2-计算机系统安全终稿.ppt

第2讲 计算机系统安全 杨 明 紫金学院计算机系 内容 操作系统的访问控制 操作系统的安全级别 Windows NT的安全机制 计算机系统安全 操作系统 运行于裸机之上的第一层系统软件 提供人机接口 管理和控制计算机资源 操作系统提供哪些安全服务？ 操作系统的安全措施 标识系统中的用户，并对身份进行鉴别 资源的访问控制 事件跟踪与安全审计 日志：记录的事件或统计数据 审计是一种事后分析法，一般通过对日志的分析来完成 安全审计对系统中有关安全的活动进行记录、检查及审核，认定违反安全规则的行为 用户标识与账号 标识：用户要向系统表明的身份 用户名、登录ID、身份证号或智能卡 应当具有唯一性，不能被伪造 身份认证的方法 证实自己所知道的 例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等 出示自己所拥有的 例如智能卡 证明自己是谁 例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等 表现自己的动作 例如签名、键入密码的速度与力量、语速等等 系统的访问控制机制 访问控制的概念 身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式访问。 访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。 访问控制是建立在身份认证之上的操作权限控制。 访问控制的基本概念 访问控制模型 主体使用某种特定的访问操作去访问一个被动的客体，所使用的特定的访问操作受访问监视器控制。 访问权限的概念 Bell-LaPadula安全模型 在基本层面上， BLP模型定义了两种访问方式： 观察（Observe）：查看客体的内容。 改变（Alter）：改变客体的内容。 在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。 Unix系统的访问权限 Unix的访问控制权限 读（read）、写（write）、执行（execute）。 访问控制的实施策略 目的 访问权限的组织和授权方式 确保主体对客体的访问是经过授权的 拒绝非授权的访问 主要的访问控制机制 自主访问控制（DAC） 强制访问控制（MAC） 自主访问控制 基本机制 拥有资源的一定访问权限的主体，在其拥有的资源范围内，可以自主地直接或间接地将权限传给其他主体，或者收回访问权限。 这是目前计算机系统中应用最广泛的一种策略，Unix和Windows系统都是采用自主型的访问控制策略。 DAC的优点是应用灵活。缺点是权限传递很容易造成漏洞，所以其安全级别比较低，不太适合网络环境。 强制访问控制 基本机制 系统（系统管理员）给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性。 主体和客体被赋予一定的安全级别 当用户提出访问请求时，系统对主、客体的安全属性进行比较，来决定该主体是否可以对所请求的客体进行访问。 MAC主要用于多层次安全级别的系统（如军事系统）中。 强制访问控制 在典型的应用中，MAC使用两种访问控制关系 下读原则：主体安全级别≥客体安全级别?可读 上写原则：主体安全级别≤客体安全级别?可写 下读/上写——用来保证数据机密性。 上级领导可以看下级的资料； 而下级不能看上级的资料，但可以向上级写资料。 MAC特点 比DAC具有更强的访问控制能力。 实现的工作量大，管理不便，不够灵活。 操作系统评估标准 可信计算机评估准则 1983年美国“可信计算机标准评价准则”(TCSEC) 1991年，欧洲国家联合提出欧洲“信息技术安全评估准则”（ITSEM） 1996年，信息技术安全评价通用准则 操作系统的安全等级 美国国防部的“可信计算机系统评估准则（TCSEC）” D级 特征 最低的安全保护等级 没有系统访问限制和数据访问限制 计算机系统是不可信的 例 DOS Windows Macintosh system 7.1 C级 C级：选择性安全保护系统 有两个安全子级别：C1和C2。 C1级 对硬件有某种程度的保护：用户拥有注册账号和口令 系统通过账户和口令控制用户对系统和数据的访问 设置超级用户或系统管理员，具有完全的系统控制权 C1级用户能直接访问超级用户 C1级不能控制进入用户的访问级别 C级 C2级 包含C1级特性 有控制的存取保护，能限制用户执行某些命令或访问某些文件的权限。 增加了身份验证级别，非超级用户可执行系统管理任务 事件日志和审计 授权 例 UNIX，Novell3.x，Lixnux，Windows NT，Windows 2000 server B级 B级 属强制保护 要求数据中带有标记，提供对数据流的监视 分为B1，B2，B3三个级别 B1级 标识安全保护