第7章操作系統(tǒng)的安全

《計算機網(wǎng)絡安全》

課程講義清華大學出版社1第七章操作系統(tǒng)的安全2本章內(nèi)容操作系統(tǒng)安全的現(xiàn)狀計算機安全等級及信息安全技術評估準則

單點登錄機制

主流操作系統(tǒng)的主要安全機制

3學習目標了解操作系統(tǒng)安全的現(xiàn)狀了解計算機安全等級及信息安全技術評估準則

了解單點登錄機制

了解主流操作系統(tǒng)的主要安全機制

47.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

計算機系統(tǒng)由硬件、軟件和數(shù)據(jù)組成。在計算機系統(tǒng)的運行中，操作系統(tǒng)提供了合理利用這些資源的途徑。操作系統(tǒng)一般具有4個基本特征：并發(fā)性、共享性、虛擬性和不確定性。57.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（1）進程管理進程管理指的是操作系統(tǒng)調(diào)整復數(shù)進程的功能。除了進程管理之外，OS還擔負進程間通訊、進程異常終止處理以及死鎖偵測及處理等任務。（2）內(nèi)存管理OS的內(nèi)存管理提供尋找可用的記憶空間、配置與釋放記憶空間、交換內(nèi)存和低速儲存設備的內(nèi)含物等功能

67.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（3）磁盤與文件系統(tǒng)

文件系統(tǒng)通常指的是管理磁盤數(shù)據(jù)的系統(tǒng)，其可將數(shù)據(jù)以目錄或文件的型式儲存。每個文件系統(tǒng)都有自己特殊的格式與功能。OS擁有多種內(nèi)置文件系統(tǒng)。（4）網(wǎng)絡許多現(xiàn)代的OS都具備操作主流網(wǎng)絡通訊協(xié)議TCP/IP的能力。這就使得操作系統(tǒng)可以進入網(wǎng)絡世界，并且與其他系統(tǒng)分享如文件、打印機與掃描機等資源。77.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（5）安全OS為外界提供直接或間接存取數(shù)種資源的管道；OS有能力認證資源存取的請求，允許通過認證的請求并拒絕無法通過的非法請求。（6）內(nèi)部信息安全內(nèi)部信息安全可視為防止正在執(zhí)行的程序任意存取系統(tǒng)資源的手段。

87.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)的原理知識

（7）外部信息安全一個操作系統(tǒng)通常會為其他網(wǎng)絡上的電腦或使用者提供各種服務。這些服務通常借由端口或OS網(wǎng)絡地址后的數(shù)字存取點提供。外部信息安全的最前線，是防火墻等的硬件設備。在OS內(nèi)部也常常設置許多種類的軟件防火墻。

97.1操作系統(tǒng)安全性的基本概念操作系統(tǒng)安全威脅的類型

107.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標準

國際標準化組織采納了由美、英等國提出的“信息技術安全評價公共準則（CC）”作為國際標準。CC為相互獨立的機構對相應信息技術安全產(chǎn)品進行評價提供了可比性。

117.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標準

1.可信任計算機系統(tǒng)評價標準（TCSEC）美國國防部在20世紀80年代中期制定了一組計算機系統(tǒng)安全需求標準，其中核心的是具有橙色封皮的“可信任計算機系統(tǒng)評價標準”，簡稱為“橙皮書”。該標準將計算機系統(tǒng)的安全程度劃分為8個等級：D1、C1、C2、B1、B2、B3、A1和A2。

127.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標準

TCSEC在操作系統(tǒng)級上提出的可信計算機基礎TCB包含的安全內(nèi)容有：操作系統(tǒng)內(nèi)核、具有特權的程序與命令、具有處理敏感信息的程序、與實施安全策略有關的文檔資料、保障硬件正確運行的程序和診斷程序、構成系統(tǒng)的可信硬件、負責管理系統(tǒng)的人員。137.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標準

2.國內(nèi)的安全操作系統(tǒng)評估標準《信息技術安全性評估準則》GB/T183362001。該準則將操作系統(tǒng)安全分為五個級別，分別是用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構化保護級和訪問驗證保護級。

147.1操作系統(tǒng)安全性的基本概念安全操作系統(tǒng)評價標準

2.國內(nèi)的安全操作系統(tǒng)評估標準

157.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護方法

1.備份數(shù)據(jù)建議各級用戶都要及時妥善備份自有的數(shù)據(jù)，如歷年資料、重要方案、管理文獻、重要數(shù)據(jù)等，并且要備份到本機之外的存儲介質(zhì)上。2.預防病毒提高系統(tǒng)的自我保護能力，經(jīng)常進行系統(tǒng)更新；安裝防殺病毒的軟件，及時升級殺毒軟件，定期使用殺毒軟件掃描系統(tǒng)。167.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護方法

3.病毒查殺電腦在感染病毒后，總是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象。停止對電腦的任何操作，啟動殺毒軟件，對整個硬盤進行病毒查殺。特殊情況下還需要斷開網(wǎng)絡，在安全模式下殺毒。4.后期處理如果受破壞的是系統(tǒng)軟件，并且染毒程度比較重，可能導致系統(tǒng)不能啟動或正常使用。在殺毒完畢后，需要針對不同的操作系統(tǒng)進行修復性措施。

177.1操作系統(tǒng)安全性的基本概念常見的系統(tǒng)安全保護方法

5.防ARP攻擊ARP攻擊是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，從而在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞。比較常用的ARP工具主要用來檢測ARP攻擊，其工作原理是以一定頻率向網(wǎng)絡廣播正確的ARP信息。187.2單點登錄的訪問管理單點登錄的概念

單點登錄（SSO）是目前比較流行的企業(yè)業(yè)務整合的解決方案之一，指的是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。根據(jù)登錄的應用類型不同，可分為：

1）對桌面資源的統(tǒng)一訪問管理。

2）Web單點登錄（Web-SSO）197.2單點登錄的訪問管理單點登錄的概念

Web單點登錄訪問管理系統(tǒng)示意圖：207.2單點登錄的訪問管理SSO實現(xiàn)機制

第一次訪問應用系統(tǒng)A時，由于還沒有登錄，用戶會被引導至認證系統(tǒng)中進行登錄。根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份驗證，若通過，認證系統(tǒng)返回給用戶一個認證的憑據(jù)（Ticket）。用戶再訪問別的應用時，會帶上這個Ticket作為自己認證的憑據(jù)。應用系統(tǒng)接受到請求之后將Ticket送入認證系統(tǒng)進行驗證，若合法則通過驗證，用戶就可以在不用再次登錄的情況下訪問系統(tǒng)B或系統(tǒng)C了。

217.2單點登錄的訪問管理SSO實現(xiàn)機制

要實現(xiàn)SSO，需要實現(xiàn)以下主要的功能：1）所有應用系統(tǒng)共享一個身份認證系統(tǒng)。統(tǒng)一的認證系統(tǒng)是SSO的一個前提。認證成功后，認證系統(tǒng)應該生成統(tǒng)一的認證標志返回給用戶。

2）所有應用系統(tǒng)能夠識別和提取Ticket信息。應用系統(tǒng)需要對Ticket進行識別和提前，通過與認證系統(tǒng)的通信，自動判斷出當前用戶是否已經(jīng)登錄過，從而完成單點登錄的功能。227.2單點登錄的訪問管理WEB-SSO的實現(xiàn)

Web-SSO可以利用cookie技術來完成用戶登錄信息的保存，將瀏覽器中的cookie和Ticket結(jié)合起來，完成SSO的功能。為了完成一個簡單的WEB-SSO的功能，需要兩個部分的合作：1）統(tǒng)一的身份認證服務。2）修改Web應用，使得每個應用都通過這個統(tǒng)一的認證服務來進行身份校驗。237.2單點登錄的訪問管理WEB-SSO的實現(xiàn)

實現(xiàn)WEB-SSO的技術主要有：（1）基于cookies實現(xiàn)（2）Broker-based（基于經(jīng)紀人）（3）Agent-based（基于代理人）（4）Token-based（基于票據(jù)）（5）基于網(wǎng)關（6）基于安全斷言標記語言（SAML）247.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1.UNIX安全

UNIX是一個強大的多用戶、多任務操作系統(tǒng)，支持多種處理器架構。其應用基于相互信任的環(huán)境，如研究所、實驗室、大學等，采用了一般的安全機制。UNIX的超級權限是“超級用戶”，“超級用戶”能完成系統(tǒng)中的任何操作，因此也成為攻擊的對象。

257.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

UNIX系統(tǒng)的安全性在不斷增加，并出現(xiàn)了許多安全檢測工具，如Quest、UXA、Alert/Inform、Sfind、USECURE、Kerberos等。系統(tǒng)管理員通過安全檢測工具檢測安全機制、權限和安全域設置、可疑入侵和特洛伊木馬等。在目前的UNIX系統(tǒng)中，常規(guī)UNIX具有C1級安全級別，OSF/1具有B1的安全級別，USL的SVR4/ES則具有B2的安全級別。

267.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2.LINUX安全

Linux的安全級基本達到了C2級。安全機制主要有：PAM機制、文件系統(tǒng)加密、入侵檢測機制、安全日志文件機制、強制訪問控制和防火墻機制等。

277.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

1）PAM機制PAM是一套共享庫，提供一個框架和一套編程接口給系統(tǒng)管理員，由系統(tǒng)管理員在多種認證方法中選擇適宜的認證方法，并能夠改變本地認證方法而無需重新編譯與認證相關的程序。

287.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

2）文件系統(tǒng)加密文件系統(tǒng)加密是將加密技術應用到文件系統(tǒng)，從而提高計算機系統(tǒng)的安全性。目前的Linux已具有多種加密文件系統(tǒng)，如CFS、TCFS、CRYPTFS等。

TCFS能使合法擁有者以外的用戶、用戶和遠程文件系統(tǒng)通信線路上的偷聽著、文件系統(tǒng)服務器的超級用戶不可讀取其保密文件。而對于合法用戶，訪問保密文件與訪問普通文件幾乎沒有區(qū)別。

297.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

3）入侵檢測機制入侵檢測能力包括：記錄入侵企圖，當攻擊發(fā)生時及時通知管理員；當預先定義的攻擊行為發(fā)生時，采取預定義的措施處理；發(fā)出一些錯誤信息，以增加攻擊的難度。

307.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

4）安全日志文件機制日志是Linux安全結(jié)構中的一個重要內(nèi)容，它是提供攻擊發(fā)生的唯一真實證據(jù)。Linux會記錄網(wǎng)絡、主機和用戶級的日志信息，是調(diào)查網(wǎng)絡入侵者時不可缺少的證據(jù)。

317.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

5）強制訪問控制

由于Linux是一種自由操作系統(tǒng)，當前在其平臺上實現(xiàn)強制訪問控制的產(chǎn)品包括SELinux、RSBAC、MAC等，采用的策略也各不相同。327.3主流操作系統(tǒng)的安全性

UNIX/LINUX的安全

6）防火墻機制

Linux防火墻系統(tǒng)提供了訪問控制、審計、抗攻擊和其他附屬功能。其中，實現(xiàn)訪問控制的方法是執(zhí)行基于地址（源和目標）、用戶和事件的訪問控制策略，從而可以禁止非授權的訪問，同時還能保護內(nèi)部用戶的合法訪問。

337.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

WindowsNT的安全級別達到TCSEC的C2級。作為WindowsNT的后續(xù)版本，Windows2000/XP提供更多的新的安全機制。

1.活動目錄服務活動目錄為用戶、硬件、應用以及網(wǎng)絡上傳輸?shù)臄?shù)據(jù)提供了一個存儲中心。

347.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

活動目錄使用域、組織單元和對象組織網(wǎng)絡資源。

357.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

2.Kerberos審計協(xié)議Kerberos協(xié)議為客戶/服務器建立連接前提供一種交互審計的機制，其特點有以下幾點：1）在建立初始連接時增強服務器認證性能。

2）多層客戶機/服務器應用的認證委派。3）具有穿越信任關系的域間認證。

367.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

3.PKI

公鑰加密主要用在互聯(lián)網(wǎng)一類的開放網(wǎng)絡運行，用戶通過證書進行數(shù)據(jù)加密、數(shù)據(jù)簽名和身份驗證，其基本組件包括：證書服務、活動目錄、基于PKI的應用、交換密鑰管理服務。Windows2000PKI提供的安全功能具有互操作性、安全性、靈活性以及易用性等特點。

377.3主流操作系統(tǒng)的安全性

Windows2000/XP的安全

4.智能卡智能卡是用一種相對簡單的方式使非授權人更難獲得訪問網(wǎng)絡的權限?；谝韵聨讉€特征，智能卡認證比口令認證具有更高的安全性：

1