操作系统的安全二

操作系统的安全问题对操作系统安全的威胁：（1）以OS为手段，获得授权以外的或未授权的信息：它危害信息系统的保密性和完整性。（2）以OS为手段，阻碍计算机系统的正常运行或用户的正常使用：它危害了计算机系统的可用性。（3）以OS为对象，破坏系统完成指定的功能：除了电脑病毒破坏系统正常运行和用户正常使用外，还有一些人为因素或自然因素，如干扰、设备故障和误操作也会影响软件的正常运行。（4）以软件为对象，非法复制或非法使用。6.2操作系统的安全控制设计一个安全的操作系统，从技术上讲有四种安全方法，如隔离控制、访问控制、信息加密和审计跟踪。

操作系统采用的安全控制方法主要是隔离控制和访问控制。1、隔离控制①物理隔离。②时间隔离。③加密隔离。④逻辑隔离。2、访问控制访问控制是操作系统的安全控制核心。访问控制是确定谁能访问系统，能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。6.2操作系统的安全控制存取控制解决两个基本问题：一是访问控制策略，二是访问控制机构。访问控制策略是根据系统安全保密需求及实际可能而提出的一系列安全控制方法和策略，如“最小特权”策略。访问控制策略有多种，最常用的是对用户进行授权。访问控制机构则是系统具体实施访问控制策略的硬件、软件或固件。访问控制的三项基本任务：①授权。②确定访问权限。③实施访问控制的权限。6.2操作系统的安全控制从访问控制方式来说，访问控制可分为以下四种：（1）自主访问控制：自主访问控制是一种普遍采用的访问控制手段。它使用户可以按自己的意愿对系统参数作适当修改，以决定哪些用户可以访问他们的系统资源。（2）强制访问控制：强制访问控制是一种强有力的访问控制手段。它使用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某种资源。（3）有限型访问控制：它对用户和资源进一步区分，只有授权的用户才能访问指定的资源。（4）共享／独占型访问控制：它把资源分成“共享”和“独占”两种。“共享”可以使资源为所有用户使用，“独占”只能被资源所有者使用。6.2操作系统的安全控制访问控制的重要内容之一是用户身份识别。而口令字验证又是是用户身份识别的主要内容，口令字验证应注意：①在系统的问答题中尽量少透露系统、用户和口令字的信息。②用户可以加上附加的约束，如限制使用的时间和地点。③对口令字文件加密。④口令字要有一定的范围和长度，并由操作系统随机地产生。⑤应定期改变口令字。⑥使用动态口令字。

⑦要选择容易记忆，但又难猜的口令。6.3自主访问控制⑧不要使用常用单词或名字，不要选用有特殊意义的口令，如生日、电话号码、银行帐号等。⑨不要在不同的机器上使用相同的口令。⑩不要将口令告诉他人或随便将口令手写在终端上。自主访问控制是指基于对主体及主体所属主体组的访问来控制对客体的访问，它是操作系统的基本特征之一。这种控制是自主的。自主是指具有授予某种访问权力的主体能够自主地将访问权或访问权的某个子集授予其它主体。6.3自主访问控制6.3.l自主访问控制方法目前，操作系统实现自主访问控制不是利用整个访问控制矩阵，而是基于矩阵的行或列来表达访问控制信息。1．基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同，可以分为三种形式：（1）权力表，也叫权能，它是实现访问控制的一种方法。（2）前缀表，包括受保护的客体名以及主体对它的访问权。（3）口令，口令机制是按行表示访问控制矩阵的。6.3自主访问控制2．基于列的自主访问控制基于列的自主访问控制是对每个客体附加一份可访问它的主体的明细表。它有两种形式：（1）保护位：保护位机制不能完备地表达访问控制矩阵。（2）访问控制表：每个客体（对象）有一张访问控制表，记录该客体可被哪些主体访问以及访问的形式。6.3.2自主访问控制的访问类型自主访问控制机制中，有三种基本的控制模式。1．等级型2．有主型3．自由型6.3自主访问控制6.3.3自主访问控制的访问模式在自主访问控制机制的系统中，可使用的保护客体基本有两类：文件和目录。1．文件对文件常设置以下几种访问模式：（1）Read-Copy：允许主体对客体进行读与拷贝的访问操作（2）Write-delete：允许主体用任何方式修改一个客体。（3）Execute：允许主体将客体作为一种可执行文件而运行之。（4）Null：表示主体对客体不具有任何访问权。6.3自主访问控制2．目录每个主体（用户）有一个访问目录。该目录用于记录该主体可访问的客体(对象）以及访问的权限，然而用户本身却不能接触目录。目录常作为结构化文件或结构化段来实现。是否对目录设置访问模式，取决于系统是怎样利用树结构来控制访问操作的。对目录的访问模式可以分为读和写-扩展。（1）Read（读）:该模式允许主体看到目录实体，包括目录名、访问控制表以及该目录下的文件与目录的相应信息。（2）Write-EXpand（写-扩展）：该访问模式允许主体在该目录下增加一个新的客体。也就是说，允许主体在该目录下生成与删除文件或子目录。6.4强强制访问问控制1．“特特洛伊木木马”的的威胁一个“特特洛伊木木马”要要进行攻攻击，一一般需要要以下条条件：①必须编编写一段段程序或或修改一一个已存存在的程程序来进进行非法法操作，，而且这这种非法法操作不不能令程程序的使使用者起起任何怀怀疑。这这个程序序对使用用者来说说必须具具有吸收收力。②必须使使受害者者能以某某种方式式访问到到或得到到这个程程序，如如将这个个程序放放在系统统的根目目录或公公共目录录中。③必须使使受害者者运行这这个程序序。一般般利用这这个程序序代替某某个受害害者常用用的程序序来使受受害者不不知不觉觉地使用用它。④受害者者在系统统中有一一个合法法的帐号号。6.4强制制访问问控制制2．防防止““特洛洛伊木木马””的非非法访访问强制访访问控控制一一般与与自主主访问问控制制结合合使用用，并并实施施一些些附加加的、、更强强的访访问限限制。。一个个主体体只有有通过过了自自主与与强制制访问问控制制检查查后，，才能能访问问某个个客体体。由由于用用户不不能直直接改改变强强制访访问的的控制制属性性，因因此用用户可可以利利用自自主访访问控控制来来防范范其他他用户户对自自己客客体的的攻击击。强强制访访问控控制则则提供供一个个不可可逾越越的、、更强强的安安全防防护层层，以以防止止其他他用户户偶然然或故故意滥滥用自自主访访问控控制。。要防防止““特洛洛伊木木马””偷窃窃某个个文件件，就就必须须采用用强制制访问问控制制手段段。减少““特洛洛伊木木马””攻击击成功功的可可能性性方法法。（1））限制制访问问控制制的灵灵活性性（2））过程程控制制6.5存存储器器的保保护存储器器保护护负责责保证证系统统内各各任务务之间间互不不干扰扰；存存储器器管理理是为为了更更有效效地利利用存存储空空间。。6.5.1存存储器器的保保护方方法首先要要对存存储单单元的的地址址进行行保护护，使使得非非法用用户不不能访访问那那些受受到保保护的的存储储单元元；；其次要要对被被保护护的存存储单单元提提供各各种类类型的的保护护。。最基本本的保保护类类型是是“读读／写写”和和“只只读””。所所谓““只读读”，，就是是规定定用户户只能能对那那些被被保护护的存存储单单元中中的内内容进进行读读取，，而不不能进进行其其它操操作。。复杂杂一些些的保保护类类型还还包括括“只只执行行”、、“不不能存存取””等操操作。。不能能存取取的存存储单单元，，若被被用户户存取取时，，系统统要及及时发发出警警报或或中断断程序序执行行。6.5存存储器器的保保护操作系系统对对内存存的保保护主主要采采用了了逻辑隔隔离方法。。1．界界地址址寄存存器保保护法法2．内内存标标志法法3．锁锁保护护法““锁锁”是是指为为存储储区设设置的的特定定数字字。使用锁锁保护护方式式具有有以下下优点点：①因为为不同同的存存储区区可以以分配配相同同的锁锁，因因此用用户可可以用用同一一钥匙匙打开开不连连续的的若干干区域域。②只要要锁和和钥匙匙定义义不同同的对对应方方案，，就可可以使使钥匙匙具有有不同同的优优先级级。4．．特征征位保保护法法即在每每一个个存储储单元元的前前面，，设置置一组特特征位位特征位位数据指指令代代码6.5存存储器器的保保护6.5.2存存储器器的管管理1．虚虚拟地地址空空间的物理理定位位可变变，每每次调调度该该进程程时，，它的的物理理地址址可能能不同同。在在运行行一个个访问问存储储器的的指令令时，，硬件件设备备首先先根据据指令令中的的某一一数值值或偏偏移量量以及及索引引寄存存器的的值对对虚拟拟地址址进行行某种种运算算，以以识别别出欲欲访问问目标标的物物理地地址。。其运运算的的结果果就是是一个个虚拟拟地址址映射射成一一个物物理地地址。。2．虚虚存映映射在一个个大系系统内内，将将物理理存储储器分分成固固定大大小的的页，，各个个进程程根据据需要要占用用不同同页数数的物物理存存储器器。设设置一一组映映射寄寄存器器,每每个个寄存存器指指出一一个页页的物物理首首地址址。这这样，，进程程就可可以通通过这这些映映射寄寄存器器来访访问物物理地地址空空间。。6.5存存储器器的保保护3．请请求调调页一个进进程占占有比比机器器内存存还大大的虚虚拟存存储空空间，，需采采用请请求调调页机机制，，该机机制将将根据据需要要在辅辅存与与内存存之间间移动动某些些页，，它保保证了了进程程所需需的某某些页页没有有驻留留在内内存时时仍能能正常常运行行。操操作系系统可可以为为进程程构造造一个个页描描述表表，该该表记记录了了进程程所需需的全全部虚虚拟存存储空空间，，表中中可以以设置置一个个“磁磁盘驻驻留””的标标志，，指明明该页页不在在物理理内存存中而而是驻驻留在在磁盘盘上。。当某某一进进程运运行过过程中中所需需的页页不在在内存存中时时，操操作系系统将将中止止该进进程的的运行行，直直至内内存中中有空空闲的的页腾腾出时时，再再将所所需页页从磁磁盘中中调入入内存存中的的空闲闲页，，并将将页表表中相相应的的项置置为该该空闲闲页，，然后后重新新启动动被中中止的的进程程从断断点处处继续续运行行。6.5存存储器器的保保护4．分分段管管理在绝大大部分分系统统中，，一个个进程程的虚虚拟地地址空空间至至少要要被分分成两两部分分或两两个段段：一一个用用于用用户程程序与与数据据，称称为用用户空空间；；另一一个用用于操操作系系统，，称为为系统统空间间。两两者是是静态态隔离离的，，也是是比较较简单单的。。6.5.3虚虚拟存存储器器的保保护虚拟存存储器器一般般都采采用段段／页页技术术进行行管理理。一一般情情况下下，整整个虚虚拟存存储器器被划划分成成若干干个段段，每每个段段再被被划分分成若若干页页。如如果在在段、、页描描述中中加入入段、、页保保护信信息，，如对对段或或页可可采取取“只只读””、““读／／写””等保保护措措施，，当计计算机机执行行指令令时，，系统统便根根据保保护类类型检检查这这条指指令的的操作作是否否合法法，如如果不不合法法，就就中断断程序序的执执行。。6.6操操作系系统的的安全全设计计6.6.1操操作系系统的的安全全模型型1．访访问监监控模模型最简单单的安安全模模型，，单级级模型型，是是体现现有限限型访访问控控制的的模型型。它它对每每一个个主体体-客客体对对，只只作““可””还是是“否否”的的访问问判定定。这这种模模型论论证比比较脆脆弱，，它所所表达达的安安全需需求没没有特特别详详尽的的说明明。2．““格””模型型多级模模型。。把用用户（（主体体）和和信息息（客客体））进一一步按按密级级和类类别划划分。。访问问控制制根据据“工工作需需要，，给予予最低低权限限”的的原则则，只只有当当主体体的密密级等等于或或高于于客体体，主主体的的类别别等于于或包包含客客体时时，主主体才才能访访问客客体。。6.6操操作系统的的安全设计计3．Bell-LaPadula模模型多级模型，，它是保证证保密性基基于信息流流控制的模模型。这种种模型的访访问控制遵遵循两条原原则。简单安全性性原则，即主体的保密密性访问级级别支配客客体的保密密性访问级级别，也就是说说主体只能能读密级等等于或低于于它的客体体，主体只只能从下读读，而不能能从上读。。星原则是客体的访问问级别支配配主体的访访问级别，即主体只只能写密级级等于或高高于它的客客体。也就就是说主体体只能向上上写，而不不能向下写写。星原则则的目的是是为了防上上不可信的的机密进程程从不同等等级或级别别更高的机机密文件中中读出信息息后，通过过“向下写写”来窃取取系统的机机密。6.6操操作系统的的安全设计计Padula模型目目的在于防防止信息泄泄漏，而不不是防止主主体对客体体的非授权权修改。它它们只处理理了信息的的保密问题题，而没有有解决信息息的完整性性问题。4．Bibe模型从信息完整整性的角度度来看，显显然必须禁禁止低访问问级别的主主体对高访访问级别的的客体进行行访问，以以免低访问问级别的主主体篡改高高访问级别别的信息（（客体），，于是就产产生了Bibe模型型。Bibe模模型是保证证信息流完完整性的控控制模型，，它把主体体和客体按按类似密级级那样的完完整级进行行分类。完完整级是一一个由低到到高的序列列，其访问问遵循“简简单完整性性”和“完完整性星””两条原则则。简单完整性性原则是主体的完整整性访问级级别支配客客体的完整整性级别。即主体只只能向下写写，而不能能向上写。。也就是说说，主体只只能写（修修改）完整整性级别等等于或低于于它的客体体。完整性星原原则是客体的完整整性访问级级别支配主主体的完整整性访问级级别，即主体只只能从上读读，而不能能从下读。。6.6操操作系统的的安全设计计6.6.2安全操操作系统的的设计原则则①对用户标标识和验证证。②对内存的的保护。③对文件和I/O设设备的访问问控制。④对共享资资源的分配配控制。⑤保证系统统可用性，，防止某用用户对系统统资源的独独占。⑥协调多进程程间的通信信、同步和和并发控制制，防止系系统死锁。。所谓“安全全操作系统统设计”，，就是指安安全性必须须在操作系系统的各个个部分予以以考虑，安安全性必须须在操作系系统开发的的初期就予予以考虑。。6.6操操作系统的的安全设计计安全系统设设计的一般般原则如下下：（1）最小小权限原则则（2）完全全性原则（3）经济济性原则（4）公开开性原则（5）权限限分离原则则（6）最小小共同性原原则（7）易用用性原则（8）缺省省安全原则则6.6操操作系统的的安全设计计6.6.3安全操操作系统的的设计方法法1．安全核核心方法安全核心方方法运用最最小权限原原则和完全全性原则，，集中了操操作系统中中有关安全全的主要功功能。每次次对被保护护客体的访访问，都要要经过安全全核心的检检查。安全全核心与其其它部分隔隔离，自身身又完整统统一。这样样，既便于于做得紧凑凑，也便于于测试验证证，还便于于修改。2．层次化化方法层次化设计方方法是将操作作系统分层，，至少有硬件件、核心、操操作系统和用用户进程四层层。这种层次次结构使得一一个与安全有有关的功能，，由一系列在在不同层次的的几个模块来来实现。6.6操作作系统的安全全设计6.6.4对对系统安全全性的认证安全认证，就就是对系统的的安全性作测测试验证，并并评价其安全全性所达到的的程度的过程程。安全认证证的方法通常常有三种：形形式化验证（（简称验证方方法）、非形形式化鉴定（（简称鉴定方方法）和破坏坏性分析。。1．形式化验验证形式化验证就就是运用程序序正确性证明明的方法。虽虽然现已开发发出一些辅助助程序正确性性证明的工具具，但这种方方法复杂，而而且非常费时时。对于大型型的系统，对对那些不是为为了接受形式式化验证而开开发的系统来来说，几乎难难以进行验证证。总之，形形式化验证方方法可以确保保系统的安全全性，但却难难以实现。6.6操作作系统的安全全设计2．鉴定方法法鉴定方法普遍遍，通常采用用以下几种办办法：（1））需求检验（（2）设计计和编码检验验（3）单单元和集成测测试。总之，，鉴定方法容容易实现，但但却不能达到到百分之百的的可信度。3．破坏性分分析破坏性分析是是把一些对操操作系统运用用熟练和富有有设计经验的的专家组织起起来，对被测测试的操作系系统作安全脆脆弱性分析，，专挑弱点和和缺点。在实实践中，常常常要求系统具具备以下六条条安全准则：：（1）安全方方针（（2）主主体标识（（3）客体标识识（4）可查性性（（5）可信性性（（6）持续性性6.7I/O设备的访访问控制方式式6.7.1I／O设设备访问控制制操作系统一般般是I/O操操作的媒介。。从访问控制制的角度看，，一个I/O指令应该包包括以下内容容：I/O设设备名、受影影响的介质和和数据传输过过程中所涉及及的存储缓冲冲区的位置。。I/O访问控控制最简单的的方式是将设设备与介质看看作一个客体体。由于所有有的I/O操作不是向向设备写数据据，就是从设设备读数据，，所以进行I/O操作的的进程必须受受到对设备读读／写两种控控制。这意味味着设备到介介质间的路径径可以不受什什么约束，而而处理器到设设备间的控制制则需要施以以一定的读／／写操作的访访问控制。从访问控制的的角度看，硬硬件可以以四四种方式支持持I/O操作作：可编程的的I/O操作作、非映射的的I/O操操作、预映射射I/O操操作和完全映映射I/O操作。6.7I/O设备的访访问控制方式式可编程I/O是一种同步步操作。在这这种方式下，，处理器直接接控制向I/O设备传递递或从I/O设备接收每每一个数据。。其它三种方方式是直接存存储器访问方方式及其变种种。在这几种种方式下，处处理器通知控控制器进行某某种冗长的I/O操作，，处理器与控控制器异步地地进行等价的的操作。1．可编程1/O可编程I/O方式对设设备进行访问问控制是使用用一个设备描描述符表。它它将一个虚设设备名映射为为一个物理设设备名，犹如如将一个虚地地址映射成一一个实际物理理地址，如下下所示：设备描述符RWC物理设备地址6.7I/O设备的访访问控制方式式2．非映射I/O非映射I/O是目前最普普遍的一种直直接进行存储储器访问的I/O类型型。在这种方方式中，软件件向设备发送送一个I/O命令，它描描述了存储器器中某个缓冲冲器的物理位位置。设备可可作为一个可可信赖的主体体对这个物理理存储区进行行读／写操作作。它仅能由由操作系统产产生，必须将将虚拟缓冲区区地址解释成成实际的物理理地址。3．预映射I/O预映射I/O，也称虚拟拟I/O，它它允许软件引引用虚拟缓冲冲区地址。当当调用I/O指令时，，处理器利用用当前进程的的描述符表以以及映射寄存存器，把这些些虚拟地址解解释成实际的的物理地址，，然后将得到到的物理地址址送给I/O设备。它它使得操作系系统从繁杂的的地址解释与与访问控制任任务中释放出出来了。6.7I/O设备的访访问控制方式式4．全映射I/O全映射I/O对设备引用用的每个存储储区都能进行行从虚拟地址址到实际物理理地址的解释释，设备被认认为是一个不不可信赖的主主体。它仅提提供欲读／写写信息的存储储区的虚拟地地址。在安全全防线内，解解释硬件将把把虚拟地址解解释成实际的的物理地址，，并进行访问问校验。6.7.2输输入安全控控制建立输入安全全控制，应检检验数据的合合法性和准确确性。要进入入系统的数据据，必须按正正确的格式与与内容，先转转换到该类机机器可读的媒媒体里。6.7I/O设备的访访问控制方式式1．输人安全全控制原则输入安全控制制应遵循以下下基本原则：：（1）自动控控制应尽可能能接近数据源源，且不得重重复控制。（2）防止分分散工作流程程，控制应简简单和易于维维护。（3）应提供供控制操作说说明文件，并并汇编成册。。2．程序安全全控制对程序安全可可采用如下的的检验方法：：（1）记录计计数（（2））极限校验（3）运算验验证（（4））标号检查6.7I/O设备的访访问控制方式式3．操作安全全控制（1）职责分分离：通过职职责分离