3.1不一樣的操作系統(tǒng)有著不一樣的運行模式，所以要管理和維護不一樣的操作系統(tǒng)就需要不同的安全措施，下面介紹關(guān)于windows系統(tǒng)安全的基本措施：（1）保護系統(tǒng)默認賬戶 （2）不顯示上次登錄的用戶名 （3）保護重要的文件 （4）關(guān)閉不必要的服務(wù)和端口 （5）關(guān)閉默認共享 （6）打開審核策略3.2使用MBSA檢查系統(tǒng)漏洞微軟免費提供的工具M

18、BSA（Microsoft Baseline Security Analyzer，微軟基線安全分析器）有三大主要功能：Scan a computer：使用計算機名稱或者IP地址來檢測單臺計算機； Scan multiple computers：使用域名或者IP地址范圍來檢測多臺計算機。 View existing security scan reports：查看已經(jīng)檢測過的安全報告。MBSA的使用方法（1）設(shè)置掃描選項 （2）掃描漏洞 （3）修正安全問題 （4）再次安全掃描 （5）查看所有的掃描報告3.3、安全測評對安全操作系統(tǒng)有什么作用？ 操作系統(tǒng)是唯一僅靠硬件的基本軟件， 其安全性能是其他

19、軟件安全職能的根基，缺乏這個安全的根基，構(gòu)筑在其上的應(yīng)用系統(tǒng)以及安全系統(tǒng)的安全性就得不到根本的保障。單個操作系統(tǒng)以及其上的應(yīng)用系統(tǒng)的安全是整個安全系統(tǒng)的根本，如果構(gòu)成互聯(lián)網(wǎng)的計算機本身系統(tǒng)安全都有問題，那么網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)就同樣會存在問題，應(yīng)用軟件信息處理的安全更無從談起。 安全操作系統(tǒng)測評是在操作系統(tǒng)的工作范圍內(nèi)，提供盡可能強的訪問控制和審計機制，在用戶、應(yīng)用程序和系統(tǒng)硬件資源之間進行符合安全政策調(diào)度，限制JE 法訪問。3.4什么是安全測評？安全測評是指由具備檢驗技術(shù)能力的第三方機構(gòu)，依據(jù)相關(guān)標準或技術(shù)規(guī)范，按照嚴格程序?qū)π畔⑾到y(tǒng)的安全保障能力進行的綜合測試評估活動。對操作系統(tǒng)的安全

20、測評就是檢查安全機制是否完整地實現(xiàn)了安全策略。操作系統(tǒng)自下而上分為幾個層次, 每個層次體現(xiàn)不同的功能抽象程度。安全機制在操作系統(tǒng)每個層次上的制約作用都有不同的表現(xiàn)形式，因此安全測評要在各層次上展開。操作系統(tǒng)由文件、網(wǎng)絡(luò)、進程等幾個子系統(tǒng)所組成, 各子系統(tǒng)實現(xiàn)不同的功能以滿足不同的要求, 并且各子系統(tǒng)相互配合以形成一個有機的整體,只有當所有子系統(tǒng)的測試都成功時,才能說明操作系統(tǒng)通過了整個安全測評。3.5、安全操作系統(tǒng)測評標準：多年來TcSEc評估準則一直是人們用來設(shè)計安全操作系統(tǒng)的上要參考標準，因此它也一直是評估多用戶主機和小型操作系統(tǒng)的主要方法。按照TcsEc柴測試系統(tǒng)的安全性，主要包括硬件和

21、軟件兩部分。橘皮書是目前國際上頗具權(quán)威的計算機系統(tǒng)安全標準之一， 它將計算機系統(tǒng)的安全性能由高而低劃分為A、B和C，D四大等級，較高等級的安全范圍涵蓋較低等級的安全范圍，其中D最低保護。橘皮書對操作系統(tǒng)安全等級的劃分只是給出了一個最終的實現(xiàn)目標，并沒有從實現(xiàn)方法上給予規(guī)定，這就導(dǎo)致了在安全操作系統(tǒng)的測試問題上的盲目性和不規(guī)范性，而國外的測試方法和備等級的測試標準又是保密的，因此，盡快探索出一套自己的對于安全操作系統(tǒng)測試的方法和步驟是有必要的。 3.6操作系統(tǒng)安全評測方案及方法 安全操作系統(tǒng)評測方案系統(tǒng)調(diào)用是操作系統(tǒng)提供給用戶的唯一接口，用戶可利用它執(zhí)行系統(tǒng)功能，進行設(shè)備管理、文件管理、進程控制

22、、進程通信、存儲管理和線程管理的相應(yīng)操作，同樣，用戶也可以利用系統(tǒng)調(diào)用的漏洞和不完善性對操作系統(tǒng)進行攻擊和破壞 ，因此，各個系統(tǒng)調(diào)用的安全性就直接關(guān)系到安壘操作系統(tǒng)的整體的安全性。依據(jù)應(yīng)用軟件的測試原則，本文提出對系統(tǒng)調(diào)用的測試，分為以下5個步驟： (1)明確測試對象，即要針對哪一個或幾個系統(tǒng)調(diào)用進行測試，并對待測試系統(tǒng)調(diào)用的運行機制和各種不同的運行結(jié)果力求以深入了解； (2)明確測試目的，根據(jù)所選測試對象的小同，測試目的也會隨之變化，在對單一的系統(tǒng)調(diào)用進行測試時，測試的目的通常是執(zhí)行系統(tǒng)調(diào)用的某些操作，比較結(jié)果是否與預(yù)期相同，如果同時對幾個系統(tǒng)調(diào)用進行測試，往往是看其能否協(xié)同工作； (3)根

23、據(jù)具體的測試對象和測試目的編寫測試用例，明確系統(tǒng)調(diào)用的初始化變量和參數(shù)、執(zhí)行步驟、預(yù)期的結(jié)果等； (4)進行具體的編碼測試； (5)根據(jù)結(jié)果來分析被測對象是否具有預(yù)期的安全性。第四章：安全操作系統(tǒng)的戰(zhàn)略意義4.1安全模型的研究安全模型用來描述系統(tǒng)和用戶的安全特性，是對安全策略所表達的安全需求簡單、抽象、無歧義的描述。安全模型用于精確地定義系統(tǒng)的安全需求，為設(shè)計開發(fā)安全操作系統(tǒng)提供指導(dǎo)方針。非形式化安全模型僅需模擬系統(tǒng)的安全性能。形式化安全模型使用數(shù)學(xué)語言，精確地描述安全性及其在系統(tǒng)中的情況。形式化安全模型是設(shè)計開發(fā)高可信安全操作系統(tǒng)的前提，有了它才能進行系統(tǒng)形式化設(shè)計說明與驗證，并且有可能找出系統(tǒng)的某些