操作系统安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
鉴别(authentication)——验证用户,设备,进程 和实体的身份;
Unix/Linux实现了基本的标识和鉴别机制。一般系 统中有三类用户:超级用户,普通用户和系统用户。
超级用户:root 普通用户是指那些能够登录系统的用户 系统用于特定的系统目的。例如用户nobody和lp
完整性。完整性要求信息在存储或传输过程中保持不被修改、破 坏和丢失。
可靠性。可靠性是指系统提供信息的可信赖程度。 可用性。可用性是指当需要时是否能存取所需信息,保护信息的
可用性的任务就是防止信息失效或变得不可存取。
操作系统安全的目标
为用户信息处理提供安全的软件环境,为应用程序运行提供安全 可靠的运行环境。
标记安全保护,如System V等 C1+访问控制,广泛审核,Linux/WINDOWS NT
主体自主决定的安全保护,UNIX/WINDOWS 不分等级,无口令和权限控制,MS DOS
9
9.1.3 Unix/Linux操作系统安全-机制
用户标识和身份鉴别 每个用户一个唯一的标识符(UID); 系统给每个用户组也分配有一个唯一的标识符(GID); 登录需要密码口令;
13
标识与鉴别
UID和GID通常是唯一的,不同的用户拥有不同的 UID,不同的用户组拥有不同的GID;
4
操作系统的安全需求
系统边界安全 认证和鉴别禁止非法用户进入系统;
系统使用权限管理机制 不同用户配置不同的权限,每个用户只拥有他能够工作的最小权利;
应用和数据的访问控制机制 用户只能按照指定的访问控制安全策略访问数据;
为系统用户提供可信通路 保证系统登陆和应用层提供的安全机制不被旁路;
主体(subject) 即主动实体,导致信息在系统中流动及改变系统状态的用户或进程等;
客体(object) 能包含或接受信息的被动实体,如文件、内存块等;
敏感标记 (sensitivity label) 表示客体安全级别并描述客体数据敏感性的一组信息;
安全策略(security policy) 系统资源使用和管理的安全规定和约定;
6
系统安全的评估与标准
TCSEC:Trusted Computer System Evaluation Criteria
标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。 1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。
国标GB17859-1999:《计算机信息系统安全保护等级划分准则》
该准则参照TCSEC标准规定了计算机信息系统安全保护能力的五个等级。 用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证
保护级
POSIX.1e (Portable Operating System Interface for Computer Environment))
整个系统可能完全被非法控制。
11
9. 2 操作系统安全机制
标识和鉴别 可信路径管理 禁止客体重用 最小特权管理 访问控制技术 隐蔽信道检测与控制 安全审计
12
9.2.1 标识与鉴别
用户标识(user identification)——信息系统用以 标识用户的一个独特符号或字符串;
系统操作的安全审计和管理 检查错误发生的原因,或者受到攻击时攻击者留下的痕迹;
5
9.1.2 系统安全的评估与标准
计算机信息系统 (computer information system) 由计算机及其相关的和配套的设备、设施(含网络)构成;
可信计算基 (trusted computing base ) 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安 全策略的组合体。
基于保护位的自主访问控制安全机制 用户:owner/group/other) 访问权限:read/write/executable。
日志信息 包括:连接时间日志、进程统计和错误日志。
10
Unix/Linux操作系统安全-弱点
用户数据保护机制并不能保Biblioteka Baidu严格安全要求; 超级用户成为系统安全瓶颈; 缺乏必要的系统审计机制; 用户认证方面的要求不够严格; 系统自身的完整性保护问题,一旦加载恶意的核心模块,
操作系统
第九章 操作系统安全
主要内容
操作系统安全性基本概念 操作系统主要安全机制 安全操作系统设计与实现
2
9.1 操作系统的安全性
操作系统的安全需求 系统安全的评估与标准 Unix/Linux操作系统安全
3
9.1.1 操作系统的安全需求
计算机信息系统安全性
保密性。安全保密是指防止信息的非授权修改,这也是信息安全 最重要的要求。
POSIX.1e是POSIX系列标准的一部分。它定义了POSIX.1规范的安全扩展部分; POSIX.1e只规定了安全特性的函数接口(Security APIs)。
7
1. TCSEC- 共分A、B、C、D四类八个级别
D: 非安全保护 C: 自主保护级
C1: 允许客体拥有者决定该客体的访问控制权,是否可以被其他主体访问 ; C2: 自主访问控制更加细致。考虑客体重用和系统审计 ;
A1:验证设计级,设计可以被形式化的证明; A2:验证实现级保护,实现可以被形式化的证明 。
8
系统安全的评估与标准
A级 B3 级 B2 级 B1 级 C2 级 C1 级 D级
形式化校验级保护,SNS 安全内核,高抗渗透能力,Trusted Mach 结构化内容保护,正式安全策略模型,MULTICS
B:强制安全
B1: 标记安全保护,标记和强制访问控制; B2: 结构安全保护,强制访问控制的范围扩大到所有的系统资源,给出证明,要求考虑隐蔽
信道(存储),并计算出带宽。 B3: 安全区域保护,TCB不包含与安全无关的代码,并足够小到可以被测试、分析、证明,系
统具有恢复能力。
A:验证安全保护
Unix/Linux实现了基本的标识和鉴别机制。一般系 统中有三类用户:超级用户,普通用户和系统用户。
超级用户:root 普通用户是指那些能够登录系统的用户 系统用于特定的系统目的。例如用户nobody和lp
完整性。完整性要求信息在存储或传输过程中保持不被修改、破 坏和丢失。
可靠性。可靠性是指系统提供信息的可信赖程度。 可用性。可用性是指当需要时是否能存取所需信息,保护信息的
可用性的任务就是防止信息失效或变得不可存取。
操作系统安全的目标
为用户信息处理提供安全的软件环境,为应用程序运行提供安全 可靠的运行环境。
标记安全保护,如System V等 C1+访问控制,广泛审核,Linux/WINDOWS NT
主体自主决定的安全保护,UNIX/WINDOWS 不分等级,无口令和权限控制,MS DOS
9
9.1.3 Unix/Linux操作系统安全-机制
用户标识和身份鉴别 每个用户一个唯一的标识符(UID); 系统给每个用户组也分配有一个唯一的标识符(GID); 登录需要密码口令;
13
标识与鉴别
UID和GID通常是唯一的,不同的用户拥有不同的 UID,不同的用户组拥有不同的GID;
4
操作系统的安全需求
系统边界安全 认证和鉴别禁止非法用户进入系统;
系统使用权限管理机制 不同用户配置不同的权限,每个用户只拥有他能够工作的最小权利;
应用和数据的访问控制机制 用户只能按照指定的访问控制安全策略访问数据;
为系统用户提供可信通路 保证系统登陆和应用层提供的安全机制不被旁路;
主体(subject) 即主动实体,导致信息在系统中流动及改变系统状态的用户或进程等;
客体(object) 能包含或接受信息的被动实体,如文件、内存块等;
敏感标记 (sensitivity label) 表示客体安全级别并描述客体数据敏感性的一组信息;
安全策略(security policy) 系统资源使用和管理的安全规定和约定;
6
系统安全的评估与标准
TCSEC:Trusted Computer System Evaluation Criteria
标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。 1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。
国标GB17859-1999:《计算机信息系统安全保护等级划分准则》
该准则参照TCSEC标准规定了计算机信息系统安全保护能力的五个等级。 用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证
保护级
POSIX.1e (Portable Operating System Interface for Computer Environment))
整个系统可能完全被非法控制。
11
9. 2 操作系统安全机制
标识和鉴别 可信路径管理 禁止客体重用 最小特权管理 访问控制技术 隐蔽信道检测与控制 安全审计
12
9.2.1 标识与鉴别
用户标识(user identification)——信息系统用以 标识用户的一个独特符号或字符串;
系统操作的安全审计和管理 检查错误发生的原因,或者受到攻击时攻击者留下的痕迹;
5
9.1.2 系统安全的评估与标准
计算机信息系统 (computer information system) 由计算机及其相关的和配套的设备、设施(含网络)构成;
可信计算基 (trusted computing base ) 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安 全策略的组合体。
基于保护位的自主访问控制安全机制 用户:owner/group/other) 访问权限:read/write/executable。
日志信息 包括:连接时间日志、进程统计和错误日志。
10
Unix/Linux操作系统安全-弱点
用户数据保护机制并不能保Biblioteka Baidu严格安全要求; 超级用户成为系统安全瓶颈; 缺乏必要的系统审计机制; 用户认证方面的要求不够严格; 系统自身的完整性保护问题,一旦加载恶意的核心模块,
操作系统
第九章 操作系统安全
主要内容
操作系统安全性基本概念 操作系统主要安全机制 安全操作系统设计与实现
2
9.1 操作系统的安全性
操作系统的安全需求 系统安全的评估与标准 Unix/Linux操作系统安全
3
9.1.1 操作系统的安全需求
计算机信息系统安全性
保密性。安全保密是指防止信息的非授权修改,这也是信息安全 最重要的要求。
POSIX.1e是POSIX系列标准的一部分。它定义了POSIX.1规范的安全扩展部分; POSIX.1e只规定了安全特性的函数接口(Security APIs)。
7
1. TCSEC- 共分A、B、C、D四类八个级别
D: 非安全保护 C: 自主保护级
C1: 允许客体拥有者决定该客体的访问控制权,是否可以被其他主体访问 ; C2: 自主访问控制更加细致。考虑客体重用和系统审计 ;
A1:验证设计级,设计可以被形式化的证明; A2:验证实现级保护,实现可以被形式化的证明 。
8
系统安全的评估与标准
A级 B3 级 B2 级 B1 级 C2 级 C1 级 D级
形式化校验级保护,SNS 安全内核,高抗渗透能力,Trusted Mach 结构化内容保护,正式安全策略模型,MULTICS
B:强制安全
B1: 标记安全保护,标记和强制访问控制; B2: 结构安全保护,强制访问控制的范围扩大到所有的系统资源,给出证明,要求考虑隐蔽
信道(存储),并计算出带宽。 B3: 安全区域保护,TCB不包含与安全无关的代码,并足够小到可以被测试、分析、证明,系
统具有恢复能力。
A:验证安全保护