操作系统保护与安全课件

操作系统保护与安全第一章操作系统安全基础概述操作系统安全的重要性操作系统作为计算机系统的核心软件,承载着管理硬件资源、提供服务接口、保障系统稳5定运行的重要职责操作系统的安全性直接决定了整个计算机系统的安全水平,一旦操作系统遭受攻击或出现安全漏洞,所有运行在其上的应用程序和数据都将面临严重威胁安全等级我国制定的国家标准《信息安全技术操作系统安全技术要求GB/T20272-2019》明确定义了操作系统安全的五个等级,从基本安全保护到最高级别的结构化保护,为不同安全需GB/T20272-2019定义求场景提供了规范化的安全指导框架这一标准体系对于提升国家信息安全保障能力具有重要战略意义100%核心地位操作系统安全的定义与目标满足安全策略用户可控性具备完善的安全机制和功能模块,能够确保用户能够理解系统安全机制、根有效抵御来自网络空间的各类安全威据需求修改安全配置、实时检测安全胁和攻击行为状态、及时修复安全问题、全面保护系统资源防止利益绑架操作系统安全需求全景12标识与鉴别访问控制为每个用户和进程分配唯一身份标识符,通过多因素认证机制验证身份合法建立完善的权限管理体系,防止未经授权的非法访问、数据窃取、信息篡改性,有效防止身份伪造和冒用攻击和资源破坏行为34系统资源安全网络安全全面保障数据的完整性、保密性和可用性,确保系统资源在存储、传输和处实施网络访问控制策略,加密网络通信数据,防范网络层面的攻击和窃听行为理过程中的安全性56抗攻击能力自身安全部署恶意代码防御机制,建立系统行为监控体系,及时发现和阻断各类攻击行为操作系统安全架构现代操作系统采用多层次、纵深防御的安全架构设计理念从底层硬件安全机制到上层应用安全策略,每一层都部署了相应的安全控制措施硬件层提供基础的存储保护和执行隔离,内核层实现访问控制和安全审计,应用层则通过沙箱机制和权限管理保障应用安全第二章操作系统安全机制详解硬件安全机制硬件层安全基础硬件安全机制是操作系统安全的根基,提供了最底层的安全保障硬件可靠性通过冗余设计、错误检测和纠正机制确保系统稳定运行存储保护机制利用内存管理单元MMU实现进程间的内存隔离,防止非法内存访问存储保护:基于分段和分页的内存隔离技术I/O保护:特权指令控制外设访问权限CPU安全:执行环保护和特权级别管理物理环境安全标识与鉴别机制唯一标识分配身份认证流程认证技术体系为每个用户和进程分配全局唯一的标识符,建通过多种认证方式验证用户身份的真实性和合集成密码认证、Kerberos协议、公钥证书等立可追溯的身份体系法性多种认证技术密码认证认证公钥证书Kerberos最基础的认证方式,通过哈希算法和盐值技术基于票据的网络认证协议,实现单点登录和安保护密码安全全的分布式认证访问控制机制自主访问控制DAC资源所有者自主决定访问权限,灵活但可能存在权限传播风险主体可以将自己拥有的资源访问权限授予其他主体,适用于大多数商业操作系统强制访问控制MAC系统根据预定义的安全策略强制执行访问控制,安全性更高主体和客体都被赋予安全标签,系统根据安全策略自动决定访问权限,防止信息泄露访问控制列表基于角色的访问控制ACL RBAC为每个资源维护一个访问权限列表,明确指定哪些用户或组可以执行哪些操作,提供细粒度的权限管理最小特权管理最小特权原则最小特权原则是信息安全的基本原则之一,要求系统只授予用户和进程执行其任务所必需的最小权限集合,避免权限过度分配导致的安全风险这一原则有效限制了安全事件的影响范围即使某个账户或进程被攻击者控制,攻击者也只能获得有限的权限,无法对整个系统造成灾难性破坏超级用户权限风险可信路径1安全通信通道建立用户与系统之间不可被截获或篡改的通信路径2防止登录窃取确保登录过程的真实性,防止伪造的登录界面窃取用户凭证3可信输入机制通过特殊键序列如Ctrl+Alt+Del触发可信登录界面防止特洛伊木马攻击可信路径机制有效防范特洛伊木马攻击攻击者可能创建一个看起来与真实登录界面完全相同的伪造界面来窃取用户密码通过可信路径机制,用户可以确认当前的登录界面是由操作系统内核直接提供的,而不是某个恶意程序伪造的安全审计机制审计的核心作用安全审计是操作系统安全的重要组成部分,通过记录、检查和审核系统中的安全相关活动,实现对系统行为的全面监控和事后追溯01事件记录捕获并记录所有安全相关的系统事件和用户操作02行为分析分析审计日志,识别异常行为模式和潜在安全威胁03违规追踪完善的审计机制应包括审计策略配置、审计数据采集、审计日志存储、审计报告生成等功能模块审计数据必须得到妥善保护,防止被篡改或删除,确保审计证据的完整性和可信度追溯违规操作的来源和影响,为安全事件调查提供证据04故障确认通过审计日志分析确认安全故障的原因和责任系统安全增强技术安全加固策略安全加固是通过优化系统配置、增加安全组件、修补安全漏洞等手段提升操作系统安全性的过程加固措施包括关闭不必要的服务、限制网络访问、加强身份认证、部署安全监控等多个方面防火墙入侵检测网络层面的访问控制机制,过滤进出流量,阻断恶意连接和攻击实时监控系统活动,识别和响应可疑行为和攻击模式地址空间随机化数据执行保护ASLR DEP随机化内存地址布局,增加攻击者利用漏洞的难度防止代码在数据区域执行,有效抵御缓冲区溢出攻击操作系统安全技术全景容灾备份可信计算硬件级别的数据冗余和灾难恢复机制基于硬件信任根的完整性度量和可信启动安全沙箱加密技术隔离运行环境,限制应用程序权限数据加密存储和传输,保护信息机密性攻击欺骗安全补丁蜜罐系统诱导攻击者,收集攻击情报及时修复系统漏洞,消除已知安全风险这些安全技术相互配合,构成了操作系统纵深防御体系从硬件到软件,从预防到检测,从隔离到恢复,全方位保障系统安全安全机制技术栈现代操作系统的安全防护体系呈现出多层次、多维度的技术融合特征底层硬件提供可信执行环境和安全启动能力,内核层实施强制访问控制和内存保护,中间层部署入侵检测和行为监控,应用层则通过沙箱隔离和权限管理保障应用安全纵深防御协同联动持续演进多层安全机制形成防御深各层安全机制相互配合,实随着攻击技术发展,安全度,单点突破不会导致全现威胁信息共享和协同响机制不断更新和增强局失陷应第三章主流操作系统安全分析深入分析Windows、Linux和Android等主流操作系统的安全架构、机制实现和防护特点操作系统安全架构Windows硬件抽象层HAL屏蔽硬件差异,提供统一的硬件访问接口内核层实现核心系统功能和安全机制,包括进程管理和内存管理系统服务层提供高层系统服务和安全子系统功能安全子系统Windows本地安全授权安全账户管理安全参考监视器LSA SAMSRM管理本地安全策略,处理用户身份认证和访问令牌存储用户账户信息和密码哈希,管理本地用户数据库强制执行访问控制策略,验证访问权限生成认证与访问控制Windows认证机制访问控制体系Windows采用基于对象的访问控制模型每个安全对象文件、注册表项、进程等都有一个安本地认证全描述符,包含所有者信息和访问控制列表基于SAM数据库的本地用户身份验证访问控制列表类型网络认证DACL自主访问控制列表:指定允许或拒绝特定用户访问对象SACL系统访问控制列表:指定需要审计的访问操作支持Kerberos V

5、NTLM和公钥证书多种协议当用户尝试访问对象时,安全参考监视器将用户的访问令牌与对象的安全描述符进行比对,决定是否允许访问安全日志与审计Windows系统日志应用程序日志安全日志记录系统组件产生的事件,包括服务启动失记录应用程序产生的事件,由应用程序开发记录安全相关事件,如登录尝试、权限更败、驱动加载问题等系统级事件者决定记录哪些事件改、对象访问等,是安全审计的关键数据源日志文件存储位置C:\Windows\System32\winevt\Logs\-System.evtx系统日志-Application.evtx应用程序日志-Security.evtx安全日志安全日志默认只有管理员可以访问,确保审计数据的安全性管理员需要配置审计策略来指定哪些事件应该被记录,平衡安全需求和性能影响防火墙与协议过滤Windows包过滤机制内置防火墙功能Windows防火墙基于包过滤技术,检查•状态检测防火墙,跟踪连接状态每个网络数据包的源地址、目标地址、•出站和入站流量双向过滤端口号和协议类型,根据预定义的规则决•应用程序级别的访问控制定是否允许数据包通过•IPsec集成,支持加密通信防火墙规则可以针对不同的网络配置文•高级安全规则配置件域网络、专用网络、公用网络分别设置,在不同的网络环境中应用相应的安全通过Windows Defender防火墙高级策略安全配置,管理员可以创建细粒度的安全规则,实现精确的网络访问控制抗攻击机制Windows堆栈保护Stack Protection通过栈金丝雀Stack Canary检测缓冲区溢出攻击SafeSEH安全异常处理机制,防止SEH链被恶意利用数据执行保护DEP标记数据页为不可执行,阻止代码注入攻击地址空间随机化ASLR随机化进程内存布局,增加攻击难度PatchGuard内核补丁保护,防止内核被非法修改6驱动签名强制驱动程序数字签名,防止恶意驱动加载Windows10及更高版本还引入了减少攻击面功能,包括受控文件夹访问、攻击面减少规则等,进一步提升系统抗攻击能力操作系统安全架构与机制Linux用户权限模型Linux采用基于用户和组的权限管理模型每个文件和目录都有所有者、所属组以及针对所有者、组成员和其他用户的读、写、执行权限通过chmod、chown等命令可以灵活配置权限特殊权限位SUID:以文件所有者身份执行SGID:以文件所属组身份执行Sticky Bit:限制删除权限内核安全模块SELinux AppArmor安全增强型Linux,实现强制访问控制MAC,为应用程序安全框架,通过配置文件定义应用程序Linux安全模块LSM框架允许不同的安全模块进程和文件提供安全上下文标签,根据安全策略的访问权限,限制应用程序的行为接入内核,提供灵活的安全增强机制严格控制访问安卓操作系统安全框架010203应用沙箱机制权限管理系统安全更新机制每个应用运行在独立的进程中,拥有唯一的用户ID,与应用必须在清单文件中声明所需权限,用户授予后才Google定期发布安全补丁,修复系统漏洞Project其他应用隔离,防止恶意应用访问其他应用数据能访问敏感资源Android

6.0后引入运行时权限,Treble架构简化了更新流程,提高更新效率用户可动态控制权限与安全风险Root安全建议:普通用户应避免Root设备,保持系统完整Root权限是Android系统的超级管理员权限,拥有完全的系统控制能力虽然Root可以解锁更性和安全性多功能,但也会破坏Android的安全沙箱机制,使设备面临恶意软件攻击、数据泄露等严重安全风险Root后的设备无法通过SafetyNet认证,许多银行和支付应用将拒绝运行主流操作系统内核漏洞与攻防缓冲区溢出Use-After-Free向缓冲区写入超出其容量的数据,覆盖相邻内存区域,可能导致代码执行访问已释放的内存,可能导致任意代码执行1234权限提升条件竞争利用内核漏洞突破权限限制,获得系统最高权限利用多线程执行时序问题,绕过安全检查漏洞利用与防御攻击技术演进防御技术发展攻击者不断开发新的漏洞利用技术,如ROPReturn-Oriented Programming、JIT-Spray等,绕操作系统厂商持续增强防护能力,包括控制流完整性CFI、内核地址空间隔离KPTI、内核ASLR等技过现有防护机制内核漏洞利用通常结合多个技术,形成完整的攻击链术及时安装安全补丁是防御已知漏洞的最有效方法与安全架构对比Windows Linux维度Windows Linux访问控制ACL为主的自主访问控制,支持强制完整性控制MIC传统权限+SELinux/AppArmor强制访问控制认证机制SAM/Active Directory,支持Kerberos、NTLM PAM可插拔认证模块,灵活的认证框架审计系统事件日志服务,集中管理syslog/auditd,灵活的日志架构内核保护PatchGuard、驱动签名、HVCI内核模块签名、Lockdown模式开源性闭源,安全依赖厂商更新开源,社区广泛参与安全审计两个系统各有优势:Windows提供统一的管理界面和企业级集成,Linux则提供更高的灵活性和透明度第四章操作系统安全防护与增强实战掌握Windows和Linux系统的安全加固实践方法,构建坚固的安全防线系统安全增强步骤Windows1最小化安装仅安装必需的系统组件和服务,减少攻击面禁用不必要的Windows功能和服务,如Telnet、FTP服务器等2关闭不必要服务审查并禁用不需要的系统服务,如远程注册表、打印机共享等,降低被攻击的风险3安装安全补丁启用Windows Update自动更新,及时安装最新的安全补丁和更新包,修复已知漏洞4配置安全策略使用本地安全策略或组策略配置密码策略、账户锁定策略、审计策略、用户权限分配等安全设置5账户安全管理禁用Guest账户,重命名Administrator账户,使用强密码,实施最小权限原则,定期审查账户权限6文件系统加密使用BitLocker加密系统分区和数据分区,保护静态数据安全使用EFS加密敏感文件7配置防火墙启用Windows Defender防火墙,配置入站和出站规则,阻止不必要的网络连接,允许必需的服务访问系统安全加固实践Linux1用户权限与组管理创建普通用户账户,禁用root直接登录,使用sudo提升权限定期审查用户列表和权限分配2配置SELinux/AppArmor启用并正确配置强制访问控制系统,定义安全策略,限制进程和文件访问安全加固SSH3安全审计与日志分析•禁用root远程登录•使用密钥认证替代密码配置auditd审计系统,记录安全相关事件使用logwatch、fail2ban等工具分析日志,检测异常行为•修改默认端口•限制登录IP地址4系统补丁与安全工具•启用fail2ban防暴力破解配置自动更新,及时安装安全补丁部署防火墙iptables/firewalld、文件系统安全入侵检测系统AIDE、Tripwire等安全工具设置正确的文件权限,使用ACL进行细粒度控制,定期检查SUID/SGID文件,监控文件完整性总结与展望1安全基石2持续演进3理论实践结合操作系统安全是整个信息安全体系的基面对不断涌现的新型攻击技术,操作系统掌握安全理论知识的同时,必须注重实践础,直接关系到数据保护、业务连续性和安全机制必须持续更新和完善,保持技术技能培养,在实际环境中构建和维护可信国家安全领先优势安全系统未来发展趋势虚拟化安全可信计算自动化防护随着云计算普及,虚拟机安全、容器安全成为基于硬件的可信根,构建完整的信任链,实现系利用人工智能和机器学习技术,实现智能威胁新的关注重点统可信启动和运行时完整性保护检测和自动化安全响应操作系统安全是一个持续发展的领域,需要我们不断学习、实践和创新,为构建安全可信的数字世界贡献力量。