1、计算机系统安全与访问控制n教材 第4章n主要内容 什么是计算机安全 安全级别 系统访问控制 windows ,LINUX 计算机系统的安全需求n保密性n安全性n完整性n服务可用性n有效性和合法性n信息流保护计算机系统安全技术n实体硬件安全技术n软件系统安全技术n数据信息安全技术n网络站点安全技术n运行服务安全技术n病毒防治技术n防火墙技术n计算机应用系统的安全评价计算机系统安全技术标准OSI安全体系结构的五种安全服务项目n鉴别(Authentication)n访问控制(Access Control)n数据保密(Data Confidentiality)n数据完整性(Data Integrity
2、)n抗否认(Non-reputation)八种安全机制n加密机制(Enciphrement Mechanisms)n数字签名机制(Digital Signature Mechanism)n访问控制机制(Access Control Mechanisms)n数据完整性机制(Data Integrity Mechanisms)八种安全机制(续)n鉴别交换机制(Authentication Mechanism)n通信业务填充机制(Traffic Padding Mechanisms)n路由控制机制(Routing Control Mechanisms)n公证机制(Notarization Mecha
3、nisms)安全级别n美国国防部 橙皮书nD 级 最低安全级别 DOS Windows 98nC1级 选择性安全保护nC2级 访问控制环境 权限 认证 审计 Unix、Windows NTnB1级 标志安全保护 安全级别(续)nB2级 结构保护 标签nB3级 安全域级别 安装硬件nA 级 验证设计 橙皮书最高级别 设计、控制和验证过程 可信任分布的分析系统访问控制n操作系统采用的安全控制方法主要是隔离控制和访问控制。n访问控制是安全控制的最核心问题。由它来确定谁能访问系统,能访问系统何种资源,以及在何种程度上使用这种资源,访问控制就是对系统各种资源的存取控制。它既包括对设备的存取控制,也包括对
4、文件、数据的存取控制n存取控制必须解决两个基本问题:一是访问控制策略,二是访问控制机构。基于口令的用户认证口令:口令是用户和系统间相互认可的码:口令有时由用户选择,有时由系统统一分配。口令的长度和形式也随系统的不同而不同。口令要验证,验证需要知道名称和口令。口令文件的加密,比较安全的策略是把口令加密。n口令选择标准:n1 使用比英文字母A-Z更多的符号。n2 选择长口令n3 避免使用特殊意义的口令。n4不要写出口令,而且经常规则变化口令。系统安全:Windows系统安全内 容nWindows安全结构nWindows安全技术Windows 9x/MEn它本身就不是一个安全的操作系统n主要的危险n
5、直接连接到共享资源上n远程访问注册表n安装后门服务程序n利用现有服务程序的漏洞n拒绝服务n本地系统的不安全性n重新启动n口令的不安全Windows安全性n设计目标n一致的、健壮的、基于对象的安全模型n满足商业用户的安全需求n一台机器上多个用户之间安全地共享资源n进程,内存,设备,文件,网络n安全模型n服务器管理和保护各种对象n客户通过服务器访问对象n服务器扮演客户,访问对象n访问的结果返回给服务器Windows NTnWindows NT是一个安全操作系统n虽然已经发现了大量的漏洞n但是总算补丁来得很及时n安全现状n对于Windows NT的大量攻击都是通过应用服务器进行的(比如IIS Web
6、 Server)。n尽快升级到Windows 2000Windows NT的安全架构Windows NT 系统内置支持用户n认证n访问控制n管理n审核Windows NT的安全子系统的实现(Security subsystem)Windows 2000Architecture用户管理:帐户(accounts)和组 groups)n帐户(user accounts)n定义了Windows中一个用户所必要的信息,包括口令、安全ID(SID)、组成员关系、登录限制,n组:universal groups、global groups、local groupsnAccount Identifier:Se
7、curity identifier(SID)n时间和空间唯一nS-1-N-Y1-Y2-Y3-Y4nSome well-known SIDsn字符串形式和二进制形式的SIDWindows NT安全组件(TCB)ReferencemonitorAccess validation requestsAudit generation requestsKernel modeuser modeLocal security policy databaseLocal Security AuthorityAuditLogfileAuthenticationServiceAccountdirectoryServic
8、esUser AccountDatabaseWinlogonAdministratice ToolsAuditmessagessecurity policy Security Access Tokenn是对一个进程或者线程的安全环境的完整描述n包括以下主要信息n用户帐户的SIDn所有包含该用户的安全组的SIDsn特权:该用户和用户组所拥有的权利nOwner nDefault Discretionary Access Control List(DACL)nn这是一个基本的安全单元,每个进程一个Object Securityn所有对对象的访问都要通过安全子系统的检查n系统中的所有对象都被保护起来n
9、文件、目录、注册表键n内核对象n同步对象n私有对象(如打印机等)n管道、内存、通讯,等n对象的安全描述符(security descriptor)nOwner SIDnGroup SIDsnDiscretionary ACLnAuditnSystem ACLWinlogon有关的概念nInitializing Winlogonn首先注册CTRL+ALT+DEL SAS(secure attention sequence)n然后在WinSta0 window station内创建三个desktopsnWinlogon desktopnApplication desktopnScreen-save
10、r desktopnWinlogon的状态nLogged-Out StatenLogged-On StatenWorkstation-Locked StateWinlogon图示WinlogonLSAAuth Pkg用户登录界面Account DBGINANetlogonWin32ShellNetlogonAuth PkgAccount DBAD/DCCTRL+ALT+DELWindows安全性的其他方面nNetwork connection securitynAuthentication、integrity、privacynSecure distributed applicationsnAu
11、thenticated RPCnDCOM securityClientServerRPC run timeSSPSSPRPC run timeWindows Registry(注册表)n注册表是一个很大的层次结构数据库,包含了大量的Windows配置信息,对于Windows的安全也是至关重要。一旦攻击者能够修改注册表信息,则系统安全会受到严重的威胁nWindows NT/2000中的每个注册表键都是受保护的对象n用RegEdt32可以远程访问注册表nWindows 2000中,注册表和活动目录(active directory)的关系n注册表是活动目录的一个部分写照n兼容性Windows 20
12、00中的活动目录(Active Directory)nWindows 2000支持两个目录服务nDNS,扩展 找到域控制器n活动目录 访问域中对象的信息n活动目录n一个数据库n访问协议 LDAPn信息的命名和组织方式nLDAP:/CN=smith,OU=users,OU=receivables,DC=us,DC=qwickbank,DC=com n活动目录的安全性n客户的身份认证 默认使用Kerberos作为认证协议n对信息的访问 每个对象和对象的属性都有自己单独的ACL表,从而实现精细的访问控制n活动目录的维护n实现快速的数据库搜索 索引和全局目录(GC,global catalog)n复制
13、机制 站点的概念,基于USN(更新序列号)的复制机制nn一组管理工具两个重要的安全服务nKerberosnPKIWindows 2000中几个证书存储区SAM数据库nSAM:Security Accounts Manager,包含有本地系统或者所控制域上所有用户的用户名和密文形式的密码n这是攻击者最感兴趣的部位n获取sam数据库,然后进行破解n在系统运行期间,sam数据库是上锁的n获取sam的手段n从另一个文件系统进行拷贝n从关键文件的备份中获取压缩之后的sam文件n在线提取密码散列值n从网络上进行监听n破解工具n无论是字典破解,还是穷举攻击,往往很奏效n两种手段结合起来使用n使用syskey
14、保护Windows 2000中的网络结构NDISTDI:Transport Driver InterfaceNetwork APIInterprocess commWindows NT的远程攻击n远程Buffer Overflowsn系统本身的buffer overflows漏洞并不多n拒绝服务n特权升级n往系统注入代码n对于执行权限的控制(比如Web相关的文件)nTrojan木马n可执行注册表键Windows 2000在安全性方面应该增强许多,至少把已有的大量漏洞都堵上了在引入新的强大功能的同时,也必然引入新的漏洞,特别是一些复杂的功能n活动目录作为一个全局的信息仓库n容易成为暴露信息的焦点
15、n还要考虑兼容性n认证协议的变化,NTLM-Kerberosn文件系统的增强,增强的NTFSnIPSec的全面支持,提供了方便的配置界面n新的安全工具:组策略n提供了大量新的服务,带来了危险n特别是Terminal ServiceWindows 2000安全性n单一登录nKerberos v5 集成nActive Directory 安全n验证的授权n加密文件系统n安全策略n可靠的 Windows平台安全的必要条件n单一的 企业级的登录n严格的验证n授权n安全通信n强制的策略n审核n互操作性n可伸缩的架构Windows 2000 单一登录n存在活动目录中的单一帐户n集成的 Kerberos v
16、5 登录n为public key凭证 提供受保护的存储n工业标准的网络安全协议智能卡登录Kerberos V5 集成Windows的管理策略n友好的界面,不安全的口令n使用安全的口令n了解缺省配置的不安全n关闭不必要的服务和端口n兼容性和安全性的平衡n打开跟安全有关的日志功能,并且经常备份和检查n用一些安全工具进行自我保健n应用系统的不安全性也可以摧毁底层的安全防线n紧跟Microsoft的补丁第3次上机实习 Diffie-Hellman密钥交换协议密钥交换协议n时间 04-2-5 18:00 20:30n地点 行健楼6楼n要求 n 考勤n 提交运行结果针对Windows 2000的入侵过程n
17、1.探测n选择攻击对象,了解部分简单的对象信息。n这里,针对具体的攻击目标,随便选择了一组IP地址,进行测试,选择处于活动状态的主机,进行攻击尝试;n针对探测的安全建议n对于网络:安装防火墙,禁止这种探测行为n对于主机:安装个人防火墙软件,禁止外部主机的ping包,使对方无法获知主机当前正确的活动状态针对Windows 2000的入侵过程n2.扫描n使用扫描软件n扫描目标服务器上的各种漏洞,包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等,而且漏洞数据可以随时更新。n开放端口扫描 n操作系统识别 n主机漏洞分析 Win2k的防范n尽量安装防火墙软件,并对安全规则库定期进行更新 n及时更新
18、操作系统厂商发布的Service Pack补丁程序 n停止主机上不必要的服务,各种服务打开的端口往往成为黑客攻击的入口 n使用安全的密码,最起码不要直接使用常见的单词、数字串以及可能暴露的主机信息(比如主机名、用户名等)n如果没有文件和打印机共享要求,最好禁止139和445端口上的空会话 n经常查看本机连接情况,并利用Task Manager查看本机运行的进程,及早发现异常情况 n可以利用一些安全工具提供的本机程序安全管理功能,监控本机程序的异常状态(主动连接外部陌生的地址),增强主机对木马程序的监控能力系统安全:Linux系统安全内 容nLinux系统介绍nLinux的安全结构nLinux安
19、全技术Linux操作系统n背景n最初由Linus Benedict Torvalds于1991年开发的n1994年3月发布第一个正式版本n内核升级模式n稳定的内核,第二个数字为偶数,例如2.2.14n开发的内核,第二个数字为奇数,例如2.1.14nLinux系统特点n兼容UNIX:API兼容,管理命令和各种工具n源码开放n支持各种硬件平台,支持多CPUnLinux平台上存在大量的应用软件,以及应用开发工具Linux内核n多用户,多任务,分时,软实时处理n不是微内核系统,但具有某些微内核特征nIntel版本:i386的保护模式,特权级n内核态(0)和用户态(3)n中断和系统调用两种特权级的切换n
20、PCB:进程控制块,常驻内存n进程是最基本的调度单元n进程是动态的,每一个进程都有一个进程控制块n没有专门的调度进程,内核中有一个schedule函数完成调度任务n进程在调度过程中有多种状态Linux文件系统nLinux支持多种文件系统,包括ext、ext2、hpfs、vfat、ntfs、n通过虚拟文件系统VFS,Linux操作系统可以支持不同类型的文件系统n文件系统类型管理n文件系统类型的注册途径:n在编译内核时确定n在文件系统作为模块装入时登记nextnext=0nextfile_systemfile_system_typeLinux用户管理n用户文件/etc/passwdnShadow
21、password:/etc/shadown此文件只对root可读n让用户拥有单独的组,而不是加入到共享的users组中ngroupaddn创建用户:useraddn改口令:passwdn管理口令的有效期nchageLinux中crypt口令加密方案ncrypt()是一个口令加密函数,它基于DES算法。我们可以认为这是一个单向加密操作n函数原型:char*crypt(const char*key,const char*salt);*salt是两个字符,每个字符可从a-zA-Z0-9./中选出来n算法nUNIX标准算法使用DES加密算法,用key对一个常量进行加密,获得一个13字节的密文编码输出,
22、其中包括salt的两个字符from Red Hat Linux 6.2nSalt的作用n同样的口令产生不同的密文n增加了穷举空间n建议使用更为安全的MD5算法Linux中Kerberos认证协议的支持n建立KDCn下载和安装Kerberos 5n配置Kerberosn启动服务n管理Kerberosnkadmin,管理Kerberos数据库n使用Kerberosnkinit,获得一个ticketnklist,列出所有的ticketsnkpasswd,修改口令nkdestroy,删除一个ticketn使用支持Kerberos的网络应用,例如ftp,telnet,等PAM(Pluggable Aut
23、hentication Modules)n一种可插入的认证机制n针对一个服务,指定一些认证相关的动作,放到/etc/pam.conf文件中,或者放到/etc/pam.d/下与服务同名的配置文件中n每一行包含一个模块类型、一个控制级别、一个模块:service module-type control-flag module argsn例如passwd password required pam_cracklib.so type=user retry=3passwd password required pam_pwdb.so use_authtokLinux内核安全性nLinux内核机制存在的一些
24、潜在缺陷n超级用户的特权可能会被滥用n系统文档不安全n系统内核可以比较容易地插入模块n内核中,进程不受保护Linux对网络的支持nLinux从UNIX继承了在网络方面的优势nLinux自身的发展也是与Internet息息相关的n介绍内容nLinux网络层次nLinux协议栈nLinux网络配置n内核防火墙Linux中网络的层次结构TCPBSD SocketsINET SocketsUDPIPPPPSLIPEthernetARPUserKernelNetwork ApplicationsSocket InterfaceProtocol LayersNetwork DevicesAppletalk
25、IPX口令破解n如何获得Linux的口令文件n口令文件的格式是公开的n口令文件passwd中,如果口令移到了shadow中,则没有口令信息n有一些工具能够获得shadow文件的副本n破解程序nCrack 猜口令nJohn the Ripper 字典攻击,也可以穷举攻击nXIT 字典攻击,DOS程序nn对策n使用shadow,MD5n使用强口令n失败多次之后,帐号锁定n结合其他的认证技术n日志记录 UNIX安全模型数据库系统安全教材 第5章基本内容n数据库安全概述n数据库的安全威胁n数据库的数据保护数据库安全概述n数据库的特性 操作系统 DBMSn DBMS安全使用特性 多用户 高可靠性 频繁的
26、更新 文件大数据库安全系统特性n数据独立性 物理独立性 逻辑独立性n数据安全性 隔离 授权 数据加密n数据的完整性 正确性 有效性 一致性n并发控制n故障恢复数据库安全的威胁n篡改n损坏n窃取数据库的数据保护n数据库的故障类型 事务内部的故障 系统故障 介质故障 计算机病毒与黑客n数据库的数据保护数据库的数据保护n数据库的安全性 物理设备 操作系统 数据库安全控制模型用户DBMSOSDB用户标识和鉴定存取控制操作系统安全保护密码存取(1)用户标识和鉴定n核对用户的名字或身份(ID)决定该用户对系统的使用权n数据库系统不允许一个未经授权的用户对数据库进行操作n用户登录时,系统用一张用户口令表来鉴
27、别用户身份 用户名 口令n系统提供相应的口令表 随机数 用户计算(2)存取控制n对于存取权限的定义称为授权 存储在数据字典n数据库的操作权限 查询权 记录的修改权 索引的建立权 数据库的创建权n授权规则 授权规则表 教材P120 表5.1访问控制矩阵模型 (Access Matrix Model)nA Si,Oj表示主体Si允许客体Oj所作的存取操作类型 2 1 02 22 12 201 21 11 10 mnmmmnnaaaaaaaaaaaa 将一条存取规则表示为一个四元组(S,O,P,T)。意思是:在谓词P所表示的条件成立时,允许主体S对客体O进行类型T 的存取。(3)数据分级n数据分级
28、为每一数据对象赋予一定的保密级 例如:绝密级 机密级 秘密级 公用级n用户 用户i只能看比他级别低或同级的数据库 用户i只能修改同级的数据库(4)数据加密n数据库密码系统的基本流程数据库密码系统的基本流程n数据库密码系统要求将明文数据加密成密文数据,数据库密码系统要求将明文数据加密成密文数据,数据库中存储密文数据,查询时将密文数据取出解数据库中存储密文数据,查询时将密文数据取出解密得到明文信息密得到明文信息n数据库密码系统应采用公开密钥数据库密码系统应采用公开密钥 数据库数据是共享的数据库数据是共享的 n多级密钥结构多级密钥结构 数据库关系运算中参与运算的最小单位是字段,查询数据库关系运算中参与运算的最小单位是字段,查询路径依次是库名、表名、记录名和字段名路径依次是库名、表名、记录名和字段名 数据库加密的范围n 索引字段不能加密n关系运算的比较字段不能加密 n表间的连接码字段不能加密 通用智能题库安全保密系统的实现 数据的完整性n防止数据库中存在不符合语义的数据,防止错误信息的输入和输出 正确性 有效性 一致性n完整性约束 静态约束 数据类型与值域的约束 关键字约束 数据联系的约束 动态约束 状态改变 新旧值之间的约束 例 更新年龄 数据库并发控制n大型多用户数据库n数据资源共享n多用户并行操作数据库n保证数据在不同的用户使用时的一致性
