操作系統(tǒng)00110課件os ch

1、第8章操作系統(tǒng)安全內(nèi)容提要 第8章 文件管理 本章對操作系統(tǒng)的安全問題和技術(shù)進行綜述性的介紹。首先介紹操作系統(tǒng)安全性的意義、常見的安全威脅源、操作系統(tǒng)的漏洞掃描與安全評測；然后介紹常見的操作系統(tǒng)安全機制硬件安全、標(biāo)識與鑒別、訪問控制、密碼技術(shù)、監(jiān)控與審計日志等；最后介紹Linux的安全機制與Linux的安全漏洞。教學(xué)目標(biāo) 本章掌握操作系統(tǒng)安全性的意義、常見的安全威脅源以及常見的操作系統(tǒng)安全機制、硬件安全、標(biāo)識與鑒別、訪問控制、密碼技術(shù)、監(jiān)控與審計日志等。第8章 文件管理8.1.1 操作系統(tǒng)安全性的含義8.1 操作系統(tǒng)安全概述操作系統(tǒng)的安全性（Security）保障計算機系統(tǒng)中信息資源的機密性、

2、完整性和可用性機密性指文件、數(shù)據(jù)等系統(tǒng)信息資源不被非授權(quán)用戶獲取和使用 完整性 的用戶不能擅自修改系統(tǒng)中的信息，保證系統(tǒng)中的數(shù)據(jù)完整一致可用性保證系統(tǒng)資源能被授權(quán)用戶正常使用 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述1. 病毒病毒：編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼被感染的文件稱為“宿主”，病毒擁有宿主程序的訪問權(quán)限宿主程序執(zhí)行時，病毒程序也被激活，從而破壞計算機的功能、毀壞數(shù)據(jù)8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述1. 病毒具有以下基本特點：隱蔽性病毒程序代碼駐存在磁盤等介質(zhì)上，一般無法

3、通過文件系統(tǒng)觀察到 傳染性當(dāng)用戶利用磁盤、光盤、網(wǎng)絡(luò)等載體交換信息時，病毒程序就趁機以用戶不能察覺的方式隨之傳播 潛伏性破壞性8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述2. 蠕蟲 蠕蟲（Worm Virus）：類似于病毒，具有病毒的共同特征是一個獨立的程序，一旦感染，能夠利用網(wǎng)絡(luò)獨自傳播與復(fù)制其傳播方式主要是遠程訪問和電子郵件，不必通過“宿主”程序或文件例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述2. 蠕蟲 蠕蟲比病毒的破壞性更強：病毒的活動和傳播是被動的，依賴于其宿主文件的執(zhí)行，而

4、蠕蟲是一個獨立的程序，其傳播和復(fù)制是主動的病毒的攻擊對象是本機的文件系統(tǒng)，而蠕蟲的攻擊對象是網(wǎng)絡(luò)連接中的計算機系統(tǒng)，利用系統(tǒng)管理或程序的安全漏洞來破壞計算機系統(tǒng)的正常運行，甚至可以遠程搜集他人的重要文件信息 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述3. 邏輯炸彈 邏輯炸彈（Logic Bomb）：加在現(xiàn)有應(yīng)用程序上的程序一般被添加在應(yīng)用程序的起始處，具有多種觸發(fā)方式 邏輯炸彈不能復(fù)制自身，不能感染其他程序危害包括：程序中斷、發(fā)生刺耳噪音、更改視頻顯示、破壞磁盤上的數(shù)據(jù)、引發(fā)硬件失效異常、操作系統(tǒng)運行速度減慢或系統(tǒng)崩潰等8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述4. 特洛伊

5、木馬 特洛伊木馬（Trojan horse）：指偽裝成一個實用工具或一個可愛的游戲等友好程序，表面上在執(zhí)行合法的任務(wù)，實際上卻具有用戶不曾知曉的非法功能 與病毒程序不同，它是一個獨立的應(yīng)用程序，不具備自我復(fù)制能力 同病毒程序一樣具有潛伏性，且常常具有更大的欺騙性和危害性8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述5. 隱蔽通道 隱蔽通道：系統(tǒng)中不受安全策略控制的、違反安全策略的信息泄露路徑隱蔽存儲通道隱蔽定時通道8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述6. 后門 后門（Back Door）：指后門程序，它能夠繞過完全性控制而獲取對程序或系統(tǒng)的訪問權(quán)8.1.2 操作系統(tǒng)的威脅

6、源8.1 操作系統(tǒng)安全概述8. 間諜軟件 間諜軟件（Spyware）：指沒有獲用戶許可便執(zhí)行某些操作（如彈出廣告、收集個人信息或更改您的計算機配置等）的一類軟件 8.1.2 操作系統(tǒng)的威脅源8.1 操作系統(tǒng)安全概述8. 嗅探 嗅探（Sniff）：一種竊聽手段。一般指使用嗅探器對數(shù)據(jù)流進行非法截獲。它是某種形式的信息泄露，可以獲取敏感信息，如管理員賬號和密碼等機密信息。 8.1.3 操作系統(tǒng)的完全功能8.1 操作系統(tǒng)安全概述操作系統(tǒng)的安全機制，應(yīng)具備下述功能 有選擇的訪問控制 內(nèi)存管理與對象重用 審計能力 數(shù)據(jù)傳送的加密 文件系統(tǒng)加密 進程通信的安全 8.1.4 操作系統(tǒng)漏洞掃描與安全評測的概念

7、8.1 操作系統(tǒng)安全概述操作系統(tǒng)安全掃描的內(nèi)容主要包括： 設(shè)置錯誤 發(fā)現(xiàn)入侵者蹤跡 發(fā)現(xiàn)木馬程序 檢查關(guān)鍵系統(tǒng)文件的完整性1. 操作系統(tǒng)安全漏洞掃描 8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述分析操作系統(tǒng)安全性最精確的方法是形式化驗證。在形式化驗證中，操作系統(tǒng)安全性被簡化為一個要證明的“定理”。定理斷言該安全操作系統(tǒng)是正確的，即它提供了所應(yīng)提供的安全特性。但是證明整個安全操作系統(tǒng)正確性的工作量是巨大的。另外，形式化驗證也是一個復(fù)雜的過程，對于某些大的實用系統(tǒng)，試圖描述及驗證它十分困難。 1. 形式化驗證 8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述2. 非形式化確認

8、包括一些不太嚴(yán)格的讓人們相信程序正確性的方法： 安全需求檢查 設(shè)計及代碼檢查 模塊及系統(tǒng)測試8.1.5 操作系統(tǒng)安全評測方法8.1 操作系統(tǒng)安全概述成立一個稱為“老虎小組”的入侵分析小組，小組成員試圖“摧毀”正在測試中的操作系統(tǒng)?！袄匣⑿〗M”成員應(yīng)當(dāng)掌握操作系統(tǒng)典型的安全漏洞，試圖發(fā)現(xiàn)并利用系統(tǒng)中的這些安全缺陷。如果操作系統(tǒng)的安定性在某一次入侵測試中失效，則說明它內(nèi)部有錯。但是，如果操作系統(tǒng)的安全性在某一次入侵測試中并不失效，不能說明操作系統(tǒng)中沒有任何錯誤。 3. 入侵分析 8.1.6 操作系統(tǒng)安全評測準(zhǔn)則 8.1 操作系統(tǒng)安全概述可信計算機系統(tǒng)評測準(zhǔn)則TCSEC美國國家計算機安全中心（NCS

9、C）于1983年制定信息技術(shù)安全評估準(zhǔn)則ITSEC 俗稱白皮書，歐洲四國（荷、法、英、德）于1989年聯(lián)合提出通用安全評估準(zhǔn)則CC美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、國家安全局（NSA）以及歐洲的荷、法、德、英和加拿大等6國7方聯(lián)合提出。它于1991年宣布，1995年發(fā)布正式文件。 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 我國國家技術(shù)質(zhì)量監(jiān)督局于1999年發(fā)布，序號GB17859-1999。 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制 存儲保護主要指保護用戶在存儲器中的數(shù)據(jù) 存儲保護與存儲器管理是緊密相關(guān)的，存儲保護負責(zé)保證系統(tǒng)中的各個任務(wù)之間互不干擾；存儲器管理則是為了更有效地利用存儲空間。

10、 操作系統(tǒng)可以充分利用硬件提供保護機制進行存儲器的安全保護，現(xiàn)在比較常用的有界址、界限寄存器、重定位、特征位、分段、分頁式和段頁式機制等。 1. 存儲保護 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制分層設(shè)計是實現(xiàn)操作系統(tǒng)安全的重要設(shè)計理念，而運行域是一種在基于分層保護環(huán)的等級結(jié)構(gòu)中實現(xiàn)操作系統(tǒng)安全的技術(shù)。所謂的運行域是指進程運行的區(qū)域，在最內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號的環(huán)是最小的特權(quán)環(huán)。一般的安全操作系統(tǒng)應(yīng)不少于34個環(huán)。 2. 運行保護 8.2.1 硬件安全8.2 操作系統(tǒng)安全的機制絕大多數(shù)情況下,I/O操作是僅由操作系統(tǒng)完成的一個特權(quán)操作，所有操作系統(tǒng)都對讀

11、寫文件操作提供一個相應(yīng)的高層系統(tǒng)調(diào)用，在這些過程中，用戶不需要控制I/O操作的細節(jié)。 3. I/O保護 8.2.2 標(biāo)識與鑒別8.2 操作系統(tǒng)安全的機制標(biāo)識：系統(tǒng)要標(biāo)識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內(nèi)部名稱用戶標(biāo)識符 鑒別：將用戶標(biāo)識符與用戶聯(lián)系的過程，用以識別用戶的真實身份，主要技術(shù)手段包括：口令鑒別、生物鑒別（指紋、視網(wǎng)膜等 ）8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制保護域：進程對一組對象訪問權(quán)的集合，簡稱“域”。進程只能在指定域內(nèi)執(zhí)行操作，這樣域也就規(guī)定了進程所能訪問的對象和所能執(zhí)行的操作1. 保護域 8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制存取矩陣(Acces

12、s Matrix)：矩陣中的行代表域，列代表對象，矩陣中的每一項是由一組訪問權(quán)組成的。存取矩陣中的每一個元素Access(i,j)定義了在域Di中執(zhí)行的進程能對對象所施加的操作集。 2. 存取矩陣 8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制（1）存取控制表：將存取矩陣按列(對象)劃分建立的一張表，在該表中把矩陣中屬于該列的所有空項刪除，構(gòu)成由存取矩陣中的有序?qū)?“域”， 權(quán)集)所構(gòu)成的一張表。 3. 存取矩陣的實現(xiàn) 對象對象-權(quán)限 序?qū)1(D1,R)F2(D1,RW)F3(D2,R)F4(D2,RWX)F5(D2,RW)F6(D3,RWX)Printer(D2,W),(D3,W)Plot

13、ter(D3,W)8.2.3 訪問控制8.2 操作系統(tǒng)安全的機制（2）訪問權(quán)限表 ：將存取矩陣按行存放，對每個域都賦予一張在該域內(nèi)可能訪問的對象表以及每個對象允許進行的操作，這樣的表就稱為訪問權(quán)限表(Capabilities),表中的每一項叫做權(quán)限。3. 存取矩陣的實現(xiàn) 序號（隱含）類型權(quán)限對象0文件R-指向F3的指針1文件RWX指向F4的指針2文件RW-指向F5的指針3打印機-W-指向打印機Printer的指針8.2.4 密碼技術(shù)8.2 操作系統(tǒng)安全的機制密碼技術(shù)：采用數(shù)據(jù)變換的方法實現(xiàn)對信息的保密，它是網(wǎng)絡(luò)操作系統(tǒng)中普遍采用的安全技術(shù)。密碼技術(shù)的模型基本上由以下四部分構(gòu)成： 明文：需要被加

14、密的文本，稱為明文P 密文：加密后的文本，稱為密文Y 加密、解密算法E、D：用于實現(xiàn)從明文到密文，或從密文到明文的轉(zhuǎn)換公式、規(guī)則或程序 密鑰K: 加密和解密算法中的關(guān)鍵參數(shù) 8.2.5 監(jiān)控與審計日志 8.2 操作系統(tǒng)安全的機制 檢測和發(fā)現(xiàn)那些可能的違反系統(tǒng)安全的活動 周期性的對系統(tǒng)進行全面的掃描 1. 監(jiān)控 8.2.5 監(jiān)控與審計日志 8.2 操作系統(tǒng)安全的機制日志文件是安全系統(tǒng)的一個重要組成部分，它記錄了計算機系統(tǒng)所發(fā)生的情況。通常在每次啟動審計時，系統(tǒng)會按照已設(shè)定好的路徑和命名規(guī)則產(chǎn)生一個新的日志文件。 日志文件一般包括事件發(fā)生的日期和時間、事件類型、事件的成功與失敗等。 操作系統(tǒng)必須嚴(yán)

15、格控制對日志文件的訪問權(quán)限，防止其免遭非法訪問和破壞 2. 審計日志 8.3.1 Linux的安全機制8.3 Linux的安全策略8.3.2 Linux的安全漏洞小結(jié)操作系統(tǒng)的安全是計算機系統(tǒng)安全的基礎(chǔ) 病毒是潛入宿主程序的計算機指令或程序代碼，依賴于宿主程序的運行來破壞計算機的功能和數(shù)據(jù) 蠕蟲是一個獨立的程序，利用系統(tǒng)管理或程序的安全漏洞來進行破壞活動，它可以針對網(wǎng)絡(luò)連接的計算機進行主動攻擊 特洛伊木馬不具備復(fù)制功能，它偽裝成合法程序，可以接受攻擊者的控制，常常具有更大的欺騙性和危害性為了建立操作系統(tǒng)的安全機制，可以采取相應(yīng)的安全保護策略。包括硬件安全、標(biāo)識與鑒別、訪問控制、密碼技術(shù)、監(jiān)控與審計日志等小結(jié)為了建立操作系統(tǒng)的安全機制，可以采取相應(yīng)的安全保護策