操作系统安全性概述.pptxVIP

第4章 操作系统的安全 ;4.1 操作系统安全性概述 4.2 Windows NT/2000的安全 4.3 UNIX/Linux的安全 ;4.1 操作系统安全性概述 ;（4）天窗 天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。天窗由专门的命令激活，一般不容易发现。;4.1.2 操作系统的安全服务 1．用户管理的安全性 首先是用户账号的管理。通常对用户账号进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。 其次是用户口令的加密机制。 最后是认证机制。身份认证机制必须是强有力的，即在用户登录时，与系统的交互过程必须有安全保护，不会被第三方干扰或截取。 ; 账号/密码的认证方案普遍存在着安全的隐患和不足之处，具体有如下几种。 （1）认证过程的安全保护不够健壮，登录的步骤没有进行集成和封装，而是暴露在外，容易受到恶意入侵者或系统内部特洛伊木马的干扰或者截取。 （2）密码的存放与访问没有严格的安全保护。 （3）认证机制与访问控制机制不能很好地相互配合和衔接，使得通过认证的合法用户进行有意或无意的非法操作的机会大大增加。 ;2．访问控制 访问控制系统一般包括以下几个实体。 主体（Subject） 客体（Object） 安全访问政策 ; 访问控制常用的实现方法主要有以下几种。 （1）访问控制矩阵（Access Matrix） 表4.1是一个访问控制矩阵的例子，这个例子将在后面多次用到。; 访问控制矩阵中存在着不少空项，为了减少系统开销与浪费，从主体（行）出发，形成一个链表，以表示某一行的信息，这就是访问能力表，如图4.1所示。;图4.2 访问控制表 ;（4）授权关系表（Authorization Relations List） 用每一行（或称每一个元组）表示主体和客体的一个权限关系，如表4.2所示。; 在访问控制策略方面，计算机系统常采用以下两种策略。 （1）自主访问控制（Discretionary Access Control，DAC） 自主访问控制是一种最为普遍的访问控制手段，它是在确认主体身份以及它们所属组的基础上对访问进行限定的一种方法，其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。 （2）强制访问控制（Mandatory Access Control，MAC） 强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策，这种政策是强制性规定的，用户或用户的程序不能加以修改。 ;4.1.3 操作系统安全性的设计原则与一般结构 （1）最小特权。 （2）机制的经济性。 （3）开放系统设计。 （4）完备的存取控制机制。 （5）基于“允许”的设计原则。 （6）权限分离。 （7）避免信息流的潜在通道。 （8）方便使用。;4.1.4 安全操作系统的发展状况 KSOS（Kernelized Secure Operating System）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，系统的要求如下： ① 与贝尔实验室的UNIX操作系统兼容； ② 实现多级安全性和完整性； ③ 正确性可以被证明。; OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现如下： ? 系统标识； ? 口令管理； ? 强制存取控制和自主存取控制； ? 审计。; UNIX SVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现如下： ? 更全面的存取控制； ? 更小的特权管理； ? 可信通路； ? 隐蔽通道分析和处理。; 1993年，国防科技大学对基于TCSEC标准和UNIX System V 3.2版的安全操作系统SUNIX的研究与开发进行了探讨，提出了一个面向最小特权原则的改进的BLP模型和一个病毒防御模型。 以Linux为代表的自由软件在中国的广泛流行对中国安全操作系统的研究与开发具有积极的推动作用。1999年，中国科学院软件研究所推出了红旗Linux中文操作系统发行版本，同时，开展了基于Linux的安全操作系统的研究与开发工作。; 2000年，我国的安全操作系统研究人员相继推出了一批基于Linux的安全操作系统。中国科学院计算技术研究所研究开发