第3章网络安全专题.ppt

第3章 操作系统安全 3.1 安全等级标准 3.2 漏洞和后门 3.3 Windows NT系统安全 3.4 UNIX系统安全 3.5 Windows 2000的安全 3.6 Windows XP的安全 3.7 小结 操作系统是计算机中最基本、最重要的软件，是计算机运行的核心。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给多人使用，操作系统必须能区分各种不同的用户，以防止他们相互干扰。但各种操作系统或多或少地存在安全漏洞，给使用者带来了安全威胁。操作系统的漏洞不容忽视。 3.1 安全等级标准 3.1.1 美国的可信计算机系统评估准则 计算机系统安全评价标准是一种技术性法规。由于信息安全产品和系统的安全评价事关国家的安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制定本国的计算机安全评价认证标准。 1983年美国国防部计算机安全保密中心发表了《可信计算机系统评估准则》(TCSEC) 。1985年12月美国国防部正式采用该准则，进行修改后作为美国国防部的标准。它的目的在于提供计算机系统硬件、固件、软件安全技术标准和有关的技术评估方法。 TCSEC标准作为计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级分别为D、C、B、A级，由低到高。D级暂时不分子级。C级分为C1和C2两个子级，C2比C1提供更多的保护。B级分为B1、B2和B3这3个子级，由低到高。A级暂时不分子级。每级包括它下级的所有特性，如表3-1所示。 表3-1 可信计算机系统评估准则 1. D级 D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。硬件和操作系统很容易被侵袭。任何人都可以自由地使用该计算机系统，不对用户进行验证。系统不要求用户进行登记或使用密码。任何人都可以坐在计算机的旁边并使用它。DOS、Windows 3.x及Windows 95(不在工作组方式中)都属于D级的计算机操作系统。 2. C级 该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，它分为C1和C2两个子级。 (1) C1系统的可信任运算基础体制(TCB)通过将用户和数据分开来达到安全的目的。它是一种选择性安全防护系统。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。要求硬件有一定的安全保护。用户在使用计算机系统前必须先登录。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。UNIX系统、Novell 3.x或更高版本、Windows NT都属于C1级兼容计算机操作系统。C1级防护不足之处在于用户 直接访问操作系统的根。C1级不能控制进入系统的用户访问级别，所以用户可以将系统中的数据任意移走。他们可以控制系统配置，获取比系统管理员允许的更高权限，比如改变和控制用户名。 (2) C2系统比C1系统加强了可调的审计控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。另外，系统对发生的事件加以审计(audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计除了可以记录下系统管理员执行的活动以外，还 加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘空间。另一方面，用户权限可以以个人为单位被授权对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。能够达到C2级的常见操作系统有UNIX、Novell 3.x或更高版本、Windows NT。 3. B级 B类安全等级可分为B1、B2和B3这3类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 (1) B1级指符号安全防护，支持多级安全。“符号”是指网上的一个对象，该对象在安全防护计划中是可识别且受保护的。“多级”是指这一安全防护安装在不同级别，对敏感信息提供更高级的保护，让每个对象都有一个敏感标签，而每个用户都有一个许可级别。任何对用户许可级别和成员分类的更改都受到严格控制。B1级安全措施的计算机系统随着计算机系统而定，政府机构和防御承包商们是B1级计算机系统的主要拥有者。 (2) B2级又称为结构防护，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统要求计算机系统中所有对象加标签，而且给设备分配安全级别。如允许用户访问一台