操作系统七.pptVIP

第七章 操作系统的安全性 计算机科学系 总述 计算机的使用、网络的普及引出安全问题 推动了知识经济的兴起和人类文明的演进 安全问题成为突出的矛盾—信息安全 OS的安全性是根基—是对计算机系统进行的第一层扩展； 本章 介绍计算机安全的基本概念； 保护机制和安全性 介绍UNIX和Windows NT的安全机制 7.1 计算机系统安全概述 7.1.1 安全性的含义 7.1.2操作系统的安全性 7.1.3计算机系统安全等级 7.1.1 安全性的含义 信息系统的安全性（含义广泛的概念） 一个计算机系统的资源在任何情况下都是按照预先设计的方式来使用和存取，则说一个系统是安全的。 注意：要获得完全的安全性通常是不可能的。 1. 安全性受损的原因 数据丢失 自然灾害 硬件或软件故障 人为的出错 入侵者(无意入侵者+恶意入侵者) 内行的窥视者 明确的盗窃企图 政治、军事和商业上的间谍活动 瓦解企业或组织的服务功能 物理入侵 2. 安全性的目标 一个安全计算机系统具有三个特性： 保密性：系统不受外界破坏，无泄露，对各种环境入侵和信息窃取具有相应的对策。 完整性：信息按照其原型保存，不能被有意或无意地修改，只有授权用户才能修改。 可用性 ：无论何时，只要需要，信息必须是可用的，不能将合法授权用户的存取权限进行额外的限制。 2. 安全性的目标 保证安全从两方面 管理： 技术： 操作系统安全 数据库安全 网络安全 加密鉴别 病毒防护 7.1.2操作系统的安全性 1．安全操作系统的功能 有选择的访问控制：限制对特定对象的访问 对计算机级、对目录或文件级； 内存管理与对象重用：进程终止，内存将被重用之前，将其中的内容清空。 审计能力：测试其完整性； 事件跟踪、事件浏览、报表功能、审计事件、审计日志访问。 加密的数据传送：网络传输的安全性 加密的文件系统：具有访问权的用户所访问； 安全的进程间通信机制：禁止高安全等级进程传递信息给低安全等级进程。 2．安全操作系统的设计原则 最小权限： 问题：过多的权利导致信息泄露； 每个用户及程序应拥有尽可能小的权限； 机制的经济性： 问题：带来系统开销，性能下降； 保护系统的设计应是小型化的 开放式设计：保护机制独立设计 仅依赖于一些保密信息； 2．安全操作系统的设计原则 完整的策划 每个存取都必须被检查。 权限分离 问题：安全性判断条件不可太单一； 形成制约机制； 最少通用机制 原因：共享实体有信息流的潜在通道。 采取物理或逻辑分离的措施。 3．操作系统中的保护机制和安全性 安全和保护是两类不同的问题 保护机制→保护问题（7.2节） 如何保护系统内信息的特定机制 提供受控制的存取方式： 限制不同用户对文件存取的权限 保证文件、内存、CPU以及其他的资源只能由授权进程来操作； 安全性→安全问题（7.3节） 确保未授权用户无法接触、读取和修改信息，应考虑： 适当的内部保护机制 系统运行的外部环境 7.1.3计算机系统安全等级 70年代以来研究； 系统安全模型 ：Bell＆Lapadula模型 美国提出的操作系统安全结构模型： 可证明的安全操作系统 军事安全操作系统 VAX体系的VMM安全内核 安全标准 橙皮书、GB 17859-1999、CC标准 1．美国国防部的“橙皮书” 可信计算机系统评价标准（TCSEC-1985） 将安全保护分成D、C、B、A四等 每等又包含一个或多个级别 按D、C1、C2、B1、B2、B3、A1、A1增强； D等：只有一个级别D1级 计算机安全的最低级；计算机系统是不可信任的，硬件和操作系统很容易被侵袭。 不对用户进行验证； DOS、Windows 3.x、 Windows 95、Apple的System 7.x等 1．美国国防部的“橙皮书” C等：自主型保护（ C1、C2） C1级：无条件安全防护系统 要求硬件有一定的安全保护 用户在使用计算机系统前必须先登录 防护不足之处： 用户直接访问操作系统的根； 不能控制进入系统的用户的访问级别； 产生的问题 数据任意移走、更改系统的配置、获取比系统管理员允许的更高的权限。 1．美国国防部的“橙皮书” C2级（如UNIX、XENIX、Novell 3.x、Windows NT 2000） 引进了受控访问环境（用户权限级别）的增强特性。 1）以用户权限限制用户执行某些系统指令； 2）以个人为单位授权用户对某一目录进行访问； 3）用户分组：系统管理员授予他们访问某些程序或访问分级目录的权限。 系统审计：跟踪所有的“安全事件” 如：跟踪登录、系统管理员的工作 1．美国国防部的“橙皮书” B等：强制型保护（B1、B2、B3） B1级：称为标记安全防护级、支持多级安全 标记：网上的一个对象，在安全防护计划中是可识别且受保护的； 多