网安--第八章 安全操作系统基础
第三部分 網絡安全防御技術
★第8章 安全操作系統基礎
◎ 安全操作系統的基本概念、實現機制
◎ 安全模型以及安全體系結構
◎ 操作系統安全的36條基本配置原則
★第9章 密碼學與信息加密
◎ 密碼學的基本概念
◎ DES加密和RSA加密
◎ 加密工具PGP
◎ 數字簽名的原理,數字水印的基本概念
◎ PKI信任模型
第8章 安全操作系統基礎
內容提要
◎ 介紹安全操作系統的基本概念、實現機制、安全模型以及安全體系結構
◎ 操作系統的安全將決定網絡的安全,從保護級別上分成安全初級篇、中級篇和高級篇,共36條基本配置原則
8.1? 常用操作系統概述
目前服務器常用的操作系統有四類:FreeBSD、UNIX、Linux和Windows NT/2000/2003 Server。這些操作系統都是符合C2級安全級別的操作系統,但是都存在不少漏洞,如果對這些漏洞不了解,不采取相應的安全措施,就會使操作系統完全暴露給入侵者。
8.1.1? UNIX操作系統
UNIX操作系統是由美國貝爾實驗室開發的一種多用戶、多任務的通用操作系統。它從一個實驗室的產品發展成為當前使用普遍、影響深遠的主流操作系統。
UNIX誕生于20世紀60年代末期,貝爾實驗室的研究人員于1969年開始在GE645計算機上實現一種分時操作系統的雛形,后來該系統被移植到DEC的PDP-7小型機上。1970年系統正式取名為UNIX操作系統。到1973年,UNIX系統的絕大部分源代碼都用C語言重新編寫過,大大提高了UNIX系統的可移植性,也為提高系統軟件的開發效率創造了條件。
隨后,出現了各種版本的UNIX系統,比較有影響的版本包括:SUN公司的SUN OS操作系統,Microsoft和SCO公司的XENIX操作系統,Interactive公司的UNIX 386/x操作系統,DEC公司ULTRIX操作系統,IBM公司的AIX操作系統,HP公司HP-UX操作系統,SCO公司的UNIX和ODT操作系統,以及SUN公司的Solaris操作系統。UNIX操作系統經過20多年的發展,已經成為一種成熟的主流操作系統
8.1.1? UNIX操作系統
主要特色包括5個方面。
(1)可靠性高。許多UNIX主機和服務器在國內許多企業每天24小時、每年365天不間斷運行,并保持著良好的狀態,這是Windows系列操作系統所不能比擬的。整個HP公司的所有信息處理工作都采用UNIX操作系統來承擔。
(2)極強的伸縮性。UNIX操作系統可以在筆記本計算機、個人計算機、小型機和大型機上運行。此外,由于采用了對稱多處理器技術、大規模并行處理器和簇等技術,使商品化的UNIX操作系統支持的CPU數量達到了32個,這就使UNIX平臺的擴展能力大大加強了。強大的可伸縮性是企業級操作系統的重要特征。
(3)網絡功能強。強大的網絡功能是UNIX操作系統最重要的特色之一,特別是作為Internet技術基礎的TCP/IP協議就是在UNIX操作系統上開發出來的,幾乎所有的UNIX操作系統都支持TCP/IP協議。
(4)強大的數據庫支持功能。由于UNIX操作系統支持各種數據庫,特別是對關系型數據庫管理系統(Relationship Database Management System,RDBMS)提供強大的支持,許多數據庫廠商將UNIX操作系統作為首選的操作系統,比如:Oracle,Informix和Sybase等。
(5)開放性好。開放系統的概念已經被計算機業界普遍接受,而且成為發展的主要趨勢。所有的計算機軟件廠商都聲稱自己的產品是開發系統,但是程度上有明顯的差別。
Linux系統
Linux是一套可以免費使用和自由傳播的類Unix操作系統,主要用于基于Intel x86系列CPU的計算機上。這個系統是由全世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟件的版權制約的、全世界都能自由使用的Unix兼容產品。
Linux最早開始于一位名叫Linus Torvalds的計算機業余愛好者,當時他是芬蘭赫爾辛基大學的學生。
目的是想設計一個代替Minix(是由一位名叫Andrew Tannebaum的計算機教授編寫的一個操作系統示教程序)的操作系統。這個操作系統可用于386、486或奔騰處理器的個人計算機上,并且具有Unix操作系統的全部功能。
Linux是一個免費的操作系統,用戶可以免費獲得其源代碼,并能夠隨意修改。
它是在共用許可證GPL(General Public License)保護下的自由軟件,也有好幾種版本,如Red Hat Linux、Slackware,以及國內的Xteam Linux、紅旗Linux等等。Linux的流行是因為它具有許多優點,典型的優點有7個。
Linux典型的優點有7個。
(1)完全免費
(2)完全兼容POSIX 1.0標準
(3)多用戶、多任務
(4)良好的界面
(5)豐富的網絡功能
(6)可靠的安全、穩定性能
(7)支持多種平臺
Windows系統
Windows NT(New Technology)是微軟公司第一個真正意義上的網絡操作系統,發展經過NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等眾多版本,并逐步占據了廣大的中小網絡操作系統的市場。
Windows NT眾多版本的操作系統使用了與Windows 9X完全一致的用戶界面和完全相同的操作方法,使用戶使用起來比較方便。與Windows 9X相比,Windows NT的網絡功能更加強大并且安全。
Windows NT系列操作系統
Windows NT系列操作系統具有以下三方面的優點。
(1)支持多種網絡協議
由于在網絡中可能存在多種客戶機,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而這些客戶機可能使用了不同的網絡協議,如TCP/IP協議、IPX/SPX等。Windows NT系列操作支持幾乎所有常見的網絡協議。
(2)內置Internet功能
隨著Internet的流行和TCP/IP協議組的標準化,Windows NT內置了IIS(Internet Information Server),可以使網絡管理員輕松的配置WWW和FTP等服務。
(3)支持NTFS文件系統
Windows 9X所使用的文件系統是FAT,在NT中內置同時支持FAT和NTFS的磁盤分區格式。使用NTFS的好處主要是可以提高文件管理的安全性,用戶可以對NTFS系統中的任何文件、目錄設置權限,這樣當多用戶同時訪問系統的時候,可以增加文件的安全性。
8.2 安全操作系統的研究發展
Multics是開發安全操作系統最早期的嘗試。1965年美國貝爾實驗室和麻省理工學院的MAC課題組等一起聯合開發一個稱為Multics的新操作系統,其目標是要向大的用戶團體提供對計算機的并發訪問,支持強大的計算能力和數據存儲,并具有很高的安全性。貝爾實驗室中后來參加UNIX早期研究的許多人當時都參加了Multics的開發工作。由于Multics項目目標的理想性和開發中所遇到的遠超預期的復雜性使得結果不是很理想。事實上連他們自己也不清楚什么時候,開發到什么程度才算達到設計的目標。雖然Multics未能成功,但它在安全操作系統的研究方面邁出了重要的第一步,Multics為后來的安全操作系統研究積累了大量的經驗,其中Mitre公司的Bell和La Padula合作設計的BLP安全模型首次成功地用于Multics,BLP安全模型后來一直都作為安全操作系統開發所采用的基礎安全模型。
8.2 安全操作系統的研究發展
Adept-50是一個分時安全操作系統,可以實際投入使用,1969年C.Weissman發表了有關Adept-50的安全控制的研究成果。安全Adept-50運行于IBM/360硬件平臺,它以一個形式化的安全模型——高水印模型(High-Water-Mark Model)為基礎,實現了美國的一個軍事安全系統模型,為給定的安全問題提供了一個比較形式化的解決方案。在該系統中可以為客體標上敏感級別(Sensitivity Level)屬性。系統支持的基本安全條件是,對于讀操作不允許信息的敏感級別高于用戶的安全級別(Clearance);在授權情況下,對于寫操作允許信息從高敏感級別移向低敏感級別。
8.2 安全操作系統的研究發展
Adept-50是一個分時安全操作系統,可以實際投入使用,1969年C.Weissman發表了有關Adept-50的安全控制的研究成果。安全Adept-50運行于IBM/360硬件平臺,它以一個形式化的安全模型——高水印模型(High-Water-Mark Model)為基礎,實現了美國的一個軍事安全系統模型,為給定的安全問題提供了一個比較形式化的解決方案。在該系統中可以為客體標上敏感級別(Sensitivity Level)屬性。系統支持的基本安全條件是,對于讀操作不允許信息的敏感級別高于用戶的安全級別(Clearance);在授權情況下,對于寫操作允許信息從高敏感級別移向低敏感級別。
1969年B.W.Lampson通過形式化表示方法運用主體(Subject)、客體(Object)和訪問矩陣(Access Matrix)的思想第一次對訪問控制問題進行了抽象。主體是訪問操作中的主動實體,客體是訪問操作中被動實體,主體對客體進行訪問。訪問矩陣以主體為行索引、以客體為列索引,矩陣中的每一個元素表示一組訪問方式,是若干訪問方式的集合。矩陣中第i行第j列的元素Mij記錄著第i個主體Si可以執行的對第j個客體Oj的訪問方式,比如Mij={Read,Write}表示Si可以對Oj進行讀和寫操作。
8.2 安全操作系統的研究發展
1972年,J.P.Anderson在一份研究報告中提出了訪問監控器(Reference Monitor)、引用驗證機制(Reference Validation Mechanism)、安全內核(Security Kernel)和安全建模等重要思想。J.P.Anderson指出,要開發安全系統,首先必須建立系統的安全模型,完成安全系統的建模之后,再進行安全內核的設計與實現。
1973年,B.W.Lampson提出了隱蔽通道的概念,他發現兩個被限制通信的實體之間如果共享某種資源,那么它們可以利用隱蔽通道傳遞信息。同年,D.E.Bell和L.J.LaPadula提出了第一個可證明的安全系統的數學模型,即BLP模型。1976年Bell和LaPadula完成的研究報告給出了BLP模型的最完整表述,其中包含模型的形式化描述和非形式化說明,以及模型在Multics系統中實現的解釋。
8.2 安全操作系統的研究發展
PSOS(Provably Secure Operating System)提供了一個層次結構化的基于權能的安全操作系統設計,1975年前后開始開發。PSOS采用了層次式開發方法,通過形式化技術實現對安全操作系統的描述和驗證,設計中的每一個層次管理一個特定類型的對象,系統中的每一個對象通過該對象的權能表示進行訪問。
KSOS(Kernelized Secure operating System)是美國國防部研究計劃局1977年發起的一個安全操作系統研制項目,由Ford太空通訊公司承擔。KSOS采用了形式化說明與驗證的方法,目標是高安全可信性。
UCLA Secure Unix也是美國國防部研究計劃局于1978年前后發起的一個安全操作系統研制項目,由加里福尼亞大學承擔。UCLA Secure Unix的系統設計方法及目標幾乎與KSOS相同。
8.2 安全操作系統的研究發展
LINVS Ⅳ是1984年開發的基于UNIX的一個實驗安全操作系統,系統的安全性可達到美國國防部橘皮書的B2級。它以4.1BSD Unix為原型,實現了身份鑒別、自主訪問控制、強制訪問控制、安全審計、特權用戶權限分隔等安全功能。
Secure Xenix是IBM公司于1986年在SCO Xenix的基礎上開發的一個安全操作系統,它最初是在IBM PC/AT平臺上實現的。Secure Xenix對Xenix進行了大量的改造開發,并采用了一些形式化說明與驗證技術。它的目標是TCSEC的B2到A1級。IBM公司的V.D.Gligor等在發表Secure Xenix系統的設計與開發成果中,把Unix類的安全操作系統開發方法劃分成仿真法和改造/增強法兩種方式。Secure Xenix系統采用的是改造/增強法。另外值得指出的是Secure Xenix系統基于安全注意鍵(SAK,Secure Attention Key)實現了可信通路(Trusted Path),并在安全保證方面重點考慮了3個目標:⑴系統設計與BLP模型之間的一致性;⑵實現的安全功能的測試;⑶軟件配置管理工具的開發。
8.2 安全操作系統的研究發展
1987年,美國Trusted Information Systems公司以Mach操作系統為基礎開發了B3級的Tmach(Trusted Mach)操作系統。除了進行用戶標識和鑒別及命名客體的存取控制外,它將BLP模型加以改進,運用到對MACH核心的端口、存儲對象等的管理當中。通過對端口間的消息傳送進行控制和對端口、存儲對象、任務等的安全標識來加強微核心的安全機制。
1989年,加拿大多倫多大學開發了與UNIX兼容的安全TUNIS操作系統。在實現中安全TUNIS改進了BLP模型,并用Turing Plus語言(而不是C)重新實現了Unix內核,模塊性相當好。Turing Plus是一種強類型高級語言,其大部分語句都具有用于正確性證明的形式語義。在發表安全TUNIS設計開發成果中,Gernier等指出,如果不進行系統的重新設計,以傳統Unix系統為原型,很難開發出高于TCSEC標準的B2級安全操作系統,這一方面是因為用于編寫Unix系統的C語言是一個非安全的語言,另一方面是因為Unix系統內部的模塊化程度不夠。安全TUNIS系統的設計目標是B3-A1級,支持這個目標的關鍵也在于:第一其采用了Turing Plus語言,第二其采用了安全策略與安全機制相分離的方法,并提供了一個簡單而結構規范的TCB,從而簡化了TCB的驗證工作。
8.2 安全操作系統的研究發展
ASOS(Army Secure Operating System)是針對美軍的戰術需要而設計的軍用安全操作系統,由TRW公司1990年發布完成。ASOS由兩類系統組成,其中一類是多級安全操作系統,設計目標是TCSEC的A1級;另一類是專用安全操作系統,設計目標是TCSEC的C2級。兩類系統都支持Ada語言編寫的實時戰術應用程序,都能根據不同的戰術應用需求進行配置,都可以很容易地在不同硬件平臺間移植,兩類系統還提供了一致的用戶界面。從具體實現上來看,ASOS操作系統還具有5個主要特點:⑴ASOS操作系統本身也主要是用Ada語言實現的;⑵ASOS采用訪問控制列表(Access Control List,ACL)實現了細粒度的自主訪問控制;⑶ASOS依據BLP模型實現了防止信息泄露的強制訪問控制,依據Biba模型實現了確保數據完整性的強制訪問控制;⑷ASOS在形式化驗證中建立了兩個層次的規范和證明,一個層次用于抽象的安全模型,另一個層次用于形式化頂層規范;⑸用于證明系統安全性的主要工具是Gypsy驗證環境(GVE),ASOS開發了一個在GVE中工作的流分析工具,用于分析系統設計中潛在的隱蔽通道。
8.2 安全操作系統的研究發展
OSF/1是開放軟件基金會于1990年推出的一個安全操作系統,被美國國家計算機安全中心(NCSC)認可為符合TCSEC的B1級,其主要安全性表現4個方面:⑴系統標識;⑵口令管理;⑶強制存取控制和自主存取控制;⑷審計。
UNIX SVR4.1ES是UI(UNIX國際組織)于1991年推出的一個安全操作系統,被美國國家計算機安全中心(NCSC)認可為符合TCSEC的B2級,除OSF/1外的安全性主要表現在4個方面:⑴更全面的存取控制;⑵最小特權管理;⑶可信通路;⑷隱蔽通道分析和處理。
1991年,在歐洲共同體的贊助下,英、德、法、荷四國制定了擬為歐共體成員國使用的共同標準——信息技術安全評定標準(ITSEC)。隨著各種標準的推出和安全技術產品的發展,美國和同加拿大及歐共體國家一起制定通用安全評價準則(Common Criteria for IT Security Evaluation,CC),1996年1月發布了CC的1.0版。CC標準的2.0版已于1997年8月頒布,并于1999年7月通過國際標準組織認可,確立為國際標準,即ISO/IEC 15408。
8.2 安全操作系統的研究發展
在1992到1993年之間,美國國家安全局(NSA)和安全計算公司(SCC)的研究人員在TMach項目和LOCK項目的基礎上,共同設計和實現了分布式可信Mach系統(Distributed Trusted Mach,DTMach)。DTMach項目的后繼項目是分布式可信操作系統(Distributed Trusted Operating System,DTOS)。DTOS項目改良了早期的設計和實現工作,產生了一些供大學研究的原型系統,例如Secure Transactional Resources、DX等。此外DTOS項目產生了一些學術報告、系統形式化的需求說明書、安全策略和特性的分析、組合技術的研究和對多種微內核系統安全和保證的研究。當DTOS項目快要完成的時候,NSA、SCC和猶他州大學的Flux項目組聯合將DTOS安全結構移植到Fluke操作系統研究中去。在將結構移植到Fluke的過程中,他們改良了結構以更好地支持動態安全策略。這個改良后的結構就叫Flask。一些Flask的接口和組件就是從Fluke到OSKit中的接口和組件中繼承下來的。
8.2 安全操作系統的研究發展
2001年,Flask由NSA在Linux操作系統上實現,并且不同尋常地向開放源碼社區發布了一個安全性增強型版本的Linux(SELinux)--包括代碼和所有文檔。
與傳統的基于TCSEC標準的開發方法不同,1997年美國國家安全局和安全計算公司完成的DTOS安全操作系統采用了基于安全威脅的開發方法。設計目標包括3個方面:
(1)策略靈活性:DTOS內核應該能夠支持一系列的安全策略,包括諸如國防部的強制存取控制多級安全策略;
(2)與Mach兼容,現有的Mach應用應能在不做任何改變的情況下運行;
(3)性能應與Mach接近。
8.2 安全操作系統的研究發展
SELinux以Flask安全體系結構為指導,通過安全判定與安全實施的分離實現了安全策略的獨立性,借助訪問向量緩存(AVC)實現了對動態策略的支持。SELinux定義了一個類型實施(TE)策略,基于角色的訪問控制(RBAC)策略和多級安全(MLS)策略組合的安全策略,其中TE和RBAC策略總是系統實現的安全策略的有機組成。
EROS(Extremely Reliable Operating System)是一種基于權能(Capability,權能)的高性能微內核實時安全操作系統,是GNOSIS(后命名為KeyKOS)體系結構的第三代實現。EROS最初由美國賓西法尼亞大學開發,此項目現已轉入約翰-霍普金斯大學。目前,EROS仍處在研究開發階段,只支持Intel 486以上的系列芯片。第一個EROS內核已在1999年完成,現在開發的版本是EROS 2.0,不久就會發布。EROS的源代碼遵守GPL規范,可在其網站(http://www.eros-os.org)獲得。
8.2.2 國內安全操作系統的發展
國內也進行了許多有關安全操作系統的開發研制工作,并取得了一些研究成果。1990年前后,海軍計算技術研究所和解放軍電子技術學院分別開始了安全操作系統技術方面的探討,他們都是參照美國TCSEC標準的B2級安全要求,基于UNIX System V3.2進行安全操作系統的研究與開發。
1993年,海軍計算技術研究所繼續按照美國TCSEC標準的B2級安全要求,圍繞Unix SVR4.2/SE,實現了國產自主的安全增強包。
1995年,在國家“八五”科技攻關項目――“COSA國產系統軟件平臺”中,圍繞UNIX類國產操作系統COSIX V2.0的安全子系統的設計與實現,中國計算機軟件與技術服務總公司、海軍計算技術研究所和中國科學院軟件研究所一起參與了研究工作。COSIX V2.0安全子系統的設計目標是介于美國TCSEC的B1和B2級安全要求之間,當時定義為B1+,主要實現的安全功能包括安全登錄、自主訪問控制、強制訪問控制、特權管理、安全審計和可信通路等。
8.2.2 國內安全操作系統的發展
1996年,由中國國防科學技術工業委員會發布了軍用計算機安全評估準則GJB2646-96(一般簡稱為軍標),它與美國TCSEC基本一致。
1998年,電子工業部十五所基于UnixWare V2.1按照美國TCSEC標準的B1級安全要求,對Unix操作系統的內核進行了安全性增強。
1999年10月19日,我國國家技術監督局發布了國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》,為計算機信息系統安全保護能力劃分了等級。該標準已于2001年起強制執行。Linux自由軟件的廣泛流行對我國安全操作系統的研究與開發具有積極的推進作用。2001年前后,我國安全操作系統研究人員相繼推出了一批基于Linux的安全操作系統開發成果。這包括:
8.2.2 國內安全操作系統的發展
中國科學院信息安全技術工程研究中心基于Linux資源,開發完成了符合我國GB17859-1999第三級(相當于美國TCSEC B1)安全要求的安全操作系統SecLinux。SecLinux系統提供了身份標識與鑒別、自主訪問控制、強制訪問控制、最小特權管理、安全審計、可信通路、密碼服務、網絡安全服務等方面的安全功能。
依托南京大學的江蘇南大蘇富特軟件股份有限公司開發完成了基于Linux的安全操作系統SoftOS,實現的安全功能包括:強制訪問控制、審計、禁止客體重用、入侵檢測等。
信息產業部30所控股的三零盛安公司推出的強林Linux安全操作系統,達到了我國GB17859-1999第三級的安全要求。
中國科學院軟件所開放系統與中文處理中心基于紅旗Linux操作系統,實現了符合我國GB17859-1999第三級要求的安全功能。中國計算機軟件與技術服務總公司以美國TCSEC標準的B1級為安全目標,對其COSIX V2.0進行了安全性增強改造。
8.3 安全操作系統的基本概念
安全操作系統涉及很多概念:
主體和客體
安全策略和安全模型
訪問監控器
安全內核
可信計算基。
8.3.1 主體和客體
操作系統中的每一個實體組件都必須是主體或者是客體,或者既是主體又是客體。主體是一個主動的實體,它包括用戶、用戶組、進程等。系統中最基本的主體應該是用戶(包括一般用戶和系統管理員、系統安全員、系統審計員等特殊用戶)。每個進入系統的用戶必須是惟一標識的,并經過鑒別確定為真實的。系統中的所有事件要求,幾乎全是由用戶激發的。進程是系統中最活躍的實體,用戶的所有事件要求都要通過進程的運行來處理。在這里,進程作為用戶的客體,同時又是其訪問對象的主體。
客體是一個被動的實體。在操作系統中,客體可以是按照一定格式存儲在一定記錄介質上的數據信息(通常以文件系統格式存儲數據),也可以是操作系統中的進程。操作系統中的進程(包括用戶進程和系統進程)一般有著雙重身份。當一個進程運行時,它必定為某一用戶服務——直接或間接的處理該用戶的事件要求。于是,該進程成為該用戶的客體,或為另一進程的客體(這時另一進程則是該用戶的客體)。依此類推,操作系統中運行的任一進程,總是直接或間接為某一用戶服務。這種服務關系可以構成一個服務鏈。服務者是要求者的客體,要求者是服務者的主體,而最原始的主體是用戶,最終的客體是一定記錄介質上的信息。
8.3.2 安全策略和安全模型
安全策略與安全模型是計算機安全理論中容易相互混淆的兩個概念。安全策略是指有關管理、保護和發布敏感信息的法律、規定和實施細則。例如,可以將安全策略定為:系統中的用戶和信息被劃分為不同的層次,一些級別比另一些級別高;而且如果主體能讀訪問客體,當且僅當主體的級別高于或等于客體的級別;如果主體能寫訪問客體,當且僅當主體的級別低于或等于客體的級別。
說一個操作系統是安全的,是指它滿足某一給定的安全策略。同樣進行安全操作系統的設計和開發時,也要圍繞一個給定的安全策略進行。安全策略由一整套嚴密的規則組成,這些確定授權存取的規則是決定存取控制的基礎。許多系統的安全控制遭到失敗,主要不是因為程序錯誤,而是沒有明確的安全策略。
安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述,它為安全策略和安全策略實現機制的關聯提供了一種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足;而模型的實現則描述了如何把特定的機制應用于系統中,從而實現某一特定安全策略所需的安全保護。
8.3.3 訪問監控器和安全內核
訪問控制機制的理論基礎是訪問監控器(Reference Monitor),由J.P.Anderson首次提出。訪問監控器是一個抽象概念,它表現的是一種思想。J.P.Anderson把訪問監控器的具體實現稱為引用驗證機制,它是實現訪問監控器思想的硬件和軟件的組合
8.3.3 訪問監控器和安全內核
安全策略所要求的存取判定以抽象存取訪問控制數據庫中的信息為依據,存取判定是安全策略的具體表現。訪問控制數據庫包含有關由主體存取的客體及其存取方式的信息。數據庫是動態的,它隨著主體和客體的產生或刪除及其權限的修改而改變。訪問監控器的關鍵需求是控制從主體到客體的每一次存取,并將重要的安全事件存入審計文件之中。引用驗證機制需要同時滿足以下三個原則:
(1)必須具有自我保護能力;
(2)必須總是處于活躍狀態;
(3)必須設計得足夠小,以利于分析和測試,從而能夠證明它的實現是正確的。
8.3.3 訪問監控器和安全內核
在訪問監控器思想的基礎上,J.P.Anderson定義了安全內核的概念。安全內核是指系統中與安全性實現有關的部分,包括引用驗證機制、訪問控制機制、授權機制和授權管理機制等部分。因此一般情況下人們趨向于把訪問監控器的概念和安全內核方法等同起來。
安全內核是實現訪問監控器概念的一種技術,在一個大型操作系統中,只有其中的一小部分軟件用于安全目的是它的理論依據。所以在重新生成操作系統過程中,可用其中安全相關的軟件來構成操作系統的一個可信內核,稱之為安全內核。安全內核必須予以適當的保護,不能篡改。同時絕不能有任何繞過安全內核存取控制檢查的存取行為存在。此外安全內核必須盡可能地小,便于進行正確性驗證。安全內核由硬件和介于硬件和操作系統之間的一層軟件組成
操作系統安全內核
8.3.4 可信計算基
操作系統的安全依賴于一些具體實施安全策略的可信的軟件和硬件。這些軟件、硬件和負責系統安全管理的人員一起組成了系統的可信計算基(Trusted Computing Base,TCB)。具體來說可信計算基由以下7個部分組成:
1. 操作系統的安全內核。
2. 具有特權的程序和命令。
3. 處理敏感信息的程序,如系統管理命令等。
4. 與TCB實施安全策略有關的文件。
5. 其它有關的固件、硬件和設備。
6. 負責系統管理的人員。
7. 保障固件和硬件正確的程序和診斷軟件。
8.4 安全操作系統的機制
安全操作系統的機制包括:硬件安全機制,操作系統的安全標識與鑒別,訪問控制、最小特權管理、可信通路和安全審計。
8.4.1 硬件安全機制
絕大多數實現操作系統安全的硬件機制也是傳統操作系統所要求的,優秀的硬件保護性能是高效、可靠的操作系統的基礎。計算機硬件安全的目標是,保證其自身的可靠性和為系統提供基本安全機制。其中基本安全機制包括
存儲保護
運行保護
I/O保護等。
8.4.2 標識與鑒別
標識與鑒別是涉及系統和用戶的一個過程。標識就是系統要標識用戶的身份,并為每個用戶取一個系統可以識別的內部名稱——用戶標識符。用戶標識符必須是惟一的且不能被偽造,防止一個用戶冒充另一個用戶。將用戶標識符與用戶聯系的過程稱為鑒別,鑒別過程主要用以識別用戶的真實身份,鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息,并且這個信息是秘密的,任何其他用戶都不能擁有它。
在操作系統中,鑒別一般是在用戶登錄時發生的,系統提示用戶輸入口令,然后判斷用戶輸入的口令是否與系統中存在的該用戶的口令一致。這種口令機制是簡便易行的鑒別手段,但比較脆弱,許多計算機用戶常常使用自己的姓名、配偶的姓名、寵物的名字或者生日作為口令,這種口令很不安全,因為這種口令很難經得住常見的字典攻擊的。較安全的口令應是不小于6個字符并同時含有數字和字母的口令,并且限定一個口令的生存周期。另外生物技術是一種比較有前途的鑒別用戶身份的方法,如利用指紋、視網膜等,目前這種技術已取得了長足進展,逐步進入了應用階段。
8.4.3 訪問控制
在安全操作系統領域中,訪問控制一般都涉及
自主訪問控制(Discretionary Access Control,DAC)
強制訪問控制(Mandatory Access Control,MAC)兩種形式
8.4.4 最小特權管理
為使系統能夠正常地運行,系統中的某些進程需具有一些可違反系統安全策略的操作能力,這些進程一般是系統管理員/操作員進程。一般定義一個特權就是可違反系統安全策略的一個操作的能力。
在現有一般多用戶操作系統(如UNIX、Linux等)的版本中,超級用戶具有所有特權,普通用戶不具有任何特權。一個進程要么具有所有特權(超級用戶進程),要么不具有任何特權(非超級用戶進程)。這種特權管理方式便于系統維護和配置,但不利于系統的安全性。一旦超級用戶的口令丟失或超級用戶被冒充,將會對系統造成極大的損失。另外超級用戶的誤操作也是系統極大的潛在安全隱患。因此必須實行最小特權管理機制。
最小特權管理的思想是系統不應給用戶超過執行任務所需特權以外的特權,如將超級用戶的特權劃分為一組細粒度的特權,分別授予不同的系統操作員/管理員,使各種系統操作員/管理員只具有完成其任務所需的特權,從而減少由于特權用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。比如可在系統中定義5個特權管理職責,任何一個用戶都不能獲取足夠的權力破壞系統的安全策略。
8.4.5可信通路
在計算機系統中,用戶是通過不可信的中間應用層和操作系統相互作用的。但用戶登錄,定義用戶的安全屬性,改變文件的安全級等操作,用戶必須確實與安全核心通信,而不是與一個特洛伊木馬打交道。系統必須防止特洛伊木馬模仿登錄過程,竊取用戶的口令。特權用戶在進行特權操作時,也要有辦法證實從終端上輸出的信息是正確的,而不是來自于特洛伊木馬。這些都需要一個機制保障用戶和內核的通信,這種機制就是由可信通路提供的。
8.4.6安全審計
一個系統的安全審計就是對系統中有關安全的活動進行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機系統的入侵,并顯示合法用戶的誤操作。審計作為一種事后追查的手段來保證系統的安全,它對涉及系統安全的操作做一個完整的記錄。審計為系統進行事故原因的查詢、定位,事故發生前的預測、報警以及事故發生之后的實時處理提供詳細、可靠的依據和支持,以備有違反系統安全規則的事件發生后能夠有效地追查事件發生的地點和過程以及責任人。
8.5 代表性的安全模型
安全模型就是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述,它為安全策略和它的實現機制之間的關聯提供了一種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足;而模型的實現則描述了如何把特定的機制應用于系統中,從而實現某一特定安全策略所需的安全保護。
8.5.1 安全模型的特點
能否成功地獲得高安全級別的系統,取決于對安全控制機制的設計和實施投入多少精力。但是如果對系統的安全需求了解的不清楚,即使運用最好的軟件技術,投入最大的精力,也很難達到安全要求的目的。安全模型的目的就在于明確地表達這些需求,為設計開發安全系統提供方針。安全模型有以下4個特點:
它是精確的、無歧義的;
它是簡易和抽象的,所以容易理解;
它是一般性的:只涉及安全性質,而不過度地牽扯系統的功能或其實現;
它是安全策略的明顯表現。
安全模型一般分為兩種:形式化的安全模型和非形式化的安全模型。非形式化安全模型僅模擬系統的安全功能;形式化安全模型則使用數學模型,精確地描述安全性及其在系統中使用的情況。
8.5.2 主要安全模型介紹
主要介紹具有代表性的
BLP機密性安全模型
Biba完整性安全模型
Clark-Wilson完整性安全模型
信息流模型
RBAC安全模型
DTE安全模型
無干擾安全模型等。
1. Bell-LaPadula(BLP)模型
Bell-LaPadula模型(簡稱BLP模型)是D. Elliott Bell和Leonard J. LaPadula于1973年提出的一種適用于軍事安全策略的計算機操作系統安全模型,它是最早、也是最常用的一種計算機多級安全模型之一。
在BLP模型中將主體定義為能夠發起行為的實體,如進程;將客體定義為被動的主體行為承擔者,如數據,文件等;將主體對客體的訪問分為r(只讀),w(讀寫),a(只寫),e(執行),以及c(控制)等幾種訪問模式,其中c(控制)是指該主體用來授予或撤銷另一主體對某一客體的訪問權限的能力。BLP模型的安全策略包括兩部分:自主安全策略和強制安全策略。自主安全策略使用一個訪問矩陣表示,訪問矩陣第i行第j列的元素Mij表示主體Si對客體Oj的所有允許的訪問模式,主體只能按照在訪問矩陣中被授予的對客體的訪問權限對客體進行相應的訪問。強制安全策略包括簡單安全特性和*特性,系統對所有的主體和客體都分配一個訪問類屬性,包括主體和客體的密級和范疇,系統通過比較主體與客體的訪問類屬性控制主體對客體的訪問。
2. Biba模型
BLP模型通過防止非授權信息的擴散保證系統的安全,但它不能防止非授權修改系統信息。于是Biba等人在1977年提出了第一個完整性安全模型——Biba模型,其主要應用是保護信息的完整性,而BLP模型是保護信息機密性。Biba模型也是基于主體、客體以及它們的級別的概念的。模型中主體和客體的概念與BLP模型相同,對系統中的每個主體和每個客體均分配一個級別,稱為完整級別。
3. Clark-Wilson完整性模型
在商務環境中,1987年David Clark和David Wilson所提出的完整性模型具有里程碑的意義,它是完整意義上的完整性目標、策略和機制的起源,在他們的論文中,為了體現用戶完整性,他們提出了職責隔離目標;為了保證數據完整性,他們提出了應用相關的完整性驗證進程;為了建立過程完整性,他們定義了對于轉換過程的應用相關驗證;為了約束用戶、進程和數據之間的關聯,他們使用了一個三元組結構。
Clark-Wilson模型的核心在于以良構事務(well-formal transaction)為基礎來實現在商務環境中所需的完整性策略。良構事務的概念是指一個用戶不能任意操作數據,只能用一種能夠確保數據完整性的受控方式來操作數據。為了確保數據項(data items)僅僅只能被良構事務來操作,首先得確認一個數據項僅僅只能被一組特定的程序來操縱,而且這些程序都能被驗證是經過適當構造,并且被正確安裝和修改。
4. 信息流模型
許多信息泄露問題(如隱蔽通道)并非存取控制機制不完善,而是由于缺乏對信息流的必要保護。例如遵守BLP模型的系統,應當遵守“下讀上寫”的規則,即低安全進程程不能讀高安全級文件,高安全級進程不能寫低安全級文件。然而在實際系統中,盡管不一定能直接為主體所見,許多客體(包括緩沖池、定額變量、全程計數器等等)還是可以被所有不同安全級的主體更改和讀取,這樣入侵者就可能利用這些客體間接地傳遞信息。要建立高級別的安全操作系統,必須在建立完善的存取控制機制的同時,依據適當的信息流模型實現對信息流的分析和控制。
5. 基于角色的訪問控制模型
基于角色的訪問控制模型(Role-Based Access Control,RBAC)提供了一種強制訪問控制機制。在一個采用RBAC作為授權訪問控制的系統中,根據公司或組織的業務特征或管理需求,一般要求在系統內設置若干個稱之為“角色”的客體,用以支撐RBAC授權存取控制機制的實現。角色,就是業務系統中的崗位、職位或者分工。例如在一個公司內,財會主管、會計、出納、核算員等每一種崗位都可以設置多個職員具體從事該崗位的工作,因此它們都可以視為角色。
6. DTE模型
DTE模型最初由Boebert和Kain提出,經修改后在LOCK系統中得到實現。與其它訪問控制機制一樣,DTE將系統視為一個主動實體(主體)的集合和一個被動實體(客體)的集合。每個主體有一個屬性──域,每個客體有一個屬性──類型,這樣所有的主體被劃分到若干個域中,所有的客體被劃分到若干個類型中。DTE再建立一個表“域定義表”(Domain Definition Table),描述各個域對不同類型客體的操作權限。同時建立另一張表“域交互表”(Domain Interaction Table),描述各個域之間的許可訪問模式(如創建、發信號、切換)。系統運行時,依據訪問的主體域和客體類型,查找域定義表,決定是否允許訪問。
7. 無干擾模型
Goguen與Meseguer在1982年提出了一種基于自動機理論和域隔離的安全系統事項方法,這個方法分為4個階段:
(1)判定一給定機構的安全需求;
(2)用正式/形式化的安全策略表示這些需求;
(3)把機構正在(或將要)使用的系統模型化;
(4)驗證此模型滿足策略的需求。
Goguen與Meseguer把安全策略與安全模型明確地區分開來。一般來說安全策略是非常簡單的,而且很容易用適當的形式化方法表示出來。他們提出了一種非常簡單的用來表達安全策略的需求語言,該語言是基于無干擾概念的:
8.6 操作系統安全體系結構
建立一個計算機系統往往需要滿足許多要求,如安全性要求,性能要求,可擴展性要求,容量要求,使用的方便性要求和成本要求等,這些要求往往是有沖突的,為了把它們協調地納入到一個系統中并有效實現,對所有的要求都予以最大可能滿足通常是很困難的,有時也是不可能的。因此系統對各種要求的滿足程度必須在各種要求之間進行全局性地折衷考慮,并通過恰當的實現方式表達出這些考慮,使系統在實現時各項要求有輕重之分,這就是體系結構要完成的主要任務。
8.6.1 安全體系結構的含義
一個計算機系統(特別是安全操作系統)的安全體系結構,主要包含如下4方面的內容:
1. 詳細描述系統中安全相關的所有方面。這包括系統可能提供的所有安全服務及保護系統自身安全的所有安全措施,描述方式可以用自然語言,也可以用形式語言。
2. 在一定的抽象層次上描述各個安全相關模塊之間的關系。這可以用邏輯框圖來表達,主要用以在抽象層次上按滿足安全需求的方式來描述系統關鍵元素之間的關系。
3. 提出指導設計的基本原理。根據系統設計的要求及工程設計的理論和方法,明確系統設計的各方面的基本原則。
4. 提出開發過程的基本框架及對應于該框架體系的層次結構。它描述確保系統忠實于安全需求的整個開發過程的所有方面。為達到此目的,安全體系總是按一定的層次結構進行描述
8.6.2 安全體系結構的類型
在美國國防部的“目標安全體系”中,把安全體系劃分為四種類型:
1. 抽象體系(Abstract Architecture)。抽象體系從描述需求開始,定義執行這些需求的功能函數。之后定義指導如何選用這些功能函數及如何把這些功能有機組織成為一個整體的原理及相關的基本概念。
2. 通用體系(Generic Architecture)。通用體系的開發是基于抽象體系的決策來進行的。它定義了系統分量的通用類型(general type)及使用相關行業標準的情況,它也明確規定系統應用中必要的指導原則。通用安全體系是在已有的安全功能和相關安全服務配置的基礎上,定義系統分量類型及可得到的實現這些安全功能的有關安全機制。
3. 邏輯體系(Logical Architecture)。邏輯體系就是滿足某個假設的需求集合的一個設計,它顯示了把一個通用體系應用于具體環境時的基本情況。邏輯體系與下面將描述的特殊體系的僅有的不同之處在于:特殊體系是使用系統的實際體系,而邏輯體系是假想的體系,是為理解或者其它目的而提出的。
4. 特殊體系(Specific Architecture)。特殊安全體系要表達系統分量、接口、標準、性能和開銷,它表明如何把所有被選擇的信息安全分量和機制結合起來以滿足我們正在考慮的特殊系統的安全需求。這里信息安全分量和機制包括基本原則及支持安全管理的分量等。
8.6.3 Flask安全體系結構?
Flask原型由一個基于微內核的操作系統來實現,支持硬件強行對進程地址空間的分離。但也有一些最近的努力已經展示了軟件強行進程分離的效果。對Flask結構而言,這種區別是基本不相關的。它認為所提供的進程分離的形式才是主要的,但Flask結構并沒有強制要某一種機制。Flask結構為達到其他系統常見的可適應性,將通過采用DTOS結構在SPIN中的安全框架具體證明。進一步來講,Flask結構也可以適用于除操作系統之外的其它軟件,例如中間件或分布式系統,但此時由底層操作系統的不安全性所導致的弱點仍保留。
8.6.4 權能體系結構
權能體系是較早用于實現安全內核的結構體系,盡管它存在一些不足,但是作為實現訪問控制的一種通用的、可塑性良好的方法,目前仍然是人們實現安全比較偏愛的方法之一。權能體系的優點包括2個方面:
(1)權能為訪問客體和保護客體提供了一個統一的方法,權能的應用對統籌設計及簡化證明過程有重要的影響。
(2)權能與層次設計方法是非常協調的,從權能機制很自然可導致使用擴展型對象來提供抽象和保護的層次。盡管對權能提供的保護及權能的創建是集中式的,但是由權能實現的保護是可適當分配的,也就是說,權能具有傳遞能力。這樣一來,權能促進了機制與策略的分離。
安全配置方案初級篇
安全配置方案初級篇主要介紹常規的操作系統安全配置,包括十二條基本配置原則:
物理安全、停止Guest帳號、限制用戶數量
創建多個管理員帳號、管理員帳號改名
陷阱帳號、更改默認權限、設置安全密碼
屏幕保護密碼、使用NTFS分區
運行防毒軟件和確保備份盤安全。
1、物理安全
服務器應該安放在安裝了監視器的隔離房間內,并且監視器要保留15天以上的攝像記錄。
另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在安全的地方。
2、停止Guest帳號
在計算機管理的用戶里面把Guest帳號停用,任何時候都不允許Guest帳號登陸系統。
為了保險起見,最好給Guest 加一個復雜的密碼,可以打開記事本,在里面輸入一串包含特殊字符,數字,字母的長字符串。
用它作為Guest帳號的密碼。并且修改Guest帳號的屬性,設置拒絕遠程訪問,如圖7-1所示。
3 限制用戶數量
去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設置相應權限,并且經常檢查系統的帳戶,刪除已經不使用的帳戶。
帳戶很多是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的權限可能性一般也就越大。
對于Windows NT/2000主機,如果系統帳戶超過10個,一般能找出一兩個弱口令帳戶,所以帳戶數量不要大于10個。
4 多個管理員帳號
雖然這點看上去和上面有些矛盾,但事實上是服從上面規則的。創建一個一般用戶權限帳號用來處理電子郵件以及處理一些日常事物,另一個擁有Administrator權限的帳戶只在需要的時候使用。
因為只要登錄系統以后,密碼就存儲再WinLogon進程中,當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼,盡量減少Administrator登錄的次數和時間。
5 管理員帳號改名
Windows 2000中的Administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。
不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通用戶,比如改成:guestone。具體操作的時候只要選中帳戶名改名就可以了,如圖7-2所示。
6 陷阱帳號
所謂的陷阱帳號是創建一個名為“Administrator”的本地帳戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。
這樣可以讓那些企圖入侵者忙上一段時間了,并且可以借此發現它們的入侵企圖。可以將該用戶隸屬的組修改成Guests組,如圖7-3所示。
7 更改默認權限
共享文件的權限從“Everyone”組改成“授權用戶”。“Everyone”在Windows 2000中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。
任何時候不要把共享文件的用戶設置成“Everyone”組。包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。設置某文件夾共享默認設置如圖7-4所示。
8安全密碼
好的密碼對于一個網絡是非常重要的,但是也是最容易被忽略的。
一些網絡管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的字符做用戶名,然后又把這些帳戶的密碼設置得比較簡單,比如:“welcome”、“iloveyou”、“letmein”或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。
這里給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果得到了密碼文檔,必須花43天或者更長的時間才能破解出來,密碼策略是42天必須改密碼。
9屏幕保護密碼
設置屏幕保護密碼是防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序,浪費系統資源,黑屏就可以了。
還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。
將屏幕保護的選項“密碼保護”選中就可以了,并將等待時間設置為最短時間“1秒”,如圖7-5所示。
10 NTFS分區
把服務器的所有分區都改成NTFS格式。NTFS文件系統要比FAT、FAT32的文件系統安全得多。
11防毒軟件
Windows 2000/NT服務器一般都沒有安裝防毒軟件的,一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。
設置了放毒軟件,“黑客”們使用的那些有名的木馬就毫無用武之地了,并且要經常升級病毒庫。
12備份盤的安全
一旦系統資料被黑客破壞,備份盤將是恢復資料的唯一途徑。備份完資料后,把備份盤防在安全的地方。
不能把資料備份在同一臺服務器上,這樣的話還不如不要備份。
安全配置方案中級篇
安全配置方案中級篇主要介紹操作系統的安全策略配置,包括十條基本配置原則:
操作系統安全策略、關閉不必要的服務
關閉不必要的端口、開啟審核策略
開啟密碼策略、開啟帳戶策略、備份敏感文件
不顯示上次登陸名、禁止建立空連接和下載最新的補丁
1 操作系統安全策略
利用Windows 2000的安全配置工具來配置安全策略,微軟提供了一套的基于管理控制臺的安全配置和分析工具,可以配置服務器的安全策略。
在管理工具中可以找到“本地安全策略”,主界面如圖7-6所示。
?
可以配置四類安全策略:帳戶策略、本地策略、公鑰策略和IP安全策略。在默認的情況下,這些策略都是沒有開啟的。
2 關閉不必要的服務
Windows 2000的Terminal Services(終端服務)和IIS(Internet 信息服務)等都可能給系統帶來安全漏洞。
為了能夠在遠程方便的管理服務器,很多機器的終端服務都是開著的,如果開了,要確認已經正確的配置了終端服務。
有些惡意的程序也能以服務方式悄悄的運行服務器上的終端服務。要留意服務器上開啟的所有服務并每天檢查。
Windows 2000作為服務器可禁用的服務及其相關說明如表7-1所示。
Windows2000可禁用的服務
3 關閉不必要的端口
關閉端口意味著減少功能,如果服務器安裝在防火墻的后面,被入侵的機會就會少一些,但是不可以認為高枕無憂了。
用端口掃描器掃描系統所開放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服務的對照表可供參考。該文件用記事本打開如圖7-7所示。
設置本機開放的端口和服務,在IP地址設置窗口中點擊按鈕“高級”,如圖7-8所示。
在出現的對話框中選擇選項卡“選項”,選中“TCP/IP篩選”,點擊按鈕“屬性”,如圖7-9所示。
設置端口界面如圖7-10所示。
一臺Web服務器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻,功能比較強大,可以替代防火墻的部分功能。
4 開啟審核策略
安全審核是Windows 2000最基本的入侵檢測方法。當有人嘗試對系統進行某種方式(如嘗試用戶密碼,改變帳戶策略和未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。
很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。表7-2的這些審核是必須開啟的,其他的可以根據需要增加。
審核策略默認設置
審核策略在默認的情況下都是沒有開啟的,如圖7-11所示。
雙擊審核列表的某一項,出現設置對話框,將復選框“成功”和“失敗”都選中,如圖7-12所示。
5 開啟密碼策略
密碼對系統安全非常重要。本地安全設置中的密碼策略在默認的情況下都沒有開啟。需要開啟的密碼策略如表7-3所示
設置選項如圖7-13所示。
6 開啟帳戶策略
開啟帳戶策略可以有效的防止字典式攻擊,設置如表7-4所示。
設置帳戶策略
設置的結果如圖7-14所示。
7 備份敏感文件
把敏感文件存放在另外的文件服務器中,雖然服務器的硬盤容量都很大,但是還是應該考慮把一些重要的用戶數據(文件,數據表和項目文件等)存放在另外一個安全的服務器中,并且經常備份它們
8 不顯示上次登錄名
默認情況下,終端服務接入服務器時,登陸對話框中會顯示上次登陸的帳戶名,本地的登陸對話框也是一樣。黑客們可以得到系統的一些用戶名,進而做密碼猜測。
修改注冊表禁止顯示上次登錄名,在HKEY_LOCAL_MACHINE主鍵下修改子鍵:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName,將鍵值改成1,如圖7-15所示。
9 禁止建立空連接
默認情況下,任何用戶通過空連接連上服務器,進而可以枚舉出帳號,猜測密碼。
可以通過修改注冊表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵:
System\CurrentControlSet\Control\LSA\RestrictAnonymous,將鍵值改成“1”即可。如圖7-16所示。
10 下載最新的補丁
很多網絡管理員沒有訪問安全站點的習慣,以至于一些漏洞都出了很久了,還放著服務器的漏洞不補給人家當靶子用。
誰也不敢保證數百萬行以上代碼的Windows 2000不出一點安全漏洞。
經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,是保障服務器長久安全的唯一方法。
安全配置方案高級篇
高級篇介紹操作系統安全信息通信配置,包括十四條配置原則:
關閉DirectDraw、關閉默認共享
禁用Dump File、文件加密系統
加密Temp文件夾、鎖住注冊表、關機時清除文件
禁止軟盤光盤啟動、使用智能卡、使用IPSec
禁止判斷主機類型、抵抗DDOS
禁止Guest訪問日志和數據恢復軟件
1 關閉DirectDraw
C2級安全標準對視頻卡和內存有要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響(比如游戲),但是對于絕大多數的商業站點都是沒有影響的。
在HKEY_LOCAL_MACHINE主鍵下修改子鍵:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout,將鍵值改為“0”即可,如圖7-17所示。
2 關閉默認共享
Windows 2000安裝以后,系統會創建一些隱藏的共享,可以在DOS提示符下輸入命令Net Share 查看,如圖7-18所示。
停止默認共享
禁止這些共享,打開管理工具>計算機管理>共享文件夾>共享,在相應的共享文件夾上按右鍵,點停止共享即可,如圖7-19所示。
3 禁用Dump文件
在系統崩潰和藍屏的時候,Dump文件是一份很有用資料,可以幫助查找問題。然而,也能夠給黑客提供一些敏感信息,比如一些應用程序的密碼等
需要禁止它,打開控制面板>系統屬性>高級>啟動和故障恢復,把寫入調試信息改成無,如圖7-20所示。
4 文件加密系統
Windows2000強大的加密系統能夠給磁盤,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。
微軟公司為了彌補Windows NT 4.0的不足,在Windows 2000中,提供了一種基于新一代NTFS:NTFS V5(第5版本)的加密文件系統(Encrypted File System,簡稱EFS)。
EFS實現的是一種基于公共密鑰的數據加密方式,利用了Windows 2000中的CryptoAPI結構。
5 加密Temp文件夾
一些應用程序在安裝和升級的時候,會把一些東西拷貝到Temp文件夾,但是當程序升級完畢或關閉的時候,并不會自己清除Temp文件夾的內容。
所以,給Temp文件夾加密可以給你的文件多一層保護。
6 鎖住注冊表
在Windows2000中,只有Administrators和Backup Operators才有從網絡上訪問注冊表的權限。當帳號的密碼泄漏以后,黑客也可以在遠程訪問注冊表,當服務器放到網絡上的時候,一般需要鎖定注冊表。修改Hkey_current_user下的子鍵
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值該為0,類型為DWORD,如圖7-21所示。
7 關機時清除文件
頁面文件也就是調度文件,是Windows 2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。
一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件,可以編輯注冊表 修改主鍵HKEY_LOCAL_MACHINE下的子鍵:
SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值設置成1,如圖7-22所示。
8 禁止軟盤光盤啟動
一些第三方的工具能通過引導系統來繞過原有的安全機制。比如一些管理員工具,從軟盤上或者光盤上引導系統以后,就可以修改硬盤上操作系統的管理員密碼。
如果服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅,把機箱鎖起來仍然不失為一個好方法。
9 使用智能卡
對于密碼,總是使安全管理員進退兩難,容易受到一些工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。
如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
10 使用IPSec
正如其名字的含義,IPSec提供IP數據包的安全性。
IPSec提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據,而接收方計算機在收到數據之后解密數據。
利用IPSec可以使得系統的安全性能大大增強。
11 禁止判斷主機類型
黑客利用TTL(Time-To-Live,活動時間)值可以鑒別操作系統的類型,通過Ping指令能判斷目標主機類型。Ping的用處是檢測目標主機是否連通。
許多入侵者首先會Ping一下主機,因為攻擊某一臺計算機需要根據對方的操作系統,是Windows還是Unix。如過TTL值為128就可以認為你的系統為Windows 2000,如圖7-23所示。
從圖中可以看出,TTL值為128,說明改主機的操作系統是Windows 2000操作系統。表7-6給出了一些常見操作系統的對照值。
修改TTL的值,入侵者就無法入侵電腦了。比如將操作系統的TTL值改為111,修改主鍵HKEY_LOCAL_MACHINE的子鍵:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS
新建一個雙字節項,如圖7-24所示。
在鍵的名稱中輸入“defaultTTL”,然后雙擊改鍵名,選擇單選框“十進制”,在文本框中輸入111,如圖7-25所示。
設置完畢重新啟動計算機,再用Ping指令,發現TTL的值已經被改成111了,如圖7-26所示。
12 抵抗DDOS
添加注冊表的一些鍵值,可以有效的抵抗DDOS的攻擊。在鍵值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應的鍵及其說明如表7-7所示。
13 禁止Guest訪問日志
在默認安裝的Windows NT和Windows 2000中,Guest帳號和匿名用戶可以查看系統的事件日志,可能導致許多重要信息的泄漏,修改注冊表來禁止Guest訪問事件日志。
禁止Guest訪問應用日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application 下添加鍵值名稱為:RestrictGuestAccess ,類型為:DWORD,將值設置為1。
系統日志:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System下添加鍵值名稱為:RestrictGuestAccess,類型為:DWORD,將值設置為1。
安全日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security下添加鍵值名稱為:RestrictGuestAccess,類型為:DWORD,將值設置為1。
14 數據恢復軟件
當數據被病毒或者入侵者破壞后,可以利用數據恢復軟件可以找回部分被刪除的數據,在恢復軟件中一個著名的軟件是Easy Recovery。軟件功能強大,可以恢復被誤刪除的文件、丟失的硬盤分區等等。軟件的主界面如圖7-26所示。
比如原來在E盤上有一些數據文件,被黑客刪除了,選擇左邊欄目“Data Recovery”,然后選擇左邊的按鈕“Advanced Recovery”,如圖7-28所示。
進入Advanced Recovery對話框后,軟件自動掃描出目前硬盤分區的情況,分區信息是直接從分區表中讀取出來的,如圖7-29所示。
現在要恢復E盤上的文件,所以選擇E盤,點擊按鈕“Next”,如圖7-30所示。
軟件開始自動掃描該盤上曾經有哪些被刪除了文件,根據硬盤的大小,需要一段比較長的時間,如圖7-31所示。
掃描完成以后,將該盤上所有的文件以及文件夾顯示出來,包括曾經被刪除文件和文件夾,如圖7-32所示。
選中某個文件夾或者文件前面的復選框,然后點擊按鈕“Next”,就可以恢復了。如圖7-33所示。
在恢復的對話框中選擇一個本地的文件夾,將文件保存到該文件夾中,如圖7-34所示。
?
選擇一個文件夾后,電擊按鈕“Next”,就出現了恢復的進度對話框,如圖7-35所示。
本章總結
本章介紹了常用的幾種操作系統,重點介紹了安全系統的研究發展、安全操作系統的基本概念、安全機制、安全模型以及常用的安全體系。
分成3部分介紹Windows的安全配置,共介紹安全配置36項,如果每一條都能得到很好實施的話,該服務器無論是在局域網還是廣域網,即使沒有網絡防火墻,也已經比較安全了。需要重點理解3大部分中的每一項設置,并掌握如何設置。
本章習題
一、選擇題
1. ___________是一套可以免費使用和自由傳播的類UNIX操作系統,主要用于基于Intel x86系列CPU的計算機上。
A. Solaris?? ??????B. Linux
C. XENIX??????? ????D. FreeBSD
2. 操作系統中的每一個實體組件不可能是___________。
A. 主體???????B. 客體
C. 既是主體又是客體????D. 既不是主體又不是客體
3. ___________是指有關管理、保護和發布敏感信息的法律、規定和實施細則。
A. 安全策略??????B. 安全模型
C. 安全框架??????D. 安全原則
4. 操作系統的安全依賴于一些具體實施安全策略的可信的軟件和硬件。這些軟件、硬件和負責系統安全管理的人員一起組成了系統的___________。
A. 可信計算平臺?????B. 可信計算基
C. 可信計算模塊?????D. 可信計算框架
5. ___________是最常用的一類訪問控制機制,用來決定一個用戶是否有權訪問一些特定客體的一種訪問約束機制。
A. 強制訪問控制?????B. 訪問控制列表
C. 自主訪問控制?????D. 訪問控制矩陣
本章習題
二、填空題
1. ___________的安全性在計算機信息系統的整體安全性中具有至關重要的作用,沒有它的安全性,信息系統的安全性是沒有基礎的。
2. ___________是開發安全操作系統最早期的嘗試。
3. 1969年B.W.Lampson通過形式化表示方法運用___________、___________和___________的思想第一次對訪問控制問題進行了抽象。
4. 訪問控制機制的理論基礎是___________,由J.P.Anderson首次提出
5. 計算機硬件安全的目標是,保證其自身的可靠性和為系統提供基本安全機制。其中基本安全機制包括存儲保護、___________、I/O保護等。
6. ___________模型主要應用是保護信息的完整性,而___________模型是保護信息機密性。
本章習題
三、簡答題
1. 簡述操作系統賬號密碼的重要性,有幾種方法可以保護密碼不被破解或者被盜取?
2. 簡述審核策略、密碼策略和賬戶策略的含義,以及這些策略如何保護操作系統不被入侵。
3. 如何關閉不需要的端口和服務?
4. 編寫程序實現本章所有注冊表的操作。(上機完成)
5. 以報告的形式編寫Windows 2000 Server/Advanced Server或者Windows 2003的安全配置方案。
6. 簡述BLP模型和Biba模型功能以及特點。
7. 簡述Flash安全體系結構的優點。
8. 簡述安全操作系統的機制。
總結
以上是生活随笔為你收集整理的网安--第八章 安全操作系统基础的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: CAD延伸功能如何使用?CAD延伸应用实
- 下一篇: 计算机上网记录怎么清除,如何清除浏览器缓