信息系统安全.ppt

信 息 系 统 安 全 第四讲 操作系统安全 张焕国 武汉大学计算机学院 目 录 1、信息系统安全的基本概念 2、密码学(1) 3、密码学(2) 4、操作系统安全(1) 5、操作系统安全(2) 6、数据库安全(1) 7、数据库安全(2) 8、可信计算(1) 9、可信计算(2) 一、操作系统安全的概念 我们的学术观点： 硬件结构的安全和操作系统的安全是信息系统安全的基础，密码、网络安全等是关键技术。 一、操作系统安全的概念 1、操作系统是信息系统安全的基础之一： ①操作系统是软件系统的底层； ②操作系统是系统资源的管理者； ③操作系统是软硬件的接口。 2、操作系统安全的困难性 ①操作系统的规模庞大，以至于不能保证完全正确。 ②理论上一般操作系统的安全是不可判定问题。 3、我国必须拥有自己的操作系统 ①操作系统受治于人，不能从根本上确保信息安全； ②立足国内，发展自己的操作系统。 二、操作系统的安全评价 1、操作系统安全要求 一般对安全操作系统有以下要求： ① 安全策略：要有明确、严谨、文档齐全的安全策略 ② 标识：每个实体必须标识其安全级别 ③ 认证： 每个主体必须被认证 ④ 审计：对影响安全的事件，必须记录日志，并进行 审计。 ⑤ 保证：系统必须确保上述4项要求被实施 ⑥ 连续性保护：实现安全的机制必须是不间断地发挥作 用，并且未经许可不可改动。 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ① D级：最低的安全保护级 D级是最低的安全保护级 属于D级的系统是不安全的 除了物理上的一些安全措施外，没有什幺其它安全 用户只要开机后就可支配所有资源 DOS,WINDOWS 3.2,MOS 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ② C1级：自主安全保护级 通过用户名和口令进行身份认证 每个用户对属于他们自己的客体具有控制权 划分属主、同组用户和其他用户3个层次。属主控制这3个层次的存储权限 实体没有划分安全级别 多数UNIX 、 LINUX ，Windows NT 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ③ C2级：受控制的安全保护级 系统记录日志，并进行审计。 身份认证更强，口令以密文存储。 采用以用户为单位的自主访问控制机制。 部分UNIX 、LINUX ，VMS 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ④ B1级：标记安全保护级 采用多级安全策略 采用强制访问控制 强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。 实体都划分安全级别 属主也不能改变对自己客体的存储权限 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ⑤ B2级：结构化的安全保护级 要有形式化的安全模型 更完善的强制访问控制 隐通道分析与处理 一般认为B2级以上的操作系统才是安全操作系统 Honeywell公司的MULTICS 、TIS公司的Trusted XENIX 3.0 4.0 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ⑥ B3级：安全域级 把系统划分为一些安全域，用硬件把安全域互相分割开来，如存储器隔离保护等。 提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。 更全面的访问控制机制。 更严格的系统结构化设计。 更完善的隐通道分析。 HFS公司的UNIX XTS-2000 STOP3.1E 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： ⑦ A1级：验证安全设计级 安全模型要经过数学证明 对隐通道进行形式化分析 Honeywell公司 SCOMP、波音公司MLS LAN OS 注意： 分级的顶端是无限的，还可加入A2、A3级等。 每一级的安全性都包含前一级的安全性。 二、操作系统的安全评价 2、美国国防部的桔皮书（TCSEC）： 二、操作系统的安全级别 3、中国计算机信息系统安全保护等级划分准则： （GB117859－1999） 根据中国国情、参照桔皮书，将其7的级别合并为5个级别 ①第一级：用户自主保护级； ②第二级：系统审计保护级； ③第三级：安全标记保护级； ④第四级：结构化保护级； ⑤第五级：访问验证保护级。 二、操作系统的安全级别 3、中国计算机信息系统安全保护等级划分准则： ①第一级：用户自主保护级； 通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多