1、2018/7/21,1,第6章 操作系统安全,本章学习重点掌握内容: 操作系统的访问控制模型 Windows系统的安全机制 Windows系统常用安全命令,2018/7/21,2,第6章 操作系统安全,6.1 操作系统的访问控制模型 6.2 Windows操作系统安全 6.3 常用的Windows安全命令 6.4 安全操作系统,2018/7/21,3,6.1 操作系统的访问控制模型,6.1.1 自主访问控制 自主访问控制也叫选择性访问控制,是指根据主体身份对客体访问进行限制的一种方法。它是目前访问控制措施中一种普遍采用的访问控制机制,这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的
2、资源实体,即用户(包括用户程序和用户进程)可选择同其他用户一起共享某个文件。 所谓自主,就是指拥有一定访问权限的主体(用户)能够自己决定是否将访问权限直接或间接地传给其他主体。其基本思想是允许某个主体指定其他主体对该主体的信息资源是否可以访问以及可执行的访问类型。,2018/7/21,4,6.1.1 自主访问控制,自主访问控制的具体措施通常有以下四种方法: (1)目录表(Directory List) (2)访问控制列表(Access Control List ACL) (3)访问控制矩阵(Access Control Matrix) (4)能力表(Capability List) 自主访问控
3、制的特点是根据主体的身份和授权来决定访问模式。 自主访问控制的缺点之一就是信息在移动过程中其访问权限关系会被改变。,2018/7/21,5,6.1.2 强制访问控制,强制访问控制(Mandatory Access Control, MAC)是指系统强制主体服从访问控制策略。 强制访问控制通常用于多层次安全级别的军事系统当中。它预先将主体和客体分级,即定义用户的可信任级别及信息敏感程度(安全级别,比如可以分为绝密级、机密级、秘密级、无密级等),然后根据主体和客体的级别标记来决定访问模式,用户的访问必须遵守安全级别的设定以及有关访问权限的设定。当用户提出访问请求时,系统对主体和客体的敏感标记进行比
4、较从而确定访问是否合法。,2018/7/21,6,6.1.2 强制访问控制,强制访问控制的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制,它使用户与文件都有一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某种资源。 强制访问控制的主要缺点在于实现的工作量太大,不够灵活,管理麻烦。 强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制策略。,2018/7/21,7,6.1.2 强制访问控制,下面介绍几种强制访问控制的安全模型 Bell-LaPadula保密性模型Bell-LaPadula模型(简称BLP模型)是David B
5、ell和Len LaPadula于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型,它是最早、最常用的一种计算机多级安全模型之一。该模型基于强制访问控制系统,以敏感度来划分资源的安全级别,将数据划分为多安全级别与敏感度系统的多级安全系统。数据和用户被划分为公开、受限、秘密、机密和高密五个安全等级。,2018/7/21,8,6.1.2 强制访问控制,Biba模型BLP模型通过防止非授权信息的扩散来保证系统的安全,但它不能防止非授权修改系统信息。于是Biba等人在1977年提出了第一个完整性安全模型Biba模型,它主要应用类似BLP模型的规则来保护信息的完整性,防止对信息的非授权修改
6、,Biba模型也使用强制访问控制系统。Biba模型基于下读和上写两种规则来保障数据的完整性的保密性。下读即主体不能读取安全级别低于它的数据。上写即主体不能写入安全级别高于它的数据。,2018/7/21,9,6.1.2 强制访问控制,Clark Wilson完整性模型在商务环境中,1987年David Clark和David Wilson所提出的完整性模型具有里程碑的意义,它是完整意义上的完整性目标、策略和机制的起源。 Clark-Wilson模型的核心在于以良构事务(well-formal transaction)为基础来实现在商务环境中所需的完整性策略。良构事务的概念是指一个用户不能任意操作
7、数据,只能用一种能够确保数据完整性的受控方式来操作数据。 在Clark-Wilson模型中控制数据完整性的主要方法有两个:一是良构事务;二是雇员之间的职责隔离。,2018/7/21,10,6.1.2 强制访问控制,Lattice安全模型Lattice模型通过划分安全边界对BLP模型进行了扩充,它将用户和资源进行分类,并允许它们之间交换信息,这是多边安全体系的基础。,2018/7/21,11,6.1.3 基于角色的访问控制,基于角色的访问控制( Role-Based Access Control, RBAC)的核心思想是:授权给用户的访问权限通常是由用户在一个组织中担当的角色来确定的。 所谓角色
8、,就是指一个或一组用户在组织内可执行的操作的集合。这里的角色就充当着主体(用户)和客体之间关系的桥梁。这是与传统的访问控制策略的最大区别所在。,2018/7/21,12,6.1.3 基于角色的访问控制,基于角色的访问控制有效地克服了自主访问控制和强 制访问控制存在的不足,可以降低授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较好的实现安全策略环境,是实施面向企业安全策略的一种有效的访问控制方式。基于角色的访问控制是目前公认的解决大型企业统一资源访问控制的有效方法。 RBAC基本思想是:对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角
9、色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。,2018/7/21,13,6.1.3 基于角色的访问控制,基于角色的访问控制有以下五个特点(1)角色作为访问控制的主体(2)角色继承(3)最小特权原则(4)职责分离(主体与角色的分离)(5)角色容量,2018/7/21,14,6.2 Windows操作系统安全,6.2.1 Windows的安全机制Windows的安全服务的核心功能包括了活动目录服务,公钥基础设施PKI集成支持,保护本地数据的加密文件系统EFS和使用Internet协议安全IPSec来支持公共网络上的安全通信等。 (1)活动目录服务(2)认证
10、服务(3)加密文件系统(4)安全帐号管理器(5)安全模板,2018/7/21,15,6.2.1 Windows的安全机制,(6)安全审核(7)支持IPSec协议,2018/7/21,16,6.2.2 Windows系统安全管理,6.2.2 Windows系统安全管理1.系统安装2.用户管理 3.安全策略4.安全设置5.注册表安全,2018/7/21,17,6.3 常用的Windows安全命令1.检测网络连接:netstat an2.禁用不明服务: net stop3.检查账户:net user,6.3 常用的Windows安全命令,2018/7/21,18,6.4 安全操作系统,6.4.1 安全操作系统简介 6.4.2 安全操作系统在我国的发展,
