1第第8 8章章 操作系统安全性操作系统安全性 ISOISO信息技术安全评价通用准则信息技术安全评价通用准则 隔离隔离 分级安全管理分级安全管理 通信网络安全管理通信网络安全管理 信息安全管理信息安全管理 预防、发现、消除计算机病毒预防、发现、消除计算机病毒 WINDOWS2000 WINDOWS2000安全性安全性 UnixWare 2.1/ES UnixWare 2.1/ES 的安全性的安全性2ISOISO信息技术安全评价通用准则信息技术安全评价通用准则D D 最低安全性最低安全性C1 C1 自主存取控制自主存取控制C2 C2 较完善的自主存取控制、审计较完善的自主存取控制、审计B1 B1 强制存取控制强制存取控制B2 B2 良好的结构化设计、形式化安全模型良好的结构化设计、形式化安全模型B3 B3 全面的访问控制、可信恢复全面的访问控制、可信恢复A1 A1 形式化认证形式化认证3分级安全管理分级安全管理系统级安全管理：不允许未经核准的用户进入系统系统级安全管理：不允许未经核准的用户进入系统注册：系统纪录注册用户名注册：系统纪录注册用户名/ /口令口令登录：系统核对用户名登录：系统核对用户名/ /口令口令用用户户级级安安全全管管理理：为为给给用用户户文文件件分分配配文文件件“访访问问权权限限”而而设设计计的的；例例如如，UnixUnix中中，将将用用户户分分成成三三类类：文件主、授权用户和一般用户文件主、授权用户和一般用户 文文件件级级安安全全管管理理：通通过过系系统统管管理理员员或或文文件件主主对对文文件件属属性性的的设设置置，来来控控制制用用户户对对文文件件的的访访问问；通通常常可可对对文文件件置置以以下下属属性性：执执行行、隐隐含含、修修改改、索索引引、只只读读、写写 、共享等、共享等4通信网络安全管理通信网络安全管理对对网网络络安安全全的的主主要要威威胁胁：非非授授权权访访问问、冒冒充充合合法法用用户户、破破坏坏数数据据完完整整性性、干干扰扰系系统统正正常常运行、利用网络传播病毒、线路窃听等方面运行、利用网络传播病毒、线路窃听等方面网网络络操操作作系系统统必必须须采采用用多多种种安安全全措措施施和和手手段段：用用户户身身份份验验证证和和对对等等实实体体鉴鉴别别；访访问问控控制制；数据完整性；加密；防抵赖；审计数据完整性；加密；防抵赖；审计网络系统安全保障的实现方法网络系统安全保障的实现方法以防火墙技术为代表的防卫型网络安全保障系统以防火墙技术为代表的防卫型网络安全保障系统建建立立在在数数据据加加密密和和用用户户授授权权确确认认机机制制上上的的开开放放型型网络安全保障系统网络安全保障系统5信息安全管理信息安全管理保保护护信信息息以以防防止止未未授授权权者者对对信信息息的的恶恶意意访访问问、泄泄漏漏、修修改改和和破坏，从而导致信息的不可靠或被破坏破坏，从而导致信息的不可靠或被破坏机机密密性性Confidentiality:Confidentiality:定定义义了了哪哪些些系系统统资资源源不不能能被被未未授授权用户访问权用户访问完完整整性性Integrity:Integrity:决决定定了了信信息息不不能能被被未未授授权权的的来来源源所所替替代代或遭到改变和破坏或遭到改变和破坏可可用用性性Availability:Availability:防防止止非非法法独独占占资资源源，每每当当用用户户需需要要并有权访问时，总能访问到所需的信息资源并有权访问时，总能访问到所需的信息资源信息系统的安全性可用信息系统的安全性可用4 4A A的完善程度来衡量的完善程度来衡量用用户户身身份份验验证证AuthenticationAuthentication：在在用用户户获获取取信信息息、访访问问系系统统资资源源前前对对其其身身份份标标识识进进行行确确定定和和验验证证，以以保保证证用用户户的的合合法性法性授授权权AuthorizationAuthorization：使使不不同同的的用用户户能能用用各各自自的的权权限限合合法法地访问他们可使用的信息及系统资源地访问他们可使用的信息及系统资源审计审计AuditAudit：对各种安全性事件的检查、跟踪和记录对各种安全性事件的检查、跟踪和记录保保证证AssuranceAssurance：在在意意外外故故障障乃乃至至灾灾难难中中信信息息资资源源不不被被破破坏与丢失坏与丢失6预防、发现、消除计算机病毒预防、发现、消除计算机病毒计计算算机机病病毒毒是是一一个个能能够够通通过过修修改改程程序序，并并把把自自身身的的复制品包括在内去复制品包括在内去“传染传染” ” 其它程序的一种程序其它程序的一种程序计计算算机机病病毒毒的的特特性性：破破坏坏性性、隐隐蔽蔽性性、传传染染性性、表表现性现性计计算算机机病病毒毒按按其其寄寄生生方方式式：源源码码病病毒毒、入入侵侵病病毒毒、外壳病毒、系统病毒外壳病毒、系统病毒计算机病毒的防治：计算机病毒的防治：病毒的预防，指采取措施保护传染对象不受病毒的传染病毒的预防，指采取措施保护传染对象不受病毒的传染病病毒毒的的发发现现，应应该该尽尽早早根根据据种种种种蛛蛛丝丝马马迹迹发发现现病病毒毒的的存存在在，以便消除它以便消除它病病毒毒的的消消除除，有有专专门门的的杀杀毒毒工工具具，如如VsafeVsafe、MSAVMSAV、KillKill等，使系统恢复正常。等，使系统恢复正常。 7安全性和保护的基本机制安全性和保护的基本机制安安全全策策略略定定义义了了一一组组用用于于授授权权使使用用其其计计算算机机及信息资源的规则及信息资源的规则 保护机制是实施组织安全策略的工具保护机制是实施组织安全策略的工具身份鉴别分为内部和外部身份鉴别两种身份鉴别分为内部和外部身份鉴别两种外部身份鉴别涉及验证某用户是否是其宣称的外部身份鉴别涉及验证某用户是否是其宣称的 内内部部身身份份鉴鉴别别机机制制确确保保某某进进程程不不能能表表现现为为除除了了它自身以外的进程它自身以外的进程 授授权权机机制制确确认认用用户户或或进进程程只只有有在在策策略略许许可可某某种使用时才能够使用计算机的实体种使用时才能够使用计算机的实体加加密密是是将将信信息息编编码码成成像像密密文文一一样样难难解解形形式式的的技术技术 8授权的实现授权的实现状态隔离状态隔离例：例：VAX/VMSVAX/VMS的四种处理器模式的四种处理器模式内内核核( (Kernel)Kernel)态态：执执行行VMSVMS操操作作系系统统的的内内核核，包包括括内内存存管理、中断处理、管理、中断处理、I/OI/O操作等操作等执执行行( (Executive)Executive)态态：执执行行操操作作系系统统的的各各种种系系统统调调用用，如文件操作等如文件操作等监监管管( (Supervisor)Supervisor)态态：执执行行操操作作系系统统其其余余系系统统调调用用，如应答用户请求如应答用户请求用用户户( (User)User)态态：执执行行用用户户程程序序；执执行行诸诸如如编编译译、编编辑辑、连接、和排错等各种实用程序连接、和排错等各种实用程序空间隔离空间隔离访问矩阵的实现访问矩阵的实现内存锁与内存锁与keykey、访问控制列表、权能访问控制列表、权能9密码学密码学加密函数与解密函数加密函数与解密函数加密与解密机制的实现加密与解密机制的实现机制的实现保密机制的实现保密密钥保密密钥保密10Windows2000Windows2000安全性系统组件安全性系统组件 安全引用监视器安全引用监视器( (SRM)SRM) 本地安全权限本地安全权限( (LSA)LSA)服务器服务器 LSA LSA策略数据库策略数据库 安全账号管理器服务器安全账号管理器服务器 SAM SAM数据库数据库 默认身份认证包默认身份认证包 登录进程登录进程 网络登录服务网络登录服务11Windows2000Windows2000的保护对象的保护对象 保保护护对对象象包包括括：文文件件、设设备备、邮邮件件槽槽、己己命命名名的的和和未未命命名名的的管管道道、进进程程、线线程程、事事件件、互互斥斥体体、信信号号量量、可可等等待待定定时时器器、访访问问令令牌牌、窗窗口口站站、桌桌面面、网络共享、服务、注册表键和打印机网络共享、服务、注册表键和打印机 12Windows2000Windows2000的保护对象的保护对象 安全描述体和访问控制安全描述体和访问控制每每个个保保护护对对象象都都有有一一个个安安全全描描述述体体，用用以以控控制制哪哪些些用用户户可可以以对对访访问问的的对对象象做做什什么么，它包含下列主要属性：它包含下列主要属性：所有者所有者SIDSID：所有者的安全所有者的安全IDID组组SIDSID：用于对象主要组的用于对象主要组的SIDSID谨谨慎慎访访问问控控制制列列表表DACLDACL：指指定定谁谁可可以以对对访问的对象做什么访问的对象做什么系系统统访访问问控控制制列列表表SACLSACL：指指定定哪哪些些用用户户的哪些操作应登录到安全审核日志中的哪些操作应登录到安全审核日志中13Windows2000Windows2000的保护对象的保护对象 安全描述体和访问控制安全描述体和访问控制访访问问控控制制列列表表ACLACL包包括括一一个个ACLACL头头和和零零个个或多个或多个“访问控制项访问控制项”(”(ACE)ACE)结构结构在在DACLDACL中中，每每个个ACEACE都都包包含含一一个个安安全全标标识识和和访访问问掩掩码码；DACLDACL中中可可能能存存在在两两种种类型的类型的ACEACE：访问允许和访问拒绝访问允许和访问拒绝SACLSACL只只包包含含系系统统审审核核ACEACE，用用来来指指明明特特定定用用户户或或组组在在对对象象上上进进行行的的应应得得到到审审核的操作核的操作14Windows2000Windows2000的保护对象的保护对象 访问令牌与模仿访问令牌与模仿访访问问令令牌牌是是一一个个包包含含进进程程或或线线程程安安全全标标识识的的数数据据结结构构：安安全全ID(SID)ID(SID)、用用户户所所属属组组的的列列表以及启用和禁用的特权列表表以及启用和禁用的特权列表每每个个进进程程都都从从它它的的创创建建进进程程继继承承了了一一个个首首选选访问令牌访问令牌单单个个线线程程也也可可以以有有自自己己的的访访问问令令牌牌如如果果它们在它们在“模仿模仿”客户客户许许多多系系统统进进程程在在名名为为SYSTEMSYSTEM的的特特殊殊访访问问令令牌牌下运行下运行15Windows2000Windows2000的安全审核的安全审核 对对象象管管理理器器可可以以生生成成审审核核事事件件作作为为访访问问检检查查的结果，用户也可以直接生成审核事件的结果，用户也可以直接生成审核事件LSALSA的的审审核核规规控控制制对对审审核核一一个个特特殊殊类类型型安安全全事事件件的的决决定定；LSALSA向向SRMSRM发发送送消消息息以以通通知知它它系系统统初初始始化化时时的的审审核核规规则则和和规规则则更更改改的的时时间间；LSALSA负负责责接接收收来来自自SRMSRM的的审审核核记记录录，对对它它们们进进行行编编辑并将记录发送到事件日志中辑并将记录发送到事件日志中SRMSRM经经连连接接到到LSALSA的的IPCIPC发发送送这这些些审审核核事事件件，事事件记录器将审核事件写入安全日志中件记录器将审核事件写入安全日志中当当接接收收到到审审核核记记录录后后，它它们们被被放放到到队队列列中中以以被发送到被发送到LSALSA16Windows2000Windows2000的登录过程的登录过程登登录录是是通通过过登登录录进进程程、ISAISA、一一个个或或多多个个身身份验证包和份验证包和SAMSAM的相互作用发生的的相互作用发生的身份验证包是执行身份验证检查的身份验证包是执行身份验证检查的登登录录进进程程是是一一个个受受托托进进程程，负负责责管管理理与与安安全全性性相相关关的的用用户户相相互互作作用用；它它协协调调登登录录，在在登登录录时时启启动动用用户户外外壳壳，处处理理注注销销和和管管理理各各种种与与安安全全性性相相关关的的其其他他操操作作，包包括括登登录录时时输输入入口口令令、更更改改口口令令以以及及锁锁定定和和解解锁锁工工作站作站17Windows2000Windows2000的活动目录的活动目录 活活动动目目录录存存储储了了有有关关网网络络上上所所有有资资源源的的信信息息，它它使使开开发发者者、管管理理员员和和用用户户可可以以很很容容易易地地找找到到和和使使用这些信息用这些信息活活动动目目录录结结构构具具有有以以下下主主要要特特性性：灵灵活活的的分分级级结结构构、有有效效的的多多主主机机复复制制、粒粒状状安安全全授授权权、新新对对象象类类和和属属性性的的可可扩扩展展存存储储、通通过过轻轻量量目目录录访访问问协协议议( (LDAP)LDAP)版版本本3 3支支持持实实现现的的基基于于标标准准的的相相互互操操作作性性、每每一一个个存存储储中中可可达达到到上上百百万万对对象象、集集成成动动态态域域名名系统系统( (DNS)DNS)服务器、可编程类存储服务器、可编程类存储活动目录也是改进分布式系统安全性的重要基础活动目录也是改进分布式系统安全性的重要基础18Windows2000Windows2000的分布式安全性扩充的分布式安全性扩充 活动目录对所有域安全策略和账号信息提供存储活动目录对所有域安全策略和账号信息提供存储对对于于用用户户、组组和和计计算算机机账账号号信信息息，活活动动目目录录支支持持多级分层树状名称空间多级分层树状名称空间创创建建和和管管理理用用户户或或组组账账号号的的管管理理员员权权限限可可以以委委派派给组织单元级给组织单元级包包括括以以InternetInternet标标准准安安全全协协议议为为基基础础的的新新身身份份验验证证安全通道安全协议的实施安全通道安全协议的实施支持用于相互作用登录的智能卡支持用于相互作用登录的智能卡支持支持X.509X.509版本版本3 3证书、证书、CryptoAPICryptoAPI证书证书支持公用密钥证书支持公用密钥证书支持个人安全证书支持个人安全证书19Windows2000Windows2000的文件加密的文件加密 加加密密文文件件系系统统( (EFS)EFS)允允许许NTFSNTFS卷卷上上的的加加密密文文件的存储件的存储EFSEFS与与NTFSNTFS紧紧密密集集成成，EFSEFS的的驱驱动动程程序序组组件件以以核核心心态态运运行行，使使用用非非页页交交换换区区存存储储文文件件密密钥钥，确确保保这这些些文文件件密密钥钥不不会会将将其其变变成成页页面调度文件面调度文件EFSEFS的的关关键键组组件件：Win32APIWin32API、EFSEFS驱驱动动程程序序、FSRTIJFSRTIJ标注、标注、EFSEFS服务服务文文件件加加密密可可以以使使用用任任何何加加密密算算法法；EFSEFS第第一一版版将将采采用用DES(DES(数数据据加加密密标标准准) )作作为为加加密密算算法法；以后的版本将允许改变加密方案以后的版本将允许改变加密方案20Windows2000Windows2000的安全配置编辑程序的安全配置编辑程序 新新的的安安全全配配置置编编辑辑程程序序为为以以Windows2000Windows2000为为基基础础的的单单个个站站点点提提供供系系统统安安全全管管理理，允允许许管理员配置和分析系统安全策略管理员配置和分析系统安全策略安安全全配配置置编编辑辑程程序序将将提提供供在在宏宏水水平平上上的的分分析析安安全全配配置置编编辑辑程程序序允允许许管管理理员员定定义义很很多多配配置置设设置置，并并使使它它们们在在后后台台生生效效，运运用用此此工工具，能使配置任务分组和自动化具，能使配置任务分组和自动化安安全全配配置置编编辑辑程程序序的的设设计计目目标标在在于于通通过过定定义义一一个个能能够够解解释释标标准准配配置置模模板板并并在在后后台台自自动动执执行行所所请请求求的的操操作作的的引引擎擎来来实实现现这这些些系系统工具统工具21UnixWare 2.1/ES UnixWare 2.1/ES 的安全性的安全性标识与鉴别标识与鉴别 系系统统中中的的每每个个用用户户都都识识置置了了一一个个安安全全级级范范围围，表表示示用用户户的的安安全全等等级级，系系统统除除进进行行身身份份和和口口令令的的判判别别外外，还还进进行行安安全全级级判判别别，以以保保证证进进入入系系统统的的陶陶户具有合法的身份标识和安全级别户具有合法的身份标识和安全级别审计审计 用用于于监监视视和和记记录录系系统统中中有有关关安安全全性性的的活活动动。可可以以有有选选择择地地设设置置哪哪些些用用户户、哪哪些些操操作作( (或或系系统统调调用用) ) 、对对哪哪些些敏敏感感资资源源的的访访问问需需要要审审计计。这这些些事事件件的的活活动动就就会会在在系系统统中中留留下下痕痕迹迹，事事件件的的类类型型、用用户户的的身身份份、操操作作的的时时间间、参参数数和和状状态态等等构构成成一一个个审审记记记记录录记记入入审审记记日日志志。通通过过检检查查审审记记日日志志可可以以发发现有无危害安全性的活动现有无危害安全性的活动22UnixWare 2.1/ES UnixWare 2.1/ES 的安全性的安全性自自主主存存取取控控制制：用用于于实实现现按按用用户户意意愿愿的的存存取取控控制制。用用户户可可以以说说明明其其私私有有资资源源允允许许系系统统中中哪哪个个或或哪哪些些用用户户以以何何种种权权限限进进行行共共享享。系系统统中中的的每每个个文文件件、消消息息队队列列、信信号号量量集集、共共享享存存储储区区、目目录录、和和管管道道都都可可具具有有一一个个存存取取控控制制表表，说说明明允允许许系系统统中中的的用用户户对对该该资源的存取方式资源的存取方式强强制制存存取取控控制制：提提供供基基于于信信息息机机密密性性的的存存取取控控制制方方法法，用用于于将将系系统统中中的的用用户户和和信信息息进进行行分分级级别别、分分类类别别管管理理，强强制制限限制制信信息息的的共共享享和和流流动动，使使不不同同级级别别和和类类别别的的用用户户只只能能访访问问到到与与其其相相关关的的、指指定定范范围围的的信息，从根本上防止信息的泄密和乱访问现象信息，从根本上防止信息的泄密和乱访问现象23UnixWare 2.1/ES UnixWare 2.1/ES 的安全性的安全性设设备备安安全全性性：周周于于控控制制文文件件卷卷、打打印印机机、终终端端等等设设备备I/OI/O信息的安全级范围信息的安全级范围特特权权管管理理：系系统统的的每每个个用用户户和和进进程程只只具具有有完完成成其其任任务务的的最最佳佳特特权权，没没有有超超级级用用户户，设设若若干干系系统统管管理理员员/ /操操作作员员共共同同管管理理，他他们们只只有有部部分分特特权权且且相相互互间间有有所约束所约束可可信信通通路路：提提供供一一种种可可信信的的用用户户登登录录方方式式，防防止止窃窃取口令以登录到系统中取口令以登录到系统中隐隐通通道道处处理理：用用于于堵堵塞塞隐隐通通道道或或降降低低隐隐通通道道的的带带宽宽，并审记其使用情况并审记其使用情况网网络络安安全全：实实现现安安全全系系统统之之间间及及安安全全系系统统与与非非安安全全系系统统之之间间的的网网络络互互通通，可可进进行行网网络络身身份份认认证证、控控制制进入、防火墙、网络审计等功能进入、防火墙、网络审计等功能个人观点供参考，欢迎讨论