软件系统安全——操作系统安全技术初步

操作系统安全设计

第一章、操作系统安全技术初步

第1讲、系统安全引言

互联网漏洞

用户信息泄密、伊朗核反应堆受到APT攻击、乌克兰电力受到APT攻击、openSSL心脏出血漏洞、JAVA反序列化漏洞、O2O软件漏洞众多、Weblogic弱口令漏洞、openBSD被植入后门、镜像网站中的镜像被植入后门、FBI与苹果手机之间的纷争、duqu2.0入侵卡巴斯基、局域网中财产损失、物联网入侵、甚至黑客可以入侵到医学器械中。

漏洞无处不在、2015年360分析互联网领域漏洞最多、政府领域漏洞最少；政府领域漏洞修补率最高、医疗领域漏洞修补率最低

---

为什么会有这么多漏洞和安全问题

技术层面

1、软硬件本身的安全问题以及配置的安全问题

2、安全是有代价的：性能开销（30%？）、成本、人机交互。

管理层面

1、管理人员缺乏安全意识：侥幸心理、利益优先、保护少。

2、对安全方面的人才投入不足

3、缺少安全响应机制、监管体系缺乏安全问责机制。

---

安全形势越来越严峻

安全已经成为国家重点关注

2017年6月1日执行网络安全法、2019年12月等级保护3.0

企业也越来越重视

阿里巴巴收购知名安全公司瀚海源、腾讯投资创宇 联手启明星辰推企业安全产品、百度收购安全宝公司

---

什么是安全

定义

1、Prevent access by unauthorized users
2、A computer is secure if you can depend on it and its software to behave as expected

允许按照预期的方式使用系统、防止可能造成危害的非预期使用

基本安全属性

1、机密性：信息只能被泄露给被授权的人或系统

2、信息完整性：系统信息不能被非授权人或系统篡改

3、易用性：被授权的人或系统可以随时使用系统提供的服务

4、非否认性：操作有日志记录

---

第2讲、操作系统安全保护需求及安全设计原则

操作系统的安全职责

1、对于硬件平台安全机制的管理：利用硬件的安全机制为进程(task)提供隔离的运行环境

2、操作系统本身提供的安全机制：提供对自身功能以及数据的保护。

3、提供给操作系统使用管理员的安全机制：提供给系统管理员安全管理的配置工具以及策略部署工具。

4、提供给上层应用、用户的安全机制：提供可控的共享运行环境、提供系统级的安全服务接口。

系统安全设计原则

1、安全是有成本的：安全设计需要考虑成本。

2、最小特权：尽可能给程序、人员最小的使用权限。

3、使用缺省拒绝的策略：缺省拒绝！使用再开！

4、职责分离：权限分离。

5、深度防御：多层防护。

6、用户愿意接受的安全

7、提供严格或者合理的人机交互提示判断，考虑社会工程。

8、完全仲裁：考虑全面空间、时间，多种情况、逻辑分支。

9、当安全威胁改变时，安全要从头设计

系统安全威胁的类型

1、假冒（Masquerading）：身份攻击。

2、数据截取（Date Interception）：窃听。

3、拒绝服务（Denial of Server）：资源耗尽。

4、修改（Modification）：在程序中植入恶意代码。

5、伪造（Fabrication）：签名证书。

6、否认（Repudation）：擦除痕迹。

7、中断（Interruption）：断点、断网。

8、通信量分析（Traffic Analysis）：行为模式分析。

---

第3讲、操作系统安全机制

标识与鉴别

要解决的问题

能够鉴定与区别与系统交互的用户身份。用户执行的进程权限要继承用户的权限。

基本概念

用户标识符：表示用户身份，确保用户的唯一性和可辨识性的标志。

用户标识：指系统要表示用户的身份，为用户确定一个可标识的内部名称。

用户鉴别：将用户与用户标识符联系起来，鉴别用户的真实身份。

用户鉴别数据：用户鉴别所需的信息。

用户属性：用户的许可证、安全特性等。

访问控制

要解决的问题

防止对系统资源进行未授权的访问。限制已授权用户、程序、进程或网络中其他系统访问本系统资源的过程。

基本概念

主体(Subject)：发起操作的活动实体：用户、进程、虚拟机。

客体(Object)：将被执行操作的被动实体：文件、进程。

权限：执行的操作。

授权(Authorization)：确定主体是否有执行某操作的权限。

访问控制策略：规定访问控制的安全原则。

主体属性：用户可被作为访问控制决策因素的属性。

客体属性：属主。