操作系统及安全复习笔记
一、安全概述
(1) 安全威胁
主要威胁:计算机病毒,蠕虫,逻辑炸弹,特洛伊木马,后面天窗,隐蔽通道,拒绝服务攻击,内部人员泄密
危险分类:信息抵赖,信息窃取,信息篡改,信息冒充
安全目标威胁:保密性威胁(保护隐藏信息),完整性威胁(信息内容来源可信程度),可用性威胁(信息使用能力及防止拒绝服务攻击)
(2) 研究发展
1.云计算环境下的操作系统安全
2.安全桌面操作系统:Qubes 1.0
3.嵌入式操作系统安全和嵌入式安全操作系统
(3) 相关概念
六层安全
达到安全目标方法:认证,访问控制,审计,响应
访问控制矩阵:给每个用户或进程赋予对文件和数据的操作类型,只能干他们赋予权限之内的事
强制保护系统:强制保护系统是一个仅使可信管理员通过可信软件来修改状态的保护系统。
引用监视器:以主体(用户等)所获得的引用权限为基准,验证运行中的程序(对程序、数据、设备等)的所有引用
引用控制机制:实现控制机思想硬件软件的结合
软件三大可信类别:可信的、良性的、恶意的
主体:一个主动的实体,使信息在客体中间流动或者改变系统状态
客体:一种包含或接受信息的被动实体
可信计算基:操作系统安全内核、具有特权的程序和命令、处理敏感信息的程序、与TCB实施安全策略有关的文件
隐蔽通道:按常规不会用于传送信息但却被利用于泄漏信息的信息传送渠道。工作方式:资源耗尽型,事件计数型,MAC冲突型。
二、安全机制
四个分离:物理,时间,逻辑,密码,安全性逐渐变弱
操作系统四个目标:
依据系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取;
标识系统中的用户并进行身份鉴别;
监督系统运行的安全性;
保证系统自身的安全性和完整性
普通安全机制:信任的功能性,事件检测,审计跟踪,安全恢复
身份鉴别方法:口令,密码验证,生物鉴别方法,可信计算基
口令质量取决条件:口令空间(P=(L×R)/S)
口令加密算法(单向加密,不固定)
口令长度(M=logAS S:口令空间 A:字母表大小)
PAM组成:PAM API,动态装载库(身份认证、账户管理、口令管理、会话管理),PAM配置文件
WINDOWS身份鉴别
控制访问基本任务:防止用户对系统资源的非法使用,保证对客体的所有直接访问都是被认可的。
三种方式:DAC,MAC,RBAC
DAC(自主访问控制):基于行的自主访问控制机制
能力表:权限字
前缀表:包括受保护的客体名和主体对它的访问权限
口令:每个客体有一个
基于列的自主访问控制机制
保护位:对客体的拥有者基其他主体、主体组,规定的对该客体访问模式的集合
访问控制表:对某个特定资源制定任意用户的访问权限。
MAC(强制访问控制)三种方法:限制控制访问,过程控制,系统控制
给每个用户分配起拥有的权限,用户只能干其权限之内的事情
仅当用户的安全级别不低于文件的安全级别时,用户才可以读文件;
仅当用户的安全级别不高于文件的安全级别时,用户才可以写文件;
RBAC(基于角色的访问控制):授权给用户的访问权限,通常由用户担当的角色来确定。
给用户分配角色,给角色分配权限。
最小特权管理
常见形式:基于文件的特权机制,基于进程的特权机制
遵循原则:以进程(程序)逻辑为中心进行特权控制;
以进程特权相关属性为依据对进程生命周期进行划分,进程在各个阶段中根据进程逻辑分配不同的特权;
用户特权属性仅作为一种全局性的约束;
在部分特权中引入特权参数提供更细粒度的特权控制;
与原有机制的尽量兼容,对应用程序透明
进程生存周期被划分为多个阶段,在不同的特权状态下根据其逻辑和当前用户被分配不同的特权,进程特权被限制在较小的范围。
可信通路(用户能借以直接同可信计算基通信的一种机制)
安全审计类型:系统级审计(系统设备运行状态)
应用级审计(修改编辑开关文件数据)
用户级审计(用户的命令)
存储保护:虚地址空间,分段,物理页号上的秘密信息,基于描述符的地址解释机制
运行保护
保护环——运行域——等级域机制,进程隔离机制
I/O保护
I/O操作是操作系统完成的特权操作
三、安全模型
安全需求:机密性、完整性、可追究性和可用性
Bell-LaPadula模型
BIBA模型
非自主策略:
(1)对主体的下限标记策略
(2)对客体的下限标记策略
(3)下限标记完整审计策略
(4)环策略
(5)严格完整性策略
自主安全策略:
(1)存取控制列表
(2)客体层次结构
(3)环
Clark-Wilson完整性模型
核心:;良构事务(确保数据完整性的受限方式对数据处理)
任务分离(分成多个子集不同子集由不同人处理)
组成:
受限定的数据项CDI:完整性被安全模型保护起来的任何数据项。
不受约束的数据项UDI:不被安全模型控制的任何数据项。
完整性验证过程IVP:扫描数据项并证实数据完整性的过程。
转换过程TP:将系统数据从一个有效状态转换为另一个有效状态的过程。
中国墙模型:根据主体已经具有的访问权力来确定是否可以访问当前数据,即只允许主体访问与其所拥有的信息没有利益冲突的数据集内的信息。
层次结构:最底层(数据项),中间层(企业分组),最高层(具有竞争关系的数据集)
四、安全体系结构
基本原则:
n 从系统设计之初就考虑安全性;
n 应尽量考虑未来可能面临的安全需求;
n 隔离安全控制,并使其最小化;
n 实施特权极小化;
n 结构化安全相关功能;
n 使安全相关的界面友好;
n 不要让安全依赖于一些隐藏的东西;
n 机制经济性原则
n 失败-保险默认原则
n 特权分离原则
n 最小特权原则
n 最小公共机制原则
n 完全仲裁原则
n 开放式设计原则
n 心里可接受性原则
FLACK体系结构:可以允许一些安全策略之外的命令执行,动态安全策略
要求:系统必须支持对底层客体的精细访问控制
系统必须确保访问权限的增长和安全策略的一致
策略在通常情况下不是固定不变的
组成
两个部分:客体管理器(实施判定结果),安全服务器(对安全策略判定)
权能体系结构
权能:对象(和客体)的保护名
权能的组成
用于标识客体的标识符
定义客体类型的域
访问权的域
五、安全操作系统设计
安全操作系统的目标:保密性与完整性
满足规定:
最小特权:每个用户和程序必须安全需求原则,尽可能使用最小的特权;
机制的经济性:系统的设计必须小型化、简单、明确;
开放系统设计:保护机制应该公开、安全性不依赖于保密;
完整的存取控制机制:对每个存取访问系统必须进行检查;
基于“允许”的设计原则:应当标识什么资源可存取、而不标识什么资源不可存取;即要基于否定背景的;
权限分离:在理想情况下对实体的存取应该受到多个安全条件的约束;
避免信息流的潜在通道:系统应采用物理或逻辑分离的方法;
安全操作系统一般结构
隔离性:不同进程间的隔离
隔离方法
1. 隔离硬件:虚拟机
2. 隔离操作系统:容器虚拟化
3. 隔离底层:Servlet容器
4. 隔离依赖版本:虚拟环境
5. 隔离运行环境:语言虚拟机
6. 隔离语言:DSL
安全内核:实现整个操作系统的安全机制(分层结构,环结构)
基于操作系统的安全开发方法:虚拟机法,改进法,仿真法
虚拟机法:在现有操作系统和硬件之间增加一层新的软件作为内核,操作系统作为虚拟机来运行
特点:要求原系统的硬件和结构都能支持虚拟机,因此,局限性很大
改进法:在现有操作系统基础上对内核和应用程序进行面向安全策略的分析,再加入安全机制
特点:代价小;用户接口不变;效率变化不大,很难达到B2级以上的安全级别
仿真法:对现有操作系统的内核进行面向安全策略的分析和修改以形成安全内核,然后在安全内核与原ISOS用户接口界面中间再编写一层仿真程序
不足:
要同时设计仿真程序和安全内核,受顶层ISOS接口限制
有些ISOS接口功能不安全,不能仿真
有些ISOS仿真实现特别困难
开发过程:
开发过程
从两个方面进行
安全功能
安全保证
十项安全功能:
标识与鉴别、自主访问控制、标记、强制访问控制、客体重用、审计、数据完整性、可信路径、隐通道分析、可信恢复
三个方面的安全保证
TCB自身安全保护:TSF保护、资源利用、TCB访问
TCB设计和实现:配置管理、分发和操作、开发指导性文档、生命周期支持、测试、脆弱性评定
TCB安全管理
自主访问控制的实现
访问控制表ACL
权能表CL
强制访问控制的实现
基于BLP的多级安全访问控制机制
基于安全标签的强制访问控制机制
最小特权的实现
RBAC
六、 操作系统安全评测
六项基本要求:安全策略,标记,标识,审计,保证,持续保护
安全定义:身份认证,访问控制,数据保密,数据完整,不可否认
安全性保证手段:漏洞扫描评估,安全性评测
外部入侵过程
计算机安全级别
等级说明
D没有要求
C1/C2/B1 要求许多商业操作系统共有的安全特性
B2要求对基础模型的安全性有精确证明,并对可信计算基有阐述性规格说明
B3/A1 要求对TCB精确证明的描述和形式化设计
计算机系统安全保护等级能力的五个等级
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级