信息系統(tǒng)安全PPT資料41頁課件

1、信 息 系 統(tǒng) 安 全第四講 操作系統(tǒng)安全張煥國武漢大學(xué)計(jì)算機(jī)學(xué)院目 錄1、信息系統(tǒng)安全的基本概念2、密碼學(xué)(1)3、密碼學(xué)(2)4、操作系統(tǒng)安全(1)5、操作系統(tǒng)安全(2)6、數(shù)據(jù)庫安全(1)7、數(shù)據(jù)庫安全(2)8、可信計(jì)算(1)9、可信計(jì)算(2)一、操作系統(tǒng)安全的概念我們的學(xué)術(shù)觀點(diǎn)： 硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎(chǔ)，密碼、網(wǎng)絡(luò)安全等是關(guān)鍵技術(shù)。 一、操作系統(tǒng)安全的概念1、操作系統(tǒng)是信息系統(tǒng)安全的基礎(chǔ)之一： 操作系統(tǒng)是軟件系統(tǒng)的底層； 操作系統(tǒng)是系統(tǒng)資源的管理者； 操作系統(tǒng)是軟硬件的接口。 2、操作系統(tǒng)安全的困難性 操作系統(tǒng)的規(guī)模龐大，以至于不能保證完全正確。 理論上一般

2、操作系統(tǒng)的安全是不可判定問題。 3、我國必須擁有自己的操作系統(tǒng) 操作系統(tǒng)受治于人，不能從根本上確保信息安全； 立足國內(nèi)，發(fā)展自己的操作系統(tǒng)。二、操作系統(tǒng)的安全評價(jià)1、操作系統(tǒng)安全要求一般對安全操作系統(tǒng)有以下要求： 安全策略：要有明確、嚴(yán)謹(jǐn)、文檔齊全的安全策略 標(biāo)識(shí)：每個(gè)實(shí)體必須標(biāo)識(shí)其安全級(jí)別 認(rèn)證： 每個(gè)主體必須被認(rèn)證 審計(jì)：對影響安全的事件，必須記錄日志，并進(jìn)行 審計(jì)。 保證：系統(tǒng)必須確保上述4項(xiàng)要求被實(shí)施 連續(xù)性保護(hù)：實(shí)現(xiàn)安全的機(jī)制必須是不間斷地發(fā)揮作 用，并且未經(jīng)許可不可改動(dòng)。 二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： D級(jí)：最低的安全保護(hù)級(jí) D級(jí)是最低的安全保護(hù)級(jí)屬

3、于D級(jí)的系統(tǒng)是不安全的除了物理上的一些安全措施外，沒有什幺其它安全用戶只要開機(jī)后就可支配所有資源DOS,WINDOWS 3.2,MOS二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： C1級(jí)：自主安全保護(hù)級(jí) 通過用戶名和口令進(jìn)行身份認(rèn)證每個(gè)用戶對屬于他們自己的客體具有控制權(quán)劃分屬主、同組用戶和其他用戶3個(gè)層次。屬主控制這3個(gè)層次的存儲(chǔ)權(quán)限實(shí)體沒有劃分安全級(jí)別多數(shù)UNIX 、 LINUX ，Windows NT 二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： C2級(jí)：受控制的安全保護(hù)級(jí)系統(tǒng)記錄日志，并進(jìn)行審計(jì)。身份認(rèn)證更強(qiáng)，口令以密文存儲(chǔ)。采用以用戶為單位的自主訪問控制

4、機(jī)制。部分UNIX 、LINUX ，VMS 二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： B1級(jí)：標(biāo)記安全保護(hù)級(jí)采用多級(jí)安全策略采用強(qiáng)制訪問控制強(qiáng)制訪問控制并不取消原來的自主訪問控制，而是在此之外另加的。實(shí)體都劃分安全級(jí)別屬主也不能改變對自己客體的存儲(chǔ)權(quán)限二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： B2級(jí)：結(jié)構(gòu)化的安全保護(hù)級(jí)要有形式化的安全模型更完善的強(qiáng)制訪問控制隱通道分析與處理一般認(rèn)為B2級(jí)以上的操作系統(tǒng)才是安全操作系統(tǒng)Honeywell公司的MULTICS 、TIS公司的Trusted XENIX 3.0 4.0 二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮

5、書（TCSEC）： B3級(jí)：安全域級(jí)把系統(tǒng)劃分為一些安全域，用硬件把安全域互相分割開來，如存儲(chǔ)器隔離保護(hù)等。提供可信路徑機(jī)制，確保用戶與可信軟件是連接的，防止假冒進(jìn)程。更全面的訪問控制機(jī)制。更嚴(yán)格的系統(tǒng)結(jié)構(gòu)化設(shè)計(jì)。更完善的隱通道分析。HFS公司的UNIX XTS-2000 STOP3.1E二、操作系統(tǒng)的安全評價(jià)2、美國國防部的桔皮書（TCSEC）： A1級(jí)：驗(yàn)證安全設(shè)計(jì)級(jí)安全模型要經(jīng)過數(shù)學(xué)證明對隱通道進(jìn)行形式化分析Honeywell公司 SCOMP、波音公司MLS LAN OS注意：分級(jí)的頂端是無限的，還可加入A2、A3級(jí)等。每一級(jí)的安全性都包含前一級(jí)的安全性。二、操作系統(tǒng)的安全評價(jià)2、美國國

6、防部的桔皮書（TCSEC）：DC1C2B1B2B3A1二、操作系統(tǒng)的安全級(jí)別3、中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則： （GB1178592019） 根據(jù)中國國情、參照桔皮書，將其7的級(jí)別合并為5個(gè)級(jí)別 第一級(jí)：用戶自主保護(hù)級(jí)； 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)； 第三級(jí)：安全標(biāo)記保護(hù)級(jí)； 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)； 第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。二、操作系統(tǒng)的安全級(jí)別3、中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第一級(jí)：用戶自主保護(hù)級(jí)；通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。

7、 自主訪問控制 例如：訪問控制表 身份鑒別 例如：口令數(shù)據(jù)完整性 通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。 二、操作系統(tǒng)的安全級(jí)別3、中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；與用戶自主保護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。 自主訪問控制訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個(gè)用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。身份鑒別 通過為用戶提供唯一標(biāo)識(shí)、計(jì)算機(jī)能夠使用戶對自己的行為負(fù)責(zé)。計(jì)算機(jī)還具備將身份標(biāo)識(shí)與該用戶

8、所有可審計(jì)行為相關(guān)聯(lián)的能力。 阻止客體重用 客體只有在釋放且清除原信息后才讓新主體使用審計(jì) 計(jì)算機(jī)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。 二、操作系統(tǒng)的安全級(jí)別3、中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第三級(jí)：安全標(biāo)記保護(hù)級(jí)；具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測試發(fā)現(xiàn)的任何錯(cuò)誤。 強(qiáng)制訪問控制計(jì)算機(jī)對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們

9、是實(shí)施強(qiáng)制訪問控制的依據(jù)。 標(biāo)記 計(jì)算機(jī)應(yīng)維護(hù)與主體及其控制的存儲(chǔ)客體（例如：進(jìn)程、文件、段、設(shè)備）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實(shí)施強(qiáng)制訪問的基礎(chǔ)。二、操作系統(tǒng)的安全級(jí)別3、中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體?？紤]隱蔽通道。必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計(jì)算機(jī)的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測試。加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 二、操作系統(tǒng)的安全級(jí)別3、中國

10、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則：第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)本級(jí)的計(jì)算機(jī)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。 隱蔽信道分析可信路徑 可信恢復(fù) 二、操作系統(tǒng)的安全級(jí)別4、桔皮書和GB117859的局限性 桔皮書注意確保數(shù)據(jù)的秘密性，而沒有注意確保數(shù)據(jù)的真實(shí)性和完整性。 忽略了防范諸如拒絕服務(wù)之類的攻擊。 只給出了評測等級(jí)，沒有給出達(dá)到這種等級(jí)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。二、操作系統(tǒng)的安全級(jí)別5、CC標(biāo)準(zhǔn)： 美國國家安全局、國家技術(shù)標(biāo)準(zhǔn)研究所、法國

11、、加拿大、英國、德國、荷蘭六國七方，聯(lián)合提出了新的“ 信息技術(shù)安全評價(jià)通用準(zhǔn)則”（CC for ITSEC），并于2019年5月正式被ISO頒布為國際標(biāo)準(zhǔn)，。 增強(qiáng)了對真實(shí)性和完整性的保護(hù)。 仍沒有給出達(dá)到標(biāo)準(zhǔn)所要采取的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。三、操作系統(tǒng)的安全機(jī)制操作系統(tǒng)安全的目標(biāo)：對用戶進(jìn)行身份識(shí)別；根據(jù)安全策略，進(jìn)行訪問控制，防止對計(jì)算機(jī)資源的非法存取；標(biāo)識(shí)系統(tǒng)中的實(shí)體；監(jiān)視系統(tǒng)的安全運(yùn)行；確保自身的安全性和完整性。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)多道程序的增長，使得許多實(shí)體需要保護(hù)。 需要受保護(hù)的實(shí)體：存儲(chǔ)器；IO設(shè)備；程序；數(shù)據(jù)。三、操作系統(tǒng)的安全保護(hù)技術(shù)1、實(shí)體保護(hù) 保護(hù)方法：隔離

12、操作系統(tǒng)的一個(gè)基本安全方法是隔離，把一個(gè)客體與其它客體隔離起來。物理隔離：不同的處理使用不同的物理設(shè)備。如，不同安全級(jí)別的處理輸出使用不同的打印機(jī)；三、操作系統(tǒng)的安全機(jī)制隔離時(shí)間隔離：不同安全級(jí)別的處理在不同的時(shí)間執(zhí)行；邏輯隔離：用戶的操作在沒有其它處理存在的情況下執(zhí)行。操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。虛擬機(jī)是軟件是運(yùn)行在硬件之上、操作系統(tǒng)之下的支撐軟件，可以使一套硬件運(yùn)行多個(gè)操作系統(tǒng)，分別執(zhí)行不同密級(jí)任務(wù)。密碼隔離：用密碼加密數(shù)據(jù)，以其它處理不能理解的形式隱藏?cái)?shù)據(jù)三、操作系統(tǒng)的安全機(jī)制隔離然而隔離僅僅是問題的一半。我們除了要對用戶和客體進(jìn)行隔離外，我們還希望能夠

13、提供共享。例如，不同安全級(jí)別的處理能調(diào)用同一個(gè)的算法或功能調(diào)用。我們希望既能夠提供共享，而又不犧牲各自的安全性。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 保護(hù)方法：隔絕當(dāng)操作系統(tǒng)提供隔絕時(shí)，并發(fā)運(yùn)行的不同處理不能察覺對方的存在。每個(gè)處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個(gè)處理，使其它處理的客體完全隱蔽。 三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 存儲(chǔ)器的保護(hù)：多道程序的最重要問題是阻止一個(gè)程序影響另一個(gè)程序的存儲(chǔ)器。這種保護(hù)可以作成硬件機(jī)制，以保護(hù)存儲(chǔ)器的有效使用，而且成本很低。固定地址界限設(shè)置地址界限，使操作系統(tǒng)在界限的一邊，而用戶程序在界限的另一邊。主要是阻止用戶程序破壞操作系統(tǒng)的程序。

14、這種固定界限方式的限制是死扳的，因?yàn)榻o操作系統(tǒng)預(yù)留的存儲(chǔ)空間是固定的，不管是否需要。 三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù)存儲(chǔ)器的保護(hù)：固定地址界限操作系統(tǒng)操作系統(tǒng)硬件地址界限操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 存儲(chǔ)器的保護(hù)：浮動(dòng)地址界限界限寄存器（fence register）：它存儲(chǔ)操作系統(tǒng)的端地址。與固定界限方式不同，這里的界限是可以變化的。每當(dāng)用戶程序要修改一個(gè)地址的數(shù)據(jù)時(shí)，則把該地址與界限地址進(jìn)行比較，如果該地址在用戶區(qū)則執(zhí)行，如果該地址在操作系統(tǒng)區(qū)則產(chǎn)生錯(cuò)誤信號(hào)、并拒絕執(zhí)行。三、操作系統(tǒng)的安全機(jī)制1、客實(shí)體保護(hù) 存儲(chǔ)器的保護(hù)：浮動(dòng)地址界限操作系統(tǒng)操作系統(tǒng)界

15、限寄存器操作系統(tǒng)用戶程序0n-1n高三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 存儲(chǔ)器的保護(hù)：浮動(dòng)地址界限一個(gè)界限寄存器的保護(hù)是單向的。換句話說，可保護(hù)用戶不侵入操作系統(tǒng)區(qū)，但不能保護(hù)一個(gè)用戶對另一用戶區(qū)的侵入。類似地，用戶也不能隔離保護(hù)程序的代碼區(qū)和數(shù)據(jù)區(qū)。 通常采用多對地址界限寄存器，其中一個(gè)為上界，另一個(gè)為下界（或一個(gè)為基址，另一個(gè)為界長）。把程序之間，數(shù)據(jù)之間，堆棧之間隔離保護(hù)起來。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 存儲(chǔ)器的保護(hù)：浮動(dòng)地址界限操作系統(tǒng)程序2上界寄存器操作系統(tǒng)程序30n-1n高操作系統(tǒng)程序1下界寄存器mm+1基址寄存器界長寄存器三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 運(yùn)行保護(hù)：安全

16、操作系統(tǒng)采用分層設(shè)計(jì)；運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域；運(yùn)行域保護(hù)機(jī)制：根據(jù)安全策略，把進(jìn)程的運(yùn)行區(qū)域劃分為一些同心環(huán)，進(jìn)行運(yùn)行的安全保護(hù)。最內(nèi)環(huán)具有最小的環(huán)號(hào)，具有最高的安全級(jí)別；最外環(huán)具有最大的環(huán)號(hào)，具有最低的安全級(jí)別； 內(nèi)環(huán)不受外環(huán)的入侵，卻可利用外環(huán)的資源，并控制外環(huán)。三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) 運(yùn)行保護(hù)：R0R1Rn三、操作系統(tǒng)的安全機(jī)制1、實(shí)體保護(hù) IO保護(hù)：IO保護(hù)是系統(tǒng)中最復(fù)雜的；大多數(shù)情況下，把IO設(shè)備視為文件，且規(guī)定IO是僅由操作系統(tǒng)完成的一個(gè)特權(quán)操作，對讀寫操作提供一個(gè)高層系統(tǒng)調(diào)用。在這一過程中，用戶不控制IO操作的細(xì)節(jié)。三、操作系統(tǒng)的安全機(jī)制2、標(biāo)識(shí)與認(rèn)證標(biāo)識(shí)標(biāo)識(shí)是系統(tǒng)為了正確識(shí)別、認(rèn)證和管理實(shí)體而給實(shí)體的一種符號(hào)；用戶名是一種標(biāo)識(shí)，為的是進(jìn)行身份認(rèn)證；安全級(jí)別也是一種標(biāo)識(shí)，為的是進(jìn)行安全的訪問控制。標(biāo)識(shí)需要管理；標(biāo)識(shí)活性化、智能化，是值得研究的新方向。認(rèn)證在操作系統(tǒng)中主要是用戶的身份認(rèn)證。三、操作系統(tǒng)的安全