1、第第6章章 操作系统与数据库安全技术操作系统与数据库安全技术内容提要:内容提要:访问控制技术访问控制技术操作系统安全技术操作系统安全技术Unix/LinuxUnix/Linux系统安全技术系统安全技术Windows 2000/XPWindows 2000/XP系统安全技术系统安全技术数据库安全概述数据库安全概述数据库安全机制数据库安全机制数据库安全技术数据库安全技术本章小结本章小结 访问控制是实现既定安全策略的系统安全技访问控制是实现既定安全策略的系统安全技术,它可以显式地管理着对所有资源的访问请求。术,它可以显式地管理着对所有资源的访问请求。根据安全策略的要求,访问控制对每个资源请求根据安全
2、策略的要求,访问控制对每个资源请求做出许可或限制访问的判断,可以有效地防止非做出许可或限制访问的判断,可以有效地防止非法用户访问系统资源和合法用户非法使用资源。法用户访问系统资源和合法用户非法使用资源。美 国 国 防 部 的 可 信 计 算 机 系 统 评 估 标 准美 国 国 防 部 的 可 信 计 算 机 系 统 评 估 标 准(TESEC)把访问控制作为评价系统安全的主把访问控制作为评价系统安全的主要指标之一。要指标之一。返回本章首页返回本章首页 在信息安全涵盖的众多领域,在信息安全涵盖的众多领域,操作系统安全操作系统安全是是信息安全的核心问题。操作系统安全是整个计算机信息安全的核心问题
3、。操作系统安全是整个计算机系统安全的基础,采用的安全机制主要包括两个方系统安全的基础,采用的安全机制主要包括两个方面,即面,即访问控制和隔离控制访问控制和隔离控制,其中访问控制是其安,其中访问控制是其安全机制的关键。全机制的关键。数据库系统是对数据资料进行管理的有效手段,数据库系统是对数据资料进行管理的有效手段,许多重要的数据资料都存储于各种类型的数据库中。许多重要的数据资料都存储于各种类型的数据库中。因此数据库的安全问题在整个信息安全体系中占用因此数据库的安全问题在整个信息安全体系中占用重要地位。数据库安全主要从重要地位。数据库安全主要从身份认证、访问控制、身份认证、访问控制、数据加密数据加
4、密等方面来保证数据的完整性、可用性、机等方面来保证数据的完整性、可用性、机密性,其中应用最广且最为有效的当属访问控制。密性,其中应用最广且最为有效的当属访问控制。返回本章首页返回本章首页6.1 访问控制技术访问控制技术 计算机信息系统访问控制技术最早产生于上个计算机信息系统访问控制技术最早产生于上个世纪世纪60年代,随后出现了两种重要的访问控制技术,年代,随后出现了两种重要的访问控制技术,即自主访问控制即自主访问控制DAC和强制访问控制和强制访问控制MAC。但是,作为传统访问控制技术,它们已经远远但是,作为传统访问控制技术,它们已经远远落后于当代系统安全的要求,安全需求的发展对访落后于当代系统
5、安全的要求,安全需求的发展对访问控制技术提出了新的要求。问控制技术提出了新的要求。近年来的研究工作一方面是对传统访问控制技近年来的研究工作一方面是对传统访问控制技术的不足进行改进,另一方面则出现了以基于角色术的不足进行改进,另一方面则出现了以基于角色的访问控制技术的访问控制技术RBAC为代表的新型技术手段。为代表的新型技术手段。返回本章首页返回本章首页6.1.1 认证、审计与访问控制认证、审计与访问控制 在讨论传统访问控制技术之前,先就访问控在讨论传统访问控制技术之前,先就访问控制与认证、审计之间的关系,以及访问控制的概制与认证、审计之间的关系,以及访问控制的概念和内涵进行概要说明。念和内涵进
6、行概要说明。在计算机系统中,认证、访问控制和审计共同建在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础,如图立了保护系统安全的基础,如图6-16-1所示。其中所示。其中认证认证是用户进入系统的第一道防线,是用户进入系统的第一道防线,访问控制访问控制则则在鉴别用户的合法身份后,通过引用监控器控制在鉴别用户的合法身份后,通过引用监控器控制用户对数据信息的访问。用户对数据信息的访问。审计审计通过监视和记录系通过监视和记录系统中相关的活动,起到事后分析的作用。统中相关的活动,起到事后分析的作用。返回本章首页返回本章首页返回本章首页返回本章首页 区别认证和访问控制是非常重要的。正确地区别
7、认证和访问控制是非常重要的。正确地建立用户的身份标识是由认证服务实现的。在通建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时,总是假定用户的过引用监控器进行访问控制时,总是假定用户的身份已经被确认,而且访问控制在很大程度上依身份已经被确认,而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。赖用户身份的正确鉴别和引用监控器的正确控制。同时要认识到,访问控制不能作为一个完整的策同时要认识到,访问控制不能作为一个完整的策略来解决系统安全,它必须要结合审计而实行。略来解决系统安全,它必须要结合审计而实行。审计控制主要关注系统所有用户的请求和活动的审计控制主要关注
8、系统所有用户的请求和活动的事后分析。事后分析。返回本章首页返回本章首页 所谓访问控制(所谓访问控制(Access Control)就是通过就是通过某种途径显式地准许或限制访问能力及范围的一某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。访问控制是实现数据的不慎操作所造成的破坏。访问控制是实现数据保密性和完整性机制的主要手段。保密性和完整性机制的主要手段。返回本章首页返回本章首页 访问控制系统一般包括:访问控制系
9、统一般包括:主体(主体(subject):):指发出访问操作、存取请求指发出访问操作、存取请求的主动方,它包括用户、用户组、终端、主机或的主动方,它包括用户、用户组、终端、主机或一个应用进程,主体可以访问客体。一个应用进程,主体可以访问客体。客体(客体(object):):指被调用的程序或欲存取的指被调用的程序或欲存取的数据访问,它可以是一个字节、字段、记录、程数据访问,它可以是一个字节、字段、记录、程序、文件,或一个处理器、存储器及网络节点等。序、文件,或一个处理器、存储器及网络节点等。安全访问政策:也称为授权访问,它是一套规安全访问政策:也称为授权访问,它是一套规则,用以确定一个主体是否对
10、客体拥有访问能力。则,用以确定一个主体是否对客体拥有访问能力。返回本章首页返回本章首页 在访问控制系统中,区别主体与客体是比较在访问控制系统中,区别主体与客体是比较重要的。通常主体发起对客体的操作将由系统的重要的。通常主体发起对客体的操作将由系统的授权来决定,并且,一个主体为了完成任务可以授权来决定,并且,一个主体为了完成任务可以创建另外的主体,并由父主体控制子主体。此外,创建另外的主体,并由父主体控制子主体。此外,主体与客体的关系是相对的,当一个主体受到另主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成了一主体的访问,成为访问目标时,该主体便成了客体。客体。
11、访问控制规定了哪些主体可以访问,以及访访问控制规定了哪些主体可以访问,以及访问权限的大小,其一般原理如图问权限的大小,其一般原理如图6-2所示。所示。返回本章首页返回本章首页返回本章首页返回本章首页 在主体和客体之间加入的访问控制实施模块,在主体和客体之间加入的访问控制实施模块,主要用来负责控制主体对客体的访问。其中,访主要用来负责控制主体对客体的访问。其中,访问控制决策功能块是访问控制实施功能中最主要问控制决策功能块是访问控制实施功能中最主要的部分,它根据访问控制信息作出是否允许主体的部分,它根据访问控制信息作出是否允许主体操作的决定,这里访问控制信息可以存放在数据操作的决定,这里访问控制信
12、息可以存放在数据库、数据文件中,也可以选择其它存储方法,且库、数据文件中,也可以选择其它存储方法,且要视访问控制信息的多少及安全敏感度而定。其要视访问控制信息的多少及安全敏感度而定。其原理如图原理如图6-3所示。所示。返回本章首页返回本章首页返回本章首页返回本章首页6.1.2 传统访问控制技术传统访问控制技术 1自主访问控制自主访问控制DAC及其发展及其发展 DAC是目前计算机系统中实现最多的访问控制是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及(或)它们所属组机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限定的一种方法。传统的的基础上对访问进行限定的一种方法
13、。传统的DAC最早出现在上个世纪最早出现在上个世纪70年代初期的分时系统中,它年代初期的分时系统中,它是多用户环境下最常用的一种访问控制技术,在目是多用户环境下最常用的一种访问控制技术,在目前流行的前流行的Unix类操作系统中被普遍采用。其基本思类操作系统中被普遍采用。其基本思想是,允许某个主体显式地指定其他主体对该主体想是,允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问所拥有的信息资源是否可以访问以及可执行的访问类型。类型。返回本章首页返回本章首页 上个世纪上个世纪70年代末,年代末,M.H.Harrison,W.L.Ruzzo,J.D.Ullma等对传统
14、等对传统DAC做出扩充,提出了客体主人自做出扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的散相结合的半自主式的HRU访问控制模型,并设计了安访问控制模型,并设计了安全管理员管理访问权限扩散的描述语言。到了全管理员管理访问权限扩散的描述语言。到了1992年,年,Sandhu等人为了表示主体需要拥有的访问权限,将等人为了表示主体需要拥有的访问权限,将HRU模型发展为模型发展为TAM(Typed Access Matrix)模型,模型,在客体和主体产生时就对访问权限的扩散做出了具体的在客体和主体产生时就对访问
15、权限的扩散做出了具体的规定。规定。随后,为了描述访问权限需要动态变化的系统安全随后,为了描述访问权限需要动态变化的系统安全策略,策略,TAM发展为发展为ATAM(Augmented TAM)模型。模型。返回本章首页返回本章首页 2强制访问控制强制访问控制MAC及其发展及其发展 MAC最早出现在最早出现在Multics系统中,在系统中,在1983美国国防美国国防部的部的TESEC中被用作为中被用作为B级安全系统的主要评价标准之级安全系统的主要评价标准之一。一。MAC的基本思想是:每个主体都有既定的安全属的基本思想是:每个主体都有既定的安全属性,每个客体也都有既定安全属性,主体对客体是否能性,每个
16、客体也都有既定安全属性,主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。执行特定的操作取决于两者安全属性之间的关系。通常所说的通常所说的MAC主要是指主要是指TESEC中的中的MAC,它主它主要用来描述美国军用计算机系统环境下的多级安全策略。要用来描述美国军用计算机系统环境下的多级安全策略。在多级安全策略中,安全属性用二元组(安全级,类别在多级安全策略中,安全属性用二元组(安全级,类别集合)表示,安全级表示机密程度,类别集合表示部门集合)表示,安全级表示机密程度,类别集合表示部门或组织的集合。或组织的集合。返回本章首页返回本章首页 一般的一般的MAC都要求主体对客体的访问满足都要求
17、主体对客体的访问满足BLP(Bell and LaPadula)安全模型的两个基本安全模型的两个基本特性:特性:(1)简单安全性:仅当主体的安全级不低于客)简单安全性:仅当主体的安全级不低于客体安全及且主体的类别集合包含客体的类别集合体安全及且主体的类别集合包含客体的类别集合时,才允许该主体读该客体。时,才允许该主体读该客体。(2)*特性:仅当主体的安全级不高于客体安特性:仅当主体的安全级不高于客体安全级且客体的类别集合包含主体的类别集合时,全级且客体的类别集合包含主体的类别集合时,才允许该主体写该客体。才允许该主体写该客体。返回本章首页返回本章首页 为了增强传统为了增强传统MAC的完整性控制
18、,美国的完整性控制,美国SecureComputing公司提出了公司提出了TE(Type E n f o r c e m e n t)控 制 技 术,控 制 技 术,T E 技 术 在技 术 在SecureComputing公司开发的安全操作系统公司开发的安全操作系统LOCK6中得到了应用。中得到了应用。Chinese Wall模型是模型是Brewer和和Nash开发的用开发的用于商业领域的访问控制模型,该模型主要用于保于商业领域的访问控制模型,该模型主要用于保护客户信息不被随意泄漏和篡改。它是应用在多护客户信息不被随意泄漏和篡改。它是应用在多边安全系统中的安全模型。边安全系统中的安全模型。返
19、回本章首页返回本章首页6.1.3 新型访问控制技术新型访问控制技术 1基于角色的访问控制基于角色的访问控制RBAC RBAC(Role-Based Access Control)的概念早的概念早在在20世纪世纪70年代就已经提出,但在相当长的一段时年代就已经提出,但在相当长的一段时间内没有得到人们的关注。进入间内没有得到人们的关注。进入90年代后,随着安年代后,随着安全需求的发展加之全需求的发展加之R.S.Sandhu等人的倡导和推动,等人的倡导和推动,RBAC又引起了人们极大的关注,目前美国很多学又引起了人们极大的关注,目前美国很多学者和研究机构都在从事这方面的研究,如者和研究机构都在从事这
20、方面的研究,如NIST(National Institute of Standard Technology)和和Geroge Manson大学的大学的LIST(Laboratory of Information Security Technololy)等。等。返回本章首页返回本章首页 自自1995年开始,美国计算机协会年开始,美国计算机协会ACM每年都召每年都召开开RBAC的专题研讨会来促进的专题研讨会来促进RBAC的研究,图的研究,图6-4给出了给出了RBAC的结构示意图。在的结构示意图。在RBAC中,在用户中,在用户(user)和访问许可权(和访问许可权(permission)之间引入了角
21、之间引入了角色(色(role)的概念,用户与特定的一个或多个角色的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系。相联系,角色与一个或多个访问许可权相联系。这里所谓的角色就是一个或是多个用户可执行这里所谓的角色就是一个或是多个用户可执行的操作的集合,它体现了的操作的集合,它体现了RBAC的基本思想,即授的基本思想,即授权给用户的访问权限,通常由用户在一个组织中担权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。当的角色来确定。返回本章首页返回本章首页图6-4 RBAC的结构示意图约束角色用户项目角色项目权限角色分层用户分配会话项目角色分层用户分配项目权限分配
22、权限权限分配返回本章首页返回本章首页 迄今为止已发展了四种迄今为止已发展了四种RBAC模型:模型:(1)基本模型)基本模型RBAC0,该模型指明用户、角色、该模型指明用户、角色、访问权和会话之间的关系;访问权和会话之间的关系;(2)层次模型)层次模型RBAC1,该模型是偏序的,上层角该模型是偏序的,上层角色可继承下层角色的访问权;色可继承下层角色的访问权;(3)约束模型)约束模型RBAC2,该模型除包含该模型除包含RBAC0的所的所有基本特性外,增加了对有基本特性外,增加了对RBAC0的所有元素的约束的所有元素的约束检查,只有拥有有效值的元素才可被接受;检查,只有拥有有效值的元素才可被接受;(
23、4)层次约束模型)层次约束模型RBAC3,该模型兼有该模型兼有RBAC1和和RBAC2的特点。的特点。返回本章首页返回本章首页 RBAC具有五个明显的特点:具有五个明显的特点:(1)以角色作为访问控制的主体)以角色作为访问控制的主体 (2)角色继承)角色继承 (3)最小权限原则)最小权限原则 (4)职责分离)职责分离 (5)角色容量)角色容量 与与DAC和和MAC相比,相比,RBAC具有明显的优越性,具有明显的优越性,RBAC基于策略无关的特性,使其几乎可以描述任基于策略无关的特性,使其几乎可以描述任何安全策略,甚至何安全策略,甚至DAC和和MAC也可以用也可以用RBAC来描来描述。述。返回本
24、章首页返回本章首页 2基于任务的访问控制基于任务的访问控制TBAC TBAC(Task-Based Access Control)是一种新是一种新的安全模型,从应用和企业层角度来解决安全问题的安全模型,从应用和企业层角度来解决安全问题(而非已往从系统的角度)。它采用(而非已往从系统的角度)。它采用“面向任务面向任务”的观点,从任务(活动)的角度来建立安全模型和的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时实现安全机制,在任务处理的过程中提供动态实时的安全管理。在的安全管理。在TBAC中,对象的访问权限控制并中,对象的访问权限控制并不是静止不变的,而是随
25、着执行任务的上下文环境不是静止不变的,而是随着执行任务的上下文环境发生变化,这是我们称其为主动安全模型的原因。发生变化,这是我们称其为主动安全模型的原因。返回本章首页返回本章首页 3基于组机制的访问控制基于组机制的访问控制 1988年,年,R.S.Sandhu等人提出了基于组机等人提出了基于组机制的制的NTree访问控制模型,之后该模型又得到了访问控制模型,之后该模型又得到了进一步扩充,相继产生了多维模型进一步扩充,相继产生了多维模型N_Grid和倒和倒树影模型。树影模型。NTree模型的基础是偏序的维数理论,模型的基础是偏序的维数理论,组的层次关系由维数为组的层次关系由维数为2的偏序关系(即
26、的偏序关系(即NTree树)表示,通过比较组节点在树)表示,通过比较组节点在NTree中的属性决中的属性决定资源共享和权限隔离。定资源共享和权限隔离。返回本章首页返回本章首页6.1.4 访问控制的实现技术访问控制的实现技术 访问控制的实现技术是指为了检测和防止访问控制的实现技术是指为了检测和防止系统中的未授权访问,对资源予以保护所采取的系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段。访问控软硬件措施和一系列的管理措施等手段。访问控制一般是在操作系统的控制下,按照事先确定的制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统规则决定是
27、否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全工作的全过程,是在文件系统中广泛应用的安全防护方法。防护方法。访问控制矩阵(访问控制矩阵(Access Control Matrix)是是最初实现访问控制技术的概念模型。最初实现访问控制技术的概念模型。返回本章首页返回本章首页 由于访问控制矩阵较大,并且会因许多主体对由于访问控制矩阵较大,并且会因许多主体对于大多数客体不能访问而造成矩阵变得过于稀疏,于大多数客体不能访问而造成矩阵变得过于稀疏,这显然不利于执行访问控制操作,因此,现实系统这显然不利于执行访问控制操作,因此,现实系统中通常不使用访问控制矩阵,但可在访问控制矩
28、阵中通常不使用访问控制矩阵,但可在访问控制矩阵的基础上实现其它访问控制模型,这主要包括:的基础上实现其它访问控制模型,这主要包括:基于访问控制表(基于访问控制表(Access Control Lists)的访问控的访问控制实现技术;制实现技术;基于能力关系表(基于能力关系表(Capabilities Lists)的访问控制的访问控制实现技术;实现技术;基于权限关系表(基于权限关系表(Authorization Relation)的访的访问控制实现技术。问控制实现技术。返回本章首页返回本章首页6.1.5 安全访问规则(授权)的管理安全访问规则(授权)的管理 授权的管理决定谁能被授权修改允许的访问
29、,授权的管理决定谁能被授权修改允许的访问,这可能是访问控制中最重要且又不易理解的特性这可能是访问控制中最重要且又不易理解的特性之一。之一。与访问控制技术相对应,通常有三类授权管与访问控制技术相对应,通常有三类授权管理问题,即(理问题,即(1)强制访问控制的授权管理,)强制访问控制的授权管理,(2)自主访问控制的授权管理,以及()自主访问控制的授权管理,以及(3)角色)角色访问控制强的授权管理。访问控制强的授权管理。返回本章首页返回本章首页6.2 操作系统安全技术操作系统安全技术 随着计算机技术的飞速发展和大规模应用。随着计算机技术的飞速发展和大规模应用。一方面,现实世界依赖计算机系统的程度越来
30、越一方面,现实世界依赖计算机系统的程度越来越高,另一方面计算机系统的安全问题也越来越突高,另一方面计算机系统的安全问题也越来越突出。出。AT&T实验室的实验室的S.Bellovin博士曾对美国博士曾对美国CERT(Computer Emergency Response Team,CERT)提供的安全报告进行分析,结果表明,提供的安全报告进行分析,结果表明,大约有一半的计算机网络安全问题是由软件工程大约有一半的计算机网络安全问题是由软件工程中的安全缺陷引起的,而操作系统的安全脆弱性中的安全缺陷引起的,而操作系统的安全脆弱性则是问题的根源之一。则是问题的根源之一。返回本章首页返回本章首页6.2.1
31、 操作系统安全准则操作系统安全准则 1操作系统的安全需求操作系统的安全需求 所谓安全的系统是指能够通过系统的安全机制控制只所谓安全的系统是指能够通过系统的安全机制控制只有系统授权的用户或代表授权用户的进程才允许读、写、有系统授权的用户或代表授权用户的进程才允许读、写、删、改信息。具体来说,共有六个方面的基本需求:删、改信息。具体来说,共有六个方面的基本需求:u安全策略安全策略u标记标记u鉴别鉴别u责任责任u保证保证u连续保护连续保护返回本章首页返回本章首页 2可信计算机系统评价准则可信计算机系统评价准则 从从80年代开始,国际上很多组织开始研究并年代开始,国际上很多组织开始研究并发布计算机系统
32、的安全性评价准则,最有影响和发布计算机系统的安全性评价准则,最有影响和代表的是美国国防部制定的可信计算机系统评价代表的是美国国防部制定的可信计算机系统评价准则,即准则,即TCSEC(Trusted Computer System Evaluation Criteria)。)。返回本章首页返回本章首页 根据这些需求,根据这些需求,TCSEC将评价准则划分为四类,将评价准则划分为四类,每一类中又细分了不同的级别:每一类中又细分了不同的级别:D类:不细分级别;类:不细分级别;C类:类:C1级,级,C2级;级;B类:类:B1级,级,B2级,级,B3级;级;A类:类:A1级;级;其中,其中,D类的安全级
33、别最低,类的安全级别最低,A类最高,高级别包类最高,高级别包括低级别的所有功能,同时又实现一些新的内容。括低级别的所有功能,同时又实现一些新的内容。实际工作中,主要通过测试系统与安全相关的部分实际工作中,主要通过测试系统与安全相关的部分来确定这些系统的设计和实现是否正确与完全,一个系来确定这些系统的设计和实现是否正确与完全,一个系统与安全相关的部分通常称之为可信基统与安全相关的部分通常称之为可信基TCB(Trusted Computing Base)。)。返回本章首页返回本章首页6.2.2 操作系统安全防护的一般方法操作系统安全防护的一般方法 1威胁系统资源安全的因素威胁系统资源安全的因素 威
34、胁系统资源安全的因素除设备部件故障外,还有威胁系统资源安全的因素除设备部件故障外,还有以下几种情况:以下几种情况:(1 1)用户的误操作或不合理地使用了系统提供的命令,)用户的误操作或不合理地使用了系统提供的命令,造成对资源的不期望的处理。造成对资源的不期望的处理。(2 2)恶意用户设法获取非授权的资源访问权。)恶意用户设法获取非授权的资源访问权。(3 3)恶意破坏系统资源或系统的正常运行。)恶意破坏系统资源或系统的正常运行。(4 4)破坏资源的完整性与保密性)破坏资源的完整性与保密性 。(5 5)用户之间的相互干扰。)用户之间的相互干扰。返回本章首页返回本章首页 2操作系统隔离控制安全措施操
35、作系统隔离控制安全措施 隔离控制的方法主要有下列四种。隔离控制的方法主要有下列四种。(1)隔离。)隔离。(2)时间隔离。)时间隔离。(3)逻辑隔离。)逻辑隔离。(4)加密隔离。)加密隔离。这几种隔离措施实现的复杂性是逐步递增的,这几种隔离措施实现的复杂性是逐步递增的,而它们的安全性则是逐步递减的,前两种方法的安而它们的安全性则是逐步递减的,前两种方法的安全性是比较高的,后两种隔离方法主要依赖操作系全性是比较高的,后两种隔离方法主要依赖操作系统的功能实现。统的功能实现。返回本章首页返回本章首页 3操作系统访问控制安全措施操作系统访问控制安全措施 在操作系统中为了提高安全级别,通常采用一在操作系统
36、中为了提高安全级别,通常采用一些比较好的访问控制措施以提高系统的整体安全性,些比较好的访问控制措施以提高系统的整体安全性,尤其是针对多用户、多任务的网络操作系统。尤其是针对多用户、多任务的网络操作系统。常用的访问控制措施有:常用的访问控制措施有:(1)自主访问控制)自主访问控制DAC(2)强制访问控制)强制访问控制MAC(3)基于角色的访问控制)基于角色的访问控制RBAC(4)域和类型执行的访问控制)域和类型执行的访问控制DTE返回本章首页返回本章首页6.2.3 操作系统资源防护技术操作系统资源防护技术 对操作系统的安全保护措施,其主要目标是对操作系统的安全保护措施,其主要目标是保护操作系统中
37、的各种资源,具体地讲,就是针保护操作系统中的各种资源,具体地讲,就是针对操作系统的登录控制、内存管理、文件系统这对操作系统的登录控制、内存管理、文件系统这三个主要方面实施安全保护。三个主要方面实施安全保护。1系统登录和用户管理的安全系统登录和用户管理的安全 (1 1)登录控制要严格。)登录控制要严格。(2 2)系统的口令管理。)系统的口令管理。(3 3)良好的用户管理。)良好的用户管理。返回本章首页返回本章首页 2内存管理的安全内存管理的安全 常用的内存保护技术有:常用的内存保护技术有:(1)单用户内存保护问题。)单用户内存保护问题。(2)多道程序的保护。)多道程序的保护。(3)标记保护法。)
38、标记保护法。(4)分段与分页技术。)分段与分页技术。返回本章首页返回本章首页 3文件系统的安全文件系统的安全 (1)分组保护分组保护。(2)许可权保护许可权保护。(3)指定保护指定保护。除了上面三个方面的安全保护措施之外,操除了上面三个方面的安全保护措施之外,操作系统的其它资源如各种外设、网络系统等也都作系统的其它资源如各种外设、网络系统等也都需要实施比较安全的保护措施,但它们的最终安需要实施比较安全的保护措施,但它们的最终安全防护可以归结为上面三个方面的操作系统资源全防护可以归结为上面三个方面的操作系统资源安全保护机制。安全保护机制。返回本章首页返回本章首页6.2.4 操作系统的安全模型操作
39、系统的安全模型 1安全模型的作用安全模型的作用 安全模型的几个特性:精确的、无歧义的;安全模型的几个特性:精确的、无歧义的;简易和抽象的,易于理解;简易和抽象的,易于理解;一般性的,只涉一般性的,只涉及安全性质,不过度地抑制操作系统的功能或其及安全性质,不过度地抑制操作系统的功能或其实现;是安全策略的明显表现。实现;是安全策略的明显表现。2监控器模型监控器模型 3多级安全模型多级安全模型 4信息流模型信息流模型返回本章首页返回本章首页 5安全模型小结安全模型小结 保护操作系统的安全模型,除了上面我们介保护操作系统的安全模型,除了上面我们介绍的具体模型之外,还有另外一类模型称之为抽绍的具体模型之
40、外,还有另外一类模型称之为抽象模型,它们以一般的可计算性理论为基础,可象模型,它们以一般的可计算性理论为基础,可以形式地表述一个安全系统能达到什么样的性能。以形式地表述一个安全系统能达到什么样的性能。这样的模型有这样的模型有Graham-Denning模型、模型、Harrison-Ruzzo-Ullman模型(模型(HRU模型)和获取模型)和获取-授予系授予系统模型。统模型。返回本章首页返回本章首页6.3 Unix/Linux操作系统的安全操作系统的安全 Unix系统是当今著名的多用户分时操作系系统是当今著名的多用户分时操作系统,以其优越的技术和性能,得到了迅速发展和统,以其优越的技术和性能,
41、得到了迅速发展和广泛应用。广泛应用。Linux系统于系统于1991年诞生于芬兰赫尔辛基大年诞生于芬兰赫尔辛基大学一位名叫学一位名叫Linus Torvalds的学生手中,作为类的学生手中,作为类Unix操作系统,它以其开放源代码、免费使用操作系统,它以其开放源代码、免费使用和可自由传播深受人们的喜爱。和可自由传播深受人们的喜爱。返回本章首页返回本章首页6.3.1 Unix/Linux安全基础安全基础 Unix/Linux是一种多任务多用户的操作系统,是一种多任务多用户的操作系统,其基本功能是防止使用同一台计算机的不同用户之其基本功能是防止使用同一台计算机的不同用户之间相互干扰。因此,间相互干扰
42、。因此,Unix/Linux操作系统在设计理操作系统在设计理念上已对安全问题进行了考虑。念上已对安全问题进行了考虑。Unix/Linux系统结构由用户、内核和硬件三个系统结构由用户、内核和硬件三个层次组成,通过中断、系统调用、异常为用户提供层次组成,通过中断、系统调用、异常为用户提供功能。功能。Unix/Linux操作系统具有两个执行状态:核心操作系统具有两个执行状态:核心态和用户态。态和用户态。返回本章首页返回本章首页6.3.2 Unix/Linux安全机制安全机制 Unix/Linux操作系统的安全机制主要包括:操作系统的安全机制主要包括:uPAM机制机制u入侵检测机制入侵检测机制u文件加
43、密机制文件加密机制u安全日志文件机制安全日志文件机制u防火墙机制防火墙机制返回本章首页返回本章首页6.3.3 Unix/Linux安全措施安全措施 Linux网络系统既可能受到来自网络外部黑客网络系统既可能受到来自网络外部黑客的攻击,也可能遇到网络内部合法用户的越权使用,的攻击,也可能遇到网络内部合法用户的越权使用,Linux网络系统管理员一定要为网络系统制定有效网络系统管理员一定要为网络系统制定有效的安全策略,只有采取有效的防范措施,才能保证的安全策略,只有采取有效的防范措施,才能保证网络系统的安全。网络系统的安全。1.Linux系统的安全策略系统的安全策略 Linux网络系统必须采用清晰明
44、确的安全策略,网络系统必须采用清晰明确的安全策略,只有这样系统管理员才可知道要保护什么,才可决只有这样系统管理员才可知道要保护什么,才可决定系统中的哪些资源允许别人访问。定系统中的哪些资源允许别人访问。返回本章首页返回本章首页 2LinuxLinux系统安全的防范措施系统安全的防范措施u按按“最小权限最小权限”原则设置每个内部用户账户的权限。原则设置每个内部用户账户的权限。u确保用户口令文件的安全。确保用户口令文件的安全。u充分利用防火墙机制。充分利用防火墙机制。u定期对定期对LinuxLinux网络进行安全检查。网络进行安全检查。u充分利用日志安全机制,记录所有网络访问。充分利用日志安全机制
45、,记录所有网络访问。u严格限制严格限制TelnetTelnet服务的权限。服务的权限。u完全禁止完全禁止fingerfinger服务。服务。u禁止系统对禁止系统对pingping命令的回应。命令的回应。u禁止禁止IPIP源路径路由。源路径路由。u禁止所有控制台程序的使用。禁止所有控制台程序的使用。返回本章首页返回本章首页6.4 Windows 2000/XP系统安全技术系统安全技术 Windows 2000/XP系列操作系统是系列操作系统是Microsoft公公司基于司基于Windows NT平台技术开发的操作系统。平台技术开发的操作系统。该系列操作系统现在已经发展到了该系列操作系统现在已经发
46、展到了Windows 2003 Server、Windows Vista。Windows 2000/XP系系列操作系统最初都是列操作系统最初都是32位的,现在位的,现在Windows XP、Windows 2003 Server和和Windows Vista都已经发展都已经发展到到64位版本。位版本。返回本章首页返回本章首页6.4.1 Windows 2000/XP安全基础安全基础1.Windows NT的系统结构的系统结构返回本章首页返回本章首页2.Windows NT的安全模型的安全模型 安全模型由本地认证、安全账户管理器和安全安全模型由本地认证、安全账户管理器和安全参考监视器构成。此外,
47、还包括注册、访问控制和参考监视器构成。此外,还包括注册、访问控制和对象安全服务等。对象安全服务等。返回本章首页返回本章首页6.4.2 Windows 2000/XP安全机制安全机制1.Windows 2000/XP的安全架构的安全架构 Windows 2000/XP通过通过5个构成金字塔状的安全个构成金字塔状的安全组件来保障系统的安全性。组件来保障系统的安全性。返回本章首页返回本章首页处于金字塔下层安处于金字塔下层安全组件的重要性较全组件的重要性较金字塔上层的安全金字塔上层的安全组件要高,支撑整组件要高,支撑整个安全架构的是完个安全架构的是完整定义的安全策略。整定义的安全策略。2.Window
48、s 2000/XP的安全子系统的安全子系统 Windows 2000/XP的安全子系统由的安全子系统由8个模块组成,各模块的功能如下:个模块组成,各模块的功能如下:uWinlogon:加载加载GINA,监视认证顺序。,监视认证顺序。uGraphical Identification and Authentication DLL(GINA):提供登:提供登录接口。录接口。uLocal Security Authority(LSA):本地安全认证,加载认证包。:本地安全认证,加载认证包。uSecurity Support Provider Interface(SSPI):Microsoft安全支持
49、提安全支持提供器接口。供器接口。uAuthentication Packages:认证包,提供真正的用户校验。认证包,提供真正的用户校验。uSecurity Support Providers:安全支持提供者,支持额外的验证机制。安全支持提供者,支持额外的验证机制。uNetlogon Service:网络登录服务,管理用户和用户证书的数据库。网络登录服务,管理用户和用户证书的数据库。uSecurity Account Manager(SAM):安全账号管理,为认证建立安:安全账号管理,为认证建立安全通道。全通道。返回本章首页返回本章首页Windows 2000/XP安全子系统的工作流程如下:安
50、全子系统的工作流程如下:返回本章首页返回本章首页6.4.3 Windows 2000/XP安全措施安全措施 尽管尽管Windows 2000/XP系列操作系统提供了多系列操作系统提供了多方面的安全机制,要使这些安全机制转化为现实的方面的安全机制,要使这些安全机制转化为现实的安全能力,进而保障系统安全,还必须要有详细的安全能力,进而保障系统安全,还必须要有详细的安全策略的支持。安全策略的支持。所谓安全策略,实际上就是一系列安全措施的所谓安全策略,实际上就是一系列安全措施的集合。这里主要从集合。这里主要从常规安全措施常规安全措施、操作系统安全配操作系统安全配置措施置措施和和网络通信安全措施网络通信
