第四章计算机系统安全

1、计算机系统安全第4章 计算机系统安全 4.1 计算机系统安全概念 4.2 计算机硬件安全（重点）（重点） 4.3 操作系统安全4.1 计算机系统安全概念 什么是计算机安全 主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。4.1 计算机系统安全概念计算机系统安全技术（1）实体硬件安全 （2）软件系统安全（3）数据信息安全（4）网络站点安全 （5）运行服务安全 （6）病毒防治技术（7）防火墙技术 （8）计算机应用系统的安全评价4.1 计算机系统安全概念类别名称主 要 特 征A可验证的安全设计形式化的最高级描述和验证，

2、形式化的隐秘通道分析，非形式化的代码一致性证明B3安全域机制安全内核，高抗渗透能力B2结构化安全保护设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析B1标号安全保护除了C2级别的安全需求外，增加安全策略模型、数据标号(安全和属性)、托管访问控制C2受控的访问环境存取控制以用户为单位广泛地审计C1选择的安全保护有选择的存取控制，用户与数据分离，数据的保护以用户组为单位D最小保护保护措施很少，没有安全功能4.1 计算机系统安全概念 计算机系统安全技术标准(1)D级D级是最低的安全级别，拥有这

3、个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。 (2)C1级C级有两个安全子级别：C1和C2。C1级，又称选择性安全保护（discretionary security protection）系统，它描述了一种典型的用在Unix系统上的安全级别。这种级别的系统对硬件有某种程度的保护：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 4.1 计算机系统安全概念(3)C2级除了C1级包含的特性外，C2级别应具有访问控制环境（controlled-access environment）

4、权力。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。(4)B1级B 级 中 有 三 个 级 别 ， B 1 级 即 标 志 安 全 保 护（labeled security protection），是支持多级安全（例如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。 4.1 计算机系统安全概念 (5)B2级B2级，又叫做结构保护，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。 (6)B

5、3级B3级或又称安全域级别（security domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。 4.1 计算机系统安全概念(7)A级A级或又称验证设计（verity design）是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。 4.2 计算机硬件安全 所谓故障是指造成计算机功能错误的硬件物理故障是指造成计算机功能错误的硬件物理损坏或程序错误、机械故障或人为差错。损坏或程序错误、机械故障或人为差错。若同一时间内只有一个故障，称为单故障单故障，否则称为

6、多多故障故障。一个逻辑元件或电路由于某种原因导致其不能完成应用的逻辑功能，则称这个逻辑元件或逻辑元件或电路失效电路失效。4.2 计算机硬件安全 1.计算机系统常见故障4.2 计算机硬件安全 2.计算机故障产生原因大致可分为以下几种:（1） . 集成电路本身的缺陷集成电路本身的缺陷 计算机使用的集成电路器件，常有封装不严、键合不牢、硅片裂纹、氧化层针孔等缺陷。将有缺陷的集成电路器件装到计算机上，当机器工作环境条件发生变化时，就会出现故障，造成机器出错。4.2 计算机硬件安全（2） . 静电感应使器件击穿失效静电感应使器件击穿失效 计算机的MOS器件氧化层很薄，经不起静电的冲击。实践表明，静电是造

7、成计算机损坏的主要原因静电是造成计算机损坏的主要原因，当操作人员穿尼龙或丝绸工作服、橡胶鞋走动或长时间工作时，往往会因磨擦产生静电。带静电的工作人员接触计算机或从计算机旁走过时，就会放电，使器件损坏或数据出错。4.2 计算机硬件安全（3） . 电气干扰使机器损坏或数据出错电气干扰使机器损坏或数据出错 电网电压忽高忽低、电源滤波器性能不佳、或机房电气接触不良，都会使计算机元器件击穿或使信息受到破坏。 Motorola公司对358个微处理器片子经1000小时的测试，测试结果9个失效，大都是因电气干扰电气干扰造成的。4.2 计算机硬件安全（4） . 环境条件方面的原因环境条件方面的原因 温度、湿度过

8、高过低，都会使计算机功能不正常。温温度过高度过高，会使电子器件的可靠性降低，导线变脆，还会加速磁介质及绝缘介质老化。湿度过高湿度过高，会使密封不严的元器件引起腐蚀，使电路漏电；湿度过低湿度过低，会使存储介质变形、翘曲，产生静电，造成元器件损坏。4.2 计算机硬件安全（5） . 管理不善管理不善 没有专门的计算机房、使用中又无任何保护措施、没有一定的使用管理制度、没有专人维护和管理，机器长时间放置在空气污浊、高温、高湿、强电磁场干扰的环境中，或长期放置在库房受潮、受腐蚀，或不按章办事滥用机器，随便开、关机器，使用中乱搬乱动设备，随便拔插电源，都会造成机器损坏。4.2 计算机硬件安全 3.计算机故

9、障检测前的准备（1） . 充分了解机器，熟悉机器性能充分了解机器，熟悉机器性能 对于所调试、维护的计算机的结构、功能、特点，应通过阅读资料及上机实践搞清楚，弄清什么是正常现象，什么是非正常现象。（2）. 掌握机器器件的主要参数和测试方法掌握机器器件的主要参数和测试方法 对于计算机系统中使用较多的集成电路器件，要熟悉其型号、管脚、电压、电流、清形等参数及测试方法，以便于正确判断片子的好坏。当被测组件损坏时，知道可用什么型号的组件来代替。4.2 计算机硬件安全（3）. 熟悉计算机常用的测试仪器设备及诊断检熟悉计算机常用的测试仪器设备及诊断检查程序的功能及作用查程序的功能及作用 在计算机的调试及维护

10、、维修过程中，经常用到一些测试仪器设备和诊断测试软件。对这些测试仪器设备和诊断测试软件的功能、特征、使用方法及特点要搞清楚，熟悉计算机故障信息的输出形式、测试及查错方法。4.2 计算机硬件安全（4）. 准备好一定数量板、卡部件备份，并使其准备好一定数量板、卡部件备份，并使其处于完好状态处于完好状态（5）. 认真做好故障记录认真做好故障记录 计算机的故障具有连续性、偶发性等特征。为了便于分析故障的性质，便于检测和定位，应事先认真做好故障记录，并充分利用现有的故障统计软件包，捕捉故障现场信息。对于那些时隐时现的故障，要特别注意跟踪记录。4.2 计算机硬件安全 4.计算机故障的检测原则（1）. 采取

11、先软后硬的原则采取先软后硬的原则 当机器发生故障时，应先从软件上、操作系统上来分析原因，充分利用软件来为硬件服务，而不要急于去打开机箱。（2）. 采取先外设后主机的原则采取先外设后主机的原则 当机器发生故障时，应采取先外设后主机、由大到小、逐步压缩、直到找到故障点的原则，仔细观察屏幕给出的错误信息及故障现象。4.2 计算机硬件安全（3）. 采取先电源后负载的原则采取先电源后负载的原则（4）. 采取先一般后特殊的原则采取先一般后特殊的原则（5）. 采取先公用后专用的原则采取先公用后专用的原则 公用性总是往往影响一大片，而专用性问题只影响局部。如总线部分发生故障应先解决，然后设法排除某一局部问题。

12、（6）. 采取先简单后复杂的原则采取先简单后复杂的原则 先解决简单容易的故障，再解决难度较大的问题。4.2 计算机硬件安全5.计算机故障的一般检测方法（1）. . 原理分析法原理分析法 按照计算机原理，根据机器安排的顺序关系，从逻辑上分析各点应有的特征，进而找出故障原因，这种方法称为原理分析法。（2）. . 诊断程序测试法诊断程序测试法 诊断程序测试方法简称“诊断法”，是采用一些专门为检查诊断机器而编制的程序来帮助查找故障原因，也是考核计算机性能的重要手段。4.2 计算机硬件安全（3）. . 直接观察法直接观察法 直接观察法就是通过看、听、摸、闻等方式检查计算机比较典型或比较明显的故障。（4）

13、. . 拔插法拔插法 拔插法是通过将插件板或芯片“拔出”或“插入”来寻找故障原因的方法。（5）. . 交换法交换法 交换法是把相同的插件或器件互相交换，以观察故障变化的情况，帮助判断寻找原因的一种方法。4.2 计算机硬件安全（6）. . 比较法比较法 比较法是用正确的参量（如波形、电流、电压等）与有故障机器的波形或电压及电阻值进行比较，检查哪一个组件的波形、电压、电阻与之不符，根据逻辑电路图逐级测量，由逆求源逐点检测，分析后确定故障原因。4.2 计算机硬件安全（7）. . 静态芯片测量和动态分析法静态芯片测量和动态分析法 静态特征测量法就是把计算机暂停在某一特定状态，根据逻辑原理，用万用表等测

14、量所需检测的各点电阻、电平、波形，从而分析判断故障原因的一种方法。 动态分析法就是设置某些条件或编制一些程序，让计算机运行，用仪器观察有关组件的波形或记录脉冲个数，并与正常情况相比较而找出故障。4.2 计算机硬件安全（8）. . 升温法和降温法升温法和降温法 有时，计算机工作很长时间或环境温度升高以后会出现故障，而关机检查时却是正常的，再开机工作一段时间后又出现故障，这时可用加温法或降温法来确定故障。4.3 操作系统安全 1.引入操作系统的目的 （1）从系统管理人员来看从系统管理人员来看：引入操作系统是为了合理的组织计算机工作流程，管理和分配计算机系统硬件及软件资源，使之能为多个用户高效率的共

15、享； （2）从用户的观点来看从用户的观点来看：引入操作系统是为了给用户使用计算机提供一个良好的界面，以使用户无需了解许多有关硬件和系统软件的细节，就能灵活方便的使用计算机； （3）从发展的观点来看从发展的观点来看：引入操作系统是为了给计算机系统的功能扩展提供支持平台，使之在追加新的服务和功能时更加容易和不影响原有的服务与功能。4.3 操作系统安全 综上所述，操作系统的定义为： 操作系统时计算机系统的一个软件，它是这样一些程序模块的集合它们管理和控制计算机系统中的硬它们管理和控制计算机系统中的硬件及软件资源，合理地组织计算机工作流程，以便有效件及软件资源，合理地组织计算机工作流程，以便有效地利用

16、这些资源为用户提供一个功能强大、使用方便和地利用这些资源为用户提供一个功能强大、使用方便和可扩展的工作环境，从而在计算机与其用户之间起到接可扩展的工作环境，从而在计算机与其用户之间起到接口的作用口的作用。4.3 操作系统安全 4.3.1 操作系统的发展历史 4.3.2 漏洞和后门4.3.1 操作系统的发展历史 1946年-50年代末：电子管时代，无操作系统； 50年代末-60年代中期：晶体管时代，批处理系统； 60年代中期-70年代中期：集成电路时代，多道程序设计； 70年代中期-80年代：大规模和超大规模集成电路时代，分时系统； 80年代-90年代后期：个人计算机操作系统如DOS，嵌入式操作

17、系统，网络操作系统，分布式操作系统，智能化操作系统； 90年代末至今：通用操作系统WINDOWS系列和UNIX/LINUX系列。4.3.2 漏洞和后门 1.1.漏洞的概念漏洞的概念 在计算机网络安全领域，“漏洞”是因设计因设计不周而导致的硬件、软件或策略存在的缺陷不周而导致的硬件、软件或策略存在的缺陷。正是由于这种缺陷的存在而导致了许多非法用户未经授权而获得访问系统的权限或提高其访问权限。 4.3.2 漏洞和后门 2.漏洞的类型（1）允许拒绝服务的漏洞 “拒绝服务”是一种常见的恶作剧式的攻击方式，它使服务器忙于处理一些乱七八糟的任务，它使服务器忙于处理一些乱七八糟的任务，消耗大量的处理时间，以

18、至于服务器无暇顾及用消耗大量的处理时间，以至于服务器无暇顾及用户的请求户的请求。允许拒绝服务的漏洞则可能导致拒绝服务发生。 该类漏洞的等级: 允许拒绝访问的漏洞属于类，是不太重要的漏洞。4.3.2 漏洞和后门 该类漏洞存在的原因该类漏洞存在的原因: 这些漏洞存在于操作系统网络传送本身，是操作系统软件本身存在的漏洞。 该类漏洞产生的影响该类漏洞产生的影响: 对于大的网络或站点，拒绝服务的影响是有限的。然而对于小的站点，可能会受到拒绝服务的重创。 该类漏洞弥补的方法该类漏洞弥补的方法: 当存在这种漏洞时，必须通过软件开发者或销售商的弥补予以纠正。 4.3.2 漏洞和后门（2）允许有限权限的本地用户未经授权提高其权限的漏洞 该类漏洞的等级该类漏洞的等级: 这类