第11章_操作系统的安的全性.ppt

第11章 操作系统的安全性清华大学 本章知识点： 11.1安全性概述 11.2安全保护机制 11.3病毒及其防御 11.4加密技术 11.5安全操作系统的设计 11.6系统举例（略） 11.1 安全性概述 11.1.1 安全性的内涵 1. 安全性 系统的安全性包括以下几方面的内容： ① 保护系统内的各种资源免遭自然与人为的破坏； ② 估计到操作系统存在的各种威胁，以及它存在的特殊问题； ③ 开发与实施卓有成效的安全策略，尽可能减少系统所面临的各种风险； ④ 准备适当的应急措施，使系统在遭到破坏或攻击时能尽快恢复正常； ⑤ 定期检查各种安全管理措施的实施情况。 11.1.1 安全性的内涵 不同的计算机操作系统有不同的安全要求，但总的来说系统应具有如下特性： (1) 保密性(Security) (2) 完整性(Integrity) (3) 可用性(Availability) 11.1.1 安全性的内涵 2. 对计算机系统安全性的主要威胁 对计算机系统安全性的威胁主要来自以下3个方面： (1) 偶然无意 (2) 自然灾害 (3) 人为攻击 前两个方面是被动的，也可以说是偶然发生的，人们主要是采取一定的预防措施来避免它们的发生。而对于第三个方面则必须加强系统的安全性来防范。 11.1.2 操作系统的安全性 1. 操作系统的安全性 操作系统的安全性是计算机系统安全性的关键。一个操作系统应具有如下功能： ① 用户身份鉴别。 ② 内存保护。 ③ 文件及I/O设备存取控制。 ④ 对一般实体进行分配与存取控制，并对其实行一定的控制与保护。 ⑤ 共享约束。 ⑥ 在考虑操作系统安全机制的同时，也要确保系统用户享有公平的服务，而不出现永久的等待服务；还要确保操作系统为进程同步与异步通信提供及时的响应。 11.1.2 操作系统的安全性 传统操作系统中的安全机制 ： 11.1.2 操作系统的安全性 Saltzer,J. 和Schroeder,M.曾提出了保密安全操作系统设计的原则： ① 最小权限。 ② 机制的经济性。 ③ 开放式设计。 ④ 完整的策划。 ⑤ 权限分离。 ⑥ 最少通用机制。 11.1.2 操作系统的安全性 2. 操作系统的安全保护 操作系统的安全方法可以从隔离、分层、内核三个方面来考虑。 在隔离的问题上，Rushby和Randel指出，应该从如下几个方面考虑： ① 物理分离。 ② 时间分离。 ③ 逻辑分离。 ④ 密码分离。 11.1.2 操作系统的安全性 一个操作系统可以在任何层次上提供如下保护： ① 无保护。 ② 隔离。 ③ 完全共享和无共享。 ④ 存取权限的保护。 ⑤ 权能共享的保护。 ⑥ 实体的使用限制。 11.1.3 操作系统的安全性级别 美国国防部把计算机系统的安全从低到高分为4等(D、C、B、A)和8级(D1、C1、C3、B1、B2、B3、A1、A2)，从最低级(D1)开始，随着级别的提高，系统的可信度也随之增加，风险也逐渐减少。 11.1.3操作系统的安全性级别 1. D等——最低保护等级 这一等只有一个级别D1，又叫安全保护欠缺级，列入该级别说明整个系统都是不可信任的，它不对用户进行身份验证，任何人都可以使用计算机系统中的任何资源，不受任何限制，并且硬件系统和操作系统非常容易被攻破。 11.1.3操作系统的安全性级别 2. C等——自主保护等级 这一等分为两个级别(C1和C2)，它主要提供选择保护（需要知道选择什么）： C1级称为自主安全保护级。它支持用户标识与验证、自主型的访问控制和系统安全测试；它要求硬件本身具备一定的安全保护能力，并且要求用户在使用系统之前一定要先通过身份验证。 C2级称为受控安全保护级，它更加完善了自主型存取控制和审计功能。 C2级针对C1级的不足之处做了相应的补充与修改，增加了用户权限级别， 11.1.3操作系统的安全性级别 3. B等——强制保护等级 这一等分为3个级别(B1、B2、B3)，它检查对象的所有访问并执行安全策略，因此要求客体必须保留敏感标记，可信计算机利用它去施加强制访问控制保护。 B1级为标记安全保护级。它的控制特点包括非形式化安全策略模型，指定型的存取控制和数据标记，并能解决测试中发现的问题。 B2级为结构化保护级。它的控制特点包括形式化安全策略模型(有文件描述)，并兼有自主型与指定型的存取控制，同时加强了验证机制，使系统能够抵抗攻击。 B3级为安全域级。它满足访问监控要求，能够进行充分的分析和测试，并且实现了扩展审计机制。 11.1.3操作系统的安全性级别 4. A等——验证保护等级 它使用形式化安全验证方法，保证使用强制访问控制和自主访问控制的系统，能有效地保护该系统存储和处理秘密信息和其他敏感