第四章操作系统的安全.pptVIP

第4章 操作系统的安全;4.1 操作系统安全性概述;特洛伊木马必须具有以下几项功能才能成功地入侵计算机系统： ① 入侵者要写出一段程序进行非法操作，程序的行为方式不会引起用户的怀疑； ② 必须设计出某种策略使受骗者接受这段程序； ③ 必须使受骗者运行该程序； ④ 入侵者必须有某种手段回收由特洛伊木马发作而为他带来的实际利益。;（3）隐蔽通道 （4）天窗;4.1.2 操作系统的安全服务 操作系统的安全服务主要包括以下两个方面。 1．用户管理的安全性 账号/密码的认证方案普遍存在着安全的隐患和不足之处，具体有如下几种。 （1）认证过程的安全保护不够健壮，登录的步骤没有进行集成和封装，而是暴露在外，容易受到恶意入侵者或系统内部特洛伊木马的干扰或者截取。;（2）密码的存放与访问没有严格的安全保护。 （3）认证机制与访问控制机制不能很好地相互配合和衔接，使得通过认证的合法用户进行有意或无意的非法操作的机会大大增加。 2．访问控制 访问控制系统一般包括以下几个实体。 ? 主体（Subject） ? 客体（Object） ? 安全访问政策;访问控制常用的实现方法主要有以下几种。 （1）访问控制矩阵（Access Matrix）;;（2）访问能力表（Access Capability List） （3）访问控制表（Access Control List）;图4.1 访问能力表 ; 图4.2 访问控制表 ;（4）授权关系表（Authorization Relations List）;主 体;在访问控制策略方面，计算机系统常采用以下两种策略。 （1）自主访问控制（Discretionary Access Control，DAC） （2）强制访问控制（Mandatory Access Control，MAC）;4.1.3 操作系统安全性的设计原则与一般结构 （1）最小特权 （2）机制的经济性 （3）开放系统设计 （4）完备的存取控制机制 （5）基于“允许”的设计原则 （6）权限分离 （7）避免信息流的潜在通道 （8）方便使用;图4.3 安全操作系统的一般结构;4.1.4 安全操作系统的发展状况 KSOS（Kernelized Secure Operating System）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，系统的要求如下： ① 与贝尔实验室的UNIX操作系统兼容； ② 实现多级安全性和完整性； ③ 正确性可以被证明。; OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现如下： ? 系统标识； ? 口令管理； ? 强制存取控制和自主存取控制； ? 审计。; UNIX SVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现如下： ? 更全面的存取控制； ? 更小的特权管理； ? 可信通路； ? 隐蔽通道分析和处理。; DTOS原型系统以Mach为基础，具有以下设计目标。 ① 政策灵活性。 ② Mach兼容性。 ③ DTOS内核的性能应该与Mach内核的性能相近。;4.2 Windows NT/2000的安全;1．登录过程（Logon Process） 2．本地安全认证（Local Security Authority，LSA） 3．安全账号管理器（Security Account Manager，SAM） 4．安全参考监视器（Security Reference Monitor，SRM） ;4.2.2 Windows NT/2000的登录控制 1．登录过程 （1）本地登录过程（如图4.5所示）;图4.5 本地登录过程;① 用户按Ctrl+Alt+Del键，引起硬件中断，被系统捕获，这样使操作系统激活WinLogon进程。 ② WinLogon进程通过调用标识与鉴别DLL，将登录窗口（账号名和口令登录提示符）展示在用户面前。 ③ WinLogon进程发送账号名和加密口令到本地安全认证（LSA）。;④ 如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。 ⑤ WinLogon进程传送访问令牌到Win32模块，同时发出一个请求，以便为用户建立登录进程。 ⑥ 登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。 （2）网络登录过程（如图4.6所示）;图4.6 网络登录Windows NT/2000服务器的过程;① 用户将用户名和