第6章操作系統(tǒng)安全前言操作系統(tǒng)概述6.1操作系統(tǒng)的訪問控制模型6.2Windows操作系統(tǒng)安全6.3常用的Windows安全命令6.4安全操作系統(tǒng)2022/4/31操作系統(tǒng)在計算機(jī)系統(tǒng)中的地位應(yīng)用用戶應(yīng)用軟件系統(tǒng)工具操作系統(tǒng)計算機(jī)硬件緊貼系統(tǒng)硬件之上，所有其他軟件之下（是其他軟件的共同環(huán)境）6.1操作系統(tǒng)的訪問控制模型

操作系統(tǒng)安全的核心在于訪問控制，它是在身份認(rèn)證的基礎(chǔ)上，根據(jù)身份的合法性對提出的資源訪問請求加以控制，即確保主體對客體的訪問只能是授權(quán)的，未經(jīng)授權(quán)的訪問是不能進(jìn)行的。

訪問控制的基本任務(wù)：

防止非法用戶進(jìn)入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用，保證對客體的所有直接訪問都是被認(rèn)可的。

用戶認(rèn)證解決的是：“你是誰？你是否真的是你所聲稱的身份？”

訪問控制技術(shù)解決的是“你能做什么？你有什么樣的權(quán)限？”。2022/4/34

訪問控制是確定誰能訪問系統(tǒng)誰能訪問系統(tǒng)何種資源以及在何種程度上使用這些資源。

訪問控制包括對系統(tǒng)各種資源的存取控制。2022/4/35

訪問控制的三要素

（1）主體(Subject)：發(fā)出訪問操作、存取要求主動方，通?？梢允怯脩艋驌碜o(hù)的某個進(jìn)程。

（2）客體(Object)：被訪問的對象。通常是被調(diào)用的程序、進(jìn)程、要寸取的數(shù)據(jù)或要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備等資源。

（3）安全訪問策略：一套規(guī)則，用以確定一個主體是否對某個客體擁有某種訪問權(quán)力。2022/4/36

訪問是在主體和客體之間的一種信息的傳輸。

主體是一個主動的實(shí)體，它提出對客體中的對象或數(shù)據(jù)的訪問要求。主體可以是能夠訪問信息的用戶、程序、進(jìn)程。當(dāng)程序訪問文件時，程序是主體而文件是客體?？腕w是含有被訪問信息的被動實(shí)體。

客體可以是一臺計算機(jī)，一個數(shù)據(jù)庫，一個文件，一個計算機(jī)程序，目錄，甚至是一個數(shù)據(jù)庫中的一個表中的一個數(shù)據(jù)區(qū)。當(dāng)你在數(shù)據(jù)庫中查詢信息的時候，你就是一個主動實(shí)體，而數(shù)據(jù)庫就是一個被動客體。2022/4/37每張表及數(shù)據(jù)項均可看作為一個客體姓名性別年齡班級宿舍號碼它們可被訪問、修改或刪除8訪問控制與其他安全機(jī)制的關(guān)系

認(rèn)證、授權(quán)、審計（AAA）授權(quán)（authorization）授權(quán)信息身份認(rèn)證訪問控制主體客體審計Log訪問控制與其他安全機(jī)制的關(guān)系

身分認(rèn)證

身份認(rèn)證是訪問控制的前提

保密性

限制用戶對數(shù)據(jù)的訪問(讀取操作),可以實(shí)現(xiàn)數(shù)據(jù)保密服務(wù)

完整性

限制用戶對數(shù)據(jù)的修改(寫操作),實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)

可用性

限制用戶對資源的使用量，保證系統(tǒng)的可用性

安全管理相關(guān)的活動

訪問控制功能通常和審計、入侵檢測聯(lián)系在一起3種不同的訪問控制策略

根據(jù)訪問控制策略的不同，訪問控制一般分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制三種。

自主訪問控制(DAC-----DiscretionaryAccessControl)

強(qiáng)制訪問控制(MAC-----MandatoryAccessControl)

基于角色的訪問控制(RBAC-----RoleBasedAccessControl)2022/4/3116.1.1自主訪問控制

自主訪問控制(DAC)也叫選擇性訪問控制，是指根據(jù)主體身份對客體訪問進(jìn)行限制的一種方法。它是目前訪問控制措施中一種普遍采用的訪問控制機(jī)制，這種訪問控制方法允許用戶可以自主地在系統(tǒng)中規(guī)定誰可以存取它的資源實(shí)體，即用戶（包括用戶程序和用戶進(jìn)程）可選擇同其他用戶一起共享某個文件。所謂自主，就是指擁有一定訪問權(quán)限的主體（用戶）能夠自己決定是否將訪問權(quán)限直接或間接地傳給其他主體。其基本思想是允許某個主體指定其他主體對該主體的信息資源是否可以訪問以及可執(zhí)行的訪問類型。

2022/4/312自主訪問控制概念：自主訪問控制是在確認(rèn)主體身份的基礎(chǔ)上，根據(jù)其身份標(biāo)識與權(quán)限的對應(yīng)關(guān)系進(jìn)行授權(quán)?；舅枷耄嚎腕w所有者自主決定其他主體對該客體的訪問權(quán)限，而獲得訪問權(quán)限的主體還可以將自己的權(quán)限或者自己所具有的權(quán)限集合的某個子集進(jìn)一步授予其他主體。自主訪問控制

（1）訪問控制矩陣（AccessControlMatrix）（2）能力表（CapabilityList）（3）訪問控制列表（AccessControlListACL）自主訪問控制的具體措施通常有以下3種方法：2022/4/314

訪問可以被描述為一個三元組(s,a,o)

主體，發(fā)起者:Subject，Initiator

客體，目標(biāo)

訪問操作:Object,Target:AccessObjectRead/Write/Exec

在各種以自主訪問控制機(jī)制進(jìn)行訪問控制的系統(tǒng)中，存取模式主要有：讀(read)，即允許主體對客體進(jìn)行讀和拷貝的操作；寫(write)，即允許主體寫入或修改信息，包括擴(kuò)展、壓縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時擁有讀模式空模式(null)，即主體對客體不具有任何的存取權(quán)。????訪問控制矩陣（AccessControlMatrix）系統(tǒng)狀態(tài)用一個有序三元組表示Q=(S,O,A)，其中S——主體的集合O——客體的集合A——訪問矩陣，行對應(yīng)于主體，列對應(yīng)客體設(shè)S={s1,s2},O={m1,m2,f1,f2}m1m2f1f2s1

{we},{r}{c,r,w}

A=

s2

r,{r}{rw,e},{c,r,e}17矩陣是動態(tài)增大的創(chuàng)建一個客體就增加一個列進(jìn)來一個主體就增加一個行例m1m2{r}f1s1s2{r,w}{a.e}{r}{r,w,a}m1m2{r}f1f2m1{r,w}m2{r}f1f2s1s2{r}{r,w}{a.e}s1{a.e}{r,w,a}s2s3{r}{r,w,a}{r,w,a}18能力表（CapabilityList）SiO1O2O5RRRWWE

能力表與主體關(guān)聯(lián)，規(guī)定主體所能訪問的客體和權(quán)限。表示形式：

用戶的輪廓文件Profile，由于客體相當(dāng)多，分類復(fù)雜，不便于授權(quán)管理

從能力表得到一個主體所有的訪問權(quán)限，很容易從能力表瀏覽一個客體所允許的訪問控制權(quán)限，很困難

訪問控制列表（AccessControlListACL）OjS1S2S5RRRWWE

訪問控制表與客體關(guān)聯(lián)，規(guī)定能夠訪問它的主體和權(quán)限由于主體數(shù)量一般比客體少得多而且容易分組，授權(quán)管理相對簡單得到一個客體所有的訪問權(quán)限，很容易瀏覽一個主體的所有訪問權(quán)限，很困難

ObjectPAYROLLSubjectJaneReadWriteRead示例1：工資單文件訪問控制矩陣JohnSam訪問控制矩陣

按列看是訪問控制表內(nèi)容

按行看是訪問能力表內(nèi)容目標(biāo)目標(biāo)x目標(biāo)y目標(biāo)z用戶用戶aR、W、OwnR、W、Own用戶bR、W、Own用戶cRR、W用戶dRR、W22自主訪問控制特點(diǎn)：根據(jù)主體的身份和授權(quán)來決定訪問模式。缺點(diǎn)：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。6.1.2強(qiáng)制訪問控制

強(qiáng)制訪問控制（MandatoryAccessControl,MAC）是指系統(tǒng)強(qiáng)制主體服從訪問控制策略。

強(qiáng)制訪問控制通常用于多層次安全級別的軍事系統(tǒng)當(dāng)中。它預(yù)先將主體和客體分級，即定義用戶的可信任級別及信息敏感程度（安全級別，比如可以分為絕密級、機(jī)密級、秘密級、無密級等），然后根據(jù)主體和客體的級別標(biāo)記來決定訪問模式，用戶的訪問必須遵守安全級別的設(shè)定以及有關(guān)訪問權(quán)限的設(shè)定。當(dāng)用戶提出訪問請求時，系統(tǒng)對主體和客體的敏感標(biāo)記進(jìn)行比較從而確定訪問是否合法。2022/4/324

“強(qiáng)制”體現(xiàn)在：①由系統(tǒng)或管理員按照嚴(yán)格的安全策略事先設(shè)置主體權(quán)限和客體安全屬性②主體不能修改客體屬性③主體不能將自己的部分權(quán)限授予其他主體④系統(tǒng)獨(dú)立于主體強(qiáng)制執(zhí)行訪問控制2022/4/325

MAC過程①主體被分配一個安全等級（安全標(biāo)簽）②客體也被分配一個安全等級（安全標(biāo)簽）

訪問控制執(zhí)行時，對主體和客體的安全標(biāo)簽進(jìn)行比較2022/4/326MAC策略的最顯著特征：全局性、永久性

“全局性”的含義：對于特定的信息，無論它處于何地，其敏感性級別相同。

“永久性”的含義：對于特定的信息，無論它處于何時，其敏感性程度相同。

也就是說：在MAC中，無論何時何地，主客體的標(biāo)簽是不會改變的，這一特征被稱為“寧靜性原則”

優(yōu)點(diǎn)：等級性,安全性高

缺點(diǎn)：靈活性差,被動的2022/4/328

在MAC策略中，三元組表示為(S,O,A)，訪問模式A只有兩種，即“讀”和“寫”。（1）上讀：主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）下讀：主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）上寫：主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）下寫：主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。強(qiáng)制訪問控制

特點(diǎn)：①將主題和客體分級，根據(jù)主體和客體的級別標(biāo)記來決定訪問模式，如絕密級、機(jī)密級、秘密級、無密級。下級可看上級的信息但不能修改上級內(nèi)容②其訪問控制關(guān)系分為：上讀/下寫（機(jī)密性）下讀/上寫（完整性），。

下級對上級可提意見，但不能看上級的信息。

防止機(jī)密信息向下級泄露30強(qiáng)制訪問控制模型

由于MAC通過分級的安全標(biāo)簽實(shí)現(xiàn)了信息的單向流通，因此它一直被軍方采用，其中最著名的是Bell-LaPadula模型和Biba模型。311）Bell-LaPadula保密性模型

Bell-LaPadula模型（簡稱BLP模型）是DavidBell和LenLaPadula于1973年提出的一種適用于軍事安全策略的計算機(jī)操作系統(tǒng)安全模型，它是最早、最常用的一種計算機(jī)多級安全模型之一。該模型基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來劃分資源的安全級別，將數(shù)據(jù)劃分為多安全級別與敏感度系統(tǒng)的多級安全系統(tǒng)。數(shù)據(jù)和用戶被劃分為公開、受限、秘密、機(jī)密和絕密五個安全等級2022/4/332

Bell-LaPadula模型的特點(diǎn)：

上讀:主體安全級別高于或等于客體信息資源的安全級別時允許查閱的讀操作；有效防止低級用戶和進(jìn)程訪問安全級別比他們高的信息資源

下寫:安全級別高的用戶和進(jìn)程不能向比他安全級別低的用戶和進(jìn)程寫入數(shù)據(jù)下級對上級可提交新的意見，但不能看上級的信息。33“上讀/下寫”規(guī)定“上讀/下寫”保證了數(shù)據(jù)的保密性

優(yōu)點(diǎn)：機(jī)密性高，可以有效地防止機(jī)密信息向下級泄露

缺點(diǎn)：忽略了完整性，使非法、越權(quán)篡改成為可能2022/4/335BLP多級強(qiáng)制訪問控制策略

兩個重要的安全特性（公理）

SimpleSecurityCondition：主體讀客體，當(dāng)且僅當(dāng)用戶的安全等級必須大于或等于該信息的安全級，并且該用戶必須具有包含該信息所有訪問類別的類別集合；

*-Property(StarProperty)：一個主體/用戶要寫一個客體，當(dāng)且僅當(dāng)用戶的安全等級不大于該客體安全等級，并且該客體包含該用戶的所有類別。

安全特性

保證了信息的單向流動362）Biba模型

BLP模型通過防止非授權(quán)信息的擴(kuò)散來保證系統(tǒng)的安全，但它不能防止非授權(quán)修改系統(tǒng)信息。于是Biba等人在1977年提出了第一個完整性安全模型—Biba模型，它主要應(yīng)用類似BLP模型的規(guī)則來保護(hù)信息的完整性，防止對信息的非授權(quán)修改，Biba模型也使用強(qiáng)制訪問控制系統(tǒng)。Biba模型基于下讀和上寫兩種規(guī)則來保障數(shù)據(jù)的完整性。2022/4/337

Biba模型的