信息系统安全第四讲操作系统安全

目录1、信息系统安全的基本概念2、密码学(1)3、密码学(2)4、操作系统安全(1)5、操作系统安全(2)6、数据库安全(1)7、数据库安全(2)8、可信计算(1)9、可信计算(2)一、操作系统安全的概念我们的学术观点： 硬件结构的安全和操作系统的安全是信息系统安全的基础，密码、网络安全等是关键技术。

一、操作系统安全的概念1、操作系统是信息系统安全的基础之一：

①操作系统是软件系统的底层；

②操作系统是系统资源的管理者；

③操作系统是软硬件的接口。

2、操作系统安全的困难性

①操作系统的规模庞大，以至于不能保证完全正确。

②理论上一般操作系统的安全是不可判定问题。

3、我国必须拥有自己的操作系统①操作系统受治于人，不能从根本上确保信息安全；

②立足国内，发展自己的操作系统。二、操作系统的安全评价1、操作系统安全要求 一般对安全操作系统有以下要求：

①安全策略：要有明确、严谨、文档齐全的安全策略

②标识：每个实体必须标识其安全级别

③

认证：

每个主体必须被认证

④审计：对影响安全的事件，必须记录日志，并进行审计。

⑤保证：系统必须确保上述4项要求被实施⑥连续性保护：实现安全的机制必须是不间断地发挥作用，并且未经许可不可改动。

二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：

①D级：最低的安全保护级

D级是最低的安全保护级属于D级的系统是不安全的除了物理上的一些安全措施外，没有什幺其它安全用户只要开机后就可支配所有资源DOS,WINDOWS3.2,MOS二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：②C1级：自主安全保护级通过用户名和口令进行身份认证每个用户对属于他们自己的客体具有控制权划分属主、同组用户和其他用户3个层次。属主控制这3个层次的存储权限实体没有划分安全级别多数UNIX、LINUX，WindowsNT

二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：③

C2级：受控制的安全保护级系统记录日志，并进行审计。身份认证更强，口令以密文存储。采用以用户为单位的自主访问控制机制。部分UNIX、LINUX，VMS

二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：

④B1级：标记安全保护级采用多级安全策略采用强制访问控制强制访问控制并不取消原来的自主访问控制，而是在此之外另加的。实体都划分安全级别属主也不能改变对自己客体的存储权限二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：⑤B2级：结构化的安全保护级要有形式化的安全模型更完善的强制访问控制隐通道分析与处理一般认为B2级以上的操作系统才是安全操作系统Honeywell公司的MULTICS、TIS公司的TrustedXENIX3.04.0

二、操作系统的安全评价2、美国国防部的桔皮书（TCSEC）：⑥B3级：安全域级把系统划分为一些安全域，用硬件把安全域互相分割开来，如存储器隔离保护等。提供可信路径机制，确保用户与可信软件是连接的，防止假冒进程。更全面的访问控制机制。更严格的系统结构化设计。更完善的隐通道分析。HFS公司的UNIXXTS-2000STOP3.1E二、操作作系统的的安全评评价2、美国国防防部的桔桔皮书（（TCSEC））：⑦A1级：：验证安安全设计计级安全模型型要经过过数学证证明对隐通道道进行形形式化分分析Honeywell公司SCOMP、波波音公司司MLSLANOS注意：分级的顶顶端是无无限的，，还可加加入A2、A3级等。。每一级的的安全性性都包含含前一级级的安全全性。二、操作作系统的的安全评评价2、美国国防防部的桔桔皮书（（TCSEC））：DC1C2B1B2B3A1二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：（GB117859－1999）根据中国国国情、、参照桔桔皮书，，将其7的级别别合并为为5个级级别①第一级：：用户自自主保护护级；②第二级级：系统统审计保保护级；；③第三级：：安全标标记保护护级；④第四级级：结构构化保护护级；⑤第五级级：访问问验证保保护级。。二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：①第一级：：用户自自主保护护级；通过隔离离用户与与数据，，使用户户具备自自主安全全保护的的能力。。它具有有多种形形式的控控制能力力，对用用户实施施访问控控制，即即为用户户提供可可行的手手段，保保护用户户和用户户组信息息，避免免其他用用户对数数据的非非法读写写与破坏坏。自主访问问控制例如：访访问控制制表身份鉴别别例如：口口令数据完整整性通过自主主完整性性策略，，阻止非非授权用用户修改改或破坏坏敏感信信息。二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：②第二级：：系统审审计保护护级；与用户自自主保护护级相比比，本级级的计算算机实施施了粒度度更细的的自主访访问控制制，它通通过登录录规程、、审计安安全性相相关事件件和隔离离资源，，使用户户对自己己的行为为负责。。自主访问问控制访问控制制机制根根据用户户指定方方式或默默认方式式，阻止止非授权权用户访访问客体体。访问问控制的的粒度是是单个用用户。没没有存取取权的用用户只允允许由授授权用户户指定对对客体的的访问权权。身份鉴别别通过为用用户提供供唯一标标识、计计算机能能够使用用户对自自己的行行为负责责。计算算机还具具备将身身份标识识与该用用户所有有可审计计行为相相关联的的能力。。阻止客体体重用客体只有有在释放放且清除除原信息息后才让让新主体体使用审计计算机能能创建和和维护受受保护客客体的访访问审计计跟踪记记录，并并能阻止止非授权权的用户户对它访访问或破破坏。二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：③第三级：：安全标标记保护护级；具有系统统审计保保护级所所有功能能。此外外，还提提供有关关安全策策略模型型、数据据标记以以及主体体对客体体强制访访问控制制的非形形式化描描述；具具有准确确地标记记输出信信息的能能力；消消除通过过测试发发现的任任何错误误。强制访问问控制计算机对对所有主主体及其其所控制制的客体体（例如如：进程程、文件件、段、、设备））实施强强制访问问控制。。为这些些主体及及客体指指定敏感感标记，，这些标标记是等等级分类类和非等等级类别别的组合合，它们们是实施施强制访访问控制制的依据据。标记计算机应应维护与与主体及及其控制制的存储储客体（（例如：：进程、、文件、、段、设设备）相相关的敏敏感标记记。这些些标记是是实施强强制访问问的基础础。二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：④第四级：：结构化化保护级级；建立于一一个明确确定义的的形式化化安全策策略模型型之上，，它要求求将第三三级系统统中的自自主和强强制访问问控制扩扩展到所所有主体体与客体体。考虑隐蔽蔽通道。。必须结构构化为关关键保护护元素和和非关键键保护元元素。计计算机的的接口也也必须明明确定义义，使其其设计与与实现能能经受更更充分的的测试。。加强了鉴鉴别机制制；支持持系统管管理员和和操作员员的职能能；提供供可信设设施管理理；增强强了配置置管理控控制。系系统具有有相当的的抗渗透透能力。。二、操作作系统的的安全级级别3、中国计算算机信息息系统安安全保护护等级划划分准则则：⑤第五五级级：：访访问问验验证证保保护护级级本级级的的计计算算机机满满足足访访问问监监控控器器需需求求。。访访问问监监控控器器仲仲裁裁主主体体对对客客体体的的全全部部访访问问。。访访问问监监控控器器本本身身是是抗抗篡篡改改的的；；必必须须足足够够小小，，能能够够分分析析和和测测试试。。支持持安安全全管管理理员员职职能能，，扩扩充充审审计计机机制制，，提提供供系系统统恢恢复复机机制制。。系系统统具具有有很很高高的的抗抗渗渗透透能能力力。。隐蔽蔽信信道道分分析析可信信路路径径可信信恢恢复复二、、操操作作系系统统的的安安全全级级别别4、、桔皮皮书书和和GB117859的局局限限性性①桔桔皮皮书书注注意意确确保保数数据据的的秘秘密密性性，，而而没没有有注注意意确确保保数数据据的的真真实实性性和和完完整整性性。。②忽略略了了防防范范诸诸如如拒拒绝绝服服务务之之类类的的攻攻击击。。③只只给给出出了了评评测测等等级级，，没没有有给给出出达达到到这这种种等等级级所所要要采采取取的的系系统统结结构构和和技技术术路路线线。。二、、操操作作系系统统的的安安全全级级别别5、、CC标准准：：①美美国国国国家家安安全全局局、、国国家家技技术术标标准准研研究究所所、、法法国国、、加加拿拿大大、、英英国国、、德德国国、、荷荷兰兰六六国国七七方方，，联联合合提提出出了了新新的的““信息息技技术术安安全全评评价价通通用用准准则则””（CCforITSEC）），，并并于于1999年年5月月正正式式被被ISO颁颁布布为为国国际际标标准准，，。。②增强强了了对对真真实实性性和和完完整整性性的的保保护护。。③仍仍没没有有给给出出达达到到标标准准所所要要采采取取的的系系统统结结构构和和技技术术路路线线。。三、、操操作作系系统统的的安安全全机机制制操作作系系统统安安全全的的目目标标：：对用用户户进进行行身身份份识识别别；；根据据安安全全策策略略，，进进行行访访问问控控制制，，防防止止对对计计算算机机资资源源的的非非法法存存取取；；标识识系系统统中中的的实实体体；；监视系系统的的安全全运行行；确保自自身的的安全全性和和完整整性。。三、操操作系系统的的安全全机制制1、实实体保保护多道程程序的的增长长，使使得许许多实实体需需要保保护。。⑴需需要受受保护护的实实体：：存储器器；IO设设备；；程序；；数据。。三、操操作系系统的的安全全保护护技术术1、实实体保保护⑵保保护方方法：：①隔离离操作系系统的的一个个基本本安全全方法法是隔隔离，，把一一个客客体与与其它它客体体隔离离起来来。物理隔隔离：不同同的处处理使使用不不同的的物理理设备备。如如，不不同安安全级级别的的处理理输出出使用用不同同的打打印机机；三、操操作系系统的的安全全机制制①隔离离时间隔隔离：不同安安全级级别的的处理理在不不同的的时间间执行行；逻辑隔隔离：用户的的操作作在没没有其其它处处理存存在的的情况况下执执行。。操作系系统限限制程程序的的访问问，以以使该该程序序不能能访问问允许许范围围之外外的客客体。。虚拟机机是软软件是是运行行在硬硬件之之上、、操作作系统统之下下的支支撑软软件，，可以以使一一套硬硬件运运行多多个操操作系系统，，分别别执行行不同同密级级任务务。密码隔隔离：用密码码加密密数据据，以以其它它处理理不能能理解解的形形式隐隐藏数数据三、操操作系系统的的安全全机制制①隔离离然而隔隔离仅仅仅是是问题题的一一半。。我们们除了了要对对用户户和客客体进进行隔隔离外外，我我们还还希望望能够够提供供共享享。例例如，，不同同安全全级别别的处处理能能调用用同一一个的的算法法或功功能调调用。。我们们希望望既能能够提提供共共享，，而又又不牺牺牲各各自的的安全全性。。三、操操作系系统的的安全全机制制1、实实体保保护⑵保保护方方法：：②隔绝绝当操作作系统统提供供隔绝绝时，，并发发运行行的不不同处处理不不能察察觉对对方的的存在在。每每个处处理有有自己己的地地址空空间、、文件件和其其它客客体。。操作作系统统限制制每个个处理理，使使其它它处理理的客客体完完全隐隐蔽。。三、操操作系系统的的安全全机制制1、实实体保保护⑶存存储器器的保保护：：多道程程序的的最重重要问问题是是阻止止一个个程序序影响响另一一个程程序的的存储储器。。这种种保护护可以以作成成硬件件机制制，以以保护护存储储器的的有效效使用用，而而且成成本很很低。。①固定地地址界界限设置地地址界界限，，使操操作系系统在在界限限的一一边，，而用用户程程序在在界限限的另另一边边。主主要是是阻止止用户户程序序破坏坏操作作系统统的程程序。。这种固固定界界限方方式的的限制制是死死扳的的，因因为给给操作作系统统预留留的存存储空空间是是固定定的，，不管管是否否需要要。三、操操作系系统的的安全全机制制1、实实体保保护⑶存储储器的的保护护：①固定地地址界界限操作系系统操作系系统硬件地地址界界限操作系系统用户程程序0n-1n高三、操操作系系统的的安全全机制制1、实实体保保护⑶存存储器器的保保护：：②浮动地地址界界限界限寄寄存器器（fenceregister）：：它存存储操操作系系统的的端地地址。。与固定定界限限方式式不同同，这这里的的界限限是可可以变变化的的。每当用用户程程序要要修改改一个个地址址的数数据时时，则则把该该地址址与界界限地地址进进行比比较，，如果果该地地址在在用户户区则则执行行，如如果该该地址址在操操作系系统区区则产产生错错误信信号、、并拒拒绝执执行。。三、操操作系系统的的安全全机制制1、客客实体体保护护⑶存存储器器的保保护：：②浮动地地址界界限操作系系统操作系系统界限寄寄存器器操作系系统用户程程序0n-1n高三、操操作系系统的的安全全机制制1、实实体保保护⑶存存储器器的保保护：：②浮动地地址界界限一个界界限寄寄存器器的保保护是是单向向的。。换句句话说说，可可保护护用户户不侵侵入操操作系系统区区，但但不能能保护护一个个用户户对另另一用用户区区的侵侵入。。类似地地，用用户也也不能能隔离离保护护程序序的代代码区区和数数据区区。通常采采用多对地址界界限寄寄存器器，其其中一一个为为上界界，另另一个个为下下界（（或一个个为基基址，，另一一个为为界长长）。把把程序序之间间，数数据之之间，，堆栈栈之间间隔离离保护护起来来。三、操操作系系统的的安全全机制制1、实实体保保护⑶存存储器器的保保护：：②浮动地地址界界限操作系系统程序2上界寄寄存器器操作系系统程序30n-1n高操作系系统程序1下界寄寄存器器mm+1基址寄寄存器器界长寄寄存器器三、操操作系系统的的安全全机制制1、实实体保保护⑷运运行保保护：：安全操操作系系统采采用分分层设设计；；运行域域是进进程运运行的的区域域；运行域域保护护机制制：根根据安安全策策略，，把进进程的的运行行区域域划分分为一一些同同心环环，进进行运运行的的安全全保护护。最内环环具有有最小小的环环号，，具有有最高高的安安全级级别；；最外环环具有有最大大的环环号，，具有有最低低的安安全级级别；；内环不不受外外环的的入侵侵，却却可利利用外外环的的资源源，并并控制制外环环。三、操操作系系统的的安全全机制制1、实实体保保护⑷运运行保保护：：R0R1Rn三、操操作系系统的的安全全机制制1、实实体保保护⑸IO保保护：：IO保保护是是系统统中最最复杂杂的；；大多数数情况况下，，把IO设设备视视为文文件，，且规规定IO是是仅由由操作作系统统完成成的一一个特特权操操作，，对读读写操操作提提供一一个高高层系系统调调用。。在这这一过过程中中，用用户不不控制制IO操作作的细细节。。三、操操作系系统的的安全全机制制2、标标识与与认证证⑴标识标识是系统统为了了正确确识别别、认认证和和管理理实体体而给给实体体的一一种符符号；；用户名名是一一种标识，，为的的是进进行身身份认认证；；安全级级别也也是一一种标识，，为的的是进进行安安全的的访问问控制制。标识需需要管管理；；标识活活性化化、智智能化化，是是值得得研究究的新新方向向。⑵认认证证在操操作作系系统统中中主主要要是是用用户户的的身身份份认认证证。。三、、操操作作系系统统的的安安全全机机制制3、、访访问问控控制制访问问控控制制的的目目的的：：确保保主主体体对对客客体体的的访访问问只只能能是是授授权权的的，，而而未未授授权权的的访访问问是是不不能能进进行行的的，，而而且且授授权权策策略略是是安安全全的的。自主主访访问问控控制制（（DAC））；；强制制访访问问控控制制（（MAC））；有多多种种访访问问控控制制模模型型。。三、、操操作作系系统统的的安安全全机机制制3、、访访问问控控制制区分分安安全全策策略略和和机机制制是是重重要要的的：：策略略着着重重原原则则指指导导，，而而不不着着重重具具体体实实现现。。机机制制是是实实现现策策略略的的技技术术机机构构和和方方法法。。没没有有好好的的安安全全策策略略，，再再好好的的机机制制也也不不能能确确保保安安全全。。相相反反，，没没有有好好的的机机制制，，再再好好的的策策略略也也没没有有实实际际意意义义。。通常常策策略略是是原原则则的的、、简简单单的的、、确确切切的的，，而而机机制制是是具具体体的的、、复复杂杂的的、、烦烦琐琐的的。。谢谢谢！！9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2203:49:0603:49Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。03:49:0603:49:0603:49Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2203:49:0603:49:06December29,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。29十十二二月月20223:49:06上上午午03:49:0612月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、行动出出成果，，工作出出财富。。。2022/12/293:49:0603:49:0629December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。3:49:06上上午3:49上上午午03:49:0612月月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2203:49:0603:49Dec-2229-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。03:49:0603:49:0603:49Thursday,December29,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2203:49:0603:49:06December29,202214