《操作系统的安全性》PPT课件

第九章操作系统的安全性,本章学习目标通过本章的学习，读者应掌握以下内容：计算机系统安全性的内涵操作系统的安全性功能操作系统的安全机制安全操作系统的开发,1,教学内容9.1操作系统安全性概述9.2操作系统的安全机制小结,9.1操作系统安全性概述,9.1.1计算机系统安全性的内涵1对计算机系统安全性的威胁（1）自然灾害。（2）计算机系统自身的软硬件故障。（3）合法用户使用不当。（4）非法用户对计算机系统的攻击。,3,2计算机系统安全性的内涵（1）保密性。指系统不受外界破坏、无泄露、对各种非法进入和信息窃取具有防范能力。只有授权用户才能存取系统的资源和信息。（2）完整性。指信息必须按照其原型保存，不能被有意或无意地修改，只有授权用户才能修改（对软件或数据未经授权的修改都可能导致系统的致命错误）。完整性分为软件完整性和数据完整性。（3）可用性。指对合法用户而言，无论何时，只要需要，信息必须是可用的，授权用户的合法请求，能准确及时地得到服务或响应，不能对合法授权用户的存取权限进行额外的限制。,4,9.1.2操作系统的安全性,（1）有选择的访问控制有选择的访问控制包括使用多种不同的方式来限制计算机环境下对特定对象的访问，对计算机级的访问可以通过用户名和密码组合及物理限制来控制，对目录或文件级的访问则可以由用户和组策略来控制。（2）内存管理与对象重用在复杂的虚拟内存管理器出现之前，将含有机密信息的内容保存在内存中风险很大。,5,系统中的内存管理器必须能够隔离开每个不同进程所使用的内存。在进程终止且内存将被重用之前，必须在再次访问它之前，将其中的内容清空。（3）审计能力审计功能至少包括可配置的事件跟踪能力、事件浏览和报表功能、审计事件、审计日志访问等。（4）加密的数据传送数据传送加密保证了在网络传送时所截获的信息不能被未经身份认证代理所访问。,6,（5）加密的文件系统对文件系统加密保证了数据只能被具有正确选择访问权的用户所访问。（6）安全的进程间通信机制进程间通信也是给系统安全带来威胁的一个主要因素，应对进程间的通信机制做一些必要的安全检查，禁止高安全等级进程通过进程间通信的方式传递信息给低安全等级进程。,7,9.1.3计算机系统安全性评价标准,为了能有效地以工业化方式构造可信任的安全产品，必须建立对该产品进行安全性评价的标准。1TCSEC标准美国国防部在20世纪80年代中期制定了一组计算机系统安全需求标准，共包括20多个文件，每个文件分别使用不同的颜色的封面，统称为“彩虹系列”。其中最核心的是具有橙色封面的“可信任计算机系统评价标准（TCSECTrustedComputerSystemEvaluationCriteria）”，称为“橙皮书”。TCSEC将计算机系统的安全程度分成D、C、B、A四等，每等又包含一个或多个级别。共包括8个安全级别：D、C1、C2、B1、B2、B3、A1、A1，这8个级别渐次增强。,8,2CC标准1991年，在欧洲共同体的赞助下，英、德、法、荷四国制定了拟为欧共体成员国使用的共同标准信息技术安全评定标准（ITSEC）。随着各种标准的推出和安全技术产品的发展，迫切需要制定一个统一的国际标准。美国和同加拿大及欧共体国家一起制定了一个共同的标准，于1999年7月通过国际标准组织认可，确立为国际标准，简称为CCInformationTechnologySecurityEvaluationCommonCriteria。CC本身由两个部分组成，一部分是一组信息技术产品的安全功能需要定义，另一部分是对安全保证需求的定义。,9,3计算机信息系统安全保护等级划分准则中国于1999年颁布的计算机信息系统安全保护等级划分准则（GB17859-1999），将计算机信息系统安全程度划分为以下五个等级：第1级为用户自主保护级。第2级为系统审计保护级。第3级为安全标记保护级。第4级为结构化保护级。第5级为安全域级保护级。,10,9.2操作系统的安全机制,操作系统的安全机制的功能是防止非法用户登录计算机系统，防止合法用户非法使用计算机系统资源，以及加密在网络上传输的信息，防止外来的恶意攻击。总之是防止对计算机系统本地资源和网络资源的非法访问。,11,9.2.1内存保护机制,在多道程序中，一个重要的问题是防止一道程序在存储和运行时影响到其他程序。操作系统可以在硬件中有效使用硬保护机制进行存储器的安全保护，现在比较常用的有界址、界限寄存器、重定位、特征位、分段、分页和段页式机制等。,12,9.2.2用户身份认证机制,1口令口令是计算机系统和用户双方都知道的某个关键字，相当于是一个约定的编码单词或“暗号”。它一般有字母、数字和其他符号组成，在不同的系统中，其长度和格式也可能不同（例如大小写是否敏感等）。口令的产生既可以由系统自动产生，也可以由用户自己选择。,13,2口令使用的安全性用户在设置和使用口令时要注意以下问题：（1）口令要尽可能长。（2）多用混合型的口令。（3）不要用自己或家人的生日、姓名、常用单词等做口令。（4）经常更换口令。（5）设置错误口令注册次数。（6）用户在使用系统前，要确认系统的合法性，以免被骗取口令。,14,3系统口令表的安全性（1）限制明文系统口令表的存取（2）加密口令文件4物理鉴定检查用户是否有某些特定的“证件”如磁卡或IC卡。测量那些难以伪造的特征如终端上的指纹或者声波波纹读取机可验证用户身份，还可直接用视觉辨认。,15,9.2.3访问控制技术,1保护域域是对的集合，每个对标记了一个对象和一个可执行操作的子集。例如域D有存取权限，那么，在域D中运行的进程对文件F既可以读，也可以写；如果不在域D中的进程，那只能对文件F执行其他的操作。多个域可以是有交集的，它们可以共享相同的存取权限。如图7-1所示,有三个域D1、D2、D3，存取权限由域D2和D3共享，这意味着一个进程只要运行在域D2或D3中，都可以打印对象f4。虽然在图中没有标出，但一个对象可以在多个域中出现，并且权限在不同域中也可以不同。（图中，R代表读，W代表写，X代表执行，P代表打印，下同。）,16,图9-1三个保护域,17,域可以有以下几种实现方式：（1）每一个用户可以是一个域。在这种情形下，可以存取的对象及其权限取决于用户的身份，当一个用户注销而另一用户登录时，就进行域的切换。（2）每一个进程可以是一个域。此时，可以存取的对象及其权限取决于进程的标志，当一个进程向另一个进程发送消息，并等待回应时，就进行域的切换。（3）每一个过程也可以是一个域。此时，可以存取的对象及其权限取决于过程内定义的局部变量，当进行过程调用时，就进行域的切换。,18,2存取矩阵,矩阵的行表示域，列表示对象，矩阵内的每一项表示存取权限的集合。如表9-1所示，给定该矩阵及当前域号，系统可以给出是否能从该指定域中按特定方式访问某对象。,19,3存取矩阵的实现,（1）存取控制表将存取矩阵按列存放，这样每个对象被赋予一张排序的列表，其中列出了可以访问该对象的全部域以及怎样访问，这张表就称为存取控制表（AccessControlList），简称为ACL。（2）访问权限表将存取矩阵按行存放，这样每个域都赋予一张在该域内可能访问的对象表以及每个对象允许进行的操作，该表就称为访问权限表,其中的每一项叫做权限。,20,21,9.2.4加密技术,数据加密的模型基本上由以下四部分构成：（1）明文。需要被加密的文本，称为明文P。（2）密文。加密后的文本，称为密文Y。（3）加密、解密算法E、D。用于实现从明文到密文，或从密文到明文的转换公式、规则或程序。（4）密钥K。密钥是加密和解密算法中的关键参数。加密过程可描述为：明文P在发送方经加密算法E变成密文Y。接收方通过密钥K，将密文转换为明文P。加密具体有很多种实现方法，如简单的易位法、置换法、对称加密算法和非对称加密算法等。,22,9.2.5病毒及其防御机制,1计算机病毒概述计算机病毒是一种可传染其他程序的程序，它通过修改其它进程使之成为含有病毒的版本或可能的演化版本。病毒可经过计算机系统或计算机网络进行传播。一旦病毒进入了某个程序，就将影响该程序的运行，并且这个受感染的程序可以作为传染源，继续感染其它的程序，甚至对系统的安全性造成威胁。,23,计算机病毒大致由三部分构成：引导模块：负责将病毒引导到内存，对相应的存储空间实施保护，以防止其它程序覆盖，并且修改一些必要的参数，为激活病毒做准备工作。传染模块：主要负责将病毒传染给其它计算机程序，它是整个病毒程序的核心，由两部分构成：一部分判断是否具备传染条件，一部分具体实施传染。发作模块：主要包括两部分，一部分负责病毒触发条件的判断，另一部分负责病毒危害的实施。,24,2病毒防御机制病毒防御措施通常将系统的存取控制、实体保护等安全机制结合起来，通过专门的防御程序模块为计算机建立病毒的免疫系统和报警系统。防御的重点在操作系统敏感的数据结构、文件系统数据存储结构和I/O设备驱动结构上。这些敏感的数据结构包括：系统进程表、关键缓冲区、共享数据段、系统记录、中断向量表和指针表等。很多病毒试图修改甚至删除其中的数据和记录，这样会使得系统运行出错。针对病毒的各种攻击，病毒防御机制可采取存储映像、数据备份、修改许可、区域保护、动态检疫等方式来保护敏感数据结构。,25,9.2.6监控和审计日志,1监控监控可以检测和发现那些可能的违反系统安全的活动。例如，在分时系统中，记录一个用户登录时输入的不正确的口令的次数，当超过一定的数量时，那就表示有人在猜测口令，可能就是非法的用户。这是一种实时的监控活动。另一种监控活动是周期性的对系统进行全面的扫描。这种扫描一般在系统比较空闲的时间段内进行，这样就不会影响系统的工作效率。可以对系统的各个方面进行扫描：,26,2审计日志日志文件是安全系统的一个重要组成部分，它记录计算机系统所发生的情况：何时由谁做了一件什么样的事，结果如何，等等。日志文件可以帮助用户更容易跟踪间发性问题或一些非法侵袭，可以利用它综合各方面的信息，去发现故障的原因、侵入的来源以及系统被破坏的范围。对于那些不可避免的事故，也至少对事故有一个记录。,27,小结,操作系统的安全功能就是为数据处理系统从技术和管理上采取安全保护措施，以保护计算机硬件、软件和数据不因偶然的因素或恶意的攻击而遭到破坏，使计算机系统能够安全运行。操作系统的安全机制有很多，而且针对特别的计算机安全问题有专门的保护机制，如内存保护机制、文件保护机制。目前最常用的用户身份认证机制是口令。存取控制通常通过以单实体或单用户为基础的