Transcript 09-a
作業系統安全 (Operating System Security) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 本章內容 4.1 4.2 4.3 4.4 4.5 4.6 4.7 前言 電腦作業系統的安全威脅 電腦病毒 軟體方面的安全漏洞 作業系統的安全模式 存取控制方法 Linux系統的安全管理機制 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.1 前言 • 電腦系統內的資料若可以任由他人存取讀寫而 不加以管制,整個電腦系統就危機重重了。 • 為了保護資訊不被未經授權的使用者盜用或破 壞,可以用存取控制(Access Control)的策略及 機制來達到資訊保護的目的。 • 根據不同安全性需求,我們可以制訂安全性政 策以滿足安全性需求。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.2 電腦作業系統的安全威脅 • 非法使用者的入侵及存取 - 藉由破解通行密碼 (Password)或竊取合法使用者的登入 (Login)資料,進而存取、篡改或破壞系統內重要資料。 - 假冒合法使用者身分進行不法活動。 • 授權使用者蓄意的破壞及洩密 - 經授權的合法使用者,利用其存取權限之便,將所獲悉機 密資料洩漏出去。 - 離職員工在離職前蓄意地破壞系統或故意留下後門。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦作業系統的安全威脅 • 惡意的軟體 - 電腦病毒 (Computer Viruses)、特洛伊木馬 (Trojan Horses)、電腦寄生蟲 (Computer Worms)以及後門程式 (Trapdoor)等等。 - 惡意程式可藉由電子郵件 (Email)、遠端執行以及其他遠 端登入 (Remote Login)等方法來進行傳播。 • 伺服器程式攻擊(Server Attack) - 因程式撰寫時的疏忽或設定錯誤,讓攻擊者有機可乘。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.3 電腦病毒 • 何謂電腦病毒(Virus)? – 小的程式(或者可以被執行的程式) – 依附在別的程式上 – 自行複製、感染、傳播、發作 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦病毒的類型 啟動磁區型病毒(BOOT) 可執行檔病毒 -亦稱為檔案型病毒又可區分為「常駐型」及「非 常駐型」二種 巨集病毒 - 如 Word 或者 Excel 的 VBA 巨集 電腦寄生蟲 - 複製、傳播病毒(阻斷服務)、不會破壞系統 特洛依木馬 - 將一段程式碼偷藏在普通程式、不會複製 邏輯炸彈 - 一旦條件吻合就執行特洛依木馬上偷藏之程式碼 暗門 薩拉米香腸(聚沙成塔) © The McGraw-Hill Companies, Inc., 2005 電腦中毒的症狀 作業系統安全 • 原本執行正常的程式或檔案,現在卻無法正常地被執 行,或者是系統無緣無故發生當機的次數越來越多。 • 電腦的執行速度或資料讀取的速度突然變慢。 • 上網連線的速度變慢或者根本連不出去。 • 電腦使用中不斷出現無聊的對話方塊或是動畫音樂, 且關也關不掉。 • 硬碟中的檔案被刪除或變更,甚至整個硬碟被重新格 式化。 • 不斷收到奇怪主題的電子郵件,且數量急遽增加。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦病毒的生命週期 創造期 孕育期 潛伏期 發病期 根除期 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 病毒碼原理 病毒碼是一病毒的特徵,就如同是病毒的 指紋一般,可用它來偵測病毒並辨別出是 哪一種病毒。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 預防電腦病毒的方法 安裝防毒軟體 定期更新病毒碼 不任意執行電子郵件中所夾帶的檔案 盡量使用硬碟開機 不隨意執行有包含巨集的檔案 不下載或使用來路不明的檔案 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.4 軟體方面的安全漏洞 溢位攻擊 (ref. my own experiences) - 編譯程式沒有對記憶體空間的使用進行限制及檢查。 競爭條件 (reservation system crash down) - 在多工環境下,多個執行程式同時競爭一個資源。 亂數值的預測 - 被選定的亂數值必須是不可被預知的; Pseudo-random number generator 所產生的亂數,其結果是可以被預知 的。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.5 作業系統的安全模式 任意性安全模式(Discretionary Access Control, DAC) 強制性安全模式(Mandatory Access Control, MAC) 以角色為基礎的安全模式(Role-based Access Control,RBAC) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.5.1 任意性安全模式 使用者對自己所擁有的檔案及 其他週邊設備資源,可自行決 定是否提供或授權其他人來存 取。 (利用存取控制矩陣及群組是常被 使用到的解決方法)。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦作業系統安全性策略 • 安全性管理政策 – 集中式安全管理或分散式安全管理 © The McGraw-Hill Companies, Inc., 2005 電腦作業系統安全性策略 作業系統安全 • 存取控制政策 – 決定某些人對某些資源具有哪些存取權力 需要才給之存取權限安全政策(白名單) 最大分享安全政策 (黑名單) 存取權限種類,可讀、可寫、可執行、可刪除及 可列印等,需界定是否有階層式的關係 上下文相關存取控制,如員工編號及薪資檔案和 員工編號及姓名檔案組合起來就可洩漏薪資資訊 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦作業系統安全性策略 • 控制資料流向政策 – 是否允許將存取控制權力或資料檔案的存 取權限授權給他人 任意性(允許授權方式) 強制性- (不允許授權方式) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 電腦作業系統安全性策略 • 執行安全性控制政策 – 預防式,盡可能制訂安全性政策,避 免發生安全漏洞 – 偵測式,發生安全事件後緊急的應變 措施 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 任意性安全模式三個基本要素 •主件(Subject) 具有執行能力之程式、使用者及處理等等 •物件(Object) 電腦系統內之資源 如檔案、記憶體以及印表機等等 •存取類型(Access Type)或存取權(Access Right) 主件對物件存取之權限 如讀取、寫入及執行等等 三維存取法則: F:S×O×A=(True, False) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 存取法則範例 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 存取控制處理 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 簡易存取控制矩陣 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.5.2 強制性安全模型 • 用於對資料安全有強烈要求的系統,由系統 管理者統一指定使用者對資源之權限存取策 略。(利用階層式的存取控制是常被使用到的 解決方法)。 • 系統中的每個主件(Subject)(例如使用者、程 式等)都有一個使用者存取等級, 稱為許可 證(Clearance); • 系統內的每種物件(Object)(例如檔案、記憶 體等)都有一個機密等級,稱為等級分類 (Classification)。 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 強制型安全策略 強制性安全等級 強制性安全種類 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 強制型安全策略 完全順序階級 (Totally-Ordered Hierarchy): 極機密>機密>密>一般 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 強制型安全策略 P表 部分集合 敏感標籤=安全等級×P(安全種類) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 強制型安全策略 部分順序階級 (Partially-Order Hierarchy) C 表 Class © The McGraw-Hill Companies, Inc., 2005 強制型安全策略 作業系統安全 The Bell-Lapadula (貝爾-拉帕杜拉) Model • 美國空軍贊助MITRE公司所發展 • 主件(Subject)、物件(Object)、存取權 • 每個主件都有許可證(Clearance)、物件都有分 類等級(Classification)、統稱二者為安全等級。 •存取權:唯讀(Read-Only) 附加(Append) 執行(Execute) 讀寫(Read-Write) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 基本特性 • 簡易安全特性 (Simple Security Property): 主件(使用者)不能讀取安全 等級比自己高之物件。(No Read Up) • 星星安全特性 (Star Security Property): 主件(使用者)不能寫入資料 到安全等級比自己低之物件。 (No Write Down) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.5.3 以角色為基礎的安全模式 • 基本元件包含使用者 (Users)、角色 (Roles)及 授權 (Permissions)。 • 每一個人可能同時被授予多個角色,每一個 角色依據其工作的權責也可能由多個人來擔 任,並且授予每一個角色用來完成其任務所 需的權限。(參見 次頁圖示) • 可闡述(使用者 - 角色)、(角色 - 授權 資源)及(角色 - 角色)之間的關係 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 以角色為基礎的存取控制模型 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 RBAC模型之關係圖 權限可繼承 角色間 設限 • 最小特權(Least Privilege): 若組織新增一角色,管理者只需授與此一角色能夠完成此 一任務所需的存取權限即可,不需要給予多餘的特權。 • 授權分工(Separation of Duties): 將許多任務拆解成許多個子任務(Subtasks)再指派給某一特 定的角色分別來執行, © The McGraw-Hill Companies, Inc., 2005 作業系統安全 4.6 存取控制方法 存取控制之系統架構圖 © The McGraw-Hill Companies, Inc., 2005 作業系統安全 簡易存取控制矩陣範例 主件 O1 物件 O2 O3 O4 S1 S2 S3 S4 4 2 1 2 4 1 3 1 0 3 4 0 1 0 1 4 O5 0 2 4 3 0: 不可存取(No access) 1: 可執行(Execute) 2: 可讀取(Read) 3: 可寫入(Write) 4: 擁有者(Owner) © The McGraw-Hill Companies, Inc., 2005 作業系統安全 存取串列法範例 O1 S1 4 S2 2 S3 1 S4 2 End O2 S1 4 S2 1 S3 3 S4 1 End O3 S2 3 S3 4 End O4 S1 1 S3 1 S4 4 End O5 S2 2 S3 4 S4 3 End © The McGraw-Hill Companies, Inc., 2005