2019年安全操作系统.pptVIP

Linux的安全注意键 在x86平台上是Alt+Ctrl+SYS Rq) 第二章 操作系统的安全机制 概述 标识与鉴别机制 访问控制 最小特权管理 可信通路 安全审计机制 存储保护、运行保护和I/O保护 主流OS的安全机制 2.5 安全审计机制 审计是一种事后分析法，一般通过对日志的分析来完成 日志：记录的事件或统计数据 提供关于系统使用及性能方面的信息 审计： 对日志记录进行分析 以清晰的、能理解的方式表述系统信息 安全审计： 对系统中有关安全的活动进行记录、检查及审核 认定违反安全规则的行为 审计机制的主要作用 主要作用 能详细记录与系统安全有关的行为，并对这些行为进行分析，发现系统中的不安全因素，保障系统安全 能够对违反安全规则的行为或企图提供证据，帮助追查违规行为发生的地点、过程以及对应的主体 对于已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复 安全操作系统一般都要求采用审计机制来监视与安全相关的活动 橘皮书中有明确要求 2.5.1 审计事件 审计事件是系统审计用户动作的基本单位 通常根据要审计行为的不同性质加以分类 主体：要记录用户进行的所有活动 客体：要记录关于某一客体的所有访问活动 用户事件标准 每个用户有自己的待审计事件集 基本事件集 在用户事件标准中，每个用户都要审计的公共部分 橘皮书从C2级开始要求具有审计功能 GB17859-1999从第二级开始就对审计有了明确的要求 关于权能表 用户对自己所拥有的文件 权能拷贝/回收 权能的实现：权限字 权限字是一个提供给主体对客体具有特定权限的不可伪造标识 主体可以建立新的客体，并指定在这些客体上允许的操作，每个权限字标识可以允许的访问 转移和传播权限 权限字的管理 必须存放在内存中不能被普通用户访问的地方，如系统保留区、专用区、被保护区域 基于列的自主访问控制机制 按客体附加一份可以访问它的主体的明细表 两种方式 保护位，UNIX 访问控制表ACL：按用户，细粒度 关于保护位 保护位对客体的拥有者、及其他的主体、主体组（用户、用户组），规定了一个对该客体访问的模式的集合。 保护位的方式，不能完备的表达访问控制矩阵 用户组：具有相似特点的用户集合 拥有者对客体的所有权，只能通过超级用户特权来改变 不考虑超级用户的话，拥有者是唯一能够改变客体保护位的主体 一个用户可能属于多个用户组，但任意时刻只有一个活动的用户组 关于ACL 访问控制表ACL举例 File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x})) ACL的优点：表述直观、易于理解比较容易查出对一个特定资源拥有访问权限的所有用户，有效的实施授权管理 基于列的自主访问控制机制 按客体附加一份可以访问它的主体的明细表 两种方式 保护位，UNIX 访问控制表ACL：按用户，细粒度 访问控制表ACL举例 File1:((ID1,{r,w}),(ID2,{r}),(GROUP1,{w,x})) ACL的优点：表述直观、易于理解 访问控制表方法的问题 客体很多？ 用户的职位、职责变化时? 单纯使用ACL，不易实现最小特权原则和复杂的安全策略 授权管理费力、繁琐、容易出错 在文件和目录中常用的几种访问模式 对文件设置的访问模式 读拷贝（Read－copy） 与单纯的读？？ 写删除（Write－delete） 不同的系统可能有不同的写模式，或复杂的组合（更细致）写附加、删除、写修改等 执行（Execute） 通常需要同时具备读权限 无效（Null）：对客体不具备任何访问权限 考虑目录 对目录及和目录相对应的文件的访问操作 对目录而不对文件实施访问控制 对文件而不对目录实施访问控制 对目录及文件都实施访问控制（最好） 对目录的访问模式 读 写扩展（write－expand） 更细的：读状态、修改、附加 2.2.3 强制访问控制 对于自主访问授权，系统无法区分这是用户的合法操作还是恶意攻击的非法操作 强制访问控制通过强加一些不可逾越的访问限制 防止某些攻击； 还可以阻止某个进程共享文件，并阻止通过一个共享文件向其他进程传递信息 强制访问控制基于安全属性 每个进程/文件/IPC客体都被赋予相应的安全属性 赋予的安全属性，通常不可变，由安全管理员或者OS自动地按照严格的规则来设置 访问时，根据进程的安全属性和客体的安全属性来判断是否允许 代表用户的进程不能改变自身或任何客体的安全属性，也不能改变属于该用户的客体的安全属性 MAC和DAC通常结合在一起使用 MAC，防止其他用户非法入侵自己的文件 DAC，是用户不能通过意外事件和有意识的误操作来逃避安全控制，常用于将系统中的信息分密级和类进行管理，适用于政府部门、军事和金融等领域 当且仅当主体能够同时通过DAC和MAC检查时，才能