《网络安全技术》课件第3章.ppt

1、第3章 操作系统安全3.1 安全操作系统概述3.2 操作系统帐户安全3.3 操作系统资源访问安全3.4 操作系统安全策略3.5 我国安全操作系统现状与发展3.6 操作系统安全实例习题3.1 安全操作系统概述由于计算机操作系统是网络信息系统的核心，其安全性占据着十分重要的地位，因此，网络环境的计算机操作系统的安全检测和评估是非常重要的。国际上建立了计算机系统安全评估标准。评估标准是一种技术性法规，安全操作系统必须符合评估标准的安全规定。在信息安全这一特殊领域，如果没有可遵循的计算机系统安全评估标准，则与此相关的立法、执法就难以建立健全，就会给国家的信息安全带来严重的后果。国际上已经在操作系统的检

2、测和评估方面做了大量的工作。此外，国际标准化组织和国际电工委也已经制定了上百项安全标准，其中包括专门针对银行业务制定的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。3.1.1 可信计算机安全评估准则可信计算机安全评估准则(TCSEC)于1970年由美国国防部提出，是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC将计算机系统的安全划分为4个等级(D、C、B、A)、8个级别(D1、C1、C2、B1、B2、B3、A1、超A1)，从D1开始，等级不断提高，可信度也随之增加，风险也逐渐减少。1.D类安全等级D类安全等级又叫无保护级，它只包括D1一个级别。D1的安

3、全等级最低，任何人无需经过身份验证就可以进入计算机使用系统中的任何资源，也没有任何硬件保护措施，因此，硬件系统和操作系统非常容易被攻破。常见的D1级操作系统有DOS、Windows 3.x、Windows 95/98(工作在非网络环境下)、Apple的Macintosh System7.1。2.C类安全等级C类安全等级又叫自主保护级，它能够提供审慎的保护，并为用户的行动和责任提供审计能力。一般只适用于具有一定等级的多用户环境，具有对主体责任及其动作审计的能力。C类安全等级可划分为C1和C2两类。(1)C1级。C1级称为自主安全保护级。C1系统的可信计算基通过将用户和数据分开来达到安全的目的，要

4、求用户在使用系统之前先通过身份验证，保护一个用户的文件不被另一个未授权用户获取。C1级的不足之处是不能控制进入系统的用户的访问级别，用户可以拥有与系统管理员相同的权限，可以将系统中的数据随意移动，也可以更改系统配置。常见的C1级操作系统有标准Unix。(2)C2级。C2级称为控制访问保护级，它除了具有C1系统中所有的安全性特征外，还完善了C1系统的自主存取控制，增加了用户权限级别，系统管理员可以按照用户的职能对用户进行分组，统一为用户组指派一定的权限。除此之外，C2级还增加了可靠的审计控制。系统通过登录过程、安全事件和资源隔离来增强这种控制。常见的C2级操作系统有Unix、Xenix、Nove

5、ll 3.x或更高版本、Windows NT等。3.B类安全等级B类安全等级称为强制保护级，要求TCB维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。B类系统中的主要数据结构必须携带敏感标记，可信计算机利用它去实施强制访问控制。B类安全等级可分为B1、B2和B3三类。(1)B1级。B1级称为标记安全保护级。B1级除了具有C1系统中所有的安全性特征之外，还要对网络控制下的每个对象都进行灵敏度标记，系统使用灵敏度标记来决定强制访问控制的结果，并且不允许文件的拥有者改变其对象的许可权限。(2)B2级。B2系统称为结构化保护级，它必须满足B1系统的所有要求。同时，要求自主和强制访问控制扩展

6、到所有的主体与客体，只有用户能够在可信任通信路径中进行初始化通信，并且可信任运算基础体制能够支持独立的操作者和管理员。(3)B3级。B3级称为安全区域保护级，系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统专设有安全管理员，将系统操作员和安全管理员的职能分离，将人为因素对计算机安全的威胁减少到最小。B3系统除了控制对个别对象的访问外，还提供对对象没有访问权的用户列表，并且扩充了审计机制，能够验证每个用户，为每一个被命名的对象建立安全审计跟踪。当发生与安全相关的事件时，系统能够发出信号并提供系统恢复机制。4.A类安全等级A类安全等级称为验证保护级，

7、它的安全级别最高。A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息。为证明可信计算基(Trusted Computing Base，TCB)满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息。目前，A类安全等级包含A1级和超A1级两类。(1)A1级。A1级与B3级相似，对系统的结构和策略没有增加特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。(2)超A1级。超A1级在A1级基础上增加的许多安全措施超出了目前的技

8、术发展，目前没有明确的要求，今后，形式化的验证方法将应用到源码一级，并且时间隐蔽信道将得到全面的分析。3.1.2 安全操作系统特征安全操作系统的含义是在操作系统的工作范围内，对整个软件信息系统的最底层进行保护，提供尽可能强的访问控制和审计机制，在用户和应用程序之间、系统硬件和资源之间进行符合安全政策的调度，限制非法的访问。按照有关信息系统安全标准的定义，安全的操作系统至少要有如下的特征：1.最小特权原则所谓最小特权(Least Privilege)，指的是在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必需的最小特权，确保可能的事故、

9、错误、网络部件的篡改等原因造成的损失最小，是系统安全中最基本的原则之一。最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，不要动辄就运用其所有的特权，以此减少错误的发生率，也减少入侵者的侵入机会，降低事故、错误或攻击带来的危害。同时，最小特权原则还减少了特权程序之间潜在的相互作用，降低了对系统内部的影响。2.自主访问控制自主访问控制(Discretionary Access Control,DAC)就是用户可以根据文件系统访问控制列表(Access Control List，ACL)决定属于自己的文件和目录对于系统中其他用户的访问权限。比如，用户可以把一个属于自己的文件，设置为对用

10、户A只读，对用户B可写，对其他用户不可访问。这样，基于ACL的自主访问控制细化了系统的权限管理，有利于多用户系统的安全设置。3.强制访问控制强制访问控制(Mandatory Access Control,MAC)是系统强制主体服从访问控制政策，其主要特征是对所有主体及其所控制的客体(如进程、文件、段、设备)实施强制访问控制。系统为这些主体及客体指定敏感标记，通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其他客体的敏感标记，从而系统可以防止木马的攻击。4.安全审计和审计管理安全审计记录了所有用户关心的安全事件，包括敏感资源的访问记录和所有未授权的非

11、法访问企图，是作为信息犯罪取证和系统安全监督的不可或缺的安全机制。系统安全审计功能应该不会被人恶意中断，审计记录也应该是无法随意删除的并且应该可以被导入到数据库，以方便管理、访问和查询。5.安全域隔离安全域隔离是基于业界领先的角色访问控制技术，是由操作系统核心强制执行的一种安全机制。它实现了对应用实行安全策略保护，这种策略规定，只有在同一安全域中的程序才可以访问域中的那些敏感或重要的资源，比如DNS的记录，或者是Web服务器的页面。安全域隔离对于防止一些缓冲区溢出攻击、系统重要资源完整性保护有显而易见的作用。6.可信通路可信通路(Trusted Path)是终端人员能借以直接同TCB通信的一种

12、机制。该机制只能由有关终端人员或可信计算基启动，并且不能被不可信软件所模仿。有了这些最底层的操作系统安全功能，各种作为“应用软件”的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制。例如，对于普通的操作系统而言，某个蠕虫病毒可以利用操作系统上某个服务的漏洞，入侵系统，修改系统命令，在某个目录留下运行代码，篡改网页，再入侵别的服务器。而在安全操作系统之下，通过限制一切未经授权的“陌生”代码写系统命令或配置文件，让任何人对该目录不可写，利用安全域隔离，限制每个服务进程的“权限范围”。这样层层保护，使病毒没有了生存的基础，自然不能对系统进行破坏和传播。安全操作系统不但要强调安全，也要强调应用，对

13、硬件有良好的兼容性。一个完全封闭的系统，也许在安全性上很优秀，但它只能运行在特定的硬件上，也只能运行为数不多的应用程序，更只有少数专家才能控制它。除了为特定需求定制的特定系统之外，这样的操作系统恐怕也没有它的实际价值。所以，作为一个安全操作系统还应该支持广泛的硬件和软件平台，易操作，并且和其他安全产品能良好兼容配合。3.2 操作系统帐户安全对任何操作系统来说，系统帐户是系统分配给用户进入系统的一把钥匙，是用户进入系统的第一关，它的安全对于系统安全有着关键的意义。系统帐户一般由用户名和密码组成，系统通过对用户名和密码的验证来确定是否许可用户访问系统。下面以Windows Server 2003系

14、统和Linux系统为例，从密码的安全选择及保护和帐号的管理方面讲述如何加强对系统帐户的保护。3.2.1 密码安全1.安全密码的选择用户帐户的保护一般主要围绕着密码的保护来进行。因为在登录系统时，用户需要输入帐号和密码，只有通过系统验证之后，用户才能进入系统。因此密码可以说是系统的第一道防线，目前网络上对系统大部分的攻击都是从截获密码或者猜测密码开始的，所以设置安全的密码是非常重要的。安全密码的原则之一是提高它的破解难度，也就是不能被密码破解程序所破解。密码破解程序将常用的密码或者是英文字典中所有可能组合为密码的单词都用程序加密成密码字，然后利用穷举法将其与系统的密码文件相比较，如果发现有吻合的

15、，密码即被破译。提高密码的破解难度主要是通过提高密码复杂性、增加密码长度、提高更换频率等措施来实现。如果用户密码设定不当或过于简单，则极易受到密码破解程序的威胁。一个好的密码应遵循以下原则：密码长度越长越好，密码越长，黑客猜中的概率就越小，建议采用8位以上的密码长度。使用英文大小写字母和数字的组合，添加特殊字符。不要使用英文中现成的或有意义的词汇或组合，避免被密码破解程序使用词典进行破解。不要使用个人信息，如自己或家人的名字作为密码，避免熟悉用户身份的攻击者推导出密码。不要在所有机器上或一台机器的所有系统中都使用同样的密码，避免一台机器密码泄漏而引起所有机器或系统都处于不安全的状态。选择一个能

16、够记住的密码，避免太复杂的密码使得记忆困难。再安全的密码，都经不起时间的考验。因此，用户在使用了一个安全的密码之后，不能从此就高枕无忧了，还需要定期修改密码，如每个月更改一次。只有这样，才可以更好地保护自己的登录密码。2.Windows Server 2003系统和Linux系统密码管理在Windows Server 2003系统中，对密码的管理可以通过在安全策略中设定“密码策略”来进行。它可以针对不同的场合和范围进行设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。以域安全策略为例，其作用范围是网络中所指定域的所有成员。在域管理工具中运行“域安全策略”

17、工具，然后就可以针对密码策略进行相应的设定。密码策略也可以在指定的计算机上用“本地安全设置”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。Windows Server 2003系统密码策略配置功能如图3.1所示。图3.1 密码策略配置Linux系统一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，因此不太安全，所以Linux设定了影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。虽然文件中保存的密码经过加密，但设定登录密码仍是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破解，尤其是

18、拥有超级用户使用权限的用户，如果没有有效的密码，将给系统造成很大的安全漏洞。3.2.2 帐号管理除密码安全之外，对用户帐号的安全管理也是非常重要的。一般来说，系统中的每个帐号在建立后，应该有专人负责，根据需要赋予其不同的权限，并且归并到不同的用户组中。如果某个帐号不再使用，管理员应立即从系统中删除该帐号，以防黑客借用那些长久不用的帐号入侵系统。1.Windows Server 2003系统的帐号管理策略1)帐户锁定为了防止非法用户企图猜测用户密码进入系统，管理员可以设置最多的登录次数，如果超过该登录次数仍未进入系统，则系统将对此帐户进行锁定，使其在一定的时间内不能再次使用。在Windows S

19、erver 2003管理工具中的帐户锁定策略中可以设定用户由于操作失误造成登录失败，例如设为三次，如果三次登录全部失败，就锁定该帐户。设定登录次数的时候还可以设定锁定时间，例如设定锁定时间为30分钟，一旦该帐户被锁定，即使是合法用户也无法使用了，只有管理员才可以重新启用该帐户。帐户锁定如图3.2所示。2)用户登录属性的限制运行Windows Server 2003“Active Directory用户和计算机”管理工具，然后选择相应的用户，可以设置其帐户属性。在帐户属性对话框中，管理员可以通过帐户登录时间设置允许该用户登录的时间，从而防止非该时间的登录行为；还可以通过用户登录地点的设置指定该帐

20、户从哪些计算机登录。通过对用户登录属性进行限制，即使是密码泄露，系统也可以在一定程度上将黑客阻挡在外，保障其用户帐户的安全。用户登录属性限制如图3.3所示。图3.2 帐户锁定配置图3.3 用户登录限制2.Linux系统的帐号管理策略在Linux系统用户帐号之中，拥有root权限的用户可以在系统中畅行无阻，有权修改或删除各种系统设置，这是黑客最喜欢拥有的帐号，因此不能轻易授予帐号root权限。但是，有些程序的安装和维护工作必须要求有root权限，在这种情况下，可以利用其他工具，如sudo程序，让这类用户有部分root权限。sudo程序经过设定后，允许普通用户以自己的密码再登录一次，取得root权

21、限，但只能执行有限的几个指令，sudo会将每次执行的指令记录下来，不管该指令的执行是成功还是失败。从sudo的日志中，可以追踪到哪些帐号对系统做了什么，这在系统的管理中是非常重用的。但是sudo并不能限制用户的所有行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。3.3 操作系统资源访问安全用户对系统资源访问是通过用户权限来限制的，即用户是否拥有对资源的访问权限。系统资源访问安全的最终目的就是使拥有访问权限的合法用户能够正确地访问系统资源，而将非法访问阻止在系统之外。3.3.1 Windows系统资源访问控制Windows系统中的各种资源都包含有控制用户访问的信息，当用户登录到系

22、统，试图访问系统中的资源时，系统将用户信息与资源的控制信息进行比对，以确定用户是否有权限访问该资源。1.安全标识符(Security Identifiers，SID)当每次创建一个用户或一个组的时候，系统会分配给该用户或组一个SID。SID可以用来实现对帐号的安全管理，安全标识在帐号创建时就同时创建，一旦帐号被删除，SID也同时被删除。而且SID是唯一的，即使在同一台计算机上多次创建相同帐号的用户，在每次创建时获得的SID都是完全不同的，也不会保留原来的权限。2.访问令牌(Access Tokens)用户通过验证后，登录进程会给用户一个包括用户SID和用户所属组SID信息的访问令牌作为用户进程

23、访问系统资源的证件。当用户试图访问系统资源时，Windows系统会检查要访问对象上的访问控制列表(Access Control Lists，ACL)并与用户的访问令牌相比较，如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。3.安全描述符(Security Descriptors)Windows系统中的任何对象、进程、线程的属性中都有安全描述符部分，它保存对象的安全配置。一般包括对象所有者SID、组SID、任意访问控制列表、系统访问控制列表、访问令牌等信息。4.许可检查(Permission Check)安全系统根据访问控制列表进行许可检查，逐一检查每个访问控制项，查看对用户或组是否

24、有明确的拒绝或授予的权限，如果有，则拒绝的权限要高于授予的权限。如果对ACL检查后，没有明确的拒绝或授予，则该许可请求被拒绝。例如，mary是一个用户，属于users组，某文件的ACL中明确说明允许users组的写操作，但同时也明确说明拒绝用户mary的写操作，那么用户mary虽然是users组的成员，但也被拒绝对该文件进行写操作。3.3.2 Linux文件系统安全Linux系统的资源访问是基于文件的，因为在Linux系统中，除了普通文件之外，各种硬件设备、端口甚至内存也都是以文件形式存在的，对文件如何管理关系到如何对系统资源进行访问控制，所以文件系统在Linux系统中显得尤为重要。为了维护系

25、统的安全性，在Linux中的每一个文件或目录都具有一定的访问权限，当对文件进行访问时，内核就检查该访问操作与文件所在的目录及文件的权限位是否一致，以此来决定是否允许访问，从而确保具有访问权限的用户才能访问该文件或目录，否则系统会给出permission denied(权限拒绝)的错误提示。例如，当要读取路径/usr/bin中的test.c文件时，就需要对/usr/bin目录有执行权限，对test.c文件有读取权限。文件的属性信息主要包括文件类型和文件权限两个方面。文件类型可以分为：普通文件、目录文件、链接文件、设备文件和管道文件五种。文件权限是指对文件的访问权限，包括对文件的读、写、执行。用“

26、ls-l”命令查询文件属性得到文件清单，其中包含有文件类型、文件权限、文件属主、文件大小、创建日期和时间等信息，如下所示：drwxr-xr-x2 root root 20 May 3 22:51 aarw-r-r-1 root root 1002 May 3 23:18 note.txtrwxr-xr-x 2 root root 106 May 3 01:25 b.c前面一列字母说明了文件的类型和权限，其中第一个字符表示文件类型，其解释如表3.1所示。表3.1 文 件 类 型后面的九个字符分为三组(每组三个)，第一组描述了文件所有者的访问权限；第二组描述了文件所有者所在组用户的访问权限；第三组

27、描述了其他用户的访问权限。在每一组中，三个字符分别可以为r、w、x或-，代表的意义如表3.2所示。表3.2 文件访问权限每个用户都拥有与自己用户名同名的专属目录，通常放置在/home目录下，这些专属目录的默认权限为rwx-，表示该用户对该目录具有所有权限，其他用户无法进入该目录，以保证该目录的安全性。而执行mkdir命令所创建的目录，其默认权限为rwxr-xr-x，表示其他用户可以进入并读取该目录，但不能修改其中的内容，用户可以根据需要修改目录的权限。Linux提供了修改文件权限命令chmod，供文件所有者和超级用户使用。文件所有者可以通过设定权限来任意控制一个给定的文件或目录的访问程度，如只

28、允许用户自己访问，或允许一个预先指定的用户组中的用户访问，或允许系统中的其他用户访问。超级用户在系统中具有最高权力，可以对任何文件或目录和用户访问权限进行任何操作，在方便了系统的管理的同时又是一个潜在的隐患，因此一方面要保护超级用户的密码，另一方面要限制超级特权被滥用，不要轻易赋予其他用户这个权力。3.4 操作系统安全策略操作系统经过不断的发展，逐步探索并制定出新的管理策略来降低系统风险，其安全机制也在不断地完善。1.系统安全审核操作系统的安全审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件，管理员通过分析日志内容可以查找系统和应用程序故障以及各类安全事件，从而发现黑客的入侵和入侵后的

29、行为。以Windows Server 2003为例，在系统中启用安全审核策略如图3.4所示。图3.4 审核策略配置对系统安全策略进行审核策略安全设置后，符合审核条件的信息都会记录到相关日志中，系统管理人员要经常检查各种系统日志文件，要注意是否有不合常理的时间记载。如，是否有正常用户在夜深人静时登录；是否有用户从陌生的网址进入系统；是否有不正常的日志记录；是否有连续密码尝试但进入失败记录；是否有重新开机或重新启动各项服务的记录等。Windows 2003计算机系统安全审核记录的日志如图3.5所示。图3.5 审核日志2.系统监视除了通过对日志的审核来发现已经发生的入侵行为外，管理员还应该掌握一些基

30、本的实时监视技术，以便对系统情况有一个更好的掌控。1)监视共享为了资源访问和系统管理的便利，操作系统中提供了资源共享和管理共享功能，但这也成为黑客常用的攻击方法之一，只要黑客能够扫描到IP和用户密码，就可以使用netuse命令连接到系统隐含的管理共享上。另外，当浏览到含有恶意脚本的网页时，计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。Windows Server 2003共享资源查看如图3.6所示。图3.6 共享资源管理如果有可疑共享，应该立即删除，同时也应该删除或禁止不必要的共享，如IPC$共享。IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码，也仍然可以

31、通过“空连接”连接到系统上，再进行其他的尝试。关于共享资源的删除详见3.6.1节。2)监视开放的端口和连接黑客或病毒入侵系统后，会跟外界建立一个Socket会话连接，管理员应定期对系统开放的端口及连接进行检查，使用netstat命令或专用的检测软件对端口和连接进行检测，查看已经打开的端口和已经建立的连接，检查会话状态，关闭或过滤不需要的端口以控制系统和外部的连接通信。Windows Server 2003会话查看如图3.7所示。图3.7 会话管理3)监视进程和系统信息对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的查看功能，进行进程的查找，对可疑的进程进行删除，如图3.8所示

32、。在Windows Server 2003的支持工具中有一个进程查看工具Process Viewer，可以帮助查看隐藏的进程。由于现在的木马常常会把自己注册成一个服务以避免在进程列表中现形，因此，还应结合对系统中的其他信息的监视才能够全面地查杀木马程序。图3.8 任务管理器3.控制系统服务Windows中的服务是一种在系统后台运行的应用程序类型。操作系统默认了一些服务的启动并运行，但并不是所有默认服务都是用户需要的，而且服务越多，漏洞越多，所以需要控制运行在服务器上的服务，这样既能减少安全隐患，又减少了系统资源的使用，并且增强了服务器的性能。1)Windows Server 2003系统服务在

33、Windows Server 2003中，微软关闭了Windows 2000中大多数不是绝对必要的服务，但还是有一些有争议的服务默认运行。如分布式文件系统服务(DFS)、文件复制服务(FRS)、Print Spooler服务(PSS)等。其中DFS允许用户将分布式的资源存于一个单一的文件夹中，可以简化用户的工作但不是必需功能。FRS能够在服务器之间复制数据时保持SYSVOL文件夹的同步，但会增加黑客在多个服务器间复制恶意文件的可能性。PSS服务管理所有的本地和网络打印请求，并在这些请求下控制所有的打印工作，但一方面由于通常没有人会在服务器控制台工作，因此没有必要使用此服务；另一方面由于PSS是

34、系统级的服务，拥有很高的特权，所以容易被木马攻击更换其可执行文件，从而获得这些高级别的特权。所以管理员应该根据系统服务的实际需求尽可能关闭掉不需要的服务。Windows Server 2003服务配置如图3.9所示。图3.9 服务管理2)Linux系统服务在Linux系统中的一些网络服务，如简单文件传输协议(TFTP)、简单邮件传输协议(SMTP)、Inetd服务等也是黑客攻击的重要目标。其中TFTP服务用于匿名的文件传输，用户不需要登录就可以从任何系统接收文件并拥有读写的权限，由此会带来安全风险；SMTP服务运行后，启动系统中以超级用户身份运行的sendmail守护进程读取用户邮件，使黑客能

35、够通过该进程获得超级用户的访问权限；Inetd叫做因特网驻留程序，是一种控制因特网服务的应用程序，通过/etc/inetd.conf文件来管理网络访问服务，而这个文件一旦被黑客得到，其内容可能会被恶意取代或安装后门程序。综上所述，无论用户选用哪一种操作系统都应该根据实际需求来选择系统服务，尽可能关闭掉不需要的服务，以此来最大程度地确保系统安全。4.防范网络嗅探网络嗅探(Network Sniffing)又称为网络监听，是通过对流经嗅探主机的所有数据进行分析从而得到有用信息的技术。操作系统对于网络嗅探的防御最好的办法是使通信双方之间采用加密传输手段进行会话连接，这样即使黑客成功地进行了网络嗅探，

36、也不能从截获的密文中分析出有效信息，因此是防范网络嗅探非常有效的方法。网络中进行会话加密的手段有很多，不同的操作系统采取的手段不同。Windows系统采用基于IP的网络层加密传输技术IPSec来对通信数据进行加密传输。Windows Server 2003的服务器产品和客户端产品都提供了对IPSec的支持，部署和管理较为方便，从而增强了系统的安全性、可伸缩性以及可用性。另外，Windows系统也可以在应用层采用安全套接字层(Secure Sockets Layer,SSL)技术对数据进行加密传输。Linux系统主机多采用安全壳(Secure SHell，SSH)方式及公开密钥技术对网络上两台主

37、机之间的通信信息进行加密，并且用其密钥充当身份验证的工具，因此可以安全地被用来取代rlogin、rsh和rcp等公用程序中的一套程序组。由于SSH将网络上的信息进行加密，因此它可以安全地登录到远程主机上，并且在两台主机之间安全地传送信息。SSH不仅可以保障Linux主机之间的安全通信，也允许Windows用户通过SSH安全地连接到Linux服务器上。除上述加密传输手段以外，Windows系统和Linux系统也可以采用虚拟专用网络(Virtual Private Network,VPN)技术在公用网络上建立专用网络，并结合加密及身份验证等安全技术保证连接用户的可靠性及传输数据的安全和保密性，是目

38、前实现端对端安全通信的最佳解决方案。IPSec、SSL和SSH都是VPN技术中的典型应用。关于IPSec和SSL、VPN技术的原理及设置将分别在第9章、第10章中叙述。5.主机入侵检测系统主机入侵检测系统(HIDS)是通过对计算机系统中的若干关键点收集信息并对其进行分析，从而发现系统中是否有违反安全策略的行为和被攻击的迹象，其输入的数据主要来源于系统的审计日志。目前比较流行的软件入侵检测系统有Snort、Portsentry、Lids等。标准的Linux发布版本最近配备了这种工具。利用Linux配备的工具和从因特网上下载的工具，就可以使Linux具备高级的入侵检测能力，包括记录入侵企图，当攻击

39、发生时及时通知管理员；在规定情况的攻击发生时，采取事先规定的措施以及发送一些错误信息使攻击者采取无效的入侵，如伪装成其他操作系统来误导攻击者。一般将IDS技术与防火墙结合起来就做到互补，并且发挥各自的优势。关于入侵检测系统的详细原理和配置请见第7章的相关章节。6.系统的及时更新许多操作系统和系统软件都存在一定的安全漏洞，操作系统的生产厂商定期地为产品发布这些漏洞的补丁来进行修复，这些补丁可以解决系统中的某些特定的问题，因此要及时下载并安装这些补丁，对系统进行更新。Windows系统发展到现在一直存在着各种各样的漏洞，微软以更新程序或服务包的形式发布针对这些漏洞的补丁程序，来对系统进行升级，用户

40、只需要使用系统自动更新功能或者从微软的网站上直接下载更新程序或者安装最新版本的服务包即可。目前Windows Server 2003服务包的最新版本是SP2。Linux操作系统的核心称作内核，它常驻内存，用于控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。在Internet上常常有最新的安全修补程序，Linux系统管理员还应该经常保持对Red Hat、Debian Linux、Slackware、SuSE、Fedora等优秀Linux发行套件门户网站的关注，及时更新系统的最新核心以及打上安全补丁，这样能较好地保证Linux系统的安全。从计算机安全的角度看，任何系统都存在漏洞

41、，没有百分之百安全的计算机系统。要想在技术日益发展、纷繁复杂的网络环境中，保证操作系统的安全性，需要切实做好事前预防以及事后恢复的工作，这在很大程度上取决于人的因素。人是决定系统安全的第一要素。系统防护人员为了在系统攻防的战争中处于有利地位，必须保持高度的警惕性和对新技术的高度关注。通过网站和论坛尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，做到防患于未然，在漏洞出现后的最短时间内对其进行封堵，这样才能比较好地解决问题，单纯地依靠一些现有的工具是不够的。3.5 我国安全操作系统现状与发展2007年，我国的信息安全遭受了严峻的考验，“熊猫烧香”、“灰鸽子”等疯狂肆虐，造成了数以百万

42、计的经济损失，而境外网络间谍对政府等关键信息系统的侵入、破坏、窃密行为，则直接危及国家安全。据国家计算机网络应急技术处理协调中心的报告显示，仅2007年上半年，就发现数万个大陆地区以外的木马控制端IP，所控制的主机遍及北京、上海等大城市，其造成的危害波及政府、金融和科研院所等关键领域。在黑客、病毒所发动的网络攻击中，绝大多数是针对操作系统进行攻击，而只有一小部分针对应用程序进行攻击。因此，在抵御此起彼伏的攻击时，操作系统就成为关键部分。我国操作系统在使用及发展上面临很多问题。首先，由于我国广泛应用的主流操作系统长期以来都是从国外引进直接使用的产品，其安全性难以令人放心。其次，虽然我国在操作系统

43、研发方面已经做了一些工作，但安全操作系统方案缺乏整体性。此外，目前我国市场上有很多根据市场需要自己组合成的操作系统，基本上是利用了国外的技术甚至部分源代码，因此不具有我们的自主版权。我国于1999年9月发布由公安部制定的中国国家标准计算机信息安全保护等级划分准则，并从2001年1月1日起强制实施。该准则将计算机信息系统安全保护等级划分为五个级别，从低到高依次是：第一级 用户自主保护级对应TCSEC中的C1级；第二级 系统审计保护级对应TCSEC中的C2级；第三级 安全标记保护级对应TCSEC中的B1级；第四级 结构化保护级对应TCSEC中的B2级；第五级 安全域级保护级对应TCSEC中的B3级

44、。虽然我国在操作系统设计方面起步较晚，但目前以Linux为代表的国际自由软件的发展为我国发展具有自主版权的系统软件提供了良好的机遇。我们应该加强安全模型与评估方法研究，从系统核心的安全结构体系着手，进行全局的设计，避免之前的操作系统在解决安全问题的方法和策略中采用“打补丁”的做法，从根本上解决系统安全问题，从而真正获得具有较高安全可信度的系统。另外，我们也应该从系统内核做起，针对安全性要求高的应用环境配置特定的安全策略，提供灵活、有效的安全机制，并尽可能少地影响系统性能，提高系统效率，设计实现基于安全国际标准、符合相应安全目标的具有中国自主版权的专用安全核心系统。对于当前已有的并且无法从内核进

45、行改造的系统，我们可以考虑采用设计安全隔离层中间件的方式，增加安全模块，对系统进行安全加固。安全是一个系统工程，操作系统安全只是其中的一个层次，并不是只要有了安全操作系统就能解决所有的安全问题，应该与各种安全软硬件解决方案，例如防火墙、杀毒软件、加密产品等配合使用，才能达到信息系统安全的最佳状态。更重要的是，在操作者的头脑中，要“预装”好安全概念，只有这样，才能让各种安全产品得到有效的应用。3.6 操作系统安全实例3.6.1 Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows

46、 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的首选。虽然缺省的Windows 2003安装比缺省的Windows NT或 Windows 2000安装安全许多，但是它还是存在着一些不足，许多安全机制依然需要用户来实现它们。【实验目的】掌握Windows Server 2003常用的安全设置。【实验条件】安装了Windows Server 2003的计算机。【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。【实验内容】1.修改管理员帐号和创建陷阱帐号Windows操作

47、系统默认安装用Administrator作为管理员帐号，黑客也往往会先试图破译Administrator帐号密码，从而开始进攻系统，所以系统安装成功后，应重命名Administrator帐号。方法如下：(1)打开【本地安全设置】对话框，选择“本地策略”“安全选项”，如图3.10所示。(2)双击“帐户：重命名系统管理员帐户”策略，给Administrator重新设置一个平常的用户名，如user1，然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客，并且可以借此发现它们的入侵企图。图3.10 重命名系统帐户2.清除默认共享隐患 Windows Server 2003

48、系统在默认安装时，都会产生默认的共享文件夹，如图3.6所示。如果攻击者破译了系统的管理员密码，就有可能通过“工作站名共享名称”的方法，打开系统的指定文件夹，因此应从系统中清除默认的共享隐患。1)删除默认共享 以删除图3.6中的默认磁盘及系统共享资源为例，首先打开“记事本”，根据需要编写如下内容的批处理文件：echo off net share C$/del net share D$/del net share E$/del net share admin$/del将文件保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUser ScriptsLogo

49、n目录下。选择“开始”菜单“运行”，输入gpedit.msc，回车即可打开组策略编辑器。点击“用户配置”“Windows设置”“脚本(登录/注销)”“登录”，如图3.11所示。在【登录属性】窗口中单击“添加”，会出现【添加脚本】对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可，如图3.12所示。重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了。图3.11 组策略编辑器图3.12 登录属性2)禁用IPC连接 IPC是Internet Process Connection的缩写，也就是远程网络连接，是共享“命名管道”的资源，它是为了进程间通信

50、而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道，并以此通道进行加密数据的交换，从而实现对远程计算机的访问，是Windows NT/2000/XP/2003特有的功能。打开CMD后输入如下命令即可进行连接：net useipipc$“password”/user:username其中：ip为要连接的远程主机的IP地址，username和password分别是登录该主机的用户名和密码。默认情况下，为了方便管理员的管理，IPC是共享的，但也为IPC入侵者提供了方便，导致了系统安全性能的降低，这种基于IPC的入侵也常常被简称为IPC入侵。如果黑客获得了远程主机的用户