第7章 操作系统的安全

12
7.1操作系统安全性的基本概念

安全操作系统评价标准
TCSEC在操作系统级上提出的可信计算机基础TCB 包含的安全内容有： 操作系统内核、具有特权的程序与命令、具有处理 敏感信息的程序、与实施安全策略有关的文档资料、 保障硬件正确运行的程序和诊断程序、构成系统的 可信硬件、负责管理系统的人员。
《计算机网络安全》 课程讲义
清华大学出版社
1
第七章
操作系统的安全
2
本章内容

操作系统安全的现状 计算机安全等级及信息安全技术评估准则 单点登录机制 主流操作系统的主要安全机制
3
学习目标

了解操作系统安全的现状 了解计算机安全等级及信息安全技术评估准则 了解单点登录机制 了解主流操作系统的主要安全机制
33
7.3 主流操作系统的安全性

Windows 2000/XP的安全
Windows NT的安全级别达到TCSEC的C2级。作为 Windows NT的后续版本，Windows 2000/XP提供更 多的新的安全机制。 1. 活动目录服务 活动目录为用户、硬件、应用以及网络上传输的数 据提供了一个存储中心。
7
7.1操作系统安全性的基本概念

操作系统的原理知识
（5）安全 OS为外界提供直接或间接存取数种资源的管道；OS 有能力认证资源存取的请求，允许通过认证的请求 并拒绝无法通过的非法请求。
（6）内部信息安全 内部信息安全可视为防止正在执行的程序任意存取 系统资源的手段。
8
7.1操作系统安全性的基本概念
25
7.3 主流操作系统的安全性

UNIX/LINUX的安全
UNIX系统的安全性在不断增加，并出现了许多安全 检测工具，如Quest、UXA、Alert/Inform、Sfind、 USECURE、Kerberos等。系统管理员通过安全检测 工具检测安全机制、权限和安全域设臵、可疑入侵 和特洛伊木马等。在目前的UNIX系统中，常规 UNIX具有C1级安全级别，OSF/1具有B1的安全级别， USL的SVR4/ES则具有B2的安全级别。
21
7.2 单点登录的访问管理

SSO实现机制
要实现SSO，需要实现以下主要的功能： 1）所有应用系统共享一个身份认证系统。 统一的认证系统是SSO的一个前提。认证成功后，认 证系统应该生成统一的认证标志返回给用户。 2）所有应用系统能够识别和提取Ticket信息。 应用系统需要对Ticket进行识别和提前，通过与认证 系统的通信，自动判断出当前用户是否已经登录过， 从而完成单点登录的功能。
26
7.3 主流操作系统的安全性

UNIX/LINUX的安全
2. LINUX安全 Linux的安全级基本达到了C2级。 安全机制主要有：PAM机制、文件系统加密、入侵 检测机制、安全日志文件机制、强制访问控制和防 火墙机制等。
27
7.3 主流操作系统的安全性

UNIX/LINUX的安全
1）PAM机制 PAM是一套共享库，提供一个框架和一套编程接口 给系统管理员，由系统管理员在多种认证方法中选 择适宜的认证方法，并能够改变本地认证方法而无 需重新编译与认证相关的程序。

单点登录的概念
单点登录（SSO）是目前比较流行的企业业务整合的 解决方案之一，指的是在多个应用系统中，用户只 需要登录一次就可以访问所有相互信任的应用系统。
根据登录的应用类型不同，可分为： 1）对桌面资源的统一访问管理。 2）Web单点登录（Web-SSO）
19
7.2 单点登录的访问管理

单点登录的概念
6
7.1操作系统安全性的基本概念

操作系统的原理知识
（3）磁盘与文件系统 文件系统通常指的是管理磁盘数据的系统，其可将 数据以目录或文件的型式储存。每个文件系统都有 自己特殊的格式与功能。OS拥有多种内臵文件系统。
（4）网络 许多现代的OS都具备操作主流网络通讯协议TCP/IP 的能力。这就使得操作系统可以进入网络世界，并 且与其他系统分享如文件、打印机与扫描机等资源。
4
7.1操作系统安全性的基本概念

操作系统的原理知识
计算机系统由硬件、软件和数据组成。在计算机系 统的运行中，操作系统提供了合理利用这些资源的 途径。
操作系统一般具有4个基本特征：并发性、共享性、 虚拟性和不确定性。
5
7.1操作系统安全性的基本概念

操作系统的原理知识
（1）进程管理 进程管理指的是操作系统调整复数进程的功能。除 了进程管理之外，OS还担负进程间通讯、进程异常 终止处理以及死锁侦测及处理等任务。 （2）内存管理 OS的内存管理提供寻找可用的记忆空间、配臵与释 放记忆空间、交换内存和低速储存设备的内含物等 功能
29
7.3 主流操作系统的安全性

UNIX/LINUX的安全
3）入侵检测机制 入侵检测能力包括：记录入侵企图，当攻击发生时 及时通知管理员；当预先定义的攻击行为发生时， 采取预定义的措施处理；发出一些错误信息，以增 加攻击的难度。
30
7.3 主流操作系统的安全性

UNIX/LINUX的安全
4）安全日志文件机制 日志是Linux安全结构中的一个重要内容，它是提供 攻击发生的唯一真实证据。Linux会记录网络、主机 和用户级的日志信息，是调查网络入侵者时不可缺 少的证据 。
22
7.2 单点登录的访问管理

WEB-SSO的实现
Web-SSO可以利用cookie技术来完成用户登录信息 的保存，将浏览器中的cookie和Ticket结合起来，完 成SSO的功能。
为了完成一个简单的WEB-SSO的功能，需要两个部 分的合作： 1）统一的身份认证服务。 2）修改Web应用，使得每个应用都通过这个统一的 认证服务来进行身份校验。
10
7.1操作系统安全性的基本概念

安全操作系统评价标准
国际标准化组织采纳了由美、英等国提出的“信息 技术安全评价公共准则（CC）”作为国际标准。CC 为相互独立的机构对相应信息技术安全产品进行评 价提供了可比性。
11
7.1操作系统安全性的基本概念

安全操作系统评价标准
1. 可信任计算机系统评价标准（TCSEC） 美国国防部在20世纪80年代中期制定了一组计算机 系统安全需求标准，其中核心的是具有橙色封皮的 “可信任计算机系统评价标准”，简称为“橙皮 书”。该标准将计算机系统的安全程度划分为8个等 级：D1、C1、C2、B1、B2、B3、A1和A2。
37
7.3 主流操作系统的安全性

Windows 2000/XP的安全
4. 智能卡 智能卡是用一种相对简单的方式使非授权人更难获 得访问网络的权限。 基于以下几个特征，智能卡认证比口令认证具有更 高的安全性： 1）智能卡需要一个物理卡来认证用户。 2）智能卡的使用必须提供一个个人标识号来保证只 有合法授权用户使用该智能卡。
38
ຫໍສະໝຸດ Baidu
7.3 主流操作系统的安全性

Windows 2000/XP的安全

安全操作系统评价标准
2. 国内的安全操作系统评估标准
15
7.1操作系统安全性的基本概念

常见的系统安全保护方法
1. 备份数据 建议各级用户都要及时妥善备份自有的数据，如历 年资料、重要方案、管理文献、重要数据等，并且 要备份到本机之外的存储介质上。
2. 预防病毒 提高系统的自我保护能力，经常进行系统更新 ；安 装防杀病毒的软件 ，及时升级杀毒软件，定期使用 杀毒软件扫描系统。
Web单点登录访问管理系统示意图：
20
7.2 单点登录的访问管理

SSO实现机制
第一次访问应用系统A时，由于还没有登录，用户会 被引导至认证系统中进行登录。根据用户提供的登 录信息，认证系统进行身份验证，若通过，认证系 统返回给用户一个认证的凭据（Ticket）。用户再访 问别的应用时，会带上这个Ticket作为自己认证的凭 据。应用系统接受到请求之后将Ticket送入认证系统 进行验证，若合法则通过验证，用户就可以在不用 再次登录的情况下访问系统B或系统C了。

操作系统的原理知识
（7）外部信息安全 一个操作系统通常会为其他网络上的电脑或使用者提 供各种服务。这些服务通常借由端口或OS网络地址 后的数字存取点提供。外部信息安全的最前线，是 防火墙等的硬件设备。在OS内部也常常设臵许多种
类的软件防火墙。
9
7.1操作系统安全性的基本概念

操作系统安全威胁的类型
28
7.3 主流操作系统的安全性

UNIX/LINUX的安全
2）文件系统加密 文件系统加密是将加密技术应用到文件系统，从而 提高计算机系统的安全性。目前的Linux已具有多种 加密文件系统，如CFS、TCFS、CRYPTFS等。 TCFS能使合法拥有者以外的用户、用户和远程文件 系统通信线路上的偷听着、文件系统服务器的超级 用户不可读取其保密文件。而对于合法用户，访问 保密文件与访问普通文件几乎没有区别。
17
7.1操作系统安全性的基本概念

常见的系统安全保护方法
5. 防ARP攻击 ARP攻击是通过伪造IP地址和MAC地址实现ARP欺 骗，从而在网络中产生大量的ARP通信量使网络阻 塞。比较常用的ARP工具主要用来检测ARP攻击， 其工作原理是以一定频率向网络广播正确的ARP信 息。
18
7.2 单点登录的访问管理
31
7.3 主流操作系统的安全性

UNIX/LINUX的安全
5）强制访问控制
由于Linux是一种自由操作系统，当前在其平台上实 现强制访问控制的产品包括SELinux、RSBAC、 MAC等，采用的策略也各不相同。
32
7.3 主流操作系统的安全性

UNIX/LINUX的安全
6）防火墙机制 Linux防火墙系统提供了访问控制、审计、抗攻击和 其他附属功能。其中，实现访问控制的方法是执行 基于地址（源和目标）、用户和事件的访问控制策 略，从而可以禁止非授权的访问，同时还能保护内 部用户的合法访问。
24
7.3 主流操作系统的安全性

UNIX/LINUX的安全
1. UNIX安全 UNIX是一个强大的多用户、多任务操作系统，支持 多种处理器架构。其应用基于相互信任的环境，如 研究所、实验室、大学等，采用了一般的安全机制。 UNIX的超级权限是“超级用户”，“超级用户”能 完成系统中的任何操作，因此也成为攻击的对象。
16
7.1操作系统安全性的基本概念

常见的系统安全保护方法
3. 病毒查杀 电脑在感染病毒后，总是有一定规律地出现异常现 象。停止对电脑的任何操作，启动杀毒软件，对整 个硬盘进行病毒查杀。特殊情况下还需要断开网络， 在安全模式下杀毒。 4. 后期处理 如果受破坏的是系统软件，并且染毒程度比较重， 可能导致系统不能启动或正常使用。在杀毒完毕后， 需要针对不同的操作系统进行修复性措施。
34
7.3 主流操作系统的安全性

Windows 2000/XP的安全
活动目录使用域、组织单元和对象组织网络资源。
35
7.3 主流操作系统的安全性

Windows 2000/XP的安全
2. Kerberos审计协议 Kerberos协议为客户/服务器建立连接前提供一种交 互审计的机制，其特点有以下几点： 1）在建立初始连接时增强服务器认证性能。 2）多层客户机/服务器应用的认证委派。
13
7.1操作系统安全性的基本概念

安全操作系统评价标准
2. 国内的安全操作系统评估标准 《信息技术安全性评估准则》GB/T 18336 2001。该 准则将操作系统安全分为五个级别，分别是用户自 主保护级、系统审计保护级、安全标记保护级、结 构化保护级和访问验证保护级。
14
7.1操作系统安全性的基本概念
3）具有穿越信任关系的域间认证。
36
7.3 主流操作系统的安全性

Windows 2000/XP的安全
3. PKI 公钥加密主要用在互联网一类的开放网络运行，用 户通过证书进行数据加密、数据签名和身份验证， 其基本组件包括：证书服务 、活动目录 、基于PKI 的应用 、交换密钥管理服务 。 Windows 2000PKI提供的安全功能具有互操作性、 安全性、灵活性以及易用性等特点。
23
7.2 单点登录的访问管理

WEB-SSO的实现
实现WEB-SSO的技术主要有： （1）基于cookies实现 （2）Broker-based（基于经纪人） （3）Agent-based（基于代理人） （4）Token-based（基于票据） （5）基于网关 （6）基于安全断言标记语言（SAML）