《计算机安全》第8章 操作系统安全

在网络环境中，网络的安全可信性依赖于各主机系 统的安全可信性，而主机系统的安全性又依赖于其 操作系统的安全性。因此，若没有操作系统的安全 性，就谈不上主机系统的安全性，从而就不可能有 网络系统的安全性。 因此，可以说操作系统的安全是整个计算机系统安 全的基础，没有操作系统安全，就不可能真正解决 数据库安全、网络安全和其他应用软件的安全问题。


在计算机系统中，用户是通过不可信的中间应用层 和操作系统相互作用的。 特权用户在进行特权操作时，也要有办法证实从终 端上输出的信息是正确的，而不是来自于特洛伊木 马。这些都需要一个机制保障用户和内核的通信， 这种机制就是由可信通路提供的。



ቤተ መጻሕፍቲ ባይዱ

隐蔽通道定义：隐蔽通道是一种允许进程以危害系 统安全策略的方式传输信息的通信信道。 根据共享资源性质不同，隐蔽通道又可以分为两类： 隐蔽存储通道和隐蔽时间通道。 隐蔽存储通道是指一个进程直接或者间接地写入一 个存储单元，而另一个进程可以直接或间接地读取 这个存储单元而构成的信道。 隐蔽时间通道是指一个进程通过调节自己对系统资 源的使用向另一个进程发送信息，后者通过观察响 应时间的改变获得信息而构成的信道。



活动目录提供了一套为分布式网络环境而设计的目 录服务。活动目录使得组织机构可以有效地对有关 网络资源和用户的信息进行共享和管理。 活动目录通过对象访问控制列表以及用户凭据保护 其存储的用户帐户和组信息。 活动目录允许管理员创建组帐户，管理员得以更加 有效地管理系统的安全性。 登录 Windows 2000/XP 的登录分为本地登录和网络登 录。通过登录系统建立一个安全环境并为用户完成 一些有用的工作

B类 B 类为强制保护类，由 B1、B2和B3级别组成。 A类 A 类是 TCSEC 中最高的安全级别。 它包含了一个 严格的设计、控制和验证过程。该级别包括了其低 级别所具有的所有特性。 设计必须是从数学上经过 验证的 ，而且必须进行隐蔽通道和可信任分布的分 析。





第一级 用户自主保护级，该级别相当于 TCSEC 的 C1 级。 第二级 系统审计保护级，该级别相当于 TCSEC 的 C2 级。 第三级 安全标记保护级，该级别相当于 TCSEC 的 B1 级。 第四级 结构化保护级，该级别相当于 TCSEC 的 B2 级 第五级 访问验证保护级 ，该级别相当于 TCSEC 的 A级


一个系统的安全审计就是对系统中有关安全的活动 进行记录、检查及审核。 安全审计的主要目的就是检测和阻止非法用户对计 算机系统的入侵，并显示合法用户的误操作。 审计作为一种事后追查的手段来保证系统的安全， 它对涉及系统安全的操作做一个完整的记录。审计 为系统进行事故原因的查询、定位，事故发生前的 预测、报警以及事故发生之后的实时处理提供详细、 可靠的依据和支持，以备有违反系统安全规则的事 件发生后能够有效地追查事件发生的地点和过程。
用户登录密码
用户隶属于哪个工作组 设置和记录登录的工作配置文件 设置用户只能在允许的时间内登录 限制用户只能在允许的工作站登录 有效日期过期后，用户无法登录 设置用户在登录时自动运行的文件
Home Directory
Dialin
设置用户登记后的工作目录
设置用户是否可以通过拨号的方式连接到网络


域模型是 Windows 2000/XP 网络系统的核心， 所有 Windows 网络的相关内容都是围绕着域来组 织的。与工作组相比，域模型在安全方面有优越性。 域是一些服务器的集合，这些服务器被归为一组， 它们共享同一安全策略数据库和用户账号数据库。 域的集中化用户账号数据库和安全策略使得系统管 理员可以用一个简单而有效的方法维护整个网络的 安全。域由一个主域服务器，若干个备份域服务器、 普通服务器和工作站组成。



优秀的硬件保护性能是高效、可靠的操作系统的基 础，计算机硬件安全的目标是，保证其自身的可靠 性和为系统提供基本安全机制，两种基本的安全机 制是存储保护和运行保护。 （1）存储保护 （2）运行保护 （3） I/O保护



1．标识与鉴别 标识与鉴别是涉及系统和用户的一个过程。标识就 是系统要标识用户的身份，并为每个用户取一个系 统可以识别的内部名称――用户标识符。 将用户标识符与用户联系的过程称为鉴别，鉴别过 程主要用以识别用户的真实身份 。 在操作系统中，鉴别一般是在用户登录时发生的， 系统提示用户输入口令，然后判断用户输入的口令 是否与该系统中存在的该用户的口令一致。这种口 令机制简便易行，但比较脆弱 。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用 多种手段隐藏木马，教材的第2章中曾提到过进程隐藏技术， 木马程序一般都需要实现进程隐藏，这样服务端即使发现感 染了木马，由于不能确定其具体位置，往往也只能望“马” 兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制 端将享有服务端的大部分操作权限，包括修改文件、修改注 册表、控制鼠标和键盘等等，而这些权力并不是服务端赋予 的，而是通过木马程序窃取的。

美国可信计算机系统评测准则，在用户登录、授权 管理、访问控制、审计跟踪、隐蔽通道分析、可信 通路建立、安全检测、生命周期保障、文档写作等 各个方面，均提出了规范性要求，并根据所采用的 安全策略、系统所具备的安全功能将系统分为四类 7 个安全级别。即 D 类、 C 类、 B 类和 A 类，其 中 C 类和 B 类又有若干个子类或级别。



主体：操作系统中的每一个实体组件都必须是主体 或者是客体，或者既是主体又是客体。主体是一个 主动的实体，它包括用户、用户组、进程等。 客体：客体是一个被动的实体。 访问控制列表：用来指定系统中哪些用户和组可以 以何种模式访问该客体的控制列表。 安全内核：安全内核是实现访问监控器概念的一种 技术，在一个大型操作系统中，只有其中的一小部 分软件用于安全目的是它的理论依据。 安全操作系统：对所管理的数据与资源提供适当的 保护级，有效地控制硬件与软件功能的操作系统。
计算机病毒 计算机病毒（Computer Virus）是一种人为制造 的、能够进行自我复制的、具有对计算机资源产生 破坏作用的一组程序或指令的集合。 计算机病毒具有的基本特征 ： （1）破坏性 （2）传染性 （3）潜伏性 （4）隐蔽性 （5）激发性

木马(又称特洛伊木马)，英文叫做“Trojan horse” ，它实 际上是一种基于远程控制的黑客工具，具有隐蔽性和非授权 性的特点。


审计跟踪：系统活动的流水记录，该记录按事件自 始至终的途径、顺序，审查和检验每个事件的环境 和活动。 鉴别：验证用户、设备和其他实体的身份；验证数 据的完整性。 授权：授予用户、程序或进程访问资源的权利。 漏洞：由于软硬件的设计缺陷导致的，能够避开系 统的安全措施的一种错误。 数据完整性：信息系统中的数据与原始数据没有发 生变化，未遭受偶然或恶意的修改或破坏时所具有 的性质。
第8章 操作系统安全
操作系统面临的主要安全威胁 操作系统的安全机制 操作系统的安全评测标准 Windows操作系统安全性分析、Windows 操作系统的安全配置



操作系统是计算机系统的灵魂，维护着系统的底层， 承担着对内存、进程等子系统进行管理和调度的任 务。如果没有操作系统的安全，网络系统的安全也 就无从谈起。 操作系统安全可以作如下定义：操作系统安全就是 操作系统无错误配置、无漏洞、无后门、无木马等， 能防止非法用户对计算机资源的非法存取，一般用 来表达对操作系统的安全需求。

现在应用最广泛的Windows系列操作系统在安全性 方面漏洞很多，有人批评Windows的体系结构有弱 点，这可能是它容易遭受病毒袭击的原因之一。另 外，Windows以及Word文字处理软件都存在着 “后门”威胁，尽管微软公司不断地发布可以禁止 这些后门的补丁，但陆续还是有新的问题出现，人 们的顾虑难易消除。而且，由于Windows操作系统 不公开源代码，外界对它的安全性也不好评估。




后门（又称天窗），本意是指房间背后可以自由出 入的门，相对于明显的前门。而在网络安全中则是 指绕过软件的安全性控制，而从比较隐秘的通道获 取对程序或系统访问权的一种黑客攻击方法。 后门产生的必要条件有以下三点 ： （1）必须以某种方式与其他终端节点相连。 （2）目标机默认开放的可供外界访问的端口必须 在一个以上。 （3）目标机存在程序设计或人为疏忽，导致攻击 者能以较高权限的身份执行程序。




可信计算基：计算机系统内保护装置的总体，包括 硬件、软件和负责执行安全策略的组合体。 安全策略：安全策略是指有关管理、保护和发布敏 感信息的法律、规定和实施细则。 安全模型：安全模型则是对安全策略所表达的安全 需求的简单、抽象和无歧义的描述，它为安全策略 和安全策略实现机制的关联提供了一种框架。 角色：系统中某一类访问权限的集合。 审计：就是对系统中有关安全的活动进行记录、检 查及审核。



D类 D 类是安全性最低的级别。该级别的硬件，没有任何保护作 用;操作系统容易受到损害,不提供身份验证和访问控制。 C类 C 类为自主保护类，包括 C1 和 C2 两个级别。 当前的 Unix/Linux 系统很多都达到了 TCSEC 规定的 C2 级安全标准。 Windows 2000/XP/2003的安全性目前也达到了美国可信 计算机系统评测准则(TCSEC )中的 C2 级标准，实现了用户 级自主访问控制、具有审计功能等安全特性。


通过操作系统的强制存取控制机制可以起到一定的 抵制病毒的保护作用。 可以将信息存储区域划分为三个区：系统管理区、 用户空间和抵制病毒的保护区，它们通过强制存取 控制机制被分隔。不具特权的普通用户在用户空间 的安全级下登录；系统管理员在系统管理器的安全 级别下登录。 可以把通用的命令和应用程序放在抵 制病毒的保护区供用户使用，因这个区域一般用户 只能读而不能写，从而防止了病毒传染。


维护域的安全和管理安全账号数据库的服务器称为 主域服务器，而其他存储有域的安全数据和用户账 号信息的服务器则称为备份域服务器。 主域服务器和备份域服务器都能验证用户登录网络 的请求。备份域服务器的作用在于，当主域服务器 不能正常提供服务时，它提供一个备份并防止重要 的数据丢失，每个域中仅允许有一个主域服务器。




在计算机系统中，安全机制的主要内容是存取控制， 它包括以下三个任务： （1）授权：确定可给予哪些主体存取客体的权利。 （2）确定存取权限（读、写、执行、删除、追加 等）。 （3）实施存取权限。 在安全操作系统领域中，存取控制一般都涉及自主存 取控制和强制存取控制两种形式 。


可作这样的定义：一个特权就是可违反系统安全策 略的一个操作的能力。 最小特权管理的思想是系统不应给用户超过执行任 务所需特权以外的特权，如将超级用户的特权划分 为一组更为具体的特权，分别授予不同的系统操作 员/管理员，使各种系统操作员/管理员只具有完成 其任务所需的特权，从而减少由于特权用户口令丢 失或错误软件、恶意软件、误操作所引起的损失。


目前常用的操作 系统有三类： Unix、Linux、 Windows NT/2000/XP/2 003以及 Windows Vista 系列。 安全模型
项目
Usermane Full Name 用户登录名 用户全称
说明
Password
Group Profile Logon Hours Logon Computer Expiration Date Logon Script


操作系统安全评测的基本目标是验证和确保操作系 统的安全性，故而其基本依据应为系统的安全需求 说明，一般应包括主体标识、客体敏感级标记、关 于主体对客体进行存取访问的安全控制策略以及审 计机制等。 评测方法： 一般评测操作系统安全性的方法有三种：形式化验 证、非形式化确认及入侵分析，这些方法是独立使 用的，也可以将它们综合起来评估操作系统的安全 性。