跳转至

操作系统安全机制

操作系统的安全威胁

按形成安全威胁的途径划分

  • 不合理的授权机制
  • 不恰当的代码执行
  • 不恰当的主体控制
  • 不安全的进程间通信(IPC)
  • 网络协议的安全漏洞
  • 服务的不当配置

按威胁行为方式划分

  • 切断:阻止合法用户访问资源,破坏可用性。
  • 截取:窃取系统信息,侵犯机密性。
  • 篡改:非法修改信息,破坏完整性。
  • 伪造:伪造信息或身份,扰乱系统正常运行。

按威胁表现形式划分

逻辑炸弹

  • 定义:隐藏在应用程序中,满足特定条件时触发。
  • 终止机器、制造刺耳噪音、破坏数据、导致系统崩溃等。
  • 不能自我复制。

计算机病毒

  • 定义:能 自我复制 的的一组计算机指令或程序代码,通过编译或者在计算机程序中插入这段代码,以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。
  • 特性:隐蔽性、传染性、潜伏性、破坏性。
  • 代码示例:死循环消耗内存(C 语言)、无限弹窗(VBScript)。
  • 蠕虫:一种常见的计算机病毒,无须计算机使用者干预即可运行的独立程序,通过网络漏洞控制其他计算机并传播。
    • 典型代表:happy99 蠕虫病毒——通过因特网传播的蠕虫程序,主要以邮件的形式传递

特洛伊木马

  • 定义:表面执行合法功能,实则隐藏非法操作的独立程序,无自我复制能力。
  • 成功条件:表面行为不引发怀疑、诱使用户接受、用户运行程序、为攻击者带来收益。
  • 典型代表:Mellisa(附加在邮件中,通过 Outlook 传播)。

后门(天窗)

  • 定义:嵌在操作系统中 的非法代码,为攻击者提供无检查入侵通道。
  • 特点:需专门命令激活、不易发现、拥有特殊特权。
  • 安装方式:利用系统缺陷或混入开发队伍。

隐蔽信道

  • 定义:不受安全策略控制的、违反安全策略的信息泄露路径。
  • 分类:
    • 存储隐蔽信道:通过不受控存储单元传递信息(如进程 A 修改文件,进程 B 观察文件状态)。
    • 时间隐蔽信道:通过系统状态随时间的变化传递信息(如进程 A 占用 I/O 端口,进程 B 观察端口使用状态)。

操作系统的安全机制

访问控制机制(最常用)

  • 系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
  • 主要任务:
    • 授权主体访问客体
    • 确定访问权限(读、写、执行等)
    • 实施访问权限
  • 主要功能:保护个人信息、维护信息机密性与完整性、减少病毒传播、保障系统安全有效运行。
  • 三要素
    • 主体(S):发起访问请求的实体(用户、进程、服务等)。
    • 客体(O):被访问的资源(信息、文件、硬件等)。
    • 控制策略(A):主体访问客体的规则集合。

  • 分类及特点

    访问控制机制 定义 优点 缺点
    自主访问控制(DAC) 客体属主可自主指定其他用户的访问权限 控制灵活,为用户提供较大自主权 权限管理分散;安全性差,无法抵御特洛伊木马;缺乏高安全性
    强制访问控制(MAC) 按信息密级和范畴管理,系统强制主体服从访问策略 保障信息机密性 忽视信息完整性;授权僵硬,缺乏灵活性;应用领域狭窄(如军方系统)
    基于角色的访问控制(RBAC) 定义角色权限,通过给用户分配角色控制权限,实现用户与权限分离 便于授权管理和角色划分;易落实最小权限、责任分离原则;便于客体分类 需了解组织结构;可能出现角色爆炸;无操作顺序控制机制

  • RBAC 核心要素与原则

    • 核心要素:用户(唯一 ID)、角色(关联权限)、权限(访问能力);映射关系为用户与角色多对多、角色与权限多对多。
    • 安全原则:
      • 最小权限原则:角色仅配置完成任务所需的最小权限。
      • 责任分离原则:通过互斥角色完成敏感任务(如记账员与财务管理员协作过账)。
      • 数据抽象原则:以抽象权限(如借款、存款)替代具体操作权限(读、写)。

认证机制

  • 标识:用户通过 唯一不可伪造 的内部识别码表明身份。
  • 鉴别:校验用户身份声明的有效性,方式包括:
    • 基于所知(密码、身份证号等)。
    • 基于所有(智能卡、USBkey 等)。
    • 基于本身特征(指纹、面部扫描等)。
    • 基于动作表现(签名、按键速度等)。
  • 授权:确定主体对客体的访问权限并实施。

加密机制

  • 数据传输加密技术
    • 链加密
    • 端加密
  • 数据存储加密技术
    • 文件级加密
    • 驱动器级加密

最小特权管理原则

  • 主流多用户操作系统中,超级用户拥有全部特权,存在口令被破解、误操作等安全威胁。
  • 最小特权管理原则定义:赋予使用者执行授权任务所需的限制性最强的一组特权(最低许可)。
  • 最小特权原则:必不可少的特权
    • 充分性:保证主体能完成所需任务。
    • 必要性:在充分性前提下限制特权。
  • 基本思想:不给用户超出任务所需的额外特权。
  • 在系统中定义:
    • 系统安全管理员:定义安全级、限制隐蔽通道、管理用户及访问控制组。
    • 审计员:设置审计参数、管理审计信息、控制审计归档。
    • 操作员:常规非关键性操作(启动系统、格式化存储介质等)。
    • 安全操作员:安全相关例行活动(备份恢复、安装介质等)。
    • 网络管理员:管理网络软件、设置服务器连接、控制共享资源。

安全审计机制

  • 审计:是一种事后(线下)分析法,一般通过对日志的分析来完成。
  • 安全审计:对系统安全相关活动进行记录、检查及审核,事后通过日志分析认定违规行为。
  • 主要作用
    • 记录安全相关行为,分析系统不安全因素。
    • 为违规行为提供证据,追查主体、地点及过程。
    • 为受攻击系统提供损失评估和恢复依据。
  • 审计事件:是系统审计用户动作的 基本单位(如注册、隐蔽通道使用等),分为主体活动审计、客体访问审计;每个用户有专属待审计事件集,含公共基本事件集。
  • 审计系统实现:
    • 日志记录器:收集并输出审计数据
    • 分析器:输入日志,分析日志数据
    • 通告器:将分析结果通知管理员,辅助安全决策
  • 日志:记录事件或统计数据,提供关于系统使用及性能方面的信息
    • 系统日志:跟踪系统事件(如驱动加载错误、系统崩溃)
    • 应用程序日志:记录应用或系统程序事件(如 DLL 失败、应用安装)
    • 安全日志:记录关键安全事件(如权限变更、文件操作)

存储保护、运行保护和 I/O 保护

  • 存储保护
    • 需求:保护用户存储数据,保护单元包括字、块、页面、段。
    • 存储器管理和存储保护之间的关系:
      • 存储保护负责保证系统各个任务之间互不干扰
      • 存储器管理则是为了更有效地利用存储空间
    • 核心概念:进程虚地址空间分为用于用户程序与数据的用户空间(用户段)和用于操作系统的系统空间(内核段)。
    • 实现方式:
      • 基于内存管理的访问控制:明确系统空间各页的读写权限。
      • 基于物理页号的识别/秘钥机制:进程密钥与内存物理页密钥匹配方可访问。
      • 基于描述符的地址解释:进程通过私有地址描述符说明内存访问模式。
  • 运行保护
    • 核心结构:基于保护环的等级式运行域,越内层环号越小特权越高(实际常用 Ring0 内核态、Ring3 用户态)。
    • 等级域保护机制:
      • 防止外层环侵入内层环。
      • 允许内层环进程控制外层环。
    • 进程可在不同环间切换,且能防范同环内其他进程破坏。
  • I/O 保护
    • I/O 操作为特权操作,由操作系统封装为系统调用,用户无需控制细节。
    • 访问控制方式:将 I/O 设备视为客体,应用读写访问控制规则,进程需获得设备读写权限方可执行 I/O 操作。