第十一章操作系统的安全性ppt课件.ppt

1,第11章 操作系统的安全性,2,第11章 操作系统的安全性,黑客入侵盗版电子战信息战.,3,第11章 操作系统的安全性,11.1 安全性概述11.2 安全保护机制11.3 恶意程序及其防御11.4 加密技术11.5 安全操作系统的设计,4,11.1 安全性概述,11.1.1 安全性的内涵11.1.2 操作系统的安全性11.1.3 操作系统的安全性级别,5,11.1.1 安全性的内涵,系统的安全性包括以下几方面的内容： 保护系统内的各种资源免遭自然与人为的破坏； 估计到操作系统存在的各种威胁，以及它存在的特殊问题； 开发与实施卓有成效的安全策略，尽可能减少系统所面临的各种风险； 准备适当的应急措施，使系统在遭到破坏或攻击时能尽快恢复正常； 定期检查各种安全管理措施的实施情况。,6,信息安全(Information Security),计算机安全(Computer Security)计算机本身及存储在其内部的软件及数据的安全网络安全(Network Security)在用户端与计算机、计算机与计算机之间通过通信线路交换数据时，对数据传输实施的保护,7,计算机系统中的实体,硬件（Hardware）软件（Software）数据（Data）通信线路和网络（Communication Lines and Networks）,8,硬件安全,例子： 突然掉电硬盘损坏设备被偷设备失效拒绝服务安全措施：物理上管理上如：加防盗门、雇用保安、安装闭路监视系统,9,软件安全,软件的删除软件的更改/破坏软件被篡改病毒及相关攻击软件的非法复制,10,数据安全,文件或其他形式的数据如：删除文件/DB中的记录读取未经授权的数据通过分析统计数据以找出隐藏的信息更改已存在文件或伪造文件,11,通信线路和网络安全,如：破坏或删除报文读取报文，观看报文及其传输模式更改、延滞、重新排序或复制、伪造报文,12,系统安全的三个特性,不同的计算机操作系统有不同的安全要求，但总的来说系统应具有如下特性：(1) 保密性(Security)(2) 完整性(Integrity)(3) 可用性(Availability),13,安全威胁 威胁源,自然的硬件的软件的人为失误恶意攻击.,14,对计算机系统安全性的主要威胁,对计算机系统安全性的威胁主要来自以下3个方面：(1) 偶然无意(2) 自然灾害(3) 人为攻击主动性威胁,15,安全威胁的种类,信息流动：,16,中断（Interrupt）,17,截取、窃听（Interception）,18,篡改（Modification）,19,伪造（Fabrication）,20,11.1.2 操作系统的安全,操作系统是软硬件资源的掌管者操作系统的安全是整个计算机系统安全的基石,21,针对操作系统的威胁,系统设计缺陷，如后门外部入侵开放性、标准化,目的：防止OS本身被破坏，禁止对未授权资源的访问,22,操作系统安全涉及的功能, 用户身份鉴别。 内存保护。 文件及I/O设备存取控制。 对一般实体进行分配与存取控制，并对其实行一定的控制与保护。 共享约束。 在考虑操作系统安全机制的同时，也要确保系统用户享有公平的服务，而不出现永久的等待服务；还要确保操作系统为进程同步与异步通信提供及时的响应。,23,传统操作系统中的安全机制,24,保密安全操作系统设计原则,Saltzer,J. 和Schroeder,M.曾提出了保密安全操作系统设计的原则： 最小权限。 机制的经济性。 开放式设计。 完整的策划。 权限分离。 最少通用机制。,25,操作系统安全方法,隔离分层内核,26,Rushby和Randel隔离策略,物理上分离：进程使用不同的物理实体时间上分离：不同安全要求的进程于不同时间运行逻辑上分离：用户操作不受其他进程影响密码上分离：进程以一种其他进程不了解的方式隐藏数据和计算,27,操作系统的安全性,一个操作系统可以在任何层次上提供如下保护： 无保护。 隔离。 完全共享和无共享。 存取权限的保护。 权能共享的保护。 实体的使用限制。,28,11.1.3 操作系统的安全性级别,美国国防部把计算机系统的安全从低到高分为4等和8级A ( A1、A2 )B ( B1、B2、B3 )C ( C1、C3 )D ( D1 ),29,11.1.3 操作系统的安全性级别,1. D等最低保护等级只有一个级别D1安全保护欠缺级整个系统都是不可信任的,30,11.1.3 操作系统的安全性级别,2. C等自主保护等级C1级: 自主安全保护级。它支持用户标识与验证、自主型的访问控制和系统安全测试；它要求硬件本身具备一定的安全保护能力，并且要求用户在使用系统之前一定要先通过身份验证。C2级: 受控安全保护级，它更加完善了自主型存取控制和审计功能。,31,11.1.3操作系统的安全性级别,3. B等强制保护等级检查对象的所有访问并执行安全策略，因此要求客体必须保留敏感标记，可信计算机利用它去施加强制访问控制保护。B1级: 标记安全保护级。B2级: 结构化保护级。B3级: 安全域级。,32,11.1.3 操作系统的安全性级别,4. A等验证保护等级它使用形式化安全验证方法，保证使用强制访问控制和自主访问控制的系统，能有效地保护该系统存储和处理秘密信息和其他敏感信息。A等又分为两级(A1、A2)。,33,11.2 安全保护机制,11.2.1 进程支持11.2.2 内存及地址保护11.2.3 存取控制11.2.4 文件保护11.2.5 用户身份鉴别,34,11.2.1 进程支持,一个进程代理一个用户进程转换开销 - 多用户复用一个进程PCB,35,11.2.2 内存及地址保护,存储保护机制（Protection of Memory）界址、重定位与限界特征位分段、分页、段页式,36,11.2.2 内存及地址保护,1. 界址将系统所用的存储空间和用户空间分开。界址则是将用户限制在地址范围的一侧的方法。,37,11.2.2 内存及地址保护,2. 重定位(Relocation)。界址寄存器可以作为硬件重定位设备。,38,11.2.3 存取控制,在计算机系统中，安全机制的主要目的是存取控制，它包含3个方面的内容：授权，即确定可给予哪些主体存取实体的权力；确定存取权限；实施存取权限。,39,11.2.5 用户身份鉴别,口令（password）一个用户身份的确认符号串口令的安全性：使穷举攻击不可行限制明文系统口令表的存取加密口令文件,40,口令的非法获取,穷举经验尝试搜索系统口令表询问用户编程截取字典式/概率式搜索,41,口令的加密,对口令/口令文件进行加密传统加密法单向加密法,42,传统加密法,43,单向加密法,44,11.3 恶意程序( Malicious Programs )及其防御,45,11.3.1 后门(Trapdoor),程序的秘密进入点激活：某些特定输入串某个特殊用户ID一些不太可能的事件激活安全措施：程序开发和软件更新活动中的安全质量检查,46,11.3.2 逻辑炸弹(Logic Bomb),嵌入在程序中的一段代码，在设定的条件满足时运行例子：Montgomery County, Maryland图书馆系统,47,11.3.3 特洛伊木马(Trojan Horses),Trojan War嵌在有用程序中的秘密子程序，常用于间接完成某些功能，这些功能对非授权用户而言是不能直接完成的。,48,11.3.4 蠕虫(Worms),网络蠕虫，通过网络连接从一个系统扩散到另一个系统蠕虫完成自身复制使用的网络机制电子邮件机制远程执行能力远程登录能力,49,11.3.5 细菌(Bacteria),不明显破坏任何文件，其唯一目的是自我复制,50,11.3.6 计算机病毒(Viruses),生物学上病毒的概念小的DNA或RNA基因段计算机病毒,51,计算机病毒,根据统计，到2000.11为止，共有55,000多种病毒病毒的特征病毒的分类反病毒方法,52,病毒的特点,计算机病毒(简称病毒)是一种可传染其他程序的程序，病毒主要有如下的特点： 病毒具有依附性。 病毒具有传染性。 病毒具有潜伏性。 病毒具有破坏性。 病毒具有针对性。,53,病毒的结构,引导模块负责将病毒引导到内存，对相应的存储空间实施保护，以防止被其他程序覆盖，并且修改一些必要的系统参数，为激活病毒做准备。传染模块负责将病毒传染给其他计算机程序。它是整个病毒程序的核心，由两部分组成：一部分判断是否具备传染条件，另一部分具体实施传染。表现模块病毒触发条件判断部分病毒的具体表现部分。,54,病毒的生命周期,潜伏阶段( A dormant phase )繁殖阶段( A propagation phase )激活阶段( The triggering phase )执行阶段( The execution phase ),55,病毒的种类(Types of Viruses),寄生型病毒(Parasitic virus)驻留内存型病毒(Memory-resident virus)引导区病毒(Boot sector virus)自我隐藏型病毒(Stealth virus)压缩技术磁盘I/O截取判断变形病毒(Polymorphic virus)插入多余指令、改变指令顺序加密技术,56,病毒的工作过程,57,反病毒方法(Antivirus Approaches),检测(Detection)识别(Identification)消除(Removal),58,反病毒软件发展过程,第一代：简单扫描(Simple Scanners)第二代：启发式扫描(Heuristic Scanners)第三代：行为捕捉(Activity Traps)第四代：全面保护(Full-featured Protection),59,11.4 加密技术,11.4.1 传统加密方法11.4.2 公开密钥加密方法11.4.3 密钥的管理,60,11.4.1 传统加密方法,1传统加密过程传统加密过程就是把明文信息利用某种加密算法加以编码以防止未授权的访问，从而实现其保密的过程。,61,11.4.1 传统加密方法,2数据加密标准(DES)DES是由美国国家标准局(NBS)在1977年研制的一种数据加密、解密的标准方法。,62,11.4.2 公开密钥加密方法,传统加密的一个主要困难是要以一种保密的方式来分配密钥。对这一点最彻底的解决方法就是不分配密钥，也就是采用公开密钥加密,它是在1976年被首次提出的。,63,11.4.3 密钥的管理,加密系统的强度与密钥分配技术有关。密钥分配是指在两个交换数据的主体间传送密钥而不让其他人知道的方法。,64,11.5 安全操作系统的设计,从设计者的角度来看，安全操作系统的开发要经历如下3个阶段：第一是模型化阶段；第二是设计阶段；第三是实现阶段。,65,目前实现安全OS的两种方法,专门针对安全性而设计的OS将安全特性加到已有的OS中,66,安全操作系统开发四步骤,建立模型系统设计可信度检测系统实现,67,11.5 安全操作系统的设计,11.5.1 安全模型11.5.2 安全操作系统的设计策略11.5.3 可信系统,68,11.5.1 安全模型,安全模型用来描述计算机系统和用户的安全特性，是对现实社会中一种系统安全需求的抽象描述。一个计算机系统要达到安全应有3个要求：保密性、完整性和可用性。,69,建立安全模型,安全模型描述计算系统和用户的安全特性建立步骤用自然语言描述应用环境的安全需求特性再用数学工具进行形式化描述安全模型的基础存取控制策略,70,安全模型1.单层模型,存取策略：只设置“允许”和“禁止”需要有一个监管程序监管程序被频繁调用，成了系统瓶颈之一只能控制直接存取，没法控制间接存取例:if P=0 then delete file Felse write file F,71,单层模型监督程序模型,72,单层模型信息流模型,73,安全模型2.多层网络模型,基于军队安全需求和保密信息级别的处理信息的敏感性级别无密、秘密、机密、绝密信息的主体对象隔离组(compartment)许可证机制,74,多层网格模型,某个实体O可被主体S存取应满足：密级O 可被具有许可用户存取可被具有许可用户存取不能被具有许可用户存取不能被具有许可用户存取,75,11.5.2 安全操作系统的设计策略,操作系统的设计要考虑诸多方面：处理并发任务，处理中断以及进行低层文本切换操作等等。在实现基本功能同时，还要兼顾效率，降低资源消耗，提高用户存取速度。如果再考虑安全因素，则更增加了系统设计的难度。,76,安全OS设计,通用OS中的安全特性安全OS的设计原则最小权限最少通用安全机制的经济性开放式设计安全策略完整性权限分离,77,隔离性最少通用,虚拟存储空间隔离多道程序，逻辑分离虚拟机为每个用户提供一个完整的硬件特性概念,78,内核机制最少权限、经济性,安全内核指负责实现整个OS安全机制的部分，它提供硬件、OS及计算机系统其它部分间的安全接口,79,分层结构开放式设计及整体规划,分层基础：可信度存取权限环结构的运行保护模式存取域可信度,80,本章小结,操作系统安全性的概念、重要性、所受的安全威胁操作系统安全机制几个问题存储保护文件保护用户认证机制恶意程序防御恶意程序可信系统,