操作系统安全要点
发布时间:2022-11-24 15:36:10 所属栏目:安全 来源:
导读: 第一章:绪论
1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组织各种程序高效运
1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组织各种程序高效运
|
第一章:绪论 1 操作系统是最基本的系统软件,是计算机用户和计算机硬件之间的接口程序模块,是计算机系统的核心控制软件,其功能简单描述就是控制和管理计算机系统内部各种资源,有效组织各种程序高效运行,从而为用户提供良好的、可扩展的系统操作环境,达到使用方便、资源分配合理、安全可靠的目的。 2 操作系统地安全是计算机网络信息系统安全的基础。 3 信息系统安全定义为:确保以电磁信号为主要形式的,在计算机网络化(开放互联)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性(保密性)、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。 4 操作系统面临的安全威胁可分为保密性威胁、完整性威胁和可用性威胁。 5 信息的保密性:指信息的隐藏,目的是对非授权的用户不可见。保密性也指保护数据的存在性,存在性有时比数据本身更能暴露信息。 6 操作系统受到的保密性威胁:嗅探,木马和后门。 7 嗅探就是对信息的非法拦截,它是某一种形式的信息泄露. 网卡构造了硬件的―过滤器―通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为―混杂模式―就可以进行嗅探。 8 在正常的情况下,一个网络接口应该只响应这样的两种数据帧: 1.与自己硬件地址相匹配的数据帧。 2.发向所有机器的广播数据帧。 9 网卡一般有四种接收模式:广播方式,组播方式,直接方式,混杂模式。 10 嗅探器可能造成的危害: ?嗅探器能够捕获口令; ?能够捕获专用的或者机密的信息; ?可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限; ?分析网络结构,进行网络渗透。 11 大多数特洛伊木马包括客户端和服务器端两个部分。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。 特洛伊木马:一种恶意程序,它悄悄地在宿主机器上运行,在用户毫无察觉的情况下让攻击者获得了远程访问和控制系统的权限。特洛伊木马也有一些自身的特点,例如它的安装和操作都是在隐蔽之中完成;大多数特洛伊木马包括客户端和服务器端两个部分。 12 木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等, 达到偷窥别人隐私和得到经济利益的目的. 13 后门:绕过安全性控制而获取对程序或系统访问权的方法。 14 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。通常具备实用的、具吸引力的基本功能,它还收集有关用户操作习惯的信息并将这些信息通过互联网发送给软件的发布者。 蠕虫(worm)可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性同时具有自己的一些特征。15 信息的完整性指的是信息的可信程度。完整性的信息应该没有经过非法的或者是未经授权的数据改变。完整性包括信息内容的完整性和信息来源的完整性. 16 信息的完整性威胁主要分为两类:破坏和欺骗。破坏:指中断或妨碍正常操作。数据遭到破坏后。其内容可能发生非正常改变,破坏了信息内容的完整性。欺骗:指接受虚假数据。 17 有几种类型的攻击可能威胁信息的完整性,即篡改(modification)、伪装(masquerading)、 重放(replaying)和否认(repudiation)。 18 可用性威胁是指对信息或者资源的期望使用能力. 19 威胁可用性的攻击称为拒绝服务(Denial of Service)。 20 网络带宽攻击:指以极大的通信量冲击网络,使得所有可用的网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。 连通性攻击:指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法在处理合法用户的请求。 21 DoS目的:使计算机或网络无法提供正常的服务 可能发生在服务器的源端可能发生在服务器的目的端可能发生在中间路径 22 操作系统可用性威胁的另一个主要来源:计算机软件设计实现中的疏漏。 23绝对安全的OS是不存在的,只能尽可能地减少OS本身的漏洞,需要在设计时就以安全理论作指导,始终贯穿正确的安全原则。 系统漏洞是指:操作系统在逻辑设计上的缺陷或在编写时产生的错误; 也可能是由操作系统生产厂家的一个不道德的雇员装入的(天窗); 这些漏洞可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个 电脑,从而窃取电脑中的重要资料和信息,甚至破坏整个操作系统。 逻辑炸弹是一种程序或现有应用程序的一部分,当满足某种条件是,该程序的一部分功能就被激活产生破坏作用. 多种触发方式:计算器触发;时间触发;复制触发;视频模式触发。 24操作系统安全威胁的发展趋势:?复杂化?多种威胁往往交织在一起 25 Adept-50是历史上第一个安全操作系统,运行于IBM/360硬件平台。 26 访问控制的基本概念: –主体(subject)是访问操作中的主动实体。引起信息在客体之间流动的实体,通常是指人、进程或设备等。 –客体(objective)是访问操作中的被动实体。系统中被动的主体活动承担者。 –访问矩阵(access matrix)是以主体为行索引、以客体为列索引的矩阵,使用M表示 –矩阵中第i行第j列的元素使用Mij表示,表示主体Si可对客体Oj进行的一组访问方式27信息保护机制的八条设计原则: (1) 机制经济性(economy)原则; (2) 失败-保险(fail-safe)默认原则; (3) 完全仲裁原则; (4) 开放式设计原则; (5) 特权分离原则; (6) 最小特权原则; (7) 最少公共机制原则; (8) 心理可接受性原则。 28 1983年美国防部颁布TCSEC(橘皮书)是历史上第一个计算机安全评价标准。 29软件可分为三大可信类别:可信的,良性的,恶意的。 30安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。 31安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述,它为安全策略和安全策略实现机制的关联提供了一种框架。 32引用验证机制需要同时满足以下3个原则: (1) 必须具有自我保护能力; (2) 必须总是处于活跃状态; (3) 必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。33安全内核是指计算机系统中控制对系统资源的访问来实现安全规程的中心部分,包括引用验证机制、访问控制机制、授权机制和授权管理机制等部分。 34安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 35.可信计算基(TCB):是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务。通常所指的TCB是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统),以防止不可信主体的干扰和篡改。 可信计算基(TCB)由以下几个部分组成: (1) 操作系统的安全内核。 (2) 具有特权的程序和命令。 (3) 处理敏感信息的程序,如系统管理命令等。 (4) 与TCB实施安全策略有关的文件。 (5) 其他有关的固件、硬件和设备。 (6) 负责系统管理的人员。 (7) 保障固件和硬件正确的程序和诊断软件。 36可信计算基(TCB)的软件部分是安全操作系统的核心内容,它完成下述工作: ●内核的良好定义和安全运行方式;●标识系统中的每个用户;●保持用户到TCB登录的可信路径;●实施主体对客体的存取控制;●维持TCB功能的正确性;●监视和记录系统中的有关事件。 37.1)隐藏通道可定义为系统中不受安全策略控制的或者违反安全策略的信息泄露途径,是一种简易而有效的方法,可使得建立在未授权或未预料的方法之上的通信机制成为可能,他们能跨越多种访问控制/监视报告系统。隐藏通道技术常常基于隧道技术。这种机制允许将任何协议封装在已被授权的可行协议内。 2)隐蔽通道是指系统中利用那些本来不是用于通信的系统资源绕过强制存取控制进行非法通信的一种机制,是允许进程以危害系统安全策略的方式传递信息的信道。特洛伊木马攻击系统的一个关键标志是通过一个合法的信息信道进行非法的通信 根据通信双方传递信息所用媒介的不同,可以把隐蔽信道分为。 (1)隐蔽存储信道(Covert Storage Channel):允许一个进程直接或间接地写一个存储位置,而另一个进程可以直接或间接地读这个存储位置。 (2)隐蔽定时信道(Covert Timing Channel):允许一个进程通过调节自己对系统资源的使用向另一个进程发送信息,后者通过观察响应时间的改变而获得信息。 目前,已知的隐蔽信道绝大多数是存储信道。但两者的划分也不是绝对的,有些隐蔽信道具有二者的特征。 3)衡量隐蔽信道的两个基本参数为容量和带宽。容量指隐蔽信道一次所能传递的信息量,用B来衡量。带宽指信息通过隐蔽信道传递的速度,用B/s(b/s)来衡量。 对隐蔽信道的常见处理技术包括:消除法、宽带限制法、威慑法等,美国橘皮书TCSEC建议结合使用这三种方法。 4)隐蔽信道处理的基本原则有以下几个方面 (1)信道宽带低于某个预先设定值b的隐蔽信道是可以接收的。 (2)带宽高于b的隐蔽存储都应当可以审计。所有不能审计的存储信道的带宽要记入文档,这使得管理员可以觉察并从程序上采取纠正措施对付重大的威胁。 (3)带宽高于预先设定的上限B(B>b)的隐蔽信道代表重大威胁,应当尽可能将其消除或者将其带宽降低到Bbps以下。 38.操作系统是一个庞大的管理控制程序,大致包括5个方面的管理功能:进程管理、作业管理、存储管理、设备管理、文件管理。所有的操作系统具有并发性、共享性、虚拟性和不确定性四个基本特征。 39.操作系统的安全特性是指操作系统在基本功能基础上增加了安全机制与措施,以保障计算机资源使用的保密性、完整性和可用性。 操作系统的安全特性处于硬件和上层应用的中间环节,可以对数据库、应用软件、网络系统提供全方位的保护。 40.安全系统的特点:一个有效可靠的操作系统应具有很强的安全性,且必须具有相应的保护措施,消除和限制如计算机病毒、漏洞、特洛伊木马和隐藏通道等对系统构成的安全威胁41.安全操作系统与操作系统的安全是两个不同的概念; 安全操作系统通常与相应的安全等级相对应;操作系统安全是指操作系统在基本功能基础 上增加了安全机制与措施,以保障计算机资源使用的保密性、完整性和可用性。 42.开发安全操作系统是一个复杂且艰难的工程,首先必须要克服以下问题: (1)安全理论与模型问题:在整个安全操作系统开发中,建立适合的安全理论和模型是基础与依据。(2)安全体系结构的问题:高安全等级不是安全功能的简单叠加,必须要有严密科学的结构加以保证。从形式化描述与验证上下功夫,为解决操作系统安全提供一个整体的理论指导和基础构件的支撑,可信计算基(TCB)是操作系统安全的基础。(3)必须按需分级(4)以密码技术重构内核:密码技术在内核中可以实现以下主要功能:确保用户唯一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;确保硬件环境配置、操作系统内核、服务及应用程序的完整性;确保密钥操作和存储的安全;确保系统具有免疫能力,从根本上阻止病毒和黑客等软件攻击。 第二章:操作系统的安全机制 1操作系统提供的安全服务:内存保护;文件保护;普通实体保护:对实体的一般存取控制;存取鉴别:用户身份的鉴别。 2操作系统安全的主要目标:按系统安全策略对用户的操作进行访问控制,防止用户对计算机资源的非法使用(包括窃取、篡改和破坏);标识系统中的用户,并对身份进行鉴别;监督系统运行的安全性;保证系统自身的安全性和完整性。 3 ISO:是一种技术、一些软件或实施一个或更多安全服务的过程。 4 标识:用户要向系统表明的身份。 用户名、登录ID、身份证号或智能卡;应当具有唯一性;不能被伪造。 5 鉴别:对用户所宣称的身份标识的有效性进行校验和测试的过程。 1 证实自己所知道的; 2 出示自己所拥有的; 3 证明自己是谁; 4 表现自己的动作。 6 口令选取的注意点: 不要使用容易猜到的词或短语;不要使用字典中的词、常用短语或行业缩写等;应该使用非标准的大写和拼写方法;应该使用大小写和数字混合的方法选取口令;此外,口令质 量还取决于 :口令空间 ;口令加密算法; 口令长度 . 7. S = G / P 而 G = L × R S:口令空间 ; L:口令的最大有效期 ;R:单位时间内可能的口令猜测数 ;P:口令有效期内被猜出的可能性:P=(L×R)/S 8 口令长度计算方法: M=logAS S:口令空间;A:字母表大小,字母表中字母个数 9 破解口令的方法:社会工程学方法,字典程序攻击,口令文件窃取,暴力破解。 10 要求认证机制做到以下几点: (1) 在进行任何需要TCB仲裁的操作之前,TCB都应该要求用户标识他们自己。 (2) TCB必须维护认证数据,包括证实用户身份的信息以及决定用户策略属性的信息,如groups。 (3) TCB 保护认证数据,防止被非法用户使用。 (4) TCB应能维护、保护、显示所有活动用户和所有用户账户的状态信息。 (5) 一旦口令被用作一种保护机制,至少应该满足: ①当用户选择了一个其他用户已使用的口令时,TCB应保持沉默。② TCB应以单向加密方式存储口令,访问加密口令必须具有特权。③在口令输入或显示设备上,TCB应自动隐藏口令明文。④在普通操作过程中,TCB在默认情况下应禁止使用空口令。⑤ TCB应提供一种保护机制允许用户更换自己的口令,这种机制要求重新认证用户身份。⑥对每一个用户或每一组用户,TCB必须加强口令失效管理。⑦在要求用户更改口令时,TCB应事先通知用户。⑧要求在系统指定的时间段内,同一用户的口令不可重用⑨ TCB应提供一种算法确保用户输入口令的复杂性。 11访问类别:系统中为被授权访问资源或资源组的主体(用户、程序、进程等)设立的访问等级。 访问控制:限制已授权访问主体或计算机网络中其他系统访问本系统资源的过程。 访问控制的基本任务:防止用户对系统资源的非法使用,保证对客体的所有直接访问都是被认可的。 12 使用访问控制机制的目的: 保护存储在计算机上的个人信息;保护重要信息的机密性; 维护计算机内信息的完整性;减少病毒感染机会,从而延缓这种感染的传播; 保证系统的安全性和有效性,以免受到偶然的和蓄意的侵犯。 13 系统内主体对客体访问控制机制:自主访问控制,强制访问控制,基于角色的访问控制。 14 MAC和DAC通常结合在一起使用 MAC,是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。 DAC,有访问许可的主体能够直接或间接地向其他主体转让访问权,常用于将系统中的信息分密级和类进行管理,适用于政府部门、军事和金融等领域。 15 一般强制访问控制采用以下几种方法:限制访问控制,过程控制,系统控制。 16 基于角色的访问控制的基本思想:根据用户担当的角色来确定授权给用户的访问权限,用户不能自主地将访问权限传给他人。 17 橘皮书关于最小特权的定义:要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权,即最低许可。 18 常见的最小特权管理机制: 基于文件的特权机制;基于进程的特权机制 19 可信通路是用户能够借以同可信计算基通信的一种机制 能够保证用户确定是和安全核心通信; 防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令。 20 审计系统的实现:日志记录器:收集数据;分析器:分析数据;通告器:通报结果;系统日志;应用程序日志;安全日志。 21 内存管理的访问控制:系统段与用户段;基于物理页号的识别;基于描述符的地址解释机制。 22 等级域保护机制: 应该保护某一环不被其外层环侵入;允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环 23与进程隔离机制不同: 在任意时刻,进程可以在任何一个环内运行,并转移到另一个环;保护进程免遭在同一环内同时运行的其他进程的破坏 24.数据完整性(Data Integrity):指数据的精确性和可靠性,指系统中的数据未遭受偶然或恶意的修改或破坏时所具有的性质。 最小权原则(Least Privileges Principle):限定系统中每个主体所必须的最小特权,确保可能的事故、错误、部件的篡改等原因造成的损失最小。 隐藏通道(Covert Channel):系统中不受安全策略控制的、违反安全策略的信息泄露途径。可信计算机系统(Trusted Computer System):一个使用了足够的硬件和软件完整性机制,能够用来同时处理大量敏感或分类信息的系统。 客体重用(Object Reuse):使用曾经存储一个或几个数据客体的存储介质存储新的数据客体。 角色(Role):系统中访问权限的集合。 审计(Audit):对系统中有关安全的活动进行记录、检查、及审核。 25.内存管理访问控制 系统中的每一个进程都有自己的虚拟地址空间。这些虚拟地址空间是完全分开的,这样一个进程的运行不会影响其它进程,这样可以防止迷失的应用程序覆盖代码的数据。 对内存储器的高级保护还可以通过对内存交换区进行封装和监视,以防止不明来历的进程入住内存破坏系统数据。 同时,防止用户态的进程可以改写系统地址空间内容,使错误的应用程序能够损坏关键的系统数据结构并使系统崩溃 26.内存存取保护 防止主存储器中有限个程序的相互干扰和保护其中有限区域内的信息安全,限定各程序在规定的主存区域内执行,称为存储保护。 内存存取保护是安全操作系统中一个最基本的要求,也是最基本的安全机制,主要是保护用户在存储器中的数据。 27.内存管理访问控制 操作系统在设计时,针对内存通常是分块管理的,较早期的操作系统采用分段的管理方式,现在大部分操作系统在采用基于页的存储管理方式。 在基于段的管理方式中,每个段都有相应的大小,系统在装入新的程序时,需要查看限长寄存器的值,将它与程序要求的内存大小进行比较,若大于段的长度,则该程序不能装入该段内,从而保护了程序的跨段装入,防止其他程序的运行空间受到破坏。 在基于页的内存管理方式中,每个页都设有相应的页保护位,表示该页可以是否被可以被读R、写W或者运行X的情况。另外,操作系统对每页的使用也有登记,通过查询可以获知每页正在被哪个进程使用的情况,防止操作系统对已使用内存页的重复分配,从而保护了已有进程的合法空间。 为了达到更高系统吞吐量,提高并发运行的能力,现在的操作系统都采用了虚拟内存的管理技术。虚拟内存通过在各个进程之间共享内存,而使系统看起来有多于实际内存的内存容量。 28.一般的操作系统I/O仅仅是一个特权操作供高层系统调用,用户一般不需要操作细节 I/O介质输出访问控制的一般办法:介质—读写设备—读写进程—处理器。 29.文件系统保护:文件系统是文件命名、存储、组织的总体结构,是计算机系统和网络的重要资源。文件系统的安全措施主要有以下几个方面: 1.分区:(1)扩展和逻辑分区;(2)设备文件分区;(3)对硬盘进行分区;(4)主引导记录、引导扇区和分区表2文件系统的安全加载 3.文件共享安全4 .文件系统的数据备份 第十一章:备份与恢复 1 据统计,80%以上的数据丢失都是由于人们的错误操作引起的。 2 备份就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。 3 数据备份的根本目的,是重新利用,这也就是说,备份工作的核心是恢复。 4 执行数据备份有两种途径: 1 联机备份:正常的系统运行过程中对数据进行备份。在备份进行时,允许用户访问数据。 2 脱机备份:进行数据备份完成之前,先不允许用户访问数据。 5 联机备份在系统处于联机状态时进行,因此该策略造成的中断最小。 6 联机备份的优点:没有服务中断,不需要在加班时间进行备份,完全或部分备份。 7 联机备份的缺点:在备份过程中,服务器的性能可能会下降;有些打开的数据文件可能无法备份,这取决于备份过程中哪些应用程序处于活动状态。 8 脱机备份在系统和服务处于脱机状态下进行。 9 脱机备份的优点:完全或部分备份,脱机备份的备份性能较好,可以备份所有数据。 10 脱机备份的缺点是在备份过程中用户将无法访问数据。 11 备份类型:. 完全备份,增量备份,差异备份。 12 完全备份会备份所有数据,包括所有硬盘上的文件。每个文件都被标记为已备份操作系统安全,也就是说,会清除或重置存档属性。一个最新的完全备份磁带可以用来完全还原某一时刻的服务器。 13 完全备份的优点:完整复制数据,快速访问备份数据。 14 完全备份的缺点:完全备份包含冗余数据,执行完全备份需要较长时间,备份需要的存储介质容量大。 15 增量备份复制自上次完全备份或增量备份以来发生更改的所有数据。必须使用完全备份和所有的后续增量备份来还原服务器。增量备份会将文件标记为已备份,即会清除或重置存档属性。 16 增量备份的优点:节省时间,节省备份媒体。 17 增量备份的缺点:完全还原过程复杂,部分还原时间长。 18 差异备份备份自上次完全备份以来发生更改的数据。要还原整个系统,需要一个完全备份磁带和最新的差异磁带。差异备份不将文件标记为已备份(即不清除存档属性)。 19 差异备份的优点是比增量备份速度快,因为差异备份所需的磁带少。 20 差异备份的缺点: 备份时间长且数据多,备份时间增加。 21 恢复可以看作是备份的逆过程,恢复的程度的好坏很大程度上依赖于备份的情况。 22 数据库系统主要由数据文件和日志文件两大部分构成,数据文件存储数据,日志文件存储操作数据的行为。 23 在Windows Server 2003中进行备份操作,可以参照下述步骤进行。 1. 通过―开始→运行‖命令激活―运行‖对话框,并且输入―ntbackup‖命令激活―备份或还原向导‖对话框。 2. 选取―备份文件和设置‖一项,接着单击―下一步‖按钮继续。 3. 在默认情况下,系统采用―这台计算机上的所有信息‖,但是如果仅仅需要备份部分重要文件,则可以选取―让我选择要备份的内容‖一项 4. 选择需要备份的文件夹或者文件 5. 单击―浏览‖按钮设置备份文件存放路径,并且输入备份的名称。 6. 完成上述设置之后即可看见设置完成界面,此时如果单击―完成‖按钮即可开始备份操作,但是单击下部的―高级‖按钮还可以对整个备份操作进行深入的设置。 7 进行备份高级设置的时候,首先可以选择备份的类型。在此有正常、副本、增量、差异和每日等5个选项。 24 在设置备份文件存放路径的时候,尽可能将它们存放在其他分区或者其他物理硬盘中,这样才能真正确保备份数据文件的安全。 25 Acronis True Image在硬盘上开辟一块用于保存备份文件的名为―Acronis 隐藏区‖的隐藏分区,这个分区无法直接看到,而且一般的病毒也伤害不到,甚至格式化也伤害不到。 26 安装Acronis True Image后只要在电脑启动后按下F11,就可以自动运行恢复程序,并从―Acronis 隐藏区‖中保存的备份文件中恢复出恰当的备份。 (编辑:天瑞地安资讯网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐