安全生產(chǎn)_操作系統(tǒng)的安全

操作系統(tǒng)的安全問題 對操作系統(tǒng)安全的威脅 1 以O(shè)S為手段 獲得授權(quán)以外的或未授權(quán)的信息 它危害信息系統(tǒng)的保密性和完整性 2 以O(shè)S為手段 阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶的正常使用 它危害了計(jì)算機(jī)系統(tǒng)的可用性 3 以O(shè)S為對象 破壞系統(tǒng)完成指定的功能 除了電腦病毒破壞系統(tǒng)正常運(yùn)行和用戶正常使用外 還有一些人為因素或自然因素 如干擾 設(shè)備故障和誤操作也會影響軟件的正常運(yùn)行 4 以軟件為對象 非法復(fù)制或非法使用 6 2操作系統(tǒng)的安全控制 設(shè)計(jì)一個安全的操作系統(tǒng) 從技術(shù)上講有四種安全方法 如隔離控制 訪問控制 信息加密和審計(jì)跟蹤 操作系統(tǒng)采用的安全控制方法主要是隔離控制和訪問控制 1 隔離控制 物理隔離 時間隔離 加密隔離 邏輯隔離 2 訪問控制訪問控制是操作系統(tǒng)的安全控制核心 訪問控制是確定誰能訪問系統(tǒng) 能訪問系統(tǒng)何種資源以及在何種程度上使用這些資源 訪問控制包括對系統(tǒng)各種資源的存取控制 6 2操作系統(tǒng)的安全控制 存取控制解決兩個基本問題 一是訪問控制策略 二是訪問控制機(jī)構(gòu) 訪問控制策略是根據(jù)系統(tǒng)安全保密需求及實(shí)際可能而提出的一系列安全控制方法和策略 如 最小特權(quán) 策略 訪問控制策略有多種 最常用的是對用戶進(jìn)行授權(quán) 訪問控制機(jī)構(gòu)則是系統(tǒng)具體實(shí)施訪問控制策略的硬件 軟件或固件 訪問控制的三項(xiàng)基本任務(wù) 授權(quán) 確定訪問權(quán)限 實(shí)施訪問控制的權(quán)限 6 2操作系統(tǒng)的安全控制 從訪問控制方式來說 訪問控制可分為以下四種 1 自主訪問控制 自主訪問控制是一種普遍采用的訪問控制手段 它使用戶可以按自己的意愿對系統(tǒng)參數(shù)作適當(dāng)修改 以決定哪些用戶可以訪問他們的系統(tǒng)資源 2 強(qiáng)制訪問控制 強(qiáng)制訪問控制是一種強(qiáng)有力的訪問控制手段 它使用戶與文件都有一個固定的安全屬性 系統(tǒng)利用安全屬性來決定一個用戶是否可以訪問某種資源 3 有限型訪問控制 它對用戶和資源進(jìn)一步區(qū)分 只有授權(quán)的用戶才能訪問指定的資源 4 共享 獨(dú)占型訪問控制 它把資源分成 共享 和 獨(dú)占 兩種 共享 可以使資源為所有用戶使用 獨(dú)占 只能被資源所有者使用 6 2操作系統(tǒng)的安全控制 訪問控制的重要內(nèi)容之一是用戶身份識別 而口令字驗(yàn)證又是是用戶身份識別的主要內(nèi)容 口令字驗(yàn)證應(yīng)注意 在系統(tǒng)的問答題中盡量少透露系統(tǒng) 用戶和口令字的信息 用戶可以加上附加的約束 如限制使用的時間和地點(diǎn) 對口令字文件加密 口令字要有一定的范圍和長度 并由操作系統(tǒng)隨機(jī)地產(chǎn)生 應(yīng)定期改變口令字 使用動態(tài)口令字 要選擇容易記憶 但又難猜的口令 6 3自主訪問控制 不要使用常用單詞或名字 不要選用有特殊意義的口令 如生日 電話號碼 銀行帳號等 不要在不同的機(jī)器上使用相同的口令 不要將口令告訴他人或隨便將口令手寫在終端上 自主訪問控制是指基于對主體及主體所屬主體組的訪問來控制對客體的訪問 它是操作系統(tǒng)的基本特征之一 這種控制是自主的 自主是指具有授予某種訪問權(quán)力的主體能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予其它主體 6 3自主訪問控制 6 3 l自主訪問控制方法目前 操作系統(tǒng)實(shí)現(xiàn)自主訪問控制不是利用整個訪問控制矩陣 而是基于矩陣的行或列來表達(dá)訪問控制信息 1 基于行的自主訪問控制是在每個主體上都附加一個該主體可訪問的客體的明細(xì)表 按照表內(nèi)信息的不同 可以分為三種形式 1 權(quán)力表 也叫權(quán)能 它是實(shí)現(xiàn)訪問控制的一種方法 2 前綴表 包括受保護(hù)的客體名以及主體對它的訪問權(quán) 3 口令 口令機(jī)制是按行表示訪問控制矩陣的 6 3自主訪問控制 2 基于列的自主訪問控制基于列的自主訪問控制是對每個客體附加一份可訪問它的主體的明細(xì)表 它有兩種形式 1 保護(hù)位 保護(hù)位機(jī)制不能完備地表達(dá)訪問控制矩陣 2 訪問控制表 每個客體 對象 有一張?jiān)L問控制表 記錄該客體可被哪些主體訪問以及訪問的形式 6 3 2自主訪問控制的訪問類型自主訪問控制機(jī)制中 有三種基本的控制模式 1 等級型2 有主型3 自由型 6 3自主訪問控制 6 3 3自主訪問控制的訪問模式在自主訪問控制機(jī)制的系統(tǒng)中 可使用的保護(hù)客體基本有兩類 文件和目錄 1 文件對文件常設(shè)置以下幾種訪問模式 1 Read Copy 允許主體對客體進(jìn)行讀與拷貝的訪問操作 2 Write delete 允許主體用任何方式修改一個客體 3 Execute 允許主體將客體作為一種可執(zhí)行文件而運(yùn)行之 4 Null 表示主體對客體不具有任何訪問權(quán) 6 3自主訪問控制 2 目錄每個主體 用戶 有一個訪問目錄 該目錄用于記錄該主體可訪問的客體 對象 以及訪問的權(quán)限 然而用戶本身卻不能接觸目錄 目錄常作為結(jié)構(gòu)化文件或結(jié)構(gòu)化段來實(shí)現(xiàn) 是否對目錄設(shè)置訪問模式 取決于系統(tǒng)是怎樣利用樹結(jié)構(gòu)來控制訪問操作的 對目錄的訪問模式可以分為讀和寫 擴(kuò)展 1 Read 讀 該模式允許主體看到目錄實(shí)體 包括目錄名 訪問控制表以及該目錄下的文件與目錄的相應(yīng)信息 2 Write EXpand 寫 擴(kuò)展 該訪問模式允許主體在該目錄下增加一個新的客體 也就是說 允許主體在該目錄下生成與刪除文件或子目錄 6 4強(qiáng)制訪問控制 1 特洛伊木馬 的威脅一個 特洛伊木馬 要進(jìn)行攻擊 一般需要以下條件 必須編寫一段程序或修改一個已存在的程序來進(jìn)行非法操作 而且這種非法操作不能令程序的使用者起任何懷疑 這個程序?qū)κ褂谜邅碚f必須具有吸收力 必須使受害者能以某種方式訪問到或得到這個程序 如將這個程序放在系統(tǒng)的根目錄或公共目錄中 必須使受害者運(yùn)行這個程序 一般利用這個程序代替某個受害者常用的程序來使受害者不知不覺地使用它 受害者在系統(tǒng)中有一個合法的帳號 6 4強(qiáng)制訪問控制 2 防止 特洛伊木馬 的非法訪問強(qiáng)制訪問控制一般與自主訪問控制結(jié)合使用 并實(shí)施一些附加的 更強(qiáng)的訪問限制 一個主體只有通過了自主與強(qiáng)制訪問控制檢查后 才能訪問某個客體 由于用戶不能直接改變強(qiáng)制訪問的控制屬性 因此用戶可以利用自主訪問控制來防范其他用戶對自己客體的攻擊 強(qiáng)制訪問控制則提供一個不可逾越的 更強(qiáng)的安全防護(hù)層 以防止其他用戶偶然或故意濫用自主訪問控制 要防止 特洛伊木馬 偷竊某個文件 就必須采用強(qiáng)制訪問控制手段 減少 特洛伊木馬 攻擊成功的可能性方法 1 限制訪問控制的靈活性 2 過程控制 6 5存儲器的保護(hù) 存儲器保護(hù)負(fù)責(zé)保證系統(tǒng)內(nèi)各任務(wù)之間互不干擾 存儲器管理是為了更有效地利用存儲空間 6 5 1存儲器的保護(hù)方法首先要對存儲單元的地址進(jìn)行保護(hù) 使得非法用戶不能訪問那些受到保護(hù)的存儲單元 其次要對被保護(hù)的存儲單元提供各種類型的保護(hù) 最基本的保護(hù)類型是 讀 寫 和 只讀 所謂 只讀 就是規(guī)定用戶只能對那些被保護(hù)的存儲單元中的內(nèi)容進(jìn)行讀取 而不能進(jìn)行其它操作 復(fù)雜一些的保護(hù)類型還包括 只執(zhí)行 不能存取 等操作 不能存取的存儲單元 若被用戶存取時 系統(tǒng)要及時發(fā)出警報(bào)或中斷程序執(zhí)行 6 5存儲器的保護(hù) 操作系統(tǒng)對內(nèi)存的保護(hù)主要采用了邏輯隔離方法 1 界地址寄存器保護(hù)法2 內(nèi)存標(biāo)志法3 鎖保護(hù)法 鎖 是指為存儲區(qū)設(shè)置的特定數(shù)字 使用鎖保護(hù)方式具有以下優(yōu)點(diǎn) 因?yàn)椴煌拇鎯^(qū)可以分配相同的鎖 因此用戶可以用同一鑰匙打開不連續(xù)的若干區(qū)域 只要鎖和鑰匙定義不同的對應(yīng)方案 就可以使鑰匙具有不同的優(yōu)先級 4 特征位保護(hù)法即在每一個存儲單元的前面 設(shè)置一組特征位 特征位 數(shù)據(jù)指令代碼 6 5存儲器的保護(hù) 6 5 2存儲器的管理1 虛擬地址空間的物理定位可變 每次調(diào)度該進(jìn)程時 它的物理地址可能不同 在運(yùn)行一個訪問存儲器的指令時 硬件設(shè)備首先根據(jù)指令中的某一數(shù)值或偏移量以及索引寄存器的值對虛擬地址進(jìn)行某種運(yùn)算 以識別出欲訪問目標(biāo)的物理地址 其運(yùn)算的結(jié)果就是一個虛擬地址映射成一個物理地址 2 虛存映射在一個大系統(tǒng)內(nèi) 將物理存儲器分成固定大小的頁 各個進(jìn)程根據(jù)需要占用不同頁數(shù)的物理存儲器 設(shè)置一組映射寄存器 每個寄存器指出一個頁的物理首地址 這樣 進(jìn)程就可以通過這些映射寄存器來訪問物理地址空間 6 5存儲器的保護(hù) 3 請求調(diào)頁一個進(jìn)程占有比機(jī)器內(nèi)存還大的虛擬存儲空間 需采用請求調(diào)頁機(jī)制 該機(jī)制將根據(jù)需要在輔存與內(nèi)存之間移動某些頁 它保證了進(jìn)程所需的某些頁沒有駐留在內(nèi)存時仍能正常運(yùn)行 操作系統(tǒng)可以為進(jìn)程構(gòu)造一個頁描述表 該表記錄了進(jìn)程所需的全部虛擬存儲空間 表中可以設(shè)置一個 磁盤駐留 的標(biāo)志 指明該頁不在物理內(nèi)存中而是駐留在磁盤上 當(dāng)某一進(jìn)程運(yùn)行過程中所需的頁不在內(nèi)存中時 操作系統(tǒng)將中止該進(jìn)程的運(yùn)行 直至內(nèi)存中有空閑的頁騰出時 再將所需頁從磁盤中調(diào)入內(nèi)存中的空閑頁 并將頁表中相應(yīng)的項(xiàng)置為該空閑頁 然后重新啟動被中止的進(jìn)程從斷點(diǎn)處繼續(xù)運(yùn)行 6 5存儲器的保護(hù) 4 分段管理在絕大部分系統(tǒng)中 一個進(jìn)程的虛擬地址空間至少要被分成兩部分或兩個段 一個用于用戶程序與數(shù)據(jù) 稱為用戶空間 另一個用于操作系統(tǒng) 稱為系統(tǒng)空間 兩者是靜態(tài)隔離的 也是比較簡單的 6 5 3虛擬存儲器的保護(hù)虛擬存儲器一般都采用段 頁技術(shù)進(jìn)行管理 一般情況下 整個虛擬存儲器被劃分成若干個段 每個段再被劃分成若干頁 如果在段 頁描述中加入段 頁保護(hù)信息 如對段或頁可采取 只讀 讀 寫 等保護(hù)措施 當(dāng)計(jì)算機(jī)執(zhí)行指令時 系統(tǒng)便根據(jù)保護(hù)類型檢查這條指令的操作是否合法 如果不合法 就中斷程序的執(zhí)行 6 6操作系統(tǒng)的安全設(shè)計(jì) 6 6 1操作系統(tǒng)的安全模型1 訪問監(jiān)控模型最簡單的安全模型 單級模型 是體現(xiàn)有限型訪問控制的模型 它對每一個主體 客體對 只作 可 還是 否 的訪問判定 這種模型論證比較脆弱 它所表達(dá)的安全需求沒有特別詳盡的說明 2 格 模型多級模型 把用戶 主體 和信息 客體 進(jìn)一步按密級和類別劃分 訪問控制根據(jù) 工作需要 給予最低權(quán)限 的原則 只有當(dāng)主體的密級等于或高于客體 主體的類別等于或包含客體時 主體才能訪問客體 6 6操作系統(tǒng)的安全設(shè)計(jì) 3 Bell LaPadula模型多級模型 它是保證保密性基于信息流控制的模型 這種模型的訪問控制遵循兩條原則 簡單安全性原則 即主體的保密性訪問級別支配客體的保密性訪問級別 也就是說主體只能讀密級等于或低于它的客體 主體只能從下讀 而不能從上讀 星原則是客體的訪問級別支配主體的訪問級別 即主體只能寫密級等于或高于它的客體 也就是說主體只能向上寫 而不能向下寫 星原則的目的是為了防上不可信的機(jī)密進(jìn)程從不同等級或級別更高的機(jī)密文件中讀出信息后 通過 向下寫 來竊取系統(tǒng)的機(jī)密 6 6操作系統(tǒng)的安全設(shè)計(jì) Padula模型目的在于防止信息泄漏 而不是防止主體對客體的非授權(quán)修改 它們只處理了信息的保密問題 而沒有解決信息的完整性問題 4 Bibe模型從信息完整性的角度來看 顯然必須禁止低訪問級別的主體對高訪問級別的客體進(jìn)行訪問 以免低訪問級別的主體篡改高訪問級別的信息 客體 于是就產(chǎn)生了Bibe模型 Bibe模型是保證信息流完整性的控制模型 它把主體和客體按類似密級那樣的完整級進(jìn)行分類 完整級是一個由低到高的序列 其訪問遵循 簡單完整性 和 完整性星 兩條原則 簡單完整性原則是主體的完整性訪問級別支配客體的完整性級別 即主體只能向下寫 而不能向上寫 也就是說 主體只能寫 修改 完整性級別等于或低于它的客體 完整性星原則是客體的完整性訪問級別支配主體的完整性訪問級別 即主體只能從上讀 而不能從下讀 6 6操作系統(tǒng)的安全設(shè)計(jì) 6 6 2安全操作系統(tǒng)的設(shè)計(jì)原則 對用戶標(biāo)識和驗(yàn)證 對內(nèi)存的保護(hù) 對文件和I O設(shè)備的訪問控制 對共享資源的分配控制 保證系統(tǒng)可用性 防止某用戶對系統(tǒng)資源的獨(dú)占 協(xié)調(diào)多進(jìn)程間的通信 同步和并發(fā)控制 防止系統(tǒng)死鎖 所謂 安全操作系統(tǒng)設(shè)計(jì) 就是指安全性必須在操作系統(tǒng)的各個部分予以考慮 安全性必須在操作系統(tǒng)開發(fā)的初期就予以考慮 6 6操作系統(tǒng)的安全設(shè)計(jì) 安全系統(tǒng)設(shè)計(jì)的一般原則如下 1 最小權(quán)限原則 2 完全性原則 3 經(jīng)濟(jì)性原則 4 公開性原則 5 權(quán)限分離原則 6 最小共同性原則 7 易用性原則 8 缺省安全原則 6 6操作系統(tǒng)的安全設(shè)計(jì) 6 6 3安全操作系統(tǒng)的設(shè)計(jì)方法1 安全核心方法安全核心方法運(yùn)用最小權(quán)限原則和完全性原則 集中了操作系統(tǒng)中有關(guān)安全的主要功能 每次對被保護(hù)客體的訪問 都要經(jīng)過安全核心的檢查 安全核心與其它部分隔離 自身又完整統(tǒng)一 這樣 既便于做得緊湊 也便于測試驗(yàn)證 還便于修改 2 層次化方法層次化設(shè)計(jì)方法是將操作系統(tǒng)分層 至少有硬件 核心 操作系統(tǒng)和用戶進(jìn)程四層 這種層次結(jié)構(gòu)使得一個與安全有關(guān)的功能 由一系列在不同層次的幾個模塊來實(shí)現(xiàn) 6 6操作系統(tǒng)的安全設(shè)計(jì) 6 6 4對系統(tǒng)安全性的認(rèn)證安全認(rèn)證 就是對系統(tǒng)的安全性作測試驗(yàn)證 并評價其安全性所達(dá)到的程度的過程 安全認(rèn)證的方法通常有三種 形式化驗(yàn)證 簡稱驗(yàn)證方法 非形式化鑒定 簡稱鑒定方法 和破壞性分析 1 形式化驗(yàn)證形式化驗(yàn)證就是運(yùn)用程序正確性證明的方法 雖然現(xiàn)已開發(fā)出一些輔助程序正確性證明的工具 但這種方法復(fù)雜 而且非常費(fèi)時 對于大型的系統(tǒng) 對那些不是為了接受形式化驗(yàn)證而開發(fā)的系統(tǒng)來說 幾乎難以進(jìn)行驗(yàn)證 總之 形式化驗(yàn)證方法可以確保系統(tǒng)的安全性 但卻難以實(shí)現(xiàn) 6 6操作系統(tǒng)的安全設(shè)計(jì) 2 鑒定方法鑒定方法普遍 通常采用以下幾種辦法 1 需求檢驗(yàn) 2 設(shè)計(jì)和編碼檢驗(yàn) 3 單元和集成測試 總之 鑒定方法容易實(shí)現(xiàn) 但卻不能達(dá)到百分之百的可信度 3 破壞性分析破壞性分析是把一些對操作系統(tǒng)運(yùn)用熟練和富有設(shè)計(jì)經(jīng)驗(yàn)的專家組織起來 對被測試的操作系統(tǒng)作安全脆弱性分析 專挑弱點(diǎn)和缺點(diǎn) 在實(shí)踐中 常常要求系統(tǒng)具備以下六條安全準(zhǔn)則 1 安全方針 2 主體標(biāo)識 3 客體標(biāo)識 4 可查性 5 可信性 6 持續(xù)性 6 7I O設(shè)備的訪問控制方式 6 7 1I O設(shè)備訪問控制操作系統(tǒng)一般是I O操作的媒介 從訪問控制的角度看 一個I O指令應(yīng)該包括以下內(nèi)容 I O設(shè)備名 受影響的介質(zhì)和數(shù)據(jù)傳輸過程中所涉及的存儲緩沖區(qū)的位置 I O訪問控制最簡單的方式是將設(shè)備與介質(zhì)看作一個客體 由于所有的I O操作不是向設(shè)備寫數(shù)據(jù) 就是從設(shè)備讀數(shù)據(jù) 所以進(jìn)行I O操作的進(jìn)程必須受到對設(shè)備讀 寫兩種控制 這意味著設(shè)備到介質(zhì)間的路徑可以不受什么約束 而處理器到設(shè)備間的控制則需要施以一定的讀 寫操作的訪問控制 從訪問控制的角度看 硬件可以以四種方式支持I O操作 可編程的I O操作 非映射的I O操作 預(yù)映射I O操作和完全映射I O操作 6 7I O設(shè)備的訪問控制方式 可編程I O是一種同步操作 在這種方式下 處理器直接控制向I O設(shè)備傳遞或從I O設(shè)備接收每一個數(shù)據(jù) 其它三種方式是直接存儲器訪問方式及其變種 在這幾種方式下 處理器通知控制器進(jìn)行某種冗長的I O操作 處理器與控制器異步地進(jìn)行等價的操作 1 可編程1 O可編程I O方式對設(shè)備進(jìn)行訪問控制是使用一個設(shè)備描述符表 它將一個虛設(shè)備名映射為一個物理設(shè)備名 猶如將一個虛地址映射成一個實(shí)際物理地址 如下所示 設(shè)備描述符 6 7I O設(shè)備的訪問控制方式 2 非映射I O非映射I O是目前最普遍的一種直接進(jìn)行存儲器訪問的I O類型 在這種方式中 軟件向設(shè)備發(fā)送一個I O命令 它描述了存儲器中某個緩沖器的物理位置 設(shè)備可作為一個可信賴的主體對這個物理存儲區(qū)進(jìn)行讀 寫操作 它僅能由操作系統(tǒng)產(chǎn)生 必須將虛擬緩沖區(qū)地址解釋成實(shí)際的物理地址 3 預(yù)映射I O預(yù)映射I O 也稱虛擬I O 它允許軟件引用虛擬緩沖區(qū)地址 當(dāng)調(diào)用I O指令時 處理器利用當(dāng)前進(jìn)程的描述符表以及映射寄存器 把這些虛擬地址解釋成實(shí)際的物理地址 然后將得到的物理地址送給I O設(shè)備 它使得操作系統(tǒng)從繁雜的地址解釋與訪問控制任務(wù)中釋放出來了 6 7I O設(shè)備的訪問控制方式 4 全映射I O全映射I O對設(shè)備引用的每個存儲區(qū)都能進(jìn)行從虛擬地址到實(shí)際物理地址的解釋 設(shè)備被認(rèn)為是一個不可信賴的主體 它僅提供欲讀 寫信息的存儲區(qū)的虛擬地址 在安全防線內(nèi) 解釋硬件將把虛擬地址解釋成實(shí)際的物理地址 并進(jìn)行訪問校驗(yàn) 6 7 2輸入安全控制建立輸入安全控制 應(yīng)檢驗(yàn)數(shù)據(jù)的合法性和準(zhǔn)確性 要進(jìn)入系統(tǒng)的數(shù)據(jù) 必須按正確的格式與內(nèi)容 先轉(zhuǎn)換到該類機(jī)器可讀的媒體里 6 7I O設(shè)備的訪問控制方式 1 輸人安全控制原則輸入安全控制應(yīng)遵循以下基本原則 1 自動控制應(yīng)盡可能接近數(shù)據(jù)源 且不得重復(fù)控制 2 防止分散工作流程 控制應(yīng)簡單和易于維護(hù) 3 應(yīng)提供控制操作說明文件 并匯編成冊 2 程序安全控制對程序安全可采用如下的檢驗(yàn)方法 1 記錄計(jì)數(shù) 2 極限校驗(yàn) 3 運(yùn)算驗(yàn)證 4 標(biāo)號檢查 6 7I O設(shè)備的訪問控