《信息系統(tǒng)安全理論與技術(shù)》

第2章信息系統(tǒng)基礎(chǔ)安全問(wèn)題本章內(nèi)容2.1計(jì)算機(jī)原理2.2計(jì)算機(jī)啟動(dòng)原理2.3操作系統(tǒng)的用戶(hù)安全2.1計(jì)算機(jī)系統(tǒng)

計(jì)算機(jī)系統(tǒng)由硬件和軟件兩大部分組成。

硬件指由中央處理器、存儲(chǔ)器以及外圍設(shè)備等組成的實(shí)際裝置，硬件的作用是完成每條指令規(guī)定的功能。指令是計(jì)算機(jī)運(yùn)行的最小的功能單位，指令是指示計(jì)算機(jī)硬件執(zhí)行某種運(yùn)算、處理功能的命令。

軟件是為了使用計(jì)算機(jī)而編寫(xiě)的各種系統(tǒng)的和用戶(hù)的程序，程序由一個(gè)序列的計(jì)算機(jī)指令組成。指令是用于設(shè)計(jì)程序的一種計(jì)算機(jī)語(yǔ)言。

一臺(tái)計(jì)算機(jī)提供的全部指令構(gòu)成該計(jì)算機(jī)的指令系統(tǒng)。指令系統(tǒng)的設(shè)計(jì)質(zhì)量關(guān)系到廠家和用戶(hù)的利益。硬、軟件系統(tǒng)相互依存，分工互動(dòng)，缺一不可，如同一個(gè)健全人的物質(zhì)性的肉體和精神性的智力與思維。2.1.1計(jì)算機(jī)硬件系統(tǒng)

計(jì)算機(jī)硬件：一切構(gòu)成計(jì)算機(jī)的物理實(shí)體硬件系統(tǒng)構(gòu)成思想：計(jì)算機(jī)的基礎(chǔ)理論（馮諾依曼思想：存儲(chǔ)程序，程序控制等，大部分已經(jīng)有50年）未變。因此，計(jì)算機(jī)的關(guān)鍵部件沒(méi)有大的改變即：計(jì)算機(jī)五大功能部件2.1.1計(jì)算機(jī)硬件系統(tǒng)運(yùn)算器（完成算術(shù)運(yùn)算，邏輯運(yùn)算）控制器（控制指令的執(zhí)行序列，根據(jù)指令的功能給出實(shí)現(xiàn)指令功能所需要的控制信號(hào)）主存儲(chǔ)器（存放程序以及數(shù)據(jù)）輸入設(shè)備（能將人能夠識(shí)別的信息形式轉(zhuǎn)換為機(jī)器能夠識(shí)別的形式）輸出設(shè)備計(jì)算機(jī)硬件系統(tǒng)的組成2.1.1計(jì)算機(jī)硬件系統(tǒng)主機(jī)外圍設(shè)備CPU運(yùn)算器控制器存儲(chǔ)器接口——輸入設(shè)備接口——輸出設(shè)備系統(tǒng)總線計(jì)算機(jī)硬件組成框圖2.1.1計(jì)算機(jī)硬件系統(tǒng)1.控制器從內(nèi)存取出一條指令，并指下條指令的地址；對(duì)指令進(jìn)行譯碼,產(chǎn)生相應(yīng)的控制信號(hào)；指揮并控制CPU，內(nèi)存和I/O設(shè)備之間的數(shù)據(jù)傳送。2.運(yùn)算器加工信息。包括：算術(shù)運(yùn)算，邏輯運(yùn)算CPU的組成示意圖2.1.2計(jì)算機(jī)軟件系統(tǒng)計(jì)算機(jī)硬件是載體，軟件是靈魂，一切程序的集合硬件與軟件可以互相轉(zhuǎn)化，軟件固化成為固件。固件是具有軟件功能，具有硬件形態(tài)的部件。歸結(jié)為程序和數(shù)據(jù)（統(tǒng)稱(chēng)二進(jìn)制表示的信息）軟件的核心:算法

(一個(gè)好的算法可以代替大量的硬件:FFT,MPEG)對(duì)軟件的理解2.1.3計(jì)算機(jī)系統(tǒng)安全問(wèn)題中國(guó)工程院院士沈昌祥：重啟可信革命夯實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)網(wǎng)絡(luò)空間極其脆弱是計(jì)算科學(xué)問(wèn)題體系結(jié)構(gòu)問(wèn)題計(jì)算模式問(wèn)題圖靈計(jì)算模型（少攻防理念）馮諾依曼架構(gòu)（缺防護(hù)部件）重大工程應(yīng)用（無(wú)安全服務(wù)）2.2計(jì)算機(jī)啟動(dòng)原理以搭載Windows7操作系統(tǒng)的計(jì)算機(jī)為例，從給計(jì)算機(jī)通電開(kāi)始，逐步分析每個(gè)環(huán)節(jié)，介紹啟動(dòng)的全過(guò)程。2.2.1上電自檢上電自檢（PowerOnSelfTest，POST）：計(jì)算機(jī)系統(tǒng)接通電源后，基本輸入輸出系統(tǒng)程序?qū)χ醒胩幚砥?、系統(tǒng)主板、基本內(nèi)存、擴(kuò)展內(nèi)存、系統(tǒng)ROMBIOS等關(guān)鍵設(shè)備進(jìn)行測(cè)試的行為。一般流程如下：上電由BIOS啟動(dòng)POST檢測(cè)CPU與內(nèi)存檢測(cè)BIOS自身檢測(cè)顯卡檢測(cè)標(biāo)準(zhǔn)硬件設(shè)備檢測(cè)即插即用設(shè)備2.2.2系統(tǒng)加載與啟動(dòng)系統(tǒng)BIOS將磁盤(pán)第一個(gè)物理扇區(qū)加載到內(nèi)存，讀取并執(zhí)行主引導(dǎo)記錄（MasterBootRecord，MBR）。將系統(tǒng)控制權(quán)交給MBR。搜索MBR中的硬盤(pán)分區(qū)表，查找活動(dòng)分區(qū)的起始位置。將活動(dòng)分區(qū)第一個(gè)扇區(qū)中的引導(dǎo)扇區(qū)：分區(qū)引導(dǎo)記錄（BootRecord，DBR）載入內(nèi)存。2.2.2系統(tǒng)加載與啟動(dòng)DBR將控制權(quán)交給分區(qū)下的啟動(dòng)管理器文件（BootMgr）。BootMgr讀取啟動(dòng)配置，根據(jù)啟動(dòng)配置數(shù)據(jù)（BootConfigurationData，BCD）控制顯示啟動(dòng)菜單。選擇從Windows7啟動(dòng)后，加載C:\Windows\System32\winload.exe，并開(kāi)始內(nèi)核加載過(guò)程。winload加載內(nèi)核程序（System32\ntoskrnl.exe）、硬件抽象層（System32\hal.dll）、注冊(cè)表SYSTEM項(xiàng)（System32\config\SYSTEM）、設(shè)備驅(qū)動(dòng)，然后將控制權(quán)交給ntoskrnl.exe。ntoskrnl初始化執(zhí)行體子系統(tǒng)，并初始化引導(dǎo)的和系統(tǒng)的設(shè)備驅(qū)動(dòng)啟動(dòng)程序，如會(huì)話管理器子系統(tǒng)（SessionManagerSubsystem，SMSS）等，再將控制權(quán)交給smss.exe。2.2.2系統(tǒng)加載與啟動(dòng)SMSS初始化注冊(cè)表，創(chuàng)建系統(tǒng)環(huán)境變量，加載Win32子系統(tǒng)啟動(dòng)子系統(tǒng)進(jìn)程（CSRSS、wininit、winlogon），然后將控制權(quán)交給System32\wininit.exe和System32\winlogon.exe。wininit啟動(dòng)服務(wù)控制管理器（ServiceControlManager，SCM）、本地安全認(rèn)證子系統(tǒng)服務(wù)（LocalSecurityAuthoritySubsystemService，LSASS）和本地會(huì)話管理器（LocalSessionManager，LSM）。winlogon加載登錄界面程序（LogonUI.exe），顯示登錄對(duì)話框。等待用戶(hù)登錄后，根據(jù)注冊(cè)表配置啟動(dòng)userinit.exe（System32\userinit.exe）和explorer.exe（Windows\explorer.exe）。userinit啟動(dòng)用戶(hù)所有的自啟動(dòng)進(jìn)程。explorer提供交互式圖形界面。2.2.3用戶(hù)登錄認(rèn)證安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）本地安全認(rèn)證子系統(tǒng)服務(wù)（LSASS）LSASS策略數(shù)據(jù)庫(kù)安全賬戶(hù)管理器（SecurityAccountManager，SAM）服務(wù)SAM數(shù)據(jù)庫(kù)認(rèn)證包交互式登錄管理器（winlogon）登錄用戶(hù)界面（LogonUI）憑據(jù)提供器（CP）Windows安全系統(tǒng)組件2.2.3用戶(hù)登錄認(rèn)證系統(tǒng)初始化一旦系統(tǒng)準(zhǔn)備好與用戶(hù)進(jìn)行交互，winlogon執(zhí)行下面的步驟：創(chuàng)建并打開(kāi)一個(gè)交互式窗口站來(lái)代表鍵盤(pán)、鼠標(biāo)和監(jiān)視器。創(chuàng)建和打開(kāi)兩個(gè)桌面：一個(gè)應(yīng)用程序桌面（交互式桌面）和一個(gè)winlogon桌面（安全桌面）。當(dāng)有一個(gè)用戶(hù)登錄時(shí)，一旦按下Ctrl+Alt+Del組合鍵，就從應(yīng)用程序桌面切換到winlogon桌面并啟動(dòng)LogonUI。與LSASS的LsaAuthenticationPort建立高級(jí)本地進(jìn)程通信（AdvancedLocalProcedureCall，ALPC）連接。為winlogon登記RPC消息服務(wù)器，該服務(wù)器會(huì)監(jiān)聽(tīng)由win32k發(fā)送的SAS、計(jì)算機(jī)注銷(xiāo)和鎖定的通知。2.2.3用戶(hù)登錄認(rèn)證用戶(hù)登錄過(guò)程Windows啟動(dòng)LogonUI，調(diào)用憑據(jù)提供程序獲得一個(gè)用戶(hù)名和口令。winlogon創(chuàng)建唯一的本地登錄SID，在LsaLogonUser調(diào)用過(guò)程中將此SID傳遞給LSASS。winlogon通過(guò)LSASS獲得指向認(rèn)證包的句柄，通過(guò)LsaLogonUser將登錄信息傳遞給認(rèn)證包。認(rèn)證包：MSV1_0：?jiǎn)为?dú)的Windows系統(tǒng)Kerberos：Windows域的成員計(jì)算機(jī)2.2.3用戶(hù)登錄認(rèn)證Windows7登錄體系CP登錄模型：取代傳統(tǒng)GINA模型，支持多種身份認(rèn)證方式LogonUI：加載憑據(jù)提供程序，提供統(tǒng)一的登錄界面，避免第三方組件帶來(lái)的安全風(fēng)險(xiǎn)。改進(jìn)：CP登錄模型有效避免了GINA登錄模型的復(fù)雜和煩瑣，開(kāi)發(fā)第三方認(rèn)證時(shí)無(wú)須對(duì)函數(shù)進(jìn)行重寫(xiě)，開(kāi)發(fā)過(guò)程更加易用、安全。2.3操作系統(tǒng)的用戶(hù)安全常用操作系統(tǒng)WindowsWindows賬戶(hù)和密碼存儲(chǔ)在計(jì)算機(jī)本地，通過(guò)本地用戶(hù)和組來(lái)進(jìn)行權(quán)限分配Windows用戶(hù)賬戶(hù)具有唯一的安全標(biāo)識(shí)符（SecurityIdentifier，SID）Windows中，Administrator用于管理員管理計(jì)算機(jī)的內(nèi)置賬戶(hù)，DefaultAccount默認(rèn)賬戶(hù)時(shí)系統(tǒng)管理的用戶(hù)賬戶(hù)，Guest是供訪問(wèn)客人使用的來(lái)賓用戶(hù)Windows不同用戶(hù)間沒(méi)有進(jìn)行數(shù)據(jù)隔離，用戶(hù)間數(shù)據(jù)可通過(guò)一定手段訪問(wèn)LinuxLinux允許多個(gè)用戶(hù)在系統(tǒng)上執(zhí)行不同任務(wù)。用戶(hù)分為：超級(jí)用戶(hù)、普通用戶(hù)和虛擬用戶(hù)，其中超級(jí)用戶(hù)擁有對(duì)所有事物的完全訪問(wèn)權(quán)限Linux將具有相同權(quán)限的用戶(hù)統(tǒng)一到一個(gè)組中，方便權(quán)限管理Linux中存在一定的安全問(wèn)題，包括：緩沖區(qū)溢出、SETUID問(wèn)題、網(wǎng)絡(luò)攻擊等60年代初期，分時(shí)系統(tǒng)CTSS誕生于MIT計(jì)算中心60年代中后期，MIT、貝爾實(shí)驗(yàn)室和通用電氣公司聯(lián)合開(kāi)發(fā)Multics系統(tǒng)。60年代中后期，IBM開(kāi)發(fā)基于虛擬機(jī)的分時(shí)系統(tǒng)CP/CMS，70年代初期，發(fā)展成VM/370。60年代中后期，第一個(gè)安全操作系統(tǒng)Adept-50誕生。60年代后期，B.W.Lampson建立形式化的訪問(wèn)控制模型。70年代初期，D.E.Bell和L.J.Lapadula建立第一個(gè)可證明的安全模型—BLP模型。1972年，J.P.Anderson提出引用監(jiān)控機(jī)、引用驗(yàn)證機(jī)制、安全核和安全建模等重要思想。2.3.1操作系統(tǒng)安全簡(jiǎn)史1975年，J.H.Saltzer和M.D.Schroeder提出安全機(jī)制設(shè)計(jì)的八大原則1983年，美國(guó)國(guó)防部頒布第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)—TCSEC。1985年，美國(guó)國(guó)防部頒布了TCSEC的修訂版，隨后，形成彩虹系列。1992年，美國(guó)推出聯(lián)邦標(biāo)準(zhǔn)草案。1993年，美國(guó)國(guó)防部在TAFIM計(jì)劃中推出稱(chēng)為DGSA的新的安全體系結(jié)構(gòu)。1999年，CC標(biāo)準(zhǔn)成為信息安全評(píng)價(jià)的國(guó)際標(biāo)準(zhǔn)。2.3.1操作系統(tǒng)安全簡(jiǎn)史美國(guó)國(guó)防部為計(jì)算機(jī)安全的不同級(jí)別制訂了4個(gè)準(zhǔn)則。依照安全性從高到低劃分為A、B、C、D四個(gè)等級(jí)，其中這些安全等級(jí)不是線性的，而是指數(shù)級(jí)上升的。7個(gè)級(jí)別：D1C1C2B1B2B3A2.3.2計(jì)算機(jī)安全級(jí)別的分類(lèi)1、D1級(jí)

這是計(jì)算機(jī)安全的最低一級(jí)。整個(gè)計(jì)算機(jī)系統(tǒng)是不可信任的，硬件和操作系統(tǒng)很容易被侵襲。D1級(jí)計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)規(guī)定對(duì)用戶(hù)沒(méi)有驗(yàn)證，也就是任何人都可以使用該計(jì)算機(jī)系統(tǒng)而不會(huì)有任何障礙。系統(tǒng)不要求用戶(hù)進(jìn)行登記（要求用戶(hù)提供用戶(hù)名）或口令保護(hù)（要求用戶(hù)提供唯一字符串來(lái)進(jìn)行訪問(wèn)）。任何人都可以坐在計(jì)算機(jī)前并開(kāi)始使用它。

D1級(jí)的計(jì)算機(jī)系統(tǒng)包括：

MS-Dos

MS-Windows3.xe及Windows95(不在工作組方式中）

Apple的System7.x2.3.2計(jì)算機(jī)安全級(jí)別的分類(lèi)7、A級(jí)

這是橙皮書(shū)中的最高安全級(jí)別，這一級(jí)有時(shí)也稱(chēng)為驗(yàn)證設(shè)計(jì)(verifieddesign)。A級(jí)還附加一個(gè)安全系統(tǒng)受監(jiān)視的設(shè)計(jì)要求，合格的安全個(gè)體必須分析并通過(guò)這一設(shè)計(jì)。另外，必須采用嚴(yán)格的形式化方法來(lái)證明該系統(tǒng)的安全性。而且在A級(jí)，所有構(gòu)成系統(tǒng)的部件的來(lái)源必須安全保證，這些安全措施還必須擔(dān)保在銷(xiāo)售過(guò)程中這些部件不受損害。例如，在A級(jí)設(shè)置中，一個(gè)磁帶驅(qū)動(dòng)器從生產(chǎn)廠房直至計(jì)算機(jī)房都被嚴(yán)密跟蹤。對(duì)用戶(hù)登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文檔寫(xiě)作、用戶(hù)指南等內(nèi)容提出了規(guī)范性要求。2.3.2計(jì)算機(jī)安全級(jí)別的分類(lèi)2.3.3操作系統(tǒng)安全的主要內(nèi)容內(nèi)存保護(hù)：在多用戶(hù)、多任務(wù)的系統(tǒng)中，實(shí)現(xiàn)內(nèi)存空間的隔離與共享，防止不同進(jìn)程間非法訪問(wèn)或破壞；客體重用：在存儲(chǔ)介質(zhì)的分配中，防止遺留信息的泄漏；身份標(biāo)識(shí)與認(rèn)證：標(biāo)識(shí)用戶(hù)的有效身份，認(rèn)證用戶(hù)使用系統(tǒng)的合法性；訪問(wèn)控制：控制主體訪問(wèn)客體的行為，防止出現(xiàn)非法訪問(wèn)行為，根據(jù)需要，提供自主訪問(wèn)控制或強(qiáng)制訪問(wèn)控制；可信路徑：實(shí)現(xiàn)用戶(hù)與可信軟件之間、可信軟件與可信軟件之間的可信通信；6.加密支持：提供信息加密和解密以及密鑰管理的有效支持；7.特權(quán)管理：實(shí)現(xiàn)特權(quán)的合理劃分、使用和管理，以便支持最小特權(quán)原則；8.安全審計(jì)：記錄、管理和報(bào)告安全相關(guān)行為信息，為安全行為分析提供支持；9.多安全策略的靈活支持：根據(jù)應(yīng)用需要，支持多種安全策略，支持安全策略的靈活選擇和配置；10.隱蔽信道處理：防止或限制利用非法隱蔽通信途徑泄漏信息；11.完整性與可用性保護(hù)：防止系統(tǒng)或數(shù)據(jù)遭受非法篡改，提供系統(tǒng)失效后恢復(fù)正常工作的能力。2.3.3操作系統(tǒng)安全的主要內(nèi)容2.3.4Windows緩沖區(qū)溢出緩沖區(qū)存在于“堆”或者“?！敝?，取決于緩沖區(qū)的分配方式。因此，緩沖區(qū)溢出分為兩種溢出---“堆溢出”和“棧溢出”，這兩種溢出的利用方式是不同的。1.重要寄存器的介紹

eax:通常用于存放函數(shù)的返回值

eip:要執(zhí)行的下一條指令的地址

ebp:棧幀的基址

esp:棧頂?shù)牡刂窏菞Ｖ幸恍∑B續(xù)的內(nèi)存。在程序執(zhí)行的過(guò)程中，一個(gè)函數(shù)會(huì)調(diào)用另一個(gè)函數(shù)，屬于這個(gè)函數(shù)的棧部分就叫該函數(shù)的棧幀，屬于另一個(gè)函數(shù)的棧部分就叫另一個(gè)函數(shù)的棧幀。2.堆和棧的分配

new和malloc出來(lái)的變量都是位于堆中，而局部變量則位于棧中。

一般情況下，堆位于比棧更低的地址，但在windows中，堆是位于比棧更高的地址。堆是位于0x003XXXXX，而棧是位于0x0012XXXX或者0x0013XXXX。

棧是由高地址向低地址增長(zhǎng)的，而堆和其它的內(nèi)存使用都是從低地址到高地址。函數(shù)1調(diào)用函數(shù)2，函數(shù)2調(diào)用函數(shù)3，…，函數(shù)n-1調(diào)用函數(shù)n，棧幀如圖2.3.4Windows緩沖區(qū)溢出2000年1月，Cerberus安全小組發(fā)布了微軟的IIS4/5存在的一個(gè)緩沖區(qū)溢出漏洞。攻擊該漏洞，可以使Web服務(wù)器崩潰，甚至獲取超級(jí)權(quán)限執(zhí)行任意的代碼。因而，該緩沖區(qū)溢出漏洞對(duì)于網(wǎng)站的安全構(gòu)成了極大的威脅。具體描述：瀏覽器向IIS提出一個(gè)HTTP請(qǐng)求，在域名（或IP地址）后，加上一個(gè)文件名，該文件名以“.htr”做后綴。于是IIS認(rèn)為客戶(hù)端正在請(qǐng)求一個(gè)“.htr”文件，“.htr”擴(kuò)展文件被映像成ISAPI（InternetServiceAPI）應(yīng)用程序，IIS會(huì)復(fù)位向所有針對(duì)“.htr”資源的請(qǐng)求到ISM.DLL程序，ISM.DLL打開(kāi)這個(gè)文件并執(zhí)行。瀏覽器提交的請(qǐng)求中包含的文件名存儲(chǔ)在局部變量緩沖區(qū)中，若它很長(zhǎng)，超過(guò)600個(gè)字符時(shí)，會(huì)導(dǎo)致局部變量緩沖區(qū)溢出，覆蓋返回地址空間，使IIS崩潰。更進(jìn)一步，2K緩沖區(qū)中植入一段精心設(shè)計(jì)的代碼，可以使之以系統(tǒng)超級(jí)權(quán)限運(yùn)行。2.3.4Windows緩沖區(qū)溢出哈佛結(jié)構(gòu)與馮·諾依曼處理器相