第7章-操作系统的安全.ppt

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,计算机网络安全,课程讲义,清华大学出版社,1,第七章 操作系统的安全,2,本章内容,操作系统安全的现状,计算机安全等级及信息安全技术评估准则,单点登录机制,主流操作系统的主要安全机制,3,学习目标,了解操作系统安全的现状,了解计算机安全等级及信息安全技术评估准则,了解单点登录机制,了解主流操作系统的主要安全机制,4,7.1,操作系统安全性的基本概念,操作系统的原理知识,计算机系统由硬件、软件和数据组成。在计算机系统的运行中，操作系统提供了合理利用这些资源的途径。,操作系统一般具有,4,个基本特征：并发性、共享性、虚拟性和不确定性。,5,7.1,操作系统安全性的基本概念,操作系统的原理知识,（,1,）进程管理,进程管理指的是操作系统调整复数进程的功能。除了进程管理之外，,OS,还担负进程间通讯、进程异常终止处理以及死锁侦测及处理等任务。,（,2,）内存管理,OS,的内存管理提供寻找可用的记忆空间、配置与释放记忆空间、交换内存和低速储存设备的内含物等功能,6,7.1,操作系统安全性的基本概念,操作系统的原理知识,（,7,）外部信息安全,一个操作系统通常会为其他网络上的电脑或使用者提供各种服务。这些服务通常借由端口或,OS,网络地址后的数字存取点提供。外部信息安全的最前线，是防火墙等的硬件设备。在,OS,内部也常常设置许多种类的软件防火墙。,9,7.1,操作系统安全性的基本概念,操作系统安全威胁的类型,10,7.1,操作系统安全性的基本概念,安全操作系统评价标准,国际标准化组织采纳了由美、英等国提出的“信息技术安全评价公共准则（,CC,）”作为国际标准。,CC,为相互独立的机构对相应信息技术安全产品进行评价提供了可比性。,11,7.1,操作系统安全性的基本概念,安全操作系统评价标准,1.,可信任计算机系统评价标准（,TCSEC,）,美国国防部在,20,世纪,80,年代中期制定了一组计算机系统安全需求标准，其中核心的是具有橙色封皮的“可信任计算机系统评价标准”，简称为“橙皮书”。该标准将计算机系统的安全程度划分为,8,个等级：,D1,、,C1,、,C2,、,B1,、,B2,、,B3,、,A1,和,A2,。,12,7.1,操作系统安全性的基本概念,安全操作系统评价标准,TCSEC,在操作系统级上提出的可信计算机基础,TCB,包含的安全内容有：,操作系统内核、具有特权的程序与命令、具有处理敏感信息的程序、与实施安全策略有关的文档资料、保障硬件正确运行的程序和诊断程序、构成系统的可信硬件、负责管理系统的人员。,13,7.1,操作系统安全性的基本概念,安全操作系统评价标准,2.,国内的安全操作系统评估标准,信息技术安全性评估准则,GB/T 18336 2001,。该准则将操作系统安全分为五个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。,14,7.1,操作系统安全性的基本概念,安全操作系统评价标准,2.,国内的安全操作系统评估标准,15,7.1,操作系统安全性的基本概念,常见的系统安全保护方法,1.,备份数据,建议各级用户都要及时妥善备份自有的数据，如历年资料、重要方案、管理文献、重要数据等，并且要备份到本机之外的存储介质上。,2.,预防病毒,提高系统的自我保护能力，经常进行系统更新；安装防杀病毒的软件，及时升级杀毒软件，定期使用杀毒软件扫描系统。,16,7.1,操作系统安全性的基本概念,常见的系统安全保护方法,3.,病毒查杀,电脑在感染病毒后，总是有一定规律地出现异常现象。停止对电脑的任何操作，启动杀毒软件，对整个硬盘进行病毒查杀。特殊情况下还需要断开网络，在安全模式下杀毒。,4.,后期处理,如果受破坏的是系统软件，并且染毒程度比较重，可能导致系统不能启动或正常使用。在杀毒完毕后，需要针对不同的操作系统进行修复性措施。,17,7.1,操作系统安全性的基本概念,常见的系统安全保护方法,5.,防,ARP,攻击,ARP,攻击是通过伪造,IP,地址和,MAC,地址实现,ARP,欺骗，从而在网络中产生大量的,ARP,通信量使网络阻塞。比较常用的,ARP,工具主要用来检测,ARP,攻击，其工作原理是以一定频率向网络广播正确的,ARP,信息。,18,7.2,单点登录的访问管理,单点登录的概念,单点登录（,SSO,）是目前比较流行的企业业务整合的解决方案之一，指的是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。,根据登录的应用类型不同，可分为：,1,）对桌面资源的统一访问管理。,2,）,Web,单点登录（,Web-SSO,）,19,7.2,单点登录的访问管理,单点登录的概念,Web,单点登录访问管理系统示意图：,20,7.2,单点登录的访问管理,SSO,实现机制,第一次访问应用系统,A,时，由于还没有登录，用户会被引导至认证系统中进行登录。根据用户提供的登录信息，认证系统进行身份验证，若通过，认证系统返回给用户一个认证的凭据（,Ticket,）。用户再访问别的应用时，会带上这个,Ticket,作为自己认证的凭据。应用系统接受到请求之后将,Ticket,送入认证系统进行验证，若合法则通过验证，用户就可以在不用再次登录的情况下访问系统,B,或系统,C,了。,21,7.2,单点登录的访问管理,SSO,实现机制,要实现,SSO,，需要实现以下主要的功能：,1,）所有应用系统共享一个身份认证系统。,统一的认证系统是,SSO,的一个前提。认证成功后，认证系统应该生成统一的认证标志返回给用户。,2,）所有应用系统能够识别和提取,Ticket,信息。,应用系统需要对,Ticket,进行识别和提前，通过与认证系统的通信，自动判断出当前用户是否已经登录过，从而完成单点登录的功能。,22,7.2,单点登录的访问管理,WEB-SSO,的实现,Web-SSO,可以利用,cookie,技术来完成用户登录信息的保存，将浏览器中的,cookie,和,Ticket,结合起来，完成,SSO,的功能。,为了完成一个简单的,WEB-SSO,的功能，需要两个部分的合作：,1,）统一的身份认证服务。,2,）修改,Web,应用，使得每个应用都通过这个统一的认证服务来进行身份校验。,23,7.2,单点登录的访问管理,WEB-SSO,的实现,实现,WEB-SSO,的技术主要有：,（,1,）基于,cookies,实现,（,2,）,Broker-based,（基于经纪人）,（,3,）,Agent-based,（基于代理人）,（,4,）,Token-based,（基于票据）,（,5,）基于网关,（,6,）基于安全断言标记语言（,SAML,）,24,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,1.UNIX,安全,UNIX,是一个强大的多用户、多任务操作系统，支持多种处理器架构。其应用基于相互信任的环境，如研究所、实验室、大学等，采用了一般的安全机制。,UNIX,的超级权限是“超级用户”，“超级用户”能完成系统中的任何操作，因此也成为攻击的对象。,25,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,UNIX,系统的安全性在不断增加，并出现了许多安全检测工具，如,Quest,、,UXA,、,Alert/Inform,、,Sfind,、,USECURE,、,Kerberos,等。系统管理员通过安全检测工具检测安全机制、权限和安全域设置、可疑入侵和特洛伊木马等。在目前的,UNIX,系统中，常规,UNIX,具有,C1,级安全级别，,OSF/1,具有,B1,的安全级别，,USL,的,SVR4/ES,则具有,B2,的安全级别。,26,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,2.LINUX,安全,Linux,的安全级基本达到了,C2,级。,安全机制主要有：,PAM,机制、文件系统加密、入侵检测机制、安全日志文件机制、强制访问控制和防火墙机制等。,27,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,1,）,PAM,机制,PAM,是一套共享库，提供一个框架和一套编程接口给系统管理员，由系统管理员在多种认证方法中选择适宜的认证方法，并能够改变本地认证方法而无需重新编译与认证相关的程序。,28,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,2,）文件系统加密,文件系统加密是将加密技术应用到文件系统，从而提高计算机系统的安全性。目前的,Linux,已具有多种加密文件系统，如,CFS,、,TCFS,、,CRYPTFS,等。,TCFS,能使合法拥有者以外的用户、用户和远程文件系统通信线路上的偷听着、文件系统服务器的超级用户不可读取其保密文件。而对于合法用户，访问保密文件与访问普通文件几乎没有区别。,29,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,3,）入侵检测机制,入侵检测能力包括：记录入侵企图，当攻击发生时及时通知管理员；当预先定义的攻击行为发生时，采取预定义的措施处理；发出一些错误信息，以增加攻击的难度。,30,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,4,）安全日志文件机制,日志是,Linux,安全结构中的一个重要内容，它是提供攻击发生的唯一真实证据。,Linux,会记录网络、主机和用户级的日志信息，是调查网络入侵者时不可缺少的证据。,31,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,5,）强制访问控制,由于,Linux,是一种自由操作系统，当前在其平台上实现强制访问控制的产品包括,SELinux,、,RSBAC,、,MAC,等，采用的策略也各不相同。,32,7.3,主流操作系统的安全性,UNIX/LINUX,的安全,6,）防火墙机制,Linux,防火墙系统提供了访问控制、审计、抗攻击和其他附属功能。其中，实现访问控制的方法是执行基于地址（源和目标）、用户和事件的访问控制策略，从而可以禁止非授权的访问，同时还能保护内部用户的合法访问。,33,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,Windows NT,的安全级别达到,TCSEC,的,C2,级。,作为,Windows NT,的后续版本，,Windows 2000/XP,提供更多的新的安全机制。,1.,活动目录服务,活动目录为用户、硬件、应用以及网络上传输的数据提供了一个存储中心。,34,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,活动目录使用域、组织单元和对象组织网络资源。,35,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,2.Kerberos,审计协议,Kerberos,协议为客户,/,服务器建立连接前提供一种交互审计的机制，其特点有以下几点：,1,）在建立初始连接时增强服务器认证性能。,2,）多层客户机,/,服务器应用的认证委派。,3,）具有穿越信任关系的域间认证。,36,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,3.PKI,公钥加密主要用在互联网一类的开放网络运行，用户通过证书进行数据加密、数据签名和身份验证，其基本组件包括：证书服务、活动目录、基于,PKI,的应用、交换密钥管理服务。,Windows 2000PKI,提供的安全功能具有互操作性、安全性、灵活性以及易用性等特点。,37,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,4.,智能卡,智能卡是用一种相对简单的方式使非授权人更难获得访问网络的权限。,基于以下几个特征，智能卡认证比口令认证具有更高的安全性：,1,）智能卡需要一个物理卡来认证用户。,2,）智能卡的使用必须提供一个个人标识号来保证只有合法授权用户使用该智能卡。,38,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,4.,智能卡,3,）由于无法从智能卡中提取出密钥，因此可以防范攻击者盗用用户证书。,4,）能防止攻击者访问智能卡保护的重要资源。,5,）没有口令或任何可重用信息的传输。,39,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,5.,加密文件系统,Windows,使用,CryptoAPI,提供的公钥和对称密钥加密算法对文件或文件夹进行加密。用户只需要选中文件或文件夹后，在属性菜单中选中相应的菜单项即可完成加密。当合法用户再次打开文件时就会自动解密，而非授权用户就无法读写加密文件。,40,7.3,主流操作系统的安全性,Windows 2000/XP,的安全,6.,安全配置模板,Windows,提供安全模板工具来组织网络的建立和管理。,一个模板中一般应包括以下安全设置项：账号策略、本地策略、事件日志、受限组、注册表、文件系统、系统服务。,41,思考题,操作系统面临哪些威胁？如何对这些安全威胁进行防御？,单点登录的应用类型有哪两种？,Web-SSO,的实现机制是什么？有哪些关键技术？,Linux,的安全级别是什么？主要的安全机制有哪些？,42,