第六章：的操作系统.pptxVIP

信息安全技术体系 何长鹏 hapter 6操作系统CONTENTS目 录01安全操作系统的地位和作用02安全操作系统的发展03安全操作系统的体系结构安全操作系统的设计04安全操作系统的关键技术05安全操作系统的地位和作用操作系统是所有系统资源的基本控制器——这使得它成为主要的攻击目标。操作系统是抵御各种非法操作的第一道防线。它能防御来自其他人的攻击、确保内存或磁盘中的重要区域不被未经授权的程序覆盖、对不同的用户以及远程操控进行识别和授权，并保证重要硬盘资源公平共享。显然安全技术要素、安全机制应该首先设置在信息系统的最底层，才能确保整个信息系统的安全性。如果硬件的物理安全受到威胁，上层信息系统的保密性、完整性、可用性将不复存在，因此，物理安全是信息系统的硬件安全基础。操作系统安全是信息系统的软件安全基础。普通操作系统的安全特性共享的实施进程间通信和同步对操作熊保护数据的保护保证公平服务硬件接口用户鉴定内存保护文件和输入/输出设备的访问控制对一般对象的分配和访问控制操作系统的历史回顾操作系统的发展不像其他事物，它并不是从一个简单的形态直接发展成复杂的样子的，而是经历了一个起伏前进的过程：1）单用户2）多道程序和共享使用3）多任务处理受保护对象1、多道程序设计的出现意味着计算机系统需要保护以下几个方面：内存；可共享的I/O设备，如磁盘；可连续复用的I/O设备，如打印机和磁带驱动器；可共享的程序或子程序；网络；可共享数据。操作系统设计——对象保护操作系统由许多独立的程序构成，它不是单一的程序。一个结果良好的操作系统会从关键部分到装饰部分实现多个层次的功能和保护。这种排序在理论上式精细的，但在实践中，某些功能涉及多个层。操作系统设计——对象保护考虑一个与安全相关的操作系统活动的例子——密码认证。事实上，该活动包括几个不同的操作，如以无特定顺序显示用户输入口令的输入框、接收密码字符、以“ * ”之类的方式进行响应、比较用户输入的密码与存储的密码、检查用户的身份是否被验证或在系统表中修改用户的密码。更改系统密码表比在密码输入时用“ * ”显示具有更重要的安全性，因为更改此系统表可能会允许未经授权的用户访问。在这个更改过程中，需要的仅仅是一个显示框交互接口，这个接口列出的功能可能发生在操作系统的不同级别。操作系统设计——对象保护现代操作系统有许多不同模块。并非所有的代码都来自同一个源。例如，硬件设备驱动程序可能来自设备制造商或第三方，用户可以安装附件来实现不同的文件系统或用户界面。你可以猜到，更换文件系统或用户界面需要与操作系统的几个层次整合。例如，反病毒代码等系统工具，被称为“钩子”或被纳入操作系统的程序，这些工具与操作系统一起加载，以便当用户程序执行时可以被激活。虽然它们来自不同的源，但所有这些模块、驱动程序和附件可以被共同认为是操作系统的组成部分，因为他们以提升权限的方式来执行关键的功能。操作系统设计——自我保护操作系统为了保障安全性，必须保护自己不被破解。操作系统不仅需要防御恶意的用户程序，也需要防御未整合在一起的模块、驱动程序和附件，并且对于能够信任哪些组件及信任哪些功能，操作系统只有有限的信息。操作系统不是一个单一结构，它也不是载入内存中的一个对象。操作系统是分阶段加载的。首先加载基本的输入/输出系统，用以访问下一步将加载的引导设备。接下来操作系统加载一些引导（bootstrap）加载程序和软件，用来获取和安装操作系统后面的模块。加载程序实例化一个原始内核，它为操作系统创建低级别的功能提供支持，如同步支持、进程间通信、访问控制和安全性及进程调度。这些功能反过来帮助开发先进的功能，如文件系统、目录结构和操作系统的第三方加载项。最后，激活为用户提供的支持。实现安全功能的操作系统工具1、操作系统同时实现支持访问控制的底层表和访问控制检查机制；2、操作系统的另一个有关访问控制的重要功能是审计（audit），即记录哪个主体在什么时候以什么方式访问哪个对象。审计不是防御工具，它是安全漏洞出现后的反应工具。如果关键信息被泄露，审计日志可以帮助我们找到哪些信息已经泄露，也许还能知道是谁在什么时候泄露的。这些信息可以限制漏洞带来的损伤，也能使我们从出现的漏洞中得到启示，防止以后再次出现这种问题。由于系统行为的数据量非常庞大，所以操作系统不可能记录每一个行为。审计日志的写入行为也是一个行为，也将产生一条记录，这样第一次访问后就会产生一个无限的记录链。然而，即使我们抛开记录审计的问题，每一次内存信息发生位置改变或每一次搜索文件目录都需要审计记录。此外，只有当审计跟踪信息用于分析时，它才是有用的。太多的数据会阻碍分析的及时性和有效性。实现安全功能的操作系统工具——虚拟化虚拟化（Virtualization）：通过使用一些资源提供