第 6 章 操作系统安全技术
本章要点 操作系统是信息安全技术体系中重要的组成部分,针对GB 17859-1999关于信息系统安全保护的要求,本章介绍操作系统应该具有的安全技术措施。 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
一、操作系统安全概述 1、操作系统安全的含义 计算机操作系统的主要功能是进行计算机资源管理和提供用户使用计算机的界面。 用户资源可以归结为以文件形式表示的数据信息资源,系统资源包括系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。 对操作系统中资源的保护,实际上是对操作系统中文件的保护。 操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数据的安全保护两方面。操作系统的安全主要通过身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、审计、数据完整性、数据保密性等几方面来实现系统的安全需要(GB 17859和GB/T 20271)。 实现各种类型的操作系统安全需要的所有安全技术称为操作系统安全技术。操作系统安全子系统( SSOOS ,Security Subsystem Of Operating System),是操作系统的可信计算基(TCB),指操作系统中硬件、固件、软件和负责执行安全策略的所有相关的安全保护装置。
一、操作系统安全概述 2、操作系统安全的组成 操作系统的安全,应该从安全功能和安全保证两方面综合考虑。每一等级的信息系统,都有不同的安全功能要求和安全保证措施。图6.1表示了操作系统安全技术要求的组成及相互关系。
一、操作系统安全概述 3、操作系统的主体与客体 在操作系统中,每一个实体成分都必须是主体或客体,或者既是主体又是客体。 主体是一个主动的实体,它包括用户、用户组、进程等。系统中最基本的主体是用户,系统中的所有事件,几乎都是由用户激发的。用户的所有事件都要通过运行进程来处理。进程是用户的客体,但又是访问对象的主体。 客体是一个被动的实体。在操作系统中,客体可以是按一定格式存储在记录介质中的数据信息(文件),也可以是操作系统中的进程。 访问控制等安全措施都是由主体对客体实施操作完成的。
二、操作系统安全的技术要求 身份鉴别 访问控制 安全审计 用户数据的完整性和保密性 可信路径
二、操作系统安全的技术要求 1、身份鉴别 身份鉴别包括对用户的身份进行标识和鉴别。 用户标识 (1)凡需进入操作系统的用户,应先进行标识,即建立账号; (2)操作系统用户标识一般使用用户名和用户标识符(UID)。 用户鉴别 (1)采用口令进行鉴别,并在每次用户登录系统时进行鉴别; (2)通过对不成功的鉴别尝试的值进行预先定义,并明确规定达到该值时应该采取的措施,公平实现鉴别失败的处理。 用户主体行为绑定 (1)用户进程与所有者相关联,进程行为可追溯到进程的所有者; (2)进程与当前服务要求者相关联,系统进程行为可追溯到服务的要求者。
二、操作系统安全的技术要求 2、访问控制 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。访问控制也是信息安全理论基础的重要组成部分。 本章讲述访问控制的原理、作用、分类和研究前沿,重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。 (1)访问控制原理 访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源,访问方式可以是获取信息、修改信息或者完成某种功能,一般情况可以理解为读、写或者执行。
二、操作系统安全的技术要求 2、访问控制 (2)自主访问控制((Discretionary Access Control,DAC) 自主访问控制就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。 主体、客体以及相应的权限组成系统的访问控制矩阵。在访问控制矩阵中,每一行表示一个主体的所有权限;每一列则是关于一个客体的所有权限;矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。 访问控制表(Access Control List,ACL)是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明晰表,来表示各个主体对这个客体的访问权限。 访问能力表(Access Capabilities List)是最常用的基于行的自主访问控制。能力(capability) 是为主体提供的、对客体具有特定访问权限的不可伪造的标志,它决定主体是否可以访问客体以及以什么方式访问客体。
二、操作系统安全的技术要求 2、访问控制 (3)强制访问控制(Mandatory Access Control, MAC) 强制访问控制系统为所有的主体和客体指定安全级别,比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 实体的安全级别是由敏感标记(Sensitivity Label)来表示,是表示实体安全级别的一组信息,在安全机制中把敏感标记作为强制访问控制决策的依据。 (4)基于角色的访问控制(Role Based Access Control,RBAC) 在基于角色的访问控制模式中,用户不是自始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限。系统按照自主访问控制或强制访问控制机制控制角色的访问能力。 一个主体可以同时担任多个角色。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限(最小授权指主体在能够完成所有必需的访问工作基础上的最小权限)。 授权管理的控制途径:改变客体的访问权限改变角色的访问权限改变主体所担任的角色。
二、操作系统安全的技术要求 3、安全审计 安全审计是指在一个信息系统中以维护系统安全为目的的审计,即为了保障系统、网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控系统中每一个组成部分的状态、安全事件,以便集中报警、分析、处理的一种技术手段。 安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性控制等安全功能紧密结合。 提供对受保护客体访问的审计跟踪功能,保护审计记录不被未授权访问、修改和破坏。 提供可选择的审计事件,生成的审计日志可管理。
二、操作系统安全的技术要求 4、用户数据的完整性和保密性 5、可信路径 在安全功能控制范围内。为主体和客体设置完整性标签,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性。 提供硬盘数据的备份和修复功能,可将硬盘中的数据压缩和备份,并在必要时恢复。 确保硬盘数据的授权使用,保证系统内各个用户之间互不干扰。 5、可信路径 在第四级和第五级安全系统中,要求提供用户初始登录/鉴别时的可信路径,在SSOOS与用户间建立一条安全的信息传输通路。
三、Windows 2003的访问控制 1、Windows的安全模型与基本概念 (1)安全模型 1)登录过程(Logon Process,LP)。接受本地用户或者远程用户的登录请求,处理用户信息,为用户做一些初始化工作。 2)本地安全授权机构(Local Security Authority,LSA)。根据安全账号管理器中的数据处理本地或者远程用户的登录信息,并控制审计和日志。这是整个安全子系统的核心。 3)安全账号管理器(Security Account Manager,SAM)。维护账号的安全性管理数据库(SAM数据库,又称目录数据库)。 4)安全引用监视器(Security Reference Monitor,SRM)。检查存取合法性,防止非法存取和修改。
三、Windows 2003的访问控制 1、Windows的安全模型与基本概念 (2)安全概念 1)安全标识(Security Identifier,SID):是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。安全标识和账号唯一对应,在账号创建时创建,账号删除时删除,而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。 2)访问令牌(Access Token)。当用户登录时,本地安全授权机构为用户创建一个访问令牌,包括用户名、所在组、安全标识等信息。以后,用户的所有程序都将拥有访问令牌的拷贝。 3)主体。用户登录到系统之后,本地安全授权机构为用户构造一个访问令牌,这个令牌与该用户所有的操作相联系,用户进行的操作和访问令牌一起构成一个主体。 4)对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。 5)安全描述符(Security Descript)。Windows系统中共享资源的安全特性描述,包含了该对象的一组安全属性,分为所有者安全标识、组安全标识(GroupSecurity)、自主访问控制表(Discretionary Access Control List,DAC)、系统访问控制表(ACL)四个部分。
三、Windows 2003的访问控制 2、Windows的访问控制过程 当一个账号被创建时,Windows系统为它分配一个SID,并与其他账号信息一起存入SAM数据库。 用户登录管理。登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器/域信息送给安全账号管理器,安全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,服务器发给工作站允许访问的信息,并返回用户的安全标识和用户所在组的安全标识,工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。 本地安全授权机构为用户创建访问令牌,包括用户名、所在组、安全标识等信息。此后用户每新建一个进程,都将访问令牌复制作为该进程的访问令牌。 用户访问进程管理。安全引用监视器将用户/进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较,从而决定用户是否有权访问对象。
三、Windows 2003的访问控制 2、Windows的访问控制过程 资源复制或移动时权限的变化 权限(Permission):精确定制用户对资源的访问控制能力。 权限管理原则 (1)拒绝优于允许原则 (2)权限最小化原则 (3)权限继承性原则 (4)累加原则 “拒绝优于允许”原则是用于解决权限设置上的冲突问题;“权限最小化”原则是用于保障资源安全;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。 资源权限的应用:依据是否被共享到网络,其权限可以分为NTFS权限(本地权限)与共享权限两种。 NTFS的标准访问权限:“套餐型”的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。图6.5 NTFS的“特别权限”(“高级”选项),允许用户进行细化权限选择。图6.6 三种共享权限:完全控制、更改、读取。 资源复制或移动时权限的变化 在权限的应用中,设置了权限后的资源需要复制或者是移动,资源的权限会发生变化: (1)复制资源 在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。 (2)移动资源 在移动资源时,如果资源的移动发生在同一驱动器内,那么对象将保留本身原有的权限不变(包括资源本身权限及从父级资源中继承的权限);若资源的移动发生在不相同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是进行资源的复制、然后从原有位置彻底删除资源的操作。 (3)非NTFS分区 复制或移动资源时,如果将资源复制或移动到非NTFS分区上,那么所有的权限均会自动全部丢失。
三、Windows 2003的访问控制 3、Windows的加密文件系统 概念及功能: 使用要求: Windows的加密文件系统(Encrypting File System,EFS)提供一种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储基于指定用户SID等信息加密的文件。 对加密该文件的用户,加密是透明的。 使用要求: (1)只有NTFS卷上的文件或文件夹才能被加密。 (2)被压缩的文件或文件夹不可以加密。 (3)如果将加密的文件复制或移动到非NTFS格式的卷上,该文件将会自动解密。 (4)如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。 (5)无法加密标记为“系统”属性的文件,并且位于%systemroot%目录结构中的文件也无法加密。 (6)加密文件夹或文件不能防止删除或列出文件或文件夹表。 (7)WebDAV(Web分布式创作和版本控制 )基于HTTP1.1,可在本地加密文件并采用加密格式发送。
四、安全审计技术 1、安全审计概述 审计是对访问控制的必要补充,是访问控制的一个重要内容。 审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。 审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能帮助恢复数据。
四、安全审计技术 2、安全审计的内容 审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。 1)个人职能(individual accountability) 审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施。 2)事件重建(reconstruction of events) 在发生故障后,审计跟踪可以用于重建事件和数据恢复。 3)入侵检测(intrusion detection) 审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。 4)故障分析(problem analysis) 审计跟踪可以用于实时审计或监控。
四、安全审计技术 3、安全审计的目标 计算机安全审计机制的目标如下: 1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击。 2)应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系统资源收集信息。 3)应能够对一个给定的资源(其他用户也被视为资源)进行审计分析,分辨看似正常的活动,以发现内部计算机系统的不正当使用; 4)设计审计机制时,应将系统攻击者的策略也考虑在内。 概括而言,审计系统的目标至少包括:确定和保持系统活动中每个人的责任;确认重建事件的发生;评估损失;临测系统问题区;提供有效的灾难恢复依据;提供阻止不正当使用系统行为的依据;提供案件侦破证据。
四、安全审计技术 4、安全审计的系统 审计通过对所关心的事件进行记录和分析来实现,含以下几部分。 1)日志的内容 2) 安全审计的记录机制 日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源和目的的位置、事件类型、事件成败等。 2) 安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成。 3)安全审计分析 通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。主要内容有:潜在侵害分析、基于异常检测的轮廓、攻击探测。 4)审计事件查阅 由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制,不能篡改日志。 5)审计事件存储 审计事件的存储也有安全要求,主要有审计数据的可用性保证和防止丢失。
四、安全审计技术 5、Windows2003安全审计实例 (1)打开安全审核 “开始”“设置”“控制面板”“管理工具”“本地安全策略”,选择“本地策略”中的“审核策略”。
四、安全审计技术 5、Windows2003安全审计实例 (2)审计子系统结构 在“资源管理器”中,选择右键菜单中的属性安全高级,再选择“审核”以激活目录审核对话框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。 右图 在“本地安全策略”中,系统管理员可以根据各种用户事件的成功和失败选择审计策略。右图
四、安全审计技术 5、Windows2003安全审计实例 (3)查看日志 Windows的日志文件很多,但主要是系统日志、应用程序日志和安全日志三个。这三个审计日志是审计一个Windows系统的核心,所有可被审计的事件都存入了其中的一个日志。使用事件查看器的查看日志。 1)系统日志。跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 2)应用程序日志。跟踪应用程序关联的事件,比如应用程序产生的象装载dll(动态链接库)失败的信息将出现在日志中。 3)安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。
四、安全审计技术 5、Windows2003安全审计实例 (4)审计日志和记录格式 事件记录头的“源”指用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。 “类型”是事件严重性指示器。在系统和应用日志中,类型可以是错误、警告或信息。在安全日志中,类型可能是成功审计或失败审计。 “种类”指触发事件类型,主要用在安全日志中指示该类事件的成功或失败审计已经被许可。
四、安全审计技术 5、Windows2003安全审计实例 (5)事件日志管理特征 (6)安全日志的审计策略 审计规则既可以审计成功操作,又可以审计失败操作。包括:1)登录及注销;2)用户及组管理;3)文件及对象访问;4)安全性规则更改;5)重新启动、关机及系统级事件;6)进程追踪;7)文件和目录审计。 (7)管理和维护审计 通常情况下,Windows不是将所有的事件都记录日志,而需要手动启动审计的功能。选择“本地安全策略”,选择设置相应的项目即可。 当需要审查审计日志以跟踪网络或机器上的异常事件时,采用一些第三方提供的工具是一个较有效率的选择。
本章小结 操作系统的安全是信息系统安全的重要保证之一,本章在分级保护的基础上,提出操作系统安全的技术要求,并重点介绍了访问控制技术。 访问控制分自主访问控制、强制访问控制和基于角色的访问控制三种类型。针对Windows 2003操作系统,介绍了访问控制和安全审计的实现过程。 GBT 20272-2006 信息安全技术 操作系统安全技术要求 GBT 20008-2005 信息安全技术 操作系统安全评估准则
作业: 三、名词解释 访问控制 访问控制表 访问标识 EFS SSOOS TCB 四、简答题 5 7 8