LINUX操作系统安全性研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
$ 9.-,A 操作系统现状
虽然 9.-,A 的应用越来越广泛, 但它的安全问题 一直得不到第三方的验证和评估。这个问题在个人 用户使用时, 并不明显, 但是在政府部门、 金融部门
收稿日期: $""! Q !! Q !% 。 陈爱华:工程师 ) 现从事计算机软件、 通信网网管方面的研究开发工作。
・!"#・
$""! 年第 % 期 总第!$"期
通
信
技
术
&’( %)
$""!
*’++,-./01.’-2 34/5-’6’78
&’( !$") 3’10668
9:&;< 操作系统安全性研究
陈爱华
= 信息产业部电子第三十研究所 ) 成都 >!""?! @
【 摘 要】 在比较详细地分析了 9.-,A 操作系统的安全现状后 ) 阐述了从超级用户权限等方面 来考虑实现安全的 9.-,A 操作系统的思想,对实现安全 9.-,A 操作系统的一些关键技术进行了描 述。 【 关键词】 9.-,A 操作系统 文件系统 加密体制 认证 权限分割
& 安全 +,-./ 操作系统所必需的基本 要素
安全 +,-./ 操作系统, 应采用加密技术, 从系统 内核安全、 文件系统安全、 系统日志安全、 网络传输 安全、 用户登录安全、 访问控制安全等方面加入安全 机制, 做到 “ 难进来、 难看懂、 难取走、 改不了、 毁不 掉、 跑不掉” 。 安全 +,-./ 操作系统应提供以下方面的 系统安全机制:合法实体鉴别 * 网络传输信息加密 * 文件系统加密保护* 用户访问权限控制 * 系统进程权 限控制 * 系统文件完整性保护 * 系统日志完整性保 护 * 系统入侵检测等。
! ’ ( %
统计分析方法首先给系统对象 ( 如用户、文件、 目录和设备等) 创建一个统计描述, 统计正常使用时 的一些测量属性 ( 如访问次数、 操作失败次数和延时 等) 。测量属性的平均值将被用来与网络、 系统的行 为进行比较, 任何观察值在正常范围之外时, 就认为 有入侵发生。 %& #& ( 完整性分析 完整性分析主要关注某个文件或对象是否被更 改, 这包括文件和目录的内容及属性, 它在发现被更 改的、 被特洛伊化的应用程序方面特别有效。 完整性 分析利用强有力的加密机制, 称为消息摘要函数 ( 例 , 它能识别非常微小的变化。 如 *+#) %& ) 安全文件系统 安全文件系统要求做到在硬盘丢失的情况下, 也不会泄漏系统任何信息,这样就有效地保障了系 统数据的安全。文件系统的加密采用高效的核心加 密技术,只有知道文件系统保护口令的管理员才能 利用特定的命令 ( 自己编制的程序) 使用加密的文件 系统。 %& , -./01 内核封装 保护内核, 使用户不能对内核进行模块插入, 实 现的关键技术就是限制系统管理员的权限,使其权 限的使用处于保护之下, 即使误操作或蓄意破环, 也 不至于对系统造成致命打击。
准备大规模应用这种操作系统的时候,却成为最大 的阻碍。它的安全问题主要有: $( ! 超级用户权限过大 系统管理员拥有其他用户所没有的特权,权限 太大 。一旦获得超级管理员的权限,就获得对计算 机系统的完全控制。外部对超级用户的攻击和系统 管理员内部的威胁,都对超级用户的权限进行分割 提出了要求。 $( $ 文件系统不安全 9.-,A 操作系统的文件系统同 R.-F’S2、 ;&:< 等 操作系统的文件系统一样,存放的数据都是明文信 息, 无任何安全保护措施。在 9.-,A 操作系统工作站 上, 可使用大量的外接硬盘。 9.-,A 操作系统只需通 过 +’,-1 命令即可把硬盘作为 9.-,A 的文件系统, 硬 盘上所有的信息便可共享。 而硬盘一旦丢失, 硬盘上 所有的重要信息都将被泄露。
! 引言
可以免费 9.-,A 操作系统是一个开放源代码的、 它诞 使用和自由传播的类 ;:&< 操作系统。 !%%! 年, 生于芬兰赫尔辛基大学一位名叫 9.-,2 3’CP06F2 的学 生手中, 后来, 通过世界各地成千上万的程序员的设 计而实现。 它具有 ;&:< 的全部功能, 具有多任务、 多 用户、开放性等众多优秀特性,因此受到越来越多 用户的欢迎。随着 9.-,A 操作系统在我国的不断普 及, 有关的政府部门更是将基于 9.-,A 开发具有自主 版权的操作系统提高到保卫国家信息安全的高度来 看待,因此, 对 9.-,A 操作系统安全性进行研究就显 得特别重要。
# 结束语
由于设计、 开发一种安全的 -./01 操作系统是一 项巨大的系统软件工程,它不仅涉及顶尖的操作系 统设计技术、 软件技术、 加密技术等, 而且需要大量 的人力、 物力的投入。根据实际情况, 仍然可以采用 由外向内、 各个突破、 循序渐进、 逐步推进的战略策 略来实现。 参考文献
罗晓广, 曾钟建 & -./01 网络应用教程 & 北京: 电子工业出版社$ ’""" 电子工业出版社 $ ’""" 23456-7839& 网络管理教程 & 北京: 高鹏 $ 严望佳 & 3879 系统安全 & 北京: 清华大学出版 $ !::: 8;<=>?@; ABCC0/.>?<.B/ ABD@ E7@@ F& 5& G.>HC?/ : 2I; JJ- @DB<BK !::# >?L& M;N$ : <I, # 4JO -?NBD?<BD.;= , @EAJ P ! : 4JO F/>DQR<.B/ J<?/S?DS $ T;D=.B/L & # , 8BU;CN;D !::(
!"# $%&’( )* +,-&. /0#12%,)- $(3%#4 $#5&1,%(
!"#$ %&"’(
= B64/1C’-./ &’( #" :-21.1,14 ’D E::) *54-7F, >!""?! @
【 673%125%】 35.2 G0G4C D.C21 0-068H42 154 /,CC4-1 24/,C4 2.1,01.’- ’D 9.-,A ’G4C01.’- 28214+ .- F410.6) 154- F42/C.I42 154 C406.H01ห้องสมุดไป่ตู้’- ’D 24/,C4 9.-,A JK DC’+ 2,G4C ,24C L 2 G4C+.22.’- 0-F 2’ ’- 02G4/1) 0-F 2’+4 M48 14/5-.N,42 D’C C406.H01.’- ’D 24/,C4 9.-,A JK( 【 8#(9)1’3】 9.-,A ’G4C01.’- 28214+) O.648214+) 4-/C8G1 +4/50-.2+) 0,154-1./01.’-) C.7512 F.P.2.’-
身份认证是对系统中的主体进行验证,目的是 防止数据被非法用户访问。 除了口令认证外, 采用数 字签名技术可大大提高访问控制的力度,采用生理 特征认证技术可获得最好的验证效果。通常有以下 三种方法验证主体身份: ( 可以使用口 !)基于主体的口令或密钥的验证。 令机制。 目前有两种方法可编制传统的、 可存储非重 用口令:一是 89:29:4; <0 使用的包括加密时间戳方 法, 二是盘问响应方法。 ( 你知 $)基于智能卡的验证。这种验证是基于“ 道某事” 等, 登录时必须使用该卡。 ( 即基于指纹、 声音、 视网膜等 &)生物识别技术, 独一无二的特征的验证。由于人体特征具有不可复 制的特性,因而这一技术的安全系数较传统的身份 验证机制高得多。 #% $ 加密技术 对称加密和非对称加密技术仍是 $! 世纪的加 密技术主流。对称加密是加密运算与解密运算使用 同样的密钥。非对称加密是加密密钥不同于解密密 钥, 加密密钥公开, 称为公开密钥; 解密密钥只有自 己知道, 称为私有密钥。 目前,广为采用的一种对称加密方式是数据加 密标准 ( ,另一个系统是国际数据加密算法 =>?) ( ,它比 =>? 的加密性好,而且它对计算机的 @=>A) 运算功能也不需要那么强。 #% & ’BBC 权限分割控制技术 ( 定义谁可以运行、 !)安全的分割 ’BBC 权限, 具有什么权限、 什么时间、 从哪里、 由谁许可等。 ( 审核所有的 ’BBC $)完整的审查 ’BBC 行为, 访问和控制对安全防护的机器的使用。 将原有 ’BBC 具有的特权, 按其功能的不同分为不同类型, 单独加 以控制。按照最小特权安全策略, 对系统的用户权限 和系统进程权限进行控制,将 ’BBC 用户具有的系 统所有特权分类细化,使系统中没有一个用户的权 限是“ 超级” 的。 参照 D4;,/% 39 特权思想, 可将 +,-./ 操 作系统系统调用分为受控制的和不受控制的两类, 既满足控制特权, 又方便用户使用。由特权控制管理 程序管理用户特权和文件特权,系统进程的特权在 执行程序后由进程特权计算公式计算它的新特权。 #% # 信息完整性保护技术 分析保护信息完整性的伯巴模型, 建立完整性保
# 实现 +,-./ 操作系统安全性机制的 关键技术
针对目前 +,-./ 操作系统中存在的安全隐患, 研 究以下技术, 以改善 +,-./ 操作系统的安全性。 #% ! 身份认证技术 ・!"#・
护机制, 检测系统被保护文件是否遭到恶意的破坏。 提供系统日志文件的自动完整性保护 $ 给系统 审计分析提供可信、 真实的数据。 %& # 入侵检测技术 入侵检测是防火墙的合理补充,帮助系统对付 网络攻击, 扩展系统管理员的安全管理能力 ( 包括安 全审计、 监视、 进攻识别和响应等) , 提高信息安全的 完整性。它从计算机网络系统中的若干关键点收集 信息, 并分析这些信息, 查看网络中是否有违反安全 策略的行为和遭到袭击的迹象。入侵检测在不影响 系统性能的情况下能对网络进行监测,从而提供对 内部、 外部攻击以及误操作的实时保护。 这些都通过 执行以下任务来实现: ( 分析用户及系统活动。 !)监视、 ( ’)系统构造和弱点的审计。 ( ()识别反映已知进攻的活动模式并向相关人 士报警。 ( %)异常行为模式的统计分析。 ( #)评估重要系统和数据文件的完整性。 ( 并识别用户违 ))操作系统的审计跟踪管理, 反安全策略的行为。 入侵检测利用的信息一般来自以下四个方面: ( !)系统和网络日志文件。 ( ’)目录和文件中的不期望的改变。 ( ()程序执行中的不期望行为。 ( %)物理形式的入侵信息。 对上述四类收集到的有关系统、 网络、 数据及用 户活动的状态和行为等信息,一般通过三种技术手 段进行分析: 模式匹配、 统计分析和完整性分析。其 中前两种方法用于实时的入侵检测,而完整性分析 则用于事后分析。 %& #& ! 模式匹配 模式匹配就是将收集到的信息与已知的网络入 侵和系统误用模式数据库进行比较,从而发现违背 安全策略的行为。 该过程可以很简单( 如通过字符串 匹配以寻找一个简单的条目或指令) , 也可以很复杂 ( 如利用正规的数学表达式来表示安全状态的变 化) 。 %& #& ’ 统计分析
$% & 文件访问控制简单 用户进入系统便获得使用系统文件的权利, 文件 的访问仅依靠设置文件访问权限( 方式来控制, ’()) 系统没有强制的安全访问控制机制, 使得系统的重要 信息可能被用户访问* 从而对系统安全造成攻击。 $% # 系统内核可以轻易插入模块 系统内核允许插入模块, 使用户能够扩展 +,-./ 操作系统的功能, 使 +,-./ 系统更加模块化, 但这样 做是十分危险的。 模块插入内核后, 就成为内核的一 部分, 可以做原来内核所能做的任何事情。 $% 0 系统文档可以被任意地修改 在 +,-./ 操作系统中,有许多的重要文件,比 如 1 2,- 1 345,-,如果入侵者修改该文件,就可以轻易 地再次登录。 $% 6 账号管理简单 且十分有效, +,-./ 操作系统口令破译工具很多, 使 +,-./ 操作系统的用户口令形同虚设。对入侵者而 言, 进入系统最直接的途径就是获取用户账号。 $% 7 系统日志保护功能较弱 但对 虽然 +,-./ 操作系统也提供日志审计功能, 日志数据的访问几乎不做任何限制,可以自由查询 并允许修改, 尤其缺乏对日志数据的完整性保护。