第七章 操作系统的安全与保护（南京大学）.ppt

第七章 操作系统的安全与保护 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统的设计和开发 7.6 实例研究：安全操作系统SELinux 7.7 实例研究：Windows 2000/XP安全机制 7.1 安全性概述 计算机安全性基本内容是对计算机系统的硬件、软件、数据加以保护，不因偶然或恶意原因而造成破坏、更改和泄露，使计算机系统得以连续正常地运行。 物理方面和逻辑方面 操作系统安全性 、 网络安全性 、 数据库安全性 操作系统安全性主要内容 安全策略。描述一组用于授权使用其计算机及信息资源的规则。 安全模型。精确描述系统的安全策略，它是对系统的安全需求，以及如何设计和实现安全控制的一个清晰全面的理解和描述。 安全机制。实现安全策略描述的安全问题，它关注如何实现系统的安全性，包括：认证机制(Authentication)、授权机制(Authorization)、加密机制(Encryption)、审计机制(Audit)、最小特权机制(Least Privilege)等。 安全威胁来自这些方面 1硬件 2软件 3数据 4网络和通信线路 7.2 安全策略 7.2.1 安全需求和安全策略 操作系统安全需求指设计一个安全操作系统时期望得到的安全保障，一般要求系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取。 操作系统的安全需求 机密性(confidentiality)需求 为秘密数据提供保护方法及保护等级的一种特性。 完整性(integrity)需求 系统中的数据和原始数据未发生变化，未遭到偶然或恶意修改或破坏时所具有的一种性质。 可记帐性(accountability)需求 又称审计，指要求能证实用户身份，可对有关安全的活动进行完整记录、检查和审核，以防止用户对访问过某信息或执行过某操作的否认 可用性(availability)需求 防止非法独占资源，每当合法用户需要时保证其访问到所需信息，为其提供所需服务。 安全策略和安全系统 安全策略指用于授权使用其计算机及信息资源的规则、即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则。一个系统可以有一个或多个安全策略，其目的是使安全需求得到保障。 一个计算机系统是安全系统，是指该系统达到了设计时所制定的安全策略的要求，一个安全的计算机系统从设计开始，就要考虑安全问题。安全策略是构建可信系统的坚实基础，而安全策略的制定取决于用户的安全需求。 安全策略分成两类 (1)军事安全策略 主要目的是提供机密性，同时还涉及完整性、可记帐性和可用性。用于涉及国家、军事和社会安全部门等机密性要求很高的单位，一旦泄密将会带来灾难性危害。 (2)商业安全策略 主要目的是提供完整性，但不是惟一的，也涉及机密性、可记帐性和可用性。它要满足商业公司的数据不被随意篡改。例如，一个银行的计算机系统受到完整性侵害，客户账目金额被改动，引起金融上的严重后果。 一个基本概念--TCB 操作系统的安全依赖于具体实施安全策略的可信软件和硬件，计算机系统内安全保护装置的总体，包括硬件、固件、可信软件和负责执行安全策略的管理员的组合体称为可信计算基TCB(Trusted Computing Base)，它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。 TCB的组成 操作系统的安全内核、具有特权的程序和命令、处理敏感信息的程序、实施安全策略的有关文件、相关的固件、硬件和设备、固件和硬件的诊断程序、安全管理员等。 TCB的软件部分是安全操作系统的核心，它能完成以下任务：内核的安全运行、标识系统中的每个用户、保持用户到TCB登录的可信路径、实施主体对客体的访问控制、维护TCB功能的正确性和监视及记录系统中发生的有关事件。 7.2.2 访问支持策略 这类安全策略是为了把系统中的用户与访问控制策略中的“主体”挂起钩来，用户欲进入系统必须要经过“身份认证”，确保试图访问资源的主体实际上就是他声称的主体，于是他才能成为系统中的合法用户，才能访问被授权的相应资源。 (1)标识与鉴别 1)用户标识(identification)：用来标明用户身份，确保用户的惟一性和可辨认性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略，如用户数据保护和安全审计的基础。通过为用户提供标识，TCB能使用户对自己的行为负责。 2)用户鉴别(authentication)：用特定信息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有