第8章操作系統(tǒng)安全本章目標(biāo)：掌握操作系統(tǒng)安全的基本原理及實(shí)現(xiàn)方法能夠識(shí)別操作系統(tǒng)安全功能實(shí)現(xiàn)的關(guān)鍵環(huán)節(jié)和影響因素能夠認(rèn)識(shí)到操作系統(tǒng)安全功能實(shí)現(xiàn)有多種方案可選擇，能夠通過文獻(xiàn)研究，在多種方案中，尋求一種更合適的解決方案能夠遵循系統(tǒng)化的基本要求，確定解決操作系統(tǒng)安全問題的設(shè)計(jì)目標(biāo)和技術(shù)方案能夠運(yùn)用所學(xué)知識(shí)解決操作系統(tǒng)安全設(shè)計(jì)與實(shí)現(xiàn)問題，能在設(shè)計(jì)實(shí)現(xiàn)中體現(xiàn)創(chuàng)新意識(shí)第8章操作系統(tǒng)安全8.1概述8.2安全評(píng)估與標(biāo)準(zhǔn)8.3安全機(jī)制8.4安全模型8.5安全體系結(jié)構(gòu)8.6相關(guān)實(shí)例8.1概述8.1.1信息系統(tǒng)安全性8.1.2操作系統(tǒng)的安全性8.1.1信息系統(tǒng)安全性信息系統(tǒng)安全如果一個(gè)信息系統(tǒng)的軟硬件資源在任何情況下都是按照預(yù)先設(shè)計(jì)的方式來使用和存取，那我們可以說一個(gè)信息系統(tǒng)是安全的。信息系統(tǒng)安全中最重要的是計(jì)算機(jī)系統(tǒng)的安全，其綜合了計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的技術(shù)。計(jì)算機(jī)系統(tǒng)安全國(guó)際標(biāo)準(zhǔn)化組織(ISO)：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。也可以定義為：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行?！庇?jì)算機(jī)系統(tǒng)安全的特性：可用性（Availability）：得到授權(quán)的實(shí)體在需要時(shí)可訪問資源和服務(wù)。可靠性（Reliability）：可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率。完整性（Integrity）：信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。保密性（Confidentiality）：保密性是指確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。不可抵賴性（Non-Repudiation）：也稱作不可否認(rèn)性。不可抵賴性是計(jì)算機(jī)系統(tǒng)中交換信息的雙方（人、實(shí)體或進(jìn)程）信息真實(shí)同一的安全要求，它包括收、發(fā)雙方均不可抵賴。其他安全特性：可控性：可控性就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。管理機(jī)構(gòu)對(duì)危害國(guó)家信息的來往、使用加密手段從事非法的通信活動(dòng)等進(jìn)行監(jiān)視審計(jì)，對(duì)信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕菏褂脤徲?jì)、監(jiān)控、防抵賴等安全機(jī)制，使得使用者（包括合法用戶、攻擊者、破壞者、抵賴者）的行為有證可查，并能夠?qū)Τ霈F(xiàn)的安全問題提供調(diào)查依據(jù)和手段。。認(rèn)證：保證信息使用者和信息服務(wù)者都是真實(shí)聲稱者，防止冒充和重演的攻擊。訪問控制：保證信息資源不被非授權(quán)地使用。訪問控制根據(jù)主體和客體之間的訪問授權(quán)關(guān)系，對(duì)訪問過程做出限制。計(jì)算機(jī)系統(tǒng)安全的層次硬件安全為計(jì)算機(jī)系統(tǒng)提供存儲(chǔ)和運(yùn)行保護(hù)。存儲(chǔ)保護(hù)是指保護(hù)用戶所存儲(chǔ)的數(shù)據(jù)，實(shí)現(xiàn)所存儲(chǔ)數(shù)據(jù)的安全和可靠，不因?yàn)榇鎯?chǔ)硬件的損壞而丟失數(shù)據(jù)；運(yùn)行保護(hù)是將計(jì)算機(jī)系統(tǒng)劃分為若干個(gè)運(yùn)行態(tài)，并對(duì)指令集進(jìn)行劃分，使某些指令只能在相應(yīng)的運(yùn)行態(tài)中執(zhí)行。例如，可只運(yùn)行特權(quán)指令執(zhí)行于管態(tài)，而非特權(quán)指令運(yùn)行于目態(tài)。計(jì)算機(jī)系統(tǒng)安全的層次軟件安全計(jì)算機(jī)系統(tǒng)中信息的存取、處理和傳輸滿足安全策略。安全策略是使計(jì)算機(jī)系統(tǒng)安全的一組對(duì)信息存取和傳遞控制的規(guī)則，訪問控制則根據(jù)安全策略對(duì)計(jì)算機(jī)系統(tǒng)中的信息存取進(jìn)行控制。實(shí)體安全使存儲(chǔ)介質(zhì)、外部設(shè)備得到保護(hù)。如防火、防盜、防電磁輻射等。人員安全對(duì)計(jì)算機(jī)系統(tǒng)操作人員進(jìn)行安全技術(shù)培訓(xùn)和安全意識(shí)教育。8.1.2操作系統(tǒng)的安全性1．操作系統(tǒng)安全應(yīng)具有功能有選擇的訪問控制：限制對(duì)特定對(duì)象的訪問對(duì)計(jì)算機(jī)級(jí)別、對(duì)目錄或文件級(jí)；內(nèi)存管理與對(duì)象重用：進(jìn)程終止，內(nèi)存將被重用之前，將其中的內(nèi)容清空。審計(jì)能力：測(cè)試其完整性事件跟蹤、事件瀏覽、報(bào)表功能、審計(jì)事件、審計(jì)日志訪問。加密的數(shù)據(jù)傳送：網(wǎng)絡(luò)傳輸?shù)陌踩约用艿奈募到y(tǒng)：具有訪問權(quán)的用戶訪問；安全的進(jìn)程間通信機(jī)制：禁止高安全等級(jí)進(jìn)程傳遞信息給低安全等級(jí)進(jìn)程。2．安全操作系統(tǒng)的設(shè)計(jì)原則最小權(quán)限：?jiǎn)栴}：過多的權(quán)利導(dǎo)致信息泄露；每個(gè)用戶及程序應(yīng)擁有盡可能小的權(quán)限；機(jī)制的經(jīng)濟(jì)性：?jiǎn)栴}：帶來系統(tǒng)開銷，性能下降；保護(hù)系統(tǒng)的設(shè)計(jì)應(yīng)是小型化的開放式設(shè)計(jì)僅依賴于一些保密信息；2．安全操作系統(tǒng)的設(shè)計(jì)原則完整的策劃每個(gè)存取都必須被檢查。權(quán)限分離問題：安全性判斷條件不可太單一；形成制約機(jī)制；最少通用機(jī)制共享實(shí)體有信息流的潛在通道；采取物理或邏輯分離的措施。8.1.3操作系統(tǒng)安全的基本概念計(jì)算機(jī)信息系統(tǒng)(ComputerInformationSystem)：是一個(gè)由計(jì)算機(jī)實(shí)體、信息和人三部分組成的人機(jī)系統(tǒng)。確切地說計(jì)算機(jī)信息系統(tǒng)是指由計(jì)算機(jī)及配套的設(shè)備，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。安全邊界(SecurityPerimeter)：指用于處理敏感信息的設(shè)備在有效的物理和技術(shù)控制下，所形成的防止未授權(quán)進(jìn)入或敏感信息泄露的空間，該空間用半徑來表示。安全策略(SecurityPolicy)：是對(duì)資源進(jìn)行分配、保護(hù)和管理的一組規(guī)則。安全模型(SecurityModel)：用形式化描述如何實(shí)現(xiàn)機(jī)密性、完整性和可用性的安全要求。安全要素(secureconfigurationManagement)：控制系統(tǒng)中硬件與軟件結(jié)構(gòu)更改的一組規(guī)程。安全內(nèi)核(SecurityKerriel)：計(jì)算機(jī)系統(tǒng)中控制對(duì)系統(tǒng)資源的訪問來實(shí)現(xiàn)安全規(guī)程的中心部分。8.1.3操作系統(tǒng)安全的基本概念主體(Subject)：引起信息在客體之間流動(dòng)的實(shí)體，通常是指人、進(jìn)程或設(shè)備等?？腕w(Object)：系統(tǒng)中被動(dòng)的主體活動(dòng)承擔(dān)者。授權(quán)(Authorization)：授予用戶、程序或進(jìn)程的訪問權(quán)。訪問類別(AccessCategory)：系統(tǒng)中為被授權(quán)訪問資源或資源組的主體（用戶、程序、進(jìn)程等）設(shè)立的訪問等級(jí)。訪問控制(AccessControl)：限制已授權(quán)訪問主體或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問本系統(tǒng)資源的過程。自主訪問控制(DiscretionaryAccessControl)：有訪問許可的主體能夠直接或間接地向其他主體轉(zhuǎn)讓訪問權(quán)。強(qiáng)制訪問控制(MandatoryAccessCcontrol，MAC)：系統(tǒng)強(qiáng)制主體服從訪問控制政策。8.1.3操作系統(tǒng)安全的基本概念敏感標(biāo)記(SensitivityLabel)：這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合，它們是實(shí)施強(qiáng)制訪問控制的依據(jù)。保密性(Confidentiality)：指網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程的一種特性。參照監(jiān)視器(ReferenceMonitor)：系統(tǒng)中主客體之間授權(quán)訪問關(guān)系的部件。數(shù)據(jù)完整性(DataIntegrity)：指數(shù)據(jù)的精確性和可靠性。最小權(quán)(LeastPrivileges)：完成某種操作時(shí)所賦予系統(tǒng)中每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)。最小權(quán)原則(LeastPrivilegesPrinciple)：限定系統(tǒng)中每個(gè)主體所必須的最小特權(quán)，確保可能的事故、錯(cuò)誤、部件的篡改等原因造成的損失最小。8.1.3操作系統(tǒng)安全的基本概念隱藏通道(CovertChannel)：系統(tǒng)中不受安全策略控制的、違反安全策略的信息泄露途徑?？尚庞?jì)算機(jī)系統(tǒng)(TrustedComputerSystem)：一個(gè)使用了足夠的硬件和軟件完整性機(jī)制，能夠用來同時(shí)處理大量敏感或分類信息的系統(tǒng)。可信軟件(TrustedSoftware)：可信計(jì)算機(jī)系統(tǒng)的軟件部分?？腕w重用(ObjectReuse)：使用曾經(jīng)存儲(chǔ)一個(gè)或幾個(gè)數(shù)據(jù)客體的存儲(chǔ)介質(zhì)存儲(chǔ)新的數(shù)據(jù)客體。角色(Role)：系統(tǒng)中訪問權(quán)限的集合。審計(jì)(Audit)：對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。8.2安全評(píng)估與標(biāo)準(zhǔn)70年代以來研究；系統(tǒng)安全模型：Bell＆Lapadula模型美國(guó)提出的操作系統(tǒng)安全結(jié)構(gòu)模型：可證明的安全操作系統(tǒng)軍事安全操作系統(tǒng)VAX體系的VMM安全內(nèi)核安全標(biāo)準(zhǔn)橙皮書、GB17859-1999、CC標(biāo)準(zhǔn)1．美國(guó)國(guó)防部的“橙皮書”可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC）將安全保護(hù)分成D、C、B、A四等每等又包含一個(gè)或多個(gè)級(jí)別按D、C1、C2、B1、B2、B3、A1、A1增強(qiáng)；D等：只有一個(gè)級(jí)別D1級(jí)計(jì)算機(jī)安全的最低級(jí)；計(jì)算機(jī)系統(tǒng)是不可信任的，硬件和操作系統(tǒng)很容易被侵襲。不對(duì)用戶進(jìn)行驗(yàn)證；DOS、Windows3.x、Windows95、Apple的System7.x等1．美國(guó)國(guó)防部的“橙皮書”C等：自主型保護(hù)（C1、C2）C1級(jí)：無條件安全防護(hù)系統(tǒng)要求硬件有一定的安全保護(hù)用戶在使用計(jì)算機(jī)系統(tǒng)前必須先登錄UNIX、XENIX、Novell3.x、WindowsNT2000。不足之處用戶直接訪問操作系統(tǒng)的根；不能控制進(jìn)入系統(tǒng)的用戶的訪問級(jí)別；產(chǎn)生的問題數(shù)據(jù)任意移走、更改系統(tǒng)的配置、獲取比系統(tǒng)管理員允許的更高的權(quán)限。系統(tǒng)管理員為程序和數(shù)據(jù)設(shè)立訪問許可權(quán)限1．美國(guó)國(guó)防部的“橙皮書”C2級(jí)：引進(jìn)了受控訪問環(huán)境（用戶權(quán)限級(jí)別）的增強(qiáng)特性；以用戶權(quán)限為基礎(chǔ)，限制了用戶執(zhí)行某些系統(tǒng)指令；用戶權(quán)限以個(gè)人為單位授權(quán)用戶對(duì)某一目錄進(jìn)行訪問；用戶自動(dòng)獲得，在同一目錄下程序和數(shù)據(jù)訪問權(quán)限。用戶分組：系統(tǒng)管理員授予他們?cè)L問某些程序或訪問分級(jí)目錄的權(quán)限。系統(tǒng)審計(jì)：跟蹤所有的“安全事件”登錄、系統(tǒng)管理員的工作UNIX、XENIX、Novell3.x、WindowsNT2000；1．美國(guó)國(guó)防部的“橙皮書”B等：強(qiáng)制型保護(hù)（B1、B2、B3）B1級(jí)：標(biāo)記安全防護(hù)級(jí)、支持多級(jí)安全標(biāo)記：網(wǎng)上的一個(gè)對(duì)象；在安全防護(hù)計(jì)劃中是可識(shí)別且受保護(hù)的；多級(jí)：安全防護(hù)裝在不同級(jí)別（如網(wǎng)絡(luò)、應(yīng)用程序和工作站等），對(duì)敏感信息提供更高級(jí)的保護(hù)。安全級(jí)別分為保密和絕密：系統(tǒng)中有監(jiān)測(cè)機(jī)構(gòu)，不允許擁有者修改權(quán)限；國(guó)內(nèi)達(dá)到B1級(jí)的操作系統(tǒng)：紅旗安全操作系統(tǒng)2.0版、南京大學(xué)的SoftOS；1．美國(guó)國(guó)防部的“橙皮書”B2級(jí)：結(jié)構(gòu)化防護(hù)對(duì)所有對(duì)象加標(biāo)簽給設(shè)備分配安全級(jí)別工作站、終端和磁盤驅(qū)動(dòng)器例：允許用戶訪問一臺(tái)工作站不允許訪問含有職員工資資料的磁盤子系統(tǒng)1．美國(guó)國(guó)防部的“橙皮書”B3級(jí)：安全域要求用戶工作站或終端通過可信任途徑連接網(wǎng)絡(luò)；采用硬件來保護(hù)安全系統(tǒng)的存儲(chǔ)區(qū)；支持安全管理者的實(shí)現(xiàn)；審計(jì)機(jī)制：能實(shí)時(shí)報(bào)告系統(tǒng)的安全性事件，支持系統(tǒng)恢復(fù)；1．美國(guó)國(guó)防部的“橙皮書”A等：驗(yàn)證型保護(hù)（A1、A1以上）A1級(jí)實(shí)現(xiàn)的功能等同于B3級(jí)；特點(diǎn)：形式化的頂層設(shè)計(jì)規(guī)格；形式化驗(yàn)證與形式化模型的一致性；更高的可信度；安全系統(tǒng)受監(jiān)視：構(gòu)成系統(tǒng)的所有部件來源必須有安全保證；A1級(jí)以上：比A1級(jí)可信度更高的系統(tǒng)；計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）五個(gè)等級(jí)用戶自主保護(hù)級(jí)：用戶具備自主安全保護(hù)的能力；系統(tǒng)審計(jì)保護(hù)級(jí)：創(chuàng)建、維護(hù)訪問審計(jì)記錄；安全標(biāo)記保護(hù)級(jí)：為訪問者和訪問對(duì)象指定安全標(biāo)記，以訪問安全級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)；紅旗安全操作系統(tǒng)2.0版、南京大學(xué)的SoftOS。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）五個(gè)等級(jí)結(jié)構(gòu)化保護(hù)級(jí)將安全保護(hù)機(jī)制劃分成：關(guān)鍵部分和非關(guān)鍵部分相結(jié)合的結(jié)構(gòu)；關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的存??；具有相當(dāng)強(qiáng)的抗?jié)B透能力；安全域級(jí)保護(hù)級(jí)增設(shè)訪問驗(yàn)證功能：仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)極強(qiáng)的抗?jié)B透能力；CC標(biāo)準(zhǔn)（歐洲ITSEC）ISO/IEC15408兩個(gè)部分組成安全功能需要定義：按結(jié)構(gòu)化方式組織三層：類(class)：每類側(cè)重一個(gè)安全主題；11個(gè)類；族(family)：不同族基于相同的安全目標(biāo)，側(cè)重方面和保護(hù)強(qiáng)度不同；組件(component)：確定了一組最小可選擇的安全需求集合；不同的強(qiáng)度和能力；安全保證需求的定義：一個(gè)或多個(gè)一個(gè)或多個(gè)CC標(biāo)準(zhǔn)（歐洲ITSEC）安全保證需求的定義：結(jié)構(gòu)化方式組織：類－族－組件10個(gè)類：各種安全保證的需求包(package)：提高已定義結(jié)果的可重用性7個(gè)安全保證級(jí)別（EAL）EAL1：功能性測(cè)試級(jí)EAL2：結(jié)構(gòu)性測(cè)試級(jí)EAL3：工程方法上的測(cè)試及校驗(yàn)級(jí)EAL4:工程方法上的方法設(shè)計(jì)、測(cè)試和評(píng)審級(jí)EAL5：半形式化設(shè)計(jì)和測(cè)試級(jí)EAL6：半形式化地驗(yàn)證設(shè)計(jì)和測(cè)試級(jí)EAL7：形式化地驗(yàn)證設(shè)計(jì)和測(cè)試級(jí)不增加安全性表示可信度8.3安全機(jī)制本節(jié)：幾種惡意使用、修改和毀壞計(jì)算機(jī)系統(tǒng)中的信息資源的方式；防護(hù)的機(jī)制或方法。8.3安全機(jī)制考慮如下幾個(gè)方面。（1）物理分離：進(jìn)程使用不同的物理實(shí)體。（2）時(shí)間分離：具有不同安全要求的進(jìn)程在不同的時(shí)間運(yùn)行；（3）邏輯分離：用戶感覺是獨(dú)占計(jì)算機(jī)運(yùn)行，而操作系統(tǒng)限制程序的存取使得程序不能存取其允許范圍外的實(shí)體；（4）密碼分離：進(jìn)程以一種其他進(jìn)程不了解的方式隱藏?cái)?shù)據(jù)及計(jì)算。操作系統(tǒng)安全的主要目標(biāo)包括：（1）按系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存??；（2）標(biāo)識(shí)系統(tǒng)中的用戶和身份鑒別；（3）監(jiān)督系統(tǒng)運(yùn)行的安全；（4）保證系統(tǒng)自身的安全性和完整性。8.3.1標(biāo)識(shí)與鑒別機(jī)制身份鑒別系統(tǒng)中相當(dāng)重要的一個(gè)方面，也是用戶獲取權(quán)限的關(guān)鍵；常用的方法：口令、數(shù)字簽名、指紋識(shí)別、聲音識(shí)別；1.口令計(jì)算機(jī)系統(tǒng)和用戶雙方都知道的某個(gè)關(guān)鍵字；字母、數(shù)字和其他符號(hào)組成；各系統(tǒng)不相同；和用戶ID一起使用；2.口令使用的安全性理論上口令都可以破解；竊取用戶口令的手段攻擊口令文件、特洛伊木馬偽裝成登錄界面；注意的問題盡可能長(zhǎng)；多用混合型的口令；不用生日、姓名、常用單詞等做口令；經(jīng)常更換口令；設(shè)置錯(cuò)誤口令注冊(cè)次數(shù)；要確認(rèn)系統(tǒng)的合法性，以免被騙取口令。3．系統(tǒng)口令表的安全性限制明文系統(tǒng)口令表的存取使用強(qiáng)制存取控制，限制它僅可為操作系統(tǒng)所存取。只允許需要存取該表的操作系統(tǒng)模塊存??；加密口令文件傳統(tǒng)加密：整個(gè)口令表被加密，或只加密口令部分。取出加密口令，解密后，用明文比較；單向加密：輸入的口令被加密；用密文比較；4．物理鑒定檢查用戶是否有某些特定的“證件”磁卡或IC卡：和口令一起配合工作：ATM指紋或者聲波波紋：簽名分析：比較筆簽名時(shí)筆的移動(dòng)情況：8.3.2訪問控制自主型存取控制客體的安全，由客體的用戶或具有指定特權(quán)的用戶來制定；（用戶自主定義）規(guī)定別的用戶能以怎樣的方式訪問該客體。強(qiáng)制型存取控制客體的安全，由系統(tǒng)確定一個(gè)主體能否訪問一個(gè)客體。系統(tǒng)規(guī)定一個(gè)強(qiáng)制的規(guī)則，不可違反。保護(hù)域計(jì)算機(jī)系統(tǒng)=進(jìn)程和對(duì)象的集合對(duì)象：硬件對(duì)象和軟件對(duì)象；有唯一的名字；對(duì)對(duì)象的操作：由對(duì)象本身決定；進(jìn)程：只允許存取那些已經(jīng)授權(quán)給它的資源只能存取那些為完成它的任務(wù)所必需的資源；目的：減少發(fā)生錯(cuò)誤的進(jìn)程對(duì)系統(tǒng)的不良效果。須知原則域結(jié)構(gòu)保護(hù)域：<對(duì)象，權(quán)限>對(duì)的集合定義了一系列的對(duì)象以及在對(duì)象上可執(zhí)行的操作（即存取權(quán)限）進(jìn)程在任何時(shí)刻都運(yùn)行在一個(gè)保護(hù)域內(nèi)；多個(gè)域可以有交集；（共享相同的存取權(quán)限）進(jìn)程和域的關(guān)系動(dòng)態(tài)的：要有域切換機(jī)制或修改機(jī)制；靜態(tài)的：施加“須知原則”，并有該改變機(jī)制；最小權(quán)限原則域?qū)崿F(xiàn)方式一個(gè)用戶→一個(gè)域：存取的對(duì)象及權(quán)限取決于用戶的身份；用戶注銷另一用戶登錄時(shí)，進(jìn)行域的切換。一個(gè)進(jìn)程→一個(gè)域：存取的對(duì)象及權(quán)限取決于進(jìn)程的標(biāo)志；進(jìn)程發(fā)送消息等待回應(yīng)時(shí)，進(jìn)行域的切換。一個(gè)過程→一個(gè)域：存取的對(duì)象及權(quán)限取決于過程定義的局部變量；進(jìn)行過程調(diào)用時(shí)，進(jìn)行域的切換。UNIX中的保護(hù)域域和用戶聯(lián)系在一起；UID（用戶標(biāo)識(shí)）GID（組標(biāo)識(shí)）表：可以訪問的對(duì)象；是否可以讀、寫、執(zhí)行；相同（UID，GID）的進(jìn)程→相同的訪問對(duì)象集進(jìn)程的域UNIX中的保護(hù)域允許程序被授權(quán)進(jìn)程可以在運(yùn)行的時(shí)候被授予另一個(gè)UID或GID。SUID程序：改變自身UID的程序；SGID程序：改變自身GID的程序；例：SUID程序運(yùn)行時(shí)UID被設(shè)置成為文件的UID得到新的UID后，就引起域的切換。UNIX中的保護(hù)域進(jìn)程兩個(gè)部分：用戶部分和內(nèi)核部分內(nèi)核部分用戶部分進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)從用戶部分切換到內(nèi)核部分產(chǎn)生域切換不同的訪問對(duì)象集系統(tǒng)調(diào)用導(dǎo)致域切換存取矩陣記錄某個(gè)對(duì)象屬于哪個(gè)域→存取矩陣行：表示域列：表示對(duì)象項(xiàng)：表示存取權(quán)限的集合對(duì)象域文件1文件2文件3打印機(jī)D1R，WXR，W

D2

W

PD3X

WP存取矩陣域本身→對(duì)象域切換也包含在矩陣中切換操作（Switch）：域之間的切換對(duì)象域文件1文件2文件3打印機(jī)域D1域D2域D3D1R，WXR，W

Switch

D2

W

P

D3X

WPSwitch

存取矩陣的實(shí)現(xiàn)存取矩陣的問題很大，但有多個(gè)空項(xiàng)；（稀疏矩陣）按行或按列來存儲(chǔ)矩陣，且只存儲(chǔ)非空元素；1．存取控制表ACL（按列存放）每個(gè)對(duì)象一張ACL：列出了可以訪問該對(duì)象的全部域，以及怎樣訪問；每個(gè)ACL放在磁盤的單獨(dú)塊中，文件的目錄區(qū)鏈接這個(gè)磁盤塊的塊號(hào)。例：文件1：（D1,RW）,（D3,X）UNIX中：提供rwx：對(duì)文件主、主所在用戶組、其他用戶；也屬于ACL，只是把其壓縮到9位；權(quán)能表（CapabilityList）存取矩陣按行存放；每個(gè)域一張：該域內(nèi)可能訪問的對(duì)象；以及每個(gè)對(duì)象允許進(jìn)行的操作；每一項(xiàng)：權(quán)限權(quán)能表本身也是對(duì)象，可從別的權(quán)能表中引用，實(shí)現(xiàn)共享一般權(quán)限：復(fù)制權(quán)限、復(fù)制對(duì)象、刪除權(quán)限、刪除對(duì)象；很難撤消對(duì)某對(duì)象的訪問權(quán)：遍及各權(quán)能表中；編號(hào)對(duì)象類型權(quán)限對(duì)象指針1文件RW-指向文件12文件--X指向文件23文件RW-指向文件38.3.3可信通路可信通路(TrustedPath，TP，可信路徑）是指用戶能跳過應(yīng)用層而直接同可信計(jì)算基之間通信的一種機(jī)制。構(gòu)建可信通路的一個(gè)簡(jiǎn)單方法是為每個(gè)用戶提供兩臺(tái)終端設(shè)備，一臺(tái)完成日常的普通工作，一臺(tái)用于實(shí)現(xiàn)與安全內(nèi)核的硬連接及專職執(zhí)行安全敏感操作。這種辦法雖然十分簡(jiǎn)單，但代價(jià)昂貴，同時(shí)還會(huì)引入諸如如何確保“安全終端”的安全可靠及如何實(shí)現(xiàn)“安全終端”和“普通終端”的協(xié)調(diào)工作等新問題。8.3.3可信通路另一種方法：要求用戶在執(zhí)行敏感操作前，使用通用終端向安全內(nèi)核發(fā)送所謂的“安全注意符”(即不可信軟件無法攔截、覆蓋或偽造的特定信號(hào))，來觸發(fā)和構(gòu)建用戶與安全內(nèi)核間的可信通路。

8.3.4安全審計(jì)機(jī)制如何提高系統(tǒng)安全性監(jiān)控病毒防火墻網(wǎng)絡(luò)防火墻審計(jì)日志對(duì)系統(tǒng)記錄的日志進(jìn)行分析1．監(jiān)控（monitoring）類型一：實(shí)時(shí)進(jìn)行檢測(cè)和發(fā)現(xiàn)那些可能的違反系統(tǒng)安全的活動(dòng)記錄用戶登錄時(shí)輸入的不正確的口令的次數(shù)（OS中，手機(jī)中）類型二：周期性掃描周期性的對(duì)系統(tǒng)進(jìn)行全面的掃描；空閑進(jìn)行；對(duì)用戶口令進(jìn)行掃描；未經(jīng)授權(quán)的程序；不是預(yù)期的、長(zhǎng)時(shí)間運(yùn)行的進(jìn)程；目錄是否處于適當(dāng)?shù)谋Ｗo(hù)狀態(tài)；系統(tǒng)的數(shù)據(jù)文件是否處于一種適當(dāng)?shù)谋Ｗo(hù)狀態(tài)；是否存在危險(xiǎn)的程序搜索路徑入口；系統(tǒng)自動(dòng)修復(fù)，也可報(bào)告給系統(tǒng)管理員。2．審計(jì)日志（auditlog）日志文件：記錄情況：何時(shí)由誰做了什么事、結(jié)果如何；幫助用戶跟蹤間發(fā)性問題、非法侵襲；發(fā)現(xiàn)故障原因、侵入來源以及系統(tǒng)破壞范圍；缺點(diǎn)：記錄在自身系統(tǒng)：受到修改或刪除；存到不同的機(jī)器上；內(nèi)存的保護(hù)重要的問題：多道程序系統(tǒng)中防止一道程序在存儲(chǔ)和運(yùn)行時(shí)影響到其他程序；硬保護(hù)機(jī)制有界址、界限寄存器、重定位、特征位、分段、分頁和段頁式機(jī)制；進(jìn)程完全分開通過頁表或段表中無重復(fù)項(xiàng)來實(shí)現(xiàn)；允許共享段或段頁易實(shí)現(xiàn)；分頁式較困難；8.3.5存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)保護(hù)用戶在存儲(chǔ)器中的數(shù)據(jù)；存儲(chǔ)保護(hù)與存儲(chǔ)器管理是緊密相聯(lián)的存儲(chǔ)保護(hù)負(fù)責(zé)保證系統(tǒng)各個(gè)任務(wù)之間互不干擾存儲(chǔ)器管理則是為了更有效地利用存儲(chǔ)空間禁止在目態(tài)下的非特權(quán)進(jìn)程向?qū)懴到y(tǒng)區(qū)，允許管態(tài)中的進(jìn)程訪問所有的地址空間從目態(tài)到管態(tài)的轉(zhuǎn)換由特殊指令完成，該指令限制進(jìn)程只能對(duì)部分系統(tǒng)區(qū)進(jìn)程進(jìn)行訪問8.3.5存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)運(yùn)行域進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號(hào)的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號(hào)的環(huán)具有最小的特權(quán)。一般的系統(tǒng)不少于3～4個(gè)環(huán)兩環(huán)系統(tǒng)：隔離操作系統(tǒng)程序與用戶程序多環(huán)結(jié)構(gòu)：最內(nèi)層是操作系統(tǒng)，控制整個(gè)汁算機(jī)系統(tǒng)的運(yùn)行；靠近操作系統(tǒng)環(huán)之外的環(huán)是受限使用的系統(tǒng)應(yīng)用環(huán)，如數(shù)據(jù)庫管理系統(tǒng)或事務(wù)處理系統(tǒng)；最外一層環(huán)則是控制各種不同用戶的應(yīng)用環(huán)8.3.5存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)I/O保護(hù)將設(shè)備看作是一個(gè)客體，所以進(jìn)行I/O操作的進(jìn)程必須受到設(shè)備的讀／寫兩種訪問控制。設(shè)備到介質(zhì)間的路徑可以不受約束，而處理器到設(shè)備間的路徑則需要一定的讀寫訪問控制。要對(duì)系統(tǒng)中的信息提供足夠的保護(hù)，防止被未授權(quán)用戶的濫用或毀壞，只靠硬件是不夠的，必須由操作系統(tǒng)的安全機(jī)制與適當(dāng)?shù)挠布踩珯C(jī)制相結(jié)合才能提供強(qiáng)有力的保護(hù)。8.3.6加密技術(shù)密碼術(shù)：保持信息秘密的科學(xué)和藝術(shù)；保護(hù)數(shù)據(jù)不泄露；確認(rèn)用戶或請(qǐng)求服務(wù)的程序的標(biāo)識(shí)；揭示非法的入侵；1．加密和解密加密一個(gè)消息（明文）用一個(gè)數(shù)學(xué)函數(shù)和一個(gè)專門的加密口令（密鑰）轉(zhuǎn)換為另一個(gè)消息（密文）的過程。解密相反的過程，密文用一個(gè)數(shù)學(xué)函數(shù)和一個(gè)密鑰轉(zhuǎn)換為明文。1．加密和解密組成部分加密算法：進(jìn)行加密和解密操作的數(shù)學(xué)算法；密鑰：確定數(shù)據(jù)如何被加密或解密的關(guān)鍵字；密鑰長(zhǎng)度：較長(zhǎng)的密鑰更難于破解；明文：加密前原始信息；密文：被加密后的信息；2．常用密碼算法專用密鑰系統(tǒng)（對(duì)稱密鑰）相同的加密密鑰和解密密鑰；ROT13、Crypt、DES、RC2、RC4、RC5、IDEA、Skipjack；DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的加密方法；用處：保護(hù)存在計(jì)算機(jī)硬盤上的信息兩臺(tái)計(jì)算機(jī)之間傳送的信息2．常用密碼算法公開密鑰系統(tǒng)（不對(duì)稱密鑰）加密密鑰—公開；解密密鑰—保密；Diffie-Hellman、RSA、ElGamal、DSA常被用于為數(shù)據(jù)建立“數(shù)字簽名”公共/專用混合密鑰系統(tǒng)公共密鑰用于交換一個(gè)隨機(jī)的會(huì)話密鑰;會(huì)話密鑰—專用密鑰算法的基礎(chǔ);只用一次3．操作系統(tǒng)中的加密技術(shù)對(duì)文件和目錄進(jìn)行加密獲取了文件，也無法了解文件中的內(nèi)容；網(wǎng)絡(luò)傳輸過程身份認(rèn)證方面8.3.7惡意代碼威脅軟件故障：偶然發(fā)生的破壞，非預(yù)期的程序行為。惡意代碼（程序性威脅）故意行為的代碼分類：安全工具和工具箱、特洛伊木馬、后門蠕蟲、邏輯炸彈、病毒、細(xì)菌程序指令產(chǎn)生的1.安全工具（SecurityTools）自動(dòng)掃描計(jì)算機(jī)安全的弱點(diǎn)SATAN、Tiger、ISS為專業(yè)人員搜尋自身系統(tǒng)的問題而設(shè)計(jì)；系統(tǒng)管理員首先意識(shí)到自己系統(tǒng)存在的潛在弱點(diǎn)，并及時(shí)進(jìn)行修補(bǔ)，置系統(tǒng)于保護(hù)和監(jiān)控之下。安全工具本身必須是可靠的；2.特洛伊木馬偽裝成用戶希望運(yùn)行的程序比如游戲、報(bào)表或編輯程序以“誘導(dǎo)”的方式讓用戶執(zhí)行包含木馬的程序可以嵌入到腳本、網(wǎng)頁文件、郵件的附件中預(yù)防原則：對(duì)不了解的程序，不要用系統(tǒng)管理員身份執(zhí)行。措施過程控制、系統(tǒng)控制、強(qiáng)制控制、閱讀源程序3.后門（TrapDoor）定義：一段被寫入到應(yīng)用程序或OS中的程序段程序開發(fā)者無需經(jīng)過正常的認(rèn)證檢查；作為調(diào)試和監(jiān)控已開發(fā)程序的手段。危險(xiǎn)：獲取非授權(quán)訪問；忘記刪除，且又被其他人發(fā)現(xiàn)的后門。UNIX：sendmail程序的DEBUG選項(xiàng)允許計(jì)算機(jī)不作初始登錄就能作遠(yuǎn)程訪問解決方法：檢查重要文件規(guī)則的完整性文件和目錄的許可權(quán)和所有權(quán)審查新軟件：書面保證，閱讀和理解源代碼；4.病毒（Viruses）插入在其他可執(zhí)行程序中的代碼序列；病毒代碼將自身拷貝到一個(gè)或多個(gè)程序中；不能獨(dú)自運(yùn)行，需要宿主程序來激活。特點(diǎn)：寄生性、傳染性潛伏性、破壞性方法：升級(jí)OS及各種應(yīng)用軟件、殺毒軟件、實(shí)時(shí)監(jiān)控；避免通過軟盤和網(wǎng)絡(luò)感染病毒；認(rèn)證機(jī)制和保護(hù)機(jī)制（OS中）。5.蠕蟲（Worms）蠕蟲：獨(dú)立的程序獨(dú)立運(yùn)行；通過網(wǎng)絡(luò)從一臺(tái)機(jī)器移動(dòng)到另一臺(tái)機(jī)器；利用網(wǎng)絡(luò)設(shè)備來復(fù)制自身電子郵件、遠(yuǎn)程執(zhí)行功能、遠(yuǎn)程登錄功能；傳播方式檢查主機(jī)表或遠(yuǎn)程系統(tǒng)地址的類似特性建立與遠(yuǎn)程系統(tǒng)的連接、拷貝和運(yùn)行到遠(yuǎn)程系統(tǒng)。取一個(gè)類似系統(tǒng)進(jìn)程的名字發(fā)現(xiàn)時(shí)防護(hù)措施：斷開網(wǎng)絡(luò)，防止擴(kuò)散。6．邏輯炸彈（Logicbomb）潛伏在軟件中，等待觸發(fā)條件滿足；由軟件開發(fā)者放入程序中。觸發(fā)條件文件的存在與否、特定的日期特定用戶運(yùn)行特定的應(yīng)用程序產(chǎn)生的影響摧毀或修改數(shù)據(jù)，引起停機(jī)或系統(tǒng)損壞；不要安裝未經(jīng)徹底測(cè)試和仔細(xì)閱讀的軟件；經(jīng)常備份。7．細(xì)菌（Bacteria）不會(huì)明顯損壞任何文件；復(fù)制自身；占有處理器的負(fù)載量?jī)?nèi)存空間磁盤空間排斥用戶獲取那些資源耗盡系統(tǒng)資源8.3.8備份與容錯(cuò)解決的問題硬軟件的損壞和錯(cuò)誤；非法入侵者和病毒的攻擊；使一些重要的文件有多個(gè)副本常用的方法1、零時(shí)間備份制作系統(tǒng)的原始備份；系統(tǒng)開始使用前，為每一個(gè)文件和程序制作備份。8.3.8備份與容錯(cuò)2、全量備份（整體備份）輔助存儲(chǔ)器上需要備份的文件，定期復(fù)制到磁帶上；方法簡(jiǎn)單；缺點(diǎn)備份時(shí)必須停止向用戶開放需要的時(shí)間較長(zhǎng)只能恢復(fù)前一次備份的信息，以后的信息丟失。8.3.8備份與容錯(cuò)3、增量備份每隔一定時(shí)間，被修改過的文件和新文件進(jìn)行備份；系統(tǒng)對(duì)那些修改過的和新的文件做上標(biāo)志。全量備份和增量備份可以一起應(yīng)用；通常的備份策略每?jī)芍堋總浞菝刻焱砩稀隽總浞輦浞莶缓驮杏?jì)算機(jī)系統(tǒng)放在同一個(gè)地方。8.3.9隱通道分析與處理信息通路指信息在操作系統(tǒng)中經(jīng)過的道路對(duì)顯式信息道路的保護(hù)，防止非法信息經(jīng)過顯示通路要防止惡意用戶通過隱蔽信道進(jìn)出隱蔽通道利用那些本來不是用于通信的系統(tǒng)資源繞過強(qiáng)制存取控制非法通信的一種機(jī)制8.3.9隱通道分析與處理發(fā)現(xiàn)隱蔽信道的必要條件發(fā)送進(jìn)程與接收進(jìn)程都具有訪問一個(gè)共享資源的同一屬性的權(quán)限；一發(fā)送進(jìn)程可以修改一個(gè)共享資源的屬性；接收進(jìn)程可以檢測(cè)該共享資源屬性的改變；存在某種機(jī)制，能夠啟動(dòng)發(fā)送進(jìn)程與接收進(jìn)程之間的通信，并正確調(diào)節(jié)通信事件的順序。8.3.9隱通道分析與處理衡量隱蔽信道的兩個(gè)基本參數(shù)為容量和帶寬容量指隱蔽信道一次所能傳遞的信息量，用B來衡量。帶寬指信息通過隱蔽信道傳遞的速度，用B/s來衡量。隱蔽信道處理的基本原則信道寬帶低于某個(gè)預(yù)先設(shè)定值b的隱蔽信道是可以接收的。帶寬高于b的隱蔽存儲(chǔ)都應(yīng)當(dāng)可以審計(jì)。所有不能審計(jì)的存儲(chǔ)信道的帶寬要記人文檔，這使得管理員可以覺察并從程序上采取糾正措施對(duì)付重大的威脅。帶寬高于預(yù)先設(shè)定的上限B(B>b)的隱蔽信道代表重大威脅，應(yīng)當(dāng)盡可能將其消除或者將其帶寬降低到B(單位為bit/s)以下8.4安全模型Bell-LaPadula模型Biba模型Clark-Wilson完整性模型中國(guó)墻模型RBAC模型8.4安全模型1965年Multics：AT＆T和MIT、BLP模型；1986年SecureXenix：IBM、B2到A1級(jí)；1987年Tmach：TrustedInformationSystems公司，改進(jìn)了BLP模型，運(yùn)用到對(duì)MACH核心的端口、存儲(chǔ)對(duì)象等的管理中；1989年TUNIS：多倫多大學(xué)，改進(jìn)了BLP模型，TuringPlus語言；8.4.1Bell-LaPadula模型BLP模型：定義了系統(tǒng)狀態(tài)及狀態(tài)間的轉(zhuǎn)換規(guī)則，并制定了一組約束系統(tǒng)狀態(tài)間轉(zhuǎn)換規(guī)則的安全理論。BLP模型的內(nèi)容：元素、系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則。BLP模型采用的是一種“向下讀（Read-Down），向上寫（Write-Up）”的機(jī)制。8.4.1Bell-LaPadula模型元素：BLP模型中涉及到主體集合、客體集合、訪問權(quán)限、訪問矩陣集合、類別集合、訪問類函數(shù)、系統(tǒng)狀態(tài)集合、請(qǐng)求元素、訪問請(qǐng)求集合、請(qǐng)求結(jié)果集合、正整數(shù)、判斷序列集合、狀態(tài)序列集合、請(qǐng)求序列集合、狀態(tài)轉(zhuǎn)換規(guī)則和表示當(dāng)前客體的密級(jí)樹型結(jié)構(gòu)。8.4.1Bell-LaPadula模型系統(tǒng)狀態(tài)：由主體、客體、訪問矩陣、訪問屬性以及標(biāo)識(shí)主體和客體的訪問類屬性的函數(shù)組成的表示形式。狀態(tài)轉(zhuǎn)換規(guī)則：為了保證系統(tǒng)的每一個(gè)狀態(tài)都是安全狀態(tài)，除了保證初始狀態(tài)是安全的，還要保證系統(tǒng)的每一次轉(zhuǎn)換都從一個(gè)安全狀態(tài)轉(zhuǎn)移到另一個(gè)安全狀態(tài)。8.4.2Biba模型禁止向上寫；禁止向下讀；Biba模型和BLP模型相對(duì)立，其修正了BLP模型中忽略的信息完整性問題，但忽視了保密性。8.4.3Clark-Wilson模型Clark-Wilson模型中控制數(shù)據(jù)完整性的方法：(1)職責(zé)分離原則：規(guī)定一個(gè)任務(wù)從開始到結(jié)束不能由一個(gè)人完成。該任務(wù)將分給至少兩個(gè)人完成，其中一個(gè)人執(zhí)行任務(wù)，一個(gè)人證明完整性，以防止個(gè)人可能造成的欺騙。(2)良構(gòu)事務(wù)原則：用戶不能任意操作數(shù)據(jù)，只能用一種能夠確保數(shù)據(jù)完整性的受控方式來操作數(shù)據(jù)。8.4.4中國(guó)墻模型中國(guó)墻模型是在商業(yè)環(huán)境中一種典型的訪問控制模型，既繼承了BLP模型的保密性策略，又承接了Biba模型和CW模型的完整性策略，模型